- 1、本文档共7页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
GZZD-XX-0371
密码管理制度
下发层级:一级(通用)
发布时间:9月7日
编码:XX-13-28
目录
TOC \o 1-5 \h \z制定目的2
适用范围2
规范事项2
密码创建指引2
密码保护指引2
密码安全级别3
密码安全管理策略实施检查4
考核条款5
附则5
制定目的
基于(以下简称“公司”)的业务需求,为明确信息资产访问控制的基本原则,强化信息资产访问控制措施的选择和实施,结合公司实际,制定本制度。
适用范围
本制度适用公司部门、各分支机构及其员工。
规范事项
一、密码创建指引
(一)本制度所规范使用密码登录的系统和设备,包括但不限于各类服务器、网络设备、安全设备、监控设备、桌面PC机、各类移动设备运行的所有系统。
(二)密码必须是数字、字母、符号三者的组合;避免与系统用户名相同;避免使用公司名称;避免与个人信息有关,如家庭成员姓名、电话、身份证号或生日等;避免使用简单的数字和字母组合,如相同数字或字母、顺序排列或倒序排列等。
二、密码保护指引
(一)公司内部使用的账号密码不要与个人账户所使用的密码一致;不同系统之间,尽可能设置不同的密码;
(二)未经允许,不应与任何人分享密码,包括管理员、上下级领导、下级员工、家庭成员等;所有密码视同敏感和保密信息;
.严格限制通过电话、邮件、口头、短信等方式向任何人所要或告知密码;
.严格限制系统自带的记住密码功能;
.严格限制将密码记录下来,并放置在办公室明显位置;
4.所有的系统应强制要求用户在第一次登录后修改初始密码。
三、密码安全级别
根据目前现状,密码等级分为三个等级、分别是低安全级别、中安全级别和高安全级别。
(一)低安全级别密码的最低要求如下:
.严格符合密码创建指引;
.密码长度不得小于6位;
.密码必须定期更换,同一密码连续使用不得超过180天;
.不能重复使用前两次的密码。
.中安全级别密码的最低要求如下:
.严格符合密码创建指引;
.密码长度不得小于8位;
.密码必须定期更换,同一密码连续使用不得超过90天;
.不能重复使用前五次的密码。
(二)高安全级别密码的最低要求如下:
.严格符合密码创建指引;
.密码长度不得小于12位;
.密码必须定期更换,同一密码连续使用不得超过60天;
.不能重复使用前八次的密码;
.用户账号密码不得以明文存储和传输;
(三)面向互联网的应用系统,禁止将支付密码和登录密码设置为同一密码,执行支付和提现操作,需设置短信验证方式,验证码长度不得小于6位。如因个人原因遗忘账号密码,可通过邮箱或者短信验证方式找回密码。
(四)移动App登录时,除输入用户名/密码以外还需通过第二重认证方式进行,执行支付和提现操作,除通过支付密码进行验证还需设置第二重认证,如使用短信验证方式,则验证码长度不得小于6位,禁止将支付密码和登录密码设置为同一密码。用户未退出App,但是App重新回到前台后应通过二次认证进行用户验证或注销用户。
密码安全级别
适用范围
低
公司个人使用桌面计算机;在功能上无法满足安全级别为中的系统和设备。
中
重要程度为8、C和D的系统;B、C、Dm类系统所涉及的网络设备和安全设备。
高
要程度为A的系统;除A级以外的面向互联网的系统;以上系统所涉及的网络设备和安全设备。
(五)系统级别和重要程度请详见引用文件,如个别系统因版本问题或系统本身问题,可提供系统的不支持相关策略依据,以区别系统本身原因导致的不符合密码策略情况。
.用户账号和密码为个人用户所拥有,任何人不得通过任何途径获取他人的用户账号与口令。个人用户负责自己账号和密码的保密。
.如因个人原因遗忘账号密码,应及时通知相关系统管理员对密码进行初始化,初始化后强制要求用户在第一次登录后修改初始密码。
.公司员工如需设共享文件夹,必须加设密码。
四、密码安全管理策略实施检查
安全管理人员应对所有系统/设备的密码安全管理策略的实施进行抽样检查,如发现任何不合规的密码安全管理策略应及时采取相应的解决措施。
(一)系统运维人员应了解进行有效访问控制的责任,特别是密码使用安全的责任。系统运维人员应保证密码安全,不得向其他任何人泄漏密码,对于因泄漏密码而造成的信息系统的损失,由运维人员本人负责。
(二)当出现以下情况时,必须立即更改密码并做好相关记录:
.掌握密码的网络管理人员离开岗位;
.因工作需要,由相关厂家或第三方公司人员使用过的账号及密码;
.一旦有迹象表明密码可能被泄露。
(三)当发生以下情况时,系统管理员应立即取消账号或修改账号的相应权限,并做好相关记录:
.账号使用者已经离职;
.账号使用者由于工作的变动不再需要访问权限;
.由于工作需要开通的临时账号已到期
.账号使用者违背了有关密码管理规范。
考核条款
严重违反本制度相关条款,造成重大信息安全事件,对公司业务
您可能关注的文档
- C1汽车驾驶证科目一考试题库750题(打印版).doc
- 快速分析仪说明.doc
- 密码管理制度-密码管理制度办法.doc
- 食堂安全专项检查表完整.doc
- ffmpeg再编译使用ffmpeg-gl-transition完整.docx
- 焚烧飞灰稳定化处理技术研究报告.docx
- 环境试验符合性分析(DO-160F 160E与GJB150 151比较).docx
- 建筑工程-法律法规.docx
- 汽轮机主蒸汽管道的多工况应力分析_赵静一.docx
- 人教版五年级上册美术知识点汇总.docx
- 北师大版小学数学三年级上册《寄书》教学设计.docx
- 统编版(部编版)语文二年级上册《雪孩子》教学设计.docx
- 统编版(部编版)语文二年级上册《八角楼上》教学设计.docx
- 北师大版小学数学三年级上册《长方形周长》教学设计.docx
- 北师大版小学数学三年级上册《丰收了》教学设计.docx
- 统编版(部编版)语文二年级上册《夜宿山寺》教学设计.docx
- 统编版(部编版)语文二年级上册《风娃娃》教学设计.docx
- 统编版(部编版)语文二年级上册《朱德的扁担》教学设计.docx
- 统编版(部编版)语文二年级上册《难忘的泼水节》教学设计.docx
- 统编版(部编版)语文二年级上册《纸船和风筝》教学设计.docx
最近下载
- 米LED路灯灯杆检验报告.pdf VIP
- 临床诊疗指南肾脏病学分册_全文.pdf
- 中小学校园防疫科普讲义中小学防控诺如病毒主题班会课件.pptx VIP
- 安永-中国房地产行业2023年业绩概览及新质态下房地产行业发展新趋势.pdf VIP
- Nikon 尼康微型单电相机 Z系列Z 6 参考手册(完整说明书)Z7Z6RM_(Sc)05.pdf
- 2024年义务教育新课标新教材培训学习PPT课件:小学语文新教材内容整体变化解读.pptx
- 上海市高一信息技术上学期期中试题.docx
- 支架和钢管柱贝雷梁现浇简支箱梁施工安全质量控制要点.pptx VIP
- 名著导读《朝花夕拾》课件(共47张ppt).pptx VIP
- 商用车行业专题:全球客车潜力可观,中国车企大有可为.docx VIP
文档评论(0)