普通密码使用管理规定.docx

?一、总则

1.目的

为加强公司普通密码的使用管理，规范密码使用行为，保障公司信息系统和数据的安全，特制定本规定。

2.适用范围

本规定适用于公司全体员工在工作中使用的各类普通密码，包括但不限于公司内部信息系统登录密码、办公软件操作密码、电子邮件密码等。

3.基本原则

-安全性原则：密码应具备足够的强度，以防止被他人破解或窃取，保护公司信息资产安全。

-保密性原则：员工应妥善保管个人密码，不得向他人泄露，确保密码仅本人使用。

-定期更换原则：为降低密码被破解的风险，应定期更换密码。

-合规性原则：密码使用应符合国家法律法规及公司相关规定。

二、密码设置要求

1.长度要求

密码长度应不少于[X]位。具体长度要求可根据公司信息系统的安全级别和风险评估结果进行调整。

2.字符组合要求

-密码应包含大写字母、小写字母、数字和特殊字符中的至少三种类型。特殊字符可包括但不限于@、、$、%、^、、*等。

-示例：如Abc@12345，满足包含大写字母A、小写字母b、数字12345和特殊字符@的要求。

3.避免使用常见信息

-不得使用与个人身份信息相关的内容作为密码，如姓名、生日、身份证号码等。

-避免使用字典中容易出现的单词、短语，以及连续数字、连续字母等简单组合。例如，不得使用password123456abcdef等。

三、密码使用规范

1.专人专用

员工应使用个人专用密码登录公司信息系统及进行各类办公操作，不得将个人密码提供给他人使用。因工作需要共享信息时，应通过公司规定的合法、安全途径进行，而不是共享密码。

2.禁止共享

严禁员工之间互相共享密码，如发现有共享密码的行为，将视情节轻重给予相应的纪律处分。

3.避免明文存储

在任何情况下，都不得在非安全的环境中以明文形式记录密码。如需记录密码，应采用加密或其他安全的方式进行存储，如使用密码管理工具。

4.登录安全

-在登录公司信息系统时，应确保使用公司指定的合法登录方式，避免通过不可信的链接或渠道登录系统。

-如发现登录异常，如提示密码错误但确认输入无误，或收到可疑的登录验证信息等，应立即停止操作，并及时向公司信息安全管理部门报告。

5.系统操作安全

-在进行系统操作涉及输入密码时，应注意遮挡键盘，防止他人窥视密码内容。

-完成操作后，应及时退出系统，避免长时间处于登录状态，增加密码泄露的风险。

四、密码更换规定

1.定期更换

-普通密码应定期更换，更换周期一般为[X]个月。具体更换周期可根据公司信息系统的安全需求和风险状况进行调整。

-公司信息安全管理部门将定期提醒员工更换密码，员工应按照要求及时进行更换。

2.特殊情况更换

-如员工怀疑密码已泄露，或发现所在部门或系统存在安全漏洞可能影响密码安全时，应立即更换密码。

-因工作调动、离职等原因不再使用原系统时，应在办理相关手续前，将涉及的所有密码进行更换。

五、密码找回与重置

1.找回方式

-公司应为员工提供密码找回机制，通常可通过预留的手机号码、电子邮箱等方式进行找回。

-员工在使用密码找回功能时，应按照系统提示进行操作，确保身份验证的准确性。如系统要求输入注册时的手机号码或电子邮箱接收验证码进行验证，应确保该手机号码或电子邮箱为本人有效且可正常接收信息的。

2.重置流程

-若通过正常找回方式无法解决密码问题，员工可向公司信息安全管理部门或相关系统管理员提交密码重置申请。

-申请时应提供充分的身份验证信息，如员工工号、姓名、身份证号码、注册手机号码或电子邮箱等，以便管理员核实身份。

-管理员在核实身份无误后，按照密码设置要求为员工重置密码，并及时通知员工新密码。员工应在收到新密码通知后立即登录系统修改为符合要求的个人密码。

六、密码安全审计与监督

1.审计机制

-公司信息安全管理部门应建立密码使用审计机制，定期对公司信息系统的密码使用情况进行审计。审计内容包括密码长度、字符组合、更换频率、共享情况等是否符合本规定要求。

-通过审计工具和系统日志分析等手段，及时发现潜在的密码安全问题，并生成审计报告。

2.监督检查

-公司信息安全管理部门及相关管理人员有权对员工密码使用情况进行不定期的监督检查。检查方式可包括现场查看