密码控制管理制度.pdfVIP

密码控制管理制度

目录

1.目的和范围2

2.引用文件2

3.职责和权限2

4.密码控制2

4.1.使用密码控制的策略2

4.2.密钥管理4

XXX信息安全有限司

1.目的和范围

为确保安全成为所开发的信息系统一个有机组成部分，保证开发过程安全，特制

定本制度。适用于本司所有信息系统的开发活动，信息系统内在安全性的管理。本

制度作为软件开发项目管理规定的补充，而不是作为软件开发项目管理的整体规范。

2.引用文件

1）下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用

文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标

准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期

的引用文件，其最新版本适用于本标准。

2）GB/T22080-2016/IS0/IEC27001:2013信息技术•安全技术•信息安全管理体

系要求

3）GB/T22081-2016/ISO/IEC27002:2013信息技术-安全技术-信息安全管理实

施细则

3.职责和权限

开发部门：确保适当和有效地使用密码技术以保护信息的保密性、真实性和

或（）完整性。

4.密码控制

4.1.使用密码控制的策略

1）控制描述

应开发和实施使用密图控制措施来保护信息的策略。

2）实施指南

第2页共5页内部开

XXX信息安全有限司

制定密码策略时，应考虑下列但（不仅限于）内容：

•组织间使用密码控制的管理方法，包括保护业务信息的一般原则；

•使用加密技术保护通过可移动介质、设备或者通过通信线路传输的敏感信

息；

•基于风险评估，应确定需要的保护级别，并考虑需要的加密算法的类型、

强度和质量；

•加密可能带来不利影响。由于某些控制措施依赖于内容检查（例如病毒检

测等），要求数据处于未加密状态。

3）用户口令管理

a.初始密码在创建用户时设定，初次登录时操作系统或者管理员必须强制修

改密码，不能使用缺省设置的密码。

b.用户忘记口令时，管理员必须在对该用户进行适当的身份识别后才能向其

提供临时口令。

c.在向用户提供临时口令时，必须采用加密或其他安全传输途径，以确保初

始密码不会被中途截取。

d.不允许在计算机系统上以无保护的形式存储口令。

e.对于泄漏口令造成的损失，由用户本人负责。

f.不准与其他人互相借用各类作账号。

g.测试环境的账号与生产环境的账号使用不同的口令。

4）口令的使用

a.用户应保证口令安全，不得向其他任何人泄漏。

b.应避免在纸上记录口令，或以明文方式记录计算机内。

c.一旦有迹象表明系统或口令可能遭到破坏时，应立即更改口令。

d.口令的选择应参考以下规则：

•最少要有8个字符，且为数字和字母组合。

•密码不可包含用户帐号名称的全部或部分文字。

•不要使用别人可以通过个人相关信息（如姓名、电话号码、生日等）容

易猜出或破解的口令。

•不要连续使用同一字符，不要全部使用数字，也不要全部使用字母，