网络与信息系统密码管理制度.docxVIP

网络与信息系统密码管理制度

第一章总则

第一条目的与依据

为规范本单位网络与信息系统密码的设置、使用、存储、变更及销毁等全流程管理，强化密码安全防护能力，防范因密码泄露、被盗用、被破解引发的网络攻击、数据泄露、系统瘫痪等安全事件，保障网络与信息系统安全稳定运行及核心数据资产安全，根据《中华人民共和国网络安全法》《网络安全等级保护条例》《中华人民共和国数据安全法》等相关法律法规，结合本单位实际及《网络与信息安全监督与管理工作责任制度》要求，制定本制度。

第二条适用范围

本制度适用于本单位所有网络与信息系统（含办公自动化系统、业务管理系统、数据库、服务器、网络设备、物联网设备、云计算平台等）的各类账号密码管理，覆盖全体工作人员（含正式员工、劳务派遣人员、实习生）及外包服务提供商、合作单位等关联主体在为本单位提供服务过程中使用的相关账号密码。

第三条核心原则

（一）分级管控，差异化防护。根据账号权限等级、关联系统重要程度，实行差异化密码安全策略，权限越高、关联系统越核心，密码安全要求越严格。

（二）安全优先，兼顾易用。密码设置需满足足够复杂度和强度，同时兼顾使用便捷性，避免因过度复杂导致违规记录、共用等风险。

（三）全程追溯，闭环管理。密码的生成、变更、重置、注销等全流程操作均需留存日志，实现操作可追溯、问题可追责，形成闭环管理。

（四）专人负责，严格保密。账号密码实行“一人一账号、一人一责任”，使用者对个人账号密码负直接保密责任，严禁随意泄露、共用。

第二章密码设置规范

第四条普通用户密码设置要求

普通工作人员使用的办公终端、通用业务系统等账号密码，需满足以下要求：

（一）密码长度不得低于8位，推荐使用10位及以上字符组合；

（二）密码需包含大写字母、小写字母、数字及特殊字符（如!、@、#、$等）四类字符中的至少三类，禁止使用单一字符类型；

（三）严禁使用弱密码，包括但不限于用户名、姓名、生日、手机号、工号、连续数字（如123456）、重复字符（如aaaaaa）等易被猜测的信息；

（四）新密码不得与过去3个月内使用过的任意密码重复，不得复用历史密码的变形（如仅修改大小写、增减字符）。

第五条特权账号密码设置要求

系统管理员、数据库管理员、网络设备管理员等特权账号，及核心业务系统、涉密信息系统账号密码，需满足以下强化要求：

（一）密码长度不得低于12位，核心业务系统管理员密码长度推荐不低于16位；

（二）必须包含大写字母、小写字母、数字、特殊字符四类字符，且字符无明显规律，禁止使用任何与个人信息、系统信息相关的内容；

（三）新密码不得与过去6个月内使用过的任意密码重复，密码复杂度需定期重新评估；

（四）同一特权账号密码不得在多个系统、设备中复用，实行“一系统一密码”管理。

第六条临时账号密码设置要求

外部访客、临时工作人员使用的临时账号密码，需满足以下要求：

（一）由牵头部门统一生成，长度不低于10位，包含三类及以上字符组合，初始密码不得告知无关人员；

（二）临时账号密码绑定使用期限，最长不得超过7天，到期后系统自动失效，严禁延期使用；

（三）临时用户首次登录后，系统强制要求修改初始密码，修改后密码需符合普通用户密码设置规范。

第三章密码使用与管理流程

第七条密码生成与初始设置

（一）新账号开通时，由牵头部门或系统运维人员统一生成初始密码，初始密码需通过加密方式（如加密邮件、线下密封交付）告知用户，严禁通过明文短信、普通微信等非安全渠道传输；

（二）用户首次登录系统后，必须在30分钟内修改初始密码，未修改前不得开展任何业务操作，系统需提供强制修改密码功能；

（三）鼓励使用单位认可的密码生成工具创建复杂密码，牵头部门可统一提供密码生成指引或工具支持。

第八条密码变更与提醒

（一）普通用户密码有效期为90天，特权账号密码有效期为30天，临时账号密码有效期按本制度第二十四条执行，到期前7天系统自动向用户发送密码变更提醒；

（二）用户需在密码到期前完成变更，逾期未变更的，系统自动锁定账号，需经本部门负责人审批后，由牵头部门解锁；

（三）密码变更后，系统需自动记录变更时间、变更人、IP地址等信息，日志留存期限不少于1年；

（四）工作人员岗位调整时，需在3个工作日内变更所有关联账号密码，牵头部门负责监督核查。

第九条密码重置与解锁

（一）用户遗忘密码时，需向本部门负责人提交密码重置申请，经审批后提交牵头部门，由专人核实身份后办理重置手续，重置后初始密码按本制度第七条要求交付；

（二）账号因密码输入错误次数过多被锁定的，普通账号可通过系统自助解锁（如短信验证、回答安全问题），特权账号需经牵头部门审核后解锁，解锁记录全程留存；

（三）密码重置、账号解锁操作需在2个工作小时内完成，紧急业务场景下1小时内完成，确保业务连续性。