密码口令使用管理制度.docxVIP

密码口令使用管理制度

一、总则

（一）目的与依据

为规范公司内部各类系统、设备及账户的密码口令管理，保障信息系统安全、数据资产安全及业务连续性，防范因密码口令泄露、滥用或管理不当引发的安全风险，依据国家相关法律法规及公司信息安全管理要求，特制定本制度。

（二）适用范围

本制度适用于公司全体员工（包括正式员工、试用期员工、实习生、顾问及其他为公司提供服务的相关人员）在使用公司所有信息系统、网络设备、服务器、终端设备、应用账户及其他需要身份认证的场景时的密码口令创建、使用、保管、变更与销毁等行为。

（三）基本原则

1.保密性原则：密码口令属于个人敏感信息，严禁泄露给任何未经授权的人员。

2.复杂性原则：密码口令应具备足够的复杂度，以抵御猜测、暴力破解等攻击。

3.唯一性原则：不同系统、不同账户应尽可能使用不同的密码口令，避免“一码通用”带来的连锁风险。

4.定期更换原则：密码口令应根据安全级别设定合理的更换周期，并定期进行更换。

5.安全保管原则：应采用安全的方式保管密码口令，避免明文存储或易于获取。

二、密码的创建与设置规范

（一）基本构成要求

1.长度要求：密码口令长度应不低于一定字符数，对于高权限账户（如管理员账户）应适当增加长度要求。

2.复杂度要求：密码口令应包含以下至少三类字符的组合：

*大写英文字母（A-Z）

*小写英文字母（a-z