某公司信息系统帐号密码管理规定.docx

《某公司信息系统帐号密码管理规定.docx》由会员分享，可在线阅读，更多相关《某公司信息系统帐号密码管理规定.docx（10页珍藏版）》请在第一文库网上搜索。

1、编号：XXXXX-ISMS-XXXXX-XX-YYYYMMDDXXXXXXXXX公司信息系统帐号密码管理规定XXX年XXX月1.文件版本信息说明文件版本信息记录本文件提交时的当前有效的版本控制信息，当前版本文件有效期将在新版本文档生效时自动结束。文件版本小于1O时，表示该版本文件为草案，仅可作为参照资料之目的。版本号1.0发布时间发布范围修订时间修订内容备注发布之日起施行第一章总则第一条为规范信息系统密码设置和使用，制定本管理办法。第二条本规定适用于XXXXX公司信息系统设备密码的设置、管理和使用。第二章帐号申请、注销流程第三条单位内部人员的信息系统帐号的开户/权限变更按照以下流程进行：（一）

2、首先由用户提出书面申请，详细列出所需权限，由其部门领导审批其申请的权限；（二）如果用户申请系统规定的需要高级主管或其他部门主管审批的权限则需要其他部门或高级主管审批；（三）如果有必要，由系统中业务部门的负责人员进行用户的要求是否合理的审批；（四）然后由安全负责人员审核其安全性，相应负责人员进行开户操作，在以上各审批人的审批环节中，如任何一个审批人不同意该申请，则退回用户的申请。第四条非单位人员的信息系统中的开户，除非技术部有其他规定，否则均按照以下流程进行：（一）由接口部门的责任人代替非单位人员申请，并明确指明责任；（二）由非单位人员的接口部门或以上部门领导进行审批；（三）如需要，由其他部门领

3、导审批；（四）安全管理人员进行审批、备案；（五）业务负责人审批申请的合理性；（六）相应负责人员进行开户；（七）在以上各审批人的审批环节中，如任意一个审批人不同意用户的申请，则退回用户的申请；（A）如有明文规定的非单位人员的开户，按照具体规定执行。第五条用户如果因职责变动而离岗，不再需要系统权限且无须将帐号移交给其他责任人，其原岗位主管应当申请帐号的销户，由管理员取消其权限，单位内部人员的帐号的销户流程如下：（一）用户主管提出申请；（二）安全控制人员审批并执行（离职人员的帐号由安全控制办人员直接处理）。第六条非单位人员的帐号停止使用后，责任人应当负责提出销户，销户流程如下：（一）帐号的责任人提出

4、申请；（二）接口部门的主管审批；（三）技术部审批并备案；（四）安全管理人员操作。第七条用户离职后，管理员应当及时关闭用户在系统中的所有权限。第八条例外情况（一）安全管理人员在因系统安全原因或紧急情况下，在得到主管部门允许的情况下，不经过以上流程而执行帐号操作；（二）因系统升级或迁移等情况下，可以在得到相应部门认同的情况下，直接操作而不经过本流程。第三章帐号权限变更要求第九条帐号使用人在工作职责发生转变，造成现有职责与现有的在系统中的职责不同时，应当申请权限的修改，权限变更流程与帐号申请流程一致。第十条管理员发现用户具有工作不需要的权限，可以直接停止多余的权限。第十一条帐号使用人在工作职责发生转

5、变，而不再需要使用系统资源的情况下，应当申请关闭帐号，对不能关闭的帐号则需要转移帐号的责任人。第四章帐号设置要求第十二条单位所使用的操作系统、业务系统、数据库、网络设备等均需要支持基于帐号的访问控制功能。第十三条所有需要使用口令的应用软件、业务软件都需要对口令文件提供妥善的保护。第十四条只有授权用户才可以申请系统帐号，任何系统的帐号设立必须按照规定的相应流程规定进行。第十五条员工申请帐号前应该接受适当的培训，以确保能够正常的操作，避免对系统安全造成隐患；第十六条帐号权限应该以满足用户需要为原则，不得有与用户职责无关的权限。第十七条对于确因工作需要而必须申请系统帐号的单位外部人员，则必须经部门领

6、导批准，且有单位正式员工作为安全责任人，如果需要接触单位秘密信息，必须通过技术部审批并且签署保密协议。第十八条任何系统的帐号必须是可以区分责任人，责任人必须细化到个人，不得以部门或个人组作为责任人。第十九条系统应当严格限制开设公用帐号，一般情况下公用帐号不得具有访问保密信息和对系统写的权限。第二十条公用帐号应该设立责任人，负责帐号的正常使用及维护。第二十一条匿名帐号只被允许访问系统中可公开的且对单位有益的资源，不得访问任何内部公开及以上秘密等级的资源Q第二十二条对匿名用户对系统的访问必须有详细的记录。第五章帐号使用要求第二十三条任何帐号的使用人只限于申请帐号过程中声明的使用人使用，禁止其他人使

7、用此帐号；第二十四条帐号系统正式使用前，必须更改原来系统中的缺省帐号的所有口令，以保证正式环境的安全；第二十五条帐号使用人在使用的过程中，不得使用帐号访问与自己工作无关的资源Q第六章口令设置要求第二十六条系统帐号分配时必须同时生成相应的口令，并且与帐号一起传送给用户Q第二十七条用户在接受到帐号和口令后，必须马上修改口令，任何时间都不得存在空口令和默认口令的帐号。第二十八条对于系统的帐号验证只有口令作为证据的系统，如果帐号名由确定的且公开的规则产生的，则口令不应当为公开的口令。第二十九条管理员在传递帐号和口令时，应当采取加密或其他安全的传输途径，以保证口令不会被中途截取。第七章口令设置原则第三十

8、条帐号口令必须是具有足够的长度和复杂度，长度不得小于8位，必须包含小写字母、大写字母、数字和特殊字符。第三十一条帐号口令必须是在必要时间或次数内不能循环使用。第三十二条帐号的各个口令之间应当是没有直接联系的，以保证不可有以前的口令推知现在的口令；第三十三条帐号的前后两个口令之间的相同部分应当尽量减少,减低由前一个口令分析出后一个口令的机会。第三十四条帐号的口令不应当取有意义的词语或其他符号，如使用者的姓名，生日或其它易于猜测的信息。第三十五条管理员和超级管理员帐号口令除满足长度和复杂度要求外，还必须满足最近10个口令不可重复，口令中同一个符号出现不得多于2次，各个口令中相同位置的字符相同的不得

9、多于3个,口令不得为有意义的单词或短语的要求。第八章口令修改要求第三十六条帐号的使用人应当定期修改帐号口令，修改口令的间隔应小于本标准的相关规定，对于本标准没有规定的用户，其间隔应当小于6个月；第三十七条帐号用户必须在管理员要求更改口令时进行更改口令；如果用户拒绝配合，管理员可以在通知用户及其主管后，关闭用户的帐号，以保证系统的安全；第三十八条帐号用户丢失或遗忘口令，必须通过规定的流程向管理员申请初试化口令，用户在接到回执后，应马上更改口令；第三十九条帐号用户要求口令修改的方式必须是可以确保用户身份的，且管理员必须有记录；第四十条管理员不可在没有用户申请的时候私自更改用户帐号的口令，除非单位技

10、术部需要；第四十一条系统的超级管理员帐号的口令属于系统最高机密，应该严格限定使用范围；其他人员确因工作需要而使用超级管理员帐号和口令的，应当向超级管理员帐号和口令的责任人申请口令，并在完成操作后，由责任人更改口令。第九章口令管理要求第四十二条不能将密码口令以纸质介质或明文电子数据保存，不能通过电子邮件传输。第四十三条不能使用缺省设置的密码。第四十四条不能将密码告诉别人。第四十五条如果系统的密码泄漏了，必须立即更改。第四十六条不能共享超级用户的口令，使用用户组或适当的工具如SUo第四十七条所有系统集成商在施工期间设立的缺省密码在系统投入使用之前都要修改。第四十八条密码要以加密形式保存，加密算法强

11、度要高，加密算法要不可逆。第四十九条在输入密码时注意保密。第五十条系统应该强制指定密码的策略，包括密码的最短有效期、最长有效期、最短长度、复杂性等Q第五十一条除了系统管理员外，一般用户不能改变其它用户的口令。第五十二条如果需要特殊用户的口令（比如说UNIX下的Orac1e）,要禁止通过该用户进行交互式登录。第五十三条强制用户在第一次登录后改变口令Q第五十四条在要求较高的情况下可以使用强度更高的认证机制,例如：双因素认证。第五十五条如果可能的话，可以使用自己密码生成器帮助用户选择口令。第五十六条要定时运行密码检查器检查口令强度，对于保存机密和绝密信息的系统应该每周检查一次口令强度；其它系统应该每

12、月检查一次。第十章普通用户责任与义务第五十七条所有用户有义务确保自己的口令的安全，系统帐号与口令不泄漏给他人，同时避免使用弱口令。第五十八条对于使用便携式计算机的用户，应设置开机B1OS口令。第五十九条使用远程登陆的用户，确保不将口令保留在计算机上。第六十条不将信息系统中使用的帐号和口令用于其他个人应用。第六十一条任何人不得公开其本人或他人口令的全部或部分。第六十二条严禁任何人通过任何手段非法取得他人帐号和口令进入系统，对违反者应当进行严厉制裁，直至追究法律责任。第六十三条任何人不得将其帐号的口令告之无权使用此帐号的人，如果用户此种行为导致其他人用此帐号造成对单位信息系统的影响，帐号持有人和造

13、成影响的行为的实施人负有相同的责任。第六十四条严禁任何人利用系统安全漏洞访问其权限之外的资源，一经发现，立即严惩。第十一章系统管理员责任与义务第六十五条确保除匿名帐号外，所有系统用户都必须有口令。第六十六条定期审计，检查系统用户的数量和权限。第六十七条确保系统和网络设备无默认帐号和口令。第六十八条确保关键应用服务器启用口令强制策略。第六十九条对用户进行口令安全培训。第七十条建议同一个管理员在不同主机上使用不同的帐号和口令。第十二章持续改进第七十一条为了保证本策略文件的时效性、可用性，必须根据相关审核规定进行评审和修订，修订后重新发布Q第十三章附则第七十二条本文件由技术部负责制定、解释和修改。第七十三条本文件自发布之日起生效。