信息系统密码管理办法.docx

信息系统密码管理办法
信息系统密码管理办法
信息系统密码管理办法
信息系统密码管理办法
修订记录
版本编号
修订日期
主要修订摘要
审核记录
审核人员
属于部门
审核日期
第一章 总则
密码是验证系统用户身份和权限的常用手段之一，被广泛用于计算机用户及服务权限的识别与认证，，加固系统安全,防止未经授权的访问与操作，特制订本管理办法。
信息系统用户被识别和认证的强度与其访问内容的敏感性和重要性相关。用户可访问和操作的事项越敏感、重要程度越高，,系统级的用户比普通的访问用户的敏感性更高，对其密码的保护强度也越大.
本管理办法适用于公司管辖范围内的各类信息系统的密码设置管理.
第二章　组织机构与职责
信息系统管理部门包括：信息中心和信息系统对口业务部门。信息中心门和对口业务部门在进行信息系统开发和维护时,应充分地考虑通过采用适当的密码策略使系统的各类合法用户的访问能够得到合理和适度的保障。
对于公司的各类信息系统密码设置管理，信息中心应主导信息系统对口业务部门采用适当的密码策略，包括:
在新信息系统开发阶段,必须依据系统访问控制的要求部署强有力的密码策略。
在现行信息系统运营维护阶段，应依据密码安全管理基本要求完善密码管理及使用流程,同时可针对信息安全级别高的系统单独制定高于本策略要求的密码管理制度及规范，以保护公司各类信息资产的安全。
第三章　信息系统密码设置及控制措施
信息系统密码管理办法
信息系统密码管理办法
信息系统密码管理办法
信息系统管理部门包括：信息中心和信息系统对口业务部门。信息中心和对口业务部门在进行信息系统开发和维护时，应充分地考虑通过采用适当的密码策略使系统的各类合法用户的访问能够得到合理和适度的保障.
公司信息系统用户包含内部用户和信息系统外部用户：
信息系统内部用户分为系统级用户和普通级用户，系统级用户是指信息中心和信息系统对口业务部门的系统管理人员;普通级用户为公司各信息系统的内部合法用户。
信息系统外部用户为公司对外提供的各类业务服务系统涉及密码设置和使用的合法客户。
对于各类内部用户,信息系统管理部门在进行用户密码设置和管理时,应在系统中设定密码相关控制措施:
应强制内部用户使用优质密码，并使用监控工具检查密码的强度和长度是否合格：用户密码长度至少含有８个字符，应同时包括字母和非字母字符（数字或特殊字符等).
对于现行重要信息系统,因为信息系统自身限制导致密码强度和长度暂不能达到要求的情况,应在该重要信息系统进行变更或升级换代时满足密码强度和长度的要求，同时对于未能达到要求的事项信息中心应予以记录并归档.
信息系统管理部门应为每位内部系统级用户设定唯一的初始密码，此密码必须唯一，必要时可考虑使用密码生成器生成密码;初始密码在第一次使用后信息系统强制要求变更。
系统应控制登录尝试的频率，密码最多连续输错６次即锁定用户账户，以限制反复尝试密码，锁定时长设定为至少3０分钟或直到系统管理员重新启用该用户账户，对于系统管理员用户必须重置密码。
在重设密码前必须验证确认使用者的身份，例如:在设置新的密码前必须验证旧密码；如果用户遗忘