密码管理制度.docx

GZZD-XX-0371 密码管理制度 下发层级：一级（通用） 发布时间：9月7日 编码：XX-13-28 目录 TOC \o 1-5 \h \z制定目的2 适用范围2 规范事项2 密码创建指引2 密码保护指引2 密码安全级别3 密码安全管理策略实施检查4 考核条款5 附则5 制定目的 基于（以下简称“公司”）的业务需求，为明确信息资产访问控制的基本原则，强化信息资产访问控制措施的选择和实施，结合公司实际，制定本制度。 适用范围 本制度适用公司部门、各分支机构及其员工。 规范事项 一、密码创建指引 （一）本制度所规范使用密码登录的系统和设备，包括但不限于各类服务器、网络设备、安全设备、监控设备、桌面PC机、各类移动设备运行的所有系统。 （二）密码必须是数字、字母、符号三者的组合；避免与系统用户名相同；避免使用公司名称；避免与个人信息有关，如家庭成员姓名、电话、身份证号或生日等；避免使用简单的数字和字母组合，如相同数字或字母、顺序排列或倒序排列等。 二、密码保护指引 （一）公司内部使用的账号密码不要与个人账户所使用的密码一致；不同系统之间，尽可能设置不同的密码； （二）未经允许，不应与任何人分享密码，包括管理员、上下级领导、下级员工、家庭成员等；所有密码视同敏感和保密信息； .严格限制通过电话、邮件、口头、短信等方式向任何人所要或告知密码； .严格限制系统自带的记住密码功能； .严格限制将密码记录下来，并放置在办公室明显位置； 4.所有的系统应强制要求用户在第一次登录后修改初始密码。 三、密码安全级别 根据目前现状，密码等级分为三个等级、分别是低安全级别、中安全级别和高安全级别。 （一）低安全级别密码的最低要求如下： .严格符合密码创建指引； .密码长度不得小于6位； .密码必须定期更换，同一密码连续使用不得超过180天； .不能重复使用前两次的密码。 .中安全级别密码的最低要求如下： .严格符合密码创建指引； .密码长度不得小于8位； .密码必须定期更换，同一密码连续使用不得超过90天； .不能重复使用前五次的密码。 （二）高安全级别密码的最低要求如下： .严格符合密码创建指引； .密码长度不得小于12位； .密码必须定期更换，同一密码连续使用不得超过60天； .不能重复使用前八次的密码； .用户账号密码不得以明文存储和传输； （三）面向互联网的应用系统，禁止将支付密码和登录密码设置为同一密码，执行支付和提现操作，需设置短信验证方式，验证码长度不得小于6位。如因个人原因遗忘账号密码，可通过邮箱或者短信验证方式找回密码。 （四）移动App登录时，除输入用户名/密码以外还需通过第二重认证方式进行，执行支付和提现操作，除通过支付密码进行验证还需设置第二重认证，如使用短信验证方式，则验证码长度不得小于6位，禁止将支付密码和登录密码设置为同一密码。用户未退出App，但是App重新回到前台后应通过二次认证进行用户验证或注销用户。 密码安全级别 适用范围 低 公司个人使用桌面计算机；在功能上无法满足安全级别为中的系统和设备。 中 重要程度为8、C和D的系统；B、C、Dm类系统所涉及的网络设备和安全设备。 高 要程度为A的系统；除A级以外的面向互联网的系统；以上系统所涉及的网络设备和安全设备。 （五）系统级别和重要程度请详见引用文件，如个别系统因版本问题或系统本身问题，可提供系统的不支持相关策略依据，以区别系统本身原因导致的不符合密码策略情况。 .用户账号和密码为个人用户所拥有，任何人不得通过任何途径获取他人的用户账号与口令。个人用户负责自己账号和密码的保密。 .如因个人原因遗忘账号密码，应及时通知相关系统管理员对密码进行初始化，初始化后强制要求用户在第一次登录后修改初始密码。 .公司员工如需设共享文件夹，必须加设密码。 四、密码安全管理策略实施检查 安全管理人员应对所有系统/设备的密码安全管理策略的实施进行抽样检查，如发现任何不合规的密码安全管理策略应及时采取相应的解决措施。 （一）系统运维人员应了解进行有效访问控制的责任，特别是密码使用安全的责任。系统运维人员应保证密码安全，不得向其他任何人泄漏密码，对于因泄漏密码而造成的信息系统的损失，由运维人员本人负责。 （二）当出现以下情况时，必须立即更改密码并做好相关记录： .掌握密码的网络管理人员离开岗位； .因工作需要，由相关厂家或第三方公司人员使用过的账号及密码； .一旦有迹象表明密码可能被泄露。 （三）当发生以下情况时，系统管理员应立即取消账号或修改账号的相应权限，并做好相关记录： .账号使用者已经离职； .账号使用者由于工作的变动不再需要访问权限； .由于工作需要开通的临时账号已到期 .账号使用者违背了有关密码管理规范。 考核条款 严重违反本制度相关条款，造成重大信息安全事件，对公司业务