密码口令使用管理制度
密码口令使用管理制度
第一章总则
第一条为规范XXX信息系统(以下简称“信息系统”)帐号口令管理,保障信息系统安全运行,特制订此制度。
第二条本制度适用于XXX及其指定的信息系统运维单位。
第二章密码使用管理
第三条系统运维人员应了解进行有效访问控制的责任,特别是密码使用安全的责任。
第四条系统运维人员应保证密码安全,不得向其他任何人泄漏密码,对于因泄漏密码而造成的信息系统的损失,由运维人员本人负责。
第五条不要共享个人密码。
第六条应避免在纸上记录密码,或避免将密码以明文方式记录计算机内。
第七条不要在任何自动登录程序中使用密码,如在宏或功能键中存储。
第八条用户忘记密码时,系统管理员必须在对该用户进行适当的身份识别后才能将其密码恢复至默认,并通知用户及时修改默认密码。
第九条常规情况下,用户至少应每隔90天更改一次密码,避免再次使用旧密码或循环使用旧密码。
第十条允许用户选择和变更他们自己的密码,并且包括确认程序,以便考虑到输入出错的情况。
第十一条密码录入时,在屏幕上应不显示明文。
第三章密码使用要求
第十二条密码应在90天内至少更换一次,,包括网络设备用户密码、操作系统用户密码、数据库用户密码和应用程序用户密码等。
第十三条密码设置规则应符合以下安全强度的要求:
(一)不包含全部或部分用户名(任意连续3个字符);
(二)长度至少为8个字符;
(三)至少包含英文大写字母、小写字母、数字和特殊字符这4种类型字符中的3种字符。
第十四条密码设置不得使用最近5次以内重复的口令;密码重复尝试5次以后应暂停该帐号登录。
第十五条各级密码保管落实到人,密码所有人须妥善保存,各级密码不得以任何形式明文存放于可公共访问的设备中。
第十六条采取有效措施,保证用户密码在传输和存储时的安全,例如对密码进行加密传输和保存。
第十七条及时更改系统或者应用的默认厂商口令。
第十八条当出现以下情况时,必须立即更改密码并做好相关记录:
(一)掌握密码的网络管理人员离开岗位;
(二)因工作需要,由相关厂家或第三方公司人员使用过的帐号及密码;
(三)一旦有迹象表明密码可能被泄露。
第十九条当发生以下情况时,系统管理员应立即取消帐号或修改账号的相应权限,并做好相关记录:
(一)帐号使用者已经离职;
(二)帐号使用者由于工作的变动不再需要访问权限;
(三)由于工作需要开通的临时帐号已到期
(四)帐号使用者违背了有关密码管理规定;
(五)发生其他情况,上级主管人员认为不应再具有访问权限的;
第二十条系统管理员修改帐号密码时,应提前(或同时)通知帐号使用人,以免影响其正常使用。
第二十一条网络设备、操作系统、数据库和应用程序的超级管理员帐号的密码属于系统最高机密,应该严格限定使用范围,并要纸质密封交专人保管。
第二十二条由于工作需要,给第三方人员开通的临时帐号同样需要遵守“最小权限原则”。
第四章附则
第二十三条本制度由信息安全部制定,并负责解释和修订。由信息安全工作组讨论通过,发布执行。
第二十四条本制度自发布之日起生效。
办公密码管理制度.doc
办公密码管理制度1 办公密码管理制度 一、总则 1.目的 为规范本公司办公密码的使用并确保其安全,特制定本制度。2.适用范围 适用于全体员工。 本公司办公密码包括以下五种类型: 1)办公系统管理密码 如:社保系统管理密码、BASSMAIL系统管理密码、财务系统管理密码等电脑开机密码—— 2)财务相关密码 如:保险箱密码、存折密码、U盾密码等 3)其他密码 如:招聘网站密码 二、办公密码管理细则 1.办公密码保管/借用 1)办公密码涉及公司机密文件及资料,各部门办公密码使用人妥善
管理自己使用的办公设备/系统密码,保管人员直接上级/部门负责人必须随时了解所管辖员工保管密码的更新情况。 2)若其他人员因工作需要使用到自己保管的密码,须经部门负责人 同意后才可将密码提供他人使用。在相关人员使用密码后的一个工作日内,须及时对密码进行修改,并及时填写《办公密码变更 登记表》申报更改。 2.电脑开机密码设置 除以下可设置开机密码的岗位以及总经理特批的情况以外,其他人员不得随意设置电脑开机密码。 注:*表示必须设置开机密码。 3.办公密码变更申报 1)需使用《办公密码变更登记表》申报变更的情况包括以下七种: ①更改密码、②更改使用人、③更换密码并更改使用人、④增加 备案人、⑤增加使用人、⑥新增密码、⑦其他。 2)申报负责人:一般情况下,办公密码变更申报由密码保管人(即 使用人)负责。如因人员离职/调动/休长假需变更密码,由员工直接上级进行申报。 3)申报时间:密码产生变更后一个工作日内。 4.办公密码登记备案
1)密码备案人(一般为部门经理、总监)负责备案管辖员工办公密 码,及时更新《办公密码设置登记表》。公司总经理备案公司所有人员的密码,各(项目部)部门负责人需备案管辖区域/部门所有人员的密码; 2)公司各员工如因工作需要需备案其他部门密码,应提前向相关部 门负责人申请,经过批准后才可进行密码的备案。 3)密码备案人接收密码保管人因密码变更而进行的《办公密码变更 登记表》申报时,须及时向相关人员核实确定密码变更情况,并 更新登记《办公密码设置登记表》。 4)综合管理中心负责存档备案公司部门《办公密码设置登记表》。 三、办公密码季度检查规定 1.本公司例行办公密码检查时间为每季度最后一月的28日-30日, 并根据总经理要求随时进行抽查。 2.办公密码检查工作由总经理指定人员进行。 3.办公密码检查工作关系到公司各类文件、资料的安全保密,检查 人需严肃认真对待,发现差异须如实记录并及时向相关部门汇报,不得推脱隐瞒或知情不报。检查人不得利用职务之便询问/打探办公密码。 四、办公密码管理工作各相关部门职责 1.项目部、各部门办公密码使用人
信息系统帐号管理系统规章制度
信息系统帐号管理制度 第一节总则 第一条为加强用户帐号管理,规范公司信息系统用户帐号的使用,确保用户帐号的安全性,特制定本制度。 第二条本制度中系统帐号是指应用层面及系统层面(操作系统、数据库、防火墙及其它网络设备)的用户帐号。 第三条用户帐号申请、审批及设置由不同人员负责。 第四条系统拥有部门负责建立《岗位权限对照表》(附件六)。 第五条本制度适用于公司总部和各分、子公司(含郑州研究院)。 第二节普通帐号管理 第六条申请人使用统一而规范的《帐号/权限申请表》(附件七)提出用户帐号创建、修改、删除/禁用等申请。 第七条帐号申请人所属部门负责人及系统拥有部门负责人根据《岗位权限对照表》对应用层面的普通用户帐号申请进行审批。 第八条信息部负责人根据《岗位权限对照表》对系统层面的普通用户帐号申请进行审批。 第九条帐号管理人员建立各种帐号的文档记录,记录用户帐号的相关信息,并在帐号变动时同时更新此记录,具体内容见《用户帐号记录》(附 件八)。具体流程参见《普通帐号管理流程》(附件一)。 第三节特权帐号和超级用户帐号管理 第十条特权帐号指在系统中有专用权限的帐号,如备份帐号、权限管理帐号、系统维护帐号等。超级用户帐号指系统中最高权限帐号,如root 等管理员帐号。
号。 第十二条信息部每季度查看系统日志,监督特权帐号和超级用户帐号使用情况。 第十三条尽量避免特权帐号和超级用户帐号的临时使用,确需使用时必须履行正规的申请及审批流程,并保留相应的文档。 第十四条临时使用超级用户帐号必须有监督人员在场记录其工作内容。 第十五条超级用户帐号临时使用完毕后,帐号管理人员立即更改帐号密码。 具体流程参见《特权帐号和超级用户帐号管理流程》(附件二)。 第四节临时帐号管理 第十六条使用临时帐号时(如内外部审计人员、临时岗位调动人员),须填写统一的《帐号/权限申请表》(附件七)。 第十七条帐号申请人所属部门负责人及系统拥有部门负责人根据《岗位权限对照表》对应用层面的临时用户帐号申请进行审批。 第十八条信息部负责人根据《岗位权限对照表》对系统层面的临时用户帐号申请进行审批。 第十九条帐号管理人员负责临时帐号的建立和记录。 第二十条临时帐号使用完毕后,申请人及时通知帐号管理人员注销临时帐号。 具体流程参见《临时访问帐号管理流程》(附件三)。 第五节紧急帐号管理 第二十一条根据紧急事件的等级建立相应权限的紧急帐号,专门处理紧急事件。第二十二条帐号管理人员负责紧急帐号的下发和记录。 第二十三条紧急帐号使用人员必须在事件处理完毕后补办相关手续。 第二十四条紧急帐号使用完毕后,紧急帐号使用人员及时通知帐号管理人员禁
账号权限及密码管理制度
账号权限及密码管理制度 一、账号权限管理 1.做好系统管理员、业务管理员的备案;同时做好系统用户备案管理。 2.业务管理员需定期检查相关系统的账号权限分配情况,确保落实权限最小 化原则。角色分配应与岗位需求吻合,避免功能扩大。同一账户被赋角色 不得存在功能互相矛盾、嵌套情况。严格控制隐私信息查询、浏览、导出 权限。 3.限制超级账号的使用,并做好相应的使用审计工作。 4.业务管理员应及时解除无用账号相应权限,系统管理员应定期检查并禁用 或注销无用账号。 二、密码产品 1.使用符合国家密码管理规定的密码技术和产品。 2.密码算法和密钥的使用符合国家密码管理规定。 三、密码的设置 1.服务器的密码,由安全管理员和系统管理员商议确定,必须两人同时在场 设定。 2.服务器的密码须安全管理员在场时要由系统管理员记录封存。 3.密码内容设置规则:必须由数字、字符和特殊字符组成;密码长度不能少 于8个字符;机密级计算机设置的密码长度不得少于10个字符;设置密 码时应尽量避开有规律、易破译的数字或字符组合作为自己的密码。 4.密码要定期更换:一般重要设备密码更换周期不得多于180天; 四、密码和口令的保存 1.服务器设置的用户密码由系统管理员自行保存,严禁将自用密码转告他人; 若工作需要必须转告,应请示上级领导批示;非系统管理员使用密码完成 工作后,系统管理员应该及时更改密码,保证密码安全。 2.服务器所有设置的用户密码须登记造册,由系统管理员管理保存,并将备 案记录交于网络管理中心负责人封存。 3.密码更换后系统管理员需将新密码或口令记录登记封存。 4.如发现密码有泄密迹象或黑客入侵,系统管理员要立刻报告网络管理中心 负责人,网络管理中心负责人应及时与系统管理员商定修改密码,并严查
信息系统密码管理规定
信息系统密码管理规定 第一条为了加强风险管理,强化保密工作,提高公司信息系统得安全性,保障信息系统得正常运行以及业务 数据安全,防止黑客攻击与用户越权访问,防止 公司重要信息得丢失、泄漏与破坏,建立科学、规 范得信息系统密码管理规范,特制定本规定。 第二条本制度所指信息系统密码,包括以下几种类型: 1.公司所有业务系统普通用户密码(包括NC、即时通 讯、上网行为、邮箱、视频会议等业务登录密码); 2.公司所有业务系统权限管理员与系统运维管理员密 码(包括业务系统、网站系统、邮箱系统、安全审计 系统、备份系统、虚拟化系统、防病毒安全系统、 视频会议系统、存储系统等后台管理密码); 3.应用服务器管理密码(包括运行业务系统服务器、 网站服务器、邮件服务器、安全审计系统服务器、 备份系统服务器、虚拟化系统服务器、防病毒安全 系统服务器、存储设备等登录密码); 4.系统数据库管理员密码; 5.其她网络应用及网络系统(路由器、交换机、上网行 为、VPN等)管理员密码; 第三条应用系统服务器、数据库、网络系统,自身包含有完整得多级权限管理体系。这些系统得最高权限 分配得其她权限得密码,也需遵守本规定; 第四条公司业务系统普通用户得密码设置规范要求如下:
1.密码长度不得低于6位; 2.密码必须包含字母(a-z,A—Z)、数字(0-9)、 特殊字符(!#$%^&*)中得两种; 3.密码必须6个月更换一次,并且新密码不得与原密 码相同; 第五条对以下密码: 1.司所有业务系统权限管理员与系统运维管理员密 码; 2.应用服务器管理密码; 3.系统数据库管理员密码; 4.其她网络应用及网络系统管理员密码; 其设置规范,应符合以下要求: 1.密码不得低于8位; 2.密码必须包含大小写字母、数字及特殊符号; 3.密码必须每3个月更换一次,并且新密码不得与原 密码相同; 第六条信息系统密码设置规范得系统控制: 1.应用系统应控制密码得有效期,通过设置,强行要求 用户定期进行密码修改,减少密码被盗用得可能性; 2.用户密码唱得与编码规则限制。强行要求用户密码 符合长度与复杂性要求; 3.系统控制第一次登陆后必须马上更改初始密码; 4.设置用户密码输入错误次数.再密码错误输入三次 后,系统锁定登录用户。用火狐必须通知信息化部
信息系统帐户密码管理规定
信息系统帐户密码管理规 定 This model paper was revised by the Standardization Office on December 10, 2020
信息 账 户、密码管理规定 1.目的: 为进一步加强与规范公司信息系统帐户、密码的管理,提高信息系统的安全性,避免 信息系统权限的滥用以及机密信息的泄漏,特制定本规定。 2.范围: 适用范围:本制度适用于国美电器有限公司信息系统平台上所使用的全部操作系统、应 用系统(包括但不限于邮件系统、OA系统、HR系统、NC系统、ERP系统等)以及各类网 络设备必须遵守本条例的规定。 发布范围:国美电器总部各中心、各大区所有人员。 3.名词解释: 信息系统帐户、密码:特指国美电器有限公司信息系统中所使用的各类用于系统身份识 别的账户及密码。 4.职责: 总部信息中心及分部IT部门: 总部信息中心负责规划和制定信息系统帐户、密码管理的相关流程和制度。 总部信息中心及分部IT部门负责信息系统帐户、密码的初始化生成。
总部信息中心信息安全部负责的制度的执行情况进行检查与监督。 其他部门及全体员工: 负责员工个人的系统帐户、密码的使用及管理,并对该帐户的所有行为负责。 5. 管理制度: 帐户、密码的管理: 信息管理中心信息安全部负责制定并管理信息系统账户密码管理制度、策略及具体落实。 信息系统账户、密码分为管理员账户、密码以及普通用户账户、密码两类。总部信息管理中心负责信息系统账户的命名、建立、分发以及初始密码的设置;信息管理中心信息安全部将负责对执行情况进行监督与复核。 总部信息管理中心授权各分公司、事业部系统部负责辖区内信息系统账户命名、建立以及分发工作,但必须遵守本条例的规定;总部信息管理中心信息安全部将进行不定期审计。 账户、密码的使用及维护: 网络设备、服务器设备以及应用系统的管理员账户(超级用户)由信息管理中心统一制定与分发,并授权相应的系统管理人员使用与维护,但必须遵守本条例的相关规定以及其他相关安全制度的要求,确保其安全性。 系统管理员账户(超级用户)的使用范围授权严格受限,所有系统中必须开启超级用户的使用日志审计功能。
密码使用管理规定
密码使用管理规定 Prepared on 22 November 2020
密码管理制度 一、目的 为确保本单位网络和信息系统的安全平稳运行,保障数据信息安全,特制订此管理制度。 二、适用范围 本制度适用本单位所有工作人员。 三、管理规定 1、本单位计算机登陆帐号、密码管理工作由技术部负责。 2、本管理制度所称的帐号、密码,是指登陆各应用系统、网络设备等各类 计算机软件、硬件系统的用户名和密码。 3、所有人必须提高安全认识,帐号和密码由用户自行保留,不得泄漏或转 借他人使用,不得借用他人帐号;不得利用帐号、密码从事破坏计算机软件系统、硬件系统的活动。 4、各类帐号的密码设置使用如下规则: 、密码字应超过8个字符; 、密码字应由字母和数字组成,重要帐号不要使用仅由字母或者数字组成的口令字; 、避免使用姓名、生日以及其他常用的密码; 5、对网络管理员、系统管理员和系统操作员所用密码需部门负责人在场时 由系统管理员记录封存,由技术部负责保存。
6、技术部有权力检查封存密码的有效性。检查时须由部门负责人启封,并由系统管理员登陆验证。 7、密码及口令要定期更换(视网络具体情况),口令更换周期不得长于三个月,更换后系统管理员要销毁原记录,将新密码或口令记录封存。 8、如发现密码及口令有泄密现象,系统管理员要立刻报告技术部负责人,同时要保护好现场并记录,需接到上级批示后再更换密码和口令。 9、遇到安全问题时,及时汇报上级领导,采取措施及时解决。 10、任何人不得利用各种网络设备或软件技术从事用户帐户及密码的侦听、盗用活动,该活动被认为是对网络用户权益的侵犯。 11、网络管理员、系统管理员、操作员调离岗位后一小时内由部门负责人监督检查更换新的密码; 12、侦听、盗用行为一经查实,将提请给予行政处分;行为恶劣、影响面大、造成重大损失的,依法交由公安部门处理。
信息系统信息设备和保密设施设备管理制度
信息系统、信息设备和保密设施设备管理制度 1.信息系统、信息设备和保密设施设备管理总则 1)为了加强公司涉密计算机信息系统、信息设备的保密管理,防止和杜绝失泄密事件的发生,确保国家秘密安全,根据《中华人民共和国保守国家秘密法》、《保密工作概论》、《保密法规汇编》等国家有关规定,结合公司实际,特制定本制度。 2)公司涉密计算机信息系统为单机涉密计算机信息系统,保密管理实行“控制源头、归口管理、逐级负责、确保安全”的原则。 3)本规定适用于使用公司涉密计算机信息系统的部门和个人。 4)本制度所称涉密计算机是指公司所属各部门按照本规定明确的程序,经过申报、登记、审定,并在公司保密办公室备案的计算机。信息系统是由计算机及其配套设备、设施构成,按照一定的应用目标和规则存储、处理、传输信息的系统或网络。信息设备是指计算机及其存储介质、打印机、传真机、复印机、扫描仪、照相机、摄像机等具有信息存储和处理功能的设备。 2.责任分工 1)公司技术部经理负责涉密信息系统、信息设备的保密安全管理工作。涉密信息系统、信息设备的使用部门指定专人负责本部门计算机信息系统安全保密管理,对本部门涉密信息系统的安全保密负主要责任。 2)公司保密办公室负责公司涉密信息系统、信息设备安全保密工作的指导、协调、监督、检查以及对失泄密事件的查处。 3)公司保密办公室设密钥管理员负责公司涉密信息系统、信息设备内部密码(密钥)的生成、分配和保密管理工作。 4)公司各涉密部门需设系统管理员、安全保密员,按有关保密规定和要求负责公司涉密计算机的管理及其设备的日常维护和维修工作,具体落实有关涉密计算机、信息设备的安全保密管理规定和措施。 3.涉密计算机的确定及变更 1)公司涉密计算机实行申报登记制度。凡涉及国家秘密的单位拟用于处理国家秘密信息的计算机、涉密信息系统必须经过申报、登记、审定,并在公司保密
系统用户及权限管理制度
航开发系统用户账号及权限管理制度 第一章总则 第一条 航开发系统用户的管理包括系统用户ID的命名;用户ID的主数据的建立;用户ID的增加、修改;用户ID的终止;用户密码的修改;用户ID的锁定和解锁;临时用户的管理;应急用户的管理;用户ID的安全管理等。 第二章管理要求 第二条 航开发系统管理员(以下简称系统管理员)在系统中不得任意增加、修改、删除用户ID,必须根据《系统用户账号申请及权限审批表》和相关领导签字审批才能进行相应操作,并将相关文档存档。 第三条 用户ID的持有人特别是共享的用户ID必须保证用户ID和用户密码的保密和安全,不得对外泄漏,防止非此用户ID的所有者登录系统。 第四条 用户管理员要定期检查系统内用户使用情况,防止非法授权用户恶意登录系统,保证系统的安全。 第五条 用户ID持有人要对其在系统内的行为负责,各部门领导要对本部门用户的行为负责。
第六条 用户ID的命名由系统管理员执行,用户ID命名应遵循用户ID的命名规则,不得随意命名。 第七条 用户ID主数据库的建立应保证准确、完整和统一,在用户ID发生改变时,用户管理员应及时保证主数据库的更新,并做好用户ID变更的归档工作。 第八条 对用户申请表等相关文档各申请部门的用户管理员必须存档,不得遗失。 第九条 公司NC-ERP系统中各部门必须明确一名运维管理人员负责本部门用户管理、权限管理及基础数据维护等相关工作。 第三章增加、修改用户ID的管理第十条 公司NC-ERP系统中增加、修改用户ID应符合下列情况之一: 1、因工作需要新增或修改用户ID; 2、用户ID持有人改变; 3、用户ID封存、冻结、解冻; 4、单位或部门合并、分离、撤消; 5、岗位重新设置; 6、其他需要增加或修改公司NC-ERP系统中用户ID的情况。 第十一条
办公密码管理制度
办公密码管理制度 一、总则 1.目的 为规范本公司办公密码的使用并确保其安全,特制定本制度。2.适用范围 适用于全体员工。 本公司办公密码包括以下五种类型: 1)办公系统管理密码 如:社保系统管理密码、BASSMAIL系统管理密码、财务系统管理密码等电脑开机密码—— 2)财务相关密码 如:保险箱密码、存折密码、U盾密码等 3)其他密码 如:招聘网站密码 二、办公密码管理细则 1.办公密码保管/借用 1)办公密码涉及公司机密文件及资料,各部门办公密码使用人妥善 管理自己使用的办公设备/系统密码,保管人员直接上级/部门负责人必须随时了解所管辖员工保管密码的更新情况。 2)若其他人员因工作需要使用到自己保管的密码,须经部门负责人 同意后才可将密码提供他人使用。在相关人员使用密码后的一个工作日内,须及时对密码进行修改,并及时填写《办公密码变更
登记表》申报更改。 2.电脑开机密码设置 除以下可设置开机密码的岗位以及总经理特批的情况以外,其他人员不得随意设置电脑开机密码。 注:*表示必须设置开机密码。 3.办公密码变更申报 1)需使用《办公密码变更登记表》申报变更的情况包括以下七种: ①更改密码、②更改使用人、③更换密码并更改使用人、④增加 备案人、⑤增加使用人、⑥新增密码、⑦其他。 2)申报负责人:一般情况下,办公密码变更申报由密码保管人(即 使用人)负责。如因人员离职/调动/休长假需变更密码,由员工直接上级进行申报。 3)申报时间:密码产生变更后一个工作日内。 4.办公密码登记备案 1)密码备案人(一般为部门经理、总监)负责备案管辖员工办公密 码,及时更新《办公密码设置登记表》。公司总经理备案公司所有人员的密码,各(项目部)部门负责人需备案管辖区域/部门所有人员的密码; 2)公司各员工如因工作需要需备案其他部门密码,应提前向相关部 门负责人申请,经过批准后才可进行密码的备案。 3)密码备案人接收密码保管人因密码变更而进行的《办公密码变更 登记表》申报时,须及时向相关人员核实确定密码变更情况,并
密码使用管理规定
密码使用管理规定集团公司文件内部编码:(TTT-UUTT-MMYB-URTTY-ITTLTY-
密码管理制度 一、目的 为确保本单位网络和信息系统的安全平稳运行,保障数据信息安全,特制订此管理制度。 二、适用范围 本制度适用本单位所有工作人员。 三、管理规定 1、本单位计算机登陆帐号、密码管理工作由技术部负责。 2、本管理制度所称的帐号、密码,是指登陆各应用系统、网络设备等各类计算机软 件、硬件系统的用户名和密码。 3、所有人必须提高安全认识,帐号和密码由用户自行保留,不得泄漏或转借他人使 用,不得借用他人帐号;不得利用帐号、密码从事破坏计算机软件系统、硬件系统的活动。 4、各类帐号的密码设置使用如下规则: 4.1、密码字应超过8个字符; 4.2、密码字应由字母和数字组成,重要帐号不要使用仅由字母或者数字组成的口令 字; 4.3、避免使用姓名、生日以及其他常用的密码; 5、对网络管理员、系统管理员和系统操作员所用密码需部门负责人在场时由系统管 理员记录封存,由技术部负责保存。 6、技术部有权力检查封存密码的有效性。检查时须由部门负责人启封,并由系统管 理员登陆验证。
7、密码及口令要定期更换(视网络具体情况),口令更换周期不得长于三个月,更换后系统管理员要销毁原记录,将新密码或口令记录封存。 8、如发现密码及口令有泄密现象,系统管理员要立刻报告技术部负责人,同时要保护好现场并记录,需接到上级批示后再更换密码和口令。 9、遇到安全问题时,及时汇报上级领导,采取措施及时解决。 10、任何人不得利用各种网络设备或软件技术从事用户帐户及密码的侦听、盗用活动,该活动被认为是对网络用户权益的侵犯。 11、网络管理员、系统管理员、操作员调离岗位后一小时内由部门负责人监督检查更换新的密码; 12、侦听、盗用行为一经查实,将提请给予行政处分;行为恶劣、影响面大、造成重大损失的,依法交由公安部门处理。
信息系统密码管理规定
信息系统密码管理规定
信息系统密码管理规定
信息系统密码管理规定 第一条为了加强风险管理,强化保密工作,提高公司信息系统的安全性,保障信息系统的正常运行以及业 务数据安全,防止黑客攻击和用户越权访问,防 止公司重要信息的丢失、泄漏和破坏,建立科学、 规范的信息系统密码管理规范,特制定本规定。第二条本制度所指信息系统密码,包括以下几种类型:1.公司所有业务系统普通用户密码(包括NC、即时通讯、 上网行为、邮箱、视频会议等业务登录密码);2.公司所有业务系统权限管理员和系统运维管理员密码 (包括业务系统、网站系统、邮箱系统、安全审 计系统、备份系统、虚拟化系统、防病毒安全系 统、视频会议系统、存储系统等后台管理密码); 3.应用服务器管理密码(包括运行业务系统服务器、网 站服务器、邮件服务器、安全审计系统服务器、 备份系统服务器、虚拟化系统服务器、防病毒安 全系统服务器、存储设备等登录密码); 4.系统数据库管理员密码; 5.其他网络应用及网络系统(路由器、交换机、上网行 为、VPN等)管理员密码; 第三条应用系统服务器、数据库、网络系统,自身包含有完整的多级权限管理体系。这些系统的最高权限 分配的其他权限的密码,也需遵守本规定;
第四条公司业务系统普通用户的密码设置规范要求如下: 1.密码长度不得低于6位; 2.密码必须包含字母(a-z,A-Z)、数字(0-9)、特殊字 符(!@#$%^&*)中的两种; 3.密码必须6个月更换一次,并且新密码不得与原密码 相同; 第五条对以下密码: 1.司所有业务系统权限管理员和系统运维管理员密码; 2.应用服务器管理密码; 3.系统数据库管理员密码; 4.其他网络应用及网络系统管理员密码; 其设置规范,应符合以下要求: 1.密码不得低于8位; 2.密码必须包含大小写字母、数字及特殊符号; 3.密码必须每3个月更换一次,并且新密码不得与原密 码相同; 第六条信息系统密码设置规范的系统控制: 1.应用系统应控制密码的有效期,通过设置,强行要求 用户定期进行密码修改,减少密码被盗用的可能 性; 2.用户密码唱的和编码规则限制。强行要求用户密码符 合长度和复杂性要求; 3.系统控制第一次登陆后必须马上更改初始密码; 4.设置用户密码输入错误次数。再密码错误输入三次后,
银行用户口令管理规定
新民市农村信用社计算机系统用户口令(密码)安全管理规定 第一章总则 第一条为加强我县计算机系统用户口令(密码)的安全管理,提高我县计算机系统用户口令(密码)安全管理规范化、制度化水平,完善信息安全管理体系,结合我县计算机系统用户口令(密码)安全管理的实际情况,特制定本规定。 第二条新民联社及其所属各级营业网点的计算机系统用户口令(密码)的安全管理适用本规定。本规定不包括我县应用系统中客户口令的安全管理,对于客户口令的安全管理应遵照执行相关规定。 第三条本规定所称计算机系统用户口令(密码)是指在登录计算机系统过程中,用于验证用户身份的字符串,以下简称计算机系统用户口令。计算机系统用户口令主要为静态口令。静态口令一般是指在一段时间内有效,需要用户记忆保管的口令。计算机系统用户口令主要包括:主机系统(此项口令管理仅指联社办公网络的主机系统)、网络设备、综合业务系统、安全设备、办公计算机系统用户口令等系统用户口令; 第四条计算机系统用户口令的安全管理遵照统一规范、重在意识、技术控制与管理措施相结合的原则。 1 第五条计算机系统用户口令持有人应保证口令的保密性,不应将口令记录在未妥善保管的笔记本以及其他纸介质中(密码信封除外),严禁将口令放臵在办公桌面或贴在计算机机箱、终端屏幕上,同时严禁将计算机系统用户口令借给他人使用,任何情况下不应泄漏计算机系统用户口令,一旦发现或怀疑计算机系统用户口令泄漏,应立即更换。 第六条计算机系统用户口令必须加密存储计算机系统中,严禁在网络上明文传输计算机系统用户口令,在用户输入口令时,严禁在屏幕上显示口令明文,严禁计算机信息系统输出口令明文(密码信封除外)。
密码管理制度
文档 . 密码管理制度 为进一步加强密码设备的管理、及时、妥善处置突发性涉密问题,防止失、泄密事件的发生,根据《保密法》和上级行有关规定,制定本办法。 一、组织机构 成立密码设备管理委员会,负责对密码设备管理工作的领导。 二、委员会职责 1、及时召开会议学习上级有关密码设备管理工作的文件,总结研究部署密码设备管理工作。 2、定期或不定期对密码设备的使用情况、管理工作开展情况进行检查,查找隐患、堵塞漏洞、防范风险,确保密码设备的绝对安全和正常运行。 3、加强密码队伍建设,加强密码设备管理人员的政治思想教育和保密意识教育,定期地向全局干部职工进行遵纪守法和职业道德教育,努力做到不出现失、泄密事故。 三、具体要求 1、涉密部门应由专人保管密码设备,做到责任到人。 2、涉密部门应严格执行保密规定,履行密码设备使用手续,按规定权限使用设备,注意保密。 3、涉密部门应加强对密码设备、密押印文及一切有关国家机密文件、电报、函件、资料、统计数字的保密,严禁携带回家或在外出时对外泄露。 4、当密码设备发生技术故障时,设备所属部门应及时与密码设备管理委员会报告,委员会将应及时报告上级行进行设备维修或更换。 5、涉密部门发生密码设备丢失、密码设备被盗失控、密码丢失、密码被窃失控可能造成国家损失的紧急涉密事件发生时,应立即、及时将情况上报密码设备管理委员会,支行密码设备管理委员会通过检查现场、询问相关人员等方式及时查清情况,并报上级主管单位。 6、本办法所指密码设备为密押机、密押卡、带有转字密码的保险库(箱)、涉及使用密码的电子计算机设备等。 7、本办法所指涉密部门为拥有、使用密码设备的部门。
账号密码及权限管理制度
XXXX公司 账号密码及权限管理制度 1总则 1.1 目的 为加强公司信息系统账号和密码管理,通过控制用户密码、权限,实现控制访问权限分配,防止对公司网络的非授权访问,特制订本管理办法。 1.2 范围 所有使用本公司网络信息系统的人员。 1.3 职责 公司所有使用信息系统的人员均需遵守本管理办法规定。行政部网络工程人员负责建立账号和密码管理的规范并推动执行、审核和检查落地执行情况。 1.4 术语和定义 内部网络:是指在本公司内部所有客户端等组成的局域网。包括但不限于OA 系统以及数据库系统等。 2控制内容 1.1 用户注册 ?新用户必须加入域,否则不允许入网。 ?域用户账号由网络管理员在该用户上岗使用公司网络系统前建立,命名 原则为职工工号。
?一自然人对应一个系统账号,以便将用户与其操作联系起来,使用户对 其操作行为负责。 ?用户因工作变更或离开公司时,管理员要及时取消或者锁定该用户所有 账号,对于无法锁定或者删除的用户账号采用更改密码等相应的措施规 避风险。 ?系统管理员应定期检查并取消多余的用户账号。 1.2 权限管理 ?行政部系统管理员负责分配新用户系统权限,负责审批用户权限变更申 请是否与信息安全策略相违背。 ?特权用户必须按授权程序通过系统等部门主管批准,才可给予相应的权 限。 ?系统管理员应保留所有特权用户的授权程序与记录。 ?权限设定要明细化,尽可能减少因拥有的权限化分较粗带来的不正当信 息访问或误操作等现象的发生。若某些权限无法细分,则需加强对用户 的单独监控。 ?只有工作需要的信息访问要求,才可授权。每个人分配的权限以完成本 岗位工作最低标准为准。 ?系统管理员对分配的所有权限记录进行维护。不符合授权程序,则不授 予权限。 ?对于本公司外的用户,需要访问本公司内部资源时,需要由用户的接待 者申请为其办理授审批程序。 1.3 密码的选择 密码的选择应参考以下规则:
公司计算机系统用户口令(密码)安全管理规定
公司计算机系统用户口令(密码)安全管理规定第一章总则第一条为加强公司计算机系统用户口令(密码)的安全管理,提高计算机系统用户口令(密码)安全管理规范化、制度化水平,完善信息安全管理体系,特制定本规定。 第二条公司、各下属子公司的计算机系统用户口令(密码)的安全管理适用本规定。 本规定不包括应用系统客户口令管理和用于保护文件共享等非登录计算机系统用户的口令管理。 第三条本规定所称计算机系统用户口令(密码)是指在登录计算机系统过程中,用于验证用户身份的字符串,以下简称计算机系统用户口令。 计算机系统用户口令主要为静态口令、动态口令等。 静态口令一般是指在一段时间内有效,需要用户记忆保管的口令。 动态口令一般是指根据动态机制生成的、一次有效的口令。 计算机系统用户口令主要包括: 主机系统(数据库系统)、网络设备、安全设备等系统用户口令;前端计算机系统用户口令;应用系统用户口令;桌面计算机系统用户口令。 第四条计算机系统用户口令的安全管理遵照统一规范、重在意识、技术控制与管理措施相结合的原则。 第五条计算机系统用户口令持有人应保证口令的保密性,不应将口令记录在未妥善保管的笔记本以及其他纸质介质中(密码信封除外),严禁将口令放置在办公桌面或贴在计算机机箱、终端屏幕上,同时严禁将计算机系统用户口令借给他人使用,任何情况下不应泄漏计算机系统用户口令,一旦发现或怀疑计算机系统用户口令泄漏,应立即更换。 第六条计算机系统用户口令必须加密存储计算机系统中,严禁在网络上明文传输计算机系统用户口令,在用户输入口令时,严禁在屏幕上显示口令明文,严禁计算机信息系统输出口令明文(密码信封除外)。 第七条计算机系统用户口令持有人应保证口令具有较高安全性。
办公密码管理制度
第一章总则 第一条目的 为规范本公司办公密码的使用并确保其安全,特制定本制度。 第二条适用范围 适用于全体员工。 第三条办公密码的分类 本公司办公密码包括以下五种类型: 第二章办公密码管理细则 第四条办公密码保管/借用 1、办公密码涉及公司机密文件及资料,各部门办公密码使用人妥善管理自己使用的办公设备/系统密码,保管人员直接上级主管/经理必须随时了解所管辖员工保管密码的更新情况。 2、若其他人员因工作需要使用到自己保管的密码,须经部门主管同意后才可将密码提供他人使用。在相关人员使用密码后的一个工作日内,须及时对密码进行修改,并及时填写OA流《办公密码变更登记表》申报更改。 第五条电脑开机密码设置 除以下可设置开机密码的岗位外以及行政部经理特批的情况以外,其他人员不得随意设置电脑开机密码。
第六条办公密码变更申报 1、需使用OA流《办公密码变更登记表》申报变更的情况包括以下七种:①更改密码、②更改使用人、 ③更换密码并更改使用人、④增加备案人、⑤增加使用人、⑥新增密码、⑦其他。 2、申报负责人:一般情况下,办公密码变更OA申报由密码保管人(即使用人)负责。如因人员离职/调动/休长假需变更密码,由员工直接上级进行OA申报。办公室主任负责进行店面办公密码变更OA申报。 3、申报时间:密码产生变更后一个工作日内。 第七条办公密码登记备案 1、密码备案人(一般为部门主管、经理)根据《各岗位人员密码设置对照表》(附件四)的要求,负责备案管辖员工办公密码,及时更新《办公密码设置登记表》。一般情况下,行政经理/部门经理需备案管辖区域/部门所有人员的密码;部门主管只备案本科室各人员的密码。 2、公司各员工如因工作需要需备案其他部门密码,应提前通过公Q向相关部门经理申请,经过批准后才可进行密码的备案。 3、密码备案人接收密码保管人因密码变更而进行的OA流《办公密码变更登记表》申报时,须及时向相关人员核实确定密码变更情况,并更新登记《办公密码设置登记表》。 4、行政管理科负责存档备案各区域/部门《办公密码设置登记表》。 第三章办公密码季度检查规定 第八条本公司例行办公密码检查时间为每年3、6、9、12月28日-30日。 第九条行政文秘/行政会计负责季度办公密码检查工作,如因文秘需看管前台,店面办公密码季度检查工作可由办公室主任开展。 第十条检查出纳所保管的存折密码可由办公室主任/行政助理不定期进行,一般在出纳需到银行取款时随同前往,只需检查出纳是否记得该存折密码,不需了解密码的具体内容。 第十一条办公密码检查工作关系到公司各类文件、资料的安全保密,检查人需严肃认真对待,发现差异须如实记录并及时向相关部门汇报,不得推脱隐瞒或知情不报。检查人不得利用职务之便询问/打探办公密码。 第四章办公密码管理工作各相关部门职责 第十二条店面、办公密码使用人
信息系统帐户密码管理规定
信息 账 户、密码管理规定 1.目的: 为进一步加强与规范公司信息系统帐户、密码的管理,提高信息系统的安全性,避免 信息系统权限的滥用以及机密信息的泄漏,特制定本规定。 2.范围: 2.1适用范围:本制度适用于国美电器有限公司信息系统平台上所使用的全部操作系统、 应用系统(包括但不限于邮件系统、OA系统、HR系统、NC系统、ERP系统等)以及各类网 络设备必须遵守本条例的规定。 2.2发布范围:国美电器总部各中心、各大区所有人员。 3.名词解释: 3.1 信息系统帐户、密码:特指国美电器有限公司信息系统中所使用的各类用于系统身份 识别的账户及密码。 4.职责: 总部信息中心及分部IT部门: 4.1总部信息中心负责规划和制定信息系统帐户、密码管理的相关流程和制度。 4.2总部信息中心及分部IT部门负责信息系统帐户、密码的初始化生成。
4.3总部信息中心信息安全部负责的制度的执行情况进行检查与监督。 其他部门及全体员工: 4.4负责员工个人的系统帐户、密码的使用及管理,并对该帐户的所有行为负责。 5. 管理制度: 5.1帐户、密码的管理: 5.1.1 信息管理中心信息安全部负责制定并管理信息系统账户密码管理制度、策略及具体落实。 5.1.2 信息系统账户、密码分为管理员账户、密码以及普通用户账户、密码两类。总部信息管理中心负责信息系统账户的命名、建立、分发以及初始密码的设置;信息管理中心信息安全部将负责对执行情况进行监督与复核。 5.1.3 总部信息管理中心授权各分公司、事业部系统部负责辖区内信息系统账户命名、建立以及分发工作,但必须遵守本条例的规定;总部信息管理中心信息安全部将进行不定期审计。 5.2账户、密码的使用及维护: 5.2.1 网络设备、服务器设备以及应用系统的管理员账户(超级用户)由信息管理中心统一制定与分发,并授权相应的系统管理人员使用与维护,但必须遵守本条例的相关规定以及其他相关安全制度的要求,确保其安全性。 5.2.2 系统管理员账户(超级用户)的使用范围授权严格受限,所有系统中必须开启超级用户的使用日志审计功能。
2.5 帐号口令及权限管理制度
帐号口令管理制度
目录 第一章总则 (4) 1.1概述 (4) 1.2目标 (5) 1.3范围 (5) 1.4要求 (5) 第二章帐号、口令和权限管理的级别 (7) 2.1关于级别 (7) 2.2如何确定级别 (7) 2.3口令、帐号和权限管理级别的定义 (7) 2.3.1等级1 –最低保障 (8) 2.3.2等级2-低保障级别 (8) 2.3.3等级3 –坚固保障级别 (9) 2.3.4等级 4 –最高保障等级 (9) 第三章帐号管理 (11) 3.1职责定义 (11) 3.2口令应该以用户角色定义 (11) 3.2.1系统管理员/超级用户 (11) 3.2.2普通帐号 (11) 3.2.3第三方用户帐号 (12) 3.2.4安全审计员帐号 (12) 3.2.5对于各类帐号的要求 (12) 3.3帐号管理基本要求 (13) 3.3.1保障等级一需要遵守的规范 (13) 3.3.2保障等级二需要遵守的规范 (13) 3.3.3保障等级三需要遵守的规范 (13) 3.3.4保障等级四需要遵守的规范 (14) 3.4帐号管理流程 (14) 3.4.1创建用户帐号 (14) 3.4.2变更用户 (17) 3.4.3撤销用户 (19) 3.4.4定期复审 (20) 第四章口令管理 (21) 4.1通用策略 (21) 4.2口令指南 (21) 4.2.1口令生成指南 (21) 4.2.2口令保护指南 (22) 第五章权限管理 (24) 5.1概述 (24) 5.2根据工作需要确定最小权限 (24) 5.3建立基于角色的权限体系 (24) 5.4审计人员权限的界定 (25) 5.5第三方人员权限设定 (26)
涉密文与密码电报管理制度
涉密文件与密码电报管理制度 第一条涉密文件是指以文字、符号、图形、图像、声音等方式记载国家秘密信息的纸介质、磁介质、光介质等。 第二条涉密文件的管理 (一)指定专人负责本单位(部门)涉密文件的制作、收发、传递、使用、清退、归档、销毁等工作。 (二)涉密文件制作应标明密级、保密期限,注明发放范围及制作数量,绝密级、机密级涉密文件应当编排顺序号。其印制应在学院机要室进行。制作涉密文件所收集的原始材料过程中形成的中间材料包括文件、资料的草稿、废稿、废页、讨论稿、征求意见稿、审议稿等,都应当由专人负责,妥善保管,不得随意丢弃或者泄露。涉密文件制作完成后不需要保存的,应当按秘密文件、资料销毁的要求,及时销毁或送学院保密办统一销毁。 (三)涉密文件收发以各种形式传递的涉密文件,除注明个人、单位的亲启件、特殊件外,一律由机要人员拆封登记后方可使用。在接收时,要严格履行清点、
核对、签收手续,并及时编号、登记造册。如发现问题,应及时向发文机关查询并采取相应的处理措施。参加会议带回的秘密文件、资料,个人不得保存,必须及时移交学院机要人员保管,移交时要认真履行移交手续。如有需要下发至学院二级单位的涉密文件,由主管领导根据涉密文件的密级、知悉范围和工作需要确定发放范围,发放时严格履行登记、签收手续。 (四)涉密文件传递向外传递涉密文件应通过机要交通、机要通信部门或指派专人传递,不得通过普通邮局邮寄。 (五)涉密文件使用外来涉密文件的传达和阅读,由主管领导根据涉密文件的密级、制作单位的要求以及实际工作需要确定知悉人员范围,任何单位、个人不得擅自扩大知悉范围。 部门领导应在办公室或指定地点,及时阅读、处理涉密文件,不得将涉密文件带回家中或公共场所阅办。任何个人不得私自留存涉密文件。 (六)涉密文件存放涉密文件必须存放于单位的密码柜或档案柜中,不得存放在个人家中和无保密措施的普通文件柜中。集中存放涉密文件的场所和部位应当加固门窗、安装防盗报警装置。 (七)涉密文件归档每年度需要归档的涉密文件
信息系统密码管理办法
1.0目的 为了确保网络安全运行,阻止黑客攻击或非法用户越权防问,防止敏感信息的丢失、泄漏或破坏,保证公司的利益。 2.0适用范围 本规范适用于公司所有应系统、网络设计以及网络终端的密码管理。 3.0定义 4.0职责 4.1 IT部:IT部负责本规范的制定和维护;IT负责本规范的执行与监督。 5.0规范内容 5.1每个系统管理员、维护人员或用户的帐号和密码必须是一一对应的。 5.2 密码最长期限:密码的有效期限根据系统特点在系统内设置,当密码的使用时间达到 或超过此期限时,系统会自动要求用户更改密码。用户应及时按提示更改密码,否则 系统会将用户账号锁定。 5.3强制密码历史:密码不应与原有密码相同,否则就失去了密码期限限制的作用。域用 户只有在更改过3次密码后,才能再次使用以前的密码,但不可使用IT部门交付的初 始密码 5.4 密码最小长度:密码最小长度为6位字符,系统管理员和系统维护人员的密码长度至少 为8位字符。 5.5密码复杂性要求密码至少应包括以下四种字符中的3种:
5.5.1大写英文字符 5.5.2小写英文字符 5.5.3阿拉伯数字 5.5.4特殊符号(如!/$/#/%等) 5.6用户密码不能包含用户名称中的3个或3个以上字符。 5.7以下情况发生后,帐号将被锁定: 5.7.1连续五次输入错误的密码后; 5.7.2超过密码最长期限仍未更改密码; 5.7.3计算机黑客攻击。 当出现用户账号被锁定的提示时,用户应联系IT部处理。 5.8 每个密码所有者都应该确保密码不被他人所知,一旦密码被他人获得,应及时更改密 码或者通知IT部处理。 5.9Active Directory的Administrator用户必须在改名后,由风控组系统管理员保管, 各系统管理员在日常工作使用各自的授权用户名。 6.0 相关表单 7.0附则 本办法由IT部拟定并负责解释,经EMT审批后下发实行。 8.0附件 无
信息系统权限管理制度
信息系统权限管理制度 为了医院信息管理系统数据的安全管理,避免操作权限失控,并防止一些用户利用取得的权限进行不正确的操作,特制定医院信息管理系统权限管理制度,对各科室工作人员操作医院信息管理系统进行严格的管理,并按照各用户的身份对用户的访问权限进行严格的控制,保证我院信息管理系统的正常运转,特制定本管理制度。 一、总则 1.1用户帐号: 登录信息系统需要有用户帐号,相当于身份标识,用户帐号采用人员工号的编排,规则如下: (1)采用员工工号编排。 工号以人事部按顺序规定往后编排提供信息科。 1.2密码: 为保护信息安全而对用户帐号进行验证的唯一口令。 1.3权限: 指在信息系统中某一用户的访问级别和权利,包括所能够执行的操作及所能访问的数据。 二、职责与分工 2.1职能部门: (1)权限所有部门:负责某一个模块的权限管理和该模块的数据安
全; a.财务处负责财务收费系统和部分资产系统权限; b.护理部负责病区护士管理系统权限; c.医务部负责医生工作站管理系统的权限; (2)负责指定一个部门权限负责人(建议为科室负责人),对涉及本部门负责权限的新增,变更,注销进行签字审批; (3)本部门人员申请本部门负责权限,需要部门权限负责人签批,签批后由系统管理员设置; 2.2单位权限负责人 (1)负责签批部门间的权限的授予; (2)负责对信息系统用户帐号及密码安全进行不定期抽查; 2.3系统管理员 (1)负责根据信息系统用户新增\异动\离职记录表在系统中设置用户权限; (2)负责维护本单位用户和权限清单; (3)遵守职业道德,接受部门权限负责人和单位权限负责人的抽查。 三、用户帐号及密码管理 3.1密码设置及更改: (1)第一次登录信息系统时,用户必须更改信息系统密码; (2)为避免帐号被盗用,密码长度不小于六位,建议数字与字母结合使用;