第一篇:公司计算机系统用户口令(密码)安全管理规定
公司计算机系统用户口令(密码)安全管理规定
第一章总则
第一条为加强公司计算机系统用户口令(密码)的安全管理,提高计算机系统用户口令(密码)安全管理规范化、制度化水平,完善信息安全管理体系,特制定本规定。
第二条公司、各下属子公司的计算机系统用户口令(密码)的安全管理适用本规定。本规定不包括应用系统客户口令管理和用于保护文件共享等非登录计算机系统用户的口令管理。
第三条本规定所称计算机系统用户口令(密码)是指在登录计算机系统过程中,用于验证用户身份的字符串,以下简称计算机系统用户口令。计算机系统用户口令主要为静态口令、动态口令等。静态口令一般是指在一段时间内有效,需要用户记忆保管的口令。动态口令一般是指根据动态机制生成的、一次有效的口令。计算机系统用户口令主要包括:主机系统(数据库系统)、网络设备、安全设备等系统用户口令;前端计算机系统用户口令;应用系统用户口令;桌面计算机系统用户口令。
第四条计算机系统用户口令的安全管理遵照统一规范、重在意识、技术控制与管理措施相结合的原则。
第五条计算机系统用户口令持有人应保证口令的保密性,不应将口令记录在未妥善保管的笔记本以及其他纸质介质中(密码信封除外),严禁将口令放置在办公桌面或贴在计算机机箱、终端屏幕上,同时严禁将计算机系统用户口令借给他人使用,任何情况下不应泄漏计算机系统用户口令,一旦发现或怀疑计算机系统用户口令泄漏,应立即更换。
第六条计算机系统用户口令必须加密存储计算机系统中,严禁在网络上明文传输计算机系统用户口令,在用户输入口令时,严禁在屏幕上显示口令明文,严禁计算机信息系统输出口令明文(密码信封除外)。
第七条计算机系统用户口令持有人应保证口令具有较高安全性。选择使用口令安全强度较高的口令,不应使用简单的代码和标记,禁止使用重复数字、生日、电话号码、字典单词等容易破译的计算机系统用户口令。
第八条任何人不得利用盗取、猜测、窥视、破解等非法手段获取他人计算机系统用户口令,盗用他人访问权限,威胁信息系统安全。
第九条同一信息系统相同访问权限的用户应具有一致的口令安全要求。
第十条具有登录计算机系统权限的用户必须设置用户口令或其它验证用户身份的方式,严禁不验证用户身份直接登录信息系统。
第二章岗位及其职责
第十一条重要核心设备(如核心交换机、防火墙、服务器等)应设立口令安全管理专职人员,统一管理重要主机系统、核心网络设备、安全设备等超级用户以及重要系统中具有关键访问权限用户的口令。
第十二条计算机用户口令(专职人员管理的口令除外)持有人负责所持计算机用户口令在使用过程中的保密,负责设置、保存、更换计算机用户口令,负责口令自身的安全强度。第十三条系统管理(维护)人员、网络和安全设备管理(维护)人员负责启用计算机系统、网络和安全设备的口令安全管理相关功能;负责删除计算机系统、网络和安全设备多余用户和口令。
第十四条应用系统开发项目经理应负责组织实现应用系统支持口令安全管理的相关功能和机制。
第三章口令基本安全要求
第十五条计算机用户口令基本要求由口令长度、口令字符复杂度、口令历史,口令最长有效期组成:
(一)口令最小长度:6位
(二)口令字符组成复杂度:口令由数字、大小写字母及特殊字符组成,且至少包含其中两种字符(动态口令除外);
(三)口令历史:修改后的口令至少与前10次口令不同;
(四)口令最长有效期限:30/60/90 天,可根据系统重要性和用户权限采取不同的有效期。
第十六条信息系统原则上应具有支持计算机系统用户口令基本要求的相关功能、机制。
第四章主机系统、网络和安全设备用户口令安全要求
第十七条系统用户口令主要包括主机系统、网络设备、安全设备等系统用户口令。主机系统用户是指能够登录主机系统的用户。
第十八条主机系统、网络设备、安全设备等应启动口令管理相关功能、机制,满足第三章口令基本安全要求,对于原有系统不支持或不具备相关技术功能、机制的,必须逐步建立、完善相应的安全管理制度措施,弥补技术机制上的不足。
第十九条主机系统、网络设备、安全设备等的超级用户口令以及重要系统中具有关键访问权限用户的口令应由专人设置与管理,超级用户口令应由口令设置人员将口令装入密码信封,在骑缝处盖章或签字后存档并登记。
第二十条存放超级用户口令的密码信封应放置在保险箱或带密码锁的箱、柜中,并由专人负责。
第二十一条 主机系统超级用户口令,网络设备、安全设备超级用户口令以及具有修改配置权限用户的口令应设置口令登记薄,记录口令使用相关信息,至少包括:设备名称、用户名称、口令启用时间、口令更换时间、口令使用者等内容。
第二十二条 如遇特殊情况需启用封存的口令,必须经过部门负责人审批,使用完毕后,须立即更换并封存,同时在口令管理登记簿中登记。
第二十三条 主机系统、网络设备、安全设备等超级用户口令最长有效期为30天,具有配置、修改权限用户的口令最长有效期可为60天,其它用户口令最长有效期应符合第三章口令基本要求。为安装应用系统所建立的用户的口令也应定期更换,安装重要应用系统的用户口令最长有效期为30天,安装其它应用系统的用户的口令最长有效期可为60天。
第二十四条 当系统用户口令持有人岗位调整时,原则上应删除其使用的用户,因工作需要,需要保留原用户的,必须及时更换系统用户对应的口令,严禁使用原口令登录系统。
第二十五条 对于主机系统、网络设备、安全设备的用户口令以及具有系统配置权限的用户(超级用户ROOT除外),可根据实际情况使用动态口令。
第五章应用系统用户口令安全要求
第二十六条 应用系统用户口令是指只用于访问应用系统的用户口令,口令对应的用户为应用系统用户,在操作系统中并不存在相应用户。
第二十七条 应用系统在开发过程中必须同步实现满足计算机系统用户口令基本要求的机制和功能,通过技术手段实现安全管理要求。对于现运行的、没有达到第三章口令基本要求的计算机系统的改造或升级,可结合具体情况稳步开展。同时,必须采用相应的管理措施,加强计算机系统用户口令的安全管理,保障应用系统的安全。
第二十八条 应用系统用户必须设置口令或使用其它身份认证方式,严禁不验证用户身份访问应用系统(对于信息网站中只浏览网页的用户,可不设置口令)。
第二十九条 应用系统必须提供用户口令更换机制,严禁应用系统代码中包含用户口令。
第三十条应用系统用户的口令应定期更换,口令最长有效期可根据应用系统的重要程度和用户的权限设定,同时符合第三章口令基本安全要求的最长有效期范围规定。
第三十一条 使用密码设备的员工必须经过专业培训和严格审查。
第三十二条 对于应用系统的用户口令,可根据实际情况使用动态口令。
第六章桌面计算机系统用户口令安全要求
第三十三条 桌面计算机系统用户口令主要是指员工用于日常办公信息处理的计算机系统的用户口令,如台式微机、笔记本电脑及其它个人计算设备的用户口令。
第三十四条 桌面计算机系统应设置用户登录口令、屏幕保护口令。
第三十五条 桌面计算机系统用户登录口令、屏幕保护口令应定期更换(操作系统不具有此功能除外),口令最长有效期可为90天。
第七章检查和监督
第三十六条 技术部要定期对计算机系统用户口令安全管理的情况进行检查,检查的主要内容包括:岗位和职责情况,口令登记簿登记情况,口令安全管理相关功能及其启用情况,多余用户口令删除情况,口令安全管理规定的落实和执行情况。
第三十七条 对于安全检查中发现的问题和隐患,各计算机系统主管和使用部门及口令持有人要进行认真整改。对于违反本安全管理规定造成严重后果的,给予警告至开除处分,情节严重触犯法律的将移交司法机关。
第八章附则
第三十八条 本规定由技术部负责解释。
第三十九条 各部门及子公司可依据本规定制定实施细则,并报公司备案。
第四十条 本规定自发布之日起施行
第二篇:计算机密码管理规定
电脑信息部
计算机密码管理规定
****局域网是利用先进实用的计算机技术和网络通信技术,实现部门及集团各实体间的计算机连网、信息资源共享。为保证计算机网络系统的安全运行,特制定如下计算机密码管理规定。
1、总则:
(1)、集团及各实体的各级网络管理员,具有相应服务器及登录该服务器网络用户的管理权限。网络管理员登录服务器的密码由管理员本人设置,不同服务器的登录密码不得相同。
(2)、经主管部门领导许可,网络管理员不得在任何时间、任何地点以任何方式将网络管理员登录名及密码告知他人。(3)、服务器登录用户及密码由网络管理员设置,登录用户本人必须严格执行安全保密制度,牢记个人用户名及密码且不得告知其他无关人员。密码一经泄漏,用户需及时通知管理员,由管理员进行密码更改。
(4)、登录用户工作岗位(职责)发生变动时,网络管理员应及时对该用户的登录权限及密码进行调整;登录用户调离本单位时,网络管理员应于24小时内,从服务器中删除该用户所有设置。
(5)、经上级领导批准,网络管理员不得为非相关工作人员设置用户及密码。
2、集团脑信息部机房:
(1)、集团电脑信息部机房网络管理员,具有全部集团局域网及上网用户的管理权限,是集团局域网的最高网络权限管理者。该网络管理员登录服务器密码位数不得少于10位,至少每两周更换一次密码。
(2)、有登录集团网络的用户密码位数设置不得少于6位。
3、集团各部门及各实体的独立机房:
(1)、集团各部门及各实体的独立机房网络管理员,具有该独立局域网及上网用户的管理权限。该网络管理员登录服务器密码位数不得少于8位,至少每月更换一次。
(1)、独立机房网络的用户密码根据不同情况进行不同设置,但密码位数不得少于6位。
4、临时用户:
(1)、上级领导批准的临时登录用户,按规定进行登记后,由网络管理员开设临时用户并设置密码及访问权限。
(2)、没有上级领导特殊批示,临时用户登录有效期不得超过48小时。
本管理办法自发布之日起施行。请各部门、各实体相关人员严格遵照实行。
第三篇:XXXXXXXXXX用户密码安全保密管理规定
XXXXXXXXXX用户密码安全保密管理规定
一、用户密码管理的范围是指办公室内所有涉密计算机所使用的密码。
二、机密级涉密计算机的密码管理由涉密部门负责人负责,秘密级涉密计算机的密码管理由使用人负责。
三、用户密码使用规定
(1)密码必须由数字、字符和特殊字符组成;
(2)秘密级计算机设置的密码长度不能少于8个字符,密码更换周期不得多于30天;
(3)机密级计算机设置的密码长度不得少于10个字符,密码更换周期不得超过7天;
(4)涉密计算机需要分别设置BIOS、操作系统开机登录和屏幕保护三个密码。
四、密码的保存
(1)秘密级计算机设置的用户密码由使用人自行保存,严禁将自用密码转告他人;若工作需要必须转告,应请示主管领导认可。
(2)机密级计算机设置的用户密码须登记造册,并将密码本存放于保密柜内,由部门主任管理。
第四篇:密码安全管理规定
信息系统密码安全管理规定
1.目的1.1 为了提高公司信息系统的安全性,保障信息系统的正常运行以及业务数据安全,特制定本规定。
2.范围
2.1通过非应用程序方式访问服务器、信息系统、数据库时遵循此规定。
2.2 通过正常的业务应用系统进行信息系统数据访问不在此管理规定范围。
3.定义
3.1 服务器访问:由于机器维护需要以超级用户权限进入服务器进行服务器操作系统设置、日志查询、机器运行状况查询以及补丁升级等操作。
3.2信息系统访问:由于软件系统维护需要以超级用户权限进入信息系统进行系统设置、日志查询、运行状况查询以及系统更新等操作。
3.3数据库访问:由于数据库维护需要以任何用户权限进入数据库进行数据库设置、日志查询、运行状况查询以及数据库内容查询、手工更改等操作。
4.密码等级
4.1 信息系统密码分为三个类型:访问密码、管理密码、数据密码。
4.2 访问密码分三个等级:高、中、低。
4.2.1高等级服务器访问密码适用于高安全等级的系统运行
服务器,主要包括运行核心业务系统的应用服务器、核心数据库服务器。
4.2.2 中等级服务器访问密码适用于中安全等级的系统运行
服务器,主要包括运行非核心业务系统的应用服务器及数据库服务器。
4.2.3 低等级服务器访问密码适用于低安全等级的系统运行
服务器,包括各类用于测试或演示的应用服务器、数据库服务器以及各类公共服务器。
4.3管理密码分为三个等级:高、中、低。
4.3.1 高等级系统管理员密码适用于高安全等级的应用系
统,主要包括各类核心业务系统。
4.3.2 中等级系统管理员密码适用于中安全等级的应用系
统,包括各类非核心业务系统。
4.3.3 低等级系统管理员密码适用于低安全等级的应用系
统,主要包括各类用于测试或演示的系统。
4.4数据密码分为三个等级:高、中、低。
4.4.1 高等级数据密码适用于高安全等级数据库的超级权
限,主要包括各类核心数据库的超级权限。
4.4.2 中等级数据密码适用于中安全等级的数据库的超级权
限以及核心数据库的受限读写权限。
4.4.3 低等级数据密码适用于中安全等级数据库的数据读写
权限以及核心数据库的受限只读权限以及。
5.权责
5.1 密码使用:信息部人员;
5.2 数据安全监管:总经理指定之人员;
6.密码使用
6.1高等级数据密码、高等级管理密码、高等级访问密码的使用
需获得总经理授权同意。
6.2 中等级数据密码、中等级管理密码、中等级访问密码的使用
需获得XX授权同意。
6.3 低等级数据密码、低等级管理密码、低等级访问密码的使用
需获得信息部经理授权同意。
6.4 被授权人员一旦获知密码后,应有相当强的保密意识,不得
以任何方式告知他人,如不慎泄露密码后,需立即告知信息部负责人,及时采取补救措施。
第五篇:计算机安全管理规定
计算机安全管理规定
一、认真遵守、执行政府有关法律、法规,工作人员需达到较高的思想道德水准。
二、严格执行电脑数据资料的安全保密规定。任何人未经上级许可不得泄露及查阅有关存储内容。
三、严格落实各项防火条例,积极消除火灾隐患。各种防火消防设备,做到时刻处于良好备用状态。
四、积极配合保安部门的各项工作。定期检查各有关规定执行情况,对违反规定的状态及行为及时予以纠正。
五、由于电脑房系数据管理处理之机要部门,因其技术及安全性的要求,任何人未经许可及与工作无关人员一律不得入内。
六、严格执行电脑用户档案,使用密码权限等安全保密制度,时刻关注电脑设备运行的安全,并制定防盗,防窃的安全措施。
七、积极采取各种有效措施,防止各种电脑病毒对数据侵害,使由此引致的损失减少到最小。
安全职责
一、遵守单位的各项安全规章制度,学习安全防范知识和技能,按照“谁在岗、谁负责”的原则,既是工作人员,又是安全人员,是其岗位域安全直接责任人。
二、对所属岗位的设备设施要进行经常性的安全检查,做到及时发现和解决安全隐患,并报告上级。
三、熟悉和掌握与本岗位相关安全应急预案,解决、处理一般安全问题和隐患;遇有突发事故,应在处理的同时立即报告,服从领导的指挥、调遣,参与扑救等处置行动,并保护现场,除紧急抢救外,无关人员不得进入。
四、当公安机关、单位保卫科进行安全检查或进行案件、事故调查时,应积极配合如实提供情况。
五、发现可疑的人和事,要有礼貌地进行盘问和监控,并及时向上级报告和保卫科报告。
六、熟悉安全通道、安全出口、消火栓、消防器材,报警按钮等安全设备设施位置,会熟练使用消防器材。
点击咨询 