账号口令管理标准
1.目的
有效保护公司信息资产,避免应口令管理不善导致信息泄露。
2.适用范围
本规范适用于深圳市道通科技公司股份有限公司、深圳市道通智能航空技术有限公司以及深圳市道通合创软件开发有限公司(以上三者合称为公司)生产环境IT系统账号口令管理,包括普通用户使用的IT系统账号以及系统管理员运维或者授权使用的账号的口令管理。
备注:用于公司业务开展,但信息系统位于公司办公网络以外,由外部单位提供的IT系统账号可(例如:Appstore上传应用的账号)参考本规定执行。
3.定义
无
4.职责与权限
5.内容
5.1.口令复杂度要求
1)账号口令的有效长度至少8位;
2)账号口令符合以下复杂性要求:
a、至少包含大写字母、小写字母、数字、特殊符号(例如标点符号等)中任三种;
b、不允许使用4个及以上的重复的字母或数字、普通的名字或昵称、普通的个人信息:如生日日期;
3)账号口令最长有效期为90天,如账号已经处于失效状态,则不要求修改
;
4)不得使用最近5次用过的口令;
5)账号管理人员初次发放或者初始化口令给用户时,如果知道口令内容,则必须为口令设置过期期限(用户须及时更改口令,否则口令应被强制失效)。
5.2.口令安全
1)账号锁定阀值为5次,即账号口令输入错误超过5次,该账号自动被锁,超过5分钟后自动解锁;
2)禁止通过网易闪电邮和RTX进行传输/发送口令,只能通过OA邮件进行发送,避免口令经过internet传输导致被恶意窃取;
3)如技术上可以实现,道通科技内部的IT系统用户口令交付给最终用户使用时,应设置口令为首次登录必须修改。如技术上无法实现,应通知用户修改口令并告知口令修改方法。收到口令的用户应根据要求在1个工作日内完成口令修改;
4)所有用户应妥善保管所使用的账号的口令,应根据本规范以及IT系统要求,定期修改口令;
5)避免将口令记录在书面上(除非该书面介质可以被安全地保存),并严禁贴在个人电脑屏幕或其他容易泄露之场所;
6)当有迹象足以显示账号口令可能遭破解时,应立即更改口令,并以安全事件方式及时上报。上报渠道可以通过OA中信息安全服务邮箱反馈(在OA邮件收件人中输入infosecurity即可);
7)应对无人值守的口令令牌或其他硬件类用户认证设备进行保护,当不适用时,要使用带钥匙的锁或其他控制措施进行管控。例如:财务部门使用的网银U-KEY;行政部使用的住房公积金的USB加密狗等。
5.3.稽核
IT部信息安全组定期组织对本规定的执行情况进行稽核,对于违反本管理规定的行为,将按照《信息安全奖惩管理办法》对相关责任人进行处罚。
5.4.维护与解释
1)本规定发布之日起生效;
2)本规定由IT部信息安全组至少每两年审视一次,根据审核结果修订标准并颁布执行;
3)本规定解释权归IT部信息安全组;
4)若本规定与当地法律造成冲突,以当地法律要求为准。
6.相关文件
无
7.记录表格
.