XX信息系统密码管理制度
2015年7月
第一章总则
第一条为确保XX信息系统的安全运行,保障信息系统密码的安全管理及使用,制订本管理制度。
第二条本制度适用于XX所有信息系统的密码管理。
第三条信息中心负责XX密码管理。
第二章服务器、网络设备、安全设备密码管理
第四条 XX使用的密码算法和密钥要求符合国家密码管理规定。
第五条服务器的密码由系统管理员设定,由安全员记录封存,密码设定过程必须形成密码设定记录表单。
第六条密码要定期更换,更换后系统管理员要销毁原记录,由安全员将新密码记录封存,并形成密码更换记录表单。
第七条发现密码有泄密迹象,系统管理员应立刻报告科室负责人,同时保护好现场并记录,经科室负责人同意后立刻更换密码。
第八条所有服务器、网络设备、安全设备密码的设置要求应按所属应用系统等级保护等级对应的密码要求进行设置。
第九条所有服务器、网络设备、安全设备密码的生成、变更记录表单必须留安全员处存档备案。
第三章要害人员密码管理
第十条信息系统要害人员是指与信息系统相关的系统管理员、数据库管理员、业务应用系统管理员、安全员、负责保管密钥副本的管理员等。
第十一条信息系统要害人员的密码设置应具有一定的复杂性,对记录密码的载体应进行严格管理,确保其物理安全。
第十二条信息系统要害人员的密码,应定期或不定期更换,独自使用,不得泄露。
第十三条在使用密码保障信息系统的安全时,对所用密钥生命周期的全过程(密钥的产生、存储、分配、使用、废除、归档、销毁)应实施严格的安全保密管理。
第十四条密钥必须作为绝密数据由专人保管;并且通过机要渠道传递或采用加密通信方式网内分配。
第十五条密钥必须定期更换,对已泄漏或怀疑泄漏的密钥必须及时更改。旧密钥必须安全归档,并在安全管理负责人的严格监督下,由管理责任人定期销毁。
第十六条密钥备份是针对主要信息系统设备和要害工作人员的意外事件而采取的必要措施,密钥副本的保存必须是物理安全的。
第四章用户密码管理
第十七条用户密码的生成,由系统自动随机分配,并以函件的方式通知到用户;在用户第一次成功登录系统时,要求用户更改新密码。
第十八条用户应定期更换密码及口令,并负责密码的安全保密。
第五章附则
第十九条本制度由XX信息中心负责解释。
第二十条本办法自****年**月**日起执行。信息中心有权根据业务需要及本办法的执行情况,及时修订,适时发布新办法。
用户权限管理制度 1、为了适应网络管理的需要,明确网络操作权限,确保网络安全稳定的运行,特制定本制度; 2、网络使用和征管软件的用户权限设置由各单位的网络管理员负责,其他任何人不得进行权限设置; 3、必须对服务器超级用户Administrator和数据库超级用户Sa 进行密码设置,以防止非授权用户对网络和数据库进行非法操作; 4、设置密码长度必须大于8位,必须由字母和数字混合组成,并按季度定期更改; 5、建立密码登记卡,记载密码的变更情况,密码登记卡由网络管理员在每次更改密码后认真填写更改记录并将其封存好,交由办公室放入金库内保存,以防止密码遗忘造成损失; 6、如发生上级网络管理人员需要超级用户权限对网络和数据库进行操作的情况,网络管理人员必须对此操作进行详细记录,并在操作后及时更改超级用户密码; 7、税收征管软件的用户权限必须由各单位的网络管理员设置,用户必须使用自己的用户名登录软件,程序将按用户登录名记载用户所做的操作,并以此确定责任。每个用户必须自己输入和保管密码,如密码泄密,造成冒名登录的,责任由用户自负; 8、在征管软件的使用中,网络管理员本人要建立自己的管理用户名,并赋予包括“系统维护”在内的全部控制权限,其他用户一
律不再赋予“系统维护”权限; 9、网络管理员在建立征管软件管理用户名后,要将0000000用户在系统维护中删除,0000000用户由市局保留使用,管理用户的密码设置和保存比照超级用户密码进行管理; 10、网络管理员要严格执行本制度的规定,做好权限设置和密码保密工作,如因工作失职使密码泄密,造成权限失控、数据遗失等严重后果的,其责任由网络管理员自负。 11、本制度从发布之日起执行。 二〇〇二年五月一日
办公密码管理制度1 办公密码管理制度 一、总则 1.目的 为规范本公司办公密码的使用并确保其安全,特制定本制度。2.适用范围 适用于全体员工。 本公司办公密码包括以下五种类型: 1)办公系统管理密码 如:社保系统管理密码、BASSMAIL系统管理密码、财务系统管理密码等电脑开机密码—— 2)财务相关密码 如:保险箱密码、存折密码、U盾密码等 3)其他密码 如:招聘网站密码 二、办公密码管理细则 1.办公密码保管/借用 1)办公密码涉及公司机密文件及资料,各部门办公密码使用人妥善
管理自己使用的办公设备/系统密码,保管人员直接上级/部门负责人必须随时了解所管辖员工保管密码的更新情况。 2)若其他人员因工作需要使用到自己保管的密码,须经部门负责人 同意后才可将密码提供他人使用。在相关人员使用密码后的一个工作日内,须及时对密码进行修改,并及时填写《办公密码变更 登记表》申报更改。 2.电脑开机密码设置 除以下可设置开机密码的岗位以及总经理特批的情况以外,其他人员不得随意设置电脑开机密码。 注:*表示必须设置开机密码。 3.办公密码变更申报 1)需使用《办公密码变更登记表》申报变更的情况包括以下七种: ①更改密码、②更改使用人、③更换密码并更改使用人、④增加 备案人、⑤增加使用人、⑥新增密码、⑦其他。 2)申报负责人:一般情况下,办公密码变更申报由密码保管人(即 使用人)负责。如因人员离职/调动/休长假需变更密码,由员工直接上级进行申报。 3)申报时间:密码产生变更后一个工作日内。 4.办公密码登记备案
1)密码备案人(一般为部门经理、总监)负责备案管辖员工办公密 码,及时更新《办公密码设置登记表》。公司总经理备案公司所有人员的密码,各(项目部)部门负责人需备案管辖区域/部门所有人员的密码; 2)公司各员工如因工作需要需备案其他部门密码,应提前向相关部 门负责人申请,经过批准后才可进行密码的备案。 3)密码备案人接收密码保管人因密码变更而进行的《办公密码变更 登记表》申报时,须及时向相关人员核实确定密码变更情况,并 更新登记《办公密码设置登记表》。 4)综合管理中心负责存档备案公司部门《办公密码设置登记表》。 三、办公密码季度检查规定 1.本公司例行办公密码检查时间为每季度最后一月的28日-30日, 并根据总经理要求随时进行抽查。 2.办公密码检查工作由总经理指定人员进行。 3.办公密码检查工作关系到公司各类文件、资料的安全保密,检查 人需严肃认真对待,发现差异须如实记录并及时向相关部门汇报,不得推脱隐瞒或知情不报。检查人不得利用职务之便询问/打探办公密码。 四、办公密码管理工作各相关部门职责 1.项目部、各部门办公密码使用人
信息系统帐号管理制度 第一节总则 第一条为加强用户帐号管理,规范公司信息系统用户帐号的使用,确保用户帐号的安全性,特制定本制度。 第二条本制度中系统帐号是指应用层面及系统层面(操作系统、数据库、防火墙及其它网络设备)的用户帐号。 第三条用户帐号申请、审批及设置由不同人员负责。 第四条系统拥有部门负责建立《岗位权限对照表》(附件六)。 第五条本制度适用于公司总部和各分、子公司(含郑州研究院)。 第二节普通帐号管理 第六条申请人使用统一而规范的《帐号/权限申请表》(附件七)提出用户帐号创建、修改、删除/禁用等申请。 第七条帐号申请人所属部门负责人及系统拥有部门负责人根据《岗位权限对照表》对应用层面的普通用户帐号申请进行审批。 第八条信息部负责人根据《岗位权限对照表》对系统层面的普通用户帐号申请进行审批。 第九条帐号管理人员建立各种帐号的文档记录,记录用户帐号的相关信息,并在帐号变动时同时更新此记录,具体内容见《用户帐号记录》(附 件八)。具体流程参见《普通帐号管理流程》(附件一)。 第三节特权帐号和超级用户帐号管理 第十条特权帐号指在系统中有专用权限的帐号,如备份帐号、权限管理帐号、系统维护帐号等。超级用户帐号指系统中最高权限帐号,如root 等管理员帐号。
号。 第十二条信息部每季度查看系统日志,监督特权帐号和超级用户帐号使用情况。 第十三条尽量避免特权帐号和超级用户帐号的临时使用,确需使用时必须履行正规的申请及审批流程,并保留相应的文档。 第十四条临时使用超级用户帐号必须有监督人员在场记录其工作内容。 第十五条超级用户帐号临时使用完毕后,帐号管理人员立即更改帐号密码。 具体流程参见《特权帐号和超级用户帐号管理流程》(附件二)。 第四节临时帐号管理 第十六条使用临时帐号时(如内外部审计人员、临时岗位调动人员),须填写统一的《帐号/权限申请表》(附件七)。 第十七条帐号申请人所属部门负责人及系统拥有部门负责人根据《岗位权限对照表》对应用层面的临时用户帐号申请进行审批。 第十八条信息部负责人根据《岗位权限对照表》对系统层面的临时用户帐号申请进行审批。 第十九条帐号管理人员负责临时帐号的建立和记录。 第二十条临时帐号使用完毕后,申请人及时通知帐号管理人员注销临时帐号。 具体流程参见《临时访问帐号管理流程》(附件三)。 第五节紧急帐号管理 第二十一条根据紧急事件的等级建立相应权限的紧急帐号,专门处理紧急事件。第二十二条帐号管理人员负责紧急帐号的下发和记录。 第二十三条紧急帐号使用人员必须在事件处理完毕后补办相关手续。 第二十四条紧急帐号使用完毕后,紧急帐号使用人员及时通知帐号管理人员禁
账号权限及密码管理制度 一、账号权限管理 1.做好系统管理员、业务管理员的备案;同时做好系统用户备案管理。 2.业务管理员需定期检查相关系统的账号权限分配情况,确保落实权限最小 化原则。角色分配应与岗位需求吻合,避免功能扩大。同一账户被赋角色 不得存在功能互相矛盾、嵌套情况。严格控制隐私信息查询、浏览、导出 权限。 3.限制超级账号的使用,并做好相应的使用审计工作。 4.业务管理员应及时解除无用账号相应权限,系统管理员应定期检查并禁用 或注销无用账号。 二、密码产品 1.使用符合国家密码管理规定的密码技术和产品。 2.密码算法和密钥的使用符合国家密码管理规定。 三、密码的设置 1.服务器的密码,由安全管理员和系统管理员商议确定,必须两人同时在场 设定。 2.服务器的密码须安全管理员在场时要由系统管理员记录封存。 3.密码内容设置规则:必须由数字、字符和特殊字符组成;密码长度不能少 于8个字符;机密级计算机设置的密码长度不得少于10个字符;设置密 码时应尽量避开有规律、易破译的数字或字符组合作为自己的密码。 4.密码要定期更换:一般重要设备密码更换周期不得多于180天; 四、密码和口令的保存 1.服务器设置的用户密码由系统管理员自行保存,严禁将自用密码转告他人; 若工作需要必须转告,应请示上级领导批示;非系统管理员使用密码完成 工作后,系统管理员应该及时更改密码,保证密码安全。 2.服务器所有设置的用户密码须登记造册,由系统管理员管理保存,并将备 案记录交于网络管理中心负责人封存。 3.密码更换后系统管理员需将新密码或口令记录登记封存。 4.如发现密码有泄密迹象或黑客入侵,系统管理员要立刻报告网络管理中心 负责人,网络管理中心负责人应及时与系统管理员商定修改密码,并严查
信息系统密码管理规定 第一条为了加强风险管理,强化保密工作,提高公司信息系统得安全性,保障信息系统得正常运行以及业务 数据安全,防止黑客攻击与用户越权访问,防止 公司重要信息得丢失、泄漏与破坏,建立科学、规 范得信息系统密码管理规范,特制定本规定。 第二条本制度所指信息系统密码,包括以下几种类型: 1.公司所有业务系统普通用户密码(包括NC、即时通 讯、上网行为、邮箱、视频会议等业务登录密码); 2.公司所有业务系统权限管理员与系统运维管理员密 码(包括业务系统、网站系统、邮箱系统、安全审计 系统、备份系统、虚拟化系统、防病毒安全系统、 视频会议系统、存储系统等后台管理密码); 3.应用服务器管理密码(包括运行业务系统服务器、 网站服务器、邮件服务器、安全审计系统服务器、 备份系统服务器、虚拟化系统服务器、防病毒安全 系统服务器、存储设备等登录密码); 4.系统数据库管理员密码; 5.其她网络应用及网络系统(路由器、交换机、上网行 为、VPN等)管理员密码; 第三条应用系统服务器、数据库、网络系统,自身包含有完整得多级权限管理体系。这些系统得最高权限 分配得其她权限得密码,也需遵守本规定; 第四条公司业务系统普通用户得密码设置规范要求如下:
1.密码长度不得低于6位; 2.密码必须包含字母(a-z,A—Z)、数字(0-9)、 特殊字符(!#$%^&*)中得两种; 3.密码必须6个月更换一次,并且新密码不得与原密 码相同; 第五条对以下密码: 1.司所有业务系统权限管理员与系统运维管理员密 码; 2.应用服务器管理密码; 3.系统数据库管理员密码; 4.其她网络应用及网络系统管理员密码; 其设置规范,应符合以下要求: 1.密码不得低于8位; 2.密码必须包含大小写字母、数字及特殊符号; 3.密码必须每3个月更换一次,并且新密码不得与原 密码相同; 第六条信息系统密码设置规范得系统控制: 1.应用系统应控制密码得有效期,通过设置,强行要求 用户定期进行密码修改,减少密码被盗用得可能性; 2.用户密码唱得与编码规则限制。强行要求用户密码 符合长度与复杂性要求; 3.系统控制第一次登陆后必须马上更改初始密码; 4.设置用户密码输入错误次数.再密码错误输入三次 后,系统锁定登录用户。用火狐必须通知信息化部
信息系统帐户密码管理规 定 This model paper was revised by the Standardization Office on December 10, 2020
信息 账 户、密码管理规定 1.目的: 为进一步加强与规范公司信息系统帐户、密码的管理,提高信息系统的安全性,避免 信息系统权限的滥用以及机密信息的泄漏,特制定本规定。 2.范围: 适用范围:本制度适用于国美电器有限公司信息系统平台上所使用的全部操作系统、应 用系统(包括但不限于邮件系统、OA系统、HR系统、NC系统、ERP系统等)以及各类网 络设备必须遵守本条例的规定。 发布范围:国美电器总部各中心、各大区所有人员。 3.名词解释: 信息系统帐户、密码:特指国美电器有限公司信息系统中所使用的各类用于系统身份识 别的账户及密码。 4.职责: 总部信息中心及分部IT部门: 总部信息中心负责规划和制定信息系统帐户、密码管理的相关流程和制度。 总部信息中心及分部IT部门负责信息系统帐户、密码的初始化生成。
总部信息中心信息安全部负责的制度的执行情况进行检查与监督。 其他部门及全体员工: 负责员工个人的系统帐户、密码的使用及管理,并对该帐户的所有行为负责。 5. 管理制度: 帐户、密码的管理: 信息管理中心信息安全部负责制定并管理信息系统账户密码管理制度、策略及具体落实。 信息系统账户、密码分为管理员账户、密码以及普通用户账户、密码两类。总部信息管理中心负责信息系统账户的命名、建立、分发以及初始密码的设置;信息管理中心信息安全部将负责对执行情况进行监督与复核。 总部信息管理中心授权各分公司、事业部系统部负责辖区内信息系统账户命名、建立以及分发工作,但必须遵守本条例的规定;总部信息管理中心信息安全部将进行不定期审计。 账户、密码的使用及维护: 网络设备、服务器设备以及应用系统的管理员账户(超级用户)由信息管理中心统一制定与分发,并授权相应的系统管理人员使用与维护,但必须遵守本条例的相关规定以及其他相关安全制度的要求,确保其安全性。 系统管理员账户(超级用户)的使用范围授权严格受限,所有系统中必须开启超级用户的使用日志审计功能。
密码使用管理规定 Prepared on 22 November 2020
密码管理制度 一、目的 为确保本单位网络和信息系统的安全平稳运行,保障数据信息安全,特制订此管理制度。 二、适用范围 本制度适用本单位所有工作人员。 三、管理规定 1、本单位计算机登陆帐号、密码管理工作由技术部负责。 2、本管理制度所称的帐号、密码,是指登陆各应用系统、网络设备等各类 计算机软件、硬件系统的用户名和密码。 3、所有人必须提高安全认识,帐号和密码由用户自行保留,不得泄漏或转 借他人使用,不得借用他人帐号;不得利用帐号、密码从事破坏计算机软件系统、硬件系统的活动。 4、各类帐号的密码设置使用如下规则: 、密码字应超过8个字符; 、密码字应由字母和数字组成,重要帐号不要使用仅由字母或者数字组成的口令字; 、避免使用姓名、生日以及其他常用的密码; 5、对网络管理员、系统管理员和系统操作员所用密码需部门负责人在场时 由系统管理员记录封存,由技术部负责保存。
6、技术部有权力检查封存密码的有效性。检查时须由部门负责人启封,并由系统管理员登陆验证。 7、密码及口令要定期更换(视网络具体情况),口令更换周期不得长于三个月,更换后系统管理员要销毁原记录,将新密码或口令记录封存。 8、如发现密码及口令有泄密现象,系统管理员要立刻报告技术部负责人,同时要保护好现场并记录,需接到上级批示后再更换密码和口令。 9、遇到安全问题时,及时汇报上级领导,采取措施及时解决。 10、任何人不得利用各种网络设备或软件技术从事用户帐户及密码的侦听、盗用活动,该活动被认为是对网络用户权益的侵犯。 11、网络管理员、系统管理员、操作员调离岗位后一小时内由部门负责人监督检查更换新的密码; 12、侦听、盗用行为一经查实,将提请给予行政处分;行为恶劣、影响面大、造成重大损失的,依法交由公安部门处理。
信息系统、信息设备和保密设施设备管理制度 1.信息系统、信息设备和保密设施设备管理总则 1)为了加强公司涉密计算机信息系统、信息设备的保密管理,防止和杜绝失泄密事件的发生,确保国家秘密安全,根据《中华人民共和国保守国家秘密法》、《保密工作概论》、《保密法规汇编》等国家有关规定,结合公司实际,特制定本制度。 2)公司涉密计算机信息系统为单机涉密计算机信息系统,保密管理实行“控制源头、归口管理、逐级负责、确保安全”的原则。 3)本规定适用于使用公司涉密计算机信息系统的部门和个人。 4)本制度所称涉密计算机是指公司所属各部门按照本规定明确的程序,经过申报、登记、审定,并在公司保密办公室备案的计算机。信息系统是由计算机及其配套设备、设施构成,按照一定的应用目标和规则存储、处理、传输信息的系统或网络。信息设备是指计算机及其存储介质、打印机、传真机、复印机、扫描仪、照相机、摄像机等具有信息存储和处理功能的设备。 2.责任分工 1)公司技术部经理负责涉密信息系统、信息设备的保密安全管理工作。涉密信息系统、信息设备的使用部门指定专人负责本部门计算机信息系统安全保密管理,对本部门涉密信息系统的安全保密负主要责任。 2)公司保密办公室负责公司涉密信息系统、信息设备安全保密工作的指导、协调、监督、检查以及对失泄密事件的查处。 3)公司保密办公室设密钥管理员负责公司涉密信息系统、信息设备内部密码(密钥)的生成、分配和保密管理工作。 4)公司各涉密部门需设系统管理员、安全保密员,按有关保密规定和要求负责公司涉密计算机的管理及其设备的日常维护和维修工作,具体落实有关涉密计算机、信息设备的安全保密管理规定和措施。 3.涉密计算机的确定及变更 1)公司涉密计算机实行申报登记制度。凡涉及国家秘密的单位拟用于处理国家秘密信息的计算机、涉密信息系统必须经过申报、登记、审定,并在公司保密
办公密码管理制度 一、总则 1.目的 为规范本公司办公密码的使用并确保其安全,特制定本制度。2.适用范围 适用于全体员工。 本公司办公密码包括以下五种类型: 1)办公系统管理密码 如:社保系统管理密码、BASSMAIL系统管理密码、财务系统管理密码等电脑开机密码—— 2)财务相关密码 如:保险箱密码、存折密码、U盾密码等 3)其他密码 如:招聘网站密码 二、办公密码管理细则 1.办公密码保管/借用 1)办公密码涉及公司机密文件及资料,各部门办公密码使用人妥善 管理自己使用的办公设备/系统密码,保管人员直接上级/部门负责人必须随时了解所管辖员工保管密码的更新情况。 2)若其他人员因工作需要使用到自己保管的密码,须经部门负责人 同意后才可将密码提供他人使用。在相关人员使用密码后的一个工作日内,须及时对密码进行修改,并及时填写《办公密码变更
登记表》申报更改。 2.电脑开机密码设置 除以下可设置开机密码的岗位以及总经理特批的情况以外,其他人员不得随意设置电脑开机密码。 注:*表示必须设置开机密码。 3.办公密码变更申报 1)需使用《办公密码变更登记表》申报变更的情况包括以下七种: ①更改密码、②更改使用人、③更换密码并更改使用人、④增加 备案人、⑤增加使用人、⑥新增密码、⑦其他。 2)申报负责人:一般情况下,办公密码变更申报由密码保管人(即 使用人)负责。如因人员离职/调动/休长假需变更密码,由员工直接上级进行申报。 3)申报时间:密码产生变更后一个工作日内。 4.办公密码登记备案 1)密码备案人(一般为部门经理、总监)负责备案管辖员工办公密 码,及时更新《办公密码设置登记表》。公司总经理备案公司所有人员的密码,各(项目部)部门负责人需备案管辖区域/部门所有人员的密码; 2)公司各员工如因工作需要需备案其他部门密码,应提前向相关部 门负责人申请,经过批准后才可进行密码的备案。 3)密码备案人接收密码保管人因密码变更而进行的《办公密码变更 登记表》申报时,须及时向相关人员核实确定密码变更情况,并
信息中心密码管理制度1 信息中心密码管理制度 信息中心负责赤天化局域网的管理和集团公司应用软件的开发,掌握着全部服务器、网络设备和全部应用软件的各种密码。每个服务器、网络设备和应用软件又有多个密码,用来保护整个系统和数据安全,密码一旦泄露或丢失,就可能带来严重损失,因此制定本制度,用来保护密码的安全。 1.密级界定:依照数据的重要程度和设备的经济价值,把全部密码分成四级,一级最高,四级最低。核心交换机密码、数据库服务器超级用户密码、数据库用户密码、数据库管理员密码和一般网络设备密码为一级密码,应用软件登陆密码、普通数据库用户密码为二级密码,非数据库服务器密码为三级密码,应用软件中用户的操作密码为四级密码。 2.密码知晓范围:信息中心主任和系统管理员可以知道前三级密码,数据备份操作员可以知道数据库用户密码和数据库管理员密码,网站管理员可以知道第三级密码,应用软件开发人员和维护人员可以知道应用软件登陆密码、普通数据库用户密码和应用软件中用户的操作密码。应用软件操作员可以知道应用软件的操作密码和应用软件登陆密码。 3.密码设定由专人负责:应用软件的操作密码由用户设定,应用软件登陆密码由软件开发人员设定,非数据库的服务器密码由网站管理员设定,其它一切密码由系统管理员设定。密码一旦设定或更换,要及时通知相关人员。密码设定严禁使用诸如名字、
生日、电话等容易被人破解的字符串。 4.密码更换周期:一级密码三个月更换一次,二级密码更换将带来非常大的应用软件维护工作量,因此采用不定期更换或密码泄露、丢失情况下立即更换,三级密码六个月更换一次,四级密码根据具体情况,随时更换。 5.密码长度规定:所有的密码长度不得低于六位,要使用系统允许的最大长度,而且密码一定要由数字和英文字母进行组合,不能简单化。 6.工作人员工作时,如果通过密码检验后,进入了后面的操作环境,则此时严禁工作人员随意离开工作台,必须要退出当前的操作环境,才能离开。 7.严禁把应用软件的源代码流出信息中心,因为应用软件里面有很多涉及密码的脚本。8.密码保存和使用必须隐秘,不得显露他人或书写在较显目的地方。密码不准制成电子文档。9.密码一旦被泄露或丢失,则相应的密码要立即更换。 10.各类工作人员对本制度的执行情况,将依照集团公司综合责任制考核办法进行考核。11.本制度自2001年1月1日起执行。
密码使用管理规定集团公司文件内部编码:(TTT-UUTT-MMYB-URTTY-ITTLTY-
密码管理制度 一、目的 为确保本单位网络和信息系统的安全平稳运行,保障数据信息安全,特制订此管理制度。 二、适用范围 本制度适用本单位所有工作人员。 三、管理规定 1、本单位计算机登陆帐号、密码管理工作由技术部负责。 2、本管理制度所称的帐号、密码,是指登陆各应用系统、网络设备等各类计算机软 件、硬件系统的用户名和密码。 3、所有人必须提高安全认识,帐号和密码由用户自行保留,不得泄漏或转借他人使 用,不得借用他人帐号;不得利用帐号、密码从事破坏计算机软件系统、硬件系统的活动。 4、各类帐号的密码设置使用如下规则: 4.1、密码字应超过8个字符; 4.2、密码字应由字母和数字组成,重要帐号不要使用仅由字母或者数字组成的口令 字; 4.3、避免使用姓名、生日以及其他常用的密码; 5、对网络管理员、系统管理员和系统操作员所用密码需部门负责人在场时由系统管 理员记录封存,由技术部负责保存。 6、技术部有权力检查封存密码的有效性。检查时须由部门负责人启封,并由系统管 理员登陆验证。
7、密码及口令要定期更换(视网络具体情况),口令更换周期不得长于三个月,更换后系统管理员要销毁原记录,将新密码或口令记录封存。 8、如发现密码及口令有泄密现象,系统管理员要立刻报告技术部负责人,同时要保护好现场并记录,需接到上级批示后再更换密码和口令。 9、遇到安全问题时,及时汇报上级领导,采取措施及时解决。 10、任何人不得利用各种网络设备或软件技术从事用户帐户及密码的侦听、盗用活动,该活动被认为是对网络用户权益的侵犯。 11、网络管理员、系统管理员、操作员调离岗位后一小时内由部门负责人监督检查更换新的密码; 12、侦听、盗用行为一经查实,将提请给予行政处分;行为恶劣、影响面大、造成重大损失的,依法交由公安部门处理。
第一章总则 第一条目的 为规范本公司办公密码的使用并确保其安全,特制定本制度。 第二条适用范围 适用于全体员工。 第三条办公密码的分类 本公司办公密码包括以下五种类型: 第二章办公密码管理细则 第四条办公密码保管/借用 1、办公密码涉及公司机密文件及资料,各部门办公密码使用人妥善管理自己使用的办公设备/系统密码,保管人员直接上级主管/经理必须随时了解所管辖员工保管密码的更新情况。 2、若其他人员因工作需要使用到自己保管的密码,须经部门主管同意后才可将密码提供他人使用。在相关人员使用密码后的一个工作日内,须及时对密码进行修改,并及时填写OA流《办公密码变更登记表》申报更改。 第五条电脑开机密码设置 除以下可设置开机密码的岗位外以及行政部经理特批的情况以外,其他人员不得随意设置电脑开机密码。 第六条办公密码变更申报 1、需使用OA流《办公密码变更登记表》申报变更的情况包括以下七种:①更改密码、②更改使用人、③更
换密码并更改使用人、④增加备案人、⑤增加使用人、⑥新增密码、⑦其他。 2、申报负责人:一般情况下,办公密码变更OA申报由密码保管人(即使用人)负责。如因人员离职/调动/休长假需变更密码,由员工直接上级进行OA申报。办公室主任负责进行店面办公密码变更OA申报。 3、申报时间:密码产生变更后一个工作日内。 第七条办公密码登记备案 1、密码备案人(一般为部门主管、经理)根据《各岗位人员密码设置对照表》(附件四)的要求,负责备案管辖员工办公密码,及时更新《办公密码设置登记表》。一般情况下,行政经理/部门经理需备案管辖区域/部门所有人员的密码;部门主管只备案本科室各人员的密码。 2、公司各员工如因工作需要需备案其他部门密码,应提前通过公Q向相关部门经理申请,经过批准后才可进行密码的备案。 3、密码备案人接收密码保管人因密码变更而进行的OA流《办公密码变更登记表》申报时,须及时向相关人员核实确定密码变更情况,并更新登记《办公密码设置登记表》。 4、行政管理科负责存档备案各区域/部门《办公密码设置登记表》。 第三章办公密码季度检查规定 第八条本公司例行办公密码检查时间为每年3、6、9、12月28日-30日。 第九条行政文秘/行政会计负责季度办公密码检查工作,如因文秘需看管前台,店面办公密码季度检查工作可由办公室主任开展。 第十条检查出纳所保管的存折密码可由办公室主任/行政助理不定期进行,一般在出纳需到银行取款时随同前往,只需检查出纳是否记得该存折密码,不需了解密码的具体内容。 第十一条办公密码检查工作关系到公司各类文件、资料的安全保密,检查人需严肃认真对待,发现差异须如实记录并及时向相关部门汇报,不得推脱隐瞒或知情不报。检查人不得利用职务之便询问/打探办公密码。 第四章办公密码管理工作各相关部门职责 第十二条店面、办公密码使用人 1.持有办公密码的人员须对密码安全保密负责,不得向他人泄露密码。如发生密码丢失/被盗/转借他人使用等情况,一个工作日内更改密码并填写OA变更申报。遇无法处理的情况立即向上级部门汇报。 2.店面办公密码如有变更,统一告知办公室主任,由办公室主任填写OA变更申报。 第十三条办公密码备案人 1.备案人负责管辖员工办公密码的登记备案,收到密码变更信息须及时更新《办公密码设置登记表》。 2.每月第五个工作日。总部各部门经理、分区行政经理需将有变更的《办公密码设置登记表》通过邮件形式
文档 . 密码管理制度 为进一步加强密码设备的管理、及时、妥善处置突发性涉密问题,防止失、泄密事件的发生,根据《保密法》和上级行有关规定,制定本办法。 一、组织机构 成立密码设备管理委员会,负责对密码设备管理工作的领导。 二、委员会职责 1、及时召开会议学习上级有关密码设备管理工作的文件,总结研究部署密码设备管理工作。 2、定期或不定期对密码设备的使用情况、管理工作开展情况进行检查,查找隐患、堵塞漏洞、防范风险,确保密码设备的绝对安全和正常运行。 3、加强密码队伍建设,加强密码设备管理人员的政治思想教育和保密意识教育,定期地向全局干部职工进行遵纪守法和职业道德教育,努力做到不出现失、泄密事故。 三、具体要求 1、涉密部门应由专人保管密码设备,做到责任到人。 2、涉密部门应严格执行保密规定,履行密码设备使用手续,按规定权限使用设备,注意保密。 3、涉密部门应加强对密码设备、密押印文及一切有关国家机密文件、电报、函件、资料、统计数字的保密,严禁携带回家或在外出时对外泄露。 4、当密码设备发生技术故障时,设备所属部门应及时与密码设备管理委员会报告,委员会将应及时报告上级行进行设备维修或更换。 5、涉密部门发生密码设备丢失、密码设备被盗失控、密码丢失、密码被窃失控可能造成国家损失的紧急涉密事件发生时,应立即、及时将情况上报密码设备管理委员会,支行密码设备管理委员会通过检查现场、询问相关人员等方式及时查清情况,并报上级主管单位。 6、本办法所指密码设备为密押机、密押卡、带有转字密码的保险库(箱)、涉及使用密码的电子计算机设备等。 7、本办法所指涉密部门为拥有、使用密码设备的部门。
XXXX公司 账号密码及权限管理制度 1总则 1.1 目的 为加强公司信息系统账号和密码管理,通过控制用户密码、权限,实现控制访问权限分配,防止对公司网络的非授权访问,特制订本管理办法。 1.2 范围 所有使用本公司网络信息系统的人员。 1.3 职责 公司所有使用信息系统的人员均需遵守本管理办法规定。行政部网络工程人员负责建立账号和密码管理的规范并推动执行、审核和检查落地执行情况。 1.4 术语和定义 内部网络:是指在本公司内部所有客户端等组成的局域网。包括但不限于OA 系统以及数据库系统等。 2控制内容 1.1 用户注册 ?新用户必须加入域,否则不允许入网。 ?域用户账号由网络管理员在该用户上岗使用公司网络系统前建立,命名 原则为职工工号。
?一自然人对应一个系统账号,以便将用户与其操作联系起来,使用户对 其操作行为负责。 ?用户因工作变更或离开公司时,管理员要及时取消或者锁定该用户所有 账号,对于无法锁定或者删除的用户账号采用更改密码等相应的措施规 避风险。 ?系统管理员应定期检查并取消多余的用户账号。 1.2 权限管理 ?行政部系统管理员负责分配新用户系统权限,负责审批用户权限变更申 请是否与信息安全策略相违背。 ?特权用户必须按授权程序通过系统等部门主管批准,才可给予相应的权 限。 ?系统管理员应保留所有特权用户的授权程序与记录。 ?权限设定要明细化,尽可能减少因拥有的权限化分较粗带来的不正当信 息访问或误操作等现象的发生。若某些权限无法细分,则需加强对用户 的单独监控。 ?只有工作需要的信息访问要求,才可授权。每个人分配的权限以完成本 岗位工作最低标准为准。 ?系统管理员对分配的所有权限记录进行维护。不符合授权程序,则不授 予权限。 ?对于本公司外的用户,需要访问本公司内部资源时,需要由用户的接待 者申请为其办理授审批程序。 1.3 密码的选择 密码的选择应参考以下规则:
信息 账 户、密码管理规定 1.目的: 为进一步加强与规范公司信息系统帐户、密码的管理,提高信息系统的安全性,避免 信息系统权限的滥用以及机密信息的泄漏,特制定本规定。 2.范围: 2.1适用范围:本制度适用于国美电器有限公司信息系统平台上所使用的全部操作系统、 应用系统(包括但不限于邮件系统、OA系统、HR系统、NC系统、ERP系统等)以及各类网 络设备必须遵守本条例的规定。 2.2发布范围:国美电器总部各中心、各大区所有人员。 3.名词解释: 3.1 信息系统帐户、密码:特指国美电器有限公司信息系统中所使用的各类用于系统身份 识别的账户及密码。 4.职责: 总部信息中心及分部IT部门: 4.1总部信息中心负责规划和制定信息系统帐户、密码管理的相关流程和制度。 4.2总部信息中心及分部IT部门负责信息系统帐户、密码的初始化生成。
4.3总部信息中心信息安全部负责的制度的执行情况进行检查与监督。 其他部门及全体员工: 4.4负责员工个人的系统帐户、密码的使用及管理,并对该帐户的所有行为负责。 5. 管理制度: 5.1帐户、密码的管理: 5.1.1 信息管理中心信息安全部负责制定并管理信息系统账户密码管理制度、策略及具体落实。 5.1.2 信息系统账户、密码分为管理员账户、密码以及普通用户账户、密码两类。总部信息管理中心负责信息系统账户的命名、建立、分发以及初始密码的设置;信息管理中心信息安全部将负责对执行情况进行监督与复核。 5.1.3 总部信息管理中心授权各分公司、事业部系统部负责辖区内信息系统账户命名、建立以及分发工作,但必须遵守本条例的规定;总部信息管理中心信息安全部将进行不定期审计。 5.2账户、密码的使用及维护: 5.2.1 网络设备、服务器设备以及应用系统的管理员账户(超级用户)由信息管理中心统一制定与分发,并授权相应的系统管理人员使用与维护,但必须遵守本条例的相关规定以及其他相关安全制度的要求,确保其安全性。 5.2.2 系统管理员账户(超级用户)的使用范围授权严格受限,所有系统中必须开启超级用户的使用日志审计功能。
涉密文件与密码电报管理制度 第一条涉密文件是指以文字、符号、图形、图像、声音等方式记载国家秘密信息的纸介质、磁介质、光介质等。 第二条涉密文件的管理 (一)指定专人负责本单位(部门)涉密文件的制作、收发、传递、使用、清退、归档、销毁等工作。 (二)涉密文件制作应标明密级、保密期限,注明发放范围及制作数量,绝密级、机密级涉密文件应当编排顺序号。其印制应在学院机要室进行。制作涉密文件所收集的原始材料过程中形成的中间材料包括文件、资料的草稿、废稿、废页、讨论稿、征求意见稿、审议稿等,都应当由专人负责,妥善保管,不得随意丢弃或者泄露。涉密文件制作完成后不需要保存的,应当按秘密文件、资料销毁的要求,及时销毁或送学院保密办统一销毁。 (三)涉密文件收发以各种形式传递的涉密文件,除注明个人、单位的亲启件、特殊件外,一律由机要人员拆封登记后方可使用。在接收时,要严格履行清点、
核对、签收手续,并及时编号、登记造册。如发现问题,应及时向发文机关查询并采取相应的处理措施。参加会议带回的秘密文件、资料,个人不得保存,必须及时移交学院机要人员保管,移交时要认真履行移交手续。如有需要下发至学院二级单位的涉密文件,由主管领导根据涉密文件的密级、知悉范围和工作需要确定发放范围,发放时严格履行登记、签收手续。 (四)涉密文件传递向外传递涉密文件应通过机要交通、机要通信部门或指派专人传递,不得通过普通邮局邮寄。 (五)涉密文件使用外来涉密文件的传达和阅读,由主管领导根据涉密文件的密级、制作单位的要求以及实际工作需要确定知悉人员范围,任何单位、个人不得擅自扩大知悉范围。 部门领导应在办公室或指定地点,及时阅读、处理涉密文件,不得将涉密文件带回家中或公共场所阅办。任何个人不得私自留存涉密文件。 (六)涉密文件存放涉密文件必须存放于单位的密码柜或档案柜中,不得存放在个人家中和无保密措施的普通文件柜中。集中存放涉密文件的场所和部位应当加固门窗、安装防盗报警装置。 (七)涉密文件归档每年度需要归档的涉密文件
1.0目的 为了确保网络安全运行,阻止黑客攻击或非法用户越权防问,防止敏感信息的丢失、泄漏或破坏,保证公司的利益。 2.0适用范围 本规范适用于公司所有应系统、网络设计以及网络终端的密码管理。 3.0定义 4.0职责 4.1 IT部:IT部负责本规范的制定和维护;IT负责本规范的执行与监督。 5.0规范内容 5.1每个系统管理员、维护人员或用户的帐号和密码必须是一一对应的。 5.2 密码最长期限:密码的有效期限根据系统特点在系统内设置,当密码的使用时间达到 或超过此期限时,系统会自动要求用户更改密码。用户应及时按提示更改密码,否则 系统会将用户账号锁定。 5.3强制密码历史:密码不应与原有密码相同,否则就失去了密码期限限制的作用。域用 户只有在更改过3次密码后,才能再次使用以前的密码,但不可使用IT部门交付的初 始密码 5.4 密码最小长度:密码最小长度为6位字符,系统管理员和系统维护人员的密码长度至少 为8位字符。 5.5密码复杂性要求密码至少应包括以下四种字符中的3种:
5.5.1大写英文字符 5.5.2小写英文字符 5.5.3阿拉伯数字 5.5.4特殊符号(如!/$/#/%等) 5.6用户密码不能包含用户名称中的3个或3个以上字符。 5.7以下情况发生后,帐号将被锁定: 5.7.1连续五次输入错误的密码后; 5.7.2超过密码最长期限仍未更改密码; 5.7.3计算机黑客攻击。 当出现用户账号被锁定的提示时,用户应联系IT部处理。 5.8 每个密码所有者都应该确保密码不被他人所知,一旦密码被他人获得,应及时更改密 码或者通知IT部处理。 5.9Active Directory的Administrator用户必须在改名后,由风控组系统管理员保管, 各系统管理员在日常工作使用各自的授权用户名。 6.0 相关表单 7.0附则 本办法由IT部拟定并负责解释,经EMT审批后下发实行。 8.0附件 无
权限密码管理制度 1.总则 1.1. 为确保厂信息系统安全稳定运行,特制订此管理制度。 2. 服务器、网络设备口令管理 2.1 重要信息系统服务器的账户及口令,由部门负责人和系统管理员商议确定,必须两人同时在场设定。 2.2 网络安全设备的账户及口令密码须部门负责人在场时由网络安全管理员记录封存。 2.3 密码及口令要定期更换(视网络具体情况),更换后系统管理员要销毁原记录,将新密码或口令记录封存(方式同2.2)。 2.4 如发现密码及口令有泄密迹象,系统管理员要立刻报告部门负责人,经批示后再更换口令。 3. 用户帐号及口令的管理 3.1 在选择和使用口令时用户应遵守良好的安全习惯。 口令提供了确认用户身份的手段,因此,要建立访问信息处理设施和服务的权利。建议所有用户: 3.1.1 保密口令; 3.1.2 避免保留口令的纸记录,除非可以安全的保存; 3.1.3 每当有任何迹象表明系统或口令可能受到损害时就变更口令;
3.1.4 设置口令应按照集团公司口令设置规范的要求,选择优质口令,这些口令: 3.1. 4.1 要易于记忆; 3.1. 4.2 不能基于别人可能易于猜出或获得的与使用人相关的信息,例如,名字、电话号码和生日等等; 3.1. 4.3 避免连续的相同的字符或全数字或全字母组; 3.1.5 定期或以访问次数为基础变更口令(有特权的账户用的口令应比常规口令更频繁地予以变更),并且避免重新使用旧的口令或周期性使用旧的口令; 3.1.6 在初次登陆时更换临时口令; 3.1.7 在任何自动登陆过程(例如,以宏或功能键存储)中,不要包含口令; 3.1.8 个人的用户口令不要共享; 如果用户需要访问多服务或平台,并且要求维护多个口令,则应建议他们可以使用一个优质的口令(见上述3.1.4)用于所有服务,而这些服务对所存储的口令提供了合理级别的保护。 3.2 口令是确认用户访问计算机服务权限的主要手段之一。口令管理系统应提供有效的、交互式的、确保优质口令的装置(关于口令使用的指南见3.1)。 某些应用要求由某个独立机构分配的用户口令。在大多数情
编号:SM-ZD-64823 信息系统密码安全管理办 法 Through the process agreement to achieve a unified action policy for different people, so as to coordinate action, reduce blindness, and make the work orderly. 编制:____________________ 审核:____________________ 批准:____________________ 本文档下载后可任意修改
信息系统密码安全管理办法 简介:该制度资料适用于公司或组织通过程序化、标准化的流程约定,达成上下级或不同的人员之间形成统一的行动方针,从而协调行动,增强主动性,减少盲目性,使工作有条不紊地进行。文档可直接下载或修改,使用时请详细阅读内容。 1.1制定目的 (1) 规范公司信息系统密码管理。 (2) 确保网络安全运行,保护信息系统、服务器不受侵害。 1.2适用范围 凡隶属本公司信息系统用户,悉依照本办法所规范之体制管理。 1.3权责单位 (1) 信息科负责本办法制定、修改、废止之起草工作。 (2) 总经理负责本办法、修改、废止之核准。 2 信息系统密码安全管理办法 (1)服务器、应用系统账号和密码要专人专管不得转借他人使用。为了避免账号被盗,密码不定期更换,建议密码长度不少于6位,建议数字与密码组合使用。 (2)如果用户密码忘记,需用户本人亲自申请恢复密
码。 (3)拥有新账户的员工,需尽快修改初始密码,防止账号被盗用。 (4)服务器和服务器数据库超级用户必须设置密码,系统管理员严格保管数据库和服务器的登录密码。 (5)服务器和数据库的超级用户密码设置位数必须大于10位。除数据库的超级用户密码和服务器密码不定期更换,其他密码由信息中心工程师定期更换,操作时间为每月1号,并在信息总监处以电子形式留有备份,提交备份时间为每月1号。密码类型密码长度更换时间服务器超级用户密码大于10位两个月更换一次数据库超级用户密码大于10位设置好后不做更换系统管理员密码大于6位一个月更换一次ftp及防火墙等管理员密码大于6位一个月更换一次 (6)机房工作人员应严格执行密码管理规定,对操作密码定期更改,任何密码不得外泄,如有因密码外泄而造成各种损失的,由当事人负全部责任。 2011-2-1
公司信息化系统用户权限管理制度 第一章总则 第一条为了规范公司信息化系统的权限管理工作,明确系统用户权限的管理职责,结合公司实际情况,特制定本制度。 第二条相关名词解释 信息化系统:公司ERP系统,炼钢生产管控系统、报表系统、在线质量判定系统、物资计量网、调度日报系统、能力计划系统、物资计量系统、热轧自动仓储、冷轧自动仓储、一卡通、OA、内网、文档管理、IT运行管理等系统。 权限:在信息化系统中用户所能够执行的操作及访问的数据。 第三条本制度的适用范围为公司各单位,其中派驻站、ERP权限变更按照其归属部门流程提报。 第二章职责分工 第四条运营改善部作为信息化系统用户权限的归口 管理部门,主要负责各系统内用户权限的命名、审批、上报、配置、监控、删除、通知和培训等管理工作。负责《公司信息化系统用户权限管理制度》的修订、培训、实施、检查。 第五条各相关部室和作业部负责指定本单位权限管理员和权限审批者参与权限管理工作,权限管理员负责本单位信息系统权限的收集、申请、下发、测试、反馈;权限审
批者负责本单位申请的系统权限进行审批把关,并对权限申请后形成的业务结果负责。 第六条系统用户负责本人权限测试、保管工作;负责权限密码泄密后的上报和密码更换工作;负责依据本人权限进行相应系统操作。 第三章系统用户权限管理 第七条用户权限的申请 业务部门根据实际业务,需要新建(变更)信息化系统用户的权限,由本部门权限管理员在公司IT运行管理系统中填报权限新增(变更)申请。 第八条用户权限的审批 信息系统用户权限新增(变更)申请在公司IT运行管理系统中由申请单位权限审批者进行审批。 第九条用户权限的系统实现 经公司IT运行管理系统申请的系统权限,由运营改善部权限管理员于收到权限申请后一个工作日内完成权限审批、配置、变更工作,对于审批通过的ERP权限申请,由运营改善部按照《R/3系统用户申请表》、《用户权限变更申请表》要求完成上报工作。 第十条用户权限的系统测试 申请单位权限管理员在接到权限配置完成的信息后,应及时通知相关用户,在两个工作日之内完成系统权限测试,存在问题的由权限管理员反馈运营改善部。申请单位权限管