下载文档原格式
密码口令管理制度一、制度目的为了保护公司和员工的信息安全,同时防范外部恶意攻击和内部密码泄露风险,确保信息系统和数据的安全性和完整性,特制定本制度。
二、适用范围本制度适用于公司的所有员工,包括全职员工、兼职员工和临时员工,同时也适用于所有公司的信息系统和数据。
三、密码口令的定义1. 密码:密码是一串字符,用于验证使用者身份,并授权其访问系统或数据的凭证。
2. 口令:口令是一种用于验证使用者访问权限的密码。
与传统密码相比,口令通常由长短不等的文字、数字和特殊符号组成。
四、密码口令的安全性要求1. 长度要求:密码口令的最小长度为8个字符,包括至少一个大写字母、一个小写字母、一个数字和一个特殊字符。
2. 复杂度要求:密码口令中的字符应当具有一定的复杂度,不宜使用容易被猜测或推断的信息,例如生日、家庭地址、电话号码等。
3. 定期更新:公司要求员工定期更改密码口令,一般为3个月一次。
在密码更新时,不应当使用与之前相同或相似的密码口令。
4. 禁止共享:严禁将个人密码口令告诉他人,包括家人、同事和其他人员。
5. 临时口令控制:公司有权临时分配口令给员工,但员工应当在首次登录后立即更改为个人安全口令,并及时通知系统管理员进行记录和处理。
6. 双因素认证:对于特定敏感系统和数据,公司要求采用双因素认证,强化安全性。
五、密码口令的使用管理1. 注册口令:员工入职后应当立即向系统管理员注册个人密码口令,并定期更新。
2. 登录限制:系统会自动记录错误的登录尝试次数,并在设定的次数后锁定账户。
员工应当谨慎操作,避免多次错误登录。
3. 密码找回:公司不提供员工密码口令的找回服务,员工忘记密码应当向系统管理员申请密码重置,并在重置后立即更改为新的安全密码口令。
4. 密码存储:公司不允许员工将个人密码口令明文存储在电子设备或纸质文档中,包括记事本、邮件、聊天记录等。
5. 密码传输:当员工需要传输密码口令时,应当利用加密通道,避免明文传输和使用公共网络。
帐号口令管理制度一、总则随着互联网的快速发展,大量的个人信息和企业机密都存储在互联网上,因此帐号安全是至关重要的。
帐号口令是保障帐号安全的第一道防线。
为了强化帐号口令管理,减少帐号被盗的风险,本制度制定,以规范化、标准化、统一化帐号口令管理工作,加强帐号安全保护。
二、适用范围本制度适用于所有公司内部帐号口令管理工作。
三、帐号口令的要求1. 复杂度要求:帐号口令要求使用字母、数字、特殊字符的组合,长度不少于8位。
2. 定期更新:所有帐号口令需定期更新,建议每3个月更新一次。
3. 不易猜测:帐号口令不得使用与个人相关的信息,如生日、姓名、电话号码等。
4. 禁止共用:帐号口令严禁共用,每个帐号只能由相应的人员使用。
5. 安全保管:帐号口令应妥善保管,不得随意泄露给他人。
6. 即时处理:一旦发现帐号口令异常,应立即修改并报告相关部门。
四、帐号口令管理流程1. 设定帐号口令:由管理员为新帐号设定初始口令,口令需符合复杂度要求。
2. 定期更新口令:系统会定期提示用户更新口令,用户需按要求更改口令。
3. 口令修改记录:用户每次修改口令后,系统需记录下修改的时间和人员。
4. 强制修改口令:如果发现口令存在安全隐患,管理员有权强制要求用户修改口令。
五、帐号口令管理责任1. 管理员职责:负责制定和执行帐号口令管理制度,监督帐号口令的使用情况。
2. 用户责任:用户应严格遵守本制度规定,妥善保管自己的帐号口令。
3. 安全部门职责:负责对帐号口令进行安全评估和检测,及时发现并解决存在的安全隐患。
4. 监督部门职责:对各部门的帐号口令管理情况进行监督检查,发现问题及时提出整改建议。
六、帐号口令管理的技术保障1. 密码加密:对用户的帐号口令进行加密存储,防止明文存储导致泄露。
2. 口令强度检测:系统能够对用户设置的口令强度进行评估,提供安全性建议。
3. 口令过期提醒:系统会在口令过期前提醒用户及时更改口令,防止口令长时间未更换。
单位口令管理制度第一章总则第一条为规范单位口令管理,保障单位信息安全,提高工作效率,根据国家相关法律法规,制定本管理制度。
第二条本管理制度适用于所有单位内部口令的管理工作,包括但不限于计算机登录口令、文件加密口令等。
第三条口令必须严格保密,不得向他人泄露,不得以书面、口头、电子等方式存储。
第四条口令应定期更换,口令长度、复杂度等应符合相关规定。
第五条口令管理负责人为单位的信息安全负责人,负责本单位口令管理工作。
第六条口令管理工作应当与网络安全工作相结合,相互协作、相互配合,做好口令的安全管理。
第七条口令管理应当采取多种手段,包括定期演练、培训等,提高员工对口令安全的意识。
第二章口令设置与变更第八条口令应当设置一定的位数,一般不少于八位,并且包含数字、字母和特殊字符,确保口令的复杂度。
第九条口令必须定期更换,一般不超过三个月一次,特殊情况下需要更换时,应当立即更换。
第十条在员工离职或者调动时,原口令应当立即更换,确保口令不被滥用。
第十一条口令的设置应当因应不同的系统、不同的权限设置而有所区别,权限高的口令应更为严格。
第十二条口令应当妥善保存,不得以明文形式保存,严禁在电脑上以文本文件等形式存储口令。
第三章口令使用与监控第十三条口令使用应当严格对应实际操作人员,不得借用他人口令,口令不得共享。
第十四条口令使用时应当注意周围环境的安全,确保在输入口令时不被他人观察到。
第十五条口令使用者应当对口令的安全负有责任,不得将口令泄漏给他人。
第十六条口令使用者应当遵守公司网络安全相关规定,不得恶意攻击系统、不得利用口令滥用权限。
第十七条口令使用情况应当进行记录和监控,对异常使用行为及时进行处理并报告相关负责人。
第十八条口令使用者应当接受相关安全教育和培训,提高对口令安全的认识和应对能力。
第四章口令管理责任第十九条口令管理责任人应当严格执行上级机构的相关规定,确保本单位口令的安全管理。
第二十条口令管理责任人应当制定本单位的口令管理制度和管理办法,并进行宣传和指导。
系统口令管理制度第一章总则第一条为了加强对系统口令的管理,规范系统口令的使用,保障信息系统的安全性,提高系统运行效率,特制定本制度。
第二条本制度适用于本单位所有使用信息化设备的部门及所有使用本单位信息系统的人员。
第三条系统口令是用户登录信息系统的一种凭证,是用户在使用计算机系统时的安全保障。
口令的泄漏将直接导致信息系统的安全性受到威胁。
第四条本制度所称系统口令包括操作对象密码、超级用户密码等各类系统管理员、用户和操作人员的密码。
第五条系统口令管理应当遵循保密原则,确保系统口令存储安全、传输安全、使用安全,严防系统口令被窃取和不当使用。
第六条本制度的内容包括但不限于口令的设置、修改、储存、传输、使用、查看、注销、违约处理等事项。
第七条本制度由本单位信息化管理部门负责起草,经本单位领导审批后下发,并由信息化管理部门负责解释。
第八条本制度自颁布之日起生效。
第二章口令的设置和修改第九条系统口令的设置应当符合一定的复杂性要求,包括但不限于长度、字符类型、历史记录等。
第十条系统口令设置应当遵循以下规定:(一)系统口令长度不得少于8个字符;(二)系统口令应同时包含数字、大小写字母和特殊符号,并且尽量不使用连续的或重复的字符;(三)系统口令在一定时间内不得重复使用。
第十一条系统口令的修改应当定期进行,具体频率由信息化管理部门根据实际情况设定。
第十二条系统口令的修改应当由用户本人进行,不得委托他人,更不得在普通的传输渠道上传输系统口令。
第十三条系统口令在一定时间内未被使用时,应当由用户本人进行修改。
如果用户本人无法进行修改,应当及时向信息化管理部门申请协助。
第三章口令的储存和传输第十四条系统口令的储存应当采用加密的方式进行,确保系统口令的安全性。
第十五条系统口令的传输应当采用加密的方式进行,不得使用明文传输或者其他不安全的方式进行传输。
第十六条在网络传输系统口令时,应当使用加密通道进行传输,并且遵循相关安全协议。
口令管理制度范文第一章总则为规范口令管理,加强信息安全,保障企业和个人的利益,根据《中华人民共和国网络安全法》等相关法律法规和国家标准,制定本制度。
第二章适用范围本制度适用于本企业所有员工,以及与本企业合作的相关单位和个人。
第三章口令管理的基本原则1.口令的设置应当具有一定的复杂性,包括数字、字母、符号的组合,长度不少于8位。
2.口令应当定期更换,原则上每三个月更换一次。
3.口令应当采取加密存储,不得以明文形式存储在电脑或通信设备中。
4.口令不得外泄、共享,不得以任何形式写在电脑、纸质文件或其他地方。
5.口令丢失或泄露应当及时报告。
第四章口令的设置和管理1.口令的设置应当遵循以下原则:(1)不使用出现在字典中的单词;(2)不使用重复的数字、字母或符号;(3)不使用与个人信息相关的内容,如生日、家庭地址等;(4)应结合大小写字母、数字和符号组成。
2.口令的管理:(1)口令由系统管理员统一设置,并告知用户;(2)口令的更换由系统管理员统一组织,并告知用户;(3)口令忘记或泄露应当及时向系统管理员报告。
第五章口令的使用1.口令的使用:(1)口令需在登陆、操作或修改相关信息时使用;(2)口令不得用于访问未经授权的系统或信息;(3)不得以明文形式在网络上传输口令。
2.口令的保护:(1)不得将口令告知他人;(2)不得将口令以邮件、即时通讯等方式发送给他人;(3)不得在公共场所输入口令,尤其是ATM机、网吧等地方;(4)在使用他人设备时,不得保存或记录自己的口令。
3.口令的更改:(1)用户应按照规定定期更改口令;(2)用户应及时更改可能已泄露的口令。
第六章口令的泄露和丢失1.口令的泄露:(1)一旦发现口令泄露,应当立即修改;(2)及时向系统管理员报告,配合系统管理员进行相关调查。
2.口令的丢失:(1)口令丢失应当立即向系统管理员报告;(2)在确认口令丢失后,应及时更改。
第七章口令安全培训1.新员工入职时应进行口令安全培训;2.定期组织口令安全知识的宣传和培训;3.对发生口令泄露事件的员工进行口令安全培训。
帐号口令管理制度一、制度目的为了确保网络安全,保护帐号和个人信息的安全,提高帐号的安全性和可靠性,制定本帐号口令管理制度。
二、适用范围本制度适用于公司所有的员工和外部合作伙伴。
三、口令设置原则1.合法合规:口令的设置必须符合国家相关法律法规和公司的信息安全政策,不得违法违规。
2.复杂性:口令必须具备一定的复杂性,包括大小写字母、数字和特殊字符的组合。
3.定期更新:口令必须定期更新,建议每三个月更新一次。
5.个性化:口令应个性化,避免使用与个人信息相关的内容。
6.口令长度:口令长度应在8-16个字符之间。
7.不重复使用:禁止重复使用以前使用过的口令。
8.不将口令告知他人:禁止将口令告知他人,包括同事、家人等。
如有需要共享帐号,应通过安全渠道进行。
四、口令管理规范1.初始设置:员工在第一次获得帐号时,需要设置一个符合上述口令设置原则的初始口令。
2.定期更新:员工需要定期更改口令,具体更新时间由公司信息安全部门指定。
3.口令保密:员工必须保证口令的安全,不得将口令告知他人,包括同事和家人。
4.口令存储:员工不得将口令以明文形式存储在计算机、云盘、移动存储设备等地方,可以采用加密的方式进行存储。
5.丢失或泄露处理:如果员工发现自己的口令丢失或者泄露,应立即通知公司的信息安全部门,并按照其要求进行处理。
6.暂离电脑时处理:员工在暂离电脑时应将电脑锁屏,以防他人盗用帐号。
五、违规处理措施1.口令不符合要求:对于设置不符合要求的口令,信息安全部门将要求员工立即修改,直到符合要求。
2.未定期更新口令:对于未按规定定期更新口令的员工,信息安全部门将进行警示教育,同时要求尽快更新口令。
3.口令泄露或丢失:对于发现自己的口令被泄露或丢失的员工,信息安全部门将调查原因并采取相应措施,包括重置口令、限制帐号权限等。
4.严重违规处理:对于严重违反本制度的员工,信息安全部门将依据公司相关规定进行严肃处理,包括警告、停职、辞退等。
公司计算机系统用户口令(密码)安全管理规定第一章总则第一条为加强公司计算机系统用户口令(密码)的安全管理,提高计算机系统用户口令(密码)安全管理规范化、制度化水平,完善信息安全管理体系,特制定本规定。
第二条公司、各下属子公司的计算机系统用户口令(密码)的安全管理适用本规定。
本规定不包括应用系统客户口令管理和用于保护文件共享等非登录计算机系统用户的口令管理。
第三条本规定所称计算机系统用户口令(密码)是指在登录计算机系统过程中,用于验证用户身份的字符串,以下简称计算机系统用户口令。
计算机系统用户口令主要为静态口令、动态口令等。
静态口令一般是指在一段时间内有效,需要用户记忆保管的口令。
动态口令一般是指根据动态机制生成的、一次有效的口令。
计算机系统用户口令主要包括:主机系统(数据库系统)、网络设备、安全设备等系统用户口令;前端计算机系统用户口令;应用系统用户口令;桌面计算机系统用户口令。
第四条计算机系统用户口令的安全管理遵照统一规范、重在意识、技术控制与管理措施相结合的原则。
第五条计算机系统用户口令持有人应保证口令的保密性,不应将口令记录在未妥善保管的笔记本以及其他纸质介质中(密码信封除外),严禁将口令放置在办公桌面或贴在计算机机箱、终端屏幕上,同时严禁将计算机系统用户口令借给他人使用,任何情况下不应泄漏计算机系统用户口令,一旦发现或怀疑计算机系统用户口令泄漏,应立即更换。
第六条计算机系统用户口令必须加密存储计算机系统中,严禁在网络上明文传输计算机系统用户口令,在用户输入口令时,严禁在屏幕上显示口令明文,严禁计算机信息系统输出口令明文(密码信封除外)。
第七条计算机系统用户口令持有人应保证口令具有较高安全性。
选择使用口令安全强度较高的口令,不应使用简单的代码和标记,禁止使用重复数字、生日、电话号码、字典单词等容易破译的计算机系统用户口令。
第八条任何人不得利用盗取、猜测、窥视、破解等非法手段获取他人计算机系统用户口令,盗用他人访问权限,威胁信息系统安全。
附件:天津市电力公司信息系统帐号、口令管理规定(试行)第一章总则第一条为了规范天津市电力公司信息系统中终端计算机、服务器、网络设备、应用与系统相关帐号、口令的建立、使用、维护,保证计算机安全和天津市电力公司信息系统正常有序的运行,特制定本管理规定。
第二条本规定适用于所有使用公司信息系统的用户,包括数据库系统管理员、业务系统管理员、网络管理员、业务系统的使用人员。
同样适用于天津市电力公司信息系统范围内所有使用个人计算机及网络的员工。
第二章术语解释第三条授权用户:●天津市电力公司内部人员:指天津市电力公司的在册职工;●非天津市电力公司内部人员:指临时到天津市电力公司工作,但非天津市电力公司正式员工的人员,包括但不限于开发商、集成商、供应商、顾问、合作人员、临时工、外聘人员、外包业务人员等。
第四条帐号●帐号∶指在系统内设定的可以访问本系统内部资源的ID或其他许可形式;●管理员帐号:指在系统中具有较大的权限,能对网络、应用、系统进行关键性设置权限的账号,典型用户为系统管理员;●超级管理员帐号:指对系统具有超级权限的帐号,包含但不限于UNIX的ROOT,WINNT的administrators组成员,数据库的DBA等用户;●公用帐号:指供一组人使用的帐号,其合法使用人限于一个组内;●匿名帐号:供不确定身份的人员使用的帐号。
第五条口令●口令:指系统为了认证帐号使用人的身份而要求使用人提供的证据,如在数据库系统的口令,办公自动化系统的帐号文件及帐号口令;●健壮口令:具有足够的长度和复杂度,难于被猜测的口令;●弱口令:仅由字母、单词、数字或其简单的组合,易于被猜测的口令。
第三章帐号的建立第六条系统要求●天津市电力公司信息系统所使用的计算机操作系统、业务系统、数据库、网络设备、应用软件等均需要支持基于帐号的访问控制功能;●所有需要使用口令的应用软件、业务系统都需要对口令文件提供妥善的保护。
第七条帐号申请原则●只有授权用户才可以申请帐号;●任何系统的帐号设立必须按照规定的相应流程规定进行,具体流程见“附录一:账号、口令建立、变更、取消流程”;●用户申请帐号前应该接受适当的培训,以确保能够正常的操作,避免对系统安全造成隐患;●帐号相应的权限应该以满足用户需要为原则,不得授予与用户职责无关的权限;●任何帐号必须是可以区分责任人,责任人必须细化到个人,不得以部门或个人组作为责任人。
密码口令管理制度一、总则为了加强对企业信息系统安全的管理,防范信息泄漏、网络攻击和数据泄露等安全风险,保障企业的信息安全,有效管理密码口令是必不可少的。
因此,制定本密码口令管理制度,对企业内部的密码口令进行统一管理,加强密码口令的安全性和可靠性。
二、适用范围本管理制度适用于企业所有员工,包括管理人员、技术人员、普通员工等,所有使用密码口令的系统、应用、设备均适用本口令管理制度。
三、密码口令的安全要求1. 密码长度要求:密码长度不得少于8位。
2. 密码复杂度要求:密码中必须包含字母、数字和特殊字符,并且不能是常用的密码,例如123456、abc123等。
3. 密码更新要求:密码至少每90天更新一次。
4. 密码存储要求:密码不得明文存储,在传输和存储过程中必须进行加密处理。
5. 多因素认证要求:在可能的情况下,采用多因素认证方式,提高账户的安全性。
四、密码口令的保密要求1. 严禁将个人账户密码告知给他人,包括同事、朋友、家人等。
2. 严禁在办公场所或公共场所使用密码口令登录系统,防止密码泄露。
3. 不得在网络上以明文形式传输密码,包括邮件、即时通讯工具等,必须通过加密方式进行传输。
4. 不得将密码写在纸质文件或电子文档中,以免被他人窃取。
五、密码口令的使用管理1. 每个员工应当拥有唯一的个人账户和密码,不得共享账户和密码。
2. 管理人员需对账户权限进行合理分配,根据员工的职责和需求分配相应的权限。
3. 在员工离职或调岗时,及时收回其账户和密码的使用权限。
4. 对于特殊权限的账户,需要采取额外的安全措施,例如定期检查权限使用情况、限制特殊权限的账户登录范围等。
六、密码口令的安全管理1. 员工应当对个人密码进行定期检查和更新,当发现密码可能被泄露或疑似被破解时,应及时更改密码。
2. 当员工怀疑自己的密码可能被他人使用或系统被入侵时,应及时向管理员汇报,并请求更改密码。
3. 在使用弱密码的系统、应用、设备时,应当提醒员工及时更改密码,加强密码的安全性。
建立口令管理规则的要求
在当今数字化的时代,口令管理规则变得至关重要。
口令是用户身份验证的一部分,它保护着个人和组织的重要信息和数据。
因此,建立口令管理规则是非常必要的。
下面是一些建立口令管理规则的要求:
1. 复杂性要求,口令必须足够复杂,包括大小写字母、数字和特殊字符,以增加破解的难度。
2. 长度要求,口令长度应该足够长,一般要求8个字符以上,甚至更长。
3. 定期更改,口令应该定期更改,通常是每90天或更短的时间间隔。
4. 禁止共享,口令是个人的身份验证信息,不应该被共享或泄露给他人。
5. 多因素认证,建议启用多因素认证,以提高安全性。
6. 禁止常用口令,禁止使用常见的口令,如"123456"、"password"等。
7. 教育和培训,对用户进行口令管理方面的教育和培训,让他们了解口令管理的重要性和正确的做法。
8. 锁定机制,设定口令输入错误次数限制,超过限制后锁定账户一段时间。
9. 审计和监控,对口令管理进行审计和监控,及时发现和解决问题。
总之,建立口令管理规则是保护信息安全的基本要求,只有严格执行这些规则,才能有效地保护个人和组织的信息安全。
附件:
天津市电力公司
信息系统帐号、口令管理规定(试行)
第一章总则
第一条为了规范天津市电力公司信息系统中终端计算机、服务器、网络设备、应用与系统相关帐号、口令的建立、使用、维护,保证计算机安全和天津市电力公司信息系统正常有序的运行,特制定本管理规定。
第二条本规定适用于所有使用公司信息系统的用户,包括数据库系统管理员、业务系统管理员、网络管理员、业务系统的使用人员。
同样适用于天津市电力公司信息系统范围内所有使用个人计算机及网络的员工。
第二章术语解释
第三条授权用户:
●天津市电力公司内部人员:指天津市电力公司的在册职工;
●非天津市电力公司内部人员:指临时到天津市电力公司工作,但非天津市电力公司正式员工的人员,包括但不限于开发商、
集成商、供应商、顾问、合作人员、临时工、外聘人员、外包业
务人员等。
第四条帐号
●帐号∶指在系统内设定的可以访问本系统内部资源的ID或其他许可形式;
●管理员帐号:指在系统中具有较大的权限,能对网络、应用、系统进行关键性设置权限的账号,典型用户为系统管
理员;
●超级管理员帐号:指对系统具有超级权限的帐号,包含但不限于UNIX的ROOT,WINNT的administrators组成员,
数据库的DBA等用户;
●公用帐号:指供一组人使用的帐号,其合法使用人限于一个组内;
●匿名帐号:供不确定身份的人员使用的帐号。
第五条口令
●口令:指系统为了认证帐号使用人的身份而要求使用人提供的证据,如在数据库系统的口令,办公自动化系统的帐
号文件及帐号口令;
●健壮口令:具有足够的长度和复杂度,难于被猜测的口令;
●弱口令:仅由字母、单词、数字或其简单的组合,
易于被猜测的口令。
第三章帐号的建立
第六条系统要求
●天津市电力公司信息系统所使用的计算机操作系统、业务系统、数据库、网络设备、应用软件等均需要支持基于
帐号的访问控制功能;
●所有需要使用口令的应用软件、业务系统都需要对口令文件提供妥善的保护。
第七条帐号申请原则
●只有授权用户才可以申请帐号;
●任何系统的帐号设立必须按照规定的相应流程规定进行,具体流程见“附录一:账号、口令建立、变更、取消流程”;
●用户申请帐号前应该接受适当的培训,以确保能够正常的操作,避免对系统安全造成隐患;
●帐号相应的权限应该以满足用户需要为原则,不得授予与用户职责无关的权限;
●任何帐号必须是可以区分责任人,责任人必须细化到个人,不得以部门或个人组作为责任人。
第八条公用帐号
●系统应当严格限制开设公用帐号,一般情况下公用帐号不得具有访问保密信息和对系统写的权限;
●公用帐号应该设立责任人,责任人必须是天津市电力公司内部人员,负责帐号的正常使用及维护。
第九条匿名帐号
●匿名帐号只被允许访问系统中可公开的资源,不得访问任何内部公开及内部公开以上保密等级的资源;
●系统应对匿名账号的访问进行详细记录。
第四章口令的设立
第十条口令的生成
●帐号分配时必须同时生成相应的口令,并且与帐号一起传送给用户;
●用户在接受到帐号和口令后,必须马上修改口令,任何时间都不得存在没有口令的帐号;
●对于系统的帐号验证只有口令作为证据的系统,如果帐号名由确定的且公开的规则产生的,则口令不应当为公开的
口令;
●管理员在传递帐号和口令时,应当采取加密或其他安全的传输途径,以保证口令不会被中途截取。
第十一条口令设立的原则
●帐号口令必须是具有足够的长度和复杂度,使口令难于被猜测;
●帐号口令应定期进行修改;
●新口令与旧口令之间应没有直接的联系,以保证不可由旧口令推知新口令;
●帐号的口令不应当取有意义的词语或其他符号,如使用者的姓名,生日或其它易于猜测的信息。
第十二条口令的最低标准
●普通用户口令长度不得低于8位,最近6个口令不可重复,口令中必须包含字母和数字;
●管理员和超级管理员帐号口令长度不得低于8位,最近10个口令不可重复,口令中必须包含字母、数字、符号,
口令中同一个符号出现不得多于2次,各个口令中相同位置的字符相同的不得多于3个,口令不得为有意义的单词或短语。
第五章账号的变更
第十三条帐号的权限变更
●用户在工作职责发生变化,造成现有职责与现有账号权限不符时,应当申请权限的变更;管理员发现用户具有工作
不需要的权限,可以直接停止多余的权限;
●账号权限变更必须按照规定的相应流程规定进行,具体流程见“附录一:账号、口令建立、变更、取消流程”;
第十四条口令的修改
●用户应当定期修改帐号口令,修改口令的间隔应小于本标准的相关规定,对于本标准没有规定的用户,口令修改间
隔应当小于6个月;
●用户必须在管理员要求更改口令时进行更改口令;如果用户拒绝配合,管理员可以在通知用户及其主管后,关闭用
户的帐号,以保证信息系统的安全;用户如需继续使用该帐号,必须通过规定的流程向管理员申请重新开通,具体流程见“附录一:账号、口令建立、变更、取消流程”;
●用户丢失或遗忘口令,必须通过规定的相应流程向管理员申请初试化口令,用户在接到回执后,应马上更改口令,
具体流程见“附录一:账号、口令建立、变更、取消流程”;
●管理员不可在没有用户申请的时候私自更改用户帐号的口令;
●超级管理员帐号的口令属于系统最高机密,应该严格限定使用范围;其他人员确因工作需要而使用超级管理员帐号
和口令的,应当向超级管理员帐号和口令的责任人申请口令,并在完成操作后,由责任人更改口令。
第六章账号的取消
第十五条帐号的取消
●用户如果因职责变动而离岗,不再需要系统权限且无须将帐号移交给其他责任人,其原岗位主管应当申请帐号的销
户,由管理员取消其账号;
●用户离职后,管理员应当关闭用户在系统中的所有权限;
●账号取消必须按照规定的相应流程规定进行,具体流程见“附录一:账号、口令建立、变更、取消流程”。
第七章账号、口令的维护
第十六条帐号的使用
●任何帐号只限于申请过程中声明的用户使用,禁止其他人使用此帐号;
●信息系统正式运行前,必须更改系统中的缺省帐号口令,以保证正式环境的安全;
●用户不得使用帐号访问与自己工作无关的资源。
第十七条用户的责任与义务:
●所有用户有义务确保自己的口令的安全,系统帐号与口令不得泄漏给他人,同时避免使用弱口令;
●对于使用便携式计算机的用户,应确保设置开机BIOS口令;
●使用远程登陆的用户,确保不将口令保留在计算机上;
●不将内部应用系统中使用的帐号和口令用于其他个人应用中;
●任何人不得公开其本人或他人口令的全部或部分;
●严禁任何人通过任何手段非法取得他人帐号和口令进入系统;
●任何人不得将其帐号的口令告之无权使用此帐号的人,如果用户此种行为导致其他人用此帐号造成对天津市电力公
司信息系统的影响,帐号持有人和造成影响的行为的实施人负有相同的责任;
●严禁任何人利用系统安全漏洞访问其权限之外的资源。
第十八条系统管理员的责任与义务:
●确保除匿名帐号外,所有系统用户都必须有口令;
●定期审计,检查系统用户的数量和权限;
●确保系统和网络设备无默认帐号和口令;
●确保关键应用服务器启用口令强制策略;
●对用户进行口令安全培训;
●同一个管理员在不同主机上应使用不同的帐号和口令。
第八章考核与处罚
第十九条对违反本规定的用户根据津电安监〔2007〕36 号《天津市电力公司安全生产工作奖惩规定》进行处罚。
第二十条如对安全生产造成影响,则依据〔2002〕05 号《天津市电力公司信息系统事故调查及考核办法》进行处理。
对于违反国家法律的,依法追究法律责任。
第九章维护与解释
第二十一条本规定由天津市电力公司科技信息部每年审视一次,根据审视结果修订,并颁布执行。
第二十二条本规定的解释权归科技信息部。
第二十三条本规定自签发之日起生效,以前发布的相关制度作废。
附录一账号、口令建立、变更、取消流程
一、用户填写书面账号申请单,详细、正确填写相关内容;
二、由用户所在部门的主管进行申请内容的审查,并做批复;
三、交于科技信息部相关人员进行审批;
四、对于涉及天津市电力公司涉密信息的账号申请应交于总经理工作部进行审批;
五、用户将申请单交于科技信息部,由科技信息部负责进行账号、口令的建立、变更、取消。
科技信息部进行相应的记录备案。
六、当用户接收到账号、口令后,应立即更改口令,且口令强度应符合本管理规定的要求。
七、例外情况:
因系统安全原因或紧急情况,在得到相关主管部门允许
的情况下,不经过以上流程而执行帐号操作。
附录二账号、口令建立、变更、取消申请表
总经理工作部
审批(涉密账号
需要)
备注用户签章。
