密码管理制度

GZZD-XX-0371密码管理制度下发层级：一级（通用）发布时间：9月7日编码：XX-13-28目录TOC\o"1-5"\h\z制定目的2适用范围2规范事项2密码创建指引2密码保护指引2密码安全级别3密码安全管理策略实施检查4考核条款5附则5制定目的基于（以下简称“公司”）的业务需求，为明确信息资产访问控制的基本原则，强化信息资产访问控制措施的选择和实施，结合公司实际，制定本制度。适用范围本制度适用公司部门、各分支机构及其员工。规范事项一、密码创建指引（一）本制度所规范使用密码登录的系统和设备，包括但不限于各类服务器、网络设备、安全设备、监控设备、桌面PC机、各类移动设备运行的所有系统。（二）密码必须是数字、字母、符号三者的组合；避免与系统用户名相同；避免使用公司名称；避免与个人信息有关，如家庭成员姓名、电话、身份证号或生日等；避免使用简单的数字和字母组合，如相同数字或字母、顺序排列或倒序排列等。二、密码保护指引（一）公司内部使用的账号密码不要与个人账户所使用的密码一致；不同系统之间，尽可能设置不同的密码；（二）未经允许，不应与任何人分享密码，包括管理员、上下级领导、下级员工、家庭成员等；所有密码视同敏感和保密信息；.严格限制通过电话、邮件、口头、短信等方式向任何人所要或告知密码；.严格限制系统自带的记住密码功能；.严格限制将密码记录下来，并放置在办公室明显位置；4.所有的系统应强制要求用户在第一次登录后修改初始密码。三、密码安全级别根据目前现状，密码等级分为三个等级、分别是低安全级别、中安全级别和高安全级别。（一）低安全级别密码的最低要求如下：.严格符合密码创建指引；.密码长度不得小于6位；.密码必须定期更换，同一密码连续使用不得超过180天；.不能重复使用前两次的密码。.中安全级别密码的最低要求如下：.严格符合密码创建指引；.密码长度不得小于8位；.密码必须定期更换，同一密码连续使用不得超过90天；.不能重复使用前五次的密码。（二）高安全级别密码的最低要求如下：.严格符合密码创建指引；.密码长度不得小于12位；.密码必须定期更换，同一密码连续使用不得超过60天；.不能重复使用前八次的密码；.用户账号密码不得以明文存储和传输；（三）面向互联网的应用系统，禁止将支付密码和登录密码设置为同一密码，执行支付和提现操作，需设置短信验证方式，验证码长度不得小于6位。如因个人原因遗忘账号密码，可通过邮箱或者短信验证方式找回密码。（四）移动App登录时，除输入用户名/密码以外还需通过第二重认证方式进行，执行支付和提现操作，除通过支付密码进行验证还需设置第二重认证，如使用短信验证方式，则验证码长度不得小于6位，禁止将支付密码和登录密码设置为同一密码。用户未退出App，但是App重新回到前台后应通过二次认证进行用户验证或注销用户。密码安全级别适用范围低公司个人使用桌面计算机；在功能上无法满足安全级别为中的系统和设备。中重要程度为8、C和D的系统；B、C、Dm类系统所涉及的网络设备和安全设备。高要程度为A的系统；除A级以外的面向互联网的系统；以上系统所涉及的网络设备和安全设备。（五）系统级别和重要程度请详见引用文件，如个别系统因版本问题或系统本身问题，可提供系统的不支持相关策略依据，以区别系统本身原因导致的不符合密码策略情况。.用户账号和密码为个人用户所拥有，任何人不得通过任何途径获取他人的用户账号与口令。个人用户负责自己账号和密码的保密。.如因个人原因遗忘账号密码，应及时通知相关系统管理员对密码进行初始化，初始化后强制要求用户在第一次登录后修改初始密码。.公司员工如需设共享文件夹，必须加设密码。四、密码安全管理策略实施检查安全管理人员应对所有系统/设备的密码安全管理策略的实施进行抽样检查，如发现任何不合规的密码安全管理策略应及时采取相应的解决措施。（一）系统运维人员应了解进行有效访问控制的责任，特别是密码使用安全的责任。系统运维人员应保证密码安全，不得向其他任何人泄漏密码，对于因泄漏密码而造成的信息系统的损失，由运维人员本人负责。（二）当出现以下情况时，必须立即更改密码并做好相关记录：.掌握密码的网络管理人员离开岗位；.因工作需要，由相关厂家或第三方公司人员使用过的账号及密码；.一旦有迹象表明密码可能被泄露。（三）当发生以下情况时，系统管理员应立即取消账号或修改账号的相应权限，并做好相关记录：.账号使用者已经离职；.账号使用者由于工作的变动不再需要访问权限；.由于工作需要开通的临时账号已到期.账号使用者违背了有关密码管理规范。考核条款严重违反本制度相关条款，造成重大信息安全事件，对公司业务及公司形象造成严重影响的，相关责任人按《行政管理制度》甲类考核。违反本制度相关条款，造成普通信息安全事件，对公司业务及公司形象造成轻微影响的，相关责任人按《行政管理制度》乙类考核。违反本制度相关条款，但未造成信息安全事件，视违反行为情节严重程度，相关责任人按《行政管理制度》丙