信息系统帐户密码管理规定

信息系统口令密码和密钥管理The final edition was revised on December 14th, 2020.信息系统口令、密码和密钥管理1范围本标准规定了信息网网络安全管理人员的职责、管理内容和工作要求，以及信息系统口令、密码和密钥管理。

本标准适用于公司所有信息网络、应用系统及设备和用户所有层次的口令管理。

2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款，凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本标准。

1994 国务院中华人民共和国计算机信息系统安全保护条例国务院273号令商用密钥管理条例1998 国家保密局中华人民共和国计算机信息系统保密管理暂行规定2000 国家保密局中华人民共和国计算机信息系统国际联网保密管理规定2003 公司网络与信息安全管理办法（试行）2006 公司信息网防病毒运行统计管理规范（试行）2006 公司信息网用户行为规范（试行）3术语与定义以下术语和定义适用于本标准。

信息系统信息系统是用系统思想建立起来的，以电子计算机为基本信息处理手段，以现代通讯设备为基本传输工具，且能为管理决策提供信息服务的人机系统。

即，信息系统是一个由人和计算机等组成的，能进行管理信息的收集、传输、存储、加工、维护和使用的系统。

密钥密钥是一组信息编码，它参与密码的“运算”，并对密码的“运算”起特定的控制作用。

密钥是密码技术中的重要组成部分。

在密码系统中，密钥的生成、使用和管理至关重要。

密钥通常是需要严格保护的，密钥的失控将导致密码系统失效。

4职责信息中心职责4.1.2 信息中心负责信息网系统的服务器、网络设备的口令、密码和密钥的设置和保管，指导相关部门设置应用系统的口令、密码和密钥；指导各用户设置开机口令。

信息中心各专职职责4.1.3 网络安全管理员负责保管网络设备及相关安全防护设备(系统)的账号、口令的设置和更改。

信息密码管理制度一、总则为了加强信息安全管理，保障信息系统的安全稳定运行，维护信息系统和信息资源的完整性、保密性和可用性，我公司特制定本管理制度。

二、适用范围本制度适用于我公司所有的信息系统、信息资源以及相关人员的信息管理工作。

三、密码管理1. 密码的设置（1）密码的复杂性用户设置的密码必须包含至少8位字符，且需要包含大小写字母、数字和特殊字符。

（2）密码的周期性更换用户的密码需要定期更换，建议每90天更换一次。

（3）密码的不重复性用户的密码在一年内不得重复使用。

2. 密码保存与传输（1）密码的保存用户的密码不得明文保存在任何地方，包括纸质文件、电子文档等。

（2）密码的传输在网络传输密码时，必须采用加密的方式传输，禁止使用明文传输密码。

3. 密码的归属管理（1）密码的归属单位各部门需要设立专门的密码管理人员，对部门内的密码进行管理。

（2）密码的分级管理根据不同的系统和信息资源，设置不同的密码安全等级，对密码进行分级管理。

4. 密码的使用规范（1）个人密码管理员工个人密码仅限个人使用，不得转借他人使用。

（2）超级用户密码管理超级用户密码由专门的管理人员保管，需要经过严格的权限审批才能获取。

5. 密码的监测和违规处理（1）密码的监测系统管理员需要对密码进行定期的检测和审计，确保密码的安全性。

（2）密码的违规处理对于密码管理方面的违规行为，将依据公司相关规定进行处理，包括警告、记过、罚款等处理。

四、密码管理的责任1. 公司领导层的责任公司领导层要高度重视信息密码管理工作，并提供必要的资源、支持和保障。

2. 部门领导的责任部门负责人要对本部门的密码管理工作负责，建立健全密码管理制度，定期进行密码安全培训。

3. 系统管理员的责任系统管理员要严格执行公司的密码管理制度，确保系统和信息资源的安全稳定运行。

4. 员工的责任员工要严格遵守密码管理制度，妥善保管自己的密码，如发现密码泄露或丢失，要及时向部门领导或系统管理员报告。

送检密码管理制度一、总则为了加强信息系统的安全管理，保护企业信息资产的安全，减少信息泄露的风险，提高企业信息系统的安全性能和稳定性，特制定本密码管理制度。

二、适用范围本制度适用于企业所有员工在信息系统中使用的密码，包括但不限于计算机、手机、邮箱等各类系统、软件和应用程序。

三、密码生成1. 密码应以英文字母、数字、特殊符号组合的方式生成，长度不少于8位。

2. 应避免使用个人信息、生日、电话号码等容易被他人猜测到的内容作为密码。

3. 不得使用简单、重复的密码作为个人账号的密码。

四、密码使用1. 账号密码仅限于本人使用，不得借借或转让给他人使用。

2. 不得在他人面前明文输入密码。

3. 禁止使用他人的账号密码进行系统登录和使用。

五、密码存储1. 不得将密码明文存储在计算机文档、备忘录等任何文档或文件中。

2. 不得在计算机或手机的自动保存功能中保存密码信息。

3. 不得将密码告知他人或以其他形式存储在公共场所。

六、密码修改1. 周期性地修改密码，建议不少于3个月一次。

2. 在遗忘密码、怀疑账号被盗等情况下，应及时申请密码修改。

七、密码保护1. 在计算机公共场所，应谨慎输入密码，确保他人无法偷窥。

2. 不得和他人讨论、泄漏自己的密码信息。

3. 不得在各类社交平台、网站上留下自己的密码信息。

八、密码审核1. 管理员应定期对所有员工的密码进行检测和审核。

2. 对发现存在风险的密码，应及时要求员工修改。

九、密码备份1. 员工应当将重要密码备份至安全的存储设备中。

2. 备份的存储设备应设置密码或者加密，以防泄露。

十、违规处理1. 对于违反密码管理制度的员工，公司将给予警告、扣减奖金、调整岗位等处罚。

2. 对于故意泄露密码、滥用权限等行为，公司将依法追究其法律责任。

十一、附则1. 公司对密码管理制度享有最终解释权。

2. 本制度将于颁布后即刻生效。

以上即为本公司密码管理制度，希望所有员工遵守并执行。

密码是信息系统的第一道防线，我们将协助您加强安全，保障公司和个人数据的安全。

公司信息账号管理制度
一、总则
1. 为了加强公司信息账号的管理，确保信息资源的安全与有效利用，特制定本制度。

2. 本制度适用于公司所有员工及合作伙伴，涉及所有公司信息账号的使用、管理和维护。

3. 公司信息账号包括但不限于电子邮件、社交媒体、办公系统、数据库等电子账户。

二、账号管理原则
1. 统一管理：公司信息账号由专门的管理部门负责统一管理，确保账号的规范使用和安全。

2. 权限分级：根据工作需要和职责划分，对账号权限进行分级管理，防止权限滥用。

3. 定期审计：定期对信息账号的使用情况进行审计，确保账号使用的合规性。

三、账号使用规范
1. 实名制注册：所有信息账号必须以真实身份注册，不得使用匿名或虚假信息。

2. 密码管理：用户应设定复杂的密码，并定期更换，严禁将密码透露给他人。

3. 使用记录：用户应保存好自己的操作记录，以便必要时进行查阅和核实。

四、账号申请与注销
1. 新员工入职时，需向管理部门提出信息账号申请，明确所需账号的类型和权限。

2. 员工离职或岗位变动时，应及时通知管理部门，由管理部门负责相关账号的注销或权限
变更。

五、违规处理
1. 对于违反账号管理规定的行为，公司将视情节轻重给予警告、罚款或其他纪律处分。

2. 如因个人原因导致公司信息泄露或账号安全事件，相关责任人应承担相应的法律责任。

六、附则
1. 本制度自发布之日起实施，由公司管理部门负责解释和修订。

2. 本制度最终解释权归公司所有。

信息系统系统密码使用管理制度信息系统密码使用管理制度一、总则信息系统密码使用管理制度制定的目的是为了保护信息系统的安全性和保密性，加强对密码的管理，防止密码被泄露、滥用或不当使用，确保信息系统的正常运行和数据的安全。

二、适用范围本制度适用于所有使用信息系统的工作人员，包括但不限于内部员工、外部合作伙伴和供应商等。

三、密码的相关定义1.系统密码：指用于认证、加密和保护信息系统和数据安全的密码。

2.账户密码：指用户用于登录信息系统的密码。

3.应用密码：指用于访问特定应用或功能的密码。

4.管理密码：指信息系统管理员或系统维护人员使用的密码。

四、密码的与设置1.密码的：密码应由系统自动，遵循安全性和复杂性原则，包括大小写字母、数字和符号的组合。

2.密码的设置：密码应遵循以下要求：a) 长度要求：密码长度不得少于8个字符。

b) 复杂性要求：密码中需包含大小写字母、数字和符号。

c) 定期更换：密码应定期更换，建议每3个月更换一次。

d) 禁止共享：密码不得共享或透露给任何其他人员。

五、密码的使用与保护1.密码的使用：密码应遵循以下要求：a) 帐户密码：每个用户应拥有一个唯一的账户密码，不得使用他人密码。

b) 应用密码：每个应用或功能应使用独立的应用密码。

c) 防止暴力：登录失败超过一定次数将触发暂时锁定账户的措施。

2.密码的保护：密码应遵循以下要求：a) 密码不得以明文形式保存。

b) 禁止使用弱密码，如生日、方式号码等容易被猜测的密码。

c) 禁止将密码存储在任何公共或未加密的存储介质上，如纸质记录、邮件、云端文档等。

d) 禁止将密码发送给他人，包括方式、邮件、短信等方式。

e) 防止社会工程攻击：当收到索要密码的请求时，应验证请求的合法性，避免被钓鱼网站或欺诈行径所诱骗。

六、密码的修改和重置1.密码的修改：用户应定期修改密码，建议每3个月进行一次更换。

2.密码的重置：密码重置应遵循以下要求：a) 密码重置需经过身份验证，确保密码重置请求的合法性。

信息系统口令、密码和密钥管理1范围本标准规定了信息网网络安全管理人员的职责、管理内容和工作要求，以及信息系统口令、密码和密钥管理。

本标准适用于公司所有信息网络、应用系统及设备和用户所有层次的口令管理。

2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款，凡是注日期的引用文件，其随后所19941998200020032006200633.13.2密钥4职责4.14.1.2部门设置应用系统的口令、密码和密钥；指导各用户设置开机口令。

4.2信息中心各专职职责4.1.3网络安全管理员负责保管网络设备及相关安全防护设备(系统)的账号、口令的设置和更改。

4.1.4主机管理员负责主机、数据库系统的账号、口令的设置和更改。

4.1.5应用系统管理员负责应用系统的账号、口令的设置和更改。

4.1.6网络信息安全员负责管理和监督检查信息网络的安全工作，参加信息网系统事故调查、分析处理和信息网安全事故上报及督促现场安全措施落实，以及网络系统各类分析、统计报告的编制和上报工作。

5管理内容与要求5.1主机与网络设备(含安全防护系统)口令、密码管理5.1.1各类主机、网络设备应有明确的管理员负责管理，管理员负责其管辖范围的账号、口令的设置和更改。

5.1.2各类主机的超级用户口令和网络设备配置口令必须定期更换，更换周期不得超过1个月。

5.1.3各管理员应将口令用信封封存后交网络信息安全员统一保管，如遇管理员出差等情况需打开信封，必须征得信息中心主管同意后方可打开信封使用口令，管理员回来后及时更改口令并重新封存。

口令的保存、更改和开封启用均要有详细记录。

严禁私自启封。

5.1.4更换账号、口令后，必须立即提交新的密封件交网络信息安全员保管，并重新进行登记，旧的密封件当面销毁。

5.1.5不同权限人员应严格保管、保密各自职责的口令，严格限制使用范围，不得向非相关人员透露，原则上不允许多人共同使用一个帐户和口令。

系统管理员不得拥有数据库管理员（DBA）的权限；数据库管理员不得同时拥有系统管理员的权限；数据库管理员应为不同的不同应用系统的数据5.1.6证，户名、5.1.75.25.2.15.2.25.2.35.2.4借他人。

密码使用管理制度概述密码使用管理制度是一项非常重要的安全措施。

它用于保护公司的账户和数据，防止未经授权的人员访问敏感信息。

该制度规定了一系列密码设置、管理和使用的规则，以确保密码安全和合规性。

密码设置规则1.密码长度大于8个字符；2.必须包含至少一个数字和一个特殊字符；3.区分大小写；4.避免使用基于个人信息或常用字典的单词；5.密码强度评分大于等于80分。

密码管理规则1.需要定期更改密码，建议每90天更换一次密码；2.新密码不应与旧密码相同；3.避免使用连续或重复的字符；4.不得将密码保存在公共区域，如办公室公共电脑、纸质备忘录等；5.不得将密码告诉他人，包括公司内外的人员；6.登录帐号时，注意保护密码输入，防止被旁观；7.在离开电脑前，必须登出账户或锁定屏幕。

密码使用规则1.严格遵守公司的密码使用规则；2.公司要求使用多个不同的密码时，不得使用同一密码；3.不得将公司的密码用于个人的在线账户，如社交账号、电子邮件等；4.不得将公司的密码用于非安全连接或非授权的连接；5.所有公司密码必须由IT部门监控和管理；6.出现密码泄露或被盗与怀疑帐户受到非法登录的情况，应及时通知IT部门。

密码安全管理策略1.密码复杂性：密码应该是难以破解的，建议使用数字、字符和大小写字母混合，以确保强密码；2.定期更改密码：定期更改密码可以防止潜在的密码泄露，以及避免持续定位和跟踪；3.限制访问：限制那些能够访问系统的人是非常重要的。

只有有必要的用户，才能够通过验证访问系统；4.监视记录：记录尝试登录的所有用户的用户名和访问时间。

如果发现异常尝试，就应该对这些尝试进行更深入的审计；5.安全保护：对于重要的数据，需要将它们存放在受到保护的存储地点中。

这样会使得未经授权的访问更难发生。

密码安全教育课程1.提供基本的密码使用指南和技巧；2.提供密码管理的实践教育，包括更改、管理密码等；3.提供关于密码保护的实践教育，包括登出账户、锁定屏幕等；4.定向针对不同用户群体提供自适应的密码安全教育课程。

单位用户账号管理制度一、总则为加强单位用户账号管理，提高信息系统安全等级，保护单位信息资产安全，特制定本制度。

二、账号管理范围本制度适用于单位内所有用户账号的管理，包括但不限于员工、临时工、实习生等。

三、账号申请1. 用户账号申请应由主管部门负责人填写《单位用户账号申请表》，并经过信息化管理部门审核确认，方可发放账号。

2. 用户账号申请表中应明确提供申请者的基本信息，包括姓名、工号、部门、职务等。

3. 外单位人员账号申请需提供单位介绍信，并经过相应部门审核确认。

四、账号设置1. 账号应设置符合安全要求的初始密码，并规定密码复杂度要求，如包含大写字母、小写字母、数字和特殊符号。

2. 不同权限账号需要设定不同的权限级别，并动态调整。

3. 未绑定手机和邮箱的账号需要补充这些信息，用于密码找回和安全验证。

五、账号使用1. 用户应妥善保管自己的账号信息，不得转借、租借或出售账号。

2. 用户在使用账号时，应遵守国家相关法律法规，并维护单位信息系统的安全和稳定。

3. 用户应定期更改密码，并使用安全可靠的方式存储密码，不得直接将密码存储在明文文件或共享设备中。

4. 离开工作岗位时，用户应主动注销账号或锁定电脑，以保障账号不被他人滥用。

六、账号维护1. 信息化管理部门应定期对单位用户账号进行巡检和监控，及时发现异常情况并进行处理。

2. 用户不再履行工作职责或离职时，应及时通知信息化管理部门，停用或注销相关账号。

3. 账号长时间未使用或存在安全隐患的，信息化管理部门应及时对其进行整改或撤销。

4. 对于被冻结的账号，需保留相关日志及审计信息，确保账号操作的可追溯性。

七、账号风险和应急处理1. 当发现账号异常登录、权限被非法操作等风险情况时，应立即通知信息化管理部门，尽快处理。

2. 用户应配合信息化管理部门，提供相关日志和信息，协助解决账号风险事件。

3. 在账号遭到入侵或密码泄露时，用户应第一时间修改密码，并进行相关安全检查。