密码使用监督管理条例
商用密码管理条例
商用密码管理条例【法规标题】商用密码管理条例【英文译本】Regulation on the Administration of Commercial Cipher Codes【发文字号】中华人民共和国国务院令[第273【发布部门】国务院号]【批准部门】【批准日期】【发布日期】1999.10.07 【实施日期】1999.10.07【时效性】现行有效【效力级别】行政法规【法规类别】质量管理监督机构与人员【唯一标志】23549中华人民共和国国务院令(第273号)第一章总则第一条为了加强商用密码管理,保护信息安全,保护公民和组织的合法权益,维护国家的安全和利益,制定本条例。
第二条本条例所称商用密码,是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。
第三条商用密码技术属于国家秘密。
国家对商用密码产品的科研、生产、销售和使用实行专控管理。
第四条国家密码管理委员会及其办公室(以下简称国家密码管理机构)主管全国的商用密码管理工作。
省、自治区、直辖市负责密码管理的机构根据国家密码管理机构的委托,承担商用密码的有关管理工作。
第二章科研、生产管理第五条商用密码的科研任务由国家密码管理机构指定的单位承担。
商用密码指定科研单位必须具有相应的技术力量和设备,能够采用先进的编码理论和技术,编制的商用密码算法具有较高的保密强度和抗攻击能力。
第六条商用密码的科研成果,由国家密码管理机构组织专家按照商用密码技术标准和技术规范审查、鉴定。
第七条商用密码产品由国家密码管理机构指定的单位生产。
未经指定,任何单位或者个人不得生产商用密码产品。
商用密码产品指定生产单位必须具有与生产商用密码产品相适应的技术力量以及确保商用密码产品质量的设备、生产工艺和质量保证体系。
第八条商用密码产品指定生产单位生产的商用密码产品的品种和型号,必须经国家密码管理机构批准,并不得超过批准范围生产商用密码产品。
第九条商用密码产品,必须经国家密码管理机构指定的产品质量检测机构检测合格。
商用密码管理条例
商用密码管理条例第一章总则第一条为了加强商用密码管理,保护信息安全,保护公民和组织的合法权益,维护国家的安全和利益,制定本条例。
第二条本条例所称商用密码,是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。
第三条商用密码技术属于国家秘密。
国家对商用密码产品的科研、生产、销售和使用实行专控管理。
第四条国家密码管理委员会及其办公室(以下简称国家密码管理机构)主管全国的商用密码管理工作。
省、自治区、直辖市负责密码管理的机构根据国家密码管理机构的委托,承担商用密码的有关管理工作。
第二章科研、生产管理第五条商用密码的科研任务由国家密码管理机构指定的单位承担。
商用密码指定科研单位必须具有相应的技术力量和设备,能够采用先进的编码理论和技术,编制的商用密码算法具有较高的保密强度和抗攻击能力。
第六条商用密码的科研成果,由国家密码管理机构组织专家按照商用密码技术标准和技术规范审查、鉴定。
第七条商用密码产品由国家密码管理机构指定的单位生产。
未经指定,任何单位或者个人不得生产商用密码产品。
商用密码产品指定生产单位必须具有与生产商用密码产品相适应的技术力量以及确保商用密码产品质量的设备、生产工艺和质量保证体系。
第八条商用密码产品指定生产单位生产的商用密码产品的品种和型号,必须经国家密码管理机构批准,并不得超过批准范围生产商用密码产品。
第九条商用密码产品,必须经国家密码管理机构指定的产品质量检测机构检测合格。
第三章销售管理第十条商用密码产品由国家密码管理机构许可的单位销售。
未经许可,任何单位或者个人不得销售商用密码产品。
第十一条销售商用密码产品,应当向国家密码管理机构提出申请,并应当具备下列条件:(一)有熟悉商用密码产品知识和承担售后服务的人员;(二)有完善的销售服务和安全管理规章制度;(三)有独立的法人资格。
经审查合格的单位,由国家密码管理机构发给《商用密码产品销售许可证》。
第十二条销售商用密码产品,必须如实登记直接使用商用密码产品的用户的名称(姓名)、地址(住址)、组织机构代码(居民身份证号码)以及每台商用密码产品的用途,并将登记情况报国家密码管理机构备案。
电子认证服务密码管理办法
电⼦认证服务密码管理办法第⼀条为了规范电⼦认证服务提供者使⽤密码的⾏为,根据《中华⼈民共和国电⼦签名法》和《商⽤密码管理条例》,制定本办法。
第⼆条国家密码管理局对电⼦认证服务提供者使⽤密码的⾏为实施监督管理。
省、⾃治区、直辖市密码管理机构受国家密码管理局的委托,依据本办法承担有关管理⼯作。
第三条电⼦认证服务提供者采⽤密码技术为社会公众提供第三⽅电⼦认证服务的系统(以下称电⼦认证服务系统)使⽤商⽤密码。
第四条提供电⼦认证服务,应当依据本办法申请《电⼦认证服务使⽤密码许可证》。
第五条申请《电⼦认证服务使⽤密码许可证》应当具备下列条件:(⼀)具有符合《证书认证系统密码及其相关安全技术规范》的电⼦认证服务系统;(⼆)电⼦认证服务系统由具有商⽤密码产品⽣产资质的单位承建;(三)电⼦认证服务系统采⽤的商⽤密码产品是国家密码管理局认定的产品;(四)电⼦认证服务系统通过国家密码管理局安全性审查。
第六条申请《电⼦认证服务使⽤密码许可证》应当向省、⾃治区、直辖市密码管理机构提交下列材料:(⼀)使⽤密码的书⾯申请;(⼆)企业法⼈营业执照或者企业名称预先核准通知书(复印件);(三)电⼦认证服务系统通过安全性审查的通知(复印件)。
第七条省、⾃治区、直辖市密码管理机构应当⾃受理申请材料之⽇起5个⼯作⽇内,将全部申请材料报国家密码管理局。
第⼋条国家密码管理局应当⾃收到省、⾃治区、直辖市密码管理机构报送的材料之⽇起15个⼯作⽇内对申报材料进⾏审查,并做出是否许可的决定。
予以许可的,发给《电⼦认证服务使⽤密码许可证》;不予许可的,书⾯通知申请⼈并说明理由。
第九条电⼦认证服务系统的运⾏应当符合《证书认证系统密码及其相关安全技术规范》。
电⼦认证服务提供者对其电⼦认证服务系统进⾏技术改造的,事先将具体⽅案报国家密码管理局备案,事后向国家密码管理局申请安全性审查,通过审查的⽅可投⼊运⾏。
第⼗条电⼦认证服务提供者擅⾃对电⼦认证服务系统进⾏技术改造的,由国家密码管理局责令改正,并根据不同情况向信息产业主管部门提出处罚建议。
密码使用管理制度
密码使用管理制度为了保护公司机密,加强安全意识,避免信息泄露等问题的发生,特制定本密码使用管理制度。
一、适用范围本制度适用于公司所有的员工及其使用的电子设备,包括但不限于电脑、移动设备等。
二、密码的设定1.密码长度不少于8位,必须包含大小写字母、数字和符号组成。
2.不能使用公司名称、员工个人信息、常用英文单词或数字等过于简单、容易猜测的密码。
3.对于需定期更换密码的账号,员工须在规定时间内更换密码,且新密码不得与旧密码相同。
4.对于账号安全等级较高的账号,密码应独立设置,不得与其他账号密码相同。
三、密码使用1•员工应妥善保管自己的密码,不得向他人泄露。
2.在公共场合,或使用公共设备时,不得输入任何涉及公司机密的密码。
3.不得将自己的密码告知其他人,包括但不限于同事、家人、朋友等。
4.不得将密码存储在电脑或移动设备上的明文文档中。
1.员工应使用安全可靠的登录密码,开启设备的密码保护功能。
2.不得将密码告知其他人,包括但不限于公司的[T部门。
3.如发现自己的密码泄露或异常情况,应及时联系公司的IT部门进行处理。
五、责任和制度执行1.公司所有员工均应遵守本制度,如有违反,将承担相应的责任。
2.如员工在工作中发现未按照本制度操作的行为,应采取及时举报的措施。
3.IT部门应加强对系统密码的管理,定期更新密码的加密强度,及时处理员工密码问题。
4.对于涉及公司机密的账号,IT部门应采取安全措施,对其进行加密保护。
5.对于违反本制度的情况,公司将对相关人员进行追责,并按公司规定的制度进行相关处罚。
以上是本公司密码使用管理制度,请各位员工严格遵守。
如有任何疑问和建议,欢迎提出,谢谢大家的配合!。
商用密码管理法规介绍
商用密码管理法规介绍商用密码管理法规是我国为保障信息安全、维护国家安全和社会公共利益,对商用密码的科研、生产、销售、使用等活动进行规范管理的重要法律依据。
该法规旨在加强对商用密码的监管,确保商用密码在保护商业秘密、个人信息等方面的作用得到充分发挥。
一、商用密码管理法规的制定背景随着信息技术的飞速发展,商用密码在金融、通信、电子商务等领域的应用日益广泛。
然而,商用密码的滥用、泄露等问题也日益严重,给国家安全和社会公共利益带来了潜在威胁。
为加强商用密码管理,我国于2010年颁布了《商用密码管理条例》,并于2019年进行了修订,形成了更为完善的商用密码管理法规体系。
二、商用密码管理法规的主要内容1. 商用密码的定义与分类商用密码管理法规明确了商用密码的定义,即将用于保护商业秘密、个人信息等非国家秘密信息的密码技术、产品和服务统称为商用密码。
商用密码分为核心密码、普通密码和基础密码三类。
2. 商用密码的科研、生产、销售许可制度商用密码管理法规规定,从事商用密码科研、生产、销售活动的单位,必须依法取得相应的许可证。
未经许可,任何单位和个人不得从事商用密码相关活动。
3. 商用密码的使用与管理商用密码管理法规要求,使用商用密码的单位和个人应当遵守国家有关法律法规,建立健全商用密码管理制度,确保商用密码的安全、可靠使用。
同时,法规对商用密码的检测、评估、审查等环节进行了明确规定。
4. 商用密码的安全监管商用密码管理法规明确了国家密码管理部门的监管职责,要求各级密码管理部门加强对商用密码的监督检查,对违法行为依法予以查处。
三、商用密码管理法规的实施意义商用密码管理法规的实施,有助于规范商用密码市场秩序,提高商用密码产品的安全性能,保障国家和个人信息安全。
同时,法规的出台也为我国商用密码产业的发展提供了有力保障,有助于推动我国密码产业走向国际市场。
四、商用密码管理法规对企业的指导作用1. 增强企业安全意识:法规促使企业更加重视商用密码的安全性,提高对信息安全的投入,从而降低潜在的安全风险。
浅析新规定下商用密码监管的几个方面
浅析新规定下商用密码监管的几个方面自2017年10月至12月,国家密码管理局接连颁布了几个新的商用密码管理规定以及相应的指导性文件,对商用密码的监管政策规定做了较大调整。
笔者通过学习分析这些新的变化,并结合相关已有的且继续有效的政策、法规、标准,试图较全面地理解这对商用密码(产品和技术)的生产者和应用者意味着什么。
2017年10月国家密码管理局发布了国密局字〔2017〕336号文《关于做好商用密码产品生产单位审批等4项行政许可取消后相关管理政策衔接工作的通知》,2017年12月国家密码管理局颁布了第32号公告《国家密码管理局关于废止和修改部分管理规定的决定》。
这期间,国家密码管理局还发布了相应的配套规定(含修订版)、措施、指南和模板等。
下面就几个关心的方面予以阐述:一、监管项目的变更废止了《商用密码产品销售管理规定》、《商用密码产品使用管理规定》和《境外组织和个人在华使用密码产品管理办法》,修改了《商用密码科研管理规定》、《商用密码产品生产管理规定》以及相应的流程管理和要求文件。
这意味着:1、从事商用密码科研的机构或企业,不再需要通过申请、审批取得“商用密码科研定点单位证书”(实际上,国家密码管理局已经于2015年6月按照国务院的要求取消了该项审批);2、从事商用密码产品生产的企业,不再需要通过申请、审批取得“商用密码产品生产定点单位证书”;3、从事商用密码产品销售的企业,不再需要通过申请、审批取得“商用密码产品销售许可证”;4、在国内的外资企业、境外机构或个人使用境外生产的密码产品(应该指没有通过中国检测并没有取得中国“商用密码产品型号证书”的),不再需要通过申请、审批取得“使用境外生产的密码产品准用证”,但仍需要通过申请、审批取得“密码产品和含有密码技术的设备进口许可证”;【注:国内的中资企业、政府机构和单位不允许使用境外生产的密码产品(应该指没有通过中国检测并没有取得中国“商用密码产品型号证书”)。
电子认证服务密码管理规定(5篇)
电子认证服务密码管理规定第一条为了规范电子认证服务提供者使用密码的行为,根据《中华人民共和国电子签名法》、《商用密码管理条例》和相关法律、行政法规的规定,制定本办法。
第二条国家密码管理局对电子认证服务提供者使用密码的行为实施监督管理。
省、自治区、直辖市密码管理机构依据本办法承担有关监督管理工作。
第三条提供电子认证服务,应当依据本办法申请《电子认证服务使用密码许可证》。
第四条采用密码技术为社会公众提供第三方电子认证服务的系统(以下称电子认证服务系统)使用商用密码。
电子认证服务系统应当由具有商用密码产品生产资质的单位承建。
第五条电子认证服务系统的建设和运行应当符合《证书认证系统密码及其相关安全技术规范》。
第六条电子认证服务系统所需密钥服务由国家密码管理局和省、自治区、直辖市密码管理机构规划的密钥管理系统提供。
第七条申请《电子认证服务使用密码许可证》应当在电子认证服务系统建设完成后,向所在地的省、自治区、直辖市密码管理机构提交下列材料:(一)《电子认证服务使用密码许可证申请表》;(二)企业法人营业执照或者企业名称预先核准通知书的复印件;(三)电子认证服务系统安全性审查相关技术材料,包括建设工作总结报告、技术工作总结报告、安全性设计报告、安全管理策略和规范报告、用户手册和测试说明;(四)电子认证服务系统互联互通测试相关技术材料;(五)电子认证服务系统物理环境符合电磁屏蔽、消防安全有关要求的证明文件;(六)电子认证服务系统使用的信息安全产品符合有关法律规定的证明文件。
第八条申请人提交的申请材料齐全并且符合规定形式的,省、自治区、直辖市密码管理机构应当受理并发给《受理通知书》;申请材料不齐全或者不符合规定形式的,省、自治区、直辖市密码管理机构应当当场或者在____个工作日内一次告知需要补正的全部内容。
不予受理的,应当书面通知并说明理由。
省、自治区、直辖市密码管理机构应当自受理申请之日起____个工作日内将全部申请材料报送国家密码管理局。
网络安全等级保护条例
网络安全等级保护条例(征求意见稿)目录第一章总则.......................................... - 2 - 第二章支持与保障...................................... - 4 - 第三章网络的安全保护.................................. - 5 - 第四章涉密网络的安全保护............................. - 12 - 第五章密码管理....................................... - 15 - 第六章监督管理....................................... - 16 - 第七章法律责任....................................... - 20 - 第八章附则......................................... - 23 -第一章总则第一条【立法宗旨与依据】为加强网络安全等级保护工作,提高网络安全防范能力和水平,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,依据《中华人民共和国网络安全法》、《中华人民共和国保守国家秘密法》等法律,制定本条例。
第二条【适用范围】在中华人民共和国境内建设、运营、维护、使用网络,开展网络安全等级保护工作以及监督管理,适用本条例.个人及家庭自建自用的网络除外.第三条【确立制度】国家实行网络安全等级保护制度,对网络实施分等级保护、分等级监管。
前款所称“网络”是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。
第四条【工作原则】网络安全等级保护工作应当按照突出重点、主动防御、综合防控的原则,建立健全网络安全防护体系,重点保护涉及国家安全、国计民生、社会公共利益的网络的基础设施安全、运行安全和数据安全。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
密码使用监督管理条例密码使用监督管理条例目录文档控制............................................................................................................ 错误!未定义书签。
1.概述 (2)2.适用范围 (2)3.术语解释 (2)4.帐号设立 (4)5.口令设立 (5)6.口令保护 (6)7.变更与取消 (7)8.维护 (9)9.流程 (9)10.应用开发标准........................................................................................ 错误!未定义书签。
11.规定维护与解释.................................................................................... 错误!未定义书签。
1.概述第1条随着公司网络建设的发展,内部员工大量使用基于操作系统的账号、基于数据库的账号和基于应用系统的账号,大量账号和口令的使用导致管理极大的复杂化,为了保证各个系统的账号和口令管理保持在一个一致的水平上,特制定本标准。
本标准规定了账号和口令管理的相关职责定义、管理流程。
第2条本条例为公司各网络系统的用户帐号及口令的使用、维护及处罚的依据。
2.适用范围第3条本规定适用全公司范围内的各网络系统,包括但不限于各种操作系统,路由器,交换机,数据库等业务应用系统等。
第4条本规定适用全公司范围内的各系统的用户,包括但不限于数据库系统管理员、业务系统管理员、网络管理员、业务系统使用人员、个人计算机使用者等。
同样适用于全公司范围内所有使用个人计算机及网络的员工。
3.术语解释第5条授权用户:●公司内部人员:指与公司签定“员工聘用协议书”,属于公司的正式员工。
●使用公司网络资源的非公司人员:指临时到公司工作不与公司签定“员工聘用协议书”的人员,包括但不限于开发商、集成商、供应商、顾问、合作人员、实习生、临时工、公司外包业务人员等,这类人员不是正式员工,不进入公司的人力资源管理系统。
第6条帐号●帐号∶指在系统内设定的可以访问本系统内部资源的ID或其他许可形式。
●管理员帐号:指在系统中具有较大的权限,对网络的运行和安全具有巨大影响的帐号,典型用户为系统管理员。
●超级管理员帐号:指对系统具有超级权限的帐号,包含但不限于UNIX的ROOT,WINNT的administrators组成员,数据库的DBA等用户。
●公用帐号:指供一组人使用的帐号,其合法使用人限于一个组内。
●匿名帐号:只供不确定人员使用的帐号,多用于通过INTERNET的访问。
第7条口令●口令:指系统为了鉴别帐号使用人的身份而要求使用人提供的证据,如在数据库系统的口令,NOTES系统的帐号文件及帐号口令。
●健壮口令:具有足够的长度和复杂度,难于被猜测的口令;强壮的口令具备以下特征:✓同时具备大写和小写字符✓同时具备字母、数字和特殊符号,特殊符号举例如下!@#$%^&*()_+|~-=\`{}[]:";'<>?,./)✓8个字符或者以上✓不是字典上的单词或者汉语拼音✓不基于个人信息、名字和家庭信息✓口令不应该记在非经特别保护的纸面上,不能未经加密存储在电子介质中。
口令不应该太难记忆。
●弱口令:仅由字母、单词、数字或其简单的组合,易于猜测的口令;弱口令有以下特征:✓口令长度少于8个字符;✓口令是可以在字典中直接发现的单词;✓口令比较常见,例如:o家人名字、朋友名字、同事名字等等o计算机名字、术语、公司名字、地名、硬件或软件名称o生日、个人信息、家庭地址、电话o某种模式的,例如aaabbb、asdfgh、123456、123321等等o任何上面一种方式倒过来写o任何上面一种方式带了一个数字4.帐号设立第8条系统要求●公司所使用的操作系统、业务系统、数据库、网络设备等均需要支持基于帐号的访问控制功能;●所有需要使用口令的应用软件、业务软件都需要对口令文件提供妥善的保护。
第9条帐号申请原则●只有授权用户才可以申请系统帐号;●员工使用软件系统的帐号前应该接受适当的培训,以确保能够正常的操作,避免对系统安全造成隐患;●帐号相应的权限应该以满足用户需要为原则,不得有与用户职责无关的权限;●对于确因工作需要而必须申请系统帐号的公司外部人员,则必须经部门主管批准,且有公司正式员工作为安全责任人;●任何系统的帐号必须是可以区分责任人,责任人必须细化到个人,不得以部门或个人组作为责任人;第10条公用帐号●系统应当严格限制开设公用帐号,一般情况下公用帐号不得具有访问保密信息和对系统写的权限;●公用帐号应该设立责任人,负责帐号的正常使用及维护;第11条匿名帐号●匿名帐号只被允许访问系统中可公开的且对公司有益的资源,不得访问任何内部公开及以上秘密等级的资源;●对匿名用户对系统的访问必须有详细的记录;5.口令设立第12条口令的生成●系统帐号分配时必须同时生成相应的口令,并且与帐号一起传送给用户;●用户在接受到帐号和口令后,必须马上修改口令,任何时间都不得存在没有口令的帐号,除非该帐号已经失效;●对于系统的帐号验证只有口令作为证据的系统,如果帐号名由确定的且公开的规则产生的,则口令不应当为公开的口令;●管理员在传递帐号和口令时,应当采取加密或其他安全的传输途径,以保证口令不会被中途截取。
第13条口令设立的原则●帐号口令必须是具有足够的长度和复杂度,使口令难于被猜测;●帐号口令必须是在必要时间或次数内不循环使用;●帐号的各个口令之间应当是没有直接联系的,以保证不可有以前的口令推知现在的口令;●帐号的前后两个口令之间的相同部分应当尽量减少,减低由前一个口令分析出后一个口令的机会;●帐号的口令不应当取有意义的词语或其他符号,如使用者的姓名,生日或其它易于猜测的信息。
第14条口令要求●普通用户口令长度不得低于6位,最近3个口令不可重复,口令中必须包含字母和数字;●管理员和超级管理员帐号口令长度不得低于8位,最近6个口令不可重复,口令中必须包含字母和数字,口令中同一个符号出现不得多于2次,各个口令中相同位置的字符相同的不得多于3个,口令不得为有意义的单词或短语;●所有系统管理员级别的口令(例如root、enable、NT administrator、DBA等)必需每三个月更换一次,并依照规定进行存档备份。
●所有用户级别的口令(例如email、OA用户)应每六个月变更一次。
建议4个月变更一次。
●用户所使用的任何具备系统超级用户权限(包括并不限于系统管理员账号和有su权限账号)账号口令必需和这个用户其他账号的口令均不相同。
6.口令保护第15条工作中的账号口令不要和个人其他账号口令相同。
尽量做到不同用途使用不同口令。
第16条不要把自己口令共享给他人。
第17条这是一个禁止的行为的清单•不要在email中写口令•不要给你上司口令(特权账号口令备份是个例外)•在别人面前谈论的时候,不要提到口令•不要暗示自己口令的格式•不要在调查中给出口令•不要告诉家人口令•休假时不要把自己口令告诉他人第18条如果有任何人需要口令,参照本文档,或者经过部门负责人的特别授权。
第19条不要使用非公司授权和许可的口令记忆软件。
第20条如果口令可能被破解了,应立即报告部门负责人和上级部门,并且更改所有口令。
第21条口令的更改必须指定两位专人负责,由这两人根据要求定期进行更改。
责任人必须保证口令更改的及时性、有效性,同时必须在“重要口令更改记录表”中进行详细记录,并保证在网设备的口令与记录上的口令保持一致。
第22条“重要口令更改记录表”必须锁放在机房的安全位置,钥匙由两位责任人掌握。
第23条用户账号授权应该满足最小授权和必需知道的原则。
必需知道原则指应该让用户有权限访问他工作中需要用到的信息;最小授权原则指仅让用户能够访问他工作需要的信息,其他信息则不能被该用户访问。
第24条安全专员将不定期进行口令猜测尝试,如果口令被猜出,则用户必需立即更换。
7.变更与取消第25条帐号的使用●任何帐号的使用人只限于申请帐号过程中声明的使用人使用,禁止其他人使用此帐号;●帐号系统正式使用前,必须更改原来系统中的缺省帐号的所有口令,以保证正式环境的安全;●帐号使用人在使用的过程中,不得使用帐号访问与自己工作无关的资源;第26条帐号的权限变更●帐号使用人在工作职责发生转变,造成现有职责与现有的在系统中的职责不同时,应当申请权限的修改;管理员发现用户具有工作不需要的权限,可以直接停止多余的权限;●帐号使用人在工作职责发生转变,而不再需要使用系统资源的情况下,应当申请关闭帐号;对不能关闭的帐号则需要转移帐号的责任人;第27条口令的修改●帐号的使用人应当定期修改帐号口令,修改口令的间隔应小于本标准的相关规定,对于本标准没有规定的用户,其间隔应当小于6个月;●帐号用户必须在管理员要求更改口令时进行更改口令;如果用户拒绝配合,管理员可以在通知用户及其主管后,关闭用户的帐号,以保证系统的安全;●帐号用户丢失或遗忘口令,必须通过规定的流程向管理员申请初试化口令,用户在接到回执后,应马上更改口令;●帐号用户要求口令修改的方式必须是可以确保用户身份的,且管理员必须有记录;●管理员不可在没有用户申请的时候私自更改用户帐号的口令,除非是经过领导审批的工作需要;●系统的超级管理员帐号的口令属于系统最高机密,应该严格限定使用范围;其他人员确因工作需要而使用超级管理员帐号和口令的,应当向超级管理员帐号和口令的责任人申请口令,并在完成操作后,由责任人更改口令。
第28条帐号的取消●用户如果因职责变动而离岗,不再需要系统权限且无须将帐号移交给其他责任人,其原岗位主管应当申请帐号的销户,由管理员取消其权限;●遇有员工离职,在各系统中撤销相应用户应该是离职手续的一部分。
部门负责人应尽早直接以书面或E-mail的形式(Email形式需要数字签名)要求各系统和网络管理员撤销某员工的口令,管理员执行完后以书面或E-mail的形式向部门负责人和安全专员通报结果。
●用户离职后,管理员应当关闭用户在系统中的所有权限。
8.维护第29条用户的责任与义务:●所有用户有义务确保自己的口令的安全,系统帐号与口令不泄漏给他人,同时避免使用弱口令;●对于使用便携式计算机的用户,应确保设置开机BIOS口令;●使用远程登陆的用户,确保不将口令保留在计算机上;●不将系统中使用的帐号和口令用于其他个人应用;●任何人不得公开其本人或他人口令的全部或部分,除非这种行为不会影响系统帐号的安全性;●严禁任何人通过任何手段非法取得他人帐号和口令进入系统,对违反者应当进行严厉制裁,直至追究法律责任;●任何人不得将其帐号的口令告之无权使用此帐号的人,如果用户此种行为导致其他人用此帐号造成对公司和系统的影响,帐号持有人和造成影响的行为的实施人负有相同的责任;●严禁任何人利用系统安全漏洞访问其权限之外的资源,一经发现,立即严惩。