密码安全管理规定修改版.docx
《密码安全管理规定修改版.docx》由会员分享,可在线阅读,更多相关《密码安全管理规定修改版.docx(10页珍藏版)》请在冰豆网上搜索。
密码安全管理规定修改版
第一篇:
密码安全管理规定
信息系统密码安全管理规定
1.目的
1.1为了提高公司信息系统的安全性,保障信息系统的正常运行以及业务数据安全,特制定本规定。
2.范围
2.1通过非应用程序方式访问服务器、信息系统、数据库时遵循此规定。
2.2通过正常的业务应用系统进行信息系统数据访问不在此管理规定范围。
3.定义
3.1服务器访问:
由于机器维护需要以超级用户权限进入服务器进行服务器操作系统设置、日志查询、机器运行状况查询以及补丁升级等操作。
3.2信息系统访问:
由于软件系统维护需要以超级用户权限进入信息系统进行系统设置、日志查询、运行状况查询以及系统更新等操作。
3.3数据库访问:
由于数据库维护需要以任何用户权限进入数据库进行数据库设置、日志查询、运行状况查询以及数据库内容查询、手工更改等操作。
4.密码等级
4.1信息系统密码分为三个类型:
访问密码、管理密码、数据密码。
4.2访问密码分三个等级:
高、中、低。
4.2.1高等级服务器访问密码适用于高安全等级的系统运行
服务器,主要包括运行核心业务系统的应用服务器、核心数据库服务器。
4.2.2中等级服务器访问密码适用于中安全等级的系统运行
服务器,主要包括运行非核心业务系统的应用服务器及数据库服务器。
4.2.3低等级服务器访问密码适用于低安全等级的系统运行
服务器,包括各类用于测试或演示的应用服务器、数据库服务器以及各类公共服务器。
4.3管理密码分为三个等级:
高、中、低。
4.3.1高等级系统管理员密码适用于高安全等级的应用系
统,主要包括各类核心业务系统。
4.3.2中等级系统管理员密码适用于中安全等级的应用系
统,包括各类非核心业务系统。
4.3.3低等级系统管理员密码适用于低安全等级的应用系
统,主要包括各类用于测试或演示的系统。
4.4数据密码分为三个等级:
高、中、低。
4.4.1高等级数据密码适用于高安全等级数据库的超级权
限,主要包括各类核心数据库的超级权限。
4.4.2中等级数据密码适用于中安全等级的数据库的超级权
限以及核心数据库的受限读写权限。
4.4.3低等级数据密码适用于中安全等级数据库的数据读写
权限以及核心数据库的受限只读权限以及。
5.权责
5.1密码使用:
信息部人员;
5.2数据安全监管:
总经理指定之人员;
6.密码使用
6.1高等级数据密码、高等级管理密码、高等级访问密码的使用
需获得总经理授权同意。
6.2中等级数据密码、中等级管理密码、中等级访问密码的使用
需获得XX授权同意。
6.3低等级数据密码、低等级管理密码、低等级访问密码的使用
需获得信息部经理授权同意。
6.4被授权人员一旦获知密码后,应有相当强的保密意识,不得
以任何方式告知他人,如不慎泄露密码后,需立即告知信息部负责人,及时采取补救措施。
第二篇:
计算机密码管理规定
电脑信息部
计算机密码管理规定
****局域网是利用先进实用的计算机技术和网络通信技术,实现部门及集团各实体间的计算机连网、信息资源共享。
为保证计算机网络系统的安全运行,特制定如下计算机密码管理规定。
1、总则:
(1)、集团及各实体的各级网络管理员,具有相应服务器及登录该服务器网络用户的管理权限。
网络管理员登录服务器的密码由管理员本人设置,不同服务器的登录密码不得相同。
(2)、经主管部门领导许可,网络管理员不得在任何时间、任何地点以任何方式将网络管理员登录名及密码告知他人。
(3)、服务器登录用户及密码由网络管理员设置,登录用户本人必须严格执行安全保密制度,牢记个人用户名及密码且不得告知其他无关人员。
密码一经泄漏,用户需及时通知管理员,由管理员进行密码更改。
(4)、登录用户工作岗位(职责)发生变动时,网络管理员应及时对该用户的登录权限及密码进行调整;登录用户调离本单位时,网络管理员应于24小时内,从服务器中删除该用户所有设置。
(5)、经上级领导批准,网络管理员不得为非相关工作人员设置用户及密码。
2、集团脑信息部机房:
(1)、集团电脑信息部机房网络管理员,具有全部集团局域网及上网用户的管理权限,是集团局域网的最高网络权限管理者。
该网络管理员登录服务器密码位数不得少于10位,至少每两周更换一次密码。
(2)、有登录集团网络的用户密码位数设置不得少于6位。
3、集团各部门及各实体的独立机房:
(1)、集团各部门及各实体的独立机房网络管理员,具有该独立局域网及上网用户的管理权限。
该网络管理员登录服务器密码位数不得少于8位,至少每月更换一次。
(1)、独立机房网络的用户密码根据不同情况进行不同设置,但密码位数不得少于6位。
4、临时用户:
(1)、上级领导批准的临时登录用户,按规定进行登记后,由网络管理员开设临时用户并设置密码及访问权限。
(2)、没有上级领导特殊批示,临时用户登录有效期不得超过48小时。
本管理办法自发布之日起施行。
请各部门、各实体相关人员严格遵照实行。
第三篇:
密码电报使用管理规定
密码电报使用管理规定
第一条为加强我局密码电报的使用和管理工作,确保党和国家秘密安全,根据《中央和国家机关密码电报使用和管理的规定》及我局实际情况,特制定本规定。
第二条密码电报是指以电报形式传递的,经机要部门使用密码译发、传输的具有法定效力的特殊性公务文书。
党委办公室是密码电报的授权管理机构。
机要员负责密码电报的具体管理事项。
第三条密码电报须由专人专车取送。
取送密码电报不准其他无关人员搭车,不准乘坐公共交通车辆,不准托人捎带密码电报。
第四条密码电报应存放在机要室,按相同密级公文的管理办法管理。
严禁在公共场所和其他不利于保密的地方阅办密码电报,严禁在无保密装置的普通电话中谈论密码电报。
第五条密码电报的取送、传阅等均应严格履行登记签收手续,严格按照密码电报规定的范围传阅。
送阅时要直接面交,坐等领导同志阅完后马上送其他领导,直到传完为止。
第六条机要员要严格执行关于密码电报管理的责任制度,密码电报传阅完毕后要及时存入保险柜,对所经管的电报要定期检查,节假日要重点看管,确保万无一失。
第七条每的密码电报经机要局清查后需单位自行销毁。
销毁过程中要严防丢失、泄密。
要由部门主管领导负责监销,监销人必须等所有文件粉碎成浆后,方可离开,任何人不得自行销毁密码电报。
第八条机要员工作调动离职时,需先向上级机要部门报告,同时上报新调入机要员情况,并办理好移交手续。
第四篇:
公司计算机系统用户口令(密码)安全管理规定
公司计算机系统用户口令(密码)安全管理规定
第一章总则
第一条为加强公司计算机系统用户口令(密码)的安全管理,提高计算机系统用户口令(密码)安全管理规范化、制度化水平,完善信息安全管理体系,特制定本规定。
第二条公司、各下属子公司的计算机系统用户口令(密码)的安全管理适用本规定。
本规定不包括应用系统客户口令管理和用于保护文件共享等非登录计算机系统用户的口令管理。
第三条本规定所称计算机系统用户口令(密码)是指在登录计算机系统过程中,用于验证用户身份的字符串,以下简称计算机系统用户口令。
计算机系统用户口令主要为静态口令、动态口令等。
静态口令一般是指在一段时间内有效,需要用户记忆保管的口令。
动态口令一般是指根据动态机制生成的、一次有效的口令。
计算机系统用户口令主要包括:
主机系统(数据库系统)、网络设备、安全设备等系统用户口令;前端计算机系统用户口令;应用系统用户口令;桌面计算机系统用户口令。
第四条计算机系统用户口令的安全管理遵照统一规范、重在意识、技术控制与管理措施相结合的原则。
第五条计算机系统用户口令持有人应保证口令的保密性,不应将口令记录在未妥善保管的笔记本以及其他纸质介质中(密码信封除外),严禁将口令放置在办公桌面或贴在计算机机箱、终端屏幕上,同时严禁将计算机系统用户口令借给他人使用,任何情况下不应泄漏计算机系统用户口令,一旦发现或怀疑计算机系统用户口令泄漏,应立即更换。
第六条计算机系统用户口令必须加密存储计算机系统中,严禁在网络上明文传输计算机系统用户口令,在用户输入口令时,严禁在屏幕上显示口令明文,严禁计算机信息系统输出口令明文(密码信封除外)。
第七条计算机系统用户口令持有人应保证口令具有较高安全性。
选择使用口令安全强度较高的口令,不应使用简单的代码和标记,禁止使用重复数字、生日、电话号码、字典单词等容易破译的计算机系统用户口令。
第八条任何人不得利用盗取、猜测、窥视、破解等非法手段获取他人计算机系统用户口令,盗用他人访问权限,威胁信息系统安全。
第九条同一信息系统相同访问权限的用户应具有一致的口令安全要求。
第十条具有登录计算机系统权限的用户必须设置用户口令或其它验证用户身份的方式,严禁不验证用户身份直接登录信息系统。
第二章岗位及其职责
第十一条重要核心设备(如核心交换机、防火墙、服务器等)应设立口令安全管理专职人员,统一管理重要主机系统、核心网络设备、安全设备等超级用户以及重要系统中具有关键访问权限用户的口令。
第十二条计算机用户口令(专职人员管理的口令除外)持有人负责所持计算机用户口令在使用过程中的保密,负责设置、保存、更换计算机用户口令,负责口令自身的安全强度。
第十三条系统管理(维护)人员、网络和安全设备管理(维护)人员负责启用计算机系统、网络和安全设备的口令安全管理相关功能;负责删除计算机系统、网络和安全设备多余用户和口令。
第十四条应用系统开发项目经理应负责组织实现应用系统支持口令安全管理的相关功能和机制。
第三章口令基本安全要求
第十五条计算机用户口令基本要求由口令长度、口令字符复杂度、口令历史,口令最长有效期组成:
(一)口令最小长度:
6位
(二)口令字符组成复杂度:
口令由数字、大小写字母及特殊字符组成,且至少包含其中两种字符(动态口令除外);
(三)口令历史:
修改后的口令至少与前10次口令不同;
(四)口令最长有效期限:
30/60/90天,可根据系统重要性和用户权限采取不同的有效期。
第十六条信息系统原则上应具有支持计算机系统用户口令基本要求的相关功能、机制。
第四章主机系统、网络和安全设备用户口令安全要求
第十七条系统用户口令主要包括主机系统、网络设备、安全设备等系统用户口令。
主机系统用户是指能够登录主机系统的用户。
第十八条主机系统、网络设备、安全设备等应启动口令管理相关功能、机制,满足第三章口令基本安全要求,对于原有系统不支持或不具备相关技术功能、机制的,必须逐步建立、完善相应的安全管理制度措施,弥补技术机制上的不足。
第十九条主机系统、网络设备、安全设备等的超级用户口令以及重要系统中具有关键访问权限用户的口令应由专人设置与管理,超级用户口令应由口令设置人员将口令装入密码信封,在骑缝处盖章或签字后存档并登记。
第二十条存放超级用户口令的密码信封应放置在保险箱或带密码锁的箱、柜中,并由专人负责。
第二十一条主机系统超级用户口令,网络设备、安全设备超级用户口令以及具有修改配置权限用户的口令应设置口令登记薄,记录口令使用相关信息,至少包括:
设备名称、用户名称、口令启用时间、口令更换时间、口令使用者等内容。
第二十二条如遇特殊情况需启用封存的口令,必须经过部门负责人审批,使用完毕后,须立即更换并封存,同时在口令管理登记簿中登记。
第二十三条主机系统、网络设备、安全设备等超级用户口令最长有效期为30天,具有配置、修改权限用户的口令最长有效期可为60天,其它用户口令最长有效期应符合第三章口令基本要求。
为安装应用系统所建立的用户的口令也应定期更换,安装重要应用系统的用户口令最长有效期为30天,安装其它应用系统的用户的口令最长有效期可为60天。
第二十四条当系统用户口令持有人岗位调整时,原则上应删除其使用的用户,因工作需要,需要保留原用户的,必须及时更换系统用户对应的口令,严禁使用原口令登录系统。
第二十五条对于主机系统、网络设备、安全设备的用户口令以及具有系统配置权限的用户(超级用户ROOT除外),可根据实际情况使用动态口令。
第五章应用系统用户口令安全要求
第二十六条应用系统用户口令是指只用于访问应用系统的用户口令,口令对应的用户为应用系统用户,在操作系统中并不存在相应用户。
第二十七条应用系统在开发过程中必须同步实现满足计算机系统用户口令基本要求的机制和功能,通过技术手段实现安全管理要求。
对于现运行的、没有达到第三章口令基本要求的计算机系统的改造或升级,可结合具体情况稳步开展。
同时,必须采用相应的管理措施,加强计算机系统用户口令的安全管理,保障应用系统的安全。
第二十八条应用系统用户必须设置口令或使用其它身份认证方式,严禁不验证用户身份访问应用系统(对于信息网站中只浏览网页的用户,可不设置口令)。
第二十九条应用系统必须提供用户口令更换机制,严禁应用系统代码中包含用户口令。
第三十条应用系统用户的口令应定期更换,口令最长有效期可根据应用系统的重要程度和用户的权限设定,同时符合第三章口令基本安全要求的最长有效期范围规定。
第三十一条使用密码设备的员工必须经过专业培训和严格审查。
第三十二条对于应用系统的用户口令,可根据实际情况使用动态口令。
第六章桌面计算机系统用户口令安全要求
第三十三条桌面计算机系统用户口令主要是指员工用于日常办公信息处理的计算机系统的用户口令,如台式微机、笔记本电脑及其它个人计算设备的用户口令。
第三十四条桌面计算机系统应设置用户登录口令、屏幕保护口令。
第三十五条桌面计算机系统用户登录口令、屏幕保护口令应定期更换(操作系统不具有此功能除外),口令最长有效期可为90天。
第七章检查和监督
第三十六条技术部要定期对计算机系统用户口令安全管理的情况进行检查,检查的主要内容包括:
岗位和职责情况,口令登记簿登记情况,口令安全管理相关功能及其启用情况,多余用户口令删除情况,口令安全管理规定的落实和执行情况。
第三十七条对于安全检查中发现的问题和隐患,各计算机系统主管和使用部门及口令持有人要进行认真整改。
对于违反本安全管理规定造成严重后果的,给予警告至开除处分,情节严重触犯法律的将移交司法机关。
第八章附则
第三十八条本规定由技术部负责解释。
第三十九条各部门及子公司可依据本规定制定实施细则,并报公司备案。
第四十条本规定自发布之日起施行
第五篇:
商用密码产品生产管理规定
商用密码产品生产管理规定
第一条为了加强商用密码产品生产管理,规范商用密码产品生产活动,根据《商用密码管理条例》,制定本规定。
第二条本规定所称商用密码产品,是指采用密码技术对不涉及国家秘密内容的信息进行加密保护或者安全认证的产品。
第三条商用密码产品生产活动适用本规定。
本规定所称商用密码产品生产包括商用密码产品的研制开发。
第四条商用密码产品由国家密码管理局指定的单位(以下称商用密码产品生产定点单位)生产。
未经指定,任何单位和个人不得生产商用密码产品。
商用密码产品的品种和型号必须经国家密码管理局批准。
第五条国家密码管理局主管全国的商用密码产品生产管理工作。
省、自治区、直辖市密码管理机构依据本规定承担有关管理工作。
第六条国家密码管理局根据商用密码发展的需要,指定商用密码产品生产定点单位。
商用密码产品生产定点单位必须具备独立的法人资格,具有与开发、生产商用密码产品相适应的技术力量和场所,具有确保商用密码产品质量的设备、生产工艺和质量保证体系,满足法律、行政法规规定的其它条件。
第七条国家密码管理局指定商用密码产品生产定点单位原则上定期集中进行。
指定商用密码产品生产定点单位的程序如下:
(一)申请单位填写《商用密码产品生产定点单位申请表》,提交所在地的省、自治区、直辖市密码管理机构;
(二)省、自治区、直辖市密码管理机构对申请单位提交的书面材料进行初审,提出初审意见;
(三)国家密码管理局对通过初审的单位进行实地考察;
(四)国家密码管理局作出指定决定并告知指定结果。
第八条被指定为商用密码产品生产定点单位的,由国家密码管理局发给《商用密码产品生产定点单位证书》并予以公布。
《商用密码产品生产定点单位证书》有效期3年。
第九条商用密码产品生产定点单位应当自取得《商用密码产品生产定点单位证书》之日起30日内,到所在地的工商行政管理部门办理许可经营项目登记手续。
第十条国家密码管理局对商用密码产品生产定点单位进行考核。
商用密码产品生产定点单位应当于每年3月1日之前,填写《商用密码产品生产定点单位考核表》并交所在地的省、自治区、直辖市密码管理机构。
省、自治区、直辖市密码管理机构应当于3月31日之前将考核意见报国家密码管理局。
考核结果由国家密码管理局公布。
考核不合格的,撤销其商用密码产品生产定点单位资质。
商用密码产品生产定点单位未在规定期限内填报考核材料的,视为考核不合格。
取得《商用密码产品生产定点单位证书》未满6个月的,不参加该的考核。
第十一条商用密码产品生产定点单位变更名称的,应当自变更之日起30日内,持变更证明文件到所在地的省、自治区、直辖市密码管理机构办理《商用密码产品生产定点单位证书》更换手续。
商用密码产品生产定点单位变更住所、法定代表人的,应当自变更之日起30日内,持变更证明文件到所在地的省、自治区、直辖市密码管理机构备案。
商用密码产品生产定点单位破产、解散或者被撤销的,原持有的《商用密码产品生产定点单位证书》自行失效。
第十二条商用密码产品生产定点单位生产商用密码产品,应当在研制出产品样品后向国家密码管理局申请产品品种和型号。
申请产品品种和型号应当向所在地的省、自治区、直辖市密码管理机构提交下列材料:
(一)商用密码产品品种和型号申请书;
(二)技术工作总结报告;
(三)安全性设计报告;
(四)用户手册;
(五)测试说明。
商用密码产品所采用的密码算法应当是国家密码管理局认可的算法。
第十三条商用密码产品生产定点单位提交的申请材料齐备并且符合规定形式的,省、自治区、直辖市密码管理机构应当受理并发给《受理通知书》;申请材料不齐备或者不符合规定形式的,省、自治区、直辖市密码管理机构应当当场或者在5个工作日内一次告知需要补正的全部内容。
不予受理的,应当书面通知并说明理由。
省、自治区、直辖市密码管理机构应当自受理申请之日起5个工作日内完成初审,并将初审意见和全部申请材料报送国家密码管理局。
国家密码管理局收到省、自治区、直辖市密码管理机构报送的材料后应当组织安全性审查(含产品样品测试,下同),并自省、自治区、直辖市密码管理机构受理申请之日起20个工作日内,将安全性审查所需时间书面告知申请人。
通过安全性审查的,在5个工作日内批给产品品种和型号,发给产品品种和型号证书,并予以公布。
未通过安全性审查的,不予批准并说明理由。
安全性审查所需时间不计算在本规定所设定的期限内。
第十四条商用密码产品生产定点单位应当按照批准的品种和型号生产产品,并在产品上标明产品型号。
第十五条商用密码产品必须经国家指定的机构检测、认证合格,并加施强制性认证标志后方可出厂。
暂未列入强制性认证目录的商用密码产品,必须经国家密码管理局指定的产品质量检测机构检测合格。
第十六条商用密码产品生产定点单位及其人员,应当对所接触和掌握的商用密码技术承担保密义务。
第十七条商用密码产品生产定点单位应当建立健全保密规章制度,对其人员进行保密教育。
第十八条生产商用密码产品应当在符合安全保密要求的环境中进行。
保管商用密码产品应当采取相应的安全措施。
第十九条商用密码技术资料、关键部件应当由专人保管,并采取相应的保密措施,防止商用密码技术的泄露。
生产过程中产生的废弃品应当妥善销毁。
第二十条参与商用密码产品安全性审查的专家和工作人员,应当对商用密码产品的技术方案和安全设计方案承担保密义务。
第二十一条违反本规定的行为,依照《商用密码管理条例》予以处罚。
第二十二条《商用密码产品生产定点单位证书》由国家密码管理局印制。
第二十三条本规定自2006年1月1日起施行。
升级会员 