信息系统密码管理规定
第一条为了加强风险管理,强化保密工作,提高公司信息系统的安全性,保障信息系统的正常运行以及业务数据安全,防止黑客攻击和用户越权访问,防止保密信息的丢失、泄漏或破坏,建立科学、规范的信息系统密码管理规范,特制定本规定。
第二条本制度所指信息系统密码,包括以下几种类型:
1.公司所有业务系统普通用户密码;
2.员工登录公司内部网域密码;
3.公司所有业务系统权限管理员和系统运营管理员密码;
4.应用系统服务器管理员密码;
5.应用系统数据库管理员密码;
6.公司网络服务器管理员密码;
7.其他网络应用及网络系统管理员密码;
第三条应用系统服务器、数据库和网络服务器,自身包含有完整的多级权限管理体系。
由这些系统的最高权限分配的其他权限的密码,也需遵守本规定。
第四条公司业务系统普通用户的密码设置规范要求如下:
1.密码长度不得低于6位;
2.密码必须包含字(a-z,A-Z)、数字(0-9)、特殊字符(~!@#$%^&*)中的两种;
3.密码必须6个月更换一次,并且新密码不得与原密码相同。
第五条对于以下密码:
1.员工登录公司内部网络域密码;
2.公司所有业务系统权限管理员和系统运营管理员密码;
3.应用系统服务器管理员密码;
4.应用系统数据库管理员密码;
5.公司网络服务器管理员密码;
其设置规范,应符合以下要求:
1.密码长度不得低于8位;
2.密码必须包含大小写字母、数字及特殊字符;
3.密码必须每3个月更换一次,并且新密码不得与原密码相同。
第六条信息系统密码设置规范的系统控制:
1.系统应控制密码的有效期,通过设置,强行要求用户定期进行密码修改,减少密码
被盗用的可能;
2.用户密码长度和编码规则限制。强行要求用户密码符合长度和复杂性要求;
3.系统控制第一次登录后必须马上更改初始密码;
4.设置用户密码输入错误次数。在密码错误输入3次后,系统锁定登陆用户。用户
必须通知信息化部解除锁定。
第七条公司引进、购买或者自主开发的所有业务系统,均应按照本办法第六条的要求,完善密码管理功能模块。
第八条所有业务系统各类用户可自行修改密码。密码应妥善保管,不得公开或者告知他人。如果遗忘,应及时联系信息化部相关系统工程师重新设置。
第九条信息系统服务器操作系统管理员、系统数据库管理员和公司网络服务器管理员密码应由不同人员分别掌握。
第十条信息系统密码在以下情况下,应做修改:
密码修改1.在规定的周期内,定期进行密码的变更;
2.用户怀疑系统被破坏、被非法登录或者密码被公开;
3.各信息系统内置的与用户无关的帐户,在帐户责任人调离本岗位时,接替人员必须立即修改帐户的密码,并检查系统中是否还存在其它同类用户;
4.业务系统用户在首次登陆系统时,必须及时更改密码。
第十一条信息化部负责密码使用情况的监督与检查工作,发现违规情况,及时向部门负责人报告,并督促违规人员纠正错误。
第十二条本管理规定由信息化部负责修订,文件解释权属深圳金百泽电子科技股份有限公司
第十三条本规定自发布之日起实施。
信息系统密码更改周期