信息系统密码安全管理规定
1. 目的
1.1 为了提高公司信息系统的安全性,保障信息系统的正常运行以及业务数据安全,特制定本规定。
2. 范围
2.1通过非应用程序方式访问服务器、信息系统、数据库时遵循此规定。
2.2 通过正常的业务应用系统进行信息系统数据访问不在此管理规定范围。
3. 定义
3.1 服务器访问:由于机器维护需要以超级用户权限进入服务器进行服务器操作系统设置、日志查询、机器运行状况查询以及补丁升级等操作。
3.2信息系统访问:由于软件系统维护需要以超级用户权限进入信息系统进行系统设置、日志查询、运行状况查询以及系统更新等操作。
3.3数据库访问:由于数据库维护需要以任何用户权限进入数据库进行数据库设置、日志查询、运行状况查询以及数据库内容查询、手工更改等操作。
4. 密码等级
4.1 信息系统密码分为三个类型:访问密码、管理密码、数据密码。
4.2 访问密码分三个等级:高、中、低。
4.2.1高等级服务器访问密码适用于高安全等级的系统运行
服务器,主要包括运行核心业务系统的应用服务器、核心数据库服务器。
4.2.2 中等级服务器访问密码适用于中安全等级的系统运行
服务器,主要包括运行非核心业务系统的应用服务器及数据库服务器。
4.2.3 低等级服务器访问密码适用于低安全等级的系统运行
服务器,包括各类用于测试或演示的应用服务器、数据库服务器以及各类公共服务器。
4.3管理密码分为三个等级:高、中、低。
4.3.1 高等级系统管理员密码适用于高安全等级的应用系
统,主要包括各类核心业务系统。
4.3.2 中等级系统管理员密码适用于中安全等级的应用系
统,包括各类非核心业务系统。
4.3.3 低等级系统管理员密码适用于低安全等级的应用系
统,主要包括各类用于测试或演示的系统。
4.4数据密码分为三个等级:高、中、低。
4.4.1 高等级数据密码适用于高安全等级数据库的超级权
密码修改限,主要包括各类核心数据库的超级权限。
4.4.2 中等级数据密码适用于中安全等级的数据库的超级权
限以及核心数据库的受限读写权限。
4.4.3 低等级数据密码适用于中安全等级数据库的数据读写
权限以及核心数据库的受限只读权限以及。
5. 权责
5.1 密码使用:信息部人员;
5.2 数据安全监管:总经理指定之人员;
6. 密码使用
6.1高等级数据密码、高等级管理密码、高等级访问密码的使用
需获得总经理授权同意。
6.2 中等级数据密码、中等级管理密码、中等级访问密码的使用
需获得XX授权同意。
6.3 低等级数据密码、低等级管理密码、低等级访问密码的使用
需获得信息部经理授权同意。
6.4 被授权人员一旦获知密码后,应有相当强的保密意识,不得
以任何方式告知他人,如不慎泄露密码后,需立即告知信息部负责人,及时采取补救措施。
第二篇:计算机密码管理规定
电脑信息部
计算机密码管理规定
****局域网是利用先进实用的计算机技术和网络通信技术,实现部门及集团各实体间的计算机连网、信息资源共享。为保证计算机网络系统的安全运行,特制定如下计算机密码管理规
定。
1、总则:
(1)、集团及各实体的各级网络管理员,具有相应服务器及登录该服务器网络用户的管理权限。网络管理员登录服务器的密码由管理员本人设置,不同服务器的登录密码不得相同。
(2) 、经主管部门领导许可,网络管理员不得在任何时间、任何地点以任何方式将网络管理员登录名及密码告知他人。 (3) 、服务器登录用户及密码由网络管理员设置,登录用户本人必须严格执行安全保密制度,牢记个人用户名及密码且不得告知其他无关人员。密码一经泄漏,用户需及时通知管理员,由管理员进行密码更改。
(4) 、登录用户工作岗位(职责)发生变动时,网络管理员应及时对该用户的登录权限及密码进行调整;登录用户调离本单位时,网络管理员应于24小时内,从服务器中删除该用户所有设置。
(5) 、经上级领导批准,网络管理员不得为非相关工作人员设置用户及密码。
2、集团脑信息部机房:
(1) 、集团电脑信息部机房网络管理员,具有全部集团局域网及上网用户的管理权限,是集团局域网的最高网络权限管理者。该网络管理员登录服务器密码位数不得少于10位,至少每两周更换一次密码。
(2) 、有登录集团网络的用户密码位数设置不得少于6位。
3、集团各部门及各实体的独立机房:
(1)、集团各部门及各实体的独立机房网络管理员,具有该独立局域网及上网用户的管理权限。该网络管理员登录服务器密码位数不得少于8位,至少每月更换一次。
(1) 、独立机房网络的用户密码根据不同情况进行不同设置,但密码位数不得少于6位。
4、临时用户:
(1)、上级领导批准的临时登录用户,按规定进行登记后,由网络管理员开设临时用户并设置密码及访问权限。
(2)、没有上级领导特殊批示,临时用户登录有效期不得超过48小时。
本管理办法自发布之日起施行。请各部门、各实体相关人员严格遵照实行。
第三篇:密码电报使用管理规定
密码电报使用管理规定
第一条 为加强我局密码电报的使用和管理工作,确保党和国家秘密安全,根据《中央和国家机关密码电报使用和管理的规定》及我局实际情况,特制定本规定。
第二条 密码电报是指以电报形式传递的,经机要部门使用密码译发、传输的具有法定效力的特殊性公务文书。党委办公室是密码电报的授权管理机构。机要员负责密码电报的具体管理事项。
第三条 密码电报须由专人专车取送。取送密码电报不准其他无关人员搭车,不准乘坐公共交通车辆,不准托人捎带密码电报。
第四条 密码电报应存放在机要室,按相同密级公文的管理办法管理。严禁在公共场所和其他不利于保密的地方阅办密码电报,严禁在无保密装置的普通电话中谈论密码电报。
第五条 密码电报的取送、传阅等均应严格履行登记签收手续,严格按照密码电报规定的范围传阅。送阅时要直接面交,坐等领导同志阅完后马上送其他领导,直到传完为止。
第六条 机要员要严格执行关于密码电报管理的责任制度,密码电报传阅完毕后要及时存入保险柜,对所经管的电报要定期检查,节假日要重点看管,确保万无一失。
第七条 每的密码电报经机要局清查后需单位自行销毁。销毁过程中要严防丢失、泄密。要由部门主管领导负责监销,监销人必须等所有文件粉碎成浆后,方可离开,任何人不得自行销毁密码电报。
第八条 机要员工作调动离职时,需先向上级机要部门报告,同时上报新调入机要员情况,并办理好移交手续。
公司计算机系统用户口令(密码)安全管理规定
第一章总则
第一条为加强公司计算机系统用户口令(密码)的安全管理,提高计算机系统用户口令(密码)安全管理规范化、制度化水平,完善信息安全管理体系,特制定本规定。
第二条公司、各下属子公司的计算机系统用户口令(密码)的安全管理适用本规定。本规定不包括应用系统客户口令管理和用于保护文件共享等非登录计算机系统用户的口令管理。
第三条本规定所称计算机系统用户口令(密码)是指在登录计算机系统过程中,用于验证用户身份的字符串,以下简称计算机系统用户口令。计算机系统用户口令主要为静态口令、动态口令等。静态口令一般是指在一段时间内有效,需要用户记忆保管的口令。动态口令一般是指根据动态机制生成的、一次有效的口令。计算机系统用户口令主要包括:主机系统(数据库系统)、网络设备、安全设备等系统用户口令;前端计算机系统用户口令;应用系统用户口令;桌面计算机系统用户口令。
第四条计算机系统用户口令的安全管理遵照统一规范、重在意识、技术控制与管理措施相结合的原则。
第五条计算机系统用户口令持有人应保证口令的保密性,不应将口令记录在未妥善保管的笔
记本以及其他纸质介质中(密码信封除外),严禁将口令放置在办公桌面或贴在计算机机箱、终端屏幕上,同时严禁将计算机系统用户口令借给他人使用,任何情况下不应泄漏计算机系统用户口令,一旦发现或怀疑计算机系统用户口令泄漏,应立即更换。
第六条计算机系统用户口令必须加密存储计算机系统中,严禁在网络上明文传输计算机系统用户口令,在用户输入口令时,严禁在屏幕上显示口令明文,严禁计算机信息系统输出口令明文(密码信封除外)。
第七条计算机系统用户口令持有人应保证口令具有较高安全性。选择使用口令安全强度较高的口令,不应使用简单的代码和标记,禁止使用重复数字、生日、电话号码、字典单词等容易破译的计算机系统用户口令。
第八条任何人不得利用盗取、猜测、窥视、破解等非法手段获取他人计算机系统用户口令,盗用他人访问权限,威胁信息系统安全。
第九条同一信息系统相同访问权限的用户应具有一致的口令安全要求。
第十条具有登录计算机系统权限的用户必须设置用户口令或其它验证用户身份的方式,严禁
不验证用户身份直接登录信息系统。
第二章岗位及其职责
第十一条重要核心设备(如核心交换机、防火墙、服务器等)应设立口令安全管理专职人员,统一管理重要主机系统、核心网络设备、安全设备等超级用户以及重要系统中具有关键访问权限用户的口令。
第十二条计算机用户口令(专职人员管理的口令除外)持有人负责所持计算机用户口令在使用过程中的保密,负责设置、保存、更换计算机用户口令,负责口令自身的安全强度。 第十三条系统管理(维护)人员、网络和安全设备管理(维护)人员负责启用计算机系统、网络和安全设备的口令安全管理相关功能;负责删除计算机系统、网络和安全设备多余用户和口令。
第十四条应用系统开发项目经理应负责组织实现应用系统支持口令安全管理的相关功能和机制。
第三章口令基本安全要求
第十五条计算机用户口令基本要求由口令长度、口令字符复杂度、口令历史,口令最长有效期组成:
(一)口令最小长度:6位
(二)口令字符组成复杂度:口令由数字、大小写字母及特殊字符组成,且至少包含其中两种字符(动态口令除外);
(三)口令历史:修改后的口令至少与前10次口令不同;
(四)口令最长有效期限:30/60/90 天,可根据系统重要性和用户权限采取不同的有效期。
第十六条信息系统原则上应具有支持计算机系统用户口令基本要求的相关功能、机制。
第四章主机系统、网络和安全设备用户口令安全要求
第十七条系统用户口令主要包括主机系统、网络设备、安全设备等系统用户口令。主机系统用户是指能够登录主机系统的用户。
发布评论