1.目的
为加强密码管理、避免密码泄露危害信息系统安全而制定本规定2.定义
核心业务系统:等保定级为二级和三级的信息系统、未定级但按二级系统建设保护的信息系统。
系统管理密码:包括操作系统超级管理员密码、应用系统系统管理员密码和数据库超级管理员密码。
3.密码管理
3.1密码设置
系统管理密码要求至少8位,包含字母、数字和特殊符号,不能包含有意义的字符组合或多系统共用相同密码。
非系统管理密码根据系统要求设置相应强度的密码。
3.2密码修改
核心业务系统的系统管理密码修改期限最长1个月,非核心业务系统的系统管理密码修改期限3个月;
涉及密码人员离职或发现密码泄露迹象及时修改密码,修改密码不能使用原密码。
3.3密码登记
核心业务系统设置或修改系统管理密码必须及时在密码管理簿上登记,密码管理簿由专人(非系统管理员)管理。
3.4密码授权
非系统管理员因工作需要使用系统管理密码时,由系统管理员设置临时密码,使用完毕后修改密码,并对授权行为进行记录。
3.5密码使用
核心业务系统中,Windows系统超级管理员应限制在指定IP机器上远程使用,Linux类系统不允许远程直接登录,应用系统应要求开发商提供系统管理帐号的登录、修改密码日志查阅功能。
密码修改3.6密码保密
密码保管和使用人员须签订安全保密协议;学校与外包公司须签订安全保密协议,并要求外包公司与员工签订安全保密协议。
发布评论