信息系统帐户密码管理规定

信息系统口令密码和密钥管理The final edition was revised on December 14th, 2020.信息系统口令、密码和密钥管理1范围本标准规定了信息网网络安全管理人员的职责、管理内容和工作要求，以及信息系统口令、密码和密钥管理。

本标准适用于公司所有信息网络、应用系统及设备和用户所有层次的口令管理。

2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款，凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本标准。

1994 国务院中华人民共和国计算机信息系统安全保护条例国务院273号令商用密钥管理条例1998 国家保密局中华人民共和国计算机信息系统保密管理暂行规定2000 国家保密局中华人民共和国计算机信息系统国际联网保密管理规定2003 公司网络与信息安全管理办法（试行）2006 公司信息网防病毒运行统计管理规范（试行）2006 公司信息网用户行为规范（试行）3术语与定义以下术语和定义适用于本标准。

信息系统信息系统是用系统思想建立起来的，以电子计算机为基本信息处理手段，以现代通讯设备为基本传输工具，且能为管理决策提供信息服务的人机系统。

即，信息系统是一个由人和计算机等组成的，能进行管理信息的收集、传输、存储、加工、维护和使用的系统。

密钥密钥是一组信息编码，它参与密码的“运算”，并对密码的“运算”起特定的控制作用。

密钥是密码技术中的重要组成部分。

在密码系统中，密钥的生成、使用和管理至关重要。

密钥通常是需要严格保护的，密钥的失控将导致密码系统失效。

4职责信息中心职责4.1.2 信息中心负责信息网系统的服务器、网络设备的口令、密码和密钥的设置和保管，指导相关部门设置应用系统的口令、密码和密钥；指导各用户设置开机口令。

信息中心各专职职责4.1.3 网络安全管理员负责保管网络设备及相关安全防护设备(系统)的账号、口令的设置和更改。

信息密码管理制度一、总则为了加强信息安全管理，保障信息系统的安全稳定运行，维护信息系统和信息资源的完整性、保密性和可用性，我公司特制定本管理制度。

二、适用范围本制度适用于我公司所有的信息系统、信息资源以及相关人员的信息管理工作。

三、密码管理1. 密码的设置（1）密码的复杂性用户设置的密码必须包含至少8位字符，且需要包含大小写字母、数字和特殊字符。

（2）密码的周期性更换用户的密码需要定期更换，建议每90天更换一次。

（3）密码的不重复性用户的密码在一年内不得重复使用。

2. 密码保存与传输（1）密码的保存用户的密码不得明文保存在任何地方，包括纸质文件、电子文档等。

（2）密码的传输在网络传输密码时，必须采用加密的方式传输，禁止使用明文传输密码。

3. 密码的归属管理（1）密码的归属单位各部门需要设立专门的密码管理人员，对部门内的密码进行管理。

（2）密码的分级管理根据不同的系统和信息资源，设置不同的密码安全等级，对密码进行分级管理。

4. 密码的使用规范（1）个人密码管理员工个人密码仅限个人使用，不得转借他人使用。

（2）超级用户密码管理超级用户密码由专门的管理人员保管，需要经过严格的权限审批才能获取。

5. 密码的监测和违规处理（1）密码的监测系统管理员需要对密码进行定期的检测和审计，确保密码的安全性。

（2）密码的违规处理对于密码管理方面的违规行为，将依据公司相关规定进行处理，包括警告、记过、罚款等处理。

四、密码管理的责任1. 公司领导层的责任公司领导层要高度重视信息密码管理工作，并提供必要的资源、支持和保障。

2. 部门领导的责任部门负责人要对本部门的密码管理工作负责，建立健全密码管理制度，定期进行密码安全培训。

3. 系统管理员的责任系统管理员要严格执行公司的密码管理制度，确保系统和信息资源的安全稳定运行。

4. 员工的责任员工要严格遵守密码管理制度，妥善保管自己的密码，如发现密码泄露或丢失，要及时向部门领导或系统管理员报告。

送检密码管理制度一、总则为了加强信息系统的安全管理，保护企业信息资产的安全，减少信息泄露的风险，提高企业信息系统的安全性能和稳定性，特制定本密码管理制度。

二、适用范围本制度适用于企业所有员工在信息系统中使用的密码，包括但不限于计算机、手机、邮箱等各类系统、软件和应用程序。

三、密码生成1. 密码应以英文字母、数字、特殊符号组合的方式生成，长度不少于8位。

2. 应避免使用个人信息、生日、电话号码等容易被他人猜测到的内容作为密码。

3. 不得使用简单、重复的密码作为个人账号的密码。

四、密码使用1. 账号密码仅限于本人使用，不得借借或转让给他人使用。

2. 不得在他人面前明文输入密码。

3. 禁止使用他人的账号密码进行系统登录和使用。

五、密码存储1. 不得将密码明文存储在计算机文档、备忘录等任何文档或文件中。

2. 不得在计算机或手机的自动保存功能中保存密码信息。

3. 不得将密码告知他人或以其他形式存储在公共场所。

六、密码修改1. 周期性地修改密码，建议不少于3个月一次。

2. 在遗忘密码、怀疑账号被盗等情况下，应及时申请密码修改。

七、密码保护1. 在计算机公共场所，应谨慎输入密码，确保他人无法偷窥。

2. 不得和他人讨论、泄漏自己的密码信息。

3. 不得在各类社交平台、网站上留下自己的密码信息。

八、密码审核1. 管理员应定期对所有员工的密码进行检测和审核。

2. 对发现存在风险的密码，应及时要求员工修改。

九、密码备份1. 员工应当将重要密码备份至安全的存储设备中。

2. 备份的存储设备应设置密码或者加密，以防泄露。

十、违规处理1. 对于违反密码管理制度的员工，公司将给予警告、扣减奖金、调整岗位等处罚。

2. 对于故意泄露密码、滥用权限等行为，公司将依法追究其法律责任。

十一、附则1. 公司对密码管理制度享有最终解释权。

2. 本制度将于颁布后即刻生效。

以上即为本公司密码管理制度，希望所有员工遵守并执行。

密码是信息系统的第一道防线，我们将协助您加强安全，保障公司和个人数据的安全。

公司信息账号管理制度
一、总则
1. 为了加强公司信息账号的管理，确保信息资源的安全与有效利用，特制定本制度。

2. 本制度适用于公司所有员工及合作伙伴，涉及所有公司信息账号的使用、管理和维护。

3. 公司信息账号包括但不限于电子邮件、社交媒体、办公系统、数据库等电子账户。

二、账号管理原则
1. 统一管理：公司信息账号由专门的管理部门负责统一管理，确保账号的规范使用和安全。

2. 权限分级：根据工作需要和职责划分，对账号权限进行分级管理，防止权限滥用。

3. 定期审计：定期对信息账号的使用情况进行审计，确保账号使用的合规性。

三、账号使用规范
1. 实名制注册：所有信息账号必须以真实身份注册，不得使用匿名或虚假信息。

2. 密码管理：用户应设定复杂的密码，并定期更换，严禁将密码透露给他人。

3. 使用记录：用户应保存好自己的操作记录，以便必要时进行查阅和核实。

四、账号申请与注销
1. 新员工入职时，需向管理部门提出信息账号申请，明确所需账号的类型和权限。

2. 员工离职或岗位变动时，应及时通知管理部门，由管理部门负责相关账号的注销或权限
变更。

五、违规处理
1. 对于违反账号管理规定的行为，公司将视情节轻重给予警告、罚款或其他纪律处分。

2. 如因个人原因导致公司信息泄露或账号安全事件，相关责任人应承担相应的法律责任。

六、附则
1. 本制度自发布之日起实施，由公司管理部门负责解释和修订。

2. 本制度最终解释权归公司所有。

信息系统系统密码使用管理制度信息系统密码使用管理制度一、总则信息系统密码使用管理制度制定的目的是为了保护信息系统的安全性和保密性，加强对密码的管理，防止密码被泄露、滥用或不当使用，确保信息系统的正常运行和数据的安全。

二、适用范围本制度适用于所有使用信息系统的工作人员，包括但不限于内部员工、外部合作伙伴和供应商等。

三、密码的相关定义1.系统密码：指用于认证、加密和保护信息系统和数据安全的密码。

2.账户密码：指用户用于登录信息系统的密码。

3.应用密码：指用于访问特定应用或功能的密码。

4.管理密码：指信息系统管理员或系统维护人员使用的密码。

四、密码的与设置1.密码的：密码应由系统自动，遵循安全性和复杂性原则，包括大小写字母、数字和符号的组合。

2.密码的设置：密码应遵循以下要求：a) 长度要求：密码长度不得少于8个字符。

b) 复杂性要求：密码中需包含大小写字母、数字和符号。

c) 定期更换：密码应定期更换，建议每3个月更换一次。

d) 禁止共享：密码不得共享或透露给任何其他人员。

五、密码的使用与保护1.密码的使用：密码应遵循以下要求：a) 帐户密码：每个用户应拥有一个唯一的账户密码，不得使用他人密码。

b) 应用密码：每个应用或功能应使用独立的应用密码。

c) 防止暴力：登录失败超过一定次数将触发暂时锁定账户的措施。

2.密码的保护：密码应遵循以下要求：a) 密码不得以明文形式保存。

b) 禁止使用弱密码，如生日、方式号码等容易被猜测的密码。

c) 禁止将密码存储在任何公共或未加密的存储介质上，如纸质记录、邮件、云端文档等。

d) 禁止将密码发送给他人，包括方式、邮件、短信等方式。

e) 防止社会工程攻击：当收到索要密码的请求时，应验证请求的合法性，避免被钓鱼网站或欺诈行径所诱骗。

六、密码的修改和重置1.密码的修改：用户应定期修改密码，建议每3个月进行一次更换。

2.密码的重置：密码重置应遵循以下要求：a) 密码重置需经过身份验证，确保密码重置请求的合法性。

信息系统口令、密码和密钥管理1范围本标准规定了信息网网络安全管理人员的职责、管理内容和工作要求，以及信息系统口令、密码和密钥管理。

本标准适用于公司所有信息网络、应用系统及设备和用户所有层次的口令管理。

2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款，凡是注日期的引用文件，其随后所19941998200020032006200633.13.2密钥4职责4.14.1.2部门设置应用系统的口令、密码和密钥；指导各用户设置开机口令。

4.2信息中心各专职职责4.1.3网络安全管理员负责保管网络设备及相关安全防护设备(系统)的账号、口令的设置和更改。

4.1.4主机管理员负责主机、数据库系统的账号、口令的设置和更改。

4.1.5应用系统管理员负责应用系统的账号、口令的设置和更改。

4.1.6网络信息安全员负责管理和监督检查信息网络的安全工作，参加信息网系统事故调查、分析处理和信息网安全事故上报及督促现场安全措施落实，以及网络系统各类分析、统计报告的编制和上报工作。

5管理内容与要求5.1主机与网络设备(含安全防护系统)口令、密码管理5.1.1各类主机、网络设备应有明确的管理员负责管理，管理员负责其管辖范围的账号、口令的设置和更改。

5.1.2各类主机的超级用户口令和网络设备配置口令必须定期更换，更换周期不得超过1个月。

5.1.3各管理员应将口令用信封封存后交网络信息安全员统一保管，如遇管理员出差等情况需打开信封，必须征得信息中心主管同意后方可打开信封使用口令，管理员回来后及时更改口令并重新封存。

口令的保存、更改和开封启用均要有详细记录。

严禁私自启封。

5.1.4更换账号、口令后，必须立即提交新的密封件交网络信息安全员保管，并重新进行登记，旧的密封件当面销毁。

5.1.5不同权限人员应严格保管、保密各自职责的口令，严格限制使用范围，不得向非相关人员透露，原则上不允许多人共同使用一个帐户和口令。

系统管理员不得拥有数据库管理员（DBA）的权限；数据库管理员不得同时拥有系统管理员的权限；数据库管理员应为不同的不同应用系统的数据5.1.6证，户名、5.1.75.25.2.15.2.25.2.35.2.4借他人。

密码使用管理制度概述密码使用管理制度是一项非常重要的安全措施。

它用于保护公司的账户和数据，防止未经授权的人员访问敏感信息。

该制度规定了一系列密码设置、管理和使用的规则，以确保密码安全和合规性。

密码设置规则1.密码长度大于8个字符；2.必须包含至少一个数字和一个特殊字符；3.区分大小写；4.避免使用基于个人信息或常用字典的单词；5.密码强度评分大于等于80分。

密码管理规则1.需要定期更改密码，建议每90天更换一次密码；2.新密码不应与旧密码相同；3.避免使用连续或重复的字符；4.不得将密码保存在公共区域，如办公室公共电脑、纸质备忘录等；5.不得将密码告诉他人，包括公司内外的人员；6.登录帐号时，注意保护密码输入，防止被旁观；7.在离开电脑前，必须登出账户或锁定屏幕。

密码使用规则1.严格遵守公司的密码使用规则；2.公司要求使用多个不同的密码时，不得使用同一密码；3.不得将公司的密码用于个人的在线账户，如社交账号、电子邮件等；4.不得将公司的密码用于非安全连接或非授权的连接；5.所有公司密码必须由IT部门监控和管理；6.出现密码泄露或被盗与怀疑帐户受到非法登录的情况，应及时通知IT部门。

密码安全管理策略1.密码复杂性：密码应该是难以破解的，建议使用数字、字符和大小写字母混合，以确保强密码；2.定期更改密码：定期更改密码可以防止潜在的密码泄露，以及避免持续定位和跟踪；3.限制访问：限制那些能够访问系统的人是非常重要的。

只有有必要的用户，才能够通过验证访问系统；4.监视记录：记录尝试登录的所有用户的用户名和访问时间。

如果发现异常尝试，就应该对这些尝试进行更深入的审计；5.安全保护：对于重要的数据，需要将它们存放在受到保护的存储地点中。

这样会使得未经授权的访问更难发生。

密码安全教育课程1.提供基本的密码使用指南和技巧；2.提供密码管理的实践教育，包括更改、管理密码等；3.提供关于密码保护的实践教育，包括登出账户、锁定屏幕等；4.定向针对不同用户群体提供自适应的密码安全教育课程。

单位用户账号管理制度一、总则为加强单位用户账号管理，提高信息系统安全等级，保护单位信息资产安全，特制定本制度。

二、账号管理范围本制度适用于单位内所有用户账号的管理，包括但不限于员工、临时工、实习生等。

三、账号申请1. 用户账号申请应由主管部门负责人填写《单位用户账号申请表》，并经过信息化管理部门审核确认，方可发放账号。

2. 用户账号申请表中应明确提供申请者的基本信息，包括姓名、工号、部门、职务等。

3. 外单位人员账号申请需提供单位介绍信，并经过相应部门审核确认。

四、账号设置1. 账号应设置符合安全要求的初始密码，并规定密码复杂度要求，如包含大写字母、小写字母、数字和特殊符号。

2. 不同权限账号需要设定不同的权限级别，并动态调整。

3. 未绑定手机和邮箱的账号需要补充这些信息，用于密码找回和安全验证。

五、账号使用1. 用户应妥善保管自己的账号信息，不得转借、租借或出售账号。

2. 用户在使用账号时，应遵守国家相关法律法规，并维护单位信息系统的安全和稳定。

3. 用户应定期更改密码，并使用安全可靠的方式存储密码，不得直接将密码存储在明文文件或共享设备中。

4. 离开工作岗位时，用户应主动注销账号或锁定电脑，以保障账号不被他人滥用。

六、账号维护1. 信息化管理部门应定期对单位用户账号进行巡检和监控，及时发现异常情况并进行处理。

2. 用户不再履行工作职责或离职时，应及时通知信息化管理部门，停用或注销相关账号。

3. 账号长时间未使用或存在安全隐患的，信息化管理部门应及时对其进行整改或撤销。

4. 对于被冻结的账号，需保留相关日志及审计信息，确保账号操作的可追溯性。

七、账号风险和应急处理1. 当发现账号异常登录、权限被非法操作等风险情况时，应立即通知信息化管理部门，尽快处理。

2. 用户应配合信息化管理部门，提供相关日志和信息，协助解决账号风险事件。

3. 在账号遭到入侵或密码泄露时，用户应第一时间修改密码，并进行相关安全检查。

一、目的为加强公司网络安全管理，确保公司信息系统安全稳定运行，保障公司业务正常开展，制定本制度。

二、适用范围本制度适用于公司内部所有使用公司信息系统的员工、外包人员、合作伙伴等相关人员。

三、职责1. 信息安全管理部门：负责制定和组织实施公司安全帐户管理制度，监督各部门落实安全帐户管理要求。

2. 各部门负责人：负责本部门员工的安全帐户管理工作，确保员工遵守安全帐户管理制度。

3. 员工：遵守安全帐户管理制度，保护个人信息安全，确保公司信息系统安全。

四、安全帐户管理要求1. 帐户创建与分配（1）员工入职后，由各部门负责人向信息安全管理部门申请创建安全帐户。

（2）信息安全管理部门根据员工岗位需求，分配相应的权限和资源。

（3）安全帐户创建后，应及时通知员工，并要求员工在规定时间内激活帐户。

2. 帐户密码管理（1）安全帐户密码应采用复杂度较高的密码，建议使用大小写字母、数字和特殊字符的组合。

（2）员工应定期更换密码，建议每3个月更换一次。

（3）员工密码不得与其它系统或服务密码相同。

（4）发现密码泄露或异常情况时，应及时修改密码，并通知信息安全管理部门。

3. 帐户权限管理（1）各部门负责人根据员工岗位需求，合理分配帐户权限。

（2）员工不得擅自更改或泄露权限信息。

（3）信息安全管理部门定期对帐户权限进行审查，确保权限分配合理。

4. 帐户审计与监控（1）信息安全管理部门对安全帐户进行审计，包括帐户创建、修改、删除等操作。

（2）监控帐户登录行为，发现异常情况及时采取措施。

（3）对帐户使用情况进行记录，便于追溯和审计。

5. 帐户清理与归档（1）员工离职或调离岗位时，由各部门负责人向信息安全管理部门申请注销安全帐户。

（2）信息安全管理部门对离职员工的安全帐户进行清理，包括删除帐户、回收权限等。

（3）对重要业务系统的安全帐户进行归档，确保业务连续性。

五、违规处理1. 员工违反本制度，造成公司信息系统安全风险或损失，将依法依规追究其责任。

信息系统密码管理规定第一条为了加强风险管理，强化保密工作，提高公司信息系统的安全性，保障信息系统的正常运行以及业务数据安全，防止黑客攻击和用户越权访问，防止保密信息的丢失、泄漏或破坏，建立科学、规范的信息系统密码管理规范，特制定本规定。

第二条本制度所指信息系统密码，包括以下几种类型：1.公司所有业务系统普通用户密码；2.员工登录公司内部网域密码；3.公司所有业务系统权限管理员和系统运营管理员密码；4.应用系统服务器管理员密码；5.应用系统数据库管理员密码；6.公司网络服务器管理员密码；7.其他网络应用及网络系统管理员密码；第三条应用系统服务器、数据库和网络服务器，自身包含有完整的多级权限管理体系。

由这些系统的最高权限分配的其他权限的密码，也需遵守本规定。

第四条公司业务系统普通用户的密码设置规范要求如下：1.密码长度不得低于6位；2.密码必须包含字(a-z,A-Z)、数字(0-9)、特殊字符(~!@#$%^&*)中的两种；3.密码必须6个月更换一次，并且新密码不得与原密码相同。

第五条对于以下密码：1.员工登录公司内部网络域密码；2.公司所有业务系统权限管理员和系统运营管理员密码；3.应用系统服务器管理员密码；4.应用系统数据库管理员密码;5.公司网络服务器管理员密码;其设置规范，应符合以下要求：1.密码长度不得低于8位；2.密码必须包含大小写字母、数字及特殊字符；3.密码必须每3个月更换一次，并且新密码不得与原密码相同。

第六条信息系统密码设置规范的系统控制：1.系统应控制密码的有效期，通过设置，强行要求用户定期进行密码修改，减少密码被盗用的可能；2.用户密码长度和编码规则限制。

强行要求用户密码符合长度和复杂性要求；3.系统控制第一次登录后必须马上更改初始密码；4.设置用户密码输入错误次数。

在密码错误输入3次后，系统锁定登陆用户。

用户必须通知信息化部解除锁定。

第七条公司引进、购买或者自主开发的所有业务系统，均应按照本办法第六条的要求，完善密码管理功能模块。

口令、账户管理制度一、信息系统管理员和网络安全管理员职责信息系统管理员和网络安全管理员负责统一管理信息系统用户、口令、权限。

严格管理用户分配，按照最小安全访问原则，为各类用户分配相关权限。

及时根据业务需要对信息系统中用户及权限进行调整。

登记和记录信息系统中各类用户、权限情况，并进行日常检查，及时补救存在的隐患。

定期更改所管理用户的口令，督促其他用户更新口令。

在得到信息部主任同意后，对信息系统中各类超级权限用户的口令进行修改，并整理交报信息部主任。

及时清理各系统中停止使用的帐户及权限。

二、口令设置要求操作系统用户、数据库系统用户、网络设备、应用程序用户必须设置口令。

主要业务服务器操作系统管理员、主要网络设备用户、数据库管理员、交易系统超级用户口令长度应在8位以上，应用系统用户口令长度应大于6位，系统有特殊规定的除外。

各用户口令的设置不可相同，应尽量不易记忆，并同时包含字母、数字、以及其它字符，不能使用字母、字符的口令除外。

不得使用用户名和部分用户名作为口令，不得以生日、电话等作为口令，系统有特殊规定的除外。

三、用户、口令、权限的管理各系统中不得保留系统中匿名访问用户。

如需建立其他用户，应由使用者向信息部主任提出申请，经批准后系统管理员给予设置。

管理员应保守机密，不得将用户口令透露给他人。

核心操作系统、数据库管理员及应用系统超级用户口令每半年必须更新；其它系统口令应至少每三个月更新一次。

管理员应提醒应用系统操作人员保存好自己的口令，并按口令设置要求经常修改。

建立与应用系统超级用户权限相仿的用户进行日常维护工作，应减少超级用户的使用。

在管理员离职时，应将其管理的用户、口令交给其下任管理员，并有义务保证交接时系统的正常运行。

新任管理员应及时更改口令。

系统操作人员离职时，系统管理员应及时将其使用的用户注销，并修改相应记录。

所有口令修改应进行登记，由操作人、复核人签字确认，相关纸制表格密封后保存。

对于个别系统无法更换某些用户的密码，或更换密码后会对应用造成较大的影响，这些用户的密码可以不进行更换，但必须加强管理，专人保管不得泄露。

密码管理制度第一条本制度所指密码包括计算机终端设备启动、登录密码，应用系统登录密码，机房网络设备、服务器登录管理密码。

第二条新应用系统上线运行或工作人员调入需要开设帐户，必须填写帐号开设申请表，注明使用者股室（单位）、工作内容和所需操作权限，由分管领导签字，然后由办公室审核，系统管理员负责添加帐户并分配权限和初始密码。

第三条每个应用系统的使用者每人只可以申请一个帐号，使用者必须使用自己的帐号进行操作。

使用者应当及时修改账号初始密码，并注意不得泄露。

第四条密码必须具有一定复杂程度，定期变换修改，密码必须由英文字母、数字、符号等混合组成，并且长度不得小于8个字符。

第五条使用者的股室（单位）变更或岗位变更，应当办理变更手续。

使用人应当填写应用系统帐号变更申请表，由分管领导签字或盖章，报办公室领导审核，然后由办公室审核，系统管理员执行。

第六条当有工作人员调离、退休或辞退等不再在本岗位上工作时，应及时填写应用系统、终端帐号注销申请表或持退休、离职相关资料，通知办公室清除该员工的所有权限并停用此帐号。

- 1 -第七条应用系统使用人员的帐号和密码由本人保管，禁止把本人帐号借给其他人使用。

使用人员应当定期修改密码，保证个人帐户的安全，并对通过个人帐户所做的一切数据操作承担相应的责任。

第八条用户帐号领取及口令初始化工作只能由使用人本人联系办公室系统管理人员办理。

第九条不得对加密设备、密钥等进行拍照、录像。

第十条发现密码设备通信系统工作异常、有失泄密情况或隐患时，管理人员要立即停止使用，及时报告，并迅速查明原因，采取补救措施。

第十一条中心机房的钥匙由专人管理，进入中心机房需要登记，严禁把钥匙发给与管理无关的人员。

- 2 -。

密码使用管理制度一、目的用户凭密码获得对系统访问权，可对系统进行不同的操作，因此密码风险直接关系到系统及数据安全。

单位在建立了一系列完整的网络平台之后，有必要建立一套完善的密码管理制度来规范管理，保证网络系统安全，保证软件设计和计算的安全，保障系统，数据库安全运行。

为了加强风险管理，强化保密工作，提高财政信息系统的安全性，保障信息系统的正常运营以及业务数据安全，防止黑客攻击和用户越权访问，防止保密信息的丢失、泄漏或破坏，建立科学、规范的信息系统密码管理规范，特制定本规定。

二、适用范围硬件系统密码管理；操作系统管理员及用户密码管理；核心业务系统管理员及用户密码管理；核心业务系统后台数据库密码管理。

三、术语定义密码：密码又称为口令（PASSWORD），被用来验证用户身份，保护对计算资源的访问。

口令一般分为两种，一种是一经设置固定不变的静态口令，一种是不确定随机变化的动态口令。

大部分系统使用的是静态口令。

四、内容4.1 基本要求1. 所有用户必须设置登录密码；2. 核心业务系统帐户、数据库及操作系统账户登录密码长度不低于12位，并采用数字（0-9）、字母（a-z）、符号(~!@#$%^&*)混排方式；3. 系统登录密码修改频率不低于每月一次；新密码不允许与历史密码相同，历史记忆次数不少于3次；输入错误密码锁定帐户，输入次数限制不多于5次；4. 修改操作系统、数据库及应用系统管理员密码，必须记录存档，销毁旧记录，部门负责人在场时由系统管理员将新密码记录封存。

5. 任何部门与个人不得向他人泄露所使用的系统登录密码；6. 当用户由于责任人更换或忘记密码、口令时要求查询密码、口令或要求更换密码及口令的情况下，需向上级部门提交申请单，由部门负责人与系统管理员核实后实施密码重置，并记录归档保存。

4.2岗位职责系统管理员在计算机密码管理工作中应当履行下列职责：1. 协助建立单位的密码管理制度；2. 认真执行密码管理制度，按制度规定对操作系统、数据库及应用系统管理员密码进行设置与定期更新，并记录归档；3. 不得向他人泄露所使用的系统登录密码；4.3方法与流程1. 系统管理员对操作系统、数据库及应用系统管理员密码进行设置和定期更换；2. 对于提供密码规则设置的应用系统，管理员按制度要求设置密码规则；3. 定期巡查系统密码设置是否符合密码管理制度规定，并填写密码状况表；4. 当责任人需要更换或忘记密码、口令时要求查询密码、口令或要求更换密码及口令的情况下，需向上级部门提交申请单，由部门负责人与系统管理员核实后实施密码重置，并记录归档保存。

XXXX有限公司信息系统账号和密码管理规定第一章总则第一条为保障XXXX有限公司信息系统的安全，确保合理访问和修改XXXX有限公司数据资源，根据《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008），结合XXXX有限公司实际，制定本规定。

第二条本管理规定确立了包括建立、监控、修改、注销和删除公司信息系统账号的规则。

第三条本管理规定适用于XXXX有限公司信息系统的设备、平台等，适用对象是XXXX有限公司内部人员、第三方人员以及其他任何授权使用XXXX有限公司信息系统资源的人员。

第四条信息安全领导小组办公室负责制定信息系统用户账号名策略和密码策略。

第五条平台研发部下属系统运维部门负责XXXX有限公司信息系统账号及密码的分配和统一管理。

第二章账号管理第六条账号名（一）每个系统的账号名需能代表某个系统或应用的用户。

每个账号需要有一个所属人；（二）不允许共享账号身份或账号组身份；（三）账号名基本规则为员工工号。

第七条账号的申请（一）应根据业务的需求申请账号，并根据所属人的权限开通相关账号的功能；（二）账号的申请必须得到业务部门、人力资源部门、系统运维部门负责人关于访问该系统设备或服务的批准；（三）账号的权限应被严格控制。

账号尤其是特别权限的账号应被限制在职责范围内所需工作的最低权限。

超过普通用户的权限，必须基于业务需求，并得到系统运维部门负责人的批准；（四）账号和密码提供给员工之前，需要确认用户的身份。

推荐使用较严格的方式（如，递交给部门经理）来提供拥有特权的账号信息；（五）第三方人员申请信息系统账号时由接口的内部员工代为办理，并需明确其责任和义务。

第八条账号申请流程（一）首先由员工填写《系统账号管理申请单》提出书面申请，详细列出涉及的信息系统设备、所需权限、用途，由其部门负责人和分管领导审批；（二）由人力资源部门及系统运维部门负责人审核申请内容的合理性、安全性；（三）在以上各审批环节中，如任何一个审批人不同意该申请，则退回用户的申请。

IT账号管理制度第一章总则第一条为加强用户账号管理，规范用户账号的使用，提高信息系统使用安全性，特制定本制度。

第二条本制度中系统账号是指应用层面及系统层面（操作系统、数据库系统、信息管理系统、防火墙及其它网络设备）的用户账号。

第三条本规定所指账号管理包括：1、应用层面用户账号的申请、审批、分配、删除/禁用等的管理2、系统层面用户账号的申请、审批、分配、删除/禁用等的管理3、用户账号密码的管理。

第四条系统拥有部门负责建立《岗位权限对照表》，制定工作岗位与系统权限的对应关系和互斥原则，对具体岗位做出具体的权限管理规定。

第五条信息部根据系统拥有部门提交的《岗位权限对照表》增加系统岗位权限控制。

第六条用户账号申请、审批及设置由不同人员负责。

第七条各信息系统需设置超级管理员、系统管理员、系统管理监督员和普通用户。

超级管理员、系统管理员与系统管理监督员不能由同一人担任，并不能是系统操作用户。

1、超级管理员：负责按照领导审定的《信息系统权限申请表》进入系统管理员的授权管理。

2、系统管理员：负责按照领导审定的授权进行录入，并对系统运行状况以及系统用户数据录入进行管理。

系统管理员应对录入的授权和系统运行状态建立台帐，定期向系统管理监督备案。

3、系统管理监督员：负责对录入的数据和授权进行监督，并建立用户权限台帐，定期对系统管理员录入的授权和系统运行状态以及用户录入数据进行监督检查。

4、普通用户：负责对系统进行业务层面的操作。

第八条信息部将定期抽取系统岗位和用户清单进行检查，发现可疑授权、可疑使用将根据实际情况予以通报修正，并将检查结果记入信息化年度考核中。

第二章普通账号管理第九条申请人使用统一规范的《信息系统权限申请表》提出用户账号创建、修改、禁用、启用等申请。

第十条账号申请人所属部门负责人及系统拥有部门负责人根据《岗位权限对照表》审核申请人所申请的权限是否与其岗位一致，确保权限分配的合理性、必要性和符合职责分工的要求。

业务资料管理制度一、总则为规范和加强公司内部业务资料的管理工作，提高工作效率，确保信息安全，特制定本制度。

二、适用范围本制度适用于公司内部所有的业务资料管理工作，包括纸质文件、电子文档、数据库等各类资料。

三、资料分类1. 按照业务内容和重要性，将资料分为机密资料、重要资料和一般资料三类。

2. 机密资料：指公司内部商业机密、客户信息、财务数据等，需要严格保密的资料。

3. 重要资料：指对公司业务运作具有关键作用、涉及重要决策的资料。

4. 一般资料：指一般的业务活动产生的文档和资料。

四、资料存储1. 纸质文件存储：所有纸质文件都应该按照分类标准，分别存放在专门的文件柜内，并按照年限进行归档管理。

2. 电子文档存储：所有电子文档都应该储存在公司指定的服务器上，并按照分类标准和时间顺序进行管理。

3. 数据库管理：公司建立统一的数据库管理系统，对各类业务数据进行统一管理和备份。

五、资料归档1. 纸质文件归档：根据文件的保管期限和重要性，定期对纸质文件进行整理和归档，将已经不再需要使用的文件进行销毁处理。

2. 电子文档归档：对电子文档进行定期整理和清理，将已经不再需要的文档进行归档或删除。

3. 数据库备份：定期对数据库中的重要数据进行备份，确保数据的安全性和可靠性。

六、资料借阅1. 纸质文件借阅：借阅者必须经过授权，并填写借阅申请表，借阅后必须按时归还，并签字确认。

2. 电子文档借阅：对于重要电子文档的借阅，应该记录借阅者的姓名、时间和用途，并设定权限管理。

3. 数据库访问：对数据库的访问权限应该进行严格管理，确保只有经过授权的人员才能访问。

七、资料保密1. 机密资料必须进行加密处理，并严格限制访问权限，确保不被泄露。

2. 重要资料的管理人员应该严格把控其访问权限，确保资料的安全性。

3. 一般资料也要根据其敏感程度，对访问权限进行合理的管理。

八、信息安全1. 公司应该建立完善的信息安全制度，确保业务资料不受到病毒攻击、黑客攻击等威胁。

信息系统密码管理规定第一条为了加强风险管理，强化保密工作，提高公司信息系统的安全性，保障信息系统的正常运行以及业务数据安全，防止黑客攻击和用户越权访问，防止保密信息的丢失、泄漏或破坏，建立科学、规范的信息系统密码管理规范，特制定本规定。

第二条本制度所指信息系统密码，包括以下几种类型：1.公司所有业务系统普通用户密码；2.员工登录公司内部网域密码；3.公司所有业务系统权限管理员和系统运营管理员密码；4.应用系统服务器管理员密码；5.应用系统数据库管理员密码；6.公司网络服务器管理员密码；7.其他网络应用及网络系统管理员密码；第三条应用系统服务器、数据库和网络服务器，自身包含有完整的多级权限管理体系。

由这些系统的最高权限分配的其他权限的密码，也需遵守本规定。

第四条公司业务系统普通用户的密码设置规范要求如下：1.密码长度不得低于6位；2.密码必须包含字(a-z,A-Z)、数字(0-9)、特殊字符(~!@#$%^&*)中的两种；3.密码必须6个月更换一次，并且新密码不得与原密码相同。

第五条对于以下密码：1.员工登录公司内部网络域密码；2.公司所有业务系统权限管理员和系统运营管理员密码；3.应用系统服务器管理员密码；4.应用系统数据库管理员密码;5.公司网络服务器管理员密码;其设置规范，应符合以下要求：1.密码长度不得低于8位；2.密码必须包含大小写字母、数字及特殊字符；3.密码必须每3个月更换一次，并且新密码不得与原密码相同。

第六条信息系统密码设置规范的系统控制：1.系统应控制密码的有效期，通过设置，强行要求用户定期进行密码修改，减少密码被盗用的可能；2.用户密码长度和编码规则限制。

强行要求用户密码符合长度和复杂性要求；3.系统控制第一次登录后必须马上更改初始密码；4.设置用户密码输入错误次数。

在密码错误输入3次后，系统锁定登陆用户。

用户必须通知信息化部解除锁定。

第七条公司引进、购买或者自主开发的所有业务系统，均应按照本办法第六条的要求，完善密码管理功能模块。

信息系统管理办法目录第一章用户和密码管理 (2)第二章网络安全管理 (4)第三章操作系统安全管理 (4)第四章数据安全管理 (5)第五章主机安全管理 (6)第六章终端安全管理 (6)第七章病毒防治 (7)第八章机房安全管理 (8)第一章用户和密码管理第一条对于网络设备、主机、操作系统、数据库、业务应用程序，系统用户都必须通过用户和密码认证方可访问。

第二条用户权限分为普通用户、维护用户与超级用户三个级别。

普通用户为各应用系统的使用者，维护用户为各层面系统维护者，超级用户为各层面的管理员用户。

第三条具有重要权限的帐号密码设置必须符合以下安全要求:（一）密码不得包含常用可以识别的名称或单词、易于猜测的字母或数字序列或者容易同用户发生联系的数据，比如自己、配偶或者子女的生日和姓名等内容。

（二）密码长度至少是六个字符，组成上必须包含大小写字母、数字、标点等不同的字符。

（三）如果数据库系统、应用系统提供了密码安全周期机制，则帐户密码必须至少每120天修改一次。

（四）同一密码不得被给定账户在一年内重复使用。

（五）如果数据库系统、应用系统提供了密码安全机制，则必须在30分钟之内连续出现5次无效的登录尝试，其账户必须锁定15分钟。

在此期间，超级用户可以采用经过批准的备用验证机制重新启用账户。

（六）厂商默认密码必须在软件或硬件安装调试完毕后进行修改。

（七）对于操作系统，必须禁用GUEST帐户，并将管理员帐户重命名。

（八）第四条密码保护与备份策略：（一）范围：网络设备、服务器操作系统、数据库、应用系统、ADSL帐户拨号信息；（二）包含项目：网络设备包括访问的IP地址、端口，所有超级用户的用户名以及密码；（三）服务器操作系统的IP地址、所有管理员帐户名、密码；（四）数据库中所有具有系统数据库管理员权限的用户的用户名和密码；（五）应用系统中所有超级用户的用户名以及密码；帐户的用户名以及密码。

第二章网络安全管理第五条需要全面、系统地考虑整个网络的安全控制措施，并紧密协调，一致实施，以便优化公司IT系统运营。