信息系统帐户密码管理规定

信息系统口令密码和密钥管理The final edition was revised on December 14th, 2020.信息系统口令、密码和密钥管理1范围本标准规定了信息网网络安全管理人员的职责、管理内容和工作要求，以及信息系统口令、密码和密钥管理。

本标准适用于公司所有信息网络、应用系统及设备和用户所有层次的口令管理。

2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款，凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本标准。

1994 国务院中华人民共和国计算机信息系统安全保护条例国务院273号令商用密钥管理条例1998 国家保密局中华人民共和国计算机信息系统保密管理暂行规定2000 国家保密局中华人民共和国计算机信息系统国际联网保密管理规定2003 公司网络与信息安全管理办法（试行）2006 公司信息网防病毒运行统计管理规范（试行）2006 公司信息网用户行为规范（试行）3术语与定义以下术语和定义适用于本标准。

信息系统信息系统是用系统思想建立起来的，以电子计算机为基本信息处理手段，以现代通讯设备为基本传输工具，且能为管理决策提供信息服务的人机系统。

即，信息系统是一个由人和计算机等组成的，能进行管理信息的收集、传输、存储、加工、维护和使用的系统。

密钥密钥是一组信息编码，它参与密码的“运算”，并对密码的“运算”起特定的控制作用。

密钥是密码技术中的重要组成部分。

在密码系统中，密钥的生成、使用和管理至关重要。

密钥通常是需要严格保护的，密钥的失控将导致密码系统失效。

4职责信息中心职责4.1.2 信息中心负责信息网系统的服务器、网络设备的口令、密码和密钥的设置和保管，指导相关部门设置应用系统的口令、密码和密钥；指导各用户设置开机口令。

信息中心各专职职责4.1.3 网络安全管理员负责保管网络设备及相关安全防护设备(系统)的账号、口令的设置和更改。

送检密码管理制度一、总则为了加强信息系统的安全管理，保护企业信息资产的安全，减少信息泄露的风险，提高企业信息系统的安全性能和稳定性，特制定本密码管理制度。

二、适用范围本制度适用于企业所有员工在信息系统中使用的密码，包括但不限于计算机、手机、邮箱等各类系统、软件和应用程序。

三、密码生成1. 密码应以英文字母、数字、特殊符号组合的方式生成，长度不少于8位。

2. 应避免使用个人信息、生日、电话号码等容易被他人猜测到的内容作为密码。

3. 不得使用简单、重复的密码作为个人账号的密码。

四、密码使用1. 账号密码仅限于本人使用，不得借借或转让给他人使用。

2. 不得在他人面前明文输入密码。

3. 禁止使用他人的账号密码进行系统登录和使用。

五、密码存储1. 不得将密码明文存储在计算机文档、备忘录等任何文档或文件中。

2. 不得在计算机或手机的自动保存功能中保存密码信息。

3. 不得将密码告知他人或以其他形式存储在公共场所。

六、密码修改1. 周期性地修改密码，建议不少于3个月一次。

2. 在遗忘密码、怀疑账号被盗等情况下，应及时申请密码修改。

七、密码保护1. 在计算机公共场所，应谨慎输入密码，确保他人无法偷窥。

2. 不得和他人讨论、泄漏自己的密码信息。

3. 不得在各类社交平台、网站上留下自己的密码信息。

八、密码审核1. 管理员应定期对所有员工的密码进行检测和审核。

2. 对发现存在风险的密码，应及时要求员工修改。

九、密码备份1. 员工应当将重要密码备份至安全的存储设备中。

2. 备份的存储设备应设置密码或者加密，以防泄露。

十、违规处理1. 对于违反密码管理制度的员工，公司将给予警告、扣减奖金、调整岗位等处罚。

2. 对于故意泄露密码、滥用权限等行为，公司将依法追究其法律责任。

十一、附则1. 公司对密码管理制度享有最终解释权。

2. 本制度将于颁布后即刻生效。

以上即为本公司密码管理制度，希望所有员工遵守并执行。

密码是信息系统的第一道防线，我们将协助您加强安全，保障公司和个人数据的安全。

XXXX有限公司信息系统账号和密码管理规定第一章总则第一条为保障XXXX有限公司信息系统的安全，确保合理访问和修改XXXX有限公司数据资源，根据《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008），结合XXXX有限公司实际，制定本规定。

第二条本管理规定确立了包括建立、监控、修改、注销和删除公司信息系统账号的规则。

第三条本管理规定适用于XXXX有限公司信息系统的设备、平台等，适用对象是XXXX有限公司内部人员、第三方人员以及其他任何授权使用XXXX有限公司信息系统资源的人员。

第四条信息安全领导小组办公室负责制定信息系统用户账号名策略和密码策略。

第五条平台研发部下属系统运维部门负责XXXX有限公司信息系统账号及密码的分配和统一管理。

第二章账号管理第六条账号名（一）每个系统的账号名需能代表某个系统或应用的用户。

每个账号需要有一个所属人；（二）不允许共享账号身份或账号组身份；（三）账号名基本规则为员工工号。

第七条账号的申请（一）应根据业务的需求申请账号，并根据所属人的权限开通相关账号的功能；（二）账号的申请必须得到业务部门、人力资源部门、系统运维部门负责人关于访问该系统设备或服务的批准；（三）账号的权限应被严格控制。

账号尤其是特别权限的账号应被限制在职责范围内所需工作的最低权限。

超过普通用户的权限，必须基于业务需求，并得到系统运维部门负责人的批准；（四）账号和密码提供给员工之前，需要确认用户的身份。

推荐使用较严格的方式（如，递交给部门经理）来提供拥有特权的账号信息；（五）第三方人员申请信息系统账号时由接口的内部员工代为办理，并需明确其责任和义务。

第八条账号申请流程（一）首先由员工填写《系统账号管理申请单》提出书面申请，详细列出涉及的信息系统设备、所需权限、用途，由其部门负责人和分管领导审批；（二）由人力资源部门及系统运维部门负责人审核申请内容的合理性、安全性；（三）在以上各审批环节中，如任何一个审批人不同意该申请，则退回用户的申请。

信息系统密码管理规定第一条为了加强风险管理，强化保密工作，提高公司信息系统的安全性，保障信息系统的正常运行以及业务数据安全，防止黑客攻击和用户越权访问，防止保密信息的丢失、泄漏或破坏，建立科学、规范的信息系统密码管理规范，特制定本规定。

第二条本制度所指信息系统密码，包括以下几种类型：1.公司所有业务系统普通用户密码；2.员工登录公司内部网域密码；3.公司所有业务系统权限管理员和系统运营管理员密码；4.应用系统服务器管理员密码；5.应用系统数据库管理员密码；6.公司网络服务器管理员密码；7.其他网络应用及网络系统管理员密码；第三条应用系统服务器、数据库和网络服务器，自身包含有完整的多级权限管理体系。

由这些系统的最高权限分配的其他权限的密码，也需遵守本规定。

第四条公司业务系统普通用户的密码设置规范要求如下：1.密码长度不得低于6位；2.密码必须包含字(a-z,A-Z)、数字(0-9)、特殊字符(~!@#$%^&*)中的两种；3.密码必须6个月更换一次，并且新密码不得与原密码相同。

第五条对于以下密码：1.员工登录公司内部网络域密码；2.公司所有业务系统权限管理员和系统运营管理员密码；3.应用系统服务器管理员密码；4.应用系统数据库管理员密码;5.公司网络服务器管理员密码;其设置规范，应符合以下要求：1.密码长度不得低于8位；2.密码必须包含大小写字母、数字及特殊字符；3.密码必须每3个月更换一次，并且新密码不得与原密码相同。

第六条信息系统密码设置规范的系统控制：1.系统应控制密码的有效期，通过设置，强行要求用户定期进行密码修改，减少密码被盗用的可能；2.用户密码长度和编码规则限制。

强行要求用户密码符合长度和复杂性要求；3.系统控制第一次登录后必须马上更改初始密码；4.设置用户密码输入错误次数。

在密码错误输入3次后，系统锁定登陆用户。

用户必须通知信息化部解除锁定。

第七条公司引进、购买或者自主开发的所有业务系统，均应按照本办法第六条的要求，完善密码管理功能模块。

信息系统系统密码使用管理制度信息系统密码使用管理制度一、总则信息系统密码使用管理制度制定的目的是为了保护信息系统的安全性和保密性，加强对密码的管理，防止密码被泄露、滥用或不当使用，确保信息系统的正常运行和数据的安全。

二、适用范围本制度适用于所有使用信息系统的工作人员，包括但不限于内部员工、外部合作伙伴和供应商等。

三、密码的相关定义1.系统密码：指用于认证、加密和保护信息系统和数据安全的密码。

2.账户密码：指用户用于登录信息系统的密码。

3.应用密码：指用于访问特定应用或功能的密码。

4.管理密码：指信息系统管理员或系统维护人员使用的密码。

四、密码的与设置1.密码的：密码应由系统自动，遵循安全性和复杂性原则，包括大小写字母、数字和符号的组合。

2.密码的设置：密码应遵循以下要求：a) 长度要求：密码长度不得少于8个字符。

b) 复杂性要求：密码中需包含大小写字母、数字和符号。

c) 定期更换：密码应定期更换，建议每3个月更换一次。

d) 禁止共享：密码不得共享或透露给任何其他人员。

五、密码的使用与保护1.密码的使用：密码应遵循以下要求：a) 帐户密码：每个用户应拥有一个唯一的账户密码，不得使用他人密码。

b) 应用密码：每个应用或功能应使用独立的应用密码。

c) 防止暴力：登录失败超过一定次数将触发暂时锁定账户的措施。

2.密码的保护：密码应遵循以下要求：a) 密码不得以明文形式保存。

b) 禁止使用弱密码，如生日、方式号码等容易被猜测的密码。

c) 禁止将密码存储在任何公共或未加密的存储介质上，如纸质记录、邮件、云端文档等。

d) 禁止将密码发送给他人，包括方式、邮件、短信等方式。

e) 防止社会工程攻击：当收到索要密码的请求时，应验证请求的合法性，避免被钓鱼网站或欺诈行径所诱骗。

六、密码的修改和重置1.密码的修改：用户应定期修改密码，建议每3个月进行一次更换。

2.密码的重置：密码重置应遵循以下要求：a) 密码重置需经过身份验证，确保密码重置请求的合法性。

信息系统口令、密码和密钥管理1范围本标准规定了信息网网络安全管理人员的职责、管理内容和工作要求，以及信息系统口令、密码和密钥管理。

本标准适用于公司所有信息网络、应用系统及设备和用户所有层次的口令管理。

2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款，凡是注日期的引用文件，其随后所19941998200020032006200633.13.2密钥4职责4.14.1.2部门设置应用系统的口令、密码和密钥；指导各用户设置开机口令。

4.2信息中心各专职职责4.1.3网络安全管理员负责保管网络设备及相关安全防护设备(系统)的账号、口令的设置和更改。

4.1.4主机管理员负责主机、数据库系统的账号、口令的设置和更改。

4.1.5应用系统管理员负责应用系统的账号、口令的设置和更改。

4.1.6网络信息安全员负责管理和监督检查信息网络的安全工作，参加信息网系统事故调查、分析处理和信息网安全事故上报及督促现场安全措施落实，以及网络系统各类分析、统计报告的编制和上报工作。

5管理内容与要求5.1主机与网络设备(含安全防护系统)口令、密码管理5.1.1各类主机、网络设备应有明确的管理员负责管理，管理员负责其管辖范围的账号、口令的设置和更改。

5.1.2各类主机的超级用户口令和网络设备配置口令必须定期更换，更换周期不得超过1个月。

5.1.3各管理员应将口令用信封封存后交网络信息安全员统一保管，如遇管理员出差等情况需打开信封，必须征得信息中心主管同意后方可打开信封使用口令，管理员回来后及时更改口令并重新封存。

口令的保存、更改和开封启用均要有详细记录。

严禁私自启封。

5.1.4更换账号、口令后，必须立即提交新的密封件交网络信息安全员保管，并重新进行登记，旧的密封件当面销毁。

5.1.5不同权限人员应严格保管、保密各自职责的口令，严格限制使用范围，不得向非相关人员透露，原则上不允许多人共同使用一个帐户和口令。

系统管理员不得拥有数据库管理员（DBA）的权限；数据库管理员不得同时拥有系统管理员的权限；数据库管理员应为不同的不同应用系统的数据5.1.6证，户名、5.1.75.25.2.15.2.25.2.35.2.4借他人。

信息系统账号管理制度第一章总则第一条为加强用户账号管理，规范用户账号的使用，提高信息系统使用安全性，特制定本制度。

第二条本制度中系统账号是指应用层面及系统层面（操作系统、数据库系统、信息管理系统、防火墙及其它网络设备）的用户账号。

第三条本规定所指账号管理包括：1、应用层面用户账号的申请、审批、分配、删除/ 禁用等的管理2、系统层面用户账号的申请、审批、分配、删除/ 禁用等的管理3、用户账号密码的管理。

第四条系统拥有部门负责建立《岗位权限对照表》（附件一），制定工作岗位与系统权限的对应关系和互斥原则，对具体岗位做出具体的权限管理规定。

第五条信息管理中心根据系统拥有部门提交的《岗位权限对照表》增加系统岗位权限控制。

第六条用户账号申请、审批及设置由不同人员负责。

第七条各信息系统需设置超级管理员、系统管理员、系统管理监督员和普通用户。

超级管理员、系统管理员与系统管理监督员不能由同一人担任，并不能是系统操作用户。

1、超级管理员：负责按照领导审定的《信息系统权限申请表》（附件二）进入系统管理员的授权管理。

2、系统管理员：负责按照领导审定的授权进行录入，并对系统运行状况以及系统用户数据录入进行管理。

系统管理员应对录入的授权和系统运行状态建立台帐，定期向系统管理监督备案。

3、系统管理监督员：负责对录入的数据和授权进行监督，并建立用户权限台帐，定期对系统管理员录入的授权和系统运行状态以及用户录入数据进行监督检查。

4、普通用户：负责对系统进行业务层面的操作。

第八条信息管理中心将定期抽取系统岗位和用户清单进行检查，发现可疑授权、可疑使用将根据实际情况予以通报修正，并将检查结果记入信息化年度考核中。

第二章普通账号管理第九条申请人使用统一规范的《信息系统权限申请表》（附件二）提出用户账号创建、修改、禁用、启用等申请。

第十条账号申请人所属部门负责人及系统拥有部门负责人根据《岗位权限对照表》审核申请人所申请的权限是否与其岗位一致，确保权限分配的合理性、必要性和符合职责分工的要求。

密码使用管理制度概述密码使用管理制度是一项非常重要的安全措施。

它用于保护公司的账户和数据，防止未经授权的人员访问敏感信息。

该制度规定了一系列密码设置、管理和使用的规则，以确保密码安全和合规性。

密码设置规则1.密码长度大于8个字符；2.必须包含至少一个数字和一个特殊字符；3.区分大小写；4.避免使用基于个人信息或常用字典的单词；5.密码强度评分大于等于80分。

密码管理规则1.需要定期更改密码，建议每90天更换一次密码；2.新密码不应与旧密码相同；3.避免使用连续或重复的字符；4.不得将密码保存在公共区域，如办公室公共电脑、纸质备忘录等；5.不得将密码告诉他人，包括公司内外的人员；6.登录帐号时，注意保护密码输入，防止被旁观；7.在离开电脑前，必须登出账户或锁定屏幕。

密码使用规则1.严格遵守公司的密码使用规则；2.公司要求使用多个不同的密码时，不得使用同一密码；3.不得将公司的密码用于个人的在线账户，如社交账号、电子邮件等；4.不得将公司的密码用于非安全连接或非授权的连接；5.所有公司密码必须由IT部门监控和管理；6.出现密码泄露或被盗与怀疑帐户受到非法登录的情况，应及时通知IT部门。

密码安全管理策略1.密码复杂性：密码应该是难以破解的，建议使用数字、字符和大小写字母混合，以确保强密码；2.定期更改密码：定期更改密码可以防止潜在的密码泄露，以及避免持续定位和跟踪；3.限制访问：限制那些能够访问系统的人是非常重要的。

只有有必要的用户，才能够通过验证访问系统；4.监视记录：记录尝试登录的所有用户的用户名和访问时间。

如果发现异常尝试，就应该对这些尝试进行更深入的审计；5.安全保护：对于重要的数据，需要将它们存放在受到保护的存储地点中。

这样会使得未经授权的访问更难发生。

密码安全教育课程1.提供基本的密码使用指南和技巧；2.提供密码管理的实践教育，包括更改、管理密码等；3.提供关于密码保护的实践教育，包括登出账户、锁定屏幕等；4.定向针对不同用户群体提供自适应的密码安全教育课程。

*主办部门：系统运维部执笔人：审核人：XXXXX信息系统用户和密码管理规定V0.1XX-ISMS-SM-020092014年3月17日[本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属XXXXX所有，受到有关产权及版权法保护。

任何个人、机构未经XXXXX的书面授权许可，不得以任何方式复制或引用本文件的任何片断。

]文件版本信息文件版本信息说明记录本文件提交时当前有效的版本控制信息，当前版本文件有效期将在新版本文档生效时自动结束。

文件版本小于1.0 时，表示该版本文件为草案，仅可作为参照资料之目的。

阅送范围内部发送部门：综合部、系统运维部、技术开发部目录第一章总则 (1)第二章帐号管理 (1)第三章密码管理 (5)第四章附则 (7)附件 (8)第一章总则第一条为保障XXXXX信息系统的安全，确保合理访问和修改XXXXX数据资源，根据《金融行业信息系统信息安全等级保护实施指引》（JR/T 0071—2012），结合XXXXX实际，制定本规定。

第二条本管理规定确立了包括建立、监控、修改、注销和删除XXXXX信息系统帐号的规则。

第三条本管理规定适用于XXXXX信息系统的设备、平台等，适用对象是XXXXX内部人员、第三方人员以及其他任何授权使用XXXXX信息系统资源的人员。

第四条网络与信息安全工作领导小组办公室负责制定信息系统用户帐号名策略和密码策略。

第五条系统运维部负责XXXXX信息系统帐号及密码的分配和统一管理。

第二章帐号管理第六条帐号名（一）每个系统的帐号名需能代表某个系统或应用的用户。

每个帐号需要有一个所属人。

（二）不允许共享帐号身份或帐号组身份。

（三）内部人员帐号名应符合以下规则：1.帐号名基本规则为员工的姓名全名拼音。

2.帐号名重名时，采用重名冲突规则处理。

3.帐号名过长时，采用超长规避规则处理。

4.重名冲突规则：“<符合基本规则的帐号名>”+“_”+“<后缀>”（注明：下划线），建议<后缀>为长度小于等于2位的字母。

网络平台密码管理制度一、总则为了保障网络平台密码的安全管理，保护用户个人信息的安全，提高整个网络平台的安全性和稳定性，特制定本管理制度。

二、适用范围本管理制度适用于所有使用网络平台的用户，包括但不限于注册用户、管理员、开发人员等。

三、密码设置原则1.密码的长度应不少于8位，且包含数字、字母(大小写)、特殊字符等组合，不得使用简单的密码如123456、abcdef等。

2.密码应定期更换，建议每三个月更换一次。

3.不得使用与个人信息相关的密码，如生日、姓名、电话号码等。

4.密码应妥善保管，不得随意泄露给他人。

四、密码管理制度1.注册用户密码管理1.1 注册用户在注册成功后，系统会自动生成初始密码，用户首次登录后需立即更改初始密码。

1.2 注册用户需妥善保管个人密码，不得向他人透露。

1.3 注册用户忘记密码时，可通过系统提供的找回密码功能找回。

1.4 若注册用户怀疑密码已被泄露，应立即更换密码并通知平台管理员。

2.管理员密码管理2.1 管理员密码由系统管理员统一设置，默认密码由系统生成，首次登录后需立即更改。

2.2 管理员密码不得与他人共享，不得泄露给非法人员。

2.3 管理员有权限重置用户密码，但需经过用户同意。

2.4 任何人不得擅自更改管理员密码，需经过相关程序。

3.开发人员密码管理3.1 开发人员密码由系统管理员统一设置，需定期更改。

3.2 开发人员不得将密码告知他人，不得使用与其他平台密码相同的密码。

3.3 开发人员在调试或测试过程中，需遵守相关规则保护密码信息。

3.4 开发人员离职或调离时，应立即将密码更改并通知相关负责人。

五、密码安全提示1.密码不得存储在明文文档或纸质文件中，不得随身携带。

2.不得在公共网络环境输入密码，如网吧、公共WIFI等。

3.不得使用他人设备登录，不得将自己的密码保存在他人设备上。

4.不定期对密码进行修改，并及时更新安全策略。

5.如有密码异常情况，应立即通知平台管理人员处理。

信息公司账号安全管理制度一、目的与范围制定本制度的目的，在于明确账号的创建、使用、维护及注销等环节的管理要求，保障公司信息系统资源的合理利用和安全。

本制度适用于公司内部所有涉及网络资源访问的账号管理。

二、账号分类与责任根据不同的权限和用途，公司账号将分为普通用户账号、管理员账号和特殊用途账号。

普通用户账号用于日常工作中对一般资源的访问；管理员账号用于系统管理和维护，拥有较高权限；特殊用途账号则针对特定应用或服务设置。

每位员工都应对其使用的账号负责，不得泄露密码，不得将账号交由他人使用。

三、账号创建与审批新员工的账号创建需经过部门申请，并由信息安全管理部门审批。

审批时需核对申请人的身份信息，并按照最小权限原则分配相应的访问权限。

四、账号使用规范1. 员工应使用复杂且不易被猜测的密码，并定期更换。

2. 不得在公共场合登录敏感账号，以防信息泄露。

3. 对于需要长期使用且不操作的会话，应主动登出系统。

4. 严禁在未经授权的情况下访问或尝试访问其他账号。

五、账号变更与维护1. 如员工岗位变动或离职，应及时通知信息安全管理部门进行账号的权限调整或账号注销。

2. 若发现账号存在异常情况，如密码泄露或账号被盗用，应立即报告并采取措施。

六、违规处理违反账号安全管理制度的员工，将根据情节轻重给予警告、罚款或其他纪律处分。

严重者可能面临法律责任的追究。

七、监督与审计信息安全管理部门应定期进行账号使用情况的审计，检查账号的使用记录和权限设置是否合规，并对发现的问题及时整改。

八、附则本制度自发布之日起实施，由信息安全管理部门负责解释和更新。

所有员工必须遵守本制度规定，共同维护公司的信息资产安全。

计算机信息系统保密管理制度一、总则为了保护计算机信息系统中的信息资产安全，保障信息主体的合法权益，建立和完善计算机信息系统保密管理制度，是公司保护信息安全的基本要求。

本制度的制定目的是为了规范计算机信息系统的使用和管理行为，确保计算机信息系统中的信息资产得到有效的保护和管理。

二、适用范围本制度适用于公司内部所有计算机信息系统的使用和管理行为。

三、保密责任1.公司所有员工有义务保守公司计算机信息系统中的信息安全，不得泄露、篡改和盗用公司的信息资产。

2.每位员工必须对公司的计算机账号和密码、存储介质、移动存储设备等进行妥善保管，不得向他人泄露。

3.管理人员要负责组织和实施计算机信息系统的安全管理措施，并对下属员工的保密工作进行监督和指导。

四、信息分类与标志1.将计算机信息系统中的信息分为公开信息、内部信息和机密信息三个级别，并相应地标识。

2.公开信息：无影响公司利益的信息，可以在未经授权的情况下向任意人展示和传播。

3.内部信息：不宜向外部人员展示和传播的信息，只能在内部范围使用。

4.机密信息：非常重要且不能泄露的信息，只能在经过授权的情况下使用，且仅限在授权范围内使用。

五、信息使用和管理1.员工在内部计算机信息系统中处理公司信息时，应按照公司的标准操作流程进行操作，不得滥用权限或逾越权限范围进行操作。

2.禁止在计算机信息系统中存储、发送、接收含有违法、有害、恶意程序或病毒的信息。

3.禁止私自安装和使用未经授权的软件或工具，如需安装或使用，应事先获得上级主管的批准。

4.禁止私自使用外部网络、移动存储设备和个人电脑等进行工作。

5.禁止非授权人员使用他人计算机账号和密码进行操作，应妥善保管自己的账号和密码，定期更换密码。

6.禁止私自更改他人计算机系统的设置和配置，避免出现故障和安全风险。

六、信息备份与恢复1.公司提供统一的备份机制，员工应定期备份计算机信息系统中的数据，并将备份数据存放在安全地点。

2.在进行计算机信息系统的维护和升级时，应提前备份相关数据，以免因操作失误或系统故障导致数据丢失。

一、目的为加强公司网络安全管理，确保公司信息系统安全稳定运行，保障公司业务正常开展，制定本制度。

二、适用范围本制度适用于公司内部所有使用公司信息系统的员工、外包人员、合作伙伴等相关人员。

三、职责1. 信息安全管理部门：负责制定和组织实施公司安全帐户管理制度，监督各部门落实安全帐户管理要求。

2. 各部门负责人：负责本部门员工的安全帐户管理工作，确保员工遵守安全帐户管理制度。

3. 员工：遵守安全帐户管理制度，保护个人信息安全，确保公司信息系统安全。

四、安全帐户管理要求1. 帐户创建与分配（1）员工入职后，由各部门负责人向信息安全管理部门申请创建安全帐户。

（2）信息安全管理部门根据员工岗位需求，分配相应的权限和资源。

（3）安全帐户创建后，应及时通知员工，并要求员工在规定时间内激活帐户。

2. 帐户密码管理（1）安全帐户密码应采用复杂度较高的密码，建议使用大小写字母、数字和特殊字符的组合。

（2）员工应定期更换密码，建议每3个月更换一次。

（3）员工密码不得与其它系统或服务密码相同。

（4）发现密码泄露或异常情况时，应及时修改密码，并通知信息安全管理部门。

3. 帐户权限管理（1）各部门负责人根据员工岗位需求，合理分配帐户权限。

（2）员工不得擅自更改或泄露权限信息。

（3）信息安全管理部门定期对帐户权限进行审查，确保权限分配合理。

4. 帐户审计与监控（1）信息安全管理部门对安全帐户进行审计，包括帐户创建、修改、删除等操作。

（2）监控帐户登录行为，发现异常情况及时采取措施。

（3）对帐户使用情况进行记录，便于追溯和审计。

5. 帐户清理与归档（1）员工离职或调离岗位时，由各部门负责人向信息安全管理部门申请注销安全帐户。

（2）信息安全管理部门对离职员工的安全帐户进行清理，包括删除帐户、回收权限等。

（3）对重要业务系统的安全帐户进行归档，确保业务连续性。

五、违规处理1. 员工违反本制度，造成公司信息系统安全风险或损失，将依法依规追究其责任。

信息系统密码管理规定第一条为了加强风险管理，强化保密工作，提高公司信息系统的安全性，保障信息系统的正常运行以及业务数据安全，防止黑客攻击和用户越权访问，防止保密信息的丢失、泄漏或破坏，建立科学、规范的信息系统密码管理规范，特制定本规定。

第二条本制度所指信息系统密码，包括以下几种类型：1.公司所有业务系统普通用户密码；2.员工登录公司内部网域密码；3.公司所有业务系统权限管理员和系统运营管理员密码；4.应用系统服务器管理员密码；5.应用系统数据库管理员密码；6.公司网络服务器管理员密码；7.其他网络应用及网络系统管理员密码；第三条应用系统服务器、数据库和网络服务器，自身包含有完整的多级权限管理体系。

由这些系统的最高权限分配的其他权限的密码，也需遵守本规定。

第四条公司业务系统普通用户的密码设置规范要求如下：1.密码长度不得低于6位；2.密码必须包含字(a-z,A-Z)、数字(0-9)、特殊字符(~!@#$%^&*)中的两种；3.密码必须6个月更换一次，并且新密码不得与原密码相同。

第五条对于以下密码：1.员工登录公司内部网络域密码；2.公司所有业务系统权限管理员和系统运营管理员密码；3.应用系统服务器管理员密码；4.应用系统数据库管理员密码;5.公司网络服务器管理员密码;其设置规范，应符合以下要求：1.密码长度不得低于8位；2.密码必须包含大小写字母、数字及特殊字符；3.密码必须每3个月更换一次，并且新密码不得与原密码相同。

第六条信息系统密码设置规范的系统控制：1.系统应控制密码的有效期，通过设置，强行要求用户定期进行密码修改，减少密码被盗用的可能；2.用户密码长度和编码规则限制。

强行要求用户密码符合长度和复杂性要求；3.系统控制第一次登录后必须马上更改初始密码；4.设置用户密码输入错误次数。

在密码错误输入3次后，系统锁定登陆用户。

用户必须通知信息化部解除锁定。

第七条公司引进、购买或者自主开发的所有业务系统，均应按照本办法第六条的要求，完善密码管理功能模块。

口令、账户管理制度一、信息系统管理员和网络安全管理员职责信息系统管理员和网络安全管理员负责统一管理信息系统用户、口令、权限。

严格管理用户分配，按照最小安全访问原则，为各类用户分配相关权限。

及时根据业务需要对信息系统中用户及权限进行调整。

登记和记录信息系统中各类用户、权限情况，并进行日常检查，及时补救存在的隐患。

定期更改所管理用户的口令，督促其他用户更新口令。

在得到信息部主任同意后，对信息系统中各类超级权限用户的口令进行修改，并整理交报信息部主任。

及时清理各系统中停止使用的帐户及权限。

二、口令设置要求操作系统用户、数据库系统用户、网络设备、应用程序用户必须设置口令。

主要业务服务器操作系统管理员、主要网络设备用户、数据库管理员、交易系统超级用户口令长度应在8位以上，应用系统用户口令长度应大于6位，系统有特殊规定的除外。

各用户口令的设置不可相同，应尽量不易记忆，并同时包含字母、数字、以及其它字符，不能使用字母、字符的口令除外。

不得使用用户名和部分用户名作为口令，不得以生日、电话等作为口令，系统有特殊规定的除外。

三、用户、口令、权限的管理各系统中不得保留系统中匿名访问用户。

如需建立其他用户，应由使用者向信息部主任提出申请，经批准后系统管理员给予设置。

管理员应保守机密，不得将用户口令透露给他人。

核心操作系统、数据库管理员及应用系统超级用户口令每半年必须更新；其它系统口令应至少每三个月更新一次。

管理员应提醒应用系统操作人员保存好自己的口令，并按口令设置要求经常修改。

建立与应用系统超级用户权限相仿的用户进行日常维护工作，应减少超级用户的使用。

在管理员离职时，应将其管理的用户、口令交给其下任管理员，并有义务保证交接时系统的正常运行。

新任管理员应及时更改口令。

系统操作人员离职时，系统管理员应及时将其使用的用户注销，并修改相应记录。

所有口令修改应进行登记，由操作人、复核人签字确认，相关纸制表格密封后保存。

对于个别系统无法更换某些用户的密码，或更换密码后会对应用造成较大的影响，这些用户的密码可以不进行更换，但必须加强管理，专人保管不得泄露。

账号安全保密制度1. 管理标准1.1 账号注册与调配1.全部企业员工需通过正式渠道向企业法务部申请账号，包括邮箱、内部系统账号等。

2.账号申请需填写认真个人信息，并由申请人亲自签署保密协议。

3.企业法务部依据申请人的职责和需要，调配适当的权限和访问权限。

1.2 账号使用和管理1.经过授权的员工须妥当保管本身的账号和密码，不得私自将账号、密码透露给其他人。

2.员工不得共享账号，不得使用他人账号进行任何操作，一切操作应由本人完成。

3.全部账号和密码定期（例如每6个月）强制更换，不得重复使用旧密码。

1.3 记录和审计1.全部账号的操作日志和安全日志应进行记录和存档，便利追溯操作责任。

2.制度要求在内部系统部署审计工具，实时监控员工账号的活动情况。

3.依据需要，企业法务部有权随时对员工账号进行审计和调查。

1.4 账号注销和权限回收1.员工离职或调职时，企业法务部应适时注销其账号，并立刻收回账号相关权限。

2.全部离职员工的账号和密码必需移交给企业法务部，严禁擅自保留。

3.离职或调职后对账号进行的操作，由原负责人负全责。

2. 考核标准2.1 账号安全保管1.员工账号和密码保管情况将纳入绩效考核，违规操作将扣减相应分数。

2.员工须妥当保管账号和密码，不得因个人原因导致账号泄露。

3.若发觉账号泄露，员工须立刻向企业法务部报告，并搭配实行相应的安全措施。

2.2 账号操作合规性1.员工在使用账号进行操作时，应遵守企业相关规定和流程，不得擅自进行非法操作。

2.违规操作将会被记录，并记入员工绩效考核，对严重违规行为将进行相应的纪律处分。

2.3 账号审计搭配度1.员工在企业法务部进行账号审计时，须积极搭配，供给相应的操作记录和解释。

2.若员工拒绝搭配审计或有意隐瞒相关操作，将被视为行为失当，予以相应的纪律处分。

2.4 账号注销和移交规范性1.员工在离职或调职后，须依照规定适时移交账号和密码，并确保账号被正常注销。

2.若发觉员工未按要求移交账号或擅自保留账号，将严厉处理，并追究相应责任人的责任。

一、总则为了保障公司的信息安全，加强对各类账号的保密管理，提高信息系统安全性，特制定本制度。

二、适用范围本制度适用于公司所有员工，包括全职员工、临时员工以及外来人员。

三、管理责任1. 公司领导层应当高度重视账号保密管理工作，按照法律法规和公司规定，履行对账号保密的管理责任。

2. 各部门负责人应当全面负责本部门账号保密管理工作，包括账号的申请、审核、管理和监督。

3. 员工应当严格遵守本制度，并将账号保密工作纳入日常工作中。

四、账号申请1. 公司内部系统账号的申请应当按照规定程序提交申请，填写申请表格并由部门负责人审批后方可生效。

2. 申请表格应当包括姓名、工号、部门、申请账号种类、使用权限等信息，并应当由申请人签字确认。

3. 系统管理员应当及时处理合规的账号申请，并在规定的时间内完成账号的开通或关闭工作。

五、账号使用1. 员工应当妥善保管自己的账号信息，不得将账号信息泄露给他人。

2. 员工在使用账号时应当严格遵守公司的相关规定和政策，不得进行违规操作。

3. 账号信息仅限本人使用，不得将账号信息分享给他人。

六、账号管理1. 系统管理员应当定期审核各个账号的使用情况，及时发现异常情况并进行处理。

2. 已经离职的员工的账号应当及时进行关闭，并将账号信息进行备份和存档工作。

3. 登录密码应当定期更改，且不得使用简单的密码、123456等容易被破解的密码。

1. 公司内部账号的保密责任由所有员工共同承担，一旦发现账号信息泄露或异常情况，应当及时向上级报告并进行处理。

2. 发生账号信息泄露或被盗用的情况，应当及时对账号进行冻结和更改密码，并进行调查处理工作。

3. 对于违反账号保密制度的员工，公司将依据公司相关规定进行相应处理。

八、监督检查1. 公司内部将定期开展账号保密管理的监督检查工作，对各个部门的账号使用情况进行审核。

2. 发现问题情况，将及时进行整改和处理，并对违规情况进行相应的处理。

九、附则1. 本制度自颁布之日起生效。

内蒙古小肥羊餐饮连锁有限公司用户、权限、密码管理制度第一章总则第一条为了规范公司办公系统、应用软件的用户命名、权限分配、密码策略及安全，从而能对公司数据安全提供强有力的保障，特制定本制度。

第二条本制度由总部信息中心制定并严格遵照执行，适用于小肥羊全国各机构。

第三条账户指系统的账户及应用软件的账户，权限指系统操作权限和应用软件的操作权限。

应用软件范围包括：OA办公平台，ERP管理软件，HR管理软件。

第四条数据中心机房内服务器系统账户及密码由机房管理员创建并备案。

办公电脑的管理员账号由信息中心网络管理员创建并备案，数据库账号不允许随便创建、变更，如确实有此类需求，需经信息中心负责人签字确认后由数据库管理员进行操作并备案。

以上所涉及到的备案资料需在收集时加密处理。

按信息中心机密文件存放。

第二章帐户、权限、密码管理细则第五条应用软件相关的系统账户的创建必需由使用该账户的业务部门向信息中心网络部提出申请，填写《**系统使用申请表》，并由信息中心负责人及相关业务部门负责人审批通过后交于信息中心网络管理员创建。

其账户的修改、注销也需按以上流程操作。

账户一经创建在一个年度内不能删除，只能设置为停用状态。

第六条系统账户、应用软件账户、数据库账户、办公电脑管理员账户的密码必需按照密码规则设置，符合密码复杂度，密码要求长度，密码有效期设置等要求。

（此参数在每台服务器或办公电脑上本地策略中设置）第七条邮箱帐号命名。

取中文名（或英文名）的全拼或姓名的每个字的汉语拼音首字母组合；若有重名，将由邮件系统管理员指定后缀（1、2、3等）。

如章晓山，英文名为john，可使用的邮箱账号的用户名为zxs 、zhangxiaoshan、john、zxs1等。

邮箱的用户名对应的用户全称：取汉字名称，若有重名，将由邮件系统管理员指定后缀（1、2、3等）。

；如：章晓山、章晓山1 或章晓山2等。

第八条用户必须及时修改账号的密码，密码至少6位且必须是字母、数字、特殊字符的组合，并且在使用中定期（最长3个月）进行账号的密码的修改，以防被他人盗用。

某某光伏电站-信息系统账号口令管理制度（页）信息系统账号口令管理制度总则本制度建立了信息系统的账号、口令安全管理要求，为本电站信息系统账号口令管理建设提供统一策略指导。

本制度适用于本电站所有信息系统的各类用户账号口令的安全管理。

账号设立管理要求系统要求本电站所使用的操作系统、业务系统、数据库、网络设备等均需要支持基于账号的访问控制功能；所有需要使用口令的系统软件、应用软件都需要对口令提供妥善的保护。

账号申请原则只有授权用户才可以申请系统账号；任何系统的账号设立必须按照相应的流程进行；员工申请账号前应该接受适当的培训，以确保能够正常的操作，避免对系统安全造成隐患；账号相应的权限应该以满足用户需要为原则，不得有与用户职责无关的权限；对于确因工作需要而必须申请系统账号的外部人员，则必须经过审批后，且有本电站正式员工作为安全责任人，方能开设。

任何系统的账号必须明确责任人。

公用账号系统应当严格限制开设公用账号，一般情况下公用账号不得具有访问保密信息和对系统写的权限；公用账号应该设立责任人，负责账号的正常使用、维护和安全控制。

匿名账号只被允许访问系统中的公开资源，不得访问任何内部资源；口令设立要求口令的生成系统账号分配时必须同时生成相应的口令，并且与账号一起传送给用户；用户在接受到账号和口令后，必须马上修改口令，任何时间都不得存在没有口令的账号，除非该账号已经失效；管理员在传递账号和口令时，应当采取加密或其他安全的传输途径。

口令设立的原则账号口令必须是具有足够的长度和复杂度；账号口令应该是在必要时间或次数内不循环使用；账号的口令不应当取有意义的词语或其他符号，如使用者的姓名，生日或其它易于猜测的信息。

口令的最低标准普通用户口令长度不得低于6位，最近6个口令不可重复，口令中必须包含字母和数字；管理员和超级管理员账号口令长度不得低于12位，最近10个口令不可重复，口令中必须包含字母和数字，口令中同一个符号出现不得多于2次，各个口令中相同位置的字符相同的不得多于3个，口令不得为有意义的单词或短语。

医院密码管理规定第一章总则第一条为加强医院信息系统安全管理，促进医院信息技术资源有效、可靠利用，根据有关信息化管理规定，制定本规定。

第二条本规定所指的信息网络系统密码管理，是指医院信息系统。

包括计算机（含各类型主机、PC机及相关和配套设备）的系统登录密码；各应用系统的管理密码（如数据库、中间件管理密码）；各应用系统的终端用户登录密码；各网络、安全设备的管理密码及各存储介质的访问许可密码等的管理。

第三条本规定适用于医院所有的计算机系统、应用系统、网络安全系统等信息网络系统。

第二章密码管理规定第四条各岗位操作权限要严格按岗位职责设置，各岗位操作必须使用密码对用户的身份进行验证，防止未经授权对系统资源的的存取访问。

第五条主机系统、存储系统、数据库系统、核心应用中间件系统和关键网络及安全设备（如路由器、防火墙等）的口令必须由专人掌管，并要求定期更换。

按分别管理、共同负责的原则，由不同人员掌握服务器操作系统、数据库管理系统、中间件系统和关键网络、安全管理系统密码。

应严格限制默认帐户的访问权限，重命名系统默认帐户或修改这些帐户的默认密码。

第六条在线运行的系统或设备，不允许使用初始密码或默认密码。

重要系统须具有强制密码策略功能，可以打开或关闭强制密码策略和密码到期检查，也可以强制在首次登录时修改密码，强制密码策略须支持密码复杂度要求，可以设定密码的使用期限等，所有在线运行的密码或设备不得以明码保存。

一般系统密码长度不得小于6位，重要系统密码不得少于8位，建议由大写字母、小写字母、数字和特殊字符组成，具有一定的复杂性。

第七条各系统的用户密码在系统配置文件中不得以明码出现，并具有加密功能。

第八条定期更换密码。

密码的最长使用时间不能超过半年，人员复杂、保密条件较差的地方应尽可能缩短密码的使用时间。

当密码使用期满时，应更换新的口令。

第九条各信息系统须详细说明配置文件中用户名及密码更换机制，支持密码定期更换。

第十条用户应记住自己的口令，不应把它记载在不保密的媒介物上或告知他人，严禁将口令贴在终端上。