公司计算机系统用户口令(密码)安全管理规定

第一章总则第一条为加强公司内部计算机安全管理，确保公司信息系统的安全稳定运行，防止计算机信息泄露、破坏和损失，根据国家有关法律法规和公司实际情况，特制定本制度。

第二条本制度适用于公司内部所有使用计算机设备的员工，包括但不限于办公室、研发部门、销售部门等。

第二章计算机设备管理第三条公司内部计算机设备由公司统一采购、配置、管理和维护。

第四条员工需按照规定使用公司分配的计算机设备，不得擅自更换、转让或出售。

第五条计算机设备出现故障时，应及时报告给相关部门进行维修，不得自行拆卸、修理。

第六条员工离职或调离时，应将计算机设备交还公司，并由相关部门进行清点和登记。

第三章计算机网络安全管理第七条员工应遵守国家网络安全法律法规，不得从事非法侵入他人计算机信息系统、窃取、篡改、泄露他人信息等违法行为。

第八条公司内部网络实行分级管理，禁止员工擅自访问非授权网络资源。

第九条公司内部网络使用需经过授权，禁止私自建立、接入或使用非法网络设备。

第十条公司内部网络传输数据应加密，确保数据传输安全。

第四章计算机系统安全管理第十一条员工登录计算机系统时，应使用个人账户和密码，不得与他人共用。

第十二条员工应定期修改密码，密码应复杂且不易被他人破解。

第十三条公司内部计算机系统用户口令（密码）必须加密存储，不得泄露给他人。

第十四条员工离职或调离时，应将个人账户和密码注销，确保信息安全。

第五章计算机病毒及恶意软件防范第十五条公司内部计算机应安装防病毒软件，定期进行病毒查杀。

第十六条员工不得随意下载、安装不明来源的软件，防止计算机感染病毒。

第十七条员工发现计算机异常时，应及时报告给相关部门进行处理。

第六章信息安全培训第十八条公司定期组织员工进行信息安全培训，提高员工信息安全意识。

第十九条员工应积极参加信息安全培训，了解和掌握信息安全知识。

第七章责任与奖惩第二十条公司对违反本制度的行为，将视情节轻重给予警告、记过、降职、辞退等处理。

第二十一条对在信息安全工作中表现突出的员工，给予表彰和奖励。

xxｘxxx公司计算机信息系统保密管理规定编制：审核:批准：xｘｘｘx公司计算机信息系统保密管理规定第一章总则第一条为保护计算机信息系统处理的国家秘密信息安全，根据国保发(1９98)1号文件精神,依照BＭＢ1７-200６《涉及国家秘密的信息系统分级保护技术要求》、BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》的要求制定本规定。

第二条本规定适用于公司涉密信息系统的运行管理,规定所称的计算机信息系统由本单位的各类涉密计算机(便携式计算机、服务器、用户终端）、网络设备、外部设备、存储介质、安全保密产品等构成的人机系统。

第三条本规定包括：信息系统基本要求、台账、维修、报废、审计、安全保密防护、密码保护、存储介质、外出携带、互联网计算机使用等内容。

第四条计算机信息系统保密管理实行“积极防范、突出重点、分级负责、责任到人”的原则。

严禁涉密信息系统直接或间接连接互联网及其他公共网络；严禁使用连接国际互联网或其他公共信息网络的计算机和信息设备进行存储和处理涉密信息。

第五条保密办公室负责公司各部门计算机信息系统安全工作的监督和检查,发现问题，及时提出并督促整改。

各部门负责本部门计算机信息系统及涉密信息的安全保密工作。

第二章台账、维修、报废管理第六条本单位的计算机和信息系统设备总台账由保密办公室负责统计、维护和管理,涵盖本单位的各类计算机（便携式计算机、服务器、用户终端）、网络设备、外部设备、存储介质、安全保密产品等。

第七条各部门应建立本部门计算机和信息系统分台账。

由各部门负责统计、维护和管理。

第八条台账应以电子和文档版本形式存在,总台账和分台账内容应当吻合,并与实物相符，发现问题实时更新台账，保证台账与实物相符。

第九条台账信息按照设备分类，应包含以下信息：㈠计算机台账应当包含：密级、放置地点、使用人、操作系统版本、安装时间、硬盘物理号、IＰ地址、ＭAC地址和使用情况（包含再用、停用、报废、销毁等）；见附表九。

计算机信息系统保密管理规定第一章总则第一条为加强计算机信息系统的保密管理，维护国家信息安全和社会公共利益，保护计算机信息系统中的重要信息和数据资源，制定本规定。

第二条本规定适用于使用计算机信息系统进行信息处理、传输、存储等活动的各类组织机构和个人。

第三条计算机信息系统保密管理应当坚持统筹规划、综合治理的原则，建立分工协作、职责明确的保密管理机制。

第四条计算机信息系统的保密管理工作应当遵循法律法规、技术标准和保密要求。

第二章保密责任和义务第五条计算机信息系统的管理者应当对计算机信息系统的安全进行全面负责，并确保相关人员按照规定履行保密责任和义务。

第六条计算机信息系统的使用者应当按照规定使用计算机信息系统，并严格遵守保密规定，保护计算机信息系统中的重要信息和数据资源。

第七条计算机信息系统的维护人员应当按照规定维护计算机信息系统的安全，做好防护工作，并及时发现和处理安全漏洞。

第八条计算机信息系统的管理者、使用者和维护人员应当经过保密教育培训，掌握必要的保密知识和技能。

第三章保密措施和技术要求第九条计算机信息系统应当采取适当的技术和管理措施，保护计算机信息系统中的重要信息和数据资源。

第十条计算机信息系统应当配置防火墙、入侵检测系统等安全设备，确保计算机信息系统的安全性。

第十一条计算机信息系统应当采取有效的身份认证和访问控制机制，限制非授权访问。

第十二条计算机信息系统应当定期进行安全评估和风险分析，及时修复存在的安全隐患。

第十三条计算机信息系统应当备份重要数据和信息，确保数据的可靠性和完整性。

第四章保密事件和应急处置第十四条发生计算机信息系统的保密事件，应当及时报告上级主管部门和保密管理机构，并采取相应的应急处置措施。

第十五条对于计算机信息系统的安全事故，应当及时调查处理，并追究相关人员的责任。

第十六条计算机信息系统的保密事件和应急处置应当按照国家相关法律法规和技术标准进行。

第五章监督检查和处罚第十七条计算机信息系统的保密管理工作应当受到上级主管部门和保密管理机构的监督检查。

涉密计算机和信息管理系统管理制度[YHNB/B 20008-2016]第一条涉密计算机信息系统是指由计算机及相关的配套设备、设施（含网络）构成的，按照一定的应用目标和规则，用于采集、存储、处理、传递、输出国家秘密信息的人机系统。

本公司内涉密计算机信息系统即用于处理涉密信息的单机。

第二条涉密计算机信息系统的安全保密工作坚持“坚持防范，突出重点，严格标准，严格管理”及“分层负责，负责到人”的原则。

第三条涉密计算机信息系统的保密管理实行领导责任制，由使用部门主管领导负责本部门涉密计算机信息系统的保密工作。

公司保密部位配备专用涉密计算机，保密部位负责人负责涉密计算机的日常监督管理，加强对使用人员的教育和培训。

第四条涉密计算机使用人员应当遵守国家相关保密的法律、法规及公司保密制度，加强保密学习和培训，不得实施危害国家安全和利益行为。

第五条对从事涉密计算机信息系统工作人员，应进行严格的涉密资格审查并进行经常性的保密教育，确保工作人员接受过专项培训，熟悉公司的相关保密规定和实施细则。

第六条涉密计算机信息系统内部联网应当采取系统访问控制、数据保护和系统安全保密监控管理等技术措施。

第七条涉密计算机信息系统只限于公司内部使用。

第八条不得擅自修改涉密计算机网络相关设置。

第九条不得擅自安装或卸载涉密计算机软件。

第十条涉密计算机须与外网完全物理隔离，不得存在通过拨号、电缆或无线等方式违规外联，不得以任何方式违规接入互联网或公共信息网。

第十一条禁止使用非涉密的计算机、信息系统和存储介质存储和处理涉密信息。

第十二条禁止将涉密计算机和信息系统接入内部非涉密信息系统。

第十三条未经审批，禁止对涉密计算机和信息系统格式化或重装操作系统，禁止删除涉密计算机和信息系统的移动存储介质及外部设备等日志记录。

第十四条公司保密办负责设立专门的网络管理员，负责涉密计算机信息系统用密码（密匙）的生成、分配和保密管理，并按有关保密规定和要求负责公司涉密计算机信息系统的管理和设备的日常维修和维护工作。

系统口令管理制度第一章总则第一条为了加强对系统口令的管理，规范系统口令的使用，保障信息系统的安全性，提高系统运行效率，特制定本制度。

第二条本制度适用于本单位所有使用信息化设备的部门及所有使用本单位信息系统的人员。

第三条系统口令是用户登录信息系统的一种凭证,是用户在使用计算机系统时的安全保障。

口令的泄漏将直接导致信息系统的安全性受到威胁。

第四条本制度所称系统口令包括操作对象密码、超级用户密码等各类系统管理员、用户和操作人员的密码。

第五条系统口令管理应当遵循保密原则，确保系统口令存储安全、传输安全、使用安全，严防系统口令被窃取和不当使用。

第六条本制度的内容包括但不限于口令的设置、修改、储存、传输、使用、查看、注销、违约处理等事项。

第七条本制度由本单位信息化管理部门负责起草，经本单位领导审批后下发，并由信息化管理部门负责解释。

第八条本制度自颁布之日起生效。

第二章口令的设置和修改第九条系统口令的设置应当符合一定的复杂性要求，包括但不限于长度、字符类型、历史记录等。

第十条系统口令设置应当遵循以下规定：（一）系统口令长度不得少于8个字符；（二）系统口令应同时包含数字、大小写字母和特殊符号，并且尽量不使用连续的或重复的字符；（三）系统口令在一定时间内不得重复使用。

第十一条系统口令的修改应当定期进行，具体频率由信息化管理部门根据实际情况设定。

第十二条系统口令的修改应当由用户本人进行，不得委托他人，更不得在普通的传输渠道上传输系统口令。

第十三条系统口令在一定时间内未被使用时，应当由用户本人进行修改。

如果用户本人无法进行修改，应当及时向信息化管理部门申请协助。

第三章口令的储存和传输第十四条系统口令的储存应当采用加密的方式进行，确保系统口令的安全性。

第十五条系统口令的传输应当采用加密的方式进行，不得使用明文传输或者其他不安全的方式进行传输。

第十六条在网络传输系统口令时，应当使用加密通道进行传输，并且遵循相关安全协议。

公司计算机信息系统保密管理规定第一章总则第一条为加强公司公司计算机信息系统保密管理，确保国家秘密、公司商业秘密和工作秘密安全，根据《公司保密工作管理办法》、《公司涉秘计算机及移动存储介质保密管理暂行办法》等相关规定，结合公司实际，制定本规定。

第二条本规定适应于采集、处理、存储、传输涉秘信息（包括国家秘密、公司商业秘密和工作秘密，以下同）的计算机信息系统，主要包括：计算机（包括台式计算机、便携式计算机及网络终端计算机）、移动存储介质（包括U盘、移动硬盘、光盘、软盘、磁带、MP3、MP4、MP5及存储卡等）、计算机网络与应用系统。

第三条本规定适用于公司所属各单位、各部门。

第二章计算机信息系统保密制度第四条科技信息处归口负责公司计算机信息系统保密管理工作。

主要职责是：1. 贯彻执行公司和公司保密工作相关制度规定，负责公司计算机信息网络及移动存储介质保密管理工作。

2. 负责制定公司计算机信息网络及移动存储介质保密管理规定。

3. 指导、检查和督促公司所属各单位、各部门计算机、移动存储介质及信息网络安全保密管理工作。

4. 完成公司保密委员会交办的其他工作。

第五条科技信息处每半年进行一次公司计算机信息系统保密工作检查，公司所属各单位、各部门每季度进行一次计算机信息系统保密情况检查与问题整改。

第六条公司各单位、各部门发现计算机信息系统泄密后应立即上报科技信息处与公司保密办公室，并及时采取补救措施。

第七条公司计算机信息系统保密统一按涉密与非涉密进行分类管理，公司各单位、各部门根据本单位、本部门涉密信息定密及涉密岗位实际界定涉密计算机与移动存储介质；涉密应用系统由公司相关业务部门根据应用系统存储处理的涉密信息进行界定；公司计算机网络按局域网、公司广域网与互联网接入、网络应用服务进行安全保密管理。

第八条公司涉密计算机及移动存储介质的安装调试、维护维修、数据恢复以及报废销毁定点单位必须经科技信息处资质审查后报公司保密办公室审批确定，并与公司签订保密协议。

集团计算机网络系统安全管理规定一、管理部门：信息中心对集团计算机网络从在技术上和业务服务方面认真管理。

确保网络正常安全高效运行。

使用规定规范使用1、充分利用：各部门配置的计算机系统是实现集团办公自动化的重要工具,应充分利用计算机技术, 开拓业务,提高工作效率。

2、数据安全：妥善保管各类驱动程序，保持计算机的清洁无尘和工作软件的安全。

对重要的计算机工作数据，做好保存，防止数据丢失。

3、密码保护：各部门员工在使用集团计算机系统时，必须输入有效的用户名及授权密码。

用户名及密码必须妥善保存，密码必须定时更新，不得透露、交付给其他人。

凡因用户名及密码泄漏而造成集团资料、数据的丢失，或者影响集团计算机系统的安全，集团将对使用该用户名及密码的员工予以严肃处理。

4、维护流程：员工所使用的计算机如果出现设备故障，必须及时填写“设备、软件维护记录单”交信息中心，若是收不到对方邮件，应要求对方将反馈信息传真归来，交由信息中心，以便查找原因，不允许擅自处理开箱维修，更不允许任何人以任何借口私自更换正在使用的计算机配件、软件，对违规者，集团将根据情节轻重，给予公开批评、降级直至开除的处分。

5、病毒管理：信息中心负责集团网络系统的病毒库更新及服务器端的杀毒工作。

各部门员工必须定期对自己使用的计算机作病毒扫描处理，及时更新集团网络系统提供的病毒库。

信息中心统一进行病毒管理，集团员工不得擅自处理，为防止计算机病毒的扩散，在未做消毒处理以前，信息中心有权取消感染病毒计算机的联网，直至该计算机病毒被消除为止6、接入互联网管理：为了防止黑客的恶意攻击及计算机病毒对集团计算机系统的入侵，凡是通过调制解调器与外界联系的计算机，事先必须报请信息中心备案，并同时停止与集团计算机系统的联网，信息中心从控制服务器上停止对这些计算机的网络服务。

二、安全规定严格保密1、守法：使用集团网的所有人员必须遵守执行[中华人民共和国计算机信息网络国际联网管理暂行规定]，和国家有关法律法规，严格执行安全保密制度，并对所提供信息负责。

公司计算机系统用户口令（密码）安全管理规定第一章总则第一条为加强公司计算机系统用户口令（密码）的安全管理，提高计算机系统用户口令（密码）安全管理规范化、制度化水平，完善信息安全管理体系，特制定本规定。

第二条公司、各下属子公司的计算机系统用户口令（密码）的安全管理适用本规定。

本规定不包括应用系统客户口令管理和用于保护文件共享等非登录计算机系统用户的口令管理。

第三条本规定所称计算机系统用户口令（密码）是指在登录计算机系统过程中，用于验证用户身份的字符串，以下简称计算机系统用户口令。

计算机系统用户口令主要为静态口令、动态口令等。

静态口令一般是指在一段时间内有效，需要用户记忆保管的口令。

动态口令一般是指根据动态机制生成的、一次有效的口令。

计算机系统用户口令主要包括：主机系统（数据库系统）、网络设备、安全设备等系统用户口令；前端计算机系统用户口令；应用系统用户口令；桌面计算机系统用户口令。

第四条计算机系统用户口令的安全管理遵照统一规范、重在意识、技术控制与管理措施相结合的原则。

第五条计算机系统用户口令持有人应保证口令的保密性，不应将口令记录在未妥善保管的笔记本以及其他纸质介质中（密码信封除外），严禁将口令放置在办公桌面或贴在计算机机箱、终端屏幕上，同时严禁将计算机系统用户口令借给他人使用，任何情况下不应泄漏计算机系统用户口令，一旦发现或怀疑计算机系统用户口令泄漏，应立即更换。

第六条计算机系统用户口令必须加密存储计算机系统中，严禁在网络上明文传输计算机系统用户口令，在用户输入口令时，严禁在屏幕上显示口令明文，严禁计算机信息系统输出口令明文（密码信封除外）。

第七条计算机系统用户口令持有人应保证口令具有较高安全性。

选择使用口令安全强度较高的口令，不应使用简单的代码和标记，禁止使用重复数字、生日、电话号码、字典单词等容易破译的计算机系统用户口令。

第八条任何人不得利用盗取、猜测、窥视、破解等非法手段获取他人计算机系统用户口令，盗用他人访问权限，威胁信息系统安全。

计算机网络安全和信息保密管理规定1、为了保证公司计算机网络系统的稳定运行及网络数据的安全保密，维持安全可靠的计算机应用环境，特制定本规定。

2、凡使用公司计算机网络系统的员工都必须执行本规定。

3、在公司保密工作小组领导下，由办公室负责接入网络的安全保密管理工作。

办公室落实具体技术防范措施，负责设备、信息系统的安装调试和维护，并对用户指派信息维护员专门负责各部门的信息安全维护工作。

4、对接入公司网络系统的计算机及设备，必须符合一下规定：1）凡接入公司网络系统的计算机，只在需要使用光驱和打印机的网络管理员计算机上安装相关设备，其他计算机不得安装和使用光驱、软驱、USB卡、磁盘、磁带、打印机等输入、输出端口一律屏蔽和禁用。

2）凡接入公司办公网络的计算机，禁止使用任何网络设备，将计算机与国际互联网联结。

3）各部门的计算机均不得与其它办公系统相联结，如有信息传输的需要，可使用软盘、光盘、USB盘或活动硬盘等数据介质盘片，由网络管理员在装有相应外设的计算机上进行数据传输。

4）在未经许可的情况下，不得擅自对处计算机及其相关设备的硬件部分进行修改、改装或拆卸配置，包括添加光驱、软驱，挂接硬盘等读写设备，以及增加串口或并口外围设备，如扫描仪、打印机等。

4）非我公司的计算机及任何外设，不得接入我公司的网络系统。

5）严禁私自开启计算机机箱封条或机箱锁。

5、凡使用公司网络系统的员工，必须遵守以下规定；1）未经批准，严禁非本公司工作人员使用除计算机及任何相关设备。

2）对新上网使用办公网络系统的员工，由办公室负责上岗前的计算机网络设备系统安全及信息保密的技术培训工作。

3）公司计算机网络系统中凡属于国家保密资料或商业秘密的任何文件、图形等数据（如地形图等），未经批准，任何人严禁将其以任何形式（如数据形式：Internet、软盘、光盘、硬磁盘等；硬拷贝形式：图纸打印、复印、照片等）复制、传输或对外提供。

4）任何员工均不得超越权限侵入网络中未开放的信息，不得擅自修改入库数据资料和修改他人数据资料。

计算机及网络保密管理规定一、加强计算机及其网络的保密管理，确保计算机及其网络处理信息的安全，根据《中华人民共和国保守国家秘密法》和国家保密局的有关文件精神，制定本规定。

二、计算机及其网络的保密的管理实行领导责任制。

单位应明确一位分管领导负责本单位计算机及其网络的保密管理工作，并确定各处（室）处长（主任）为本处（室）计算机爱理的第一责任人；保密工作机构负责对计算机网络安全管理员、系统管理员负责计算机及其网络安全保密技术措施的落实和日常管理工作。

三、建立涉密计算机登记备案制度。

各单位保密委员会应根据实际用途和所处进理信息的密级，将计算机分为涉密计算机和非涉密计算机，实行统一编号管理，明确专人负责，做到专机专用，并在计算机显示器的左上方贴相应的密级标识。

四、建设处理涉密信息的计算机网络，应选择经国家保密局批准并取得《涉及国家秘密的计算机信息系统集成资质证书》的集成单位（公司）承建。

五、处理涉密信息的计算机网络建成后，应根据国家有关规定，报保密工作部门进行保密审批。

未经保密审批的网络，不得处理国家秘密信息。

六、计算机保密管理必须做到“上网不涉密，涉密不上网”。

涉密计算机可处理国家秘密信息和内部工作信息，但不得与国际互联网或其他非涉密网络相连，必须实行于非涉密信息的搜索、查阅，但不得处理，传递、储存国家秘密信息。

七、建立健全上网信息的保密审查批制度。

各单位应根据国家保密法规，按照一定的工作程序，建立健全上网信息保密审查批制度，并落实上网信息保密审批领导责任制。

凡向国际互联网站点提供或发布的信息，必须经过保密审查批准。

八、涉密计算机要设置开机密码和屏幕保护密码。

处理秘密级信息的计算机及其网络，设置的开机密码或系统口令长度不少于八个字符，更换周期不长于一个月；处理机密级信息的计算机及其网络，设置的开机密码或系统口令长度不少于十个字符，更换周期不长一周；处理绝密级信息的计算机及其网络，应当采用一次性口令或生理特征等强认证措施。

第一篇：密码安全管理规定信息系统密码安全管理规定1. 目的1.1 为了提高公司信息系统的安全性，保障信息系统的正常运行以及业务数据安全，特制定本规定。

2. 范围2.1通过非应用程序方式访问服务器、信息系统、数据库时遵循此规定。

2.2 通过正常的业务应用系统进行信息系统数据访问不在此管理规定范围。

3. 定义3.1 服务器访问：由于机器维护需要以超级用户权限进入服务器进行服务器操作系统设置、日志查询、机器运行状况查询以及补丁升级等操作。

3.2信息系统访问：由于软件系统维护需要以超级用户权限进入信息系统进行系统设置、日志查询、运行状况查询以及系统更新等操作。

3.3数据库访问：由于数据库维护需要以任何用户权限进入数据库进行数据库设置、日志查询、运行状况查询以及数据库内容查询、手工更改等操作。

4. 密码等级4.1 信息系统密码分为三个类型：访问密码、管理密码、数据密码。

4.2 访问密码分三个等级：高、中、低。

4.2.1高等级服务器访问密码适用于高安全等级的系统运行服务器，主要包括运行核心业务系统的应用服务器、核心数据库服务器。

4.2.2 中等级服务器访问密码适用于中安全等级的系统运行服务器，主要包括运行非核心业务系统的应用服务器及数据库服务器。

4.2.3 低等级服务器访问密码适用于低安全等级的系统运行服务器，包括各类用于测试或演示的应用服务器、数据库服务器以及各类公共服务器。

4.3管理密码分为三个等级：高、中、低。

4.3.1 高等级系统管理员密码适用于高安全等级的应用系统，主要包括各类核心业务系统。

4.3.2 中等级系统管理员密码适用于中安全等级的应用系统，包括各类非核心业务系统。

4.3.3 低等级系统管理员密码适用于低安全等级的应用系统，主要包括各类用于测试或演示的系统。

4.4数据密码分为三个等级：高、中、低。

4.4.1 高等级数据密码适用于高安全等级数据库的超级权限，主要包括各类核心数据库的超级权限。

计算机系统用户口令（密码）保密安全管理制度第一章总则第一条为了加强计算机系统用户口令（密码）的保密安全管理，提高计算机系统用户口令（密码）安全管理规范化、制度化水平，完善信息安全管理体系，根据《中华人民共和国保密法》、《计算机信息网络国际互联网安全保护管理办法》等法律法规，制定本制度。

第二条本制度适用于医院管理及业务相关计算机系统用户口令（密码）的保密安全管理，包括但不仅限于以下系统：HIS系统、LIS系统、电子病历系统、院感管理系统、OA系统等。

第三条计算机系统用户口令（密码）的保密安全管理应遵循统一规范、重在意识、技术控制与管理措施相结合的原则。

第四条计算机系统用户口令（密码）的保密安全管理责任人为本制度所涉及部门和人员的直接领导，负责本部门和人员计算机系统用户口令（密码）的保密安全管理工作。

第二章用户口令（密码）的设置与管理第五条计算机系统用户口令（密码）应具备一定的复杂度，包括字母、数字、特殊符号等，长度不少于8位。

第六条用户口令（密码）应定期更换，最长不超过三个月。

特殊情况下，应根据实际需求及时更换。

第七条用户口令（密码）更换时，应采用不同的密码策略，避免使用容易被猜测或破解的密码。

第八条用户口令（密码）应加密存储在计算机系统中，严禁明文存储。

第九条计算机系统用户口令（密码）持有人应保证口令的保密性，不得将口令记录在未妥善保管的笔记本、纸质介质等地方。

严禁将口令放置在办公桌面、计算机机箱、终端屏幕等容易被他人看到的地方。

同时，严禁将计算机系统用户口令借给他人使用。

任何情况下不得泄露计算机系统用户口令，一旦发现或怀疑计算机系统用户口令泄漏，应立即更换。

第十条涉及多个计算机系统的用户，应分别设置不同的用户口令（密码），不得使用同一口令（密码）。

第三章用户口令（密码）的传输与使用第十一条用户口令（密码）在传输过程中，应采用加密等安全措施，确保口令（密码）不被窃取。

第十二条用户在登录计算机系统时，应确保网络环境的安全性，避免在公共网络环境下登录。

密码管理制度
目的
为确保本项目系统的安全平稳运行，保障数据信息安全，特制订此管理制度。

适用范围
本制度适用建设单位、承建单位项目相关所有工作人员。

管理规定
1、本项目计算机登陆账号、密码管理工作由建设单位负责。

2、本管理制度所称的账号、密码，是指登陆各应用系统、网络设备等各类计算机软件、硬件系统的用户名和密码。

3、所有人必须提高安全认识，账号和密码不得泄漏或转借他人使用，不得借用他人账号，不得利用账号、密码从事破坏计算机软件系统、硬件系统的活动。

4、各类账号的密码设置使用如下规则
4.1、密码字应超过10个字符；
4.2、密码字须由大写字母、小写字母、数字和特殊符号组成；
4.3、避免使用姓名、生日、连续数字以及其他常用的密码。

5、对网络管理员、系统管理员和系统操作员所用密码需负责人在场时由系统管理员记录封存，由专人负责保存。

6、建设单位有权力检查封存密码的有效性。

检查时须由部门负责人启封，并由系统管理员登陆验证。

7、密码及口令要定期更换（视网络具体情况），口令更换周期不得长于三个月，更换后系统管理员要销毁原记录，将新密码或口令记录封存。

8、如发现密码及口令有泄密现象，系统管理员要立刻报告负责人，同时要保护好现场并记录，需接到上级批示后再更换密码和口令。

9、遇到安全问题时，及时汇报上级领导，采取措施及时解决。

10、任何人不得利用各种网络设备或软件技术从事用户账户及密码的侦听、盗用活动，该活动被认为是对网络用户权益的侵犯。

xxxxxx公司计算机信息系统保密管理规定编制：审核：批准：xxxxx公司计算机信息系统保密管理规定第一章总则第一条为保护计算机信息系统处理的国家秘密信息安全，根据国保发（1998）1号文件精神，依照BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》、BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》的要求制定本规定。

第二条本规定适用于公司涉密信息系统的运行管理，规定所称的计算机信息系统由本单位的各类涉密计算机（便携式计算机、服务器、用户终端）、网络设备、外部设备、存储介质、安全保密产品等构成的人机系统。

第三条本规定包括：信息系统基本要求、台账、维修、报废、审计、安全保密防护、密码保护、存储介质、外出携带、互联网计算机使用等内容。

第四条计算机信息系统保密管理实行“积极防范、突出重点、分级负责、责任到人”的原则。

严禁涉密信息系统直接或间接连接互联网及其他公共网络；严禁使用连接国际互联网或其他公共信息网络的计算机和信息设备进行存储和处理涉密信息。

第五条保密办公室负责公司各部门计算机信息系统安全工作的监督和检查，发现问题，及时提出并督促整改。

各部门负责本部门计算机信息系统及涉密信息的安全保密工作。

第二章台账、维修、报废管理第六条本单位的计算机和信息系统设备总台账由保密办公室负责统计、维护和管理，涵盖本单位的各类计算机（便携式计算机、服务器、用户终端）、网络设备、外部设备、存储介质、安全保密产品等。

第七条各部门应建立本部门计算机和信息系统分台账。

由各部门负责统计、维护和管理。

第八条台账应以电子和文档版本形式存在，总台账和分台账内容应当吻合，并与实物相符，发现问题实时更新台账，保证台账与实物相符。

第九条台账信息按照设备分类，应包含以下信息：㈠计算机台账应当包含：密级、放置地点、使用人、操作系统版本、安装时间、硬盘物理号、IP地址、MAC地址和使用情况（包含再用、停用、报废、销毁等）；见附表九。

IT信息系统用户及口令管理办法第一章总则第一条目的：为规避风险，杜绝安全隐患，进一步规范公司生产系统、测试环境和开发环境的用户及口令管理，特订定本办法。

第二条依据：本管理办法根据《公司信息安全管理策略》制订。

第三条范围：本管理办法适用于公司。

第四条定义（一）生产业务系统：指公司从事金融服务的应用网络系统。

（二）管理信息系统：指公司从事日常办公及信息管理的计算机网络系统，具体包括办公自动化系统、信贷管理、人力资源管理、风险管理平台等用来进行内部管理的应用软件系统。

（三）生产系统：包括生产业务系统和管理信息系统。

（四）开发环境：指公司所有进行开发的系统环境。

（五）测试环境：指公司所有进行测试的系统环境。

（六）系统管理员：公司科技信息部各系统硬件及软件的系统管理人员。

（七）数据库管理员：公司科技信息部各系统的数据库管理人员。

（八）应用系统管理员：公司科技信息部各系统的应用维护人员。

（九）测试人员：公司各测试系统的测试人员。

（十）开发人员：公司各应用系统的开发人员。

第五条遵循原则（一）预防性原则：遵循以预防为主、防患于未然的原则，预防案件、事故的发生。

（二）可审计性原则：口令的过程必须保留痕迹，可被审计或追溯。

（三）有限授权原则：对任何人都不能授予过度的、不受监督和制约的权限。

（四）分离制约原则：每一次使用生产系统口令，都必须有两人同时参与，由双人分段管理口令。

（五）职责不相容原则：对不相容职责进行岗位分离。

（六）监督制约原则：针对口令的使用及记录，建立相应的监督检查机制。

第二章用户管理要求第六条对于每个系统，应根据职责不相容原则，建立权责分离的业务矩阵表，定义系统不同用户组及其访问权限，包括终端用户、系统开发人员、系统管理员、应用系统管理员等用户组。

生产系统用户按照“知所必需”的存取控制原则，填写《用户权限申请表》，相关部门负责人审批通过后由系统管理人员操作。

第七条用户账号必须由运行维护中心负责人和系统管理员进行检查，确保用户不会被赋予互相冲突的权限。

编号：XXXXX-ISMS-XXXXX-XX-YYYYMMDDXXXXXXXXX公司信息系统帐号密码管理规定XXX年XXX月1.文件版本信息说明文件版本信息记录本文件提交时的当前有效的版本控制信息，当前版本文件有效期将在新版本文档生效时自动结束。

文件版本小于1.0 时，表示该版本文件为草案，仅可作为参照资料之目的。

第一章总则第一条为规范信息系统密码设置和使用，制定本管理办法。

第二条本规定适用于XXXXX公司信息系统设备密码的设置、管理和使用。

第二章帐号申请、注销流程第三条单位内部人员的信息系统帐号的开户/权限变更按照以下流程进行：(一)首先由用户提出书面申请，详细列出所需权限，由其部门领导审批其申请的权限；(二)如果用户申请系统规定的需要高级主管或其他部门主管审批的权限则需要其他部门或高级主管审批；(三)如果有必要，由系统中业务部门的负责人员进行用户的要求是否合理的审批；(四)然后由安全负责人员审核其安全性，相应负责人员进行开户操作，在以上各审批人的审批环节中，如任何一个审批人不同意该申请，则退回用户的申请。

第四条非单位人员的信息系统中的开户，除非技术部有其他规定，否则均按照以下流程进行：(一)由接口部门的责任人代替非单位人员申请，并明确指明责任；(二)由非单位人员的接口部门或以上部门领导进行审批；(三)如需要，由其他部门领导审批；(四)安全管理人员进行审批、备案；(五)业务负责人审批申请的合理性；(六)相应负责人员进行开户；(七)在以上各审批人的审批环节中，如任意一个审批人不同意用户的申请，则退回用户的申请；(八)如有明文规定的非单位人员的开户，按照具体规定执行。

第五条用户如果因职责变动而离岗，不再需要系统权限且无须将帐号移交给其他责任人，其原岗位主管应当申请帐号的销户，由管理员取消其权限，单位内部人员的帐号的销户流程如下：(一)用户主管提出申请；(二)安全控制人员审批并执行（离职人员的帐号由安全控制办人员直接处理）。

公司计算机和信息系统保密管理制度第一章总则第一条为进一步加强公司计算机和信息系统保密管理工作，防范泄密事件发生，确保国家及公司秘密安全，根据《中华人民共和国计算机信息系统安全保密条例》，结合本公司实际，特制定本制度。

第二条本制度适用于公司各部门计算机和信息系统的保密管理。

第二章计算机和信息系统保密管理总体要求第三条公司计算机信息系统管理坚持“涉密机不上国际互联网，上国际互联网机不涉密”的原则。

第四条公司计算机实行分级保护。

计算机的分级保护是指涉密计算机的使用部门根据分级保护管理办法和有关标准，对涉密计算机分等级实施保护。

公司保密办根据该计算机的保护等级实施监督管理，确保计算机和信息的安全。

第五条涉密计算机分级保护管理应遵循“规范定密，准确定级；依据标准，同步建设；突出重点，确保核心；明确责任，加强监督”的原则。

第六条涉密计算机按照所处理的最高密级，由低到高划分为秘密、机密两个等级。

第七条公司规划和建设涉密计算机集中管理区域时，必须同步规划和落实安全保密措施。

涉密计算机集中管理区域建成后，由公司保密办组织相关单位、部门进行验收，验收达到安全保密要求的，才能处理国家秘密信息。

未达到保密要求的，不得处理涉密信息。

第八条涉密计算机集中管理区域内涉密计算机的安全防护产品，应当选择具有涉密资质的单位承担或参与涉密计算机的方案设计与实施、软件开发、系统服务、咨询、风险评估等。

公司保密办要对涉密计算机的防护方案进行备案。

第九条涉密计算机领导小组应当定期组织对涉密计算机的安全保密状况进行自评估。

检查分析由于系统需求及技术与管理因素变化而新出现的安全威胁，动态调整安全策略，适时补充和完善技术与管理措施，使涉密计算机保持与等级要求一致的防护水平。

第十条涉密计算机应当制定文档化的安全保密策略，并根据环境、系统和威胁变化情况及时调整更新；应当定期（机密级1个月、秘密级3个月）形成文档化的安全保密审计报告；每12个月根据综合审计日志，进行一次风险评估，形成文档化的风险分析报告，对存在的风险应当及时采取补救措施。

第1篇第一章总则第一条为加强我单位网络安全管理，确保信息系统安全稳定运行，防止信息泄露和非法侵入，依据《中华人民共和国网络安全法》等相关法律法规，结合我单位实际情况，制定本规定。

第二条本规定适用于我单位所有信息系统、网络设备、终端设备以及相关工作人员。

第三条本规定所称密码口令是指用户登录信息系统、网络设备、终端设备时使用的唯一标识符，包括用户名和密码。

第四条我单位将建立健全密码口令管理制度，确保密码口令的安全性和有效性。

第二章密码口令设置要求第五条用户名和密码应具有以下特点：（一）用户名应易于记忆，但不得使用真实姓名、生日、电话号码等容易被人猜测的信息。

（二）密码应包含字母、数字、特殊字符，长度不少于8位，并定期更换。

（三）密码应避免使用连续数字、字母、特殊字符，如123456、password等。

（四）密码不得与用户名、电子邮件地址、手机号码等个人信息相同。

第六条以下情况不得作为密码：（一）包含用户姓名、生日、身份证号码等个人信息。

（二）包含单位名称、网址、IP地址等与单位相关的信息。

（三）包含常用单词、短语、数字序列等容易被猜测的信息。

（四）包含重复字符、连续字符、键盘上相邻的字符等。

第三章密码口令管理第七条用户首次设置密码时，应遵循本规定第五条、第六条的要求。

第八条用户密码修改应遵循以下原则：（一）用户每月至少修改一次密码。

（二）密码修改后，不得立即使用之前修改过的密码。

（三）密码修改后，不得将新密码泄露给他人。

（四）密码修改后，应及时保存并妥善保管。

第九条用户密码遗忘或泄露时，应立即通过以下途径进行密码重置：（一）联系系统管理员，提供有效身份证明。

（二）按照系统提示，通过手机短信、电子邮件等方式接收验证码。

（三）根据验证码完成密码重置。

第十条系统管理员应定期对密码口令进行安全检查，发现不符合规定的密码口令，应及时通知用户进行修改。

第十一条系统管理员应定期对密码口令进行风险评估，根据风险评估结果，对高风险密码口令进行强制修改。