JYYH-GD-31-加密管理制度.doc

四川久远银海软件股份有限公司

加密管理制度

文档密级：一般文档编号JYYH -GD-31 文档版本A0

执行日期2015-01-08

文档状态： [ ] 草案 [ √] 正式发布 [ ] 正在修订

受控状态： [ √] 受控 [ ] 非受控

版

描述作者审核审批日期

本

2015-01-08A0 A 版首次发布质量小组孙佩连春华

计算机管理制度

目录

1.目的 (1)

2.范围 (1)

3.职责 (1)

4.相关文件 (1)

5.工作程序 (1)

5.1.信息交换加密管理 (1)

5.2.软件产品加密管理 (2)

1.目的

通过密码的方法保护信息的保密性、真实性或完整性。使用密码控制的策略，并对密码进行管理。

2.范围

以下数据可按需要进行加密：

公司内部的机密数据；

顾客的机密数据；

顾客明确要求加密的数据；

部门认为有必要加密的数据。

3.职责

各部门负责各部门内部的数据加密。

信息部为公司的数据加密提供技术支持。

4.相关文件

5.工作程序

5.1. 信息交换加密管理

1 、通过公共网络传输敏感信息时，应对敏感信息进行加密处理，《参见信息交换管理

制度》，并使用以下加密技术与加密产品；

2 、可选用的加密技术有：

a)对称加密：适用于传输信息的加密

b)非对称加密：适用于对称加密密钥的保护、数字签名或数据完整性校验

c)数字散列：适用于传输消息的校验；

3 、可选用的加密产品有：

a)传输信息通过 PGP 加密；

b)传输信息的压缩加密（ Winrar ）；

c)对称密钥的 RSA 加密保护；

d)传输消息验证的 MD5 ；

e)其他受《商用密码管理条例》控制，得到国家商用密码销售许可的加密产品；

4 、通过公网向客户提供如软件产品、技术文档等敏感信息时，应对敏感信息加密；

5 、需要对数据进行加密时，相关人员需与客户约定加密方式，但不得违背相关法律法

规的要求；

6 、密钥的管理

a)对称加密密钥生效过程中，不得以明文方式通过邮件、传真、聊天软件以及其他

任何纸质或电子文档传递给客户，仅通过电话方式向客户口头提供；

b)对称加密密钥对称加密密钥生效过程中，不得以明文方式通过邮件、传真、聊

天软件以及其他任何纸质或电子文档存储；

c)用于同一客户的对称加密密钥，每季度至少更换一次；

d)一旦密钥丢失、泄露，加密实施负责人应立即取消该密钥的有效性，并立即告知客

户更换密钥；

e)Winrar 加密密钥视作对称加密密钥；

5.2. 软件产品加密管理

软件开发过程中，若应客户需要，使用加密技术，则应满足以下原则：

1 、软件产品的登录口令保护不得使用对称加密算法，可以使用单向散列算法；

2 、软件产品中使用的加密算法应为业界公开的标准算法或国家法律法规允许使用的

算法。

3 、不得自行设计加密算法；

4 、软件产品中的密码协议应符合国家法律法规允许使用的密码协议或业界公开的标

准密码协议；

5 、不得自行设计密码协议。