信息系统密码管理策略

信息系统密码管理策略

第一条用户有责任和义务妥善保管其个人帐号和密码，不得在任何场合随意公开自己的帐号和密码，不得泄漏他人。由于密码泄漏造成的不良后果由帐号拥有人承担相关责任。

第二条信息系统帐号的密码设置应遵循以下原则：

●密码长度不得少于6位

●密码由数字、标点、大小写字母和特殊符号组成，并具有必要的组合复

杂度，禁止使用连续或相同的数字、字母组合（如123456等）和其他

易于破译的组合作为密码。

●密码不得以任何形式的明文存放在主机电子文档中，不得以明文形式在

电子邮件、传真中传播。

第三条系统管理人员在建立帐号时，对所分配帐号的初始密码设置为第一次登录强制修改。对于不能强制修改密码的系统，系统管理员创建帐号后立即通知用户修改密码，用户在第一次登录系统并修改密码之后反馈系统管理员，并由系统管理员进行复核。

第四条用户应定期（至少每季度一次）进行密码的修改，并且同一密码不能反复使用。

第五条信息系统管理部门必须对系统管理员的帐号和密码采用备份保护措施。备份帐号和密码记录在纸质介质上，按照系统管理员备份帐号封存流程，签封后由所在部门主管人员统一管理。

第六条系统管理员更改帐号密码后，要重新按照系统管理员备份帐号封存流程，予以签封保存。

第七条如果系统管理员密码遗忘或泄漏，或者放生紧急情况且需要使用系统管理员帐号的情况下，按照系统管理员备份帐号启用流程，经所在部门主管领导审批同意后，启用封存的系统管理员帐号和密码。申请、审批和使用信息必须记录到《系统管理员备份帐号使用记录表》中。

封存的帐号和密码一旦启用后，系统管理员必须及时变更帐号和密码，并重新按照系统管理员备份帐号封存流程，予以签封保存。

第八条系统管理员离开岗位后，新系统管理员应立即进行有关各级帐号密码的修改，并按系统管理备份帐号封存流程，将新的管理员帐号和密码重新签封保存。

第九条一般用户如密码遗忘或泄漏，应及时通知系统管理员进行修改，并对密码遗失或泄漏期间的操作进行审查。