公司计算机系统用户口令(密码)安全管理规定

口令安全规范和指南1. 目的本规范旨在建立口令更改频率，本指南旨在帮助系统和网络管理员选择强健的口令，保护口令。

2. 范围本规定适用于所有运营平台设备上的帐号口令。

3. 规范3.1. 所有系统级口令（包括root, enable, administrator, 应用程序管理帐号等）每季度更改一次；3.2. 所有产品系统的系统级口令从本公司信息安全管理人员管理的口令数据库中选取；3.3. 所有用户级口令（主要是指运营平台FTP用户口令）必须至少每6个月更改一次，推荐每4个月更改一次3.4. 对于可以通过组成员关系或程序（比如su）获得系统级权限的用户帐号，其口令必须与属于该用户的其它帐号的口令不相同；3.5. 禁止将口令写在容易被他人发现的地方或将口令告诉他人；3.6. 在使用SNMP的地方，必须按照系统级口令的强度和更改频率选择和更改SNMP通信字符串；3.7. 应用程序开发人员必须保证其程序符合下面的安全要求：◆支持单个用户的身份验证，而不是组身份验证；◆不要以明文方式或容易逆转的加密方式存放口令；3.8. 口令和SNMP通信字符串强度要求：◆禁止使用具有下列特征的弱口令➢少于10个字符；➢字典里的单词➢常用词，比如：* 家人，宠物，朋友或同事等的名字；* 计算机术语和名字，命令，站点，公司，硬件，软件；* 本公司名称，省市名称；* 生日和其它个人信息，比如：地址，电话号码；* 单词或数字模式，比如：aaabbb, qwerty, zyxwvuts, 123321, 等等；* 根据上面的原则产生口令，然后在其前面或后面添加数字；◆必须选用具有下列特征的强口令➢包含大小写字母；➢包含数字，符合和字母；➢多于10个字符；➢非字典单词，俚语，方言，行话；➢非基于个人信息，家人名字；4. 指南4.1. 口令选择4.1.1. 选择易记的口令：想一个容易记住的句子，抽取其每个单词的首字母及符号组成一个字符串，将该字符串中的字母替换为相似的数字或符号；4.2. 口令保护4.2.1. 不要在公司帐户和非公司帐户中使用相同的口令；4.2.2. 不要将口令告诉任何人；4.2.3. 不要作下面列出来的事情：◆在电话中/电子邮件中暴露口令；◆把口令告诉主管/同事/家人；◆在别人面前谈论自己的口令；◆提示他人自己口令的格式；◆在调查表或安全论坛中暴露口令；4.2.4. 不要使用应用程序的“保存密码”特征；4.2.5. 不要把口令写在纸上存放在办公室，不要把口令存放在没有加密的电脑文件中；4.2.6. 严格按照本规范的规定定期更改口令；。

企业商用密码管理制度一、引言随着信息技术的发展和信息化网络的普及，企业的数据安全面临着越来越严峻的挑战。

作为企业基础设施的一部分，密码管理是确保信息系统安全的重要环节。

良好的密码管理制度可以有效预防信息系统被非法入侵和信息泄露的风险，保护企业的核心数据和知识产权。

本制度旨在规范企业商用密码管理行为，明确密码管理的政策和原则，建立密码管理的流程和措施，促进企业信息安全水平的提升。

二、密码管理政策和原则1. 密码保密原则：企业员工在使用密码时，必须将密码作为个人隐私信息加以保密，不得随意向他人透露。

2. 多因素认证原则：推荐使用多因素认证方式，提高账号登录的安全性。

3. 强密码原则：密码必须设置为足够复杂的组合，包括大写字母、小写字母、数字和符号，长度建议不少于8位。

4. 定期更换密码原则：根据系统规定，密码要定期更换，不得使用历史密码。

5. 禁止共享密码原则：不得以任何形式向他人共享密码。

6. 密码存储原则：密文存储，不得明文存储密码。

7. 密码传输原则：传输密码时必须使用安全加密通道，防止密码窃取。

8. 密码重置原则：忘记密码或怀疑密码泄露时，应及时向管理员申请密码重置。

9. 监控和审计原则：对密码管理行为进行监控和审计，及时发现异常情况。

10. 违规处理原则：对违反密码管理制度的行为，将按照公司规定进行惩罚处理。

三、密码管理流程1. 密码创建和设定（1）员工在首次登录系统时，需创建密码，密码设置应符合公司规定的复杂度要求。

（2）系统根据密码设定要求，对密码复杂度进行检测，如果不符合规范，提醒员工重新设定密码。

2. 密码修改和更新（1）员工应按照规定的周期要求定期更改密码，不得使用历史密码。

（2）员工如怀疑密码泄露或忘记密码，应及时向管理员申请密码修改或重置。

3. 密码存储和传输（1）公司不得明文存储密码，管理员仅可通过加密方式对密码进行存储。

（2）在传输密码时，必须使用安全加密通道，防止密码泄露。

第一章总则第一条为加强公司内部计算机安全管理，确保公司信息系统的安全稳定运行，防止计算机信息泄露、破坏和损失，根据国家有关法律法规和公司实际情况，特制定本制度。

第二条本制度适用于公司内部所有使用计算机设备的员工，包括但不限于办公室、研发部门、销售部门等。

第二章计算机设备管理第三条公司内部计算机设备由公司统一采购、配置、管理和维护。

第四条员工需按照规定使用公司分配的计算机设备，不得擅自更换、转让或出售。

第五条计算机设备出现故障时，应及时报告给相关部门进行维修，不得自行拆卸、修理。

第六条员工离职或调离时，应将计算机设备交还公司，并由相关部门进行清点和登记。

第三章计算机网络安全管理第七条员工应遵守国家网络安全法律法规，不得从事非法侵入他人计算机信息系统、窃取、篡改、泄露他人信息等违法行为。

第八条公司内部网络实行分级管理，禁止员工擅自访问非授权网络资源。

第九条公司内部网络使用需经过授权，禁止私自建立、接入或使用非法网络设备。

第十条公司内部网络传输数据应加密，确保数据传输安全。

第四章计算机系统安全管理第十一条员工登录计算机系统时，应使用个人账户和密码，不得与他人共用。

第十二条员工应定期修改密码，密码应复杂且不易被他人破解。

第十三条公司内部计算机系统用户口令（密码）必须加密存储，不得泄露给他人。

第十四条员工离职或调离时，应将个人账户和密码注销，确保信息安全。

第五章计算机病毒及恶意软件防范第十五条公司内部计算机应安装防病毒软件，定期进行病毒查杀。

第十六条员工不得随意下载、安装不明来源的软件，防止计算机感染病毒。

第十七条员工发现计算机异常时，应及时报告给相关部门进行处理。

第六章信息安全培训第十八条公司定期组织员工进行信息安全培训，提高员工信息安全意识。

第十九条员工应积极参加信息安全培训，了解和掌握信息安全知识。

第七章责任与奖惩第二十条公司对违反本制度的行为，将视情节轻重给予警告、记过、降职、辞退等处理。

第二十一条对在信息安全工作中表现突出的员工，给予表彰和奖励。

计算机信息系统保密管理规定第一章总则第一条为加强计算机信息系统的保密管理，维护国家信息安全和社会公共利益，保护计算机信息系统中的重要信息和数据资源，制定本规定。

第二条本规定适用于使用计算机信息系统进行信息处理、传输、存储等活动的各类组织机构和个人。

第三条计算机信息系统保密管理应当坚持统筹规划、综合治理的原则，建立分工协作、职责明确的保密管理机制。

第四条计算机信息系统的保密管理工作应当遵循法律法规、技术标准和保密要求。

第二章保密责任和义务第五条计算机信息系统的管理者应当对计算机信息系统的安全进行全面负责，并确保相关人员按照规定履行保密责任和义务。

第六条计算机信息系统的使用者应当按照规定使用计算机信息系统，并严格遵守保密规定，保护计算机信息系统中的重要信息和数据资源。

第七条计算机信息系统的维护人员应当按照规定维护计算机信息系统的安全，做好防护工作，并及时发现和处理安全漏洞。

第八条计算机信息系统的管理者、使用者和维护人员应当经过保密教育培训，掌握必要的保密知识和技能。

第三章保密措施和技术要求第九条计算机信息系统应当采取适当的技术和管理措施，保护计算机信息系统中的重要信息和数据资源。

第十条计算机信息系统应当配置防火墙、入侵检测系统等安全设备，确保计算机信息系统的安全性。

第十一条计算机信息系统应当采取有效的身份认证和访问控制机制，限制非授权访问。

第十二条计算机信息系统应当定期进行安全评估和风险分析，及时修复存在的安全隐患。

第十三条计算机信息系统应当备份重要数据和信息，确保数据的可靠性和完整性。

第四章保密事件和应急处置第十四条发生计算机信息系统的保密事件，应当及时报告上级主管部门和保密管理机构，并采取相应的应急处置措施。

第十五条对于计算机信息系统的安全事故，应当及时调查处理，并追究相关人员的责任。

第十六条计算机信息系统的保密事件和应急处置应当按照国家相关法律法规和技术标准进行。

第五章监督检查和处罚第十七条计算机信息系统的保密管理工作应当受到上级主管部门和保密管理机构的监督检查。

公司账号和口令管理办法第一章总则第一条随着XXXX公司(以下简称公司)信息系统建设的发展，内部员工在使用信息系统的过程中，使用了基于操作系统的账号、基于数据库的账号和基于应用系统的账号以保障系统的安全性。

大量账号的使用使得账号口令的管理复杂化，为了保证各系统的账号口令管理水平保持在一致的水平之上，特制定本办法。

第二条本办法规定了账号和口令管理的相关职责定义和管理措施，是公司内网账号和口令管理工作依据。

第三条本办法适用于公司、全资子公司及比照全资子公司管理的控股子公司（以下简称子公司）。

公司控股投资企业可参照执行。

第二章组织和职责第四条公司信息化管理部运行管理处指定专人负责登记备案账号及相应的用户权限。

第五条各个应用系统的负责人负责审核账号及用户权限变更的合法性。

第六条各个应用系统的负责人指定或委派专人负责增加、维护、整理及废除系统使用者的账号及相应的用户权限。

第七条个人计算机中的账号及用户权限定义由计算机的使用者进行维护与管理。

第三章账号管理办法第八条在使用和管理系统时，所有用户都应拥有个人专用的唯一标识符（用户 ID）。

不同的管理者必须使用不同的账号登录，并且只能在需要的时候转换为管理员身份进行所需的操作。

第九条除非由人事部门正式授权或要求，否则不允许将个人使用的账号及口令告知他人。

第十条系统中不允许有不明用途的账号存在，所有存在的账号必须有明确的文档（电子或纸制）说明其用途、使用者、添加时间、权限及其他信息。

所有操作系统应禁止使用无口令的用户账户。

第十一条系统的负责人至少每六个月对系统内无用及过期的账号进行废除或锁定（例如系统默认账号 user,guest,daemon, bin, sys, adm, lp, nobody 等），并将结果呈文上报至运行管理处。

第十二条用户账号授权应该满足最小授权和必需知道的原则。

最小授权原则指仅让用户能够访问其工作需要的信息，其他信息不能被该用户访问；必需知道原则指应该让用户有权限访问其工作中需要用到的信息。

公司计算机系统用户口令（密码）安全管理规定第一章总则第一条为加强公司计算机系统用户口令（密码）的安全管理，提高计算机系统用户口令（密码）安全管理规范化、制度化水平，完善信息安全管理体系，特制定本规定。

第二条公司、各下属子公司的计算机系统用户口令（密码）的安全管理适用本规定。

本规定不包括应用系统客户口令管理和用于保护文件共享等非登录计算机系统用户的口令管理。

第三条本规定所称计算机系统用户口令（密码）是指在登录计算机系统过程中，用于验证用户身份的字符串，以下简称计算机系统用户口令。

计算机系统用户口令主要为静态口令、动态口令等。

静态口令一般是指在一段时间内有效，需要用户记忆保管的口令。

动态口令一般是指根据动态机制生成的、一次有效的口令。

计算机系统用户口令主要包括：主机系统（数据库系统）、网络设备、安全设备等系统用户口令；前端计算机系统用户口令；应用系统用户口令；桌面计算机系统用户口令。

第四条计算机系统用户口令的安全管理遵照统一规范、重在意识、技术控制与管理措施相结合的原则。

第五条计算机系统用户口令持有人应保证口令的保密性，不应将口令记录在未妥善保管的笔记本以及其他纸质介质中（密码信封除外），严禁将口令放置在办公桌面或贴在计算机机箱、终端屏幕上，同时严禁将计算机系统用户口令借给他人使用，任何情况下不应泄漏计算机系统用户口令，一旦发现或怀疑计算机系统用户口令泄漏，应立即更换。

第六条计算机系统用户口令必须加密存储计算机系统中，严禁在网络上明文传输计算机系统用户口令，在用户输入口令时，严禁在屏幕上显示口令明文，严禁计算机信息系统输出口令明文（密码信封除外）。

第七条计算机系统用户口令持有人应保证口令具有较高安全性。

选择使用口令安全强度较高的口令，不应使用简单的代码和标记，禁止使用重复数字、生日、电话号码、字典单词等容易破译的计算机系统用户口令。

第八条任何人不得利用盗取、猜测、窥视、破解等非法手段获取他人计算机系统用户口令，盗用他人访问权限，威胁信息系统安全。

单位口令管理制度第一章总则第一条为规范单位口令管理，保障单位信息安全，提高工作效率，根据国家相关法律法规，制定本管理制度。

第二条本管理制度适用于所有单位内部口令的管理工作，包括但不限于计算机登录口令、文件加密口令等。

第三条口令必须严格保密，不得向他人泄露，不得以书面、口头、电子等方式存储。

第四条口令应定期更换，口令长度、复杂度等应符合相关规定。

第五条口令管理负责人为单位的信息安全负责人，负责本单位口令管理工作。

第六条口令管理工作应当与网络安全工作相结合，相互协作、相互配合，做好口令的安全管理。

第七条口令管理应当采取多种手段，包括定期演练、培训等，提高员工对口令安全的意识。

第二章口令设置与变更第八条口令应当设置一定的位数，一般不少于八位，并且包含数字、字母和特殊字符，确保口令的复杂度。

第九条口令必须定期更换，一般不超过三个月一次，特殊情况下需要更换时，应当立即更换。

第十条在员工离职或者调动时，原口令应当立即更换，确保口令不被滥用。

第十一条口令的设置应当因应不同的系统、不同的权限设置而有所区别，权限高的口令应更为严格。

第十二条口令应当妥善保存，不得以明文形式保存，严禁在电脑上以文本文件等形式存储口令。

第三章口令使用与监控第十三条口令使用应当严格对应实际操作人员，不得借用他人口令，口令不得共享。

第十四条口令使用时应当注意周围环境的安全，确保在输入口令时不被他人观察到。

第十五条口令使用者应当对口令的安全负有责任，不得将口令泄漏给他人。

第十六条口令使用者应当遵守公司网络安全相关规定，不得恶意攻击系统、不得利用口令滥用权限。

第十七条口令使用情况应当进行记录和监控，对异常使用行为及时进行处理并报告相关负责人。

第十八条口令使用者应当接受相关安全教育和培训，提高对口令安全的认识和应对能力。

第四章口令管理责任第十九条口令管理责任人应当严格执行上级机构的相关规定，确保本单位口令的安全管理。

第二十条口令管理责任人应当制定本单位的口令管理制度和管理办法，并进行宣传和指导。

系统口令管理制度第一章总则第一条为了加强对系统口令的管理，规范系统口令的使用，保障信息系统的安全性，提高系统运行效率，特制定本制度。

第二条本制度适用于本单位所有使用信息化设备的部门及所有使用本单位信息系统的人员。

第三条系统口令是用户登录信息系统的一种凭证,是用户在使用计算机系统时的安全保障。

口令的泄漏将直接导致信息系统的安全性受到威胁。

第四条本制度所称系统口令包括操作对象密码、超级用户密码等各类系统管理员、用户和操作人员的密码。

第五条系统口令管理应当遵循保密原则，确保系统口令存储安全、传输安全、使用安全，严防系统口令被窃取和不当使用。

第六条本制度的内容包括但不限于口令的设置、修改、储存、传输、使用、查看、注销、违约处理等事项。

第七条本制度由本单位信息化管理部门负责起草，经本单位领导审批后下发，并由信息化管理部门负责解释。

第八条本制度自颁布之日起生效。

第二章口令的设置和修改第九条系统口令的设置应当符合一定的复杂性要求，包括但不限于长度、字符类型、历史记录等。

第十条系统口令设置应当遵循以下规定：（一）系统口令长度不得少于8个字符；（二）系统口令应同时包含数字、大小写字母和特殊符号，并且尽量不使用连续的或重复的字符；（三）系统口令在一定时间内不得重复使用。

第十一条系统口令的修改应当定期进行，具体频率由信息化管理部门根据实际情况设定。

第十二条系统口令的修改应当由用户本人进行，不得委托他人，更不得在普通的传输渠道上传输系统口令。

第十三条系统口令在一定时间内未被使用时，应当由用户本人进行修改。

如果用户本人无法进行修改，应当及时向信息化管理部门申请协助。

第三章口令的储存和传输第十四条系统口令的储存应当采用加密的方式进行，确保系统口令的安全性。

第十五条系统口令的传输应当采用加密的方式进行，不得使用明文传输或者其他不安全的方式进行传输。

第十六条在网络传输系统口令时，应当使用加密通道进行传输，并且遵循相关安全协议。

公司计算机信息系统保密管理规定第一章总则第一条为加强公司公司计算机信息系统保密管理，确保国家秘密、公司商业秘密和工作秘密安全，根据《公司保密工作管理办法》、《公司涉秘计算机及移动存储介质保密管理暂行办法》等相关规定，结合公司实际，制定本规定。

第二条本规定适应于采集、处理、存储、传输涉秘信息（包括国家秘密、公司商业秘密和工作秘密，以下同）的计算机信息系统，主要包括：计算机（包括台式计算机、便携式计算机及网络终端计算机）、移动存储介质（包括U盘、移动硬盘、光盘、软盘、磁带、MP3、MP4、MP5及存储卡等）、计算机网络与应用系统。

第三条本规定适用于公司所属各单位、各部门。

第二章计算机信息系统保密制度第四条科技信息处归口负责公司计算机信息系统保密管理工作。

主要职责是：1. 贯彻执行公司和公司保密工作相关制度规定，负责公司计算机信息网络及移动存储介质保密管理工作。

2. 负责制定公司计算机信息网络及移动存储介质保密管理规定。

3. 指导、检查和督促公司所属各单位、各部门计算机、移动存储介质及信息网络安全保密管理工作。

4. 完成公司保密委员会交办的其他工作。

第五条科技信息处每半年进行一次公司计算机信息系统保密工作检查，公司所属各单位、各部门每季度进行一次计算机信息系统保密情况检查与问题整改。

第六条公司各单位、各部门发现计算机信息系统泄密后应立即上报科技信息处与公司保密办公室，并及时采取补救措施。

第七条公司计算机信息系统保密统一按涉密与非涉密进行分类管理，公司各单位、各部门根据本单位、本部门涉密信息定密及涉密岗位实际界定涉密计算机与移动存储介质；涉密应用系统由公司相关业务部门根据应用系统存储处理的涉密信息进行界定；公司计算机网络按局域网、公司广域网与互联网接入、网络应用服务进行安全保密管理。

第八条公司涉密计算机及移动存储介质的安装调试、维护维修、数据恢复以及报废销毁定点单位必须经科技信息处资质审查后报公司保密办公室审批确定，并与公司签订保密协议。

公司计算机和信息系统保密管理制度第一章总则第一条为进一步加强公司计算机和信息系统保密管理工作，防范泄密事件发生，确保国家及公司秘密安全，根据《中华人民共和国计算机信息系统安全保密条例》，结合本公司实际，特制定本制度。

第二条本制度适用于公司各部门计算机和信息系统的保密管理。

第二章计算机和信息系统保密管理总体要求第三条公司计算机信息系统管理坚持“涉密机不上国际互联网，上国际互联网机不涉密”的原则。

第四条公司计算机实行分级保护。

计算机的分级保护是指涉密计算机的使用部门根据分级保护管理办法和有关标准，对涉密计算机分等级实施保护。

公司保密办根据该计算机的保护等级实施监督管理，确保计算机和信息的安全。

第五条涉密计算机分级保护管理应遵循“规范定密，准确定级；依据标准，同步建设；突出重点，确保核心；明确责任，加强监督”的原则。

第六条涉密计算机按照所处理的最高密级，由低到高划分为秘密、机密两个等级。

第七条公司规划和建设涉密计算机集中管理区域时，必须同步规划和落实安全保密措施。

涉密计算机集中管理区域建成后，由公司保密办组织相关单位、部门进行验收，验收达到安全保密要求的，才能处理国家秘密信息。

未达到保密要求的，不得处理涉密信息。

第八条涉密计算机集中管理区域内涉密计算机的安全防护产品，应当选择具有涉密资质的单位承担或参与涉密计算机的方案设计与实施、软件开发、系统服务、咨询、风险评估等。

公司保密办要对涉密计算机的防护方案进行备案。

第九条涉密计算机领导小组应当定期组织对涉密计算机的安全保密状况进行自评估。

检查分析由于系统需求及技术与管理因素变化而新出现的安全威胁，动态调整安全策略，适时补充和完善技术与管理措施，使涉密计算机保持与等级要求一致的防护水平。

第十条涉密计算机应当制定文档化的安全保密策略，并根据环境、系统和威胁变化情况及时调整更新；应当定期（机密级1个月、秘密级3个月）形成文档化的安全保密审计报告；每12个月根据综合审计日志，进行一次风险评估，形成文档化的风险分析报告，对存在的风险应当及时采取补救措施。

信息系统口令、密码和密钥管理1范围本标准规定了信息网网络安全管理人员的职责、管理内容和工作要求，以及信息系统口令、密码和密钥管理。

本标准适用于公司所有信息网络、应用系统及设备和用户所有层次的口令管理。

2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款，凡是注日期的引用文件，其随后所19941998200020032006200633.13.2密钥4职责4.14.1.2部门设置应用系统的口令、密码和密钥；指导各用户设置开机口令。

4.2信息中心各专职职责4.1.3网络安全管理员负责保管网络设备及相关安全防护设备(系统)的账号、口令的设置和更改。

4.1.4主机管理员负责主机、数据库系统的账号、口令的设置和更改。

4.1.5应用系统管理员负责应用系统的账号、口令的设置和更改。

4.1.6网络信息安全员负责管理和监督检查信息网络的安全工作，参加信息网系统事故调查、分析处理和信息网安全事故上报及督促现场安全措施落实，以及网络系统各类分析、统计报告的编制和上报工作。

5管理内容与要求5.1主机与网络设备(含安全防护系统)口令、密码管理5.1.1各类主机、网络设备应有明确的管理员负责管理，管理员负责其管辖范围的账号、口令的设置和更改。

5.1.2各类主机的超级用户口令和网络设备配置口令必须定期更换，更换周期不得超过1个月。

5.1.3各管理员应将口令用信封封存后交网络信息安全员统一保管，如遇管理员出差等情况需打开信封，必须征得信息中心主管同意后方可打开信封使用口令，管理员回来后及时更改口令并重新封存。

口令的保存、更改和开封启用均要有详细记录。

严禁私自启封。

5.1.4更换账号、口令后，必须立即提交新的密封件交网络信息安全员保管，并重新进行登记，旧的密封件当面销毁。

5.1.5不同权限人员应严格保管、保密各自职责的口令，严格限制使用范围，不得向非相关人员透露，原则上不允许多人共同使用一个帐户和口令。

系统管理员不得拥有数据库管理员（DBA）的权限；数据库管理员不得同时拥有系统管理员的权限；数据库管理员应为不同的不同应用系统的数据5.1.6证，户名、5.1.75.25.2.15.2.25.2.35.2.4借他人。

公司计算机系统用户口令（密码）安全管理规定第一章总则第一条为加强公司计算机系统用户口令（密码）的安全管理，提高计算机系统用户口令（密码）安全管理规范化、制度化水平，完善信息安全管理体系，特制定本规定。

第二条公司、各下属子公司的计算机系统用户口令（密码）的安全管理适用本规定。

本规定不包括应用系统客户口令管理和用于保护文件共享等非登录计算机系统用户的口令管理。

第三条本规定所称计算机系统用户口令（密码）是指在登录计算机系统过程中，用于验证用户身份的字符串，以下简称计算机系统用户口令。

计算机系统用户口令主要为静态口令、动态口令等。

静态口令一般是指在一段时间内有效，需要用户记忆保管的口令。

动态口令一般是指根据动态机制生成的、一次有效的口令。

计算机系统用户口令主要包括：主机系统（数据库系统）、网络设备、安全设备等系统用户口令；前端计算机系统用户口令；应用系统用户口令；桌面计算机系统用户口令。

第四条计算机系统用户口令的安全管理遵照统一规范、重在意识、技术控制与管理措施相结合的原则。

第五条计算机系统用户口令持有人应保证口令的保密性，不应将口令记录在未妥善保管的笔记本以及其他纸质介质中（密码信封除外），严禁将口令放置在办公桌面或贴在计算机机箱、终端屏幕上，同时严禁将计算机系统用户口令借给他人使用，任何情况下不应泄漏计算机系统用户口令，一旦发现或怀疑计算机系统用户口令泄漏，应立即更换。

第六条计算机系统用户口令必须加密存储计算机系统中，严禁在网络上明文传输计算机系统用户口令，在用户输入口令时，严禁在屏幕上显示口令明文，严禁计算机信息系统输出口令明文（密码信封除外）。

第七条计算机系统用户口令持有人应保证口令具有较高安全性。

选择使用口令安全强度较高的口令，不应使用简单的代码和标记，禁止使用重复数字、生日、电话号码、字典单词等容易破译的计算机系统用户口令。

第八条任何人不得利用盗取、猜测、窥视、破解等非法手段获取他人计算机系统用户口令，盗用他人访问权限，威胁信息系统安全。

计算机网络安全和信息保密管理规定1、为了保证公司计算机网络系统的稳定运行及网络数据的安全保密，维持安全可靠的计算机应用环境，特制定本规定。

2、凡使用公司计算机网络系统的员工都必须执行本规定。

3、在公司保密工作小组领导下，由办公室负责接入网络的安全保密管理工作。

办公室落实具体技术防范措施，负责设备、信息系统的安装调试和维护，并对用户指派信息维护员专门负责各部门的信息安全维护工作。

4、对接入公司网络系统的计算机及设备，必须符合一下规定：1）凡接入公司网络系统的计算机，只在需要使用光驱和打印机的网络管理员计算机上安装相关设备，其他计算机不得安装和使用光驱、软驱、USB卡、磁盘、磁带、打印机等输入、输出端口一律屏蔽和禁用。

2）凡接入公司办公网络的计算机，禁止使用任何网络设备，将计算机与国际互联网联结。

3）各部门的计算机均不得与其它办公系统相联结，如有信息传输的需要，可使用软盘、光盘、USB盘或活动硬盘等数据介质盘片，由网络管理员在装有相应外设的计算机上进行数据传输。

4）在未经许可的情况下，不得擅自对处计算机及其相关设备的硬件部分进行修改、改装或拆卸配置，包括添加光驱、软驱，挂接硬盘等读写设备，以及增加串口或并口外围设备，如扫描仪、打印机等。

4）非我公司的计算机及任何外设，不得接入我公司的网络系统。

5）严禁私自开启计算机机箱封条或机箱锁。

5、凡使用公司网络系统的员工，必须遵守以下规定；1）未经批准，严禁非本公司工作人员使用除计算机及任何相关设备。

2）对新上网使用办公网络系统的员工，由办公室负责上岗前的计算机网络设备系统安全及信息保密的技术培训工作。

3）公司计算机网络系统中凡属于国家保密资料或商业秘密的任何文件、图形等数据（如地形图等），未经批准，任何人严禁将其以任何形式（如数据形式：Internet、软盘、光盘、硬磁盘等；硬拷贝形式：图纸打印、复印、照片等）复制、传输或对外提供。

4）任何员工均不得超越权限侵入网络中未开放的信息，不得擅自修改入库数据资料和修改他人数据资料。

第一篇：密码安全管理规定信息系统密码安全管理规定1. 目的1.1 为了提高公司信息系统的安全性，保障信息系统的正常运行以及业务数据安全，特制定本规定。

2. 范围2.1通过非应用程序方式访问服务器、信息系统、数据库时遵循此规定。

2.2 通过正常的业务应用系统进行信息系统数据访问不在此管理规定范围。

3. 定义3.1 服务器访问：由于机器维护需要以超级用户权限进入服务器进行服务器操作系统设置、日志查询、机器运行状况查询以及补丁升级等操作。

3.2信息系统访问：由于软件系统维护需要以超级用户权限进入信息系统进行系统设置、日志查询、运行状况查询以及系统更新等操作。

3.3数据库访问：由于数据库维护需要以任何用户权限进入数据库进行数据库设置、日志查询、运行状况查询以及数据库内容查询、手工更改等操作。

4. 密码等级4.1 信息系统密码分为三个类型：访问密码、管理密码、数据密码。

4.2 访问密码分三个等级：高、中、低。

4.2.1高等级服务器访问密码适用于高安全等级的系统运行服务器，主要包括运行核心业务系统的应用服务器、核心数据库服务器。

4.2.2 中等级服务器访问密码适用于中安全等级的系统运行服务器，主要包括运行非核心业务系统的应用服务器及数据库服务器。

4.2.3 低等级服务器访问密码适用于低安全等级的系统运行服务器，包括各类用于测试或演示的应用服务器、数据库服务器以及各类公共服务器。

4.3管理密码分为三个等级：高、中、低。

4.3.1 高等级系统管理员密码适用于高安全等级的应用系统，主要包括各类核心业务系统。

4.3.2 中等级系统管理员密码适用于中安全等级的应用系统，包括各类非核心业务系统。

4.3.3 低等级系统管理员密码适用于低安全等级的应用系统，主要包括各类用于测试或演示的系统。

4.4数据密码分为三个等级：高、中、低。

4.4.1 高等级数据密码适用于高安全等级数据库的超级权限，主要包括各类核心数据库的超级权限。

计算机系统用户口令（密码）保密安全管理制度第一章总则第一条为了加强计算机系统用户口令（密码）的保密安全管理，提高计算机系统用户口令（密码）安全管理规范化、制度化水平，完善信息安全管理体系，根据《中华人民共和国保密法》、《计算机信息网络国际互联网安全保护管理办法》等法律法规，制定本制度。

第二条本制度适用于医院管理及业务相关计算机系统用户口令（密码）的保密安全管理，包括但不仅限于以下系统：HIS系统、LIS系统、电子病历系统、院感管理系统、OA系统等。

第三条计算机系统用户口令（密码）的保密安全管理应遵循统一规范、重在意识、技术控制与管理措施相结合的原则。

第四条计算机系统用户口令（密码）的保密安全管理责任人为本制度所涉及部门和人员的直接领导，负责本部门和人员计算机系统用户口令（密码）的保密安全管理工作。

第二章用户口令（密码）的设置与管理第五条计算机系统用户口令（密码）应具备一定的复杂度，包括字母、数字、特殊符号等，长度不少于8位。

第六条用户口令（密码）应定期更换，最长不超过三个月。

特殊情况下，应根据实际需求及时更换。

第七条用户口令（密码）更换时，应采用不同的密码策略，避免使用容易被猜测或破解的密码。

第八条用户口令（密码）应加密存储在计算机系统中，严禁明文存储。

第九条计算机系统用户口令（密码）持有人应保证口令的保密性，不得将口令记录在未妥善保管的笔记本、纸质介质等地方。

严禁将口令放置在办公桌面、计算机机箱、终端屏幕等容易被他人看到的地方。

同时，严禁将计算机系统用户口令借给他人使用。

任何情况下不得泄露计算机系统用户口令，一旦发现或怀疑计算机系统用户口令泄漏，应立即更换。

第十条涉及多个计算机系统的用户，应分别设置不同的用户口令（密码），不得使用同一口令（密码）。

第三章用户口令（密码）的传输与使用第十一条用户口令（密码）在传输过程中，应采用加密等安全措施，确保口令（密码）不被窃取。

第十二条用户在登录计算机系统时，应确保网络环境的安全性，避免在公共网络环境下登录。

it规章制度
标题，IT规章制度。

第一条，为了规范公司IT系统的使用，保障信息安全，提高工作效率，制定本规章制度。

第二条，公司所有员工在使用公司IT系统时，必须遵守国家相关法律法规，严禁利用公司IT系统从事非法活动。

第三条，公司IT系统的账号和密码必须严格保密，不得私自泄露给他人，如有泄露行为，将追究相关责任。

第四条，公司IT系统的使用应当遵守相关安全规定，不得随意安装未经授权的软件，不得访问未经授权的网站，不得传播病毒等恶意程序。

第五条，公司IT系统的数据备份工作必须定期进行，确保数据的安全性和完整性。

第六条，公司IT系统的维护和保养工作由专业人员负责，员工
不得私自拆卸或更改设备。

第七条，公司IT系统的故障和问题应当及时报告给相关部门，不得私自擅自处理。

第八条，公司IT系统的使用应当符合公司的工作需要，不得进行与工作无关的操作。

第九条，公司IT系统的使用记录将被定期审核，如有违规行为将受到相应的处罚。

第十条，对于违反本规章制度的行为，公司将依据情节轻重给予相应的处罚，甚至解除劳动合同。

第十一条，本规章制度自发布之日起生效，如有需要修改，需经公司领导同意并重新发布。

以上规章制度，由公司全体员工遵守并执行。

编号：XXXXX-ISMS-XXXXX-XX-YYYYMMDDXXXXXXXXX公司信息系统帐号密码管理规定XXX年XXX月1.文件版本信息说明文件版本信息记录本文件提交时的当前有效的版本控制信息，当前版本文件有效期将在新版本文档生效时自动结束。

文件版本小于1.0 时，表示该版本文件为草案，仅可作为参照资料之目的。

第一章总则第一条为规范信息系统密码设置和使用，制定本管理办法。

第二条本规定适用于XXXXX公司信息系统设备密码的设置、管理和使用。

第二章帐号申请、注销流程第三条单位内部人员的信息系统帐号的开户/权限变更按照以下流程进行：(一)首先由用户提出书面申请，详细列出所需权限，由其部门领导审批其申请的权限；(二)如果用户申请系统规定的需要高级主管或其他部门主管审批的权限则需要其他部门或高级主管审批；(三)如果有必要，由系统中业务部门的负责人员进行用户的要求是否合理的审批；(四)然后由安全负责人员审核其安全性，相应负责人员进行开户操作，在以上各审批人的审批环节中，如任何一个审批人不同意该申请，则退回用户的申请。

第四条非单位人员的信息系统中的开户，除非技术部有其他规定，否则均按照以下流程进行：(一)由接口部门的责任人代替非单位人员申请，并明确指明责任；(二)由非单位人员的接口部门或以上部门领导进行审批；(三)如需要，由其他部门领导审批；(四)安全管理人员进行审批、备案；(五)业务负责人审批申请的合理性；(六)相应负责人员进行开户；(七)在以上各审批人的审批环节中，如任意一个审批人不同意用户的申请，则退回用户的申请；(八)如有明文规定的非单位人员的开户，按照具体规定执行。

第五条用户如果因职责变动而离岗，不再需要系统权限且无须将帐号移交给其他责任人，其原岗位主管应当申请帐号的销户，由管理员取消其权限，单位内部人员的帐号的销户流程如下：(一)用户主管提出申请；(二)安全控制人员审批并执行（离职人员的帐号由安全控制办人员直接处理）。

第1篇第一章总则第一条为加强我单位网络安全管理，确保信息系统安全稳定运行，防止信息泄露和非法侵入，依据《中华人民共和国网络安全法》等相关法律法规，结合我单位实际情况，制定本规定。

第二条本规定适用于我单位所有信息系统、网络设备、终端设备以及相关工作人员。

第三条本规定所称密码口令是指用户登录信息系统、网络设备、终端设备时使用的唯一标识符，包括用户名和密码。

第四条我单位将建立健全密码口令管理制度，确保密码口令的安全性和有效性。

第二章密码口令设置要求第五条用户名和密码应具有以下特点：（一）用户名应易于记忆，但不得使用真实姓名、生日、电话号码等容易被人猜测的信息。

（二）密码应包含字母、数字、特殊字符，长度不少于8位，并定期更换。

（三）密码应避免使用连续数字、字母、特殊字符，如123456、password等。

（四）密码不得与用户名、电子邮件地址、手机号码等个人信息相同。

第六条以下情况不得作为密码：（一）包含用户姓名、生日、身份证号码等个人信息。

（二）包含单位名称、网址、IP地址等与单位相关的信息。

（三）包含常用单词、短语、数字序列等容易被猜测的信息。

（四）包含重复字符、连续字符、键盘上相邻的字符等。

第三章密码口令管理第七条用户首次设置密码时，应遵循本规定第五条、第六条的要求。

第八条用户密码修改应遵循以下原则：（一）用户每月至少修改一次密码。

（二）密码修改后，不得立即使用之前修改过的密码。

（三）密码修改后，不得将新密码泄露给他人。

（四）密码修改后，应及时保存并妥善保管。

第九条用户密码遗忘或泄露时，应立即通过以下途径进行密码重置：（一）联系系统管理员，提供有效身份证明。

（二）按照系统提示，通过手机短信、电子邮件等方式接收验证码。

（三）根据验证码完成密码重置。

第十条系统管理员应定期对密码口令进行安全检查，发现不符合规定的密码口令，应及时通知用户进行修改。

第十一条系统管理员应定期对密码口令进行风险评估，根据风险评估结果，对高风险密码口令进行强制修改。