密码使用安全管理制度-等保安全管理制度

密码使用安全管理制度第一章总则第一条目的与依据为规范本单位信息系统及各类账户的密码管理，保障信息资产的机密性、完整性和可用性，防止因密码泄露、被盗或滥用而引发的安全事件，依据国家信息安全相关法律法规及信息安全等级保护（以下简称“等保”）的要求，结合本单位实际情况，特制定本制度。第二条适用范围本制度适用于本单位所有员工（包括正式员工、合同制员工、实习生、临时工作人员以及其他需要访问本单位信息系统的外部人员）在使用各类信息系统账户、网络设备、服务器、应用系统及相关终端设备时的密码设置、使用、保管和变更等行为。第三条基本原则密码管理应遵循以下基本原则：1.保密性原则：密码属于敏感信息，任何个人不得随意泄露、传播或共享。2.最小权限原则：账户权限应与其工作职责相匹配，密码仅授予经授权的用户。3.复杂度原则：密码应具备足够的复杂度，以抵御猜测和暴力破解。4.定期更换原则：密码应定期更换，减少长期使用带来的风险。5.专人负责原则：每个账户密码应由使用者专人负责保管和维护。第二章组织机构与职责第四条信息安全管理部门信息安全管理部门是密码安全管理的归口管理部门，主要职责包括：1.制定和修订本单位密码安全管理制度及相关技术规范。2.组织开展密码安全意识培训和教育。3.监督和检查本制度的执行情况。4.对违反密码管理规定的行为进行调查和处理。5.推广和引进先进的密码管理技术和工具。第五条系统管理员与运维人员系统管理员、数据库管理员及网络设备运维人员等技术支持人员，在密码管理方面的职责包括：1.严格按照本制度要求配置和维护信息系统、网络设备的密码策略。2.负责系统级、设备级管理员账户的创建、密码初始化、重置等工作，并做好记录。3.对用户账户密码相关的求助提供技术支持，并进行操作审计。4.确保所管理的系统和设备具备完善的密码安全防护机制。第六条用户所有使用信息系统账户的用户，应履行以下职责：1.严格遵守本制度关于密码设置、使用、保管和更换的各项规定。2.对个人所使用的账户密码安全负直接责任。3.发现密码可能泄露或账户异常时，应立即报告并采取措施更改密码。4.积极参加密码安全培训，提高安全防范意识。第三章密码管理要求第七条密码生成与复杂度1.密码长度：用户账户密码长度应不低于一定数量的字符，系统管理员账户密码长度应更长。2.密码组成：密码应包含大写字母、小写字母、数字及特殊符号中的至少三种组合。3.避免使用：密码不得使用与账户名相同或相似的字符串，不得使用生日、电话号码、简单序列（如____）等易被猜测的信息作为密码。4.禁止重复：新设置或更换的密码不得与前几次使用的密码相同。第八条密码分发与更换1.首次分发：新账户创建后，系统管理员应通过安全方式将初始密码分发给用户，用户首次登录系统后必须立即更改初始密码。2.更换周期：普通用户密码应定期更换，更换周期不宜过长；管理员账户密码更换周期应更短。如系统支持，应设置强制密码更换提醒功能。3.主动更换：当怀疑密码可能被泄露、或完成重要操作任务后，用户应主动及时更换密码。第九条密码使用与保管1.专人专用：用户账户密码实行专人专用，严禁转借、共用或泄露给他人。因工作需要交接账户时，必须先更改密码，并履行正式交接手续。2.妥善保管：密码应妥善保管，建议使用安全的密码管理工具记录，禁止以明文形式记录在纸质或电子文档中并随意存放（如贴在显示器旁、保存在未加密的文本文件中）。3.输入规范：在输入密码时，应注意周围环境，防止他人窥视。避免在公共场合或不安全的网络环境下登录重要账户。4.禁止存储：除使用经批准的密码管理工具外，禁止在操作系统、浏览器或应用程序中设置“记住密码”或自动登录功能。5.系统账户：系统级、设备级管理员账户密码应多人分别保管不同部分或采用双人控制机制，具体方案由信息安全管理部门审定。第十条密码的作废与销毁1.用户离职、调离或不再需要使用某个账户时，所在部门应及时通知系统管理员办理账户注销或权限变更手续，相关密码同时作废。2.作废的密码及相关记录应及时、彻底销毁，确保信息不被泄露。第四章技术要求第十一条系统密码策略配置1.各类操作系统、数据库系统、网络设备及应用系统应配置符合本制度要求的密码策略，包括复杂度检查、最短长度、最长使用期限、历史密码限制等。2.系统应具备密码错误次数限制功能，当连续多次输入错误密码后，应暂时锁定账户或采取其他保护措施。3.系统应采用加密方式存储用户密码，严禁明文存储。4.远程访问系统或设备时，应采用加密传输协议，防止密码在传输过程中被窃听。第十二条密码安全技术防护1.鼓励采用多因素认证机制，增强账户登录的安全性，特别是对于管理员账户和重要业务系统账户。2.考虑部署密码管理系统（PAM），对管理员账户密码进行集中管理、自动轮换和安全存储。3.定期对系统进行安全扫描和渗透测试，检查密码策略执行情况及是否存在密码相关漏洞。4.确保系统日志能够完整记录与密码相关的操作，如密码更改、登录失败等，日志应妥善保存一定期限。第五章监督与检查第十三条日常监督信息安全管理部门及各系统运维团队应将密码安全管理纳入日常工作监督范围，定期检查用户密码使用情况和系统密码策略配置情况。第十四条定期审计信息安全管理部门应定期组织对密码安全管理制度的执行情况进行审计，包括抽查用户密码复杂度、检查密码更换记录、审查系统日志中的异常登录行为等。审计结果应形成报告，并通报相关部门。第十五条违规处理对于违反本制度规定，导致密码泄露、账户被盗用，造成不良后果或安全事件的，将根据情节严重程度，对相关责任人进行批评教育、通报批评、经济处罚直至纪律处分；构成犯罪的，依法移交司法机关处理。第六章附则第十六条制度解释本制度由本单位信息安全管理部门负责解释。第十七条制度修订本制度根据国家法律法规、行业标准及本单位实际情况的变化适时修订。第十八条生效日期本制度自发布之日起施行。原有相关规定与本制度不一致的，以本制度为准。各部门可依据本制度，结合自身实际情况制定相应的实施细则。