GZZD-XX-0371密碼管理制度下發(fā)層級(jí)：一級(jí)（通用）發(fā)布時(shí)間：9月7日編碼：XX-13-28目錄TOC\o"1-5"\h\z制定目的2適用范圍2規(guī)范事項(xiàng)2密碼創(chuàng)建指引2密碼保護(hù)指引2密碼安全級(jí)別3密碼安全管理策略實(shí)施檢查4考核條款5附則5制定目的基于（以下簡(jiǎn)稱“公司”）的業(yè)務(wù)需求，為明確信息資產(chǎn)訪問(wèn)控制的基本原則，強(qiáng)化信息資產(chǎn)訪問(wèn)控制措施的選擇和實(shí)施，結(jié)合公司實(shí)際，制定本制度。適用范圍本制度適用公司部門、各分支機(jī)構(gòu)及其員工。規(guī)范事項(xiàng)一、密碼創(chuàng)建指引（一）本制度所規(guī)范使用密碼登錄的系統(tǒng)和設(shè)備，包括但不限于各類服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、監(jiān)控設(shè)備、桌面PC機(jī)、各類移動(dòng)設(shè)備運(yùn)行的所有系統(tǒng)。（二）密碼必須是數(shù)字、字母、符號(hào)三者的組合；避免與系統(tǒng)用戶名相同；避免使用公司名稱；避免與個(gè)人信息有關(guān)，如家庭成員姓名、電話、身份證號(hào)或生日等；避免使用簡(jiǎn)單的數(shù)字和字母組合，如相同數(shù)字或字母、順序排列或倒序排列等。二、密碼保護(hù)指引（一）公司內(nèi)部使用的賬號(hào)密碼不要與個(gè)人賬戶所使用的密碼一致；不同系統(tǒng)之間，盡可能設(shè)置不同的密碼；（二）未經(jīng)允許，不應(yīng)與任何人分享密碼，包括管理員、上下級(jí)領(lǐng)導(dǎo)、下級(jí)員工、家庭成員等；所有密碼視同敏感和保密信息；.嚴(yán)格限制通過(guò)電話、郵件、口頭、短信等方式向任何人所要或告知密碼；.嚴(yán)格限制系統(tǒng)自帶的記住密碼功能；.嚴(yán)格限制將密碼記錄下來(lái)，并放置在辦公室明顯位置；4.所有的系統(tǒng)應(yīng)強(qiáng)制要求用戶在第一次登錄后修改初始密碼。三、密碼安全級(jí)別根據(jù)目前現(xiàn)狀，密碼等級(jí)分為三個(gè)等級(jí)、分別是低安全級(jí)別、中安全級(jí)別和高安全級(jí)別。（一）低安全級(jí)別密碼的最低要求如下：.嚴(yán)格符合密碼創(chuàng)建指引；.密碼長(zhǎng)度不得小于6位；.密碼必須定期更換，同一密碼連續(xù)使用不得超過(guò)180天；.不能重復(fù)使用前兩次的密碼。.中安全級(jí)別密碼的最低要求如下：.嚴(yán)格符合密碼創(chuàng)建指引；.密碼長(zhǎng)度不得小于8位；.密碼必須定期更換，同一密碼連續(xù)使用不得超過(guò)90天；.不能重復(fù)使用前五次的密碼。（二）高安全級(jí)別密碼的最低要求如下：.嚴(yán)格符合密碼創(chuàng)建指引；.密碼長(zhǎng)度不得小于12位；.密碼必須定期更換，同一密碼連續(xù)使用不得超過(guò)60天；.不能重復(fù)使用前八次的密碼；.用戶賬號(hào)密碼不得以明文存儲(chǔ)和傳輸；（三）面向互聯(lián)網(wǎng)的應(yīng)用系統(tǒng)，禁止將支付密碼和登錄密碼設(shè)置為同一密碼，執(zhí)行支付和提現(xiàn)操作，需設(shè)置短信驗(yàn)證方式，驗(yàn)證碼長(zhǎng)度不得小于6位。如因個(gè)人原因遺忘賬號(hào)密碼，可通過(guò)郵箱或者短信驗(yàn)證方式找回密碼。（四）移動(dòng)App登錄時(shí)，除輸入用戶名/密碼以外還需通過(guò)第二重認(rèn)證方式進(jìn)行，執(zhí)行支付和提現(xiàn)操作，除通過(guò)支付密碼進(jìn)行驗(yàn)證還需設(shè)置第二重認(rèn)證，如使用短信驗(yàn)證方式，則驗(yàn)證碼長(zhǎng)度不得小于6位，禁止將支付密碼和登錄密碼設(shè)置為同一密碼。用戶未退出App，但是App重新回到前臺(tái)后應(yīng)通過(guò)二次認(rèn)證進(jìn)行用戶驗(yàn)證或注銷用戶。密碼安全級(jí)別適用范圍低公司個(gè)人使用桌面計(jì)算機(jī)；在功能上無(wú)法滿足安全級(jí)別為中的系統(tǒng)和設(shè)備。中重要程度為8、C和D的系統(tǒng)；B、C、Dm類系統(tǒng)所涉及的網(wǎng)絡(luò)設(shè)備和安全設(shè)備。高要程度為A的系統(tǒng)；除A級(jí)以外的面向互聯(lián)網(wǎng)的系統(tǒng)；以上系統(tǒng)所涉及的網(wǎng)絡(luò)設(shè)備和安全設(shè)備。（五）系統(tǒng)級(jí)別和重要程度請(qǐng)?jiān)斠?jiàn)引用文件，如個(gè)別系統(tǒng)因版本問(wèn)題或系統(tǒng)本身問(wèn)題，可提供系統(tǒng)的不支持相關(guān)策略依據(jù)，以區(qū)別系統(tǒng)本身原因?qū)е碌牟环厦艽a策略情況。.用戶賬號(hào)和密碼為個(gè)人用戶所擁有，任何人不得通過(guò)任何途徑獲取他人的用戶賬號(hào)與口令。個(gè)人用戶負(fù)責(zé)自己賬號(hào)和密碼的保密。.如因個(gè)人原因遺忘賬號(hào)密碼，應(yīng)及時(shí)通知相關(guān)系統(tǒng)管理員對(duì)密碼進(jìn)行初始化，初始化后強(qiáng)制要求用戶在第一次登錄后修改初始密碼。.公司員工如需設(shè)共享文件夾，必須加設(shè)密碼。四、密碼安全管理策略實(shí)施檢查安全管理人員應(yīng)對(duì)所有系統(tǒng)/設(shè)備的密碼安全管理策略的實(shí)施進(jìn)行抽樣檢查，如發(fā)現(xiàn)任何不合規(guī)的密碼安全管理策略應(yīng)及時(shí)采取相應(yīng)的解決措施。（一）系統(tǒng)運(yùn)維人員應(yīng)了解進(jìn)行有效訪問(wèn)控制的責(zé)任，特別是密碼使用安全的責(zé)任。系統(tǒng)運(yùn)維人員應(yīng)保證密碼安全，不得向其他任何人泄漏密碼，對(duì)于因泄漏密碼而造成的信息系統(tǒng)的損失，由運(yùn)維人員本人負(fù)責(zé)。（二）當(dāng)出現(xiàn)以下情況時(shí)，必須立即更改密碼并做好相關(guān)記錄：.掌握密碼的網(wǎng)絡(luò)管理人員離開(kāi)崗位；.因工作需要，由相關(guān)廠家或第三方公司人員使用過(guò)的賬號(hào)及密碼；.一旦有跡象表明密碼可能被泄露。（三）當(dāng)發(fā)生以下情況時(shí)，系統(tǒng)管理員應(yīng)立即取消賬號(hào)或修改賬號(hào)的相應(yīng)權(quán)限，并做好相關(guān)記錄：.賬號(hào)使用者已經(jīng)離職；.賬號(hào)使用者由于工作的變動(dòng)不再需要訪問(wèn)權(quán)限；.由于工作需要開(kāi)通的臨時(shí)賬號(hào)已到期.賬號(hào)使用者違背了有關(guān)密碼管理規(guī)范?？己藯l款嚴(yán)重違反本制度相關(guān)條款，造成重大信息安全事件，對(duì)公司業(yè)務(wù)及公司形象造成嚴(yán)重影響的，相關(guān)責(zé)任人按《行政管理制度》甲類考核。違反本制度相關(guān)條款，造成普通信息安全事件，對(duì)公司業(yè)務(wù)及公司形象造成輕微影響的，相關(guān)責(zé)任人按《行政管理制度》乙類考核。違反本制度相關(guān)條款，但未造成信息安全事件，視違反行為情節(jié)嚴(yán)重程度，相關(guān)責(zé)任人按《行政管理制度》丙