密碼控制管理制度

目錄

1.目的和范圍..............................................................2

2.引用文件................................................................2

3.職責(zé)和權(quán)限.............................................................2

4.密碼控制................................................................2

4.1.使用密碼控制的策略................................................2

4.2.密鑰管理..........................................................4

XXX信息安全有限公司

1.目的和范圍

為確保安全成為所開發(fā)的信息系統(tǒng)一個(gè)有機(jī)組成部分，保證開發(fā)過程安全，特制

定本制度。適用于本公司所有信息系統(tǒng)的開發(fā)活動(dòng)，信息系統(tǒng)內(nèi)在安全性的管理。本

制度作為軟件開發(fā)項(xiàng)目管理規(guī)定的補(bǔ)充，而不是作為軟件開發(fā)項(xiàng)目管理的整體規(guī)范。

2.引用文件

1）下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用

文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)

準(zhǔn)，然而，鼓勵(lì)各部門研究是否可使用這些文件的最新版本。凡是不注日期

的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。

2）GB/T22080-2016/IS0/IEC27001:2013信息技術(shù)?安全技術(shù)?信息安全管理體

系要求

3）GB/T22081-2016/ISO/IEC27002:2013信息技術(shù)-安全技術(shù)-信息安全管理實(shí)

施細(xì)則

3.職責(zé)和權(quán)限

開發(fā)部門：確保適當(dāng)和有效地使用密碼技術(shù)以保護(hù)信息的保密性、真實(shí)性和

（或）完整性。

4.密碼控制

4.1.使用密碼控制的策略

1）控制描述

應(yīng)開發(fā)和實(shí)施使用密圖控制措施來保護(hù)信息的策略。

2）實(shí)施指南

第2頁(yè)共5頁(yè)內(nèi)部公開

XXX信息安全有限公司

制定密碼策略時(shí)，應(yīng)考慮下列（但不僅限于）內(nèi)容：

?組織間使用密碼控制的管理方法，包括保護(hù)業(yè)務(wù)信息的一般原則；

?使用加密技術(shù)保護(hù)通過可移動(dòng)介質(zhì)、設(shè)備或者通過通信線路傳輸?shù)拿舾行?/p>

息；

?基于風(fēng)險(xiǎn)評(píng)估，應(yīng)確定需要的保護(hù)級(jí)別，并考慮需要的加密算法的類型、

強(qiáng)度和質(zhì)量；

?加密可能帶來不利影響。由于某些控制措施依賴于內(nèi)容檢查（例如病毒檢

測(cè)等），要求數(shù)據(jù)處于未加密狀態(tài)。

3）用戶口令管理

a.初始密碼在創(chuàng)建用戶時(shí)設(shè)定，初次登錄時(shí)操作系統(tǒng)或者管理員必須強(qiáng)制修

改密碼，不能使用缺省設(shè)置的密碼。

b.用戶忘記口令時(shí)，管理員必須在對(duì)該用戶進(jìn)行適當(dāng)?shù)纳矸葑R(shí)別后才能向其

提供臨時(shí)口令。

c.在向用戶提供臨時(shí)口令時(shí)，必須采用加密或其他安全傳輸途徑，以確保初

始密碼不會(huì)被中途截取。

d.不允許在計(jì)算機(jī)系統(tǒng)上以無保護(hù)的形式存儲(chǔ)口令。

e.對(duì)于泄漏口令造成的損失，由用戶本人負(fù)責(zé)。

f.不準(zhǔn)與其他人互相借用各類工作賬號(hào)。

g.測(cè)試環(huán)境的賬號(hào)與生產(chǎn)環(huán)境的賬號(hào)使用不同的口令。

4）口令的使用

a.用戶應(yīng)保證口令安全，不得向其他任何人泄漏。

b.應(yīng)避免在紙上記錄口令，或以明文方式記錄計(jì)算機(jī)內(nèi)。

c.一旦有跡象表明系統(tǒng)或口令可能遭到破壞時(shí)，應(yīng)立即更改口令。

d.口令的選擇應(yīng)參考以下規(guī)則：

?最少要有8個(gè)字符，且為數(shù)字和字母組合。

?密碼不可包含用戶帳號(hào)名稱的全部或部分文字。

?不要使用別人可以通過個(gè)人相關(guān)信息（如姓名、電話號(hào)碼、生日等）容

易猜出或破解的口令。

?不要連續(xù)使用同一字符，不要全部使用數(shù)字，也不要全部使用字母，

不要用英文單詞或重要記念H.

第3頁(yè)共5頁(yè)內(nèi)部公開

XXX信息安全有限公司

e.系統(tǒng)用戶至少每季度更改一次口令，避免再次使用I日口令或半年內(nèi)循環(huán)使

用舊口令。

f.檢查重要服務(wù)器的系統(tǒng)口令是否定期進(jìn)行更改。

g.首次登錄時(shí)應(yīng)更改臨時(shí)口令。

h.不要在任何自動(dòng)登錄程序中使用口令，如在宏或功能鍵中存儲(chǔ)。

i.不要共享個(gè)人用戶口令。

4.2.密鑰管理

1）控制描述

應(yīng)有密鑰管理以支持組織使用密碼技術(shù)。

2）實(shí)施指南

應(yīng)保護(hù)所有的密碼密鑰免遭修改、丟失和毀壞。另外，密碼和私有密鑰需要防范

非授權(quán)的泄露。用來生成、存儲(chǔ)和歸檔密鑰的設(shè)備應(yīng)進(jìn)行物理保護(hù)。對(duì)于一些部

門所使用的USBKEY密鑰必須做到專人保管、專人使用，不用時(shí)必須放置在保險(xiǎn)

柜內(nèi)或帶鎖的鐵柜中妥善保管。軟件密鑰或證書須專人管理分發(fā)。

4.3.敏感數(shù)據(jù)加密

1）控制描述

組織就對(duì)敏感數(shù)據(jù)制定傳輸全程加密和保存進(jìn)行加密制度，對(duì)敏感字段也要進(jìn)行

加密保存

2）實(shí)施指南

應(yīng)保護(hù)所有敏感數(shù)據(jù)免遭修改、丟失、泄漏。對(duì)敏感數(shù)據(jù)內(nèi)的敏感字段須加密保存。

傳輸過程是要求全程不落地傳輸。在程序自動(dòng)執(zhí)行傳輸過程中，組織應(yīng)定義對(duì)敏感數(shù)據(jù)

進(jìn)行全程加密和不落地傳輸?shù)姆桨福⒓右詧?zhí)行。

第4頁(yè)共5頁(yè)內(nèi)部公開

XXX信息安全有限公司

本制度相關(guān)修改及解釋權(quán)屬于研發(fā)服務(wù)體系

文檔編號(hào)（由總裁辦填寫）

密級(jí)內(nèi)部公開

文檔發(fā)布級(jí)別公司級(jí)

文檔發(fā)布及實(shí)行范圍全員

制度試行日期（可選）

制度執(zhí)行日期

文檔起草人簽字：

文檔修訂人：簽字：

修訂說明：備注：

文檔負(fù)責(zé)人：