公司计算机系统用户口令（密码）安全管理规定

第一章总则

第一条为加强公司计算机系统用户口令（密码）的安全管理，提高计算机系统用户口令（密码）安全管理规范化、制度化水平，完善信息安全管理体系，特制定本规定。

第二条公司、各下属子公司的计算机系统用户口令（密码）的安全管理适用本规定。本规定不包括应用系统客户口令管理和用于保护文件共享等非登录计算机系统用户的口令管理。

第三条本规定所称计算机系统用户口令（密码）是指在登录计算机系统过程中，用于验证用户身份的字符串，以下简称计算机系统用户口令。计算机系统用户口令主要为静态口令、动态口令等。静态口令一般是指在一段时间内有效，需要用户记忆保管的口令。动态口令一般是指根据动态机制生成的、一次有效的口令。计算机系统用户口令主要包括：主机系统（数据库系统）、网络设备、安全设备等系统用户口令；前端计算机系统用户口令；应用系统用户口令；桌面计算机系统用户口令。

第四条计算机系统用户口令的安全管理遵照统一规范、重在意识、技术控制与管理措施相结合的原则。

第五条计算机系统用户口令持有人应保证口令的保密性，不应将口令记录在未妥善保管的笔记本以及其他纸质介质中（密码信封除外），严禁将口令放置在办公桌面或贴在计算机机箱、终端屏幕上，同时严禁将计算机系统用户口令借给他人使用，任何情况下不应泄漏计算机系统用户口令，一旦发现或怀疑计算机系统用户口令泄漏，应立即更换。

第六条计算机系统用户口令必须加密存储计算机系统中，严禁在网络上明文传输计算机系统用户口令，在用户输入口令时，严禁在屏幕上显示口令明文，严禁计算机信息系统输出口令明文（密码信封除外）。

第七条计算机系统用户口令持有人应保证口令具有较高安全性。选择使用口令安全强度较高的口令，不应使用简单的代码和标记，禁止使用重复数字、生日、电话号码、字典单词等容易破译的计算机系统用户口令。

第八条任何人不得利用盗取、猜测、窥视、破解等非法手段获取他人计算机系统用户口令，盗用他人访问权限，威胁信息系统安全。

第九条同一信息系统相同访问权限的用户应具有一致的口令安全要求。

第十条具有登录计算机系统权限的用户必须设置用户口令或其它验证用户身份的方式，严禁不验证用户身份直接登录信息系统。

第二章岗位及其职责

第十一条重要核心设备（如核心交换机、防火墙、服务器等）应设立口令安全管理专职人员，统一管理重要主机系统、核心网络设备、安全设备等超级用户以及重要系统中具有关键访问权限用户的口令。

第十二条计算机用户口令（专职人员管理的口令除外）持有人负责所持计算机用户口令在使用过程中的保密，负责设置、保存、更换计算机用户口令，负责口令自身的安全强度。

第十三条系统管理（维护）人员、网络和安全设备管理（维护）人员负责启用计算机系统、网络和安全设备的口令安全管理相关功能；负责删除计算机系统、网络和安全设备多余用户和口令。

第十四条应用系统开发项目经理应负责组织实现应用系统支持口令安全管理的相关功能和机制。

第三章口令基本安全要求

第十五条计算机用户口令基本要求由口令长度、口令字符复杂度、口令历史，口令最长有效期组成：

（一）口令最小长度：6位

（二）口令字符组成复杂度：口令由数字、大小写字母及特殊字符组成，且至少包含其中两种字符（动态口令除外）；

（三）口令历史：修改后的口令至少与前10次口令不同；

（四）口令最长有效期限：30/60/90天，可根据系统重要性和用户权限采取不同的有效期。

第十六条信息系统原则上应具有支持计算机系统用户口令基本要求的相关功能、机制。

第四章主机系统、网络和安全设备用户口令安全要求

第十七条系统用户口令主要包括主机系统、网络设备、安全设备等系统用户口令。主机系统用户是指能够登录主机系统的用户。

第十八条主机系统、网络设备、安全设备等应启动口令管理相关功能、机制，满足第三章口令基本安全要求，对于原有系统不支持或不具备相关技术功能、机制的，必须逐步建立、完善相应的安全管理制度措施，弥补技术机制上的不足。

第十九条主机系统、网络设备、安全设备等的超级用户口令以及重要系统中具有关键访问权限用户的口令应由专人设置与管理，超级用户口令应由口令设置人员将口令装入密码信封，在骑缝处盖章或签字后存档并登记。

第二十条存放超级用户口令的密码信封应放置在保险箱或带密码锁的箱、柜中，并由专人负责。

第二十一条主机系统超级用户口令，网络设备、安全设备超级用户口令以及具有修改配置权限用户的口令应设置口令登记薄，记录口令使用相关信息，至少包括：设备名称、用户名称、口令启用时间、口令更换时间、口令使用者等内容。

第二十二条如遇特殊情况需启用封存的口令，必须经过部门负责人审批，使用完毕后，须立即更换并封存，同时在口令管理登记簿中登记。

第二十三条主机系统、网络设备、安全设备等超级用户口令最长有效期为30天，具有配置、修改权限用户的口令最长有效期可为60天，其它用户口令最长有效期应符合第三章口令基本要求。为安装应用系统所建立的用户的口令也应定期更换，安装重要应用系统的用户口令最长有效期为30天，安装其它应用系统的用户的口令最长有效期可为60天。

第二十四条当系统用户口令持有人岗位调整时，原则上应删除其使用的用户，因工作需要，需要保留原用户的，必须及时更换系统用户对应的口令，严禁使用原口令登录系统。

第二十五条对于主机系统、网络设备、安全设备的用户口令以及具有系统配置权限的用户（超级用户ROOT除外），可根据实际情况使用动态口令。

第五章应用系统用户口令安全要求

第二十六条应用系统用户口令是指只用于访问应用系统的用户口令，口令对应的用户为应用系统用户，在操作系统中并不存在相应用户。

第二十七条应用系统在开发过程中必须同步实现满足计算机系统用户口令基本要求的机制和功能，通过技术手段实现安全管理要求。对于现运行的、没有达到第三章口令基本要求的计算机系统的改造或升级，可结合具体情况稳步开展。同时，必须采用相应的管理措施，加强计算机系统用户口令的安全管理，保障应用系统的安全。

第二十八条应用系统用户必须设置口令或使用其它身份认证方式，严禁不验证用户身份访问应用系统（对于信息网站中只浏览网页的用户，可不设置口令）。

第二十九条应用系统必须提供用户口令更换机制，严禁应用系统代码中包含用户口令。第三十条应用系统用户的口令应定期更换，口令最长有效期可根据应用系统的重要程度和用户的权限设定，同时符合第三章口令基本安全要求的最长有效期范围规定。

第三十一条使用密码设备的员工必须经过专业培训和严格审查。

第三十二条对于应用系统的用户口令，可根据实际情况使用动态口令。

第六章桌面计算机系统用户口令安全要求

第三十三条桌面计算机系统用户口令主要是指员工用于日常办公信息处理的计算机系统的用户口令，如台式微机、笔记本电脑及其它个人计算设备的用户口令。

第三十四条桌面计算机系统应设置用户登录口令、屏幕保护口令。

第三十五条桌面计算机系统用户登录口令、屏幕保护口令应定期更换（操作系统不具有此功能除外），口令最长有效期可为90天。

第七章检查和监督

第三十六条技术部要定期对计算机系统用户口令安全管理的情况进行检查，检查的主要内容包括：岗位和职责情况，口令登记簿登记情况，口令安全管理相关功能及其启用情况，多余用户口令删除情况，口令安全管理规定的落实和执行情况。

第三十七条对于安全检查中发现的问题和隐患，各计算机系统主管和使用部门及口令持有人要进行认真整改。对于违反本安全管理规定造成严重后果的，给予警告至开除处分，情节严重触犯法律的将移交司法机关。

第八章附则

第三十八条本规定由技术部负责解释。

第三十九条各部门及子公司可依据本规定制定实施细则，并报公司备案。

第四十条本规定自发布之日起施行