欢迎来到天天文库
浏览记录
ID:41289238
大小:16.05 KB
页数:3页
时间:2019-08-21
《账号口令管理标准》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、账号口令管理标准1.目的有效保护公司信息资产,避免应口令管理不善导致信息泄露。2.适用范围本规范适用于深圳市道通科技公司股份有限公司、深圳市道通智能航空技术有限公司以及深圳市道通合创软件开发有限公司(以上三者合称为公司)生产环境IT系统账号口令管理,包括普通用户使用的IT系统账号以及系统管理员运维或者授权使用的账号的口令管理。备注:用于公司业务开展,但信息系统位于公司办公网络以外,由外部单位提供的IT系统账号可(例如:Appstore上传应用的账号)参考本规定执行。3.定义无4.职责与权限序号角色职责与权限001账号责任人负责保护账号的口令
2、,维持口令的机密性。公司正式员工的账号责任人为员工本人,公用/外部账号的责任人应设置为公司内部正式员工。003IT信息安全组1、员工账号口令管理问题监督、审核工作;2、员工违反本规定的调查、跟进、奖惩工作。5.内容5.1.口令复杂度要求1)账号口令的有效长度至少8位;2)账号口令符合以下复杂性要求:a、至少包含大写字母、小写字母、数字、特殊符号(例如标点符号等)中任三种;b、不允许使用4个及以上的重复的字母或数字、普通的名字或昵称、普通的个人信息:如生日日期;3)账号口令最长有效期为90天,如账号已经处于失效状态,则不要求修改;4)不得使用
3、最近5次用过的口令;5)账号管理人员初次发放或者初始化口令给用户时,如果知道口令内容,则必须为口令设置过期期限(用户须及时更改口令,否则口令应被强制失效)。5.2.口令安全1)账号锁定阀值为5次,即账号口令输入错误超过5次,该账号自动被锁,超过5分钟后自动解锁;2)禁止通过网易闪电邮和RTX进行传输/发送口令,只能通过OA邮件进行发送,避免口令经过internet传输导致被恶意窃取;3)如技术上可以实现,道通科技内部的IT系统用户口令交付给最终用户使用时,应设置口令为首次登录必须修改。如技术上无法实现,应通知用户修改口令并告知口令修改方法。
4、收到口令的用户应根据要求在1个工作日内完成口令修改;4)所有用户应妥善保管所使用的账号的口令,应根据本规范以及IT系统要求,定期修改口令;5)避免将口令记录在书面上(除非该书面介质可以被安全地保存),并严禁贴在个人电脑屏幕或其他容易泄露之场所;6)当有迹象足以显示账号口令可能遭破解时,应立即更改口令,并以安全事件方式及时上报。上报渠道可以通过OA中信息安全服务邮箱反馈(在OA邮件收件人中输入infosecurity即可);7)应对无人值守的口令令牌或其他硬件类用户认证设备进行保护,当不适用时,要使用带钥匙的锁或其他控制措施进行管控。例如:财
5、务部门使用的网银U-KEY;行政部使用的住房公积金的USB加密狗等。5.3.稽核IT部信息安全组定期组织对本规定的执行情况进行稽核,对于违反本管理规定的行为,将按照《信息安全奖惩管理办法》对相关责任人进行处罚。5.4.维护与解释1)本规定发布之日起生效;2)本规定由IT部信息安全组至少每两年审视一次,根据审核结果修订标准并颁布执行;3)本规定解释权归IT部信息安全组;4)若本规定与当地法律造成冲突,以当地法律要求为准。6.相关文件无7.记录表格
此文档下载收益归作者所有