文檔信息
|
文檔名稱
|
世界杯官网密碼管理制度
|
|
文檔編號
|
|
|
文檔類別
|
策略方针 □ 管理制度 ■ 工作流程 □ 操作指南 □ 运维记录 □ 其他 □
|
|
當前版本
|
1.0
|
|
創建日期
|
2020-10-18
|
|
文檔編輯部門
|
信息中心
|
|
文檔作者
|
|
|
聯系方式
|
|
修訂記錄
|
文檔版本
|
日期
|
修改人員
|
審閱人員
|
修訂摘要
|
|
V1.0
|
2020-10-18
|
|
|
建立文檔
|
|
|
|
|
|
|
審批發布
|
序號
|
審核記錄
|
日期
|
審閱人員
|
|
1
|
審閱
|
2020-10-18
|
|
|
2
|
正式核准發布
|
2020-10-18
|
|
|
3
|
|
|
|
一 總則
目的。爲確保世界杯官网網絡和信息系統的安全平穩運行,保障數據信息安全,依據《世界杯官网信息安全管理辦法》制定本管理制度。
對象。本制度的對象主要是指世界杯官网網絡设备、服务器、应用系统、终端电脑等密碼使用。
範圍。本制度適用于世界杯官网信息系統相關工作人員。
要求。世界杯官网信息系统密碼使用安全管理要求统一遵循《GB/T 22239-2019信息安全技术 信息系统安全等级保护基本要求》。
二 基本安全要求
1.具有登录计算机系统权限的用户必须设置用户密碼或其它验证用户身份的方式,严禁不验证用户身份直接登录信息系统。
2.计算机系统用户密碼持有人应保证密碼的保密性,不应将密碼记录在未妥善保管的笔记本以及其他纸质介质中(密碼信封除外),严禁将密碼放置在办公桌面或贴在计算机机箱、终端屏幕上,一旦发现或怀疑计算机系统用户密碼泄漏,应立即更换。
3.计算机系统用户密碼应加密存储计算机系统中,严禁在網絡上明文传输计算机系统用户密碼,在用户输入密碼时,严禁在屏幕上显示密碼明文,严禁计算机信息系统输出密碼明文(密碼信封除外)。
4.任何人不得利用盗取、猜测、窥视、破解等非法手段获取他人计算机系统用户密碼,盗用他人访问权限,威胁信息系统安全。
5.计算机系统用户密碼应与密碼持有人一一对应,可根据用户权限设置不同的用户。
6.应选择使用密碼安全强度较高的密碼,不应使用简单的代码和标记,禁止使用重复数字、生日、电话号码、字典单词等容易猜测的计算机系统用户密碼。其具体要求如下:
(1)密碼最小长度:8位;
(2)密碼字符组成复杂度:密碼由数字、大小写字母及特殊字符组成;
(3)密碼历史:修改后的密碼至少与前10次密碼不同;
(4)密碼最长有效期限建议90 天,可根据系统重要性和用户权限采取不同的有效期。
7.当用户密碼持有人岗位调整时,应根据其新的岗位职责,对其用户权限及密碼进行及时调整。
8.主机系统特权用户密碼,重要網絡设备及安全设备特权用户密碼以及具有修改配置权限用户的密碼变更时应设置密碼登记薄,记录密碼使用相关信息,至少包括:名称、密碼更换时间、密碼使用人等内容,并存放在保险箱或带密碼锁的箱、柜中,由专人负责。
9.如遇特殊情况需启用封存的密碼,必须经过部门负责人审批,使用完毕后,须立即更换并封存,同时在密碼管理登记簿中登记。对于使用动态密碼的系统,各系统管理员必须保护好自己的令牌及PIN碼。
三 主机与应用系统管理员用户密碼安全
1.主机系统是指所有营业类及管理信息类系统的主机、数据库系统和系统前置机,主机系统管理员密碼则包括系统特权用户及一般权限的管理员密碼;应用系统管理员用户密碼是指用于访问后台应用系统的密碼,主要包括特权用户密碼和一般权限管理员的密碼等。
2.主机系统及应用系统的用户密碼安全要求应满足密碼管理的基本要求。
3.主机系统、数据库系统及应用系统的管理员密碼应根据岗位设置进行保存和管理。
4.系统特权用户密碼应由密碼设置人员将密碼装入密碼信封,在骑缝处盖章或签字后存档并登记。存放在保险箱或带密碼锁的箱、柜中,并由专人负责。
5.主机及应用系统管理员密碼应定期更换,系统的密碼最长有效期为90天。
6.变更主机系统及应用系统特权用户密碼持有人时,必须更换密碼,严禁泄漏特权用户管理员密碼。
7.一般用户的初始密碼应由系统管理员进行设置,一般用户应及时进行密碼更改,并妥善管理。
四 網絡/安全设备用户密碼安全
1.網絡设备、安全设备等应启动密碼管理相关功能、机制,应满足密碼管理的基本安全要求,对于原有系统不支持或不具备相关技术功能、机制的,必须建立、完善相应的安全管理制度措施,弥补技术机制上的不足。
2.核心網絡设备以及可能涉及机密信息的安全设备的特权用户密碼应由专人设置与管理,特权用户密碼应由密碼设置人员将密碼装入密碼信封,在骑缝处盖章或签字后存档并登记。存放在保险箱或带密碼锁的箱、柜中,并由专人负责。
3.对于分布层及接入层網絡设备及一般性安全设备等的特权管理员密碼可由相应網絡设备及安全管理员自己保存、管理。
4.網絡设备、安全设备等特权用户密碼最长有效期为90天。
5.对于網絡设备、安全设备的用户密碼以及具有系统配置权限的用户,可根据实际情况使用动态密碼。
五 业务系统用户密碼安全
1.业务系统用户密碼是指只用于访问业务系统的用户密碼,密碼对应的用户为业务系统用户,业务系统用户密碼由相应使用人员进行管理。
2.业务系统用户必须设置密碼或使用其它身份认证方式,严禁不验证用户身份访问业务系统(对于信息网站中只浏览网页的用户,可不设置密碼)。
3.业务系统必须提供用户密碼更换机制,业务系统代码中不得预留用户密碼。
4.业务系统用户密碼应定期更换,密碼最长有效期可根据应用系统的重要程度和用户的权限,在满足密碼基本安全要求的最长有效期范围内确定。
5.对于一般业务系统的操作员级用户,其密碼最长有效期可90天。
6.对于业务系统的用户密碼,可根据实际情况使用动态密碼。
六 桌面计算机系统用户密碼安全
1.桌面计算机系统用户密碼主要是指工作人员用于日常办公信息处理的计算机系统的用户密碼,如台式电脑、笔记本电脑及其它个人计算设备的用户密碼。
2.桌面计算机系统应设置管理员用户密碼、屏幕保护密碼。
3.桌面计算机系统管理员用户密碼由使用人员负责保存管理、应根据自身安全要求更换。
七 監督和檢查
各级信息部门应开展对计算机系统用户密碼安全管理的情况进行检查,检查的主要内容包括:岗位和职责情况,密碼登记簿登记情况,密碼安全管理相关功能及其启用情况,多余用户密碼删除情况,密碼安全管理规定的落实和执行情况等。
对于安全检查中发现的问题和隐患,各信息系统负责人和使用部门及密碼持有人应进行整改。
八 附則
對違反本制度的人員,將按照世界杯官网有關規定進行處罰。
本制度由信息安全工作小組負責制定、解釋和修改。
本制度自發布之日起執行。
世界杯官网信息安全工作小組
2020年10月18日