密碼控制管理制度_第1頁
密碼控制管理制度_第2頁
密碼控制管理制度_第3頁
密碼控制管理制度_第4頁
全文預覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

密碼控制管理制度文件編號:目的和范圍為確保安全成為所開發(fā)的信息系統(tǒng)一個有機組成部分,保證開發(fā)過程安全,特制定本制度。適用于本公司所有信息系統(tǒng)的開發(fā)活動,信息系統(tǒng)內(nèi)在安全性的管理。本制度作為軟件開發(fā)項目管理規(guī)定的補充,而不是作為軟件開發(fā)項目管理的整體規(guī)范。1.引用文件1)下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件,其隨后所有的修改單(不包括勘誤的內(nèi)容)或修訂版均不適用于本標準,然而,鼓勵各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件,其最新版本適用于本標準。GB/T22080-2016/ISO/lEC27001:2013信息技術(shù)-安全技術(shù)-信息安全管理體系要求GB/T22081-2016/ISO/IEO27002:2013信息技術(shù)-安全技術(shù)-信息安全管理實施細則.職責和權(quán)限開發(fā)部門:確保適當和有效地使用密碼技術(shù)以保護信息的保密性、真實性和(或)完整性。.密碼控制使用密碼控制的策略1)控制描述應(yīng)開發(fā)和實施使用密碼控制措施來保護信息的策略。2)實施指南制定密碼策略時,應(yīng)考慮下列(但不僅限于)內(nèi)容:組織間使用密碼控制的管理方法,包括保護業(yè)務(wù)信息的一般原則;使用加密技術(shù)保護通過可移動介質(zhì)、設(shè)備或者通過通信線路傳輸?shù)拿舾行畔ⅲ换陲L險評估,應(yīng)確定需要的保護級別,并考慮需要的加密算法的類型、強度和質(zhì)量;加密可能帶來不利影響。由于某些控制措施依賴于內(nèi)容檢查(例如病毒檢測等),要求數(shù)據(jù)處于未加密狀態(tài)。3)用戶口令管理a.初始密碼在創(chuàng)建用戶時設(shè)定,初次登錄時操作系統(tǒng)或者管理員必須強制修改密碼,不能使用缺省設(shè)置的密碼。b.用戶忘記口令時,管理員必須在對該用戶進行適當?shù)纳矸葑R別后才能向其提供臨時口令。C.在向用戶提供臨時口令時,必須采用加密或其他安全傳輸途徑,以確保初始密碼不會被中途截取。d.不允許在計算機系統(tǒng)上以無保護的形式存儲口令。e.對于泄漏口令造成的損失,由用戶本人負責。f.不準與其他人互相借用各類工作賬號。g.測試環(huán)境的賬號與生產(chǎn)環(huán)境的賬號使用不同的口令。4)口令的使用a.用戶應(yīng)保證口令安全,不得向其他任何人泄漏。b.應(yīng)避免在紙上記錄口令,或以明文方式記錄計算機內(nèi)。一旦有跡象表明系統(tǒng)或口令可能遭到破壞時,應(yīng)立即更改口令??诹畹倪x擇應(yīng)參考以下規(guī)則:最少要有8個字符,且為數(shù)字和字母組合。密碼不可包含用戶帳號名稱的全部或部分文字。不要使用別人可以通過個人相關(guān)信息(如姓名、電話號碼、生日等)容易猜出或破解的口令。不要連續(xù)使用同一字符,不要全部使用數(shù)字,也不要全部使用字母,不要用英文單詞或重要記念日。e.系統(tǒng)用戶至少每季度更改一次口令,避免再次使用舊口令或半年內(nèi)循環(huán)使用舊口令。f.檢查重要服務(wù)器的系統(tǒng)口令是否定期進行更改。g.首次登錄時應(yīng)更改臨時口令。h.不要在任何自動登錄程序中使用口令,如在宏或功能鍵中存儲。不要共享個人用戶口令。密鑰管理1)控制描述應(yīng)有密鑰管理以支持組織使用密碼技術(shù)。2)實施指南應(yīng)保護所有的密碼密鑰免遭修改、丟失和毀壞。另外,密碼和私有密鑰需要防范非授權(quán)的泄露。用來生成、存儲和歸檔密鑰的設(shè)備應(yīng)進行物理保護。對于一些部門所使用的USBKEY密鑰必須做到專人保管、專人使用,不用時必須放置在保險柜內(nèi)或帶鎖的鐵柜中妥善保管。軟件密鑰或證書須專人管理分發(fā)。敏感數(shù)據(jù)加密1)控制描述組織就對敏感數(shù)據(jù)制定傳輸全程加密和保存進行加密制度,對敏感字段也要進行加密保存2)實施指南應(yīng)保護所有敏感數(shù)據(jù)免遭修改、丟失、泄漏。對敏感數(shù)據(jù)內(nèi)的敏感字段須加密保存。傳輸過程是要求全程不落地傳輸。在程序自動執(zhí)行傳輸過程中,組織應(yīng)定義對敏感數(shù)據(jù)進行全程加密和不落地傳輸?shù)姆桨?,并加以?zhí)行。

本制度相關(guān)修改及解釋權(quán)屬于研發(fā)服務(wù)體系文檔編號(由總裁辦填寫)密級內(nèi)部公開文檔發(fā)布級別公司級文檔

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論