F4-B-研發(fā)服務(wù)體系-010-V1.0-密碼控制管理制度

【密碼控制管理制度】F4-B-研發(fā)服務(wù)體系-010-V1.0第頁密碼控制管理制度目錄TOC1. 目的和范圍 32. 引用文件 33. 職責(zé)和權(quán)限 44. 密碼控制 44.1. 使用密碼控制的策略 44.2. 密鑰管理 4

目的和范圍為確保安全成為所開發(fā)的信息系統(tǒng)一個(gè)有機(jī)組成部分，保證開發(fā)過程安全，特制定本制度。適用于本公司所有信息系統(tǒng)的開發(fā)活動，信息系統(tǒng)內(nèi)在安全性的管理。本制度作為軟件開發(fā)項(xiàng)目管理規(guī)定的補(bǔ)充，而不是作為軟件開發(fā)項(xiàng)目管理的整體規(guī)范。引用文件下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。GB/T22080-2016/ISO/IEC27001:2013信息技術(shù)-安全技術(shù)-信息安全管理體系要求GB/T22081-2016/ISO/IEC27002:2013信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則職責(zé)和權(quán)限開發(fā)部門：確保適當(dāng)和有效地使用密碼技術(shù)以保護(hù)信息的保密性、真實(shí)性和（或）完整性。密碼控制使用密碼控制的策略控制描述應(yīng)開發(fā)和實(shí)施使用密碼控制措施來保護(hù)信息的策略。實(shí)施指南制定密碼策略時(shí)，應(yīng)考慮下列（但不僅限于）內(nèi)容：組織間使用密碼控制的管理方法，包括保護(hù)業(yè)務(wù)信息的一般原則；使用加密技術(shù)保護(hù)通過可移動介質(zhì)、設(shè)備或者通過通信線路傳輸?shù)拿舾行畔?；基于風(fēng)險(xiǎn)評估，應(yīng)確定需要的保護(hù)級別，并考慮需要的加密算法的類型、強(qiáng)度和質(zhì)量；加密可能帶來不利影響。由于某些控制措施依賴于內(nèi)容檢查（例如病毒檢測等），要求數(shù)據(jù)處于未加密狀態(tài)。3)用戶口令管理初始密碼在創(chuàng)建用戶時(shí)設(shè)定，初次登錄時(shí)操作系統(tǒng)或者管理員必須強(qiáng)制修改密碼，不能使用缺省設(shè)置的密碼。用戶忘記口令時(shí)，管理員必須在對該用戶進(jìn)行適當(dāng)?shù)纳矸葑R別后才能向其提供臨時(shí)口令。在向用戶提供臨時(shí)口令時(shí)，必須采用加密或其他安全傳輸途徑，以確保初始密碼不會被中途截取。不允許在計(jì)算機(jī)系統(tǒng)上以無保護(hù)的形式存儲口令。對于泄漏口令造成的損失，由用戶本人負(fù)責(zé)。不準(zhǔn)與其他人互相借用各類工作賬號。測試環(huán)境的賬號與生產(chǎn)環(huán)境的賬號使用不同的口令。4)口令的使用用戶應(yīng)保證口令安全，不得向其他任何人泄漏。應(yīng)避免在紙上記錄口令，或以明文方式記錄計(jì)算機(jī)內(nèi)。一旦有跡象表明系統(tǒng)或口令可能遭到破壞時(shí)，應(yīng)立即更改口令?？诹畹倪x擇應(yīng)參考以下規(guī)則：最少要有8個(gè)字符，且為數(shù)字和字母組合。密碼不可包含用戶帳號名稱的全部或部分文字。不要使用別人可以通過個(gè)人相關(guān)信息（如姓名、電話號碼、生日等）容易猜出或破解的口令。不要連續(xù)使用同一字符，不要全部使用數(shù)字，也不要全部使用字母，不要用英文單詞或重要記念日。系統(tǒng)用戶至少每季度更改一次口令，避免再次使用舊口令或半年內(nèi)循環(huán)使用舊口令。檢查重要服務(wù)器的系統(tǒng)口令是否定期進(jìn)行更改。首次登錄時(shí)應(yīng)更改臨時(shí)口令。不要在任何自動登錄程序中使用口令，如在宏或功能鍵中存儲。不要共享個(gè)人用戶口令。密鑰管理控制描述應(yīng)有密鑰管理以支持組織使用密碼技術(shù)。實(shí)施指南應(yīng)保護(hù)所有的密碼密鑰免遭修改、丟失和毀壞。另外，密碼和私有密鑰需要防范非授權(quán)的泄露。用來生成、存儲和歸檔密鑰的設(shè)備應(yīng)進(jìn)行物理保護(hù)。對于一些部門所使用的USBKEY密鑰必須做到專人保管、專人使用，不用時(shí)必須放置在保險(xiǎn)柜內(nèi)或帶鎖的鐵柜中妥善保管。軟件密鑰或證書須專人管理分發(fā)。敏感數(shù)據(jù)加密1)控制描述組織就對敏感數(shù)據(jù)制定傳輸全程加密和保存進(jìn)行加密制度，對敏感字段也要進(jìn)行加密保存2）實(shí)施指南應(yīng)保護(hù)所有敏感數(shù)據(jù)免遭修改、丟失、泄漏。對敏感數(shù)據(jù)內(nèi)的敏感字段須加密保存。傳輸過程是要求全程不落地傳輸。在程序自動執(zhí)行傳輸過程中，組織應(yīng)定義對敏感數(shù)據(jù)進(jìn)行全程加密和不落地傳輸?shù)姆桨福⒓右詧?zhí)行。本制度相關(guān)修改及解釋權(quán)屬于研發(fā)服務(wù)體系文檔編號（由總經(jīng)辦填寫）F4-B-研發(fā)服務(wù)體系-010-V1.0密級內(nèi)部公開文檔發(fā)布級別公司級文檔發(fā)布及實(shí)行范圍全員制度試行日期（可選）制度執(zhí)行日期2017/07/01文檔起草人簽字：日期：2017/07/01