【密碼控制管理制度】F4-B-研發服務體系-010-V1.0第頁密碼控制管理制度目錄TOC1. 目的和范圍 32. 引用文件 33. 職責和權限 44. 密碼控制 44.1. 使用密碼控制的策略 44.2. 密鑰管理 4

目的和范圍為確保安全成為所開發的信息系統一個有機組成部分，保證開發過程安全，特制定本制度。適用于本公司所有信息系統的開發活動，信息系統內在安全性的管理。本制度作為軟件開發項目管理規定的補充，而不是作為軟件開發項目管理的整體規范。引用文件下列文件中的條款通過本規定的引用而成為本規定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內容）或修訂版均不適用于本標準，然而，鼓勵各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。GB/T22080-2016/ISO/IEC27001:2013信息技術-安全技術-信息安全管理體系要求GB/T22081-2016/ISO/IEC27002:2013信息技術-安全技術-信息安全管理實施細則職責和權限開發部門：確保適當和有效地使用密碼技術以保護信息的保密性、真實性和（或）完整性。密碼控制使用密碼控制的策略控制描述應開發和實施使用密碼控制措施來保護信息的策略。實施指南制定密碼策略時，應考慮下列（但不僅限于）內容：組織間使用密碼控制的管理方法，包括保護業務信息的一般原則；使用加密技術保護通過可移動介質、設備或者通過通信線路傳輸的敏感信息；基于風險評估，應確定需要的保護級別，并考慮需要的加密算法的類型、強度和質量；加密可能帶來不利影響。由于某些控制措施依賴于內容檢查（例如病毒檢測等），要求數據處于未加密狀態。3)用戶口令管理初始密碼在創建用戶時設定，初次登錄時操作系統或者管理員必須強制修改密碼，不能使用缺省設置的密碼。用戶忘記口令時，管理員必須在對該用戶進行適當的身份識別后才能向其提供臨時口令。在向用戶提供臨時口令時，必須采用加密或其他安全傳輸途徑，以確保初始密碼不會被中途截取。不允許在計算機系統上以無保護的形式存儲口令。對于泄漏口令造成的損失，由用戶本人負責。不準與其他人互相借用各類工作賬號。測試環境的賬號與生產環境的賬號使用不同的口令。4)口令的使用用戶應保證口令安全，不得向其他任何人泄漏。應避免在紙上記錄口令，或以明文方式記錄計算機內。一旦有跡象表明系統或口令可能遭到破壞時，應立即更改口令?？诹畹倪x擇應參考以下規則：最少要有8個字符，且為數字和字母組合。密碼不可包含用戶帳號名稱的全部或部分文字。不要使用別人可以通過個人相關信息（如姓名、電話號碼、生日等）容易猜出或破解的口令。不要連續使用同一字符，不要全部使用數字，也不要全部使用字母，不要用英文單詞或重要記念日。系統用戶至少每季度更改一次口令，避免再次使用舊口令或半年內循環使用舊口令。檢查重要服務器的系統口令是否定期進行更改。首次登錄時應更改臨時口令。不要在任何自動登錄程序中使用口令，如在宏或功能鍵中存儲。不要共享個人用戶口令。密鑰管理控制描述應有密鑰管理以支持組織使用密碼技術。實施指南應保護所有的密碼密鑰免遭修改、丟失和毀壞。另外，密碼和私有密鑰需要防范非授權的泄露。用來生成、存儲和歸檔密鑰的設備應進行物理保護。對于一些部門所使用的USBKEY密鑰必須做到專人保管、專人使用，不用時必須放置在保險柜內或帶鎖的鐵柜中妥善保管。軟件密鑰或證書須專人管理分發。敏感數據加密1)控制描述組織就對敏感數據制定傳輸全程加密和保存進行加密制度，對敏感字段也要進行加密保存2）實施指南應保護所有敏感數據免遭修改、丟失、泄漏。對敏感數據內的敏感字段須加密保存。傳輸過程是要求全程不落地傳輸。在程序自動執行傳輸過程中，組織應定義對敏感數據進行全程加密和不落地傳輸的方案，并加以執行。本制度相關修改及解釋權屬于研發服務體系文檔編號（由總經辦填寫）F4-B-研發服務體系-010-V1.0密級內部公開文檔發布級別公司級文檔發布及實行范圍全員制度試行日期（可選）制度執行日期2017/07/01文檔起草人簽字：日期：2017/07/01