欢迎来到华道众合官网收藏本站  |  网站地图  |  联系我们
HOME 首页 > ISO27000认证 > 《用户标识与口令管理指南》(参考)

《用户标识与口令管理指南》(参考)

文章来源:上海奔烁咨询  添加时间:2018/9/15
《用户标识与口令管理指南》(参考)
1. 目的
为了规范组织的用户标识与口令管理流程及相关要求,特制定本指南。
2. 适当范围
用户标识与口令管理指南适用于组织ISO27000信息安全管理体系涉及的所有人员(含组织管理人员、普通员工、第三方人员,以下简称“全体员工”)。
3. 术语和定义(略)
4. 职责
4.1 IT部门
a. 是本指南的归口管理部门
b. 负责本指南的修订、解释和说明及协调实施工作
4.2 相关部门
贯彻执行本指南的相关指南。
5. 用户标识相关策略
  用户从系统管理员处获得的用户标识/口令、自身计算机的名称、IP地址等用户ID,均为用户在组织内独享专用的用户标识/口令。
  登录Intranet及其他系统(例如OA系统)等,必须以个人用户标识来设定。不得私自变更个人用户标识/IP,非法使用他人的用户标识/IP,或者多人共用同一个用户标识/IP。
  绝对禁止将个人用户标识/口令透露给其他人。
  对于特殊情况必须的群组用户标识/口令,必须严格限定范围和权限使用,绝对禁止将群组用户标识/口令透露给限定范围外的人。
6. 口令相关策略
6.1 创建口令的要求
  当创建口令时,应选择难以猜测或难以被计算机破译的口令,具体要求如下:
a. 所有口令长度必须等于或大于8个字符(如果系统允许的最大长度少于8个字符,使用最多的字符);
b. 所有口令应包含大小写字符,包含有数字和特殊符号
c. 不得设置空口令或使用与用户标识相同的口令
d. 不应直接使用组织硬件/软件/产品的名称、生日和诸如地址和电话号码的其他个人信息作为口令,除非伴有不相关的字符
e. 不应直接选择简单的文件和数字形式或键盘顺序
f. 不应选择任何以上所述形式简单的前置或后置1个或数个数字作为口令
g. 用户不应创建循环口令或与其先前采用的口令相同的口令。坚决不能复用口令
6.2 对于重要服务器创建用户口令的要求
a. 遵守本指南6.1“创建口令的要求”
b. 必须等于或大于12个字符(如果系统允许的最大长度少于12个字符,使用最多的字符)
c. 应选用在字典中找不到(英语或其他外国语言)的口令
d. 应选用在任何语言的俚语、方言、行话中找不到的口令
1.1 输入口令时的要求
在设定和输入口令时,用户应确定无人监视。
7 用户标识/口令管理
用户不应做出以下行为:
a. 使用同一用户标识/口令访问组织网络系统。在可能的情况下,对各个系统使用不同的用户标识/口令
b. 与任何人共享用户标识/口令
c. 非授权向上司、同时以及家人透漏用户标识/口令。所有用户标识/口令应被当作“商密【中】”信息对待
d. 通过电话或在电子邮件中透露用户标识/口令
e. 在调查表或安全表格上透露用户标识/口令
f. 无任何防护措施将用户标识/口令存储在计算机系统内
g. 将用户标识/口令存储在诸如批处理文件的可读文件中
h. 在他人面前讲述用户标识/口令
i. 暗示用户标识/口令的形式
j. 写下用户标识/口令并将其留在非授权人可以发现的地方
k. 写下或以其他方式记录可识别的用户标识/口令,并将其放置在其相关的访问装置附近
8 口令的修改
  用户应定期(一般为半年1次)修改口令。当发现有泄密的用户标识或口令时,用户必须立即报告相关的部门IT责任人,以便采取必要的处理步骤。
您可能还想看
网站首页    |    ISO20000认证    |    ISO27001认证    |    ISO27000认证    |    行业知识    |    查询下载    |    认证证书    |    关于我们    |    联系方式