XXXX村镇银行信息安全密匙管理办法
第一章总则
第一条为了加强风险管理，强化保密工作，提高我行安全控制能力，建立科学、规范的信息系统密码管理规范，制定本办法。

第二条本办法所指信息系统密码，包括以下几种类型：1．我行所有业务系统普通用户密码；
2．员工登录我行内部网域密码；
3．我行所有业务系统权限管理员密码；
4．我行网络服务器管理员密码；
5．合规与风险管理部认定的其它密码。

第三条应用核心系统和网络服务器，自身包含有完整的多级权限管理体系。

由这些系统的最高权限分配的其它权限的密码，也需遵守本办法。

第二章密码设置规范
第四条我行业务系统普通用户的密码设置规范要求如下：1．密码长度不得低于6位；
2．密码必须包含字母和数字；
3．密码必须每3个月更换一次，并且新密码不得与原密码相同。

第五条对于以下密码：
1．员工登录我行内部网络域密码；
2．我行所有业务系统权限管理员和系统运营管理员密码；
3．我行网络服务器管理员密码；
其设置规范，应符合以下要求：
1．密码长度不得低于8位；
2．密码必须包含大小写字母和数字；
3．密码必须每3个月更换一次，并且新密码不得与原密码相同。

第六条信息系统密码设置规范的系统控制：
1．系统应控制密码的有效期，通过设置，强行要求用户定期进行密码修改，减少密码被盗用的可能；
2．用户密码长度和编码规则限制。

强行要求用户密码符合长度和复杂性要求；
3．系统控制第一次登录后必须马上更改初始密码；
4．设置用户密码输入错误次数。

在密码错误输入超过3次后，系统锁定登陆用户。

用户必须通知系统权限管理员解除锁定。

第七条我行引进、外包的所有业务系统，均应按照本办法第六条的要求，完善密码管理功能模块。

第三章用户密码管理
第八条所有业务系统各类用户可自行修改密码。

密码应妥善保管，不得公开或者告知他人。

如果遗忘，应及时联系系统权限管理员
重新设置。

第九条信息系统服务器操作系统管理员、系统数据库管理员和我行网络服务器管理员密码应由不同人员分别掌握。

第十条信息系统密码在以下情况下，应做修改：
1．在规定的周期内，定期进行密码的变更；
2．用户怀疑系统被破坏、被非法登录或者密码被公开；
3．各信息系统内置的与用户无关的账户，在账户责任人调离本岗位时，调离人员必须注销用户，接替人员必须使用自己的账户密码，并检查系统中是否还存在其它同类用户；
4．业务系统用户在首次登陆系统时，必须及时更改密码。

第十一条业务系统权限管理员、应用系统服务器管理员、应用系统数据库管理员和我行网络服务器管理员因出差、休假等原因离开我行前，应将所掌握的系统账户名称、密码写在纸上，用信封密封后交给所在部门负责人。

以上管理员本人不在我行，而又需要使用系统时，使用人可向管理员所在部门负责人提出使用申请。

部门负责人认可后，可拆开账户密码信封，并登录系统。

信封拆封后，应注意密码的保密，不得泄露给其他人。

部门负责人应监督检查申请人使用情况，工作完成后，及时退出系统。

信息系统管理员回司后，检查账户密码信封，如果信封未拆封，应立即将其销毁；如果已被拆，管理员应立即更改密码，以保证系统及信息安全。

第四章附则
第十二条合规与风险管理部负责密码使用情况的监督与检查工作，发现违规情况，及时向部门负责人、风险总监报告，并督促违规人员纠正错误。

第十三条本管理办法由合规与风险管理部负责修订，文件解释权属于我行。

第十四条本办法自发布之日起实施。