权限密码管理制度
1.总则
1.1. 为确保厂信息系统安全稳定运行，特制订此管理制度。

2. 服务器、网络设备口令管理
2.1 重要信息系统服务器的账户及口令，由部门负责人和系统管理员商议确定，必须两人同时在场设定。

2.2 网络安全设备的账户及口令密码须部门负责人在场时由网络安全管理员记录封存。

2.3 密码及口令要定期更换（视网络具体情况），更换后系统管理员要销毁原记录，将新密码或口令记录封存（方式同2.2）。

2.4 如发现密码及口令有泄密迹象，系统管理员要立刻报告部门负责人，经批示后再更换口令。

3. 用户帐号及口令的管理
3.1 在选择和使用口令时用户应遵守良好的安全习惯。

口令提供了确认用户身份的手段，因此，要建立访问信息处理设施和服务的权利。

建议所有用户：
3.1.1 保密口令；
3.1.2 避免保留口令的纸记录，除非可以安全的保存；
3.1.3 每当有任何迹象表明系统或口令可能受到损害时就变更口令；
3.1.4 设置口令应按照集团公司口令设置规范的要求，选择优质口令，这些口令：
3.1.
4.1 要易于记忆；
3.1.
4.2 不能基于别人可能易于猜出或获得的与使用人相关的信息，例如，名字、电话号码和生日等等；
3.1.
4.3 避免连续的相同的字符或全数字或全字母组；
3.1.5 定期或以访问次数为基础变更口令（有特权的账户用的口令应比常规口令更频繁地予以变更），并且避免重新使用旧的口令或周期性使用旧的口令；
3.1.6 在初次登陆时更换临时口令；
3.1.7 在任何自动登陆过程（例如，以宏或功能键存储）中，不要包含口令；
3.1.8 个人的用户口令不要共享；
如果用户需要访问多服务或平台，并且要求维护多个口令，则应建议他们可以使用一个优质的口令（见上述3.1.4）用于所有服务，而这些服务对所存储的口令提供了合理级别的保护。

3.2 口令是确认用户访问计算机服务权限的主要手段之一。

口令管理系统应提供有效的、交互式的、确保优质口令的装置（关于口令使用的指南见3.1）。

某些应用要求由某个独立机构分配的用户口令。

在大多数情
况下，口令由用户选择和维护。

良好的口令管理系统应：
3.2.1 强制使用个人口令，以维护可核查性；
3.2.2 若合适，允许用户选择和变更他们自己的口令，并且包括证实规程，以便考虑到输入出错的情况；
3.2.3 强制选择3.1中描述的优质口令；
3.2.4 若用户维护他们自己的口令，则强制口令按3.1描述进行变更；
3.2.5 若用户选择口令，则在第一次登陆时强制他们变更临时的口令；
3.2.6 维护一份先前用户口令的记录，例如在先前12个月内，并且防止重复使用；
3.2.7 当正在录入时，在屏幕上不显示口令；
3.2.8 分开存储口令文件和应用系统数据；
3.2.9 用单项加密算法的加密形式存储口令；
3.2.10 在软件安装之后，变更默认的厂商口令。

4. 附则
4.1 本管理办法自发布之日起执行。