ISO27001：2013密码控制管理制度.pdfVIP

XXXXXX 软件有限公司 人性化科技提升业绩 密码控制管理制度 目 录 1. 目的和范围 2 2. 引用文件 2 3. 职责和权限 2 4. 密码控制 3 4.1. 使用密码控制的策略 3 4.2. 密钥管理 5 第 1 页 共 6 页 内部公开 【密码控制管理制度】 F4-B- 研发服务体系 -010-V1.0 1. 目的和范围 为确保安全成为所开发的信息系统一个有机组成部分，保证开发过程安全，特制 定本制度。适用于本公司所有信息系统的开发活动，信息系统内在安全性的管理。本 制度作为软件开发项目管理规定的补充，而不是作为软件开发项目管理的整体规范。 2. 引用文件 1) 下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用 文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标 准，然而，鼓励各部门研究是否可使用这些文件的必威体育精装版版本。凡是不注日期 的引用文件，其必威体育精装版版本适用于本标准。 2) GB/T 22080-2016/ISO/IEC 27001:2013 信息技术 - 安全技术 - 信息安全管理 体系要求 3) GB/T 22081-2016/ISO/IEC 27002:2013 信息技术 - 安全技术 - 信息安全管理 实施细则 3. 职责和权限 开发部门：确保适当和有效地使用密码技术以保护信息的必威体育官网网址性、真实性和 （或）完整性。 第 2 页 共 6 页 内部公开 【密码控制管理制度】 F4-B- 研发服务体系 -010-V1.0 4. 密码控制 4.1. 使用密码控制的策略 1) 控制描述 应开发和实施使用密码控制措施来保护信息的策略。 2) 实施指南 制定密码策略时，应考虑下列（但不仅限于）内容： 组织间使用密码控制的管理方法，包括保护业务信息的一般原则； 使用加密技术保护通过可移动介质、设备或者通过通信线路传输的敏感信 息； 基于风险评估，应确定需要的保护级别，并考虑需要的加密算法的类型、 强度和质量； 加密可能带来不利影响。由于某些控制措施依赖于内容检查（例如病毒检 测等），要求数据处于未加密状态。 3) 用户口令管理 a. 初始密码在创建用户时设定，初次登录时操作系统或者管理员必须强制修 改密码，不能使用缺省设置的密码。 b. 用户忘记口令时，管理员必须在对该用户进行适当的身份识别后才能向其 提供临时口令。 c. 在向用户提供临时口令时，必须采用加密或其他安全传输途径，以确保初 始密码不会被中途截取。 d. 不允许在计算机系统上以无保护的形式存储口令。 第 3 页 共 6 页 内部公开