ISO27001:2013密码控制管理制度 下载本文

内容发布更新时间 : 2024/12/28 12:12:41星期一 下面是文章的全部内容请认真阅读。

XXXXXX软件有限公司 人性化科技提升业绩

密码控制管理制度

目 录

1. 目的和范围 .............................................................................................................................. 2 2. 引用文件 .................................................................................................................................. 2 3. 职责和权限 .............................................................................................................................. 2 4. 密码控制 .................................................................................................................................. 3

4.1. 4.2.

使用密码控制的策略 ................................................................................................. 3 密钥管理 ...................................................................................................................... 5

第 1 页 共 6 页

内部公开

【密码控制管理制度】 F4-B-研发服务体系-010-V1.0

1. 目的和范围

为确保安全成为所开发的信息系统一个有机组成部分,保证开发过程安全,特制定本制度。适用于本公司所有信息系统的开发活动,信息系统内在安全性的管理。本制度作为软件开发项目管理规定的补充,而不是作为软件开发项目管理的整体规范。

2. 引用文件

1) 下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用

文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。

2) GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理

体系要求

3) GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理

实施细则

3. 职责和权限

开发部门:确保适当和有效地使用密码技术以保护信息的保密性、真实性和(或)完整性。

第 2 页 共 6 页

内部公开

【密码控制管理制度】 F4-B-研发服务体系-010-V1.0

4. 密码控制

4.1. 使用密码控制的策略

1) 控制描述

应开发和实施使用密码控制措施来保护信息的策略。 2) 实施指南

制定密码策略时,应考虑下列(但不仅限于)内容:

? 组织间使用密码控制的管理方法,包括保护业务信息的一般原则; ? 使用加密技术保护通过可移动介质、设备或者通过通信线路传输的敏感信

息;

? 基于风险评估,应确定需要的保护级别,并考虑需要的加密算法的类型、

强度和质量;

? 加密可能带来不利影响。由于某些控制措施依赖于内容检查(例如病毒检

测等),要求数据处于未加密状态。

3) 用户口令管理

a. 初始密码在创建用户时设定,初次登录时操作系统或者管理员必须强制修

改密码,不能使用缺省设置的密码。

b. 用户忘记口令时,管理员必须在对该用户进行适当的身份识别后才能向其

提供临时口令。

c. 在向用户提供临时口令时,必须采用加密或其他安全传输途径,以确保初

始密码不会被中途截取。

d. 不允许在计算机系统上以无保护的形式存储口令。

第 3 页 共 6 页

内部公开