第一章 總則
第一條 為規(guī)范天津醫(yī)科大學(xué)信息系統(tǒng)(以下簡稱“信息系統(tǒng)”)帳號口令管理��,保障信息系統(tǒng)安全運(yùn)行��,特制訂此制度。
第二條 本制度適用于天津醫(yī)科大學(xué)及其指定的信息系統(tǒng)運(yùn)維單位�。
第二章 密碼使用管理
第三條 系統(tǒng)運(yùn)維人員應(yīng)了解進(jìn)行有效訪問控制的責(zé)任,特別是密碼使用安全的責(zé)任���。
第四條 系統(tǒng)運(yùn)維人員應(yīng)保證密碼安全��,不得向其他任何人泄漏密碼��,對于因泄漏密碼而造成的信息系統(tǒng)的損失���,由運(yùn)維人員本人負(fù)責(zé)。
第五條 不要共享個人密碼。
第六條 應(yīng)避免在紙上記錄密碼��,或避免將密碼以明文方式記錄計算機(jī)內(nèi)�����。
第七條 不要在任何自動登錄程序中使用密碼�����,如在宏或功能鍵中存儲���。
第八條 用戶忘記密碼時,系統(tǒng)管理員必須在對該用戶進(jìn)行適當(dāng)?shù)纳矸葑R別后才能將其密碼恢復(fù)至默認(rèn)�����,并通知用戶及時修改默認(rèn)密碼��。
第九條 常規(guī)情況下����,用戶至少應(yīng)每隔90天更改一次密碼,避免再次使用舊密碼或循環(huán)使用舊密碼�����。
第十條 允許用戶選擇和變更他們自己的密碼,并且包括確認(rèn)程序����,以便考慮到輸入出錯的情況。
第十一條 密碼錄入時�,在屏幕上應(yīng)不顯示明文。
第三章 密碼使用要求
第十二條 密碼應(yīng)在90天內(nèi)至少更換一次��,包括網(wǎng)絡(luò)設(shè)備用戶密碼����、操作系統(tǒng)用戶密碼、數(shù)據(jù)庫用戶密碼和應(yīng)用程序用戶密碼等��。
第十三條 密碼設(shè)置規(guī)則應(yīng)符合以下安全強(qiáng)度的要求:
(一)不包含全部或部分用戶名(任意連續(xù)3個字符)���;
(二)長度至少為8個字符�;
(三)至少包含英文大寫字母�����、小寫字母�����、數(shù)字和特殊字符這4種類型字符中的3種字符。
第十四條 密碼設(shè)置不得使用最近5次以內(nèi)重復(fù)的口令����;密碼重復(fù)嘗試5次以后應(yīng)暫停該帳號登錄。
第十五條 各級密碼保管落實(shí)到人��,密碼所有人須妥善保存���,各級密碼不得以任何形式明文存放于可公共訪問的設(shè)備中���。
第十六條 采取有效措施,保證用戶密碼在傳輸和存儲時的安全���,例如對密碼進(jìn)行加密傳輸和保存。
第十七條 及時更改系統(tǒng)或者應(yīng)用的默認(rèn)廠商口令��。
第十八條 當(dāng)出現(xiàn)以下情況時����,必須立即更改密碼并做好相關(guān)記錄:
(一)掌握密碼的網(wǎng)絡(luò)管理人員離開崗位;
(二)因工作需要���,由相關(guān)廠家或第三方公司人員使用過的帳號及密碼�;
(三)一旦有跡象表明密碼可能被泄露。
第十九條 當(dāng)發(fā)生以下情況時�����,系統(tǒng)管理員應(yīng)立即取消帳號或修改賬號的相應(yīng)權(quán)限���,并做好相關(guān)記錄:
(一)帳號使用者已經(jīng)離職���;
(二)帳號使用者由于工作的變動不再需要訪問權(quán)限;
(三)由于工作需要開通的臨時帳號已到期
(四)帳號使用者違背了有關(guān)密碼管理規(guī)定�����;
(五)發(fā)生其他情況�����,上級主管人員認(rèn)為不應(yīng)再具有訪問權(quán)限的���;
第二十條 系統(tǒng)管理員修改帳號密碼時���,應(yīng)提前(或同時)通知帳號使用人�,以免影響其正常使用���。
第二十一條 網(wǎng)絡(luò)設(shè)備����、操作系統(tǒng)���、數(shù)據(jù)庫和應(yīng)用程序的超級管理員帳號的密碼屬于系統(tǒng)最高機(jī)密�����,應(yīng)該嚴(yán)格限定使用范圍�����,并要紙質(zhì)密封交專人保管����。
第二十二條 由于工作需要���,給第三方人員開通的臨時帳號同樣需要遵守“最小權(quán)限原則”。
第四章 附則
第二十三條 本制度由網(wǎng)信辦制定�,并負(fù)責(zé)解釋和修訂��。由學(xué)校網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組討論通過�����,發(fā)布執(zhí)行�。
第二十四條 本制度自發(fā)布之日起生效�����。
天津醫(yī)科大學(xué)網(wǎng)絡(luò)安全和信息化辦公室
2021年 9 月 22 日
