一、总则

1、为规范牡丹江医学院信息系统帐号口令管理，保障各系统安全运行，特制订此制度。

2、本制度适用于牡丹江医学院。

二、密码使用管理

1、员工应了解进行有效访问控制的责任，特别是密码使用和员工设备安全的责任。

2、员工应保证密码安全，不得向其他任何人泄漏。对于泄漏密码向造成的损失，由员工本人负责。

3、不要共享个人密码。

4、应避免在纸上记录密码，或以明文方式记录计算机内。

5、不要在任何自动登录程序中使用密码，如在宏或功能键中存储。

6、用户忘记密码时，管理员必须在对该用户进行适当的身份识别后才能向其提供临时密码。

7、常规情况下，用户至少每三个月更改一次密码，避免再次使用旧密码或循环使用旧密码。

8、允许用户选择和变更自己的密码，并且包括确认程序，以便考虑到输入出错的情况。

9、 当正在录入时，在屏幕上不显示密码。

三、密码使用要求

1、密码应由不少于8位的大小写字母、数字以及标点符号等字符组成。帐号口令必须是在必要时间或次数内不循环使用,

2、密码应在三个月内至少更换一次，对重要设备和系统可采用一次性口令方式进行认证。

3、密码设置不得使用最近5次以内重复的口令；密码重复尝试5次以后应暂停该帐号登录。

4、机密级计算机设置的密码长度不得少于10个字符，密码更换周期不得超过一星期。

5、涉密计算机需要分别设置BIOS、操作系统开机登录和屏幕保护三个密码。

6、各级密码保管落实到人，密码所有人须妥善保存，各级密码不得以任何形式明文存放于可公共访问的设备中。

7、采取有效措施，保证用户密码在传输和存储时的安全，例如对密码进行加密传输和保存。

8、以下情况时相关密码必须立即更改并做好记录：

a)掌握密码的网络管理人员离开岗位；

b)工程施工、厂商维护完成；

c)因工作需要，由相关厂家或第三方公司使用了登陆帐号及密码后；

d)一旦有迹象表明密码可能被泄露。

9、当发生以下情况时，系统或帐号管理人员应立即取消该帐号或更改密码，并做好记录：

a)帐号使用者已经离开岗位；

b)帐号使用者由于工作的变动不再需要访问权限；

c)帐号使用者违背了有关密码管理规定；

d)发生其他情况，由上级主管人员认为不应再具有访问权限的。

10、系统管理员修改帐号密码时，应提前（或同时）通知帐号使用人，以免影响其正常使用。

11、系统的超级管理员帐号的密码属于系统最高机密，应该严格限定使用范围；其他人员确因工作需要而使用超级管理员帐号和密码的，应遵守“帐号管理”中，有关超级管理员帐号的管理规定。

12、用户应对系统中的帐户密码应进行定期核实，对不符合要求的及时进行整改。

13、第三方人员使用系统账号权限时，同样需要遵守“最小权限原则”。

14、密码的保存，计算机设置的用户密码必须由使用人自行保存，若因工作需要必须转告，需请示本单位负责人认可。

15、机密级计算机设置的用户密码须登记造册，并将密码本存放于保密柜内，由本单位负责人管理。

四、附则

1、本制度的解释权归牡丹江医学院。

2、本制度自发布之日起生效。