ISO27001标准|《用户标识与口令管理指南》

文章来源：宁夏华道咨询 编辑：宁夏华道咨询

1.目的
为了规范组织的用户标识与口令管理流程及相关要求，特制定本指南。
2.适当范围
用户标识与口令管理指南适用于组织ISO27000信息安全管理体系涉及的所有人员（含组织管理人员、普通员工、第三方人员，以下简称“全体员工”）。
3.术语和定义（略）
4.职责
4.1IT部门
a.是本指南的归口管理部门
b.负责本指南的修订、解释和说明及协调实施工作
4.2相关部门
贯彻执行本指南的相关指南。
5.用户标识相关策略
用户从系统管理员处获得的用户标识/口令、自身计算机的名称、IP地址等用户ID，均为用户在组织内独享专用的用户标识/口令。
登录Intranet及其他系统（例如OA系统）等，必须以个人用户标识来设定。不得私自变更个人用户标识/IP，非法使用他人的用户标识/IP，或者多人共用同一个用户标识/IP。
绝对禁止将个人用户标识/口令透露给其他人。
对于特殊情况必须的群组用户标识/口令，必须严格限定范围和权限使用，绝对禁止将群组用户标识/口令透露给限定范围外的人。
6.口令相关策略
6.1 创建口令的要求
当创建口令时，应选择难以猜测或难以被计算机破译的口令，具体要求如下：
a.所有口令长度必须等于或大于8个字符（如果系统允许的最大长度少于8个字符，使用最多的字符）；
b.所有口令应包含大小写字符，包含有数字和特殊符号
c.不得设置空口令或使用与用户标识相同的口令
d.不应直接使用组织硬件/软件/产品的名称、生日和诸如地址和电话号码的其他个人信息作为口令，除非伴有不相关的字符
e.不应直接选择简单的文件和数字形式或键盘顺序
f.不应选择任何以上所述形式简单的前置或后置1个或数个数字作为口令
g.用户不应创建循环口令或与其先前采用的口令相同的口令。坚决不能复用口令
6.2 对于重要服务器创建用户口令的要求
a.遵守本指南6.1“创建口令的要求”
b.必须等于或大于12个字符（如果系统允许的最大长度少于12个字符，使用最多的字符）
c.应选用在字典中找不到（英语或其他外国语言）的口令
d.应选用在任何语言的俚语、方言、行话中找不到的口令
6.3输入口令时的要求
在设定和输入口令时，用户应确定无人监视。
7 用户标识/口令管理
用户不应做出以下行为：
a.使用同一用户标识/口令访问组织网络系统。在可能的情况下，对各个系统使用不同的用户标识/口令
b.与任何人共享用户标识/口令
c.非授权向上司、同时以及家人透漏用户标识/口令。所有用户标识/口令应被当作“商密【中】”信息对待
d.通过电话或在电子邮件中透露用户标识/口令
e.在调查表或安全表格上透露用户标识/口令
f.无任何防护措施将用户标识/口令存储在计算机系统内
g.将用户标识/口令存储在诸如批处理文件的可读文件中
h.在他人面前讲述用户标识/口令
i.暗示用户标识/口令的形式
j.写下用户标识/口令并将其留在非授权人可以发现的地方
k.写下或以其他方式记录可识别的用户标识/口令，并将其放置在其相关的访问装置附近
8 口令的修改
用户应定期（一般为半年1次）修改口令。当发现有泄密的用户标识或口令时，用户必须立即报告相关的部门IT责任人，以便采取必要的处理步骤。

【返回 】