信息安全等级保护之管理要求→系统运维管理→密码管理

一、要求内容 

应建立密码使用管理制度,使用符合国家密码管理规定的密码技术和产品。 

二、实施建议 

建立密码使用制度,内容应当包括密码的设定要求(长度、复杂度)、修改要求(定期修改)、管理要求(分段管理、密码使用和修改的记录),以及对于特殊密码设备的管理,如令牌、密钥、生物识别设备等。 

三、常见问题 

某些公司没有建立密码管理的要求。 

四、实施难点 

无。 

五、测评方法 

形式 访谈,检查。 对象 安全管理员,密码管理制度。 

实施 

a) 应访谈安全管理员,询问密码算法和密钥的使用是否遵照国家密码管理规定; 

b) 应检查是否具有密码使用管理制度。 

六、参考资料 

《信息安全等级保护信息系统安全管理要求》中对密码安全管理的要求: 

5.5.5.7 密码管理要求 对密码管理,不同安全等级应有选择地满足以下要求的一项: 

a)密码算法和密钥管理:应按国家密码主管部门的规定,对信息系统中使用的密码算法和密钥进行管理;应按国家有关法律法规要求,对信息系统中包含密码的软、硬件信息处理模块的进、出口进行管理;应按国家密码主管部门的规定,对密码算法和密钥实施分等级管理。 

b)以密码为基础的安全机制的管理:在a)的基础上,应对信息系统中以密码为基础的安全机制实施分等级管理。

如若转载,请注明出处:http://www.codingwhy.com/view/325.html

联系我们

在线咨询: 点击这里给我发消息

邮件:731000228@qq.com