一、要求内容 

应建立密码使用管理制度，使用符合国家密码管理规定的密码技术和产品。 

二、实施建议 

建立密码使用制度，内容应当包括密码的设定要求（长度、复杂度）、修改要求（定期修改）、管理要求（分段管理、密码使用和修改的记录），以及对于特殊密码设备的管理，如令牌、密钥、生物识别设备等。 

三、常见问题 

某些公司没有建立密码管理的要求。 

四、实施难点 

无。 

五、测评方法 

形式 访谈，检查。 对象 安全管理员，密码管理制度。 

实施 

a) 应访谈安全管理员，询问密码算法和密钥的使用是否遵照国家密码管理规定； 

b) 应检查是否具有密码使用管理制度。 

六、参考资料 

《信息安全等级保护信息系统安全管理要求》中对密码安全管理的要求： 

5.5.5.7 密码管理要求 对密码管理，不同安全等级应有选择地满足以下要求的一项： 

a）密码算法和密钥管理：应按国家密码主管部门的规定，对信息系统中使用的密码算法和密钥进行管理；应按国家有关法律法规要求，对信息系统中包含密码的软、硬件信息处理模块的进、出口进行管理；应按国家密码主管部门的规定，对密码算法和密钥实施分等级管理。 

b）以密码为基础的安全机制的管理：在a）的基础上，应对信息系统中以密码为基础的安全机制实施分等级管理。