取决于系统性质、数据类型和企业1

取决于系统性质、数据

）身份管理系统。

传统上对于每个独立资源、平台、应用系统或工作站，用户都有不

同的账户和密码。此方法要求用户管理多套密码和账户。具有企业用户

目录的组织可以在异构资源之间建立同步机制，以简化用户密码管理。

在这种情况下，用户只需一次性输入密码（通常是在登录工作站时），

之后所有身份验证和授权都通过引用企业用户目录来执行。实现此功能

的身份管理系统称为“单点登录”，从用户角度来看是最佳的。

2）电子邮件系统的用户ID标准。

在电子邮件域中，用户ID应当是唯一的。大多数公司使用一些名字

或首字母以及完整或部分姓氏作为电子邮件或网络ID，并使用数字来区

分冲突。姓氏通常为人所共知，在业务联系时更有用。

不鼓励使用包含系统员工ID号的电子邮件或网络ID，因为这些信息

通常在组织外部不可用，并且给潜在供给者提供了应该在系统内保密的

数据信息。

3）密码标准。

密码是保护数据访问的第一道防线。每一个用户账户都需要有一个

密码，由用户（账户所有者）自己设置。要求在安全标准中定义足够高

的密码级别，通常称为“强”密码。

在创建新用户账户时，生成的临时密码应设置为首次使用立即过

期，且后续访问必须由用户选择新密码，不得使用空白密码。

大多数安全专家建议用户每隔45～180天更改一次密码，具体更改频率取决于系统性质、数据类型和企业敏感程度。但是，更改密码过于

频繁也会带来风险，因为员工会在本子上记录新密码。

4）多因素识别。

有些系统需要额外的识别程序。这包括对包含代码的用户移动设备

的返回调用、用于登录所必需的硬件设备的使用或者诸如指纹、面部识

别或视网膜扫描的生物特征因素。双重因素识别使得进入账户或登录用

户设备更加困难，所有具有高度敏感信息权限的用户都应使用双重因素

识别技术登录网络。

（

4）电子通信安全

不安全的通信方式可被外部读取或拦截。为避免通过电子邮件或即

时通信应用发送个人信息或任何限制级/机密级公司信息，用户必须接

受安全培训。发送电子邮件后，用户将失去对其中信息的控制。它可以

在发件人不知情或没有同意的情况下被转发给其他人。

社交媒体也应被视为不安全的通信方式，包括博客、门户、Wiki、

论坛和其他互联网或局域网社交媒体，都不应包含机密或限制级信息。

12.数据安全制约因素

数据安全制约因素包括数据的保密等级和监管要求。

1）保密等级。保密意味着机密或私密。组织确定哪些类型的数据

不应泄露到组织外部，甚至不应为组织中某些部门所知道。机密信息仅

在“需要知道”的基础上共享。保密等级取决于谁需要知道某些类型的信

息。

2）监管要求。根据外部规则（如法律、条约、海关协定和行业法

规）分配监管类别。监管信息在“允许知道”的基础上共享。数据共享方

式受该法规明细条款的约束。

类型和企业