ISO27001认证申请注意事项之密码管理策略有何要求？

密码不是“随便设个就行”，ISO27001里它可是安全守门员！

很多企业一听说ISO27001要管密码，第一反应是：“不就是要求8位、大小写+数字吗？”——真没那么简单。在ISO27001标准里，密码管理不是一道填空题，而是一套闭环的“人+流程+技术”协同机制。它盯的不是你设了什么密码，而是谁在用、怎么用、何时改、怎么管、出了问题怎么兜底。

别再让“123456”混进系统后台

ISO27001明确要求：默认密码必须首次登录时强制修改；密码长度不低于8位，且需包含大小写字母、数字及特殊字符中的至少三类；更重要的是——禁止复用历史密码（通常要求至少保留最近5次）。我们服务过一家电商客户，自查时发现运维账号还在用2年前的旧密码，系统也没做策略拦截。整改时不是简单改条规则，而是帮他们把密码策略嵌进AD域控+堡垒机双通道，一次生效，全网同步。

密码生命周期，比人的作息还规律

很多人忽略一点：密码不是设完就完事。ISO27001要求清晰定义“有效期”——比如普通用户90天强制更换，特权账号（如DBA、管理员）缩短至30天；同时必须有失效前7天主动提醒+到期自动锁定机制。更关键的是：员工离职或转岗当天，其所有系统密码权限必须同步冻结——不是HR发邮件后等IT手动处理，而是通过账号联动策略实时阻断。

真正的难点：管住“人”，而不是只盯“系统”

技术能拦住弱密码，但拦不住员工把密码写在便签贴显示器上。ISO27001特别强调“意识与培训”：新员工入职必学密码安全守则，每半年组织钓鱼邮件模拟测试（比如伪装成IT部发“密码重置链接”），结果直接纳入部门信息安全考核。九蚂蚁陪跑过的制造业客户，就把密码政策编成车间晨会3分钟口诀，连一线班组长都能脱口说出“密码不共享、不截图、不发微信”。

说到底，ISO27001里的密码管理，考的是你有没有把安全当成呼吸一样自然的习惯。它不苛求一步到位，但拒绝视而不见。如果你还在靠Excel表格记账号、靠口头提醒换密码——那不是合规，只是侥幸。