我覺得這要說到大多公司很多系統沒有規劃兩層或三層式架構
連AP跟DB主機分成不同台的概念都沒有
更何況後面的資安規劃困難重重
DB主機暴露在只有單一網段的環境
那在改密碼的效益也不是那麼高的

像我遇到的ERP，就算主機名有取AP跟DB
實際上根本各自獨立運作DB，很多廠商也都亂搞
從網路架構大多就開始爛了 後面救不回來

AWS Secret Manager 可以解決你這問題
可以根據你的需求設定多久 rotate 密碼
其他我就不知道了，還請知道的大大告訴我XD

https://aws.amazon.com/tw/blogs/security/how-to-use-aws-secrets-manager-rotate-credentials-amazon-rds-database-types-oracle/

個人經驗談，如果是只放在MIS可以控管到安全網域內的話根本不用去改它，MIS要負責管理，不管是用Vlan或公司域內的方式均可，因為一般的使用者根本就進不來這個域內。
最外層使用者的密碼，才適用這原則去要求。

如果是ISO稽核提問，就照你們自己訂定的ISO文件規定及實際執行狀況回答。

率先提出密碼相關規定建議的NIST，在2017年就取消了定期修改密碼這項建議。當然行之有年，互相抄來抄去的資安規章，何時有人敢去動這條規定，也不知道是什麼時候的事了。

可以參考NIST的文件SP 800-63：Digital Identity Guidelines。

ISO稽核就是看你程序書而已
把程序書改掉就沒事了

===治標不治本===
單純...只是要..達成"更新"..這個行為的話...
如果沒有卡控密碼重複的條件，單純只是為了符合稽核，
...直接變更成相同密碼，也是一種更新...至少密碼異動log時間變動呃..

以上真實事件...

真要解決，只能將用到密碼的config/server都開來換密碼，或是啟動重新架構的大工程..
祝您順利解決。