2023年信息系统权限管理制度1.pdf

*有限公司 工作指导书 文件编号 WI-018 生效日期 2019.06.28 信息系统权限管理制度 修订状态 A0 页 码 第1页 共8页 1.0 目的 规范各种类型信息系统用户（业务用户、特权用户、第三方用户）的权限管理，规范权限开通、暂停、关闭流程，保证信息系统授权的合理性、准确性、权责对等，防止信息系统被非法访问或权限滥用。2.0 范围 所有公司信息系统流程的授权、权限暂停与恢复、关闭、权限审计管理。3.0 定义 3.1 业务用户：内部业务用户分两种。3.1.1 第一种是指进行业务操作的普通用户。3.1.2 第二种是指可对普通用户进行管理或具有系统部分模块、部分功能管理权限的关键用户。3.2 特权用户：特权用户分三种。3.2.1 第一种是指可对所有用户进行授权管理的用户。3.2.2 第二种是指可对系统进行管理管理员用户。3.2.3 第三种是指可对信息系统进行信息安全审计的审计用户。3.3 第三方用户：第三方用户分两种。3.3.1 第一种是指需访问公司提供给第三方人员（如：供应商、客户等）信息系统的用户。3.3.2 第二种是指因临时性的业务需要，需访问公司信息系统的用户（如：外部开发顾问、咨询顾问、外部审计人员等）。4.0 职责 4.1 部门：负责提出权限开通、权限暂停和恢复、权限关闭申请；部门经理或更高级别管理人员负责权限业务需求审核。4.2 IT 工程师：负责按照本工作指示建立信息系统权限管理电子化流程；负责从信息保密、业务连续性角度审核用户所申请权限的合理性、风险；负责对用户进行授权及相应管理。4.3 IT 部门管理人员：负责从信息安全角度审核用户所申请权限正当性、合理性、风险；负责对权限管理流程进行审计，审计内容包括信息系统权限的职责分离情况、权限审批流程合规性、授权准确性。4.4 信息安全小组：权限的审计。5.0 作业内容 5.1 权限审批流程建立 5.1.1 新系统上线前必须由项目经理在系统上建立对应的权限申请流程。5.1.2 对权限申请系统流程的新建、修改必须通过 IT 部审批。5.2 权限申请流程 5.2.1 内部业务用户权限申请流程说明 *有限公司 工作指导书 文件编号 WI-018 生效日期 2019.06.28 信息系统权限管理制度 修订状态 A0 页 码 第2页 共8页 5.2.2 特权用户权限申请流程说明 步骤 工作事项 责任角色 说明 应用表单 01 提交申请 用户/部门文员 所有信息系统内部业务用户权限申请必须通过相应的系统申请流程，每个内部业务用户在一个信息系统中只能申请一个账号；必须遵循权限申请最小化原则，用户只能申请完成工作所需的权限，并需在权限申请流程中详细注明申请理由；权限申请流程各审批节点的设臵、所需内容的填写必须严格符合系统流程说明。02 需求审核 用户部门负责人 IT 人员/负责人 用户部门经理从业务角度审核用户所申请权限的必要性；IT 人员从信息保密角度审核用户所申请权限正当性、合理性、风险。IT 负责人从信息保密、业务连续性角度审核用户所申请权限的合理性、风险。03 权限分配 授权专员 只有授权专员才有授权权限，不允许系统管理员进行授权操作；授权专员只对符合流程的权限申请进行授权，对不符合的申请有权驳回；授权专员根据各节点审批人的审核意见进行权限分配；授权专员将用户账号、初始口令通过短信交付给用户。04 记录台帐 授权专员 授权专员对所有用户授权进行台账记录 权限管理表 05 权限审计 信息安全小组 定期对信息系统内部业务用户权限进行审计；审计内容包括：岗位与业务权限对应表规则、权限审批流程合规性、授权准确性。权限审核记录 *有限公司 工作指导书 文件编号 WI-018 生效日期 2019.06.28 信息系统权限管理制度 修订状态 A0 页 码 第3页 共8页 5.2.3 第三方用户权限申请流程说明 步骤 工作事项 责任角色 说明 应用 表单 01 提交申请 用户/部门文员 所有信息系统内部业务用户权限申请必须通过相应的系统申请流程，每个内部业务用户在一个信息系统中只能申请一个账号；必须遵循权限申请最小化原则，用户只能申请完成工作所需的权限，并需在权限申请流程中详细注明申请理由；权限申请流程各审批节点的设臵、所需内容的填写必须严格符合 系统 流程说明。02 需求审核 用户部门负责人 IT 人员/负责人 用户部门经理从业务角度审核用户所申请 IT 权限的必要性；IT 人员从信息保密角度审核用户所申请权限正当性、合理性、风险。IT 负责人从信息保密、业务连续性角度审核用户所申请特权权限的合理性、风险。03 权限分配 授权专员 只有授权专员才有授权权限，不允许系统管理员进行授权操作；授权专员只对符合流程的权限申请进行授权，对不符合的申请有权驳回；授权专员根据各节点审批人的审核意见进行权限分配；授权专员将用户账号、初始口令通过短信交付给用户。04 记录台帐 授权专员 授权专员对所有特权用户授权进行台帐记录 权限管 理表 05 权限审计 信息安全小组 定期对 IT 特权进行审计；审计内容包括：特权岗位与特权对应表规则、权限审批流程合规性、授权准确性 权限审 核记录 *有限公司 工作指导书 文件编号 WI-018 生效日期 2019.06.28 信息系统权限管理制度 修订状态 A0 页 码 第4页 共8页 5.3 权限暂停与恢复 5.3.1 IT权限暂停与恢复申请流程说明 步骤 工作事项 责任角色 说明 应用 表单 01 提交申请 用户/部门文员 所有的第三方人员访问公司信息系统都必由公司内部业务接口人代申请；且必须将第三方人员与公司签订的保密协议作为附件加入审批流程。必须遵循权限申请最小化原则，第三方用户只能申请完成工作所需的权限，不允许拥有特权，并需在权限申请流程中详细注明申请理由；权限申请流程各审批节点的设臵、所需内容的填写必须严格符合 系统 流程说明。02 需求审核 用户部门负责人 IT 人员/负责人 用户部门经理从业务角度审核用户所申请第三方权限的必要性；IT 人员从信息保密角度审核申请第三方权限正当性、合理性、风险。IT 负责人从信息保密、业务连续性角度审核用户所申请特权权限的合理性、风险。03 权限分配 授权专员 只有授权专员才有授权权限，不允许系统管理员进行授权操作；授权专员只对符合流程的权限申请进行授权，对不符合的申请有权驳回；授权专员根据各节点审批人的审核意见进行权限分配；授权专员将用户账号、初始口令通过短信交付给用户。04 记录台帐 授权专员 授权专员对所有第三方用户授权进行台帐记录 权限管 理表 05 权限审计 信息安全小组 定期对第三方权限进行审计；审计内容包括：第三方岗位与特权对应表规则、权限审批流程合规性、授权准确性 权限审 核记录 *有限公司 工作指导书 文件编号 WI-018 生效日期 2019.06.28 信息系统权限管理制度 修订状态 A0 页 码 第5页 共8页 5.4 权限关闭 5.4.1 权限关闭流程说明 步骤 工作事项 责任角色 说明 应用 表单 01 提交申请 用户、部门文员 用户请事、病假超过 10 天，或旷工 1 日以上，或是其他原因暂时离司，由用户本人或部门文员提交 系统流程暂停 IT 权限申请；返司当日，由部门文员提交系统流程恢复 IT 权限；系统流程中需注明要暂停或恢复 IT 权限的系统及账号。02 需求审核 用 户 部 门 负责人 用户部门经理审核暂停、恢复系统权限的必要性。03 权限分配 授权专员 只允许授权专员进行 IT 权限暂停与恢复操作，不允许系统管理员进行该操作；授权专员根据各节点审批人的审核意见对用户 IT 权限进行暂停或恢复；授权专员只对符合流程的 IT 权限暂停或恢复申请进行处理，对不符合的申请进行驳回；授权专员将 IT 权限恢复后的初始口令通过短信方式发送给内部业务用户 04 记录台帐 授权专员 授权专员对所有 IT 权限的暂停与恢复进行台帐记录 权限管 理表 05 权限审计 信息安全小组 定期对暂时离司人员的 IT 权限进行审计看是否已经暂停。权限审 核记录 *有限公司 工作指导书 文件编号 WI-018 生效日期 2019.06.28 信息系统权限管理制度 修订状态 A0 页 码 第6页 共8页 5.5 六类 IT 公共权限开通规则如下，如在范围外，需征得部门负责人的同意。步骤 工作事项 责任角色 说明 应用 表单 01 提交申请 用户、部门文员 对于内部用户，离司、转岗时提交权限关闭系统流 程申请，并向 IT 提供其所有的 IT 系统账号，否则不得离司；第三方业务用户权限到期或与公司终止业务关系，由公司内部业务接口人提交权限关闭系统流程申请 02 权限关闭 授权专员 授权专员收到 IT 权限关闭系统流程申请后，需立即对用户权限进行关闭 04 记录台帐 授权专员 授权专员对所有 IT 权限关闭进行台帐记录 权限管 理表 05 权限审计 信息安全小组 定期对离司人员的 IT 权限进行审计看是否已经关闭 权限审 核记录 序号 权限名称 权限开通规则 1 互联网 申请范围 1.经理、总监及以上领导（默认开通）2.财务网银用户 3.人力资源招聘人员 4.市场调研人员、市场开发人员 5.供应商开发人员、产品询价人员 6.企业文化宣传人员 7.外聘专家、顾问（由业务部门协助申请）范围内审批人员 由部门经理、IT 负责人审批开通 2 邮件外发 申请范围 1.总监及以上领导（默认开通）2.经理（需部门总监审批）3.营销、客服人员 4.客户项目直接参与沟通人员 5.人力资源招聘人员 6.供应商开发人员、产品询价人员 范围内审批人员 由部门经理、IT 负责人审批开通 *有限公司 工作指导书 文件编号 WI-018 生效日期 2019.06.28 信息系统权限管理制度 修订状态 A0 页 码 第7页 共8页 5.6 其他规定 5.6.1 公司未经批准，不允许使用拨号设备来传输数据。拨号设备包括：用电话线的 Modem，用手机无线网络的智能手机、平板电脑等。5.6.2 凡是接入公司的内部网络，包括宽带的 LAN 和内部无线，都需要满足准入的要求。5.6.3 公司网络分为内部网络和外部网络，一般情况下客户只能使用外部无线路由上网。5.6.4 公司的所有移动设备（如笔记本电脑，台式电脑、终端机）都纳入网络管理中，不能同时接通内部网络和外部网络。3 USB 申请范围 1.总监及以上领导（默认开通）2.经理（需部门总监审批）3.USB 加密狗、网银用户 4.设备调试、软件编程用户 5.需要 USB 传送文件的用户 6.需接打印机、扫描仪 7.其他 USB 通信设备用户 范围内审批人员 由部门经理、IT 经理审批开通 4 VPN 申请范围 1.海外 VP长期深圳出差、总监及以上领导（默认开通）2.经理（需部门总监审批）3.长期出差且需访问 AX、SAP 等核心生产及 商务核心系统的人员 范围内审批人员 由部门经理、IT 负责人审批开通 5 即时通讯 申请范围 1.总监及以上领导（默认开通）2.经理（需部门总监审批）3.人力资源招聘人员 4.市场调研人员、市场开发人员 5.供应商开发人员、产品询价人 6.企业文化宣传人员 7.外聘专家、顾问（由业务部门协助申请）范围内审批人员 由部门经理、IT 负责人审批开通 6 信息系统 申请范围 权限申请：需求人员通过邮件/电话等快速方式提出申请，经过 IT 人员/负责人授权后，由 IT 进行此项权限的操作；权限关闭：由 IT 立即回收权限并归档；权限审计：信息安全小组定期审计并单独出具报告给经 理审阅。*有限公司 工作指导书 文件编号 WI-018 生效日期 2019.06.28 信息系统权限管理制度 修订状态 A0 页 码 第8页 共8页 6.0 相关文件 无 7.0 相关表单 7.1 权限管理表 7.2 权限审核记录