2023年信息系统权限管理制度1.pdf
《2023年信息系统权限管理制度1.pdf》由会员分享,可在线阅读,更多相关《2023年信息系统权限管理制度1.pdf(8页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、*有限公司 工作指导书 文件编号 WI-018 生效日期 2019.06.28 信息系统权限管理制度 修订状态 A0 页 码 第1页 共8页 1.0 目的 规范各种类型信息系统用户(业务用户、特权用户、第三方用户)的权限管理,规范权限开通、暂停、关闭流程,保证信息系统授权的合理性、准确性、权责对等,防止信息系统被非法访问或权限滥用。2.0 范围 所有公司信息系统流程的授权、权限暂停与恢复、关闭、权限审计管理。3.0 定义 3.1 业务用户:内部业务用户分两种。3.1.1 第一种是指进行业务操作的普通用户。3.1.2 第二种是指可对普通用户进行管理或具有系统部分模块、部分功能管理权限的关键用户。
2、3.2 特权用户:特权用户分三种。3.2.1 第一种是指可对所有用户进行授权管理的用户。3.2.2 第二种是指可对系统进行管理管理员用户。3.2.3 第三种是指可对信息系统进行信息安全审计的审计用户。3.3 第三方用户:第三方用户分两种。3.3.1 第一种是指需访问公司提供给第三方人员(如:供应商、客户等)信息系统的用户。3.3.2 第二种是指因临时性的业务需要,需访问公司信息系统的用户(如:外部开发顾问、咨询顾问、外部审计人员等)。4.0 职责 4.1 部门:负责提出权限开通、权限暂停和恢复、权限关闭申请;部门经理或更高级别管理人员负责权限业务需求审核。4.2 IT 工程师:负责按照本工作指
3、示建立信息系统权限管理电子化流程;负责从信息保密、业务连续性角度审核用户所申请权限的合理性、风险;负责对用户进行授权及相应管理。4.3 IT 部门管理人员:负责从信息安全角度审核用户所申请权限正当性、合理性、风险;负责对权限管理流程进行审计,审计内容包括信息系统权限的职责分离情况、权限审批流程合规性、授权准确性。4.4 信息安全小组:权限的审计。5.0 作业内容 5.1 权限审批流程建立 5.1.1 新系统上线前必须由项目经理在系统上建立对应的权限申请流程。5.1.2 对权限申请系统流程的新建、修改必须通过 IT 部审批。5.2 权限申请流程 5.2.1 内部业务用户权限申请流程说明 *有限公
4、司 工作指导书 文件编号 WI-018 生效日期 2019.06.28 信息系统权限管理制度 修订状态 A0 页 码 第2页 共8页 5.2.2 特权用户权限申请流程说明 步骤 工作事项 责任角色 说明 应用表单 01 提交申请 用户/部门文员 所有信息系统内部业务用户权限申请必须通过相应的系统申请流程,每个内部业务用户在一个信息系统中只能申请一个账号;必须遵循权限申请最小化原则,用户只能申请完成工作所需的权限,并需在权限申请流程中详细注明申请理由;权限申请流程各审批节点的设臵、所需内容的填写必须严格符合系统流程说明。02 需求审核 用户部门负责人 IT 人员/负责人 用户部门经理从业务角度审
5、核用户所申请权限的必要性;IT 人员从信息保密角度审核用户所申请权限正当性、合理性、风险。IT 负责人从信息保密、业务连续性角度审核用户所申请权限的合理性、风险。03 权限分配 授权专员 只有授权专员才有授权权限,不允许系统管理员进行授权操作;授权专员只对符合流程的权限申请进行授权,对不符合的申请有权驳回;授权专员根据各节点审批人的审核意见进行权限分配;授权专员将用户账号、初始口令通过短信交付给用户。04 记录台帐 授权专员 授权专员对所有用户授权进行台账记录 权限管理表 05 权限审计 信息安全小组 定期对信息系统内部业务用户权限进行审计;审计内容包括:岗位与业务权限对应表规则、权限审批流程
6、合规性、授权准确性。权限审核记录 *有限公司 工作指导书 文件编号 WI-018 生效日期 2019.06.28 信息系统权限管理制度 修订状态 A0 页 码 第3页 共8页 5.2.3 第三方用户权限申请流程说明 步骤 工作事项 责任角色 说明 应用 表单 01 提交申请 用户/部门文员 所有信息系统内部业务用户权限申请必须通过相应的系统申请流程,每个内部业务用户在一个信息系统中只能申请一个账号;必须遵循权限申请最小化原则,用户只能申请完成工作所需的权限,并需在权限申请流程中详细注明申请理由;权限申请流程各审批节点的设臵、所需内容的填写必须严格符合 系统 流程说明。02 需求审核 用户部门负
7、责人 IT 人员/负责人 用户部门经理从业务角度审核用户所申请 IT 权限的必要性;IT 人员从信息保密角度审核用户所申请权限正当性、合理性、风险。IT 负责人从信息保密、业务连续性角度审核用户所申请特权权限的合理性、风险。03 权限分配 授权专员 只有授权专员才有授权权限,不允许系统管理员进行授权操作;授权专员只对符合流程的权限申请进行授权,对不符合的申请有权驳回;授权专员根据各节点审批人的审核意见进行权限分配;授权专员将用户账号、初始口令通过短信交付给用户。04 记录台帐 授权专员 授权专员对所有特权用户授权进行台帐记录 权限管 理表 05 权限审计 信息安全小组 定期对 IT 特权进行审
8、计;审计内容包括:特权岗位与特权对应表规则、权限审批流程合规性、授权准确性 权限审 核记录 *有限公司 工作指导书 文件编号 WI-018 生效日期 2019.06.28 信息系统权限管理制度 修订状态 A0 页 码 第4页 共8页 5.3 权限暂停与恢复 5.3.1 IT权限暂停与恢复申请流程说明 步骤 工作事项 责任角色 说明 应用 表单 01 提交申请 用户/部门文员 所有的第三方人员访问公司信息系统都必由公司内部业务接口人代申请;且必须将第三方人员与公司签订的保密协议作为附件加入审批流程。必须遵循权限申请最小化原则,第三方用户只能申请完成工作所需的权限,不允许拥有特权,并需在权限申请流
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2023 信息系统 权限 管理制度
限制150内