**有限公司工作指导书文件编号WI-018生效日期2019.06.28信息系统权限管理制度修订状态A0页码第1页共8页1.0目的规范各种类型信息系统用户(业务用户、特权用户、第三方用户)的权限管理,规范权限开通、暂停、关闭流程,保证信息系统授权的合理性、准确性、权责对等,防止信息系统被非法访问或权限滥用。2.0范围所有公司信息系统流程的授权、权限暂停与恢复、关闭、权限审计管理。3.0定义3.1业务用户:内部业务用户分两种。3.1.1第一种是指进行业务操作的普通用户。3.1.2第二种是指可对普通用户进行管理或具有系统部分模块、部分功能管理权限的关键用户。3.2特权用户:特权用户分三种。3.2.1第一种是指可对所有用户进行授权管理的用户。3.2.2第二种是指可对系统进行管理管理员用户。3.2.3第三种是指可对信息系统进行信息安全审计的审计用户。3.3第三方用户:第三方用户分两种。3.3.1第一种是指需访问公司提供给第三方人员(如:供应商、客户等)信息系统的用户。3.3.2第二种是指因临时性的业务需要,需访问公司信息系统的用户(如:外部开发顾问、咨询顾问、外部审计人员等)。4.0职责4.1部门:负责提出权限开通、权限暂停和恢复、权限关闭申请;部门经理或更高级别管理人员负责权限业务需求审核。4.2IT工程师:负责按照本工作指示建立信息系统权限管理电子化流程;负责从信息保密、业务连续性角度审核用户所申请权限的合理性、风险;负责对用户进行授权及相应管理。4.3IT部门管理人员:负责从信息安全角度审核用户所申请权限正当性、合理性、风险;负责对权限管理流程进行审计,审计内容包括信息系统权限的职责分离情况、权限审批流程合规性、授权准确性。4.4信息安全小组:权限的审计。5.0作业内容5.1权限审批流程建立5.1.1新系统上线前必须由项目经理在系统上建立对应的权限申请流程。5.1.2对权限申请系统流程的新建、修改必须通过IT部审批。5.2权限申请流程5.2.1内部业务用户权限申请流程说明**有限公司工作指导书文件编号WI-018生效日期2019.06.28信息系统权限管理制度修订状态A0页码第2页共8页5.2.2特权用户权限申请流程说明步骤工作事项责任角色说明应用表单01提交申请用户/部门文员所有信息系统内部业务用户权限申请必须通过相应的系统申请流程,每个内部业务用户在一个信息系统中只能申请一个账号;必须遵循权限申请最小化原则,用户只能申请完成工作所需的权限,并需在权限申请流程中详细注明申请理由;权限申请流程各审批节点的设臵、所需内容的填写必须严格符合系统流程说明。02需求审核用户部门负责人IT人员/负责人用户部门经理从业务角度审核用户所申请权限的必要性;IT人员从信息保密角度审核用户所申请权限正当性、合理性、风险。IT负责人从信息保密、业务连续性角度审核用户所申请权限的合理性、风险。03权限分配授权专员只有授权专员才有授权权限,不允许系统管理员进行授权操作;授权专员只对符合流程的权限申请进行授权,对不符合的申请有权驳回;授权专员根据各节点审批人的审核意见进行权限分配;授权专员将用户账号、初始口令通过短信交付给用户。04记录台帐授权专员授权专员对所有用户授权进行台账记录权限管理表05权限审计信息安全小组定期对信息系统内部业务用户权限进行审计;审计内容包括:岗位与业务权限对应表规则、权限审批流程合规性、授权准确性。权限审核记录**有限公司工作指导书文件编号WI-018生效日期2019.06.28信息系统权限管理制度修订状态A0页码第3页共8页5.2.3第三方用户权限申请流程说明步骤工作事项责任角色说明应用表单01提交申请用户/部门文员所有信息系统内部业务用户权限申请必须通过相应的系统申请流程,每个内部业务用户在一个信息系统中只能申请一个账号;必须遵循权限申请最小化原则,用户只能申请完成工作所需的权限,并需在权限申请流程中详细注明申请理由;权限申请流程各审批节点的设臵、所需内容的填写必须严格符合系统流程说明。02需求审核用户部门负责人IT人员/负责人用户部门经理从业务角度审核用户所申请IT权限的必要性;IT人员从信息保密角度审核用户所申请权限正当性、合理性、风险。IT负责人从信息保密、业务连续性...
