正在进行安全检测...
时间:2023-11-18 00:00:20 下载该word文档
>>>>>**有限公司文件编号工作指导书生效日期修订状态页码2019.06.28A0WI-018信息系统权限管理制度1.0目的第1页共8页>>>>>规范各种类型信息系统用户(业务用户、特权用户、第三方用户)的权限管理,规范权限开通、暂停、关闭流程,保证信息系统授权的合理性、准确性、权责对等,防止信息系统被非法访问或权限滥用。2.0范围所有公司信息系统流程的授权、权限暂停与恢复、关闭、权限审计管理。3.0定义3.1业务用户:内部业务用户分两种。3.1.1第一种是指进行业务操作的普通用户。3.1.2第二种是指可对普通用户进行管理或具有系统部分模块、部分功能管理权限的关键用户。3.2特权用户:特权用户分三种。3.2.1第一种是指可对所有用户进行授权管理的用户。3.2.2第二种是指可对系统进行管理管理员用户。3.2.3第三种是指可对信息系统进行信息安全审计的审计用户。3.3第三方用户:第三方用户分两种。3.3.1第一种是指需访问公司提供给第三方人员(如:供应商、客户等)信息系统的用户。3.3.2第二种是指因临时性的业务需要,需访问公司信息系统的用户(如:外部开发顾问、咨询顾问、外部审计人员等)。4.0职责4.1部门:负责提出权限开通、权限暂停和恢复、权限关闭申请;部门经理或更高级别管理人员负责权限业务需求审核。4.2IT工程师:负责按照本工作指示建立信息系统权限管理电子化流程;负责从信息保密、业务连续性角度审核用户所申请权限的合理性、风险;负责对用户进行授权及相应管理。4.3IT部门管理人员:负责从信息安全角度审核用户所申请权限正当性、合理性、风险;负责对权限管理流程进行审计,审计内容包括信息系统权限的职责分离情况、权限审批流程合规性、授权准确性。4.4信息安全小组:权限的审计。5.0作业内容5.1权限审批流程建立5.1.1新系统上线前必须由项目经理在系统上建立对应的权限申请流程。5.1.2对权限申请系统流程的新建、修改必须通过IT部审批。5.2权限申请流程5.2.1内部业务用户权限申请流程说明
>>>>>**有限公司文件编号工作指导书生效日期修订状态页码2019.06.28A0WI-018信息系统权限管理制度步骤工作事项01提交申请责任角色用户/部门文员说明第2页共8页>>>>>应用表单所有信息系统内部业务用户权限申请必须通过相应的系统申请流程,每个内部业务用户在一个信息系统中只能申请一个账号;必须遵循权限申请最小化原则,用户只能申请完成工作所需的权限,并需在权限申请流程中详细注明申请理由;权限申请流程各审批节点的设臵、所需内容的填写必须严格符合系统流程说明。02需求审核用户部门负责人用户部门经理从业务角度审核用户所申请权限的必要性;IT人员/负责人IT人员从信息保密角度审核用户所申请权限正当性、合理性、风险。IT负责人从信息保密、业务连续性角度审核用户所申请权限的合理性、风险。03权限分配授权专员只有授权专员才有授权权限,不允许系统管理员进行授权操作;