应用系统权限管理制度.pdfVIP

应用系统权限管理制度

1总则

1.1目的

本办法旨在建立对应用系统访问用户身份授权的管理机制，以降低由于对系统及数据的未经授权的访问所

带来的风险。规范了用户权限的申请、变更和定期审查的通用流程。

本办法为应用系统授权管理的指导性文件，各应用系统应遵照建立相应的权限清

单、用户清单以及审批清单。

1.2适用范围

本办法适用于应用系统的授权管理。

1.3释义/分类

1.3.1权限申请单

是记录变更申请、审批、执行、签收确认信息的标准文件，必须同时附有权限清

单作为附件，需要保存纸件文档。

1.3.2权限清单

根据系统功能模块和系统角色，列出相对应的功能组和程序名称，作为权限申请

单的必要附件。

1.3.3系统用户清单

已授权用户清单，包括用户名、对应的用户ID、对应的系统用户角色、对应的

系统功能。

1.4管理原则

1.4.1遵循权限最小原则，针对不同的用户的岗位需求采用角色授权制度，恰当

分配每个用户对系统的操作控制权限；对于多模块的应用系统，权限管理在对用

户授权时，必须针对应用模块按权限最小原则授权。

1.4.2遵循职责分离原则，对于不相容岗位进行权限分离设置。

1.4.3总部应用系统的授权执行责任归属信息管理部。

1.4.4集中应用系统可采用集中授权和分部授权的方式。

1.5管理组织/职责

1.5.1用户

按照岗位工作需求，提交权限申请。

1.5.2用户部门长

负责审核用户权限的申请，以及定期审核。

1.5.3系统负责人

负责提供系统用户角色或权限清单给权限管理人员；负责由于系统功能变更而引

起的权限变更发起。

交付运维的应用系统由运维主管负责，未交付运维的应用系统由应用系统项目负

责人负责。

1.5.4权限管理员

各系统权限管理员由部门长授权，通常由运维人员担任，负责根据审核结果，执

行授权或取消授权；制定系统用户权限清单；维护系统权限清单。

1.5.5安全工程师

负责审核优化该管理规定，并组织定期审核。

1.5.6人力资源部

在人员调动、离职的情况下，通知信息部门。

2权限管理程序

2.1新增用户权限申请流程

流程图：

本流程是通用流程，综合考虑了不同系统可能的审批过程，比如多级审批和跨部

门审批等。各系统用户授权管理规定需根据本流程确定相应的各级授权管理审批

人和责任人。

2.1.1权限申请

用户根据岗位工作需要，按照要求填写权限申请单，提交给部门长审批。

2.1.2权限审批

由用户部门部门长审核后提交相关负责人审批，如需多级审批和跨部门审批，则

逐一审批。

2.1.3权限执行

由权限管理人员按照审批结果进行授权，并通知用户。

2.1.4权限签收和确认

用户确认权限后在权限申请单上签字。

2.2用户权限变更管理规定

2.2.1用户岗位变更：权限管理员根据审核后离职通知单或岗位变动通知单进行

相应的权限删除操作，如果岗位变动需要增加新的权限，则需要遵循权限申请流

程，并注明需删除的权限。

2.2.2系统功能变更：由于系统功能变更引起的权限内容变更，由系统负责人负

责向权限管理员提出，并梳理用户授权，变更权限内容遵循申请流程重新申请。

2.3用户权限定期审查规定

每年12月，由信息管理部和用户部门对系统的用户账号和用户访问权限应进行

定期审阅，如发现任何不合适的系统访问权限，并及时清理。

系统负责人从系统中按照部门导出人员权限列表，提交信息部负责人批准定期审查，再发送给用户部门部

门长审核。

用户部门长根据用户的岗位职责审核本部员工权限，判断是否每个人的权限是否符合其现在岗位工作需求；

对于异常的人员权限进行说明，并出具处理意见；如将审核完成的权限列表签字确认后发回信息管理部。

信息部根据异常处理意见对权限进行调整。

3附则

3.1补充性规定

3.1.1用户需要妥善保管用户名和密码，如有泄漏或遗失，请及时报告主管以及

信息部。

3.1.2不得将授权用户名和密码转告或转借他人。

3.1.3不得打听他人权限用户名和密码。

3.1.4对于管理员用户，不得做岗位职责之外的业务层面的操作。

3.1.5用户