信息系統(tǒng)權(quán)限管理辦法.docx

XXX集團(tuán)有限公司信息系統(tǒng)權(quán)限管理辦法（字號，印發(fā)）第一章 總 則第一條 為進(jìn)一步規(guī)范XXX集團(tuán)有限公司（以下簡稱集團(tuán)公司）的信息系統(tǒng)權(quán)限管理工作，加強權(quán)限控制，確保各信息系統(tǒng)安全、有序、穩(wěn)定運行，防范應(yīng)用風(fēng)險，特制定本辦法。第二條 本辦法適用于已建成的、基于角色控制和方法設(shè)計的各型信息系統(tǒng)，以及以用戶口令方式登錄的網(wǎng)絡(luò)設(shè)備、網(wǎng)站系統(tǒng)等。第三條 信息系統(tǒng)用戶、角色、權(quán)限的劃分和制定，以人力資源部對部門職能定位和各業(yè)務(wù)部門內(nèi)部分工為依據(jù)。第四條 信息系統(tǒng)用戶和權(quán)限管理的基本原則是： （一）用戶、權(quán)限和口令設(shè)置由系統(tǒng)管理員全面負(fù)責(zé)。（二）用戶、權(quán)限和口令管理必須作為項目建設(shè)的強制性技術(shù)標(biāo)準(zhǔn)或要求。（三）用戶、權(quán)限和口令管理采用實名制管理模式。（四）嚴(yán)禁杜絕一人多賬號登記注冊。第二章 權(quán)限分配職責(zé)第五條 部門經(jīng)理職責(zé)根據(jù)公司業(yè)務(wù)的實際需要，以及信息系統(tǒng)各功能權(quán)限，擬定系統(tǒng)管理員以及相關(guān)用戶人選。第六條 主管領(lǐng)導(dǎo)職責(zé)（一）依據(jù)部門主任提交的信息系統(tǒng)權(quán)限分配方案，并根據(jù)信息系統(tǒng)適用的范圍決定同意或者上報權(quán)限分配方案；（二）信息系統(tǒng)適用范圍僅限于部門內(nèi)，且非重要系統(tǒng)，由主管領(lǐng)導(dǎo)決定權(quán)限分配方案； （三）信息系統(tǒng)適用范圍跨多部門或全公司，由主管領(lǐng)導(dǎo)將權(quán)限分配方案上報至總經(jīng)理。第七條 總經(jīng)理職責(zé)總經(jīng)理負(fù)責(zé)對適用于全公司或重要系統(tǒng)的權(quán)限分配方案進(jìn)行審批。第三章 管理職責(zé)第八條 系統(tǒng)管理員職責(zé)負(fù)責(zé)本級用戶管理以及對下一級系統(tǒng)管理員管理。包括創(chuàng)建各類申請用戶、用戶有效性管理、為用戶分配經(jīng)授權(quán)批準(zhǔn)使用的業(yè)務(wù)系統(tǒng)、為業(yè)務(wù)管理員提供用戶授權(quán)管理的操作培訓(xùn)和技術(shù)指導(dǎo)。第九條 業(yè)務(wù)管理員職責(zé)負(fù)責(zé)本級本業(yè)務(wù)系統(tǒng)角色制定、本級用戶授權(quán)及下一級本業(yè)務(wù)系統(tǒng)業(yè)務(wù)管理員管理。負(fù)責(zé)將上級創(chuàng)建的角色或自身創(chuàng)建的角色授予相應(yīng)的本級用戶和下一級業(yè)務(wù)管理員，為本業(yè)務(wù)系統(tǒng)用戶提供操作培訓(xùn)和技術(shù)指導(dǎo)，使其有權(quán)限實施相應(yīng)業(yè)務(wù)信息管理活動。第十條 用戶職責(zé)用戶須嚴(yán)格管理自己用戶名和口令，遵守保密性原則，除獲得授權(quán)或另有規(guī)定外，不能將收集的個人信息向任何第三方泄露或公開。系統(tǒng)內(nèi)所有用戶信息均必須采用真實信息，即實名制登記。 第四章 用戶管理第十一條 用戶申請和創(chuàng)建（一）申請人在用戶賬號申請和變更表上填寫基本情況，提交本部門經(jīng)理；（二）部門經(jīng)理確認(rèn)申請業(yè)務(wù)用戶的身份權(quán)限，并在用戶賬號申請和變更表上簽字并提交主管領(lǐng)導(dǎo)；（三）主管領(lǐng)導(dǎo)職權(quán)范圍內(nèi)可直接確認(rèn)，職權(quán)范圍外需簽字后提交總經(jīng)理；（四）總經(jīng)理簽字確認(rèn)； （五）經(jīng)審批后的用戶賬號申請和變更表交由系統(tǒng)管理員創(chuàng)建用戶或者變更權(quán)限。（六）系統(tǒng)管理員將創(chuàng)建的用戶名、口令告知申請人本人，并要求申請人及時變更口令；（七）系統(tǒng)管理員將用戶賬號申請和變更表存檔管理。第十二條 用戶變更和停用（一）系統(tǒng)使用部門確認(rèn)用戶角色變更或停用原因，并在用戶賬號申請和變更表上簽字并提交主管領(lǐng)導(dǎo)；（二）主管領(lǐng)導(dǎo)職權(quán)范圍內(nèi)可直接確認(rèn)，職權(quán)范圍外需簽字后提交總經(jīng)理；（三）總經(jīng)理簽字確認(rèn)； （四）經(jīng)審批后的用戶賬號申請和變更表交由系統(tǒng)管理員做用戶變更或停用。（五）系統(tǒng)管理員將用戶賬號申請和變更表存檔管理。第五章 安全管理第十三條 使用各信息系統(tǒng)應(yīng)嚴(yán)格執(zhí)行國家有關(guān)法律、法規(guī)，遵守公司的規(guī)章制度，確保國家秘密和企業(yè)利益安全。第十四條 口令管理（一）系統(tǒng)管理員創(chuàng)建用戶時，應(yīng)為其分配獨立的初始密碼，并單獨告知申請人。 （二）用戶在初次使用系統(tǒng)時，應(yīng)立即更改初始密碼。（三）用戶應(yīng)定期變更登陸密碼。（四）用戶不得將賬戶、密碼泄露給他人。 第十五條 應(yīng)急管理（一）用戶賬戶信息泄露遺失用戶賬戶信息泄露遺失時，應(yīng)在24小時內(nèi)通知系統(tǒng)管理員。系統(tǒng)管理員在查明情況前，應(yīng)暫停該用戶的使用權(quán)限，并同時對該賬戶所報數(shù)據(jù)進(jìn)行核查，待確認(rèn)沒有造成對報告數(shù)據(jù)的破壞后，通過修改密碼，恢復(fù)該賬戶的報告權(quán)限，同時保留書面情況記錄。 （二）系統(tǒng)管理員賬戶信息泄露遺失系統(tǒng)管理員賬戶信息泄露遺失時，