信息系統(tǒng)帳號管理制度.doc

。信息系統(tǒng)帳號管理制度第一節(jié) 總則第一條 為加強用戶帳號管理，規(guī)范公司信息系統(tǒng)用戶帳號的使用，確保用戶帳號的安全性，特制定本制度。第二條 本制度中系統(tǒng)帳號是指應用層面及系統(tǒng)層面（操作系統(tǒng)、數(shù)據(jù)庫、防火墻及其它網(wǎng)絡設(shè)備）的用戶帳號。第三條 用戶帳號申請、審批及設(shè)置由不同人員負責。第四條 系統(tǒng)擁有部門負責建立崗位權(quán)限對照表（附件六）。第五條 本制度適用于公司總部和各分、子公司（含鄭州研究院）。第二節(jié) 普通帳號管理第六條 申請人使用統(tǒng)一而規(guī)范的帳號/權(quán)限申請表（附件七）提出用戶帳號創(chuàng)建、修改、刪除/禁用等申請。第七條 帳號申請人所屬部門負責人及系統(tǒng)擁有部門負責人根據(jù)崗位權(quán)限對照表對應用層面的普通用戶帳號申請進行審批。第八條 信息部負責人根據(jù)崗位權(quán)限對照表對系統(tǒng)層面的普通用戶帳號申請進行審批。第九條 帳號管理人員建立各種帳號的文檔記錄，記錄用戶帳號的相關(guān)信息，并在帳號變動時同時更新此記錄，具體內(nèi)容見用戶帳號記錄（附件八）。具體流程參見普通帳號管理流程（附件一）。第三節(jié) 特權(quán)帳號和超級用戶帳號管理第十條 特權(quán)帳號指在系統(tǒng)中有專用權(quán)限的帳號，如備份帳號、權(quán)限管理帳號、系統(tǒng)維護帳號等。超級用戶帳號指系統(tǒng)中最高權(quán)限帳號，如root等管理員帳號。第十一條 只有經(jīng)授權(quán)的用戶才可使用特權(quán)帳號和超級用戶帳號，嚴禁共享帳號。第十二條 信息部每季度查看系統(tǒng)日志，監(jiān)督特權(quán)帳號和超級用戶帳號使用情況。第十三條 盡量避免特權(quán)帳號和超級用戶帳號的臨時使用，確需使用時必須履行正規(guī)的申請及審批流程，并保留相應的文檔。第十四條 臨時使用超級用戶帳號必須有監(jiān)督人員在場記錄其工作內(nèi)容。第十五條 超級用戶帳號臨時使用完畢后，帳號管理人員立即更改帳號密碼。具體流程參見特權(quán)帳號和超級用戶帳號管理流程（附件二）。第四節(jié) 臨時帳號管理第十六條 使用臨時帳號時（如內(nèi)外部審計人員、臨時崗位調(diào)動人員），須填寫統(tǒng)一的帳號/權(quán)限申請表（附件七）。第十七條 帳號申請人所屬部門負責人及系統(tǒng)擁有部門負責人根據(jù)崗位權(quán)限對照表對應用層面的臨時用戶帳號申請進行審批。第十八條 信息部負責人根據(jù)崗位權(quán)限對照表對系統(tǒng)層面的臨時用戶帳號申請進行審批。第十九條 帳號管理人員負責臨時帳號的建立和記錄。第二十條 臨時帳號使用完畢后，申請人及時通知帳號管理人員注銷臨時帳號。具體流程參見臨時訪問帳號管理流程（附件三）。第五節(jié) 緊急帳號管理第二十一條 根據(jù)緊急事件的等級建立相應權(quán)限的緊急帳號，專門處理緊急事件。第二十二條 帳號管理人員負責緊急帳號的下發(fā)和記錄。第二十三條 緊急帳號使用人員必須在事件處理完畢后補辦相關(guān)手續(xù)。第二十四條 緊急帳號使用完畢后，緊急帳號使用人員及時通知帳號管理人員禁用緊急帳號。具體流程參見緊急用戶帳號管理流程（附件四）。第六節(jié) 用戶帳號及權(quán)限審閱第二十五條 系統(tǒng)擁有部門指定專人負責每季度對系統(tǒng)應用層面帳號及權(quán)限進行審閱，并填寫帳號/權(quán)限清理清單（附件九）。第二十六條 信息部指定專人負責每季度對系統(tǒng)層面帳號及權(quán)限進行審閱，并填寫帳號/權(quán)限清理清單（附件九）。第二十七條 員工離職后，帳號管理人員及時禁用并刪除離職人員所使用的帳號。如果離職人員是系統(tǒng)管理員，則及時更改特權(quán)帳號或超級用戶口令。具體流程參見用戶帳號審閱及權(quán)限確認流程（附件五）。第七節(jié) 用戶帳號口令管理第二十八條 用戶帳號口令發(fā)放要嚴格保密，用戶必須及時更改初始口令。第二十九條 用戶帳號口令最小長度為6位，并具有一定復雜度。第三十條 用戶帳號口令必須嚴格保密，并定期進行更改，密碼更新周期不得超過90天。第三十一條 嚴禁共享個人用戶帳號口令。第三十二條 超級用戶帳號須通過保密形式由信息部負責人保存。 -可編輯修改-普通帳號管理流程描述如下：一、 新員工入職、崗位更換或員工離職，人力資源部須及時通知員工所屬部門及信息部。崗位更換或員工入職時，帳號申請人需要填寫帳號/權(quán)限申請表，該表包括申請人姓名、所屬部門、工作崗位以及申請的系統(tǒng)權(quán)限等資料。人員離職時，該員工的帳號須被及時禁用并刪除，由員工所屬部門負責人填寫帳號/權(quán)限申請表。二、 帳號/權(quán)限申請表填寫完后，提交給申請人所屬部門負責人審閱。三、 申請人所屬部門負責人審閱簽字后，應用層面帳號提交系統(tǒng)擁有部門負責人審閱，系統(tǒng)層面帳號由信息部負責人審閱。系統(tǒng)擁有部門負責人/信息部負責人根據(jù)公司的崗位權(quán)限對照表審核申請人所申請的權(quán)限是否與其崗位一致，確保權(quán)限分配的合理性和必要性。如果權(quán)限與崗位職責一致，方可簽字確認。如果認為權(quán)限分配不合理，則將申請表退還申請人，并要求修改權(quán)限申請。應用層面帳號若由信息部負責進行系統(tǒng)中維護操作，帳號/權(quán)限申請表，則還需經(jīng)過信息部負責人的審批。四、 帳號管理人員收到權(quán)限申請表后，確認該表是否有系統(tǒng)擁有部門負責人/信息部負責人的簽字。如果經(jīng)過系統(tǒng)擁有部門負責人/信息部負責人簽字同意，則受理申請，如果無簽字，則拒絕申請。五、 在受理申請時，帳號管理人員根據(jù)申請要求，進行帳號或權(quán)限的創(chuàng)建、修改、刪除/禁用。權(quán)限受理完畢后，帳號管理人員須填寫用戶帳號記錄，該記錄包括帳號、用戶姓名、所屬部門、崗位、帳號或權(quán)限的創(chuàng)建、修改、刪除/禁用記錄等。六、 用戶帳號創(chuàng)建或修改完畢后，帳號管理人員將用戶名和密碼告知申請人，申請人收到帳號開通通知后，根據(jù)實際賦予的權(quán)限和最初申請的權(quán)限進行核對，確認無誤后，更改初始密碼并將驗收結(jié)果反饋給帳號管理人員。帳號管理人員收到驗收結(jié)果后，將該次新增/變更權(quán)限申請的所有相關(guān)文檔歸檔，作為工作痕跡永久保留，以便日后查詢。對于人員離職，帳號管理人員將帳號禁用或刪除結(jié)果通知人力資源部和離職人員所在部門的負責人，并將該次帳號禁用申請所有相關(guān)文檔歸檔。特權(quán)帳號和超級用戶帳號管理流程具體流程如下： 特權(quán)帳號管理流程：一、 特權(quán)帳號由部門負責人根據(jù)本部門的工作需要，確定合適人選，填審帳號/權(quán)限申請表,并在用戶帳號記錄中進行記錄。具體流程參照普通帳號管理流程（附件一）。二、 通過系統(tǒng)設(shè)置控制特權(quán)帳號的使用。三、 只能專人持有系統(tǒng)特權(quán)用戶的帳號和密碼。四、 通過保存并審閱系統(tǒng)日志，對特權(quán)帳號的使用情況進行監(jiān)督。五、 通過制度規(guī)定和系統(tǒng)設(shè)置要求特權(quán)用戶定期更改密碼，并且在系統(tǒng)設(shè)置中對密碼的復雜程度進行設(shè)置。特權(quán)用戶臨時離開崗位（如休假、出差），須將特權(quán)用戶名及密碼上交部門負責人。臨時特權(quán)用戶必須獲得書面授權(quán)，才能來接手該項工作。原特權(quán)用戶回到崗位后，將權(quán)限收回，并立即更改密碼。 超級用戶帳號（如root）管理流程：一、 超級用戶帳號（如root）的密碼應當由信息部負責人密存。當需要使用超級用戶帳號時，需填審帳號/權(quán)限申請表,并在用戶帳號記錄中進行記錄。超級用戶帳號使用完畢后，應及時修改密碼，并妥善保管。二、 通過系統(tǒng)設(shè)置控制超級用戶的使用。三、 對臨時超級用戶帳號的使用進行事中監(jiān)督，如：操作時有另一位人員在旁監(jiān)督特權(quán)用戶的操作。四、 通過保存并審閱系統(tǒng)日志，對超級用戶帳號的使用情況進行監(jiān)督。五、 通過制度規(guī)定和系統(tǒng)設(shè)置要求超級用戶定期更改密碼，并且在系統(tǒng)設(shè)置中對密碼的復雜程度進行設(shè)置。密碼修改后必須妥善保存。臨時帳號管理描述如下：一、 對于臨時用戶帳號授權(quán)，申請人需要填寫統(tǒng)一的帳號/權(quán)限申請表。二、 帳號/權(quán)限申請表填寫完后，提交給申請人所屬部門負責人審閱。三、 申請人所屬部門負責人簽字審批后，應用層面帳號提交系統(tǒng)擁有部門負責人審閱，系統(tǒng)層面帳號由信息部負責人審閱。系統(tǒng)擁有部門負責人/信息部負責人根據(jù)崗位權(quán)限對照表進行審核，判斷申請人所申請的臨時用戶帳號權(quán)限是否合理。如果合理則簽字同意，將申請表提交帳號管理人員。如果認為臨時用戶帳號的申請不合理則將申請表退還申請人，拒絕受理。應用層面帳號若由信息部負責進行系統(tǒng)中維護操作，帳號/權(quán)限申請表，則還需經(jīng)過信息部負責人的審批。四、 帳號管理人員收到帳號/權(quán)限申請表后，首先確認該表已經(jīng)通過系統(tǒng)擁有部門/信息部領(lǐng)導的簽字同意，否則拒絕該申請。五、 在受理申請時，帳號管理人員根據(jù)申請表內(nèi)容建立臨時訪問帳號。處理完畢后，帳號管理人員填寫臨時用戶帳號記錄，該記錄包括用戶帳號、用戶姓名、所屬部門、崗位、臨時用戶帳號建立日期等詳細資料，詳見用戶帳號記錄（附件八）。六、 臨時訪問帳號受理完，帳號管理人員將用戶名和密碼通知申請人使用該帳號。申請人確認帳號是否開啟，并通知帳號管理人員。帳號管理人員將所有文檔歸檔。七、 臨時訪問帳號使用完畢后，申請人須及時通知帳號管理人員注銷該臨時訪問帳號，并填寫帳號/權(quán)限申請表。帳號管理人員注銷該臨時訪問帳號后，在之前填寫的臨時用戶帳號記錄中登記該帳號注銷日期。帳號管理人員須定期關(guān)注所有臨時用戶，確保帳號的及時注銷。八、 須通過系統(tǒng)日志記錄臨時帳號的所有操作。緊急帳號管理流程描述如下 一、 帳號管理人員建立緊急用戶帳號，該帳號只用于處理緊急事故。二、 緊急用戶帳號被使用后，帳號管理人員應立即修改其密碼或注銷該用戶。三、 對于緊急用戶帳號授權(quán)，帳號申請人可以直接向帳號管理人員申請該帳號。帳號管理人員在接到緊急用戶帳號的申請后，需要根據(jù)公司所規(guī)定的緊急用戶帳號定義判斷該申請是否屬于緊急事件的處理。如果符合規(guī)定，則應用層面帳號通知系統(tǒng)擁有部門負責人，若應用層面帳號由信息部負責進行系統(tǒng)中維護操作，還應通知信息部負責人；系統(tǒng)層面帳號通知信息部負責人，以獲得口頭同意。如果不符合規(guī)定，則要求申請人按照普通帳號管理流程進行申請。四、 在獲得系統(tǒng)擁有部門負責人/信息部的口頭同意后，帳號管理人員將專門處理緊急事件的用戶帳號及相關(guān)密碼告知申請人。五、 帳號管理人員需要對該次的申請進行記錄，填寫用戶帳號記錄，登記申請人資料以及申請時間。六、 緊急帳號申請人需要在事后補辦帳號申請手續(xù)，填寫帳號/權(quán)限申請表并提交申請人所在部門負責人和系統(tǒng)擁有部門負責人/信息部審批。七、 申請人所在部門負責人和系統(tǒng)擁有部門負責人/信息部根據(jù)由帳號管理人員提交的緊急帳號處理資料及申請人補辦的帳號/權(quán)限申請表核實該申請，簽字同意后由帳號管理人員進行歸檔。管理層或授權(quán)的專職人員須通過系統(tǒng)日志的定期檢查對緊急用戶帳號的使用及在系統(tǒng)中的操作進行事后監(jiān)督，調(diào)查并追究違規(guī)操作。用戶帳號審閱及權(quán)限確認流程描述如下：一、 每季度對所有用戶進行審閱。系統(tǒng)擁有部門負責對系統(tǒng)應用層面帳號及權(quán)限的審閱，信息部負責對系統(tǒng)層面帳號及權(quán)限的審閱。二、 具體審閱要求如下： 根據(jù)員工崗位變動和離職情況核對系統(tǒng)中用戶帳號權(quán)限信息，確保已離職和離崗的員工的帳號或權(quán)限被收回，沒有收回的帳號或權(quán)限須記錄在帳號/權(quán)限清理清單中。 根據(jù)已定義的崗位權(quán)限對照表，審閱用戶權(quán)限的合理性，對不合理的用戶權(quán)限進行清除，并記錄到帳號/權(quán)限清理清單。 對臨時和緊急帳號進行審閱，確保使用完畢的臨時和緊急帳號已及時被禁用或刪除，若有未及時禁用或刪除的帳號，記錄到帳號/權(quán)限清理清單。三、 審閱完畢后，帳號權(quán)限審閱人將帳號/權(quán)限清理清單轉(zhuǎn)交帳號管理人員進行處理，并記錄審閱結(jié)果，包括審閱日期、審閱的帳號、處理的帳號、審閱和處理的內(nèi)容以及完成日期，應用層面帳號審閱由系統(tǒng)擁有部門負責人簽字確認，系統(tǒng)層面帳號審閱由信息部負責人簽字確認。四、 帳號/權(quán)限清理清單轉(zhuǎn)交帳號管理人員后，由帳號管理人員根據(jù)清單內(nèi)容在系統(tǒng)中對帳號/權(quán)限進行清理。處理完成后對已有的用戶帳號記錄進行更新。處理完畢后應用層面帳號向系統(tǒng)擁有部門負責人反饋，系統(tǒng)層面帳號向信息部負責人反饋。五、 系統(tǒng)擁有部門負責人或信息部負責人確認處理結(jié)果后，帳號管理人員將帳號審閱的所有相關(guān)記錄歸檔保存。崗位權(quán)限對照表序號崗位名稱適用部門系統(tǒng)名稱系統(tǒng)對應角色相應權(quán)限其他權(quán)限帳號/權(quán)限申請表帳號/權(quán)限維護申請類型一般帳號新增 變更 禁用 刪除臨時帳號 申請時間： 使用結(jié)束時間：緊急帳號超級帳號特權(quán)帳號新增 變更 禁用 刪除申 請 人部門及崗位申請日期聯(lián)系方式系統(tǒng)來源（非SAP系統(tǒng)）計量系統(tǒng)資金管理系統(tǒng)其他（ ）申請描述批準人（申請人部門負責人）：批準日期：權(quán)限審核人（應用層面帳號為系統(tǒng)擁有部門負責人；系統(tǒng)層面帳號為信息部負責人）：審核日期：操作審核人 *審核日期：處理描述(超級用戶帳號申請，無需填寫此欄)處理人（權(quán)限管理員）：(超級用戶帳號申請，無需填寫此欄)處理日期：(超級用戶帳號申請，無需填寫此欄)* 此欄適用于應用層面帳號由信息部進行帳號維護操作的情況下，由信息部負責人簽字。用戶帳號記錄系統(tǒng)部門