IT人員及崗位職責管理制度

1、IT 人員及崗位職責管理制度IT 人員及崗位職責管理制度1.0目標制定本制度的目的是在全公司內(nèi)明確與IT 相關崗位的人員使用原則及工作中互斥角色的分離原則，同時明確IT 相關崗位職責設置的檢查和審批程序。本制度的具體落實將體現(xiàn)在各部門內(nèi)部崗位職責的定義以及人員的崗位劃分上。2.0適用范圍適用于公司所有與IT 相關的部門，包括IT 系統(tǒng)的研發(fā)、建設、測試、維護和使用部門。3.0職責3.1部門經(jīng)理負責設定和審批本部門工作崗位的設置及崗位職責定義。 定期檢查本部門對公司 IT 人員及崗位職責管理制度的執(zhí)行情況。3.2各部門員工認真學習和自覺執(zhí)行IT 人員及崗位職責管理制度的相關要求。4.0內(nèi)容4.1

2、IT 相關人員的一般使用原則：4.1.1人員在錄用前必須進行審查；4.1.2對從事 IT 系統(tǒng)工作的各類人員要從道德規(guī)范、思想作風、 工作態(tài)度、遵守規(guī)章制度、業(yè)務能力等方面定期進行考核；4.1.3在聘用員工時， 應該與其簽署保密協(xié)議， 在雇傭合同或條款發(fā)生變動時，特別是員工要離開單位或其合同到期時，必須根據(jù)保密協(xié)議對其工作進行審查；4.1.4應明確員工的職責、 違反規(guī)定時的懲罰措施、 聘用關系結束后的相關條款的有效期。4.2對于涉及敏感工作崗位（例如涉及商業(yè)機密、企業(yè)生存的軟件代碼或客戶數(shù)據(jù)等）的人員，其使用必須符合以下原則：4.2.1應該進行上崗前的培訓，掌握基本技能，培訓內(nèi)容包括：道德規(guī)范

3、、法律、法規(guī)、技術、業(yè)務、各種操作規(guī)程、信息系統(tǒng)緊急事件的處理等；4.2.2人員的授權要符合最小權限原則；4.2.3涉及敏感崗位的人員在調(diào)離崗位時，要求履行保密協(xié)議， 承諾保密事項，并上交有關資料；敏感崗位的工作人員錄用時必須對其進行背景審查：1) 人員的身份和資格2) 工作經(jīng)歷及其背景3) 離開原單位的原因4) 犯罪記錄或其他評價對于敏感系統(tǒng)的工作人員離職前應該進行嚴格審查，辦理人員離職移交手續(xù)；4.3結合我公司現(xiàn)狀及安全相互約束性考慮，互斥、不兼容的職能角色必須分離。對 IT 部門技術崗位職責的定義，應執(zhí)行以下角色分離原則：1) 應用系統(tǒng)管理員與操作系統(tǒng)管理員分離；2) 應用系統(tǒng)管理員與數(shù)

4、據(jù)庫系統(tǒng)管理員分離；3) 數(shù)據(jù)庫管理員與操作系統(tǒng)管理員分離；4) 應用系統(tǒng)開發(fā)人員與以下應用系統(tǒng)使用人員分離；a) 數(shù)據(jù)錄入人員b) 計算機操作員c) 幫助臺支持人員5) 應用系統(tǒng)開發(fā)人員與以下崗位人員分離；a) 數(shù)據(jù)庫管理員b) 網(wǎng)絡管理員c) 系統(tǒng)管理員d) 安全管理員e) 質(zhì)量管理員對于財務部門崗位職責的定義，應執(zhí)行以下角色分離原則：1) 財務系統(tǒng)的系統(tǒng)管理員與財務系統(tǒng)操作員分離；2) 財務系統(tǒng)的系統(tǒng)管理員與財務系統(tǒng)審核員分離；3) 財務部門高層管理人員如非特殊需要不應該擁有對財務系統(tǒng)過高權限。一般系統(tǒng)使用部門崗位職責的定義，應執(zhí)行以下角色分離原則：1) 生產(chǎn)操作人員與系統(tǒng)技術維護人員分

5、離；2) 生產(chǎn)操作人員與業(yè)務的審批授權人員分離；3) 數(shù)據(jù)錄入人員與數(shù)據(jù)審查人員分離；項目管理崗位職責的定義，應執(zhí)行以下角色分離原則：1)項目立項與項目審批分離；2)項目的實施與項目的驗收分離；3)項目執(zhí)行與項目監(jiān)督分離。4.4 IT 互斥崗位角色分離原則：4.4.1員工不得私自將對系統(tǒng)的操作權限委托給擔任互斥角色職能的其他員工。4.4.2如果員工因出差、 休假等原因需要將工作臨時轉交給其他工作人員時應由部門經(jīng)理審批確保不違背互斥角色分離原則。4.4.3部門經(jīng)理應每年定期檢查本部門是否存在違反互斥崗位職責管理原則的情況。4.4.4如果確因工作需要， 需要由同一人員擔任兩個互斥的角色職能時，必須

6、有足夠的證據(jù)證明不會對系統(tǒng)的信息安全造成威脅。4.4.5如果確因主客觀因素限制而無法滿足崗位角色分離原則的，必須由部門經(jīng)理審批，遵循最小權限原則進行授權，并保留授權記錄。4.4.6如果確因主客觀因素限制而無法滿足崗位角色分離原則的，必須對其所做的操作進行監(jiān)控。4.4.7如果確因主客觀因素限制而無法滿足崗位角色分離原則的，必須保留全部的操作記錄和日志。5.0附件5.1部門職責說明書5.2部門經(jīng)理職責說明書5.3崗位職責說明書5.4職責分離檢查表附件一部門職責說明書編號： XXX-SE002-1-YYYYMMDD-NN部門職責說明書部門名稱部門編號部門負責人直線領導下屬部門部門組成： < 簡

7、述部門中的崗位組成 >部門職能：< 描述本部門的工作職責及工作內(nèi)容 >審批：日期附件二部門經(jīng)理職責說明書編號： XXX-SE002-2-YYYYMMDD-NN部門經(jīng)理職責說明書部門名稱部門編號職位名稱直線領導崗位職責： < 描述部門經(jīng)理的工作職責及工作內(nèi)容 >我已清楚閱讀上述條款，并且我愿意接受上述條款的要求。簽名：日期：審批：日期附件三崗位職責說明書編號： XXX-SE002-3-YYYYMMDD-NN崗位職責說明書崗位名稱崗位編號所屬部門直線領導崗位職能： < 描述崗位工作職責及具體的工作內(nèi)容 >我已清楚閱讀上述條款，并且我愿意接受上述條款的要求。

8、簽名：日期：審批：日期：附件四職責分離檢查表編號： XXX-SE002-4-YYYYMMDD-NN職責分離檢查表檢查部門檢查內(nèi)容 /結果應用系統(tǒng)與操作系統(tǒng)管理員是否分離是否 _ <如未分離，請簡述實際情況，以下各項同 >應用系統(tǒng)與數(shù)據(jù)庫系統(tǒng)管理員是否分離是否 _數(shù)據(jù)庫系統(tǒng)與操作系統(tǒng)管理員是否分離是否 _生產(chǎn)操作人員與系統(tǒng)技術維護人員是否分離是否 _生產(chǎn)操作人員與業(yè)務的審批授權人員是否分離是否 _數(shù)據(jù)錄入人員與審查人員是否分離是否 _生產(chǎn)操作人員與生產(chǎn)操作檢查人員是否分離是否 _系統(tǒng)開發(fā)人員是否與系統(tǒng)使用人員分離是否 _系統(tǒng)開發(fā)人員是否與系統(tǒng)維護人員分離是否 _系統(tǒng)的訪問授權人員是否與系統(tǒng)權限復核人員分離是否 _批次作業(yè)說明書設計人與測試人是否分離是否 _備份操作手冊設計人與測試人是