用户访问控制制度

用户访问控制制度第一章总则第一条本制度依据《中华人民共和国网络安全法》《数据安全法》《个人信息保护法》等相关法律法规，参照行业最佳实践及集团母公司关于企业内控与风险管理的指导意见，结合公司业务发展实际及内控专项风险评估结果制定。为强化用户访问权限管理，防范未经授权的访问风险，保障信息系统安全稳定运行，特制定本制度。第二条本制度适用于公司各部门、下属单位及全体员工。凡涉及用户访问权限申请、审批、使用、变更及撤销等全流程管理活动，均须遵守本制度规定。适用场景包括但不限于：员工账号访问企业内部系统、第三方服务商接入企业信息系统、临时用户授权访问特定资源等情形。第三条本制度下列核心术语定义如下：（一）“XX专项管理”指针对用户访问权限的全生命周期管理活动，涵盖权限申请、审批、发放、监控、审计、变更及撤销等环节，以实现最小权限、及时更新、全程可溯的管理目标。（二）“XX风险”指因用户访问权限配置不当、管理疏漏或恶意利用等行为，可能导致的信息泄露、系统瘫痪、数据篡改、商业秘密失控等安全事件或合规风险。（三）“XX合规”指用户访问权限管理活动必须符合国家法律法规及公司内部制度要求，确保权限分配合法合规、访问行为可审计、风险隐患可管控。第四条用户访问控制管理应遵循以下核心原则：（一）全面覆盖原则：覆盖所有信息系统及非信息系统（如纸质文档柜）的访问权限管理。（二）责任到人原则：明确各级管理主体及执行岗位的权限管理职责。（三）风险导向原则：根据业务场景敏感度及权限级别实施差异化管控。（四）持续改进原则：定期评估权限管理效果，动态优化制度流程。第二章管理组织机构与职责第五条公司主要负责人为公司用户访问控制管理第一责任人，对权限管理体系有效性负总责；分管信息技术、人力资源及业务领域的公司领导为直接责任人，负责统筹协调各部门落实权限管理要求。第六条设立用户访问控制管理领导小组（以下简称“领导小组”），由公司主要负责人牵头，分管领导及相关部门负责人组成。领导小组主要履行以下职能：（一）统筹审议用户访问控制管理制度及重大事项。（二）协调解决权限管理中的跨部门争议问题。（三）监督评估权限管理年度工作成效。第七条领导小组下设专项工作组，由信息技术部牵头，人力资源部、内审部、业务部门代表及下属单位负责人组成，具体负责：（一）组织制定权限管理细则及操作指南。（二）开展权限管理专项培训与宣贯。（三）监督指导各部门落实权限管理要求。第八条牵头部门职责：（一）信息技术部负责统筹权限管理系统建设，实现权限申请、审批、变更的线上化、自动化管理。（二）人力资源部负责员工账号的初始创建、权限变更及离职权限清理工作。（三）内审部负责定期开展权限管理专项审计，出具审计报告并跟踪整改。第九条专责部门职责：（一）信息技术部专责岗负责权限系统的日常运维，监控异常访问行为并处置风险事件。（二）内审部专责岗负责权限管理制度的合规性审查，提出优化建议。（三）业务部门专责岗负责本领域业务场景下的权限需求提报与风险处置。第十条业务部门及下属单位职责：（一）明确本部门/单位权限管理接口人，负责权限申请的初审与业务合理性说明。（二）组织本部门员工开展权限操作培训，确保员工按规范使用访问权限。（三）定期自查权限使用情况，发现异常及时上报。第十一条基层执行岗位职责：（一）员工必须按照授权范围使用访问权限，不得转借、滥用或泄露账号密码。（二）发现权限异常或疑似风险行为时，应立即停止操作并上报接口人。（三）离职时主动交回账号权限，配合完成权限清理工作。第三章专项管理重点内容与要求第十二条用户账号管理：（一）新员工账号权限由人力资源部创建，需经用人部门审批确认岗位需求。（二）员工离职后3个工作日内完成账号停用，长期休假人员需申请临时权限冻结。（三）账号密码实行定期轮换制度，重要系统密码有效期不超过60天。第十三条权限申请与审批：（一）权限申请需提供业务必要性说明及对应操作权限清单，禁止申请超出工作范围权限。（二）审批流程按权限级别分级授权：一般系统权限由部门负责人审批，核心系统权限需经分管领导审批。（三）审批通过后由信息技术部在权限系统中配置权限，配置完成后向申请部门反馈确认。第十四条访问日志审计：（一）系统应记录所有权限变更及操作行为，日志保存期限不少于18个月。（二）信息技术部每月抽取5%访问日志进行随机核查，内审部每季度开展专项审计。（三）发现异常访问行为时，需在2小时内启动调查程序。第十五条权限变更管理：（一）员工岗位调整需同步变更访问权限，变更申请需经新用人部门及信息技术部双签。（二）权限变更操作应在非工作时间完成，变更后需立即验证功能可用性。（三）禁止通过修改系统配置绕过权限审批流程。第十六条访问权限回收：（一）员工离职时必须交回所有访问权限，包括系统账号、门禁卡等。（二）信息技术部在离职确认后24小时内完成权限清理，清理情况需经人力资源部复核。（三）临时授权用户到期未续费时，需立即取消访问权限。第十七条第三方授权管理：（一）服务商接入需通过正式协议明确权限需求，并签署保密协议。（二）临时访问权限仅限项目执行期间，到期自动失效。（三）第三方人员必须由本部门全程陪同使用，禁止单独操作核心系统。第十八条权限回收机制：（一）定期（每季度）开展权限清理，对闲置账号实施停用或删除。（二）员工可主动申请权限调整，经审批后由信息技术部配置。（三）发现权限滥用时，应立即取消违规权限并追责。第四章专项管理运行机制第十九条制度动态更新机制：（一）信息技术部每年第一季度修订权限管理细则，修订后报领导小组批准。（二）国家法律法规发生重大变化时，需在30日内完成制度衔接。（三）重大业务场景调整需同步更新权限配置规则。第二十条风险识别预警机制：（一）信息技术部每月开展权限冗余排查，对高风险系统实施重点监控。（二）内审部每半年开展权限管理专项风险评估，识别潜在风险点。（三）发现异常访问时，系统应自动触发预警并通知专责人员处置。第二十一条合规审查机制：（一）权限申请必须附带业务场景说明及权限必要性分析。（二）信息技术部每月抽查20%权限申请，验证审批流程完整性。（三）未经合规审查的权限配置禁止上线运行。第二十二条风险应对机制：（一）一般风险由信息技术部2小时内处置，重大风险需启动应急预案。（二）风险事件处置后需形成处置报告，报领导小组备案。（三）跨部门风险事件需成立临时处置组，明确牵头单位及成员分工。第二十三条责任追究机制：（一）违规配置权限的，对责任部门罚款1万元-5万元，对直接责任人取消年度评优资格。（二）因权限管理疏漏导致安全事件的，按事件等级追究部门及岗位责任。（三）员工擅自共享账号的，按违反劳动纪律处理，造成损失的需赔偿。第二十四条评估改进机制：（一）每年12月31日前完成权限管理年度评估，评估结果纳入部门考核。（二）评估发现的问题需制定整改计划，3个月内完成整改。（三）评估报告需提交领导小组审议，作为制度修订依据。第五章专项管理保障措施第二十五条组织保障：（一）公司主要负责人每年听取权限管理工作报告，解决重大问题。（二）信息技术部配备专职权限管理员，业务部门设立兼职接口人。（三）下属单位负责人对本单位权限管理负首要责任。第二十六条考核激励机制：（一）将权限合规情况纳入部门年度考核，占比不低于5%。（二）对权限管理先进部门授予专项奖金，金额为部门年度预算的3%。（三）员工权限合规表现作为绩效评定重要指标。第二十七条培训宣传机制：（一）每年4月开展权限管理专项培训，覆盖全员及新入职员工。（二）制作权限操作手册，放置于各系统登录页面。（三）定期发布权限管理典型案例，强化风险意识。第二十八条信息化支撑：（一）建设权限管理平台，实现权限申请、审批、变更全流程线上办理。（二）系统支持权限模拟测试，防止因配置错误导致业务中断。（三）对接门禁系统、视频监控系统，实现统一管控。第二十九条文化建设：（一）发布《权限管理行为规范》，张贴于办公区域醒目位置。（二）签订《权限合规承诺书》，员工入职时签署确认。（三）设立权限管理举报邮箱，鼓励员工监督异常行为。第三十条报告制度：（一）风险事件处置报告需在24小时内报送领导小组及信息技术部。（二）年度管理报告需