办公系统权限管理实施细则

办公系统权限管理实施细则第一章总则1.1目的为统一集团内所有办公系统（OA、HR、财务、CRM、DevOps、邮箱、VPN、门禁、打印、云盘、IM、BI等）的权限授予、变更、回收、审计、应急与问责流程，降低“账号堆积、权限漂移、数据泄露、合规罚款”四类风险，特制定本实施细则。1.2适用范围适用于集团总部、全资子公司、控股子公司、分支机构、合资公司、外包团队、实习生、临时工、机器人账号（RPA）、API服务账号。1.3法规依据《网络安全法》第21、22、34条；《数据安全法》第27、30条；《个人信息保护法》第51、52条；ISO27001:2022A.5、A.6、A.8；SOX404；GDPRArt.25、Art.32；等保2.0三级控制点“访问控制”“安全审计”；集团《信息安全管理办法》第3版。1.4基本原则最小权限、职责分离、按需授权、即时回收、全程留痕、定期复核、违规问责。第二章组织与职责2.1权限管理委员会（ARB）主任：CIO；成员：信息安全部、法务部、人力资源部、财务部、业务条线VP、审计部、采购部。每月第一个周二10:00召开例会，72小时内发布会议纪要。2.2权限Owner（RO）每个业务系统指定一名RO，写在《系统权限责任清单》里，RO必须是P6及以上正式员工，对该系统所有角色、菜单、数据范围、接口权限拥有最终解释权。2.3权限审批人（RA）由RO提名，ARB审批，每系统2人互为AB角，只能审批自己管辖模块，不得审批本人账号。2.4权限执行人（RE）信息中心运维组担任，负责在IAM平台里“点按钮”完成开通、变更、锁定、注销。RE与RA必须分离。2.5权限审计人（AU）审计部专职人员，每季度抽查10%系统，全年全覆盖，发现违规即出具《权限审计整改通知书》，被审计方5个工作日内回执。2.6用户指账号的实际使用者，须签署《账号及权限使用承诺书》，离职或调岗当日即失去系统访问权。第三章权限模型与分级3.1账号类型（1）正式员工编号E+工号；（2）外包编号O+工号；（3）实习生编号I+工号；（4）机器人编号R+序列；（5）API编号A+序列。3.2敏感级标签L1公开、L2内部、L3机密、L4绝密。所有数据表、接口、目录、打印机等必须打标签，未打标签默认按L3处理。3.3角色模板采用RBAC+ABAC混合模型，先角色后属性。角色模板由RO在IAM后台维护，命名规则：系统缩写_模块_数据范围_读写权限，例如OA_HR_全国_只读。禁止出现“临时”“测试”字样。3.4高风险操作清单包括但不限于：批量导出、薪资查看、客户手机号下载、数据库UPDATE、VPN全隧道、域管登录、云主机关机、财务过账、公章用印。清单每半年更新一次，必须走“双人审批+金库模式”。第四章账号生命周期管理4.1入职预开户HR在e-HR点击“确认入职”后，IAM自动监听Webhook，于入职前T-1日19:00批量创建账号，默认仅开通邮箱、IM、门户，其余权限为空。4.2权限申请用户登录“权限自助服务台”，选择系统→角色→输入业务理由→上传附件（立项单、工单、邮件批复）。系统根据预设规则自动计算“相似度”，若90天内同部门已有3人拥有相同角色，则自动提示“是否可复用”。4.3审批流（1）普通角色：直属上级→二级部门经理，2级；（2）跨部门角色：需资源方RO加签；（3）高风险角色：再加ARB主任邮件批复；（4）金库模式：必须双人同时在场，摄像头录像，IAM生成一次性Ticket，有效期4小时。4.4开通时限RE收到已审批工单后，工作日2小时内完成，节假日12小时内完成。超时IAM自动升级给RE主管，并扣减当季KPI2分。4.5权限变更调岗、借调、晋升、降级、项目结束均触发“权限重评估”。HR在e-HR更新“成本中心”字段后，IAM自动发起“差异比对”，列出“多余权限”“新增权限”两个列表，RO在24小时内确认，RE在12小时内执行。4.6离职回收HR点击“离职确认”→IAM立即禁用所有系统登录→VPN证书吊销→门禁次日0点失效→邮箱30天后删除→云盘文件按“部门继承”规则转给直属领导。离职员工若使用个人手机绑定OTP，IT服务台远程wipe。4.7休眠账号清理连续90天未登录即标记“休眠”，通知用户及主管，120天仍未登录则自动禁用，180天自动删除。对机器人账号不适用本条，改为“连续7天无调用”即触发审查。第五章授权流程（SOP）5.1流程图申请→校验→审批→执行→通知→复核→归档。5.2申请步骤（用户视角）步骤1：打开浏览器访问；步骤2：点击“新建申请”→选择系统“CRM”→角色“销售经理_华东_读写”；步骤3：在“业务理由”栏填写“负责华东区渠道项目A，需查看客户联系人及合同”，并粘贴项目编号PJ20240611；步骤4：上传附件“项目立项批复.pdf”；步骤5：点击“提交”，系统自动生成工单号PMS240611001，同时发送邮件给直属上级。5.3审批步骤（经理视角）步骤1：收到邮件，点击“审批链接”，系统校验数字证书；步骤2：查看申请人现有权限，确认无冲突；步骤3：在“审批意见”栏输入“同意，项目周期6个月，权限随项目结束回收”；步骤4：点击“通过”，工单流转至资源方RO。5.4执行步骤（RE视角）步骤1：登录IAM后台，打开“待执行”列表；步骤2：双击工单，核对审批链完整性；步骤3：点击“一键开通”，系统自动调用CRM接口创建角色；步骤4：IAM生成“开通报告”PDF，含前后权限Diff、时间戳、RE数字签名；步骤5：工单状态变为“已完成”，用户收到短信+邮件。5.5复核步骤开通后第7天，IAM自动推送“是否继续使用”确认，用户点击“是”即完成，点击“否”或24小时未响应则自动生成“回收工单”。第六章技术落地6.1统一身份管理（IAM）采用开源组件Keycloak+自研插件，支持SAML、OIDC、OAuth2、LDAP、AD、钉钉、企业微信、飞书扫码。所有系统必须在2025年3月31日前完成对接，未对接系统预算冻结。6.2细粒度授权（ABAC）以“用户属性+环境属性+数据属性”实时计算。示例：当用户.costCenter=“华东区”且客户.region=“华东”且时间在工作日8:00-20:00且终端合规评分≥80时才允许导出Excel。6.3金库模式（PrivilegedAccessManagement）域管、DBA、财务超级用户统一使用CyberArk保险箱。登录需先拨入零信任网关→短信+指纹+动态令牌→自动录像→命令审计。每次操作生成录像文件，保存3年。6.4自动化巡检Python+Ansible每晚02:00拉取所有系统账号列表，与IAM基准库比对，差异>1%即发告警。Slack机器人@RE值班。6.5数据防泄漏（DLP）所有L3及以上文件下载自动打水印“账号+时间+IP”，外发邮件触发DLP规则自动进入审批，审批通过后方可发出。第七章审计与合规7.1日志规范谁、在什么系统、什么时间、访问了哪张表、哪条记录、哪台主机、结果成功/失败、客户端IP、UA、证书序列号。日志保留7年，使用GrayLog集中存储，WORM硬盘防篡改。7.2审计频率（1）日常：AU每季度抽查；（2）专项：发现数据泄露事件后24小时内启动；（3）外部：每年聘请第三方SOC做渗透+合规审计。7.3审计报告模板含“审计范围、审计方法、抽样比例、发现问题、风险评级、整改建议、责任人、截止日期、复测结果”。报告必须ARB主任签字后上传Confluence，权限仅对内审人员开放。7.4违规分级一级：泄露绝密数据，罚款5万元+解除劳动合同+移交公安；二级：泄露机密数据，罚款2万元+降职；三级：私自开通账号，罚款5千元+通报；四级：超时未回收，罚款1千元+扣KPI。第八章应急与灾备8.1权限滥用事件发现异常登录5分钟内禁用账号→隔离终端→保存日志→通报ARB→1小时内出具《事件快报》→24小时内出具《根因分析报告》→72小时内完成整改。8.2灾难场景（1）IAM主库宕机：切换到异地RDS只读实例，RPO<15分钟；（2）审批人失联：启用“紧急审批微信群”，CIO+2名ARB成员语音确认后可临时开通，48小时内补齐工单；（3）批量误删权限：使用Git版本化的权限基线，10分钟内回滚。第九章培训与考核9.1入职培训HR统一安排2小时《权限管理基础》直播，缺席者账号延期7天开通。9.2在职培训每半年一次“钓鱼邮件+权限滥用”演练，点击率>5%的部门全部门重新培训。9.3考核指标（1）权限回收及时率≥99%；（2）休眠账号比例≤1%；（3）审计发现问题闭环率100%；（4）高危操作录像缺失率0。第十章附表与模板10.1《系统权限责任清单》列明系统名称、RO姓名、工号、手机、备份RO、审批RA、金库模式、最后更新时间。10.2《角色模板库》每个角色对应功能点、数据范围、适用岗位、风险等级、审批层级、默认有效期。10.3《权限审计整改通知书》含问题描述、截图、法规条款、整改建议、截止日期、回执栏。10.4《账号及权限使用承诺书》用户签字承诺不共享、不越权、不绕过、及时报告异常。第十一章落地案例（2023年度真实记录）11.1背景集团零售事业部2023年“双11”前20天，CRM系统被外包运营人员利用dormant账号导出74万条会员手机号，在黑产群贩卖，导致公司被监管约谈。11.2处置（1）当日18:33信息安全部监测到“凌晨03:00大量导出”告警；（2）18:35禁用涉事账号，锁定外包办公室门禁；（3）18:50通报ARB，启动一级应急响应；（4）19:30通过CyberArk录像确认嫌疑人；（5）次日09:00向公安报案；（6）第3天完成74万条数据影响评估，发送用户短信提醒；（7）第7天支付1.2亿元数据泄露准备金；（8）第15天完成全部系统权限重梳理，回收1.8万个多余角色。11.3改进（1）外包账号有效期从“项目结束”改为“30天强制续签”；（2）CRM导出功能增加“动态脱敏”，手机号中间4位打码；（3）引入“数据水印+UEBA”，相同账号30天内下载超过5000条触发人脸识别二次认证；（4）将权限回收及时率纳入外包合同KPI，低于99%直接扣除10%服务费。第十二章常见问题与排错（面向初学者）12.1问题：提交申请后1小时仍显示“待审批”排错：a)让申请人检查邮件是否进入经理垃圾邮箱；b)登录IAM→“流程图”查看卡在哪个节点；c)若经理已离职，联系HR更新汇报线，再点击“重新路由”。12.2问题：开通后无法登录系统排错：a)确认密码是否正确，可尝试“忘记密码”自助重置；b)检查是否插入UKey并安装驱动；c)查看系统是否处于维护窗口；d)仍失败，在工单点击“一键诊断”，系统自动测试网络、证书、角色绑定，生成报告后RE值班会收到告警。12.3问题：误删了重要角色排错：a)立即在IAM点击“权限回滚”，选择7天内任意基准点；b)若回滚失败，开紧急工单，电话RE值班；c)同时发邮件给ARB主任备案，说明业务影响范围。12.4问题：手机收不到OTP排错：a)检查手机信号；b)确认IAM个人资料手机号正确；c)尝试语音OTP；d)仍失败，使用备