信息系统权限与安全管理办法

信息系统权限与安全管理办法第一章总则第一条目的与依据为规范公司信息系统的权限分配、使用与管理，保障信息系统及数据的机密性、完整性和可用性，防范信息安全风险，依据国家相关法律法规及公司内部管理制度，特制定本办法。第二条适用范围本办法适用于公司内部所有信息系统（包括但不限于业务系统、管理系统、办公自动化系统等）的权限管理活动，以及所有使用公司信息系统的员工、合作伙伴及其他授权人员（以下统称“用户”）。第三条基本原则权限管理遵循以下原则：1.最小权限原则：用户仅获得其履行岗位职责所必需的最小权限，多余权限应予以限制或撤销。2.职责分离原则：关键岗位的权限应进行适当分离，避免因权限集中而产生风险。3.审批授权原则：权限的授予、变更和撤销必须经过规定的审批流程。4.动态调整原则：权限应根据用户岗位变动、职责调整等情况进行及时动态调整。5.安全可控原则：权限管理过程应确保安全，防止未授权的访问和操作。第二章组织与职责第四条管理部门公司信息技术部门（或指定的信息安全管理部门，下同）是信息系统权限与安全管理的归口管理部门，主要职责包括：1.组织制定和修订信息系统权限与安全管理相关制度和流程。2.监督和检查本办法的执行情况。3.负责公司级核心信息系统的权限配置、审核与管理。4.组织开展信息系统安全意识培训。第五条业务部门各业务部门是其主管业务范围内信息系统权限的申请和使用部门，主要职责包括：1.根据业务需求和岗位职责，提出本部门用户的权限申请。2.对本部门用户权限的合理性进行初审。3.配合信息技术部门进行权限审查和清理工作。4.加强本部门员工的信息安全意识教育，督促其遵守权限管理规定。第六条用户责任用户在使用信息系统权限时，应履行以下责任：1.妥善保管个人账户信息，严禁转借或泄露给他人使用。2.严格按照授权范围和业务规程操作信息系统。3.发现权限异常或安全隐患时，应立即向信息技术部门或本部门负责人报告。4.遵守公司信息安全相关规定，承担因个人行为不当造成的安全责任。第三章权限申请与审批第七条权限申请用户因工作需要使用信息系统时，应由所在部门统一向信息技术部门提交权限申请。申请材料应明确以下内容：1.申请人基本信息及所属部门。2.申请访问的信息系统名称及具体功能模块。3.申请权限的级别及范围。4.申请权限的合理理由及预计使用期限（如适用）。第八条权限审批权限申请应经过逐级审批：1.申请人所在部门负责人对申请的必要性和合理性进行初审。2.业务系统主管部门（若有）对权限的业务合规性进行审核。3.信息技术部门对申请的技术可行性及安全性进行审核，并根据审批结果配置相应权限。4.对于涉及敏感信息或高级别权限的申请，需报请公司分管领导审批。第四章权限分配与调整第九条权限分配原则权限分配应严格遵循最小权限原则和职责分离原则，根据用户的岗位职责和工作需要进行精准分配，避免权限过大或权限重叠。第十条权限调整当用户发生岗位变动、职责调整或信息系统功能变更时，相关部门应及时提出权限调整申请，按原审批流程办理权限的增加、修改或撤销手续。第十一条临时权限因临时工作需要（如项目支持、数据统计等）申请的临时权限，必须明确使用期限。期限届满后，信息技术部门应及时自动或手动收回该临时权限。用户在临时权限使用完毕后，也应主动申请撤销。第五章用户账户管理第十二条账户开立信息技术部门根据审批通过的权限申请，为用户开立信息系统账户，并通知用户初始登录信息。用户首次登录后，应立即修改初始密码。第十三条密码管理用户账户密码应符合以下要求：1.密码应具有一定的复杂度，避免使用简单易猜的字符组合。2.定期更换密码，具体周期由各信息系统根据安全级别设定。3.不同信息系统应尽量使用不同的密码。第十四条账户停用与注销用户离职、调离或不再需要使用特定信息系统时，所在部门应及时通知信息技术部门办理账户停用或注销手续。信息技术部门应在接到通知后，在规定时限内完成账户处理。第十五条账户锁定与解锁对于多次密码输入错误或违反安全策略的账户，系统应自动锁定。用户账户被锁定后，可向信息技术部门申请解锁，解锁需经过身份验证和审批。第六章权限审查与清理第十六条定期审查信息技术部门应会同各业务部门，定期（如每季度或每半年）对信息系统用户权限进行审查。审查内容包括：1.用户权限与当前岗位职责的匹配性。2.是否存在未使用或长期闲置的权限。3.是否存在权限冲突或过度授权情况。第十七条权限清理对于审查中发现的不合理权限、闲置权限或过期权限，信息技术部门应及时通知相关业务部门进行核实，并根据核实结果进行调整或清理。第十八条审计日志信息系统应具备完善的操作审计日志功能，记录用户的登录、关键操作及权限变更等行为。审计日志应妥善保存，保存期限不少于规定年限，以备后续查询和追溯。第七章操作规范与安全责任第十九条操作规范用户在使用信息系统时，应遵守以下操作规范：1.严禁越权访问、查询、修改或删除信息系统中的数据和配置。2.严禁利用系统权限从事与工作无关的活动。3.不得私自安装未经授权的软件或更改系统设置。4.离开工作岗位时，应及时锁定计算机或退出信息系统。第二十条安全责任追究对于违反本办法规定，造成信息系统安全事件或数据泄露的，公司将根据情节轻重及所造成的后果