内部运维审计访问控制规范

内部运维审计访问控制规范一、总则（一）目的与适用范围。为规范内部运维审计访问控制管理，防范信息安全风险，本规范适用于公司所有部门及人员，包括但不限于系统管理员、运维人员、审计人员及普通员工。目的在于明确访问权限申请、审批、变更、回收等全流程管理要求，确保信息系统资源得到合法、合规、安全使用。（二）基本原则。访问控制管理遵循最小权限、职责分离、可追溯、定期审查原则。最小权限要求仅授予完成工作所必需的最低权限；职责分离要求不同岗位权限相互制约；可追溯要求所有访问行为具备日志记录及查询能力；定期审查要求每年至少开展一次权限合规性检查。（三）管理职责。信息技术部负责访问控制技术平台运维及策略制定，人力资源部负责员工权限与岗位变更协同管理，内审部负责访问控制合规性监督，各业务部门负责人对本部门人员权限使用负首要责任。二、组织架构与职责（一）访问控制管理委员会。由分管信息安全的公司领导担任主任，信息技术部、人力资源部、内审部、法务部等部门负责人为委员，负责重大访问控制事项决策，每季度召开一次会议。（二）信息技术部职责。1.建立统一身份认证平台，实现单点登录；2.设计权限矩阵模型，明确各岗位权限范围；3.开发权限申请系统，实现线上审批流程；4.部署行为审计系统，实时监控异常访问；5.定期开展权限梳理，清理冗余授权。（三）人力资源部职责。1.建立员工岗位说明书，明确权限需求依据；2.协同信息技术部完成新员工权限配置；3.配合内审部开展权限使用情况调查；4.处理权限争议申诉，出具调解意见。（四）内审部职责。1.制定年度访问控制审计计划；2.现场核查权限申请审批流程；3.抽验系统访问日志完整性；4.出具审计报告，提出整改要求。三、权限生命周期管理（一）权限申请。1.员工需填写《访问权限申请表》，注明申请理由及权限需求；2.部门负责人在2个工作日内完成初审；3.信息技术部在3个工作日内完成技术复核；4.特殊权限需经访问控制管理委员会审批。（二）权限配置。1.信息技术部根据审批通过的申请表，在5个工作日内完成配置；2.配置完成后需通知申请人进行测试；3.测试合格后正式生效，同时生成配置记录。（三）权限变更。1.岗位调整需在3个工作日内发起变更申请；2.离职人员权限需在离职手续办结前冻结；3.临时授权需明确有效期，到期自动失效；4.变更操作需双人复核，并记录操作人、操作时间、变更内容。（四）权限回收。1.员工离职需立即回收所有系统访问权限；2.退休人员权限需在手续办结后30日内回收；3.冻结权限需在问题解决后5个工作日内解除；4.回收操作需经信息技术部确认，并通知人力资源部备案。四、技术控制措施（一）身份认证管理。1.强制使用统一身份认证系统；2.启用多因素认证机制，重要系统必须采用；3.定期更换登录密码，强制复杂度要求；4.禁止使用默认账号及密码。（二）权限分级管理。1.建立五级权限体系，分为系统管理员、高级用户、普通用户、只读用户、审计用户；2.不同级别权限不得交叉使用；3.核心系统采用基于角色的访问控制。（三）访问日志管理。1.所有访问行为必须记录时间、IP地址、操作内容、操作结果；2.日志保存期限不少于12个月；3.日志存储需与业务系统物理隔离；4.禁止任何形式日志篡改。（四）异常监控预警。1.设置登录失败阈值，超过5次自动锁定账号；2.发现异地登录需立即通知用户确认；3.检测到权限滥用行为需自动触发告警；4.定期生成访问行为分析报告。五、审计与监督（一）日常监督。信息技术部每日抽查系统访问日志，内审部每月开展随机检查，各业务部门每周组织内部复核。（二）专项审计。每年开展至少两次全面访问控制审计，重点检查以下内容：1.权限申请审批流程合规性；2.离职人员权限回收完整性；3.系统管理员职责履行情况；4.日志记录准确性与完整性。（三）问题整改。1.对审计发现的问题需制定整改计划，明确责任人与完成时限；2.整改情况需向访问控制管理委员会汇报；3.重大问题需升级处理，直至问题解决。六、附则（一）责任追究。违反本规范造成信息泄露的，按公司相关规定追究责任，情节严重的移交司法机关处理。（二）制度更新。本规范由信息技术部负责解释，每年至少修订一次，重大变更需经公司