安防系统集成公司账号权限与访问控制管理制度

安防系统集成公司账号权限与访问控制管理制度1总则1.1制定目的为规范安防系统集成公司网络系统、涉密平台、安防设备、业务系统的账号创建、权限分配、访问控制全流程管理，严格落实最小权限分配原则，防范因权限过大、账号滥用、非法访问导致的网络安全风险和涉密信息泄露风险，保障公司信息系统、涉密数据、业务资源的安全可控，明确账号管理、权限管控、访问操作的标准规范和责任要求，符合网络安全等级保护和涉密资质管理要求，结合公司系统运维、涉密项目实施、内部管理实际需求，制定本办法。1.2制定依据本办法依据《中华人民共和国网络安全法》《中华人民共和国保守国家秘密法》《信息安全技术网络安全等级保护基本要求》《涉密信息系统集成资质管理办法》等国家法律法规及公司内部网络安全、涉密管理制度编制而成，是公司所有账号权限与访问控制管理的核心执行准则。1.3核心定义1.3.1账号：指员工、外协人员登录公司网络系统、涉密平台、安防设备、业务系统的身份标识，包括用户账号、管理员账号、设备账号、服务账号。1.3.2权限：指账号在系统中具备的操作、访问、修改、删除、导出数据的能力，分为管理权限、操作权限、查询权限、涉密权限。1.3.3最小权限原则：指仅为账号分配完成本职工作必需的最小权限，严禁超额分配、越级授权、闲置授权。1.3.4访问控制：指对账号登录、操作、访问系统的全过程进行管控、验证、审计的管理措施。1.4适用范围本办法适用于公司所有信息系统、网络设备、安防集成系统、涉密平台、业务管理系统的账号创建、权限分配、权限变更、权限回收、登录访问、操作审计全生命周期管理，覆盖公司全体员工、外协人员、临时人员、系统管理员，所有涉及账号权限操作的人员均需严格遵守本办法。1.5核心原则1.5.1最小权限原则：权限分配以工作必需为唯一标准，杜绝超额授权。1.5.2权限分离原则：关键操作权限分离管理，避免单人具备全部操作权限。1.5.3专人专号原则：账号实名绑定、专人专用，严禁共用、转借、共享账号。1.5.4动态管控原则：权限随岗位、工作、项目变动实时调整，定期清理闲置权限。1.5.5全程审计原则：所有账号登录、权限操作、系统访问全程记录审计。2组织职责分工2.1归口管理部门2.1.1技术部为账号权限与访问控制归口管理部门，负责系统账号创建、权限配置、访问管控、技术审计、系统维护。2.1.2行政部负责人员账号审批、身份核实、权限变更协调、人员离岗账号回收。2.1.3涉密管理部门负责涉密系统、涉密平台的账号权限专项审核和管控。2.2部门职责2.2.1各业务部门负责提交本部门员工账号权限申请，核实权限使用需求，监督本部门人员账号使用规范。2.2.2项目部负责涉密项目现场设备账号、临时权限的申请和管理。2.2.3质量管理部负责账号权限管理合规性监督、审计检查、整改验证。2.3操作人员职责2.3.1账号使用人负责妥善保管账号密码，严禁泄露、转借、篡改权限。2.3.2及时上报账号异常、权限滥用、非法访问等安全问题。2.3.3严格按照分配权限操作系统，不得越权访问、越权操作。3账号全生命周期管理3.1账号创建管理3.1.1账号创建实行申请审批制，员工需提交《账号权限申请表》，注明岗位、需求、系统、权限类型。3.1.2新员工入职、外协人员进场、临时人员到岗后，由所在部门提交申请，经行政部核实身份、技术部审核权限后创建账号。3.1.3账号实行实名制，统一使用员工工号或实名标识，严禁创建匿名账号、通用账号。3.1.4涉密系统账号需经涉密管理部门专项审批，方可创建。3.2账号使用管理3.2.1账号专人专用，使用人首次登录必须修改初始密码，密码需符合复杂度要求。3.2.2严禁员工共用账号、转借账号、使用他人账号登录系统。3.2.3临时账号、项目账号设定有效期限，到期自动禁用。3.2.4账号登录实行二次验证，涉密系统账号需采用硬件密钥或生物识别验证。3.3账号变更管理3.3.1员工调岗、晋升、项目变更时，所在部门需在3个工作日内提交权限变更申请。3.3.2技术部根据新岗位需求，回收原有超额权限，分配新的最小必需权限。3.3.3权限变更全程记录，形成变更台账，留存审计记录。3.4账号回收管理3.4.1员工离职、调岗、外协人员离场、项目结束后，立即回收对应账号权限。3.4.2行政部在人员离岗手续中同步发起账号回收流程，技术部1个工作日内完成禁用。3.4.3闲置超过30天的账号，自动冻结，如需重新启用需重新申请审批。4最小权限分配标准4.1权限分类管控4.1.1查询权限：仅允许查看系统数据、设备状态，无修改、导出权限，适用于普通办公人员。4.1.2操作权限：允许执行基础操作、配置参数，无删除、管理权限，适用于一线技术人员。4.1.3管理权限：允许系统配置、账号管理、权限分配，仅授予专职系统管理员。4.1.4涉密权限：仅允许接触对应等级涉密信息，严格限定访问范围和操作内容。4.2分级分配规则4.2.1普通员工：仅分配办公系统、业务查询基础权限，无设备管理、数据导出权限。4.2.2技术人员：分配对应负责设备、系统的操作权限，无跨系统、跨区域超额权限。4.2.3管理员：实行分权管理，网络管理员、系统管理员、涉密管理员权限分离，互不交叉。4.2.4外协人员：仅分配项目现场临时操作权限，禁止访问核心系统、涉密数据。4.3涉密权限特殊管控4.3.1涉密系统权限仅授予涉密岗位人员，非涉密人员严禁申请。4.3.2涉密权限按涉密等级分级分配，低等级人员无法访问高等级涉密信息。4.3.3涉密权限操作全程加密审计，留存不可篡改的操作记录。5访问控制管理规范5.1登录访问控制5.1.1所有系统登录需验证身份信息，包括账号密码、二次验证、设备绑定。5.1.2限制登录地点、登录设备、登录时间，非工作时间禁止登录核心系统。5.1.3连续5次登录失败，自动锁定账号，1小时后解锁或由管理员解锁。5.1.4涉密系统禁止远程登录，仅限专用涉密设备、涉密场所登录。5.2操作访问控制5.2.1账号仅能访问授权范围内的系统、数据、设备，越权访问自动拦截并告警。5.2.2敏感操作、涉密操作需双人复核确认，方可执行。5.2.3禁止账号执行删除核心数据、格式化设备、修改系统配置等高危操作。5.2.4数据导出、拷贝需申请审批，严禁私自导出涉密数据、核心业务数据。5.3网络访问控制5.3.1划分办公网络、设备网络、涉密网络，网络之间物理隔离或逻辑隔离。5.3.2禁止普通账号访问涉密网络、核心设备管理网段。5.3.3外部设备、移动终端禁止接入核心网络和涉密系统。6密码与安全管控6.1密码设置标准6.1.1密码长度不低于12位，包含大小写字母、数字、特殊符号。6.1.2严禁使用简单密码、生日、工号、连续数字等弱密码。6.1.3普通账号密码每90天更换一次，管理员账号密码每30天更换一次。6.1.4禁止重复使用历史密码，密码修改全程记录。6.2密码安全管理6.2.1严禁员工将密码记录在纸质文件、电子文档、聊天工具中。6.2.2系统管理员严禁知晓用户密码，仅负责密码重置。6.2.3密码泄露后，使用人需立即修改密码并上报技术部。7审计与监督管理7.1日常审计7.1.1技术部每日审计账号登录记录、权限操作记录、访问行为记录。7.1.2每周筛查闲置账号、超额权限、异常登录、越权操作行为。7.1.3每月生成账号权限审计报告，上报管理层。7.2定期检查7.2.1每季度开展账号权限全面检查，清理闲置账号、超额权限、无效权限。7.2.2涉密系统账号权限每月专项检查，确保最小权限落实到位。7.2.3检查发现的问题限期整改，形成闭环管理。8责任追究8.1违规创建账号、超额分配权限的，追究管理员和审批人责任，给予通报批评、绩效扣罚。8.2共用、转借、泄露账号密码的，给予书面警告，造成安全风险的解除劳动合同。8.3越权访问、越权操作、私自导出数据的，依法追究责任，涉密违规的移交司法机关。8.4未及时回收离岗人员账号权限导致风险的，追究行政部和技术部责任人责任。8.5审计不到位、监督失职导致账号权限失控的，追究管理责任。9档案管理9.1建立账号权限与访问控制专项档案，包含申请表、审批表、变更记录、回收记录、审计报告。9.2档案实行电