系统权限回收申请制度_第1页
系统权限回收申请制度_第2页
系统权限回收申请制度_第3页
系统权限回收申请制度_第4页
系统权限回收申请制度_第5页
已阅读5页,还剩2页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

系统权限回收申请制度(一)总则第一条为规范公司信息系统权限管理,防范因权限失控导致的信息安全风险、数据泄露隐患及资源浪费,确保系统权限与员工岗位职责动态匹配,依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《公司信息安全管理办法》及相关内控要求,制定本制度。第二条本制度适用于公司所有信息系统(包括但不限于业务系统、办公自动化系统、财务系统、人力资源系统、服务器、数据库、云平台等)的权限回收管理,涉及对象包括公司全体员工、外部合作单位人员、实习生及其他临时访问人员。第三条权限回收管理遵循以下原则:(一)最小权限原则:权限回收后,确保用户仅保留完成当前工作所必需的最小权限,避免过度授权。(二)及时性原则:触发权限回收情形时,相关部门应在规定时限内完成申请与操作,杜绝权限长期闲置。(三)合规性原则:权限回收流程需符合法律法规及公司内控要求,确保操作可追溯、责任可界定。(四)协同性原则:业务部门、IT部门、人力资源部门等需密切配合,确保权限回收与员工变动、业务调整等事项同步联动。(二)职责分工第四条业务部门职责:(一)负责发起权限回收申请,明确回收原因、权限明细及用户信息,确保申请内容真实、准确。(二)配合IT部门完成权限回收后的业务验证,确保回收操作不影响正常业务开展。(三)定期自查本部门员工权限使用情况,主动上报闲置、滥用权限及需回收的情形。第五条IT部门职责:(一)负责权限回收的技术操作(如账号禁用、权限删除、访问路径阻断等),确保操作安全、可追溯。(二)建立系统权限台账,定期与人力资源部门、业务部门对账,确保权限状态与员工实际岗位一致。(三)提供权限回收流程的咨询与支持,协助业务部门解决申请过程中的技术问题。(四)每季度对权限回收执行情况进行审计,形成报告并向信息安全委员会汇报。第六条人力资源部门职责:(一)负责及时向IT部门、业务部门同步员工离职、调动、晋升、退休等异动信息,作为权限回收的重要触发依据。(二)在员工离职流程中,将“权限回收完成”作为必要环节,未完成回收的不得办理最终离职手续。(三)协助核查员工权限与岗位的匹配性,对岗位变动后权限未及时调整的情形进行督办。第七条信息安全委员会职责:(一)负责审批涉及核心系统、敏感数据权限的回收申请(如三级及以上权限、数据库管理员权限等)。(二)监督制度执行情况,对重大权限回收事件(如因权限未回收导致的安全事件)进行决策与问责。(三)定期评审制度有效性,根据业务发展及外部环境变化修订本制度。(三)权限回收情形第八条员工异动类回收:(一)离职回收:员工主动离职、被动离职(解除劳动合同、辞退等)、退休、劳务合同到期未续签的,自员工离职/退职日期当日起,必须回收其所有系统权限。(二)岗位调动回收:员工内部调动至新岗位后,原岗位权限不再适用的,应在岗位变动通知下发后3个工作日内发起回收;新岗位权限需由接收部门重新申请。(三)长期休假回收:员工连续休假超过6个月(如病假、产假等),或外派期间无需访问原系统权限的,由所在部门发起临时回收,休假/外派结束后可按流程重新申请。第九条权限状态类回收:(一)权限闲置回收:账号连续90天未登录系统,或权限获取后超过6个月未实际使用,且无合理使用场景的,由IT部门发起回收,并提前7个工作日通知业务部门确认。(二)权限滥用回收:用户存在违规操作(如越权访问敏感数据、批量导出非业务必需信息、违反信息安全规定等),经核实后,由信息安全委员会下令立即回收权限,并启动追责流程。(三)权限冗余回收:因系统升级、流程优化等原因,部分权限被替代或取消的,由IT部门通知业务部门发起回收。第十条安全风险类回收:(一)账号安全风险:账号密码泄露、被盗用,或存在异常登录(如异地登录、非工作时间高频登录),经安全部门确认后,立即冻结账号并回收权限。(二)系统下线回收:相关信息系统停用、退役或迁移至新平台的,需在系统停用通知发布前,完成所有用户权限的回收。(三)法律法规要求回收:因法律法规更新、监管要求变化,需特定用户权限终止的,由合规部门通知相关部门发起回收。第十一条其他特殊情形:(一)外部合作人员项目结束后未及时归还权限的,由项目负责部门发起回收。(二)试用期员工未通过转正评估的,由人力资源部门通知IT部门回收权限。(三)员工违反公司信息安全制度,被暂停权限的,需在整改完成并经安全部门验收后,方可重新申请权限。(四)回收申请流程第十二条申请发起:(一)申请主体:业务部门负责人、人力资源部门、IT部门或信息安全委员会(根据情形确定)。(二)申请方式:通过公司OA系统“权限管理”模块在线提交《系统权限回收申请表》(需包含以下信息):1.申请人基本信息(姓名、工号、部门、联系方式);2.涉及系统名称、权限明细(如功能模块、数据范围、操作权限类型);3.回收原因(需对应第三章情形,并提供佐证材料,如离职证明、违规记录截图等);4.建议回收时间;5.业务部门负责人签字(电子签章)。第十三条申请初审:(一)业务部门提交申请后,由IT部门在1个工作日内初审,重点审核:1.申请信息完整性(是否填写系统名称、权限明细等关键要素);2.回收原因合规性(是否符合第三章规定的回收情形);3.权限与岗位匹配性(确认回收权限是否确属用户当前工作非必需)。(二)初审不通过的,IT部门需注明原因并退回申请,业务部门补充材料后可重新提交。第十四条审批决策:根据权限等级实行分级审批:(一)一级权限(普通权限):如普通员工岗位权限、基础数据查询权限,由业务部门负责人审批,IT部门备案后执行。(二)二级权限(管理权限):如部门级管理权限、批量操作权限,由业务部门负责人初审后,报IT部门负责人审批。(三)三级权限(核心权限):如公司级管理权限、数据库管理员权限、敏感数据(如财务数据、客户隐私数据)访问权限,由IT部门负责人初审后,报信息安全委员会审批。(四)紧急回收:因安全事件(如账号被盗、数据泄露风险)需立即回收权限的,可先由信息安全委员会下令IT部门紧急操作,事后24小时内补办审批手续。审批时限:一级权限不超过1个工作日,二级权限不超过2个工作日,三级权限不超过3个工作日。第十五条技术操作:审批通过后,IT部门在以下时限内完成技术回收:(一)普通权限:1个工作日内完成账号禁用、权限删除;(二)管理权限:2个工作日内完成权限撤销、访问路径阻断;(三)核心权限:3个工作日内完成账号冻结、权限隔离,并备份操作日志。操作完成后,IT部门需记录《权限回收操作日志》,内容包括操作时间、操作人、回收权限明细、系统反馈结果等,并同步通知申请部门。第十六条验证与归档:(一)业务部门收到IT部门回收完成通知后,2个工作日内验证权限是否彻底回收(如测试登录是否失败、访问是否受限),并反馈结果。(二)IT部门将《系统权限回收申请表》《权限回收操作日志》等资料整理归档,保存期限不少于3年。(五)操作规范与安全要求第十七条技术操作规范:(一)权限隔离:回收权限时,不得影响用户其他必需权限(如员工调动后,需保留新岗位权限,仅删除原岗位权限)。(二)数据备份:对涉及敏感数据的权限回收前,IT部门需确认用户是否已导出必要业务数据(需符合数据安全管理规定),避免因权限回收导致数据丢失。(三)操作记录:所有权限回收操作需在系统中留痕,操作日志需包含操作人、时间、IP地址、操作对象、操作结果等要素,确保可追溯。(四)误处理补救:因误操作导致权限错误回收的,IT部门需在1小时内恢复权限,并记录原因及补救措施,同时向信息安全委员会报备。第十八条安全管理要求:(一)账号生命周期管理:IT部门需定期(每季度)与人力资源部门核对员工在职状态,对离职、离职人员账号进行彻底注销,而非仅禁用。(二)权限复核机制:每年年底,由信息安全委员会组织IT部门、业务部门开展权限全面复核,清理闲置、冗余权限,形成《权限复核报告》。(三)外部人员权限管理:外部合作人员权限需签订《信息安全协议》,明确权限使用范围及回收义务;项目结束后,由项目负责部门发起回收,IT部门确认协议履行情况后方可关闭账号。(六)监督与责任追究第十九条监督机制:(一)定期审计:IT部门每季度对权限回收执行情况进行审计,重点检查回收及时性、流程合规性、操作完整性,形成《权限管理审计报告》报送信息安全委员会。(二)部门自查:业务部门每半年对本部门员工权限进行自查,填写《权限自查表》,报IT部门备案;未按要求自查的,纳入部门绩效考核。(三)员工监督:员工可通过信息安全举报渠道(如举报邮箱、热线)反馈权限闲置、滥用等问题,经查实的给予奖励。第二十条责任追究:对违反本制度的行为,根据情节轻重追究责任:(一)一般违规:因工作疏忽导致权限回收延迟(超过规定时限3个工作日以内)的,对相关部门负责人进行通报批评,扣减当月绩效5%。(二)严重违规:因未及时回收权限导致安全事件(如数据泄露、系统被攻击)或经济损失的,对业务部门负责人、IT部门负责人扣减当月绩效10%-20%,情节严重的给予降职处分。(三)

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论