证券股份有限公司信息系统权限管理办法模版

1、证券股份有限公司信息系统权限管理方法第一章总则第一条为规范公司业务系统权限管理，防范系统操作风险，根据证券公司内部控制指引、证券公司信息技术管理规范、证券期货业信息系统运维管理规范等法律、法规、规范文件及重要信息系统等级的保护工作要求制定本办法。第二条本法适用于公司级核心业务系统(以下简称业务系统)的权限管理。 单一部门内部使用系统可以参照本办法制定适用的权限管理规定。中心业务系统是指集中交易、信用交易、期权交易、自营系统等与客户、公司交易、优惠券管理及重要信息资料管理相关的业务系统。第三条公司设立了信息系统岗位权限管理审查小组(以下简称“权限管理审查小组”)，由信息技术部、风险管理部、法令遵

2、守部和相关业务管理部门组成。 业务管理部门是指运营管理总部、信用业务总部等负责日常业务管理的部门。第四条权限管理评审组负责制定和完善信息系统权限管理制度，审查业务系统标准岗位权限构成、互斥岗位规则、岗位授予规则和用户专项权限变更，评审结果形成的工作痕迹材料由信息技术部存档保存。第五条权限管理审查小组设领导一名，由信息技术部的指定负责人负责，其他组成人员由各成员部门的指定负责人负责，成员名单向公司征求审查许可，报告信息技术部。第六条业务体系权限审查时实行一人一票制，制定审查结果的，审查小组成员一半以上应当通过。 审查中的不同意见必须全面而真实地记录下来。第七条业务权限实行岗位和用户的二次分配。

3、所谓职场，是指根据业务流程和业务职责设定的，为了进行具体业务的权限的集合。 用户是指根据职务分配适当的部门，具有业务系统的操作权限的人。第八条业务系统用户类型分为超级用户、管理用户和业务用户。 超级用户是指操作系统、数据库系统和业务系统具有所有权限的用户。 管理用户是指业务系统用于权限管理、残奥仪表设定等系统管理、维护作业的用户。 业务用户是指用于特定业务操作的用户。第九条操作系统、数据库系统和业务系统的超级用户由权限管理审查组审查管理信息技术部管理的用户、业务用户所需的岗位权限，由信息技术部和业务管理部门负责设置。第十条信息技术部根据权限管理审查组的审查结果，设定系统中的部门权限构成、互斥部

4、门规则和总部各部门管理用户、业务用户权限，制定相应的操作流程。第十一条业务管理部门根据权限管理审核小组的审核结果设定系统中营业部等分支机构的用户权限，制定相应的操作流程。第二章权限管理原则第十二条集中管理、等级认可的原则。 职场权限由权限管理审计团队集中管理、审计、评价。 总公司各部门的用户及部门权限的设定由信息技术部负责，营业部等分公司用户及部门权限的设定由业务管理部门负责。第十三条权限最小化的原则。 对于工作场所和用户的授权，原则上要满足业务操作所必须的权限，不授予无关的不必要的权限。第十四条互斥分离的原则。 对工作场所或者用户的授权应当禁止以前、中、后台分离，将互斥的操作权授予同一工作场

5、所和用户。第十五条监督平衡原则。 重要的业务操作必须由两个人进行讨论或多阶段讨论，业务操作、讨论及讨论必须由不同的用户负责。第三章业务权限管理第十六条业务系统的超级用户具有所有管理权限，未经许可不得使用超级用户进行特定的业务操作。第十七条新业务系统在线前，使用部门应根据业务需要申请对应业务岗位和岗位的业务操作权限，制定相应的互斥岗位规则、岗位授予规则，由权限管理审核小组集中审核评价。第十八条由于业务规则变更、系统功能变更等原因引起业务部门增加或现有业务部门操作权限扩大的，由需求部门发起，向权限管理审核小组报告审核批准后设置。第十九条权限管理评审组每半年对业务系统的业务岗位和权限进行考核，以满足

6、公司业务发展和合规、风险控制等要求。第二十条因业务需要申请特殊岗位权限(即对某特殊业务单独设置的应用操作权限)，应当根据业务需要统一执行，业务完成后，需求部门应当立即通知信息技术部撤销相应权限。 特别部门权限批准由权限管理审查小组审查批准。第二十一条业务权限原则上只授予正式职工，有特殊情况授予非正式职工的，应当经公司权限管理审核小组审核批准。第二十二条职工岗位发生变化的，使用部门应当立即申请变更权限的职工调动或者离职的，使用部门应当立即冻结或者注销适当业务系统的用户和权限。 禁止直接删除业务系统用户，或更改业务系统用户名转用给他人。第二十三条业务权限只有经营业务的操作权限，业务经营者必须严格按照业务规程办理业务，需要批准的业务必须按照业务流程批准。第四章申请流程第二十四条业务权限申请、注销、变更批准使用岗位与用户权限变更流程审批单。第二十五条本公司各部门的标准岗位权限申请由业务用户申请人填写批准书，经所属部门负责人批准后，由信息技术部负责设置。第二十六条总部各部门的特别部门权限由需求部门提出申请，由申请部门负责人审核，权限管理审核小组签署审核后，由信息技术部根据审核结果设置。第二十七条营业部的岗位权限申请、注销、变更程序由业务管理部门制定。第五章权限监督检查第二十八条公司信息技术部每年组织各部门审计和确保使用的业务用户和岗位权限，制作审计报告，并向权限管理审计小组报告。第