文档介绍：-10-27文文档审核审核人职务审核日期文文档批准批准人职务批准日期复分发控制部门人员文档权限复复查计划复查时间复查人员复查结果第一章总则目的:为保障企业信息化系统的安全、稳定运行,切实防范和降低因非法或不适当的对系统或数据的访问而带来的风险,加强对系统访问和权限分配的管理,根据相关规章制度,特制订本管理办法。本管理办法适用范围:系统范围:支撑和企业信息化各系统,包括BOSS系统、以及支撑以上各系统的网络平台系统;人员范围:对上述系统进行使用和开发维护的人员,包括各系统的最终用户、系统账号权限管理人员、提供系统集成、开发、维护、和技术支持服务的非本公司人员(第三方人员)。第二章相关定义账号是指每个可访问系统资源的用户在系统中的标识,可分为应用系统账号、操作系统账号和数据库账号等。应用系统账号是指在应用系统中建立的用户标识,用户可以通过应用系统提供的前台操作界面进行登录,并使用授权的业务功能和访问授权的业务数据;操作系统账号是指在主机系统中建立的用户标识,用户可以登录主机设备和发出操作指令;数据库账号是指在数据库系统中建立的用户标识,用户可以登录数据库系统并访问其中的数据。访问权限是指账号被赋予的可以访问系统资源和使用系统功能的权利。账号管理员是指负责在系统中执行账号管理操作的人员,例如在系统中创建或撤销账号,分配或修改账号权限,定期提供系统中的账号和权限清单供审阅等。账号审批人员是指有权对账号和权限的管理操作进行审批和决策的人员,包括各部门负责人,业务负责人、安全管理员或经部门领导授权的人员等。系统管理员是指负责对系统进行维护和管理的人员,例如操作系统管理员,数据库管理员,账号管理员等。归档人是指负责执行文档资料归档保存操作的人员。,。BOSS系统应用账号和权限的审批由各职能管理部门负责,各使用部门负责向职能管理部门提出应用系统账号和权限申请,信息化部负责在BOSS系统中执行账号和权限管理的相关操作。各系统操作系统层和数据库层和网络层账号和权限的管理由信息化部负责。第四章基本原则对系统的访问必须经过授权,任何人不得在未经授权的情况下在系统中运行未经审批的程序。授权可以通过书面文件,或通过员工按岗位的分工等方式实现。授权必须经过正式审批方可生效。各系统必须采用用户名和密码认证方式实现登录控制,对系统的访问必须使用唯一的账号和口令。各系统中不允许建立共享账号,每个账号都与唯一的用户相对应。拥有账号的用户不得随意将账号交于他人使用。账号权限的分配应遵循满足需求的最小授权原则,即为用户分配权限时,以其能进行系统管理、操作的最小权限进行授权,避免为其分配无关的或更大的权限。各系统(主机、数据库、网络、应用)都应有完整的帐号权限分配现状记录表,且展示形式清晰,可以方便查询到指定用户的权限;每月备份帐号权限分配记录表,备份信息保留至少两年;有关用户登陆和账号权限管理的相关操作在系统中要留有日志,日志至少保留两年以上;创立新用户角色或对用户组或用户角色定义进行修改时,应考虑不相容职责分工原则,例如操作人员与审核人员的分离、开发人员与维护人员的分离等。当员工工作调动或离职时,其在系统中的账号应立即撤销,不得继续将账号分配给他人使用。开发人员平时不得使用生产系统中的账号。如需使用,则必须以书面形式提出申请,经信息化部主管审批后,,在访问结束后及时删除账号或更改口令,并对操作日志进行审阅。对操作系统级和数据库层超级用户的账号(比如根用户,系统管理员,安全管理员账号,批处理用户账号,数据库管理员)由信息化部系统维护部经理对正式书面审批,使用仅限于经授权的系统管理人员;信息化部系统维护部经理对操作系统层及数据库层超级用户账号的清单每季进行复核并签字确认,并对多余或不恰当的账号进行调整。对应用系统层超级用户的账户的建立是根据用户工作职责,仅限于经授权的应用管理人员使用。各系统遵循如下规定:信息化部业务维护部经理或各业务部门主管对BOSS系统应用管理员、工号管理员的授权审批建立正式的书面审批表格,并且对BOSS系统管理员、工号管理员的清单每季进行复核并签字确认,并对多余或不恰当的账号进行调整;如果系统中存在第三方厂商人员使用账号的情况,应和第三方厂商签订相关的安全保密协议,