信息系统权限管理规定完整版

信息系统权限管理规定 HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】

XXX集团有限公司

信息系统权限管理办法

（字〔〕号，印发）

第一章总则

第一条为进一步规范XXX集团有限公司（以下简称集团公司）的信息系统权限管理工作，加强权限控制，确保各信息系统安全、有序、稳定运行，防范应用风险，特制定本办法。

第二条本办法适用于已建成的、基于角色控制和方法设计的各型信息系统，以及以用户口令方式登录的网络设备、网站系统等。

第三条信息系统用户、角色、权限的划分和制定，以人力资源部对部门职能定位和各业务部门内部分工为依据。

第四条信息系统用户和权限管理的基本原则是：

（一）用户、权限和口令设置由系统管理员全面负责。

（二）用户、权限和口令管理必须作为项目建设的强制性技术标准或要求。

（三）用户、权限和口令管理采用实名制管理模式。

（四）严禁杜绝一人多账号登记注册。

第二章权限分配职责

第五条部门经理职责

根据公司业务的实际需要，以及信息系统各功能权限，拟定系统管理员以及相关用户人选。

第六条主管领导职责

（一）依据部门主任提交的信息系统权限分配方案，并根据信息系统适用的范围决定同意或者上报权限分配方案；

（二）信息系统适用范围仅限于部门内，且非重要系统，由主管领导决定权限分配方案；

（三）信息系统适用范围跨多部门或全公司，由主管领导将权限分配方案上报至总经理。

第七条总经理职责

总经理负责对适用于全公司或重要系统的权限分配方案进行审批。

第三章管理职责

第八条系统管理员职责

负责本级用户管理以及对下一级系统管理员管理。包括创建各类申请用户、用户有效性管理、为用户分配经授权批准使用的业务系统、为业务管理员提供用户授权管理的操作培训和技术指导。

第九条业务管理员职责

负责本级本业务系统角色制定、本级用户授权及下一级本业务系统业务管理员管理。负责将上级创建的角色或自身创建的角色授予相应的本级用户和下一级业务管理员，为本业务系统用户提供操作培训和技术指导，使其有权限实施相应业务信息管理活动。

第十条用户职责

用户须严格管理自己用户名和口令，遵守保密性原则，除获得授权或另有规定外，不能将收集的个人信息向任何第三方泄露或公开。系统内所有用户信息均必须采用真实信息，即实名制登记。

第四章用户管理

第十一条用户申请和创建

（一）申请人在《用户账号申请和变更表》上填写基本情况，提交本部门经理；

（二）部门经理确认申请业务用户的身份权限，并在《用户账号申请和变更表》上签字并提交主管领导；

（三）主管领导职权范围内可直接确认，职权范围外需签字后提交总经理；

（四）总经理签字确认；

（五）经审批后的《用户账号申请和变更表》交由系统管理员创建用户或者变更权限。

（六）系统管理员将创建的用户名、口令告知申请人本人，并要求申请人及时变更口令；

（七）系统管理员将《用户账号申请和变更表》存档管理。

第十二条用户变更和停用

（一）系统使用部门确认用户角色变更或停用原因，并在《用户账号申请和变更表》上签字并提交主管领导；

（二）主管领导职权范围内可直接确认，职权范围外需签字后提交总经理；

（三）总经理签字确认；

（四）经审批后的《用户账号申请和变更表》交由系统管理员做用户变更或停用。

（五）系统管理员将《用户账号申请和变更表》存档管理。

第五章安全管理

第十三条使用各信息系统应严格执行国家有关法律、法规，遵守公司的规章制度，确保国家秘密和企业利益安全。

第十四条口令管理

（一）系统管理员创建用户时，应为其分配独立的初始密码，并单独告知申请人。

（二）用户在初次使用系统时，应立即更改初始密码。

（三）用户应定期变更登陆密码。

（四）用户不得将账户、密码泄露给他人。

第十五条应急管理

（一）用户账户信息泄露遗失

用户账户信息泄露遗失时，应在24小时内通知系统管理员。系统管理员在查明情况前，应暂停该用户的使用权限，并同时对该账户所报数据进行核查，待确认没有造成对报告数据的破坏后，通过修改密码，恢复该账户的报告权限，同时保留书面情况记录。

（二）系统管理员账户信息泄露遗失

系统管理员账户信息泄露遗失时，应立即向上级领导报告，并及时对系统管理员账户密码进行修改，同时对系统账户管理及数据安全进行核查，采取必要的补救措施，在最终确认系统安全后，方可恢复其系统管理员账户功能。