还剩6页未读,继续阅读
文本内容:
文件编号W1-018**工作指导书生效日期
2022.
06.28修订状态A0信息系统权限治理制度页码第页共8页L0目的标准各种类型信息系统用户(业务用户、特权用户、第三方用户)的权限治理,标准权限开通、暂停、去闭流程,保证信息系统授权的合理性、准确性、权责对等,防止信息系统被非法访问或权限滥用
2.1范围全部公司信息系统流程的授权、权限暂停与恢复、关闭、权限审计治理
2.2定义
3.1业务用户内部业务用户分两种
3.
1.1第一种是指进展业务操作的一般用户
3.
1.2其次种是指可对一般用户进展治理或具有系统局部模块、局部功能治理权限的关键用户
3.2特权用户特权用户分三种
3.
2.1第一种是指可对全部用户进展授权治理的用户
3.
2.2其次种是指可对系统进展治理治理员用户
3.
2.3第三种是指可对信息系统进展信息安全审计的审计用户
3.3第三方用户第三方用户分两种
3.
3.1第一种是指需访问公司供给应第三方人员(如供给商、客户等)信息系统的用户
3.
3.2其次种是指因临时性的业务需要,需访问公司信息系统的用户〔如外部开发参谋、询问参谋、外部年计人员等)
4.0职责
4.1部门负责提出权限开通、权限暂停和恢复、权限关闭申请;部门经理或更高级别治理人员负责权限业务需求审核
4.2IT工程师负责依据本工作指示建立信息系统权限治理电子化流程;负责从信息保密、业务连续性角度审核用户所申请权限的合理性、风险;负责对用户进展授权及相应治理
4.3IT部门治理人员负责从信息安全角度审核用户所申请权限正值性、合理性、风险;负责对权限治理流程进展审计,审计内容包括信息系统权限的职责分别状况、权限审批流程合规性、授权准确性
4.4信息安全小组权限的审计
5.0作业内容
5.1权限审批流程建立
5.
1.1系统上线前必需由工程经理在系统上建立对应的权限申请流程
5.
1.2对权限申请系统流程的建、修改必需通过IT部审批
5.2权限申请流程■部业络用户权限申请流程说明-------------------------------------------------------------------------------------------文件编号W1-018**工作指导书生效日期
2022.
06.28修订状态A0信息系统权限治理制度页码第页共8页步骤责任角色说明应用表单工作事项01提交申请用户/部门文员全部信息系统内部业务用户权限申请必需通过相应的系统申请流程,每个内部业务用户在一个信息系统中只能申请一个账号;必需遵循权限申请最小化原则,用户只能申请完成工作所需的权限,并需在权限申请流程中具体注明申请理由;权限申请流程各审批节点的设貉、所需内容的填写必需严格符合系统流程说明02需求审核用户部门负责人用户部门经理从业务角度审核用户所申请权限的必要性;IT人员/负责人IT人员从信息保密角度审核用户所申请权限正值性、合理性、风险IT负责人从信息保密、业务连续性角度审核用户所申请权限的合理性、风险03权限安授权专员只有授权专员才有授权权限,不允许系统治理员进展授权排操作;授权专员只对符合流程的权限申请进展授权,对不符合的申请有权驳回;授权专员依据各节点审批人的审核意见进展权限安排;授权专员将用户账号、初始口令通过短信交付给用户04授权专员授权专员对全部用户授权进展台账记录记录台帐权限治理表05权限审计信息安全小组定期对信息系统内部业务用户权限进展审计;权限审核记录审计内容包括岗位与业务权限对应表规章、权限审批流程合规性、授权准确性
5.
2.2特权用户权限申请流程说明文件编号W1-018**工作指导书生效日期
2022.
06.28修订状态A0信息系统权限治理制度页码第页共8页应用表工作事责任角色说明步骤项单01提交申用户/部门全部信息系统内部业务用户权限申请必需通过相应的系统申请流程,请文员每个内部业务用户在一个信息系统中只能申请一个账号;必需遵循权限申请最小化原则,用户只能申请完成工作所需的权限,并需在权限申请流程中具体注明申请理由;权限申请流程各审批节点的设谿、所需内容的填写必需严格符合系统流程说明02需求审用户部门用户部门经理从业务角度审核用户所申请IT权限的必要性;核负责人IT IT人员从信息保密角度审核用户所申请权限正值性、合理性、风险人员/负贡IT负责人从信息保密、业务连续性角度审核用户所申请特权权限的合理人性、风哈C03权限安授权专员只有授权专员才有授权权限,不允许系统治理员进展授权操作;排授权专员只对符合流程的权限申请进展授权,对不符合的申请有权驳回;授权专员依据各节点审批人的审核意见进展权限安排;授权专员将用户账号、初始口令通过短信交付给用户权限管记录台04授权专员授权专员对全部特权用户授权进展台帐记录帐理表05定期对IT特权进展审计;权限审信息安全权限审审计内容包括特权岗位与特权对应表规章、权限审批流程合规性、按计小组亥记录权准确性
5.
2.3第三方用户权限申请流程说明文件编号W1-018**工作指导书生效日期
2022.
06.28修订状态A0信息系统权限治理制度页码第页共8页应用表工作事项责任角色说明步骤单01提交申请用户/部门全部的第三方人员访问公司信息系统都必由公司内部业务接口人代文员申请;且必需将第三方人员与公司签订的保密协议作为附件参加审批流程必需遵循权限申请最小化原则,第三方用户只能申请完成工作所需的权限,不允许拥有特权,并需在权限申请流程中具体注明申请理由;权限申请流程各审批节点的设络、所需内容的填写必需严格符合系统流程说明02需求审核用户部门负责人IT人员/用户部门经理从业务角度审核用户所申请第二方权限的必要性;负责人IT人员从信息保密角度审核申请第三方权限正值性、合理性、风险IT负责人从信息保密、业务连续性角度审核用户所申请特权权限的合理性、风险只有授权专员才有授权权限,不允许系统治理员进展授权操作;授03权限安排授权专员权专员只对符合流程的权限申请进展授权,对不符合的申请有权驳回;授权专员依据各节点审批人的审核意见进展权限安排;授权专员将用户账号、初始口令通过短信交付给用户04记录台帐授权专员授权专员对全部第三方用户授权进展台帐记录权限管理表05权限审计信息安全定期对第三方权限进展审计;权限审小组审计内容包括第三方岗位与特权对应表规章、权限审批流程合规核记录性、授权准确性
5.3权限暂停与恢复
5.
3.1IT权限暂停与恢复申请流程说明文件编号W1-018**工作指导书生效日期
2022.
06.28修订状态A0信息系统权限治理制度页码第页共8页应用表步骤工作事项责任角色说明单用户请事、病假超过10天,或旷工1日以上,或是其他缘01提交申请用户、部门文员由临时离司,由用户本人或部门文员提交系统流程暂停IT权限申请;返司当日,由部门文员提交系统流程恢复IT权限;系统流程中需注明要暂停或恢复IT权限的系统及账号02需求审核用户部门经理审核暂停、恢复系统权限的必要性用户部门负责人只允许授权专员进展IT权限暂停与恢复操作,不允许系统03权限安排授权专员治理员进展该操作;授权专员依据各节点审批人的审核意见对用户IT权限进展暂停或恢复;授权专员只对符合流程的IT权限暂停或恢复申请进展处理,对不符合的申请进展驳回;授权专员将IT权限恢复后的初始口令通过短信方式昉送给内制亚冬用户权限治04记录台帐授权专员授权专员对全部IT权限的暂停与恢复进展台帐记录理表权限审05权限审计信息安全小组定期对临时离司人员的IT权限进展审计看是否已经暂停核记录一
5.4权限关闭
5.
4.1权限关闭流程说明文件编号W1-018**工作指导书生效日期
2022.
06.28修订状态A0信息系统权限治理制度页码第页共8页应用表步骤工作事项责任角色说明单01提交申请用户、部门文员对于内部用户,离司、转岗时提交权限关闭系统流程申请,并向IT供给其全部的IT系统账号,否则不得离司;第三方业务用户权限到期或与公司终止业务关系,由公司内部业务接口人提交权限关闭系统流程申请授权专员收到IT权限关闭系统流程申请后,需马上对用户02权限关闭授权专员权限进展关闭04记录台帐授权专员授权专员对全部IT权限关闭进展台帐记录权限管理表05权限审计信息安全小组定期对离司人员的IT权限进展审计看是否已经关闭权限审核记录
5.5六类IT公共权限开通规章如下,如在范围外,需征得部门负责人的同意序号权限名称权限开通规章
1.经理、总监及以上领导〔默认开通)1互联网申请范围
2.财务网银用户
3.人力资源聘请人员
4.市场调研人员、市场开发人员
5.供给商开发人员、产品询价人员
6.企业文化宣传人员
7.外聘专家、参谋(由业务部门帮助申请)范围内审批人员由部门经理、IT负责人审批开通
1.总监及以上领导(默认开通)2邮件外发申请范围
2.经理(需部门总监审批)
3.营销、客服人员
4.客户工程直接参与沟通人员
5.人力资源聘请人员
6.供给商开发人员、产品询价人员范围内审批人员由部门经理、IT负责人审批开通文件编号W1-018**工作指导书生效日期
2022.
06.28修订状态A0信息系统权限治理制度页码第页共8页
1.总监及以上领导(默认开通)3USB申请范围
2.经理(需部门总监审批)
3.USB加密狗、网银用户
4.设备调试、软件编程用户
5.需要USB传送文件的用户
6.需接打印机、扫描仪
7.其他USB通信设备用户范围内审批人员由部门经理、IT经理审批开通
1.海外VP长期深圳出差、总监及以上领导(默认开通)4VPN申请范围
2.经理〔需部门总监审批)
3.长期出差且需访问AX、SAP等核心生产及商务核心系统的人员范围内审批人员由部门经理、IT负责人审批开通
1.总监及以上领导(默认开通〕5即时通讯申请范围
2.经理(需部门总监审批)
3.人力资源聘请人员
4.市场调研人员、市场开发人员
5.供给商开发人员、产品询价人
6.企业文化宣传人员
7.外聘专家、参谋〔由业务部门帮助申请)范围内审批人员由部门经理、IT负责人审批开通6信息系统申请范围权限申请需求人员通过邮件/等快速方式提出申请,名IT人员/负责人授权后,由IT进展此项权限的操作;权限关闭由IT马上回收权限并归档;权限审计信息安全小组定期审计并单独出具报告给经理批阅
5.6其他规定
5.
6.1公司未经批准,不允许使用拨号设备来传输数据拨号设备包括用线的Modem,用手机无线网络的智能手机、平板电脑等
5.
6.2但凡接入公司的内部网络,包括宽带的LAN和内部无线,都需要满足准入的要求
5.
6.3公司网络分为内部网络和外部网络,一般状况下客户只能使用外部无线路由上网
5.
6.4公司的全部移动设备(如笔记本电脑,台式电脑、终端机)都纳入网络治理中,不能同时接通内部网络和外部网络文件编号W1-018**工作指导书生效日期
2022.
06.28修订状态A0信息系统权限治理制度页码第页共8页相关文件
6.0无相关表单
7.
07.1《权限治理表》
7.2《权限审核记录》。
个人认证
优秀文档
获得点赞 0
