Logo文件名 信息系統管理授權審批制度類型：工作標準編制人-審核人-批'準人-版本-A/41編制日期: 審T核?/'-審核日期: l-LxX.■批準日期: 文件編號：MQR/2000-GMO-SOP-02 logo位置信息系統管理授權審批制度文件編號：MQR/2000-GMO-SOP-02版本：A/4標準類型：管理標準logo位置Logo文件名. 信息系統'管理授權審批制度類型：工作標準編制人-審核人.批準人-版本.A/41編制日期: 審T核?/'.審核日期: l-LxX.■批準日期: 文件編號：MQR/2000-GM0-S0P-02 刖言本標準依據《保密工作管理實施辦法》、《信息安全技術信息系統安全管理要求》、《企業內部控制規范講解》等有關規定，為規范企業信息系統管理授權審批的權限、方式與程序，提高信息系統的可靠性、穩定新和安全性，結合公司的實際情況，制定本制度。本標準為：A/1標準，起草版本。本標準起草單位：麥趣爾集團股份有限公司本標準主要起草人：馬超Logo文件名. 信息系統'管理授權審批制度類型：工作標準編制人-審核人.批準人-版本.A/41編制日期: 審T核?/'.審核日期: l-LxX.■批準日期: 文件編號：MQR/2000-GMO-SOP-02 引言本標準旨在：1、 涉密系統的操作系統和各類數據庫應當建立用戶身份驗證（鑒別）、訪問權限控制等保密防御機制和審計機制。2、 涉密系統的系統開發人員不得留作該系統的系統管理員。3、 涉密系統所使用的口令應當由系統安全管理員集中產生供用戶使用，并且有口令更換記錄。加強對企業信息系統用戶的權限分配、權限設置等的管理，是確保本企業信息系統運行可靠、安全、穩定和高效，維護企業正常運營和辦公秩序的重要舉措。本標準附錄介紹了信息系統用戶分類、用戶賬戶申請與注銷、各用戶層級管理等計算機信息系統授權管理制度的工作要點。Logo文件名. 信息系統'管理授權審批制度類型：工作標準編制人-審核人.批準人-版本.A/41編制日期: 審T核?/'.審核日期: l-LxX.■批準日期: 文件編號：MQR/2000-GMO-SOP-02 1文檔控制1.1文檔目的為了提高企業信息系統的可靠性、穩定性、安全性，特制定本制度。1.2文檔目標信息系統管理授權審批制度規范企業信息系統管理授權審批的權限、方式與程序，提高信息系統的可靠性、穩定新和安全性。1.3文檔原則企業信息系統的授權以職位說明書和授權書為基準，逐級授權，其他授權方式或越級授權視為無效。1.4文檔側重點本文檔側重描述信息系統管理授權的方式和企業信息系統管理授權程序的各個關鍵點;1.5關鍵聯系信息姓名部門聯系號碼電子郵件地址張幫友信息中心1.6修改歷史修改日期修改人修改內容2014.1.141、術語2、流程圖3、制度內容歸類4、點檢表2014.1.151.術語2、崗位職責2014.1.161、崗位職責2、流程圖1.7審核歷5審核日期審核人審核內容（版本）2014.1.131.8批準歷史批準日期批準人批準內容（版本）2014.1.131.9文檔依據《保密工作管理實施辦法》《信息安全技術信息系統安全管理要求》《企業內部控制規范講解》2適用范圍本制度適用于信息中心與各用戶部門涉及使用企業信息系統的相關人員。

Logo文件名. 信息系統'管理授權審批制度類型：工作標準編制人-審核人.批準人-版本.A/41編制日期: 審T核?/'.審核日期: l-LxX.■批準日期: 文件編號：MQR/2000-GMO-SOP-02 3術語信息系統由計算機及其相關的和配套的設備、設施（含網絡）構成的，按照一定德爾應用目標和規則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統。授權賦予某一主體可實施某些動作的權利的過程。訪問控制一種保證數據處理系統的資源只能由被授權主體按授權方式進行訪問的手段。訪問控制列表由主體以及主體對客體的訪問權限所組成的列表。口令用于身份鑒別的秘密的字、短語、數或字符序列，通常是被默記的弱密碼。4職責4.1信息系統履行風險風險風險1權限審批人員審批不嚴造成權限分配錯誤致使信息泄露風險2信息中心系統管理人員操作不當造成權限分配錯誤致使信息泄露風險3用戶使用完畢后未及時注銷（退出）登陸造成信息泄露風險4用戶將個人用戶名、密碼轉借或轉讓他人使用造成信息泄露4.2信息系統履行關鍵控制點信息系統履行風險與關鍵點控制信息系統履行關鍵點控制控制事項要控制的關鍵點系統用戶控制關鍵點1：a）最小授權要求：系統用戶應由信息系統的主管領導指定，授權應以滿足其工作需要的最小權限為原則；系統用戶應接受審計；關鍵點2：b）責任到人要求：在a）的基礎上，對重要信息系統的系統用戶，應進行人員的嚴格審查，符合要求的人員才能給予授權；對系統用戶應能區分責任到個人，不應以部門或組作為責任人；關鍵點3：c）監督性保護要求：在b）的基礎上，在關鍵信息系統中，對系統用戶的授權操作，必須有兩人在場，并經雙重認可后方可操作；操作過程應自動產生不可更改的審計日志。普通用戶控制關鍵點1：a）普通用戶的基本要求：應保護好口令等身份鑒別信息；發現系統的漏洞、濫用或違背安全行為應及時報告；不應透露與組織機構有關的非公開信息；不應故意進行違規的操作；關鍵點2：b）處理敏感信息的要求：在a）的基礎上，不應在不符合敏感信息保護要求的系統中保存和處理高敏感度的信息；不應使用各種非正版軟件和不可信的自由軟件；關鍵點3：c）重要業務應用的要求：在b）的基礎上，應在系統規定的權限內進行操作，必要時某些重要操作應得到批準；用戶應保管好自己的身份鑒別信息載體，不得轉借他人。臨時用戶控制關鍵點1：a）臨時用戶的設置與刪除：臨時用戶的設置和期限必須經過審批，使用完畢或到期應及時刪除，設置與刪除均應記錄備案；關鍵點2：b）臨時用戶的審計：在a）的基礎上，對主要部位的臨時用戶應進行審計，并在刪除前進行風險評估；關鍵點3：c）臨時用戶的限制：在b）的基礎上，在關鍵部位，一般不允許設置臨時用戶。4.3崗位職責

Logo文件名. 信息系統'管理授權審批制度類型：工作標準編制人-審核人.批準人-版本.A/41編制日期: 審T核?/'.審核日期: l-LxX.■批準日期: 文件編號：MQR/2000-GMO-SOP-02 uU/_L.岡位名稱崗位職責不相容崗位職責績效要求報表需求權限劃分管理權限信息系統權限OAKM協平直屬領導1、 審核申請人所提交的權限申請是否符合其日常工作所需2、 符合：繼續審批：不符：駁回1、 對申請人日常工作不了解2、 對申請人提交的申請審核不認真審核審核閱讀模塊負責人1、 審核申請人所提交的權限申請是否符合其日常工作所需2、 符合：繼續審批：不符：駁回1、 對申請人日常工作不了解2、 對申請人提交的審核不認真3、 對權限層級不熟悉審核審核閱讀信息中心經理1、 審核申請人所提交的權限申請是否符合其日常工作所需2、 符合：繼續審批；不符：駁回1、對申請人日常工作不了解2、 對申請人提交的審核不認真3、 對權限層級不熟悉審核審核閱讀總經理1、 審核申請人所提交的權限申請是否符合其日常工作所需2、 符合：繼續審批；不符：駁回1、 對申請人日常工作不了解2、 對申請人提交的審核不認真3、 對權限層級不熟悉審批審批閱讀信息系統開發主管1、 審核申請人所提交的權限申請是否符合其日常工作所需2、 分配開通權限任務，由主數據專員進行權限開通1、 對申請人日常工作不了解2、 對申請人提交的審核不認真3、 對權限層級不熟悉執行執行閱讀信息系統開發專員1、依據規定開通用戶權限1、 對開通權限程序不熟悉2、 開通權限的操作不負責執行執行閱讀申請人1、確認權限是否開通不按照工作性質進行權限申請申請、確認編輯編輯5信息系統權限管理流程

Logo文件名. 信息系統'管理授權審批制度類型：工作標準編制人-審核人.批準人-版本.A/41編制日期: 審T核?/'.審核日期: l-LxX.■批準日期: 文件編號：MQR/2000-GMO-SOP-02 主流程：信息系統權限管理流程流程內容關鍵點說明流程環節/

崗位名稱流程內容關鍵點說明直屬領導模塊負責人信息中心經

理總經理開始直屬領導直屬領導：1、 申請人依據日常工作所需提交信息系統權限申請2、 直屬領導審核申請人崗位所需權限是否與申請人所提交申請一致模塊負責人信息中心經理總經理信息系統開

發主管信息系統開發主管.，信息系統開

發專員.信息系統開發專員信息系統授權登記

表申請人申請人結束模塊負責人：1、 模塊負責人依據申請人日常工作性質及所需審核其所提交的信息系統權限申請2、 依據公司內控相關制度審核申請人所需信息系統權限所屬層級3、 普通權限由信息系統開發主管審核分配任務、高級權限及超級用戶權限由信息中心經理繼續審核信息中心經理：1直屬領導模塊負責人信息中心經

理總經理開始直屬領導直屬領導：1、 申請人依據日常工作所需提交信息系統權限申請2、 直屬領導審核申請人崗位所需權限是否與申請人所提交申請一致模塊負責人信息中心經理總經理信息系統開

發主管信息系統開發主管.，信息系統開

發專員.信息系統開發專員信息系統授權登記

表申請人申請人結束模塊負責人：1、 模塊負責人依據申請人日常工作性質及所需審核其所提交的信息系統權限申請2、 依據公司內控相關制度審核申請人所需信息系統權限所屬層級3、 普通權限由信息系統開發主管審核分配任務、高級權限及超級用戶權限由信息中心經理繼續審核信息中心經理：1、 信息中心經理依據申請人日常工作性質及所需審核其所提交的信息系統權限申請是否滿足信息系統高級權限及超級用戶權限開通要求2、 依據公司內控相關制度審核申請人所需信息系統權限層級3、 高級用戶權限由信息系統開發主管審核并分配任務、超級用戶權限由總經理繼續審核總經理：1、 總經理依據申請人日常工作性質及所需審核其所提交的信息系統權限申請是否滿足超級用戶權限開通要求2、 依據公司內控相關制度審核申請人所需信息系統權限層級信息系統開發主管1、 IT主管依據申請人日常工作性質及所需審核其所提交的信息系統權限申請是否滿足各信息系統權限各層級開通要求2、 依據公司內部控制信息系統權限開通制度分配任務，由系統規則專員進行權限開通信息系統開發專員1、 系統規則專員依據企業內部控制-信息系授權控制相關規定及操作規范進行用戶權限開通2、 填寫企業信息系統權限開通登記表申請人：確認所申請權限開通結果Logo文件名. 信息系統'管理授權審批制度類型：工作標準編制人-審核人.批準人-版本.A/41編制日期: 審T核?/'.審核日期: l-LxX.■批準日期: 文件編號：MQR/2000-GMO-SOP-02 6制度內容6.1信息系統中的等級與賬號6.1.1將企業信息系統中的信息、數據按級別劃分，員工可依其賬號的權限進行閱讀、使用。6.1.2企業信息系統中的信息與數據根據其重要程度與泄密風險劃分為5級，包括以書面形式和電子媒介形式保存的信息6.1.2.1絕密級，總裁級別的人員可以閱讀、使用。6.1.2.2機密級，副總級別、總監級別可以閱讀、使用。6.1.2.3秘密級，部門經理級別可以閱讀、使用。6.1.2.4重要級，部門主管級別可以閱讀、使用。6.1.2.5普通級，普通員工可以閱讀、使用。6.2信息系統用戶管理與授權6.2.1用戶分類6.2.1.1系統用戶。指系統管理員、網絡管理員、數據庫管理員和系統運行操作員等特權用戶。6.2.1.2普通用戶。指由系統管理員在信息系統中創建并授權的非系統用戶，擁有在被授權范圍內登陸和使用應用信息系統的權限。普通用戶分為兩大類。6.2.1.2.1公司員工用戶：和本公司有勞動合同關系的員工。6.2.1.2.2臨時人員用戶：和本公司無勞動合同關系但經公司相關領導同意在一定時限和范圍內可以使用系統的人員。6.2.2用戶賬號申請與注銷administratorstandard6.2.2.1任何一個用戶賬號的申請與注銷都必須經過公司制定的賬號申請與注銷相關管理流程來辦理。6.2.2.2公司員工用戶賬號申請及注銷a） 公司員工申請開通用戶賬號由同部門辦公室人員代行網上申請，申請用戶賬號開通需提交協平開通流程，相關負責人審核批準后由信息中心負責權限開通并填寫《信息系統權限分配登記表》。b） 員工離職后，由信息中心員工依據其離職申請對其信息系統賬號信息予以備份后注銷。6.2.2.3臨時人員用戶賬號申請及注銷a） 臨時人員申請開通用戶賬號由相關領導提交協平開通流程，相關負責人審核批準后由信息中心負責權限開通并填寫《信息系統權限分配登記表》。b） 臨時人員申請賬號時需注明使用期限，到期后由信息中心員工注銷賬號。6.2.3用戶管理6.2.3.1系統用戶要求a） 最小授權要求：系統用戶應由信息系統的主管領導指定，授權應以滿足其工作需要的最小權限為原則；系統用戶應接受審計；b） 責任到人要求：在a）的基礎上，對重要信息系統的系統用戶，應進行人員的嚴格審查，符合要求的人員才能給予授權；對系統用戶應能區分責任到個人，不應以部門或組作為責任人；c） 監督性保護要求：在b）的基礎上，在關鍵信息系統中，對系統用戶的授權操作，必須有兩人在場，并經雙重認可后方可操作；操作過程應自動產生不可更改的審計日志。Logo文件名. 信息系統'管理授權審批制度類型：工作標準編制人-審核人.批準人-版本.A/41編制日期: 審T核?/'.審核日期: l-LxX.■批準日期: 文件編號：MQR/2000-GMO-SOP-02 6.2.3.2普通用戶要求a） 普通用戶的基本要求：應保護好口令等身份鑒別信息；發現系統的漏洞、濫用或違背安全行為應及時報告；不應透露與組織機構有關的非公開信息；不應故意進行違規的操作；b） 處理敏感信息的要求：在a）的基礎上，不應在不符合敏感信息保護要求的系統中保存和處理高敏感度的信息；不應使用各種非正版軟件和不可信的自由軟件；c） 重要業務應用的要求：在c）的基礎上，應在系統規定的權限內進行操作，必要時某些重要操作應得到批準；用戶應保管好自己的身份鑒別信息載體，不得轉借他人。6.2.3.3臨時用戶要求a） 臨時用戶的設置與刪除：臨時用戶的設置和期限必須經過審批，使用完畢或到期應及時刪除，設置與刪除均應記錄備案；b） 臨時用戶的審計：在a）的基礎上，對主要部位的臨時用戶應進行審計，并在刪除前進行風險評估；C）臨時用戶的限制：在b）的基礎上，在關鍵部位，一般不允許設置臨