5.5.3应用系统用户权限管理工作规范.pdfVIP

5.5.3 应用系统用户权限管理工作规范 5.5.3.1 范围 本规范规定了应用系统用户权限管理的划分的一般原则、 范围、 目标、程序和日常管理 要求。 本规范适用于 ** 、专业公司、地区公司在用的财务管理信息系统（包括财务、资金、资 产系统），简称“ FMIS ”。 5.5.3.2 术语和定义 无。 5.5.3.3 应用系统权限管理的一般原则 用户权限管理应同时满足以下基本原则： 1）需求导向及最小授权原则：对于用户的权限，应当以其实际工作需要为依据，且仅 应当授予能够完成其工作任务的最小权限； 2 ）未明确允许即禁止：除非用户有对于权限的需求得到了相关领导的明确批准，否则 不应当授予用户任何权限； 3）职责分离原则：任何一个用户不能同时具有两种（或两种以上）的不相容权限。 5.5.3.4 应用系统用户权限管理目标、范围及依据 1）应用系统用户权限管理目标。 为顺利通过《萨班斯法案》 “404 条款”的规定，须对与财务报告相关的关键应用系统 的用户进行合理的管理，以实现用户的授权适当和合理分工。 2 ）应用系统用户权限管理范围。 考虑到公司范围内目前信息系统的数量众多， 应用状况也差异很大， 对于关键的核心业 务系统— FMIS 、资产管理系统进行重点分析（其他系统的权限管理原则与此一致，如果需 要请参照执行） ，并在对业务流程分析的基础上，结合有关规定、各地区公司的实际情况以 及业界的最佳实践等内容， 形成一套具有指导意义的权限管理规范， 以及相应的管理与测试 指引。 3）应用系统用户权限管理依据。 《审计准则公告 78 号》。 5.5.3.5 应用系统用户权限管理的组成 权限管理由如下两个方面的内容组成： 1）访问控制：是指用户能够访问哪些应用系统内的资源或执行哪些任务（或功能）的 范围，从控制的角度考虑在系统中所拥有的功能权限和数据权限是否超出了其工作需要； 2 ）职责分离：职责分离是把一个业务（子）流程的工作内容分为几个职责不相容的部 分并由不同的人来完成，避免因同一个人能够操作不相容职责而产生的舞弊风险。 5.5.3.6 应用系统权限管理程序 要实现对于应用系统用户权限的管理， 必须有一套完整的标准， 并依据这些标准对用户 权限需求和实际分配情况进行分析， 才能合理地进行设置， 这也为定期的测试提供了规范和 依据。由此可以看出，权限的设置与测试是密不可分的，如下图所示： 从上图中可以看出， 首先需要设计权限和访问模板， 并以此为基准， 完成日常用户权限 的设置工作（即上图中第 0 步）。 在测试时，从总体上把测试工作分为三个阶段： 第一阶段， 数据准备： 即上图第①步。 先从系统中下载相关数据表格， 再填制相关模板。 第二阶段， 数据转换及导入：即上图第②步。 先将手工填制的模板进行转换，再将转换 后的数据及下载的数据导入测试工具。 第三阶段，测试并记录结果：即上图第③步。运行测试工具的相关程序，得到“功能权 限”（运行结果即是功能权限的测试结果）和“数据权限” （运行结果是实际数据权限，将其 与制订的相关标准表进行比较，得到测试结果）的相应结果数据。 1）了解应用系统权限体系。