IT信息系统账号申请管理规范.docxVIP

2022年-2023年 2022年-2023年 文件制修订记录 NO 制/修订日期 修订编号 制/修订内容 版本 页次 1 2022-03-01 - 新制订 A0 2 2022-09-04 2022/9/4 新版全面升级 C0 1.0 目的 目的是规范IT 系统账号和权限的管理，建立对信息访问的授权程序、规范和职责划分，保证信息系统资源得到合理的使用；通过建立相关策略来监控信息系统中的账号使用情况，保证用户账号得到正确的使用。 2.0 范围 本流程适用于公司所有使用信息系统的用户以及外部来访需要使用到公司信息系统的用户。 名词定义 关键业务系统 关键业务系统包括AD、CRM、OA、ERP、HER、BI 等系统。 账号 账号是用户用于访问公司信息系统的唯一的身份标识，包括用户名和密码。用户账号分为终端账号、AD 账号、网络接入账号、业务系统账号。 用户账号 用户账号主要包括终端账号、AD 账号和网络接入账号等办公所需账号，用户申请办公系统账号经审批后，由账号管理员赋予用户默认的办公环境中所需的账号及权限。 特权账号 特权账号主要用于操作、维护、管理或监督审计服务器上操作系统、数据库系统或网络服务器的账号。 账号管理员 账号管理员仅进行相应系统的账号管理（包括新建账号、权限更改和删除/禁用账号）操作。 系统管理员组 系统管理员组使用特权账号对服务器上操作系统、数据库系统进行操作、维护、管理或监督审计，属于系统管理员组的角色包括系统管理员、数据库管理员、 安全管理员。 网络管理员组 网络管理员组使用网络认证系统和设备管理账号对网络设备和网络认证服务器以及 IP 地址管理服务器进行操作、维护、管理或监督审计，属于网络组的角色包括网络管理员和安全管理员。 职责 阐述本制度/流程涉及的部门（角色）职责与权限。 用户直属领导 申请人应就信息系统的用户账号及权限向其直属领导提交申请； 用户直属领导应根据公司制度以及员工岗位的需求对员工的账号及权限申请进行审核和批复。 IT 经理 用户账号（AD 账号、网络接入账号、业务系统账号）的申请由申请人直属领导审批通过后提交至IT 副经理进行审批。 业务系统负责人 业务系统账号的申请由申请人直属领导审批通过后提交至业务系统负责人进行审批。 IT 经理 特权账号的申请应由IT 经理进行审批。 账号管理员 a)账号管理员应严格按照审批后的权限维护和管理系统； b)账号管理员应按要求生成、变更和删除员工账号。 安全管理员 安全审计员负责对用户账号和权限进行定期审计。 用户职责以及违反规定的后果 用户职责 遵守国家相关法律和公司IT 规范； 充分利用公司各种IT 资源与功能，不断提高计算机使用水平，提高工作效率； 不使用公司的IT 资源于游戏或处理私人事情。 违规处理 用户若违反规定，必须承担由此造成的全部后果，并将受到公司包括解雇在内的处理； 违反国家相关法律的，送交公安机关等法制机构处理。 5.0 参考依据 6.0 注意事项 特权账号必须做到分权管理，所有特权账号需要进行的 IT 管理运维工作必须通过“堡垒机”，从而留下操作记录。 作业内容 账号管理原则 账号管理原则： 公司各系统应根据“最小授权”的原则设定账号访问权限，控制用户仅能够访问到工作需要的信息； 账号管理员在建立用户账号时应确保唯一性原则，即一个用户只能有一个账号，且一个账号只能由一个用户使用； 各系统应该设置审计专用账号，审计账号应当仅具备系统的读权限，检查系统设置、系统日志等信息； 各系统应限制第三方人员的访问权限，对第三方人员的账号设置及使用情况进行定期的检查和审计。 用户账号应遵循如下命名规则：用户账号根据 HR 提供的用户工号进行命名。 各系统的用户账号应能标识系统访问的不同角色，应避免使用系统默认账号。 各系统应开启系统安全日志功能，能够记录系统的登录和访问时间、操作内容。 账号管理员应当对系统中存在的账号进行定期审计，系统中不应存在无用或匿名账号。 公司安全管理员应定期审计，内容应包含如下几个方面： a)是否存在员工实际已经离职但其账号仍存在系统中的情况； b)是否存在在职员工被授予不需使用的系统权限的情况； c)是否存在用户账号权限与备案的用户账号权限不一致的情况； d)是否存在非法账号或长期未使用的账号； e)是否存在弱密码的用户账号。 账号管理流程 账号管理流程a)账号申请 员工可申请开通办公系统账号（如 AD 账号、网络接入账号等）、VPN 账号、应用系统账号等 公司正式员工，其申请办公系统账号（如AD 账号、网络接入账号等）需由其直属领导和IT 副经理共同批准；其申请应用系统账号账号均需由其直属领导、业务系统负责人共同批准；仅系统管理员组人员可申请特权账号，其申请需由信息部 IT 经理批准； 外部来访需要访问公司信息系统