信息系统权限管理制度.docxVIP

信息系统权限管理制度

总则

为了确保信息系统的安全性、完整性和可用性，规范信息系统权限管理，防止未经授权的访问、数据泄露和系统破坏，特制定本。本制度适用于公司内部所有信息系统，包括但不限于办公自动化系统、财务系统、客户关系管理系统、生产管理系统等。

权限管理组织与职责

权限管理委员会

成立权限管理委员会，由公司高层管理人员、信息技术部门负责人、各业务部门负责人组成。权限管理委员会负责制定权限管理的总体策略和政策，审批重要的权限变更申请，协调跨部门的权限管理问题，监督权限管理制度的执行情况。

信息技术部门

1.权限管理团队：负责信息系统权限的日常管理工作，包括用户账号的创建、修改和删除，权限的分配和调整，权限数据的维护和备份等。

2.系统管理员：负责具体信息系统的操作和维护，按照权限管理团队的要求进行权限设置和变更，及时报告系统中出现的权限异常情况。

业务部门

1.部门负责人：负责审核本部门员工的权限申请，确保权限申请与员工的工作职责和业务需求相匹配，对本部门员工的权限使用情况进行监督。

2.员工：遵守公司的权限管理制度，按照所分配的权限使用信息系统，不得擅自将账号和密码告知他人，发现权限异常或安全漏洞及时向部门负责人和信息技术部门报告。

用户账号管理

账号创建

1.新员工入职：人力资源部门在员工入职时，向信息技术部门提交新员工信息表，包括员工姓名、部门、职位、工作职责等。信息技术部门根据新员工的工作职责和业务需求，为其创建相应的信息系统账号，并分配初始权限。

2.外部合作人员：对于外部合作人员，如供应商、合作伙伴等，由业务部门提出申请，说明合作项目的内容和期限，经部门负责人审核后，提交给信息技术部门。信息技术部门为外部合作人员创建临时账号，并根据合作需求分配相应的权限。

账号变更

1.岗位调动：当员工岗位发生调动时，人力资源部门及时通知信息技术部门。信息技术部门根据新的岗位工作职责，调整员工的信息系统权限，确保权限与岗位需求一致。

2.权限调整：员工因工作需要调整权限时，需填写《权限变更申请表》，经部门负责人审核、权限管理委员会审批后，由信息技术部门进行权限调整。

账号删除

1.员工离职：人力资源部门在员工离职时，及时通知信息技术部门。信息技术部门在接到通知后，立即删除该员工的所有信息系统账号，确保离职员工无法再访问公司信息系统。

2.外部合作结束：当外部合作项目结束时，业务部门通知信息技术部门。信息技术部门删除外部合作人员的临时账号。

权限分配原则

最小化原则

根据员工的工作职责和业务需求，分配给其完成工作所需的最小权限。避免过度授权，减少因权限滥用导致的安全风险。例如，财务部门的普通会计人员仅分配与其日常账务处理相关的权限，如凭证录入、账目查询等，而不分配财务系统的系统设置和高级管理权限。

岗位分离原则

对于涉及关键业务流程和敏感数据的权限，实行岗位分离。例如，在财务系统中，出纳人员和会计人员的权限应严格分离，出纳人员负责现金收付和银行对账等工作，会计人员负责账务处理和报表编制等工作，避免一人同时拥有多项关键权限，防止舞弊行为的发生。

审批原则

所有权限的分配和变更都必须经过严格的审批流程。员工申请权限时，需填写《权限申请表》，详细说明申请的权限内容、使用原因和使用期限。部门负责人对申请进行审核，确保权限申请与员工的工作职责和业务需求相匹配。对于重要的权限变更申请，需提交权限管理委员会审批。

权限分类管理

功能权限

功能权限是指用户对信息系统中各个功能模块的访问和操作权限。例如，在办公自动化系统中，用户可能具有文件上传、下载、审批、查询等功能权限。信息技术部门根据用户的岗位和工作职责，为其分配相应的功能权限。不同岗位的用户可能具有不同的功能权限组合。

数据权限

数据权限是指用户对信息系统中数据的访问和操作权限。数据权限可以分为数据范围权限和数据操作权限。数据范围权限是指用户可以访问的数据范围，例如，销售部门的员工可能只能访问自己负责的客户数据，而销售经理可以访问整个部门的客户数据。数据操作权限是指用户对数据的操作类型，如查看、修改、删除等。信息技术部门根据用户的岗位和工作职责，为其分配相应的数据权限。

系统管理权限

系统管理权限是指对信息系统进行配置、维护和管理的权限。系统管理权限通常由信息技术部门的系统管理员掌握，包括用户账号管理、权限管理、系统参数设置、数据备份和恢复等。系统管理员必须严格遵守权限管理制度，不得随意将系统管理权限授予他人。

权限审批流程

权限申请

员工根据工作需要，填写《权限申请表》，详细说明申请的权限内容、使用原因和使用期限。申请表需提交给部门负责人进行审核。

部门审核

部门负责人对员工的权限申请进行审核，确认申请的权限与员工的工作职责和业务