信息系统权限变更流程自查报告.docxVIP

信息系统权限变更流程自查报告

第一章背景与目的

1.1背景

某省政务云“一网通办”平台（以下简称“本平台”）于2022年3月完成三级等保测评，测评报告（编号：DJB-2022-03-017）指出“权限变更流程缺少闭环审计，存在越权开通风险”。为此，省大数据中心安全与运维部（以下简称“我部”）于2022年4月启动权限变更流程专项自查，覆盖省、市、县三级共47家使用单位、812个业务系统、4.3万个账号。

1.2目的

通过三个月自查，验证现有流程是否符合《GB/T25070-2019信息安全技术网络安全等级保护安全设计技术要求》第7.2.3条“访问控制”及《省政务云安全管理办法（2021修订）》第18条“账号生命周期管理”要求，发现缺陷、补齐证据链，形成可落地的整改方案，确保2022年9月前通过等保复测。

第二章自查范围与依据

2.1范围

账号范围：2021-01-01至2022-03-31期间创建、变更、冻结、注销的全部账号。

系统范围：生产环境、测试环境、灾备环境，含IaaS、PaaS、SaaS三层。

权限范围：系统管理员、安全管理员、审计管理员、业务操作员、接口调用账号、APIKey、临时账号、应急账号。

2.2依据

法律法规：《网络安全法》第21、22条，《数据安全法》第27条，《个人信息保护法》第51条。

标准规范：GB/T22239-2019、GB/T