信息系统访问控制制度.docxVIP

信息系统访问控制制度

为规范组织信息系统访问行为，保障信息资产安全性、完整性和可用性，防范未授权访问、数据泄露及系统滥用风险，依据国家相关法律法规、行业标准及组织信息安全管理要求，结合实际业务场景，制定本制度。本制度覆盖组织范围内所有信息系统（含业务系统、管理系统、数据平台、开发测试环境及第三方协作系统）的访问控制全生命周期管理，适用于组织员工、外包服务人员、合作伙伴及其他经授权的外部人员（以下统称访问主体）。

一、基本原则

（一）最小权限原则：访问主体仅获得完成岗位职责所需的最小必要权限，禁止超范围授权。权限类型、操作范围、访问时长需与业务需求严格匹配。

（二）职责分离原则：系统管理员、权限审批人、操作执行人岗位分离，避免单一主体同时具备权限申请、审批及执行权限。关键系统的超级管理员权限需由两人以上共同管理。

（三）动态调整原则：根据访问主体岗位变动、业务需求变更或系统风险等级变化，及时调整或回收权限，确保权限与当前职责的一致性。

（四）审计追踪原则：所有访问行为需留痕记录，包含访问时间、操作内容、终端信息等要素，相关日志保存期限不少于3年（法律法规有特殊要求的从其规定）。

（五）认证强化原则：关键系统（如财务系统、客户信息系统）需采用多因素认证（MFA），普通系统需执行严格的身份认证策略，禁止默认密码或弱密码。

二、管理职责划分

（一）信息安全管理委员会：负责审批访问控制策略框