账号权限管理规范.docxVIP

账号权限管理规范

1管理目的与适用范围

1.1管理目的

为规范企业内部各类信息系统、业务平台、办公设施的账号全生命周期管理，落实最小权限、权责一致的安全管理原则，防范越权访问、数据泄露、未授权操作、账号盗用等安全风险，保障业务系统稳定运行和公司信息资产安全，特制定本规范。

1.2适用范围

本规范适用于公司内部所有正式员工、劳务派遣人员、外包人员、第三方合作人员、临时访客等所有需要访问公司内部信息资产的自然人，以及所有内部部署、云部署的业务系统、办公系统、数据库、服务器、代码仓库、应用接口、物联网设备、办公网络等所有需要账号认证访问的信息资产，覆盖账号申请、开通、变更、注销、审计全流程的所有管理活动。

2角色与职责

2.1信息化管理部（权限管理归口部门）

（1）牵头制定、更新本规范，组织全公司范围的宣贯培训，指导各部门落实权限管理要求；

（2）负责公司统一身份认证平台（IAM）的运维管理，统筹全公司所有账号的生命周期自动化管理；

（3）负责分级审核权限申请，组织开展定期权限审计和闲置账号清理工作；

（4）负责处置账号权限异常问题，配合安全管理部开展安全事件调查。

2.2各业务部门

（1）指定1名专职部门权限管理员，负责本部门人员账号权限申请、变更、注销的初审，确认申请需求的真实性、必要性；

（2）配合信息化部、安全管理部开展本部门权限审计，及时上报调岗、离职人员的账号变动