1、公司信息系统帐号管理流程制度附权限申请表编 制： 审 核： 批 准： 版 本 号: ESZAQDGF001 编 制： 审 核： 批 准： 版 本 号: 信息系统帐号管理制度第一节 总则第一条 为加强用户帐号管理，规范公司信息系统用户帐号的使用，确保用户帐号的安全性，特制定本制度。第二条 本制度中系统帐号是指应用层面及系统层面（操作系统、数据库、防火墙及其它网络设备）的用户帐号。第三条 用户帐号申请、审批及设置由不同人员负责。第四条 系统拥有部门负责建立岗位权限对照表（附件六）。第五条 本制度适用于公司总部和各分、子公司（含郑州研究院）。第二节 普通帐号管理第六条 申请人使用统一而规范的帐号/权2、限申请表（附件七）提出用户帐号创建、修改、删除/禁用等申请。第七条 帐号申请人所属部门负责人及系统拥有部门负责人根据岗位权限对照表对应用层面的普通用户帐号申请进行审批。第八条 信息部负责人根据岗位权限对照表对系统层面的普通用户帐号申请进行审批。第九条 帐号管理人员建立各种帐号的文档记录，记录用户帐号的相关信息，并在帐号变动时同时更新此记录，具体内容见用户帐号记录（附件八）。具体流程参见普通帐号管理流程（附件一）。第三节 特权帐号和超级用户帐号管理第十条 特权帐号指在系统中有专用权限的帐号，如备份帐号、权限管理帐号、系统维护帐号等。超级用户帐号指系统中最高权限帐号，如root等管理员帐号。第十一3、条 只有经授权的用户才可使用特权帐号和超级用户帐号，严禁共享帐号。第十二条 信息部每季度查看系统日志，监督特权帐号和超级用户帐号使用情况。第十三条 尽量避免特权帐号和超级用户帐号的临时使用，确需使用时必须履行正规的申请及审批流程，并保留相应的文档。第十四条 临时使用超级用户帐号必须有监督人员在场记录其工作内容。第十五条 超级用户帐号临时使用完毕后，帐号管理人员立即更改帐号密码。具体流程参见特权帐号和超级用户帐号管理流程（附件二）。第四节 临时帐号管理第十六条 使用临时帐号时（如内外部审计人员、临时岗位调动人员），须填写统一的帐号/权限申请表（附件七）。第十七条 帐号申请人所属部门负责人及系统拥4、有部门负责人根据岗位权限对照表对应用层面的临时用户帐号申请进行审批。第十八条 信息部负责人根据岗位权限对照表对系统层面的临时用户帐号申请进行审批。第十九条 帐号管理人员负责临时帐号的建立和记录。第二十条 临时帐号使用完毕后，申请人及时通知帐号管理人员注销临时帐号。具体流程参见临时访问帐号管理流程（附件三）。第五节 紧急帐号管理第二十一条 根据紧急事件的等级建立相应权限的紧急帐号，专门处理紧急事件。第二十二条 帐号管理人员负责紧急帐号的下发和记录。第二十三条 紧急帐号使用人员必须在事件处理完毕后补办相关手续。第二十四条 紧急帐号使用完毕后，紧急帐号使用人员及时通知帐号管理人员禁用紧急帐号。具体流5、程参见紧急用户帐号管理流程（附件四）。第六节 用户帐号及权限审阅第二十五条 系统拥有部门指定专人负责每季度对系统应用层面帐号及权限进行审阅，并填写帐号/权限清理清单（附件九）。第二十六条 信息部指定专人负责每季度对系统层面帐号及权限进行审阅，并填写帐号/权限清理清单（附件九）。第二十七条 员工离职后，帐号管理人员及时禁用并删除离职人员所使用的帐号。如果离职人员是系统管理员，则及时更改特权帐号或超级用户口令。具体流程参见用户帐号审阅及权限确认流程（附件五）。第七节 用户帐号口令管理第二十八条 用户帐号口令发放要严格保密，用户必须及时更改初始口令。第二十九条 用户帐号口令最小长度为6位，并具有一定6、复杂度。第三十条 用户帐号口令必须严格保密，并定期进行更改，密码更新周期不得超过90天。第三十一条 严禁共享个人用户帐号口令。第三十二条 超级用户帐号须通过保密形式由信息部负责人保存。 普通帐号管理流程描述如下：一、 新员工入职、岗位更换或员工离职，人力资源部须及时通知员工所属部门及信息部。岗位更换或员工入职时，帐号申请人需要填写帐号/权限申请表，该表包括申请人姓名、所属部门、工作岗位以及申请的系统权限等资料。人员离职时，该员工的帐号须被及时禁用并删除，由员工所属部门负责人填写帐号/权限申请表。二、 帐号/权限申请表填写完后，提交给申请人所属部门负责人审阅。三、 申请人所属部门负责人审阅签字后7、，应用层面帐号提交系统拥有部门负责人审阅，系统层面帐号由信息部负责人审阅。系统拥有部门负责人/信息部负责人根据公司的岗位权限对照表审核申请人所申请的权限是否与其岗位一致，确保权限分配的合理性和必要性。如果权限与岗位职责一致，方可签字确认。如果认为权限分配不合理，则将申请表退还申请人，并要求修改权限申请。应用层面帐号若由信息部负责进行系统中维护操作，帐号/权限申请表，则还需经过信息部负责人的审批。四、 帐号管理人员收到权限申请表后，确认该表是否有系统拥有部门负责人/信息部负责人的签字。如果经过系统拥有部门负责人/信息部负责人签字同意，则受理申请，如果无签字，则拒绝申请。五、 在受理申请时，帐号管8、理人员根据申请要求，进行帐号或权限的创建、修改、删除/禁用。权限受理完毕后，帐号管理人员须填写用户帐号记录，该记录包括帐号、用户姓名、所属部门、岗位、帐号或权限的创建、修改、删除/禁用记录等。六、 用户帐号创建或修改完毕后，帐号管理人员将用户名和密码告知申请人，申请人收到帐号开通通知后，根据实际赋予的权限和最初申请的权限进行核对，确认无误后，更改初始密码并将验收结果反馈给帐号管理人员。帐号管理人员收到验收结果后，将该次新增/变更权限申请的所有相关文档归档，作为工作痕迹永久保留，以便日后查询。对于人员离职，帐号管理人员将帐号禁用或删除结果通知人力资源部和离职人员所在部门的负责人，并将该次帐号禁用9、申请所有相关文档归档。特权帐号和超级用户帐号管理流程具体流程如下： 特权帐号管理流程：一、 特权帐号由部门负责人根据本部门的工作需要，确定合适人选，填审帐号/权限申请表,并在用户帐号记录中进行记录。具体流程参照普通帐号管理流程（附件一）。二、 通过系统设置控制特权帐号的使用。三、 只能专人持有系统特权用户的帐号和密码。四、 通过保存并审阅系统日志，对特权帐号的使用情况进行监督。五、 通过制度规定和系统设置要求特权用户定期更改密码，并且在系统设置中对密码的复杂程度进行设置。特权用户临时离开岗位（如休假、出差），须将特权用户名及密码上交部门负责人。临时特权用户必须获得书面授权，才能来接手该项工作。10、原特权用户回到岗位后，将权限收回，并立即更改密码。 超级用户帐号（如root）管理流程：一、 超级用户帐号（如root）的密码应当由信息部负责人密存。当需要使用超级用户帐号时，需填审帐号/权限申请表,并在用户帐号记录中进行记录。超级用户帐号使用完毕后，应及时修改密码，并妥善保管。二、 通过系统设置控制超级用户的使用。三、 对临时超级用户帐号的使用进行事中监督，如：操作时有另一位人员在旁监督特权用户的操作。四、 通过保存并审阅系统日志，对超级用户帐号的使用情况进行监督。五、 通过制度规定和系统设置要求超级用户定期更改密码，并且在系统设置中对密码的复杂程度进行设置。密码修改后必须妥善保存。临时帐号11、管理描述如下：一、 对于临时用户帐号授权，申请人需要填写统一的帐号/权限申请表。二、 帐号/权限申请表填写完后，提交给申请人所属部门负责人审阅。三、 申请人所属部门负责人签字审批后，应用层面帐号提交系统拥有部门负责人审阅，系统层面帐号由信息部负责人审阅。系统拥有部门负责人/信息部负责人根据岗位权限对照表进行审核，判断申请人所申请的临时用户帐号权限是否合理。如果合理则签字同意，将申请表提交帐号管理人员。如果认为临时用户帐号的申请不合理则将申请表退还申请人，拒绝受理。应用层面帐号若由信息部负责进行系统中维护操作，帐号/权限申请表，则还需经过信息部负责人的审批。四、 帐号管理人员收到帐号/权限申请表12、后，首先确认该表已经通过系统拥有部门/信息部领导的签字同意，否则拒绝该申请。五、 在受理申请时，帐号管理人员根据申请表内容建立临时访问帐号。处理完毕后，帐号管理人员填写临时用户帐号记录，该记录包括用户帐号、用户姓名、所属部门、岗位、临时用户帐号建立日期等详细资料，详见用户帐号记录（附件八）。六、 临时访问帐号受理完，帐号管理人员将用户名和密码通知申请人使用该帐号。申请人确认帐号是否开启，并通知帐号管理人员。帐号管理人员将所有文档归档。七、 临时访问帐号使用完毕后，申请人须及时通知帐号管理人员注销该临时访问帐号，并填写帐号/权限申请表。帐号管理人员注销该临时访问帐号后，在之前填写的临时用户帐号记13、录中登记该帐号注销日期。帐号管理人员须定期关注所有临时用户，确保帐号的及时注销。八、 须通过系统日志记录临时帐号的所有操作。紧急帐号管理流程描述如下 一、 帐号管理人员建立紧急用户帐号，该帐号只用于处理紧急事故。二、 紧急用户帐号被使用后，帐号管理人员应立即修改其密码或注销该用户。三、 对于紧急用户帐号授权，帐号申请人可以直接向帐号管理人员申请该帐号。帐号管理人员在接到紧急用户帐号的申请后，需要根据公司所规定的紧急用户帐号定义判断该申请是否属于紧急事件的处理。如果符合规定，则应用层面帐号通知系统拥有部门负责人，若应用层面帐号由信息部负责进行系统中维护操作，还应通知信息部负责人；系统层面帐号通知14、信息部负责人，以获得口头同意。如果不符合规定，则要求申请人按照普通帐号管理流程进行申请。四、 在获得系统拥有部门负责人/信息部的口头同意后，帐号管理人员将专门处理紧急事件的用户帐号及相关密码告知申请人。五、 帐号管理人员需要对该次的申请进行记录，填写用户帐号记录，登记申请人资料以及申请时间。六、 紧急帐号申请人需要在事后补办帐号申请手续，填写帐号/权限申请表并提交申请人所在部门负责人和系统拥有部门负责人/信息部审批。七、 申请人所在部门负责人和系统拥有部门负责人/信息部根据由帐号管理人员提交的紧急帐号处理资料及申请人补办的帐号/权限申请表核实该申请，签字同意后由帐号管理人员进行归档。管理层或授15、权的专职人员须通过系统日志的定期检查对紧急用户帐号的使用及在系统中的操作进行事后监督，调查并追究违规操作。用户帐号审阅及权限确认流程描述如下：一、 每季度对所有用户进行审阅。系统拥有部门负责对系统应用层面帐号及权限的审阅，信息部负责对系统层面帐号及权限的审阅。二、 具体审阅要求如下： 根据员工岗位变动和离职情况核对系统中用户帐号权限信息，确保已离职和离岗的员工的帐号或权限被收回，没有收回的帐号或权限须记录在帐号/权限清理清单中。 根据已定义的岗位权限对照表，审阅用户权限的合理性，对不合理的用户权限进行清除，并记录到帐号/权限清理清单。 对临时和紧急帐号进行审阅，确保使用完毕的临时和紧急帐号已及16、时被禁用或删除，若有未及时禁用或删除的帐号，记录到帐号/权限清理清单。三、 审阅完毕后，帐号权限审阅人将帐号/权限清理清单转交帐号管理人员进行处理，并记录审阅结果，包括审阅日期、审阅的帐号、处理的帐号、审阅和处理的内容以及完成日期，应用层面帐号审阅由系统拥有部门负责人签字确认，系统层面帐号审阅由信息部负责人签字确认。四、 帐号/权限清理清单转交帐号管理人员后，由帐号管理人员根据清单内容在系统中对帐号/权限进行清理。处理完成后对已有的用户帐号记录进行更新。处理完毕后应用层面帐号向系统拥有部门负责人反馈，系统层面帐号向信息部负责人反馈。五、 系统拥有部门负责人或信息部负责人确认处理结果后，帐号管理17、人员将帐号审阅的所有相关记录归档保存。岗位权限对照表序号岗位名称适用部门系统名称系统对应角色相应权限其他权限帐号/权限申请表帐号/权限维护申请类型一般帐号新增 变更 禁用 删除临时帐号 申请时间： 使用结束时间：紧急帐号超级帐号特权帐号新增 变更 禁用 删除申 请 人部门及岗位申请日期联系方式系统来源（非SAP系统）计量系统资金管理系统其他（ ）申请描述批准人（申请人部门负责人）：批准日期：权限审核人（应用层面帐号为系统拥有部门负责人；系统层面帐号为信息部负责人）：审核日期：操作审核人 *审核日期：处理描述(超级用户帐号申请，无需填写此栏)处理人（权限管理员）：(超级用户帐号申请，无需填写此栏)处理日期：(超级用户帐号申请，无需填写此栏)* 此栏适用于应用层面帐号由信息部进行帐号维护操作的情况下，由信息部负责人签字。用户帐号记录系统部门岗位帐号类型（一般/临时/紧急/特权/超级）帐号用户姓名添加日期及相应申请单编号变更日期及相应申请单编号禁用/注销日期及相应申请单编号处理人：处理日期用户帐号记录系统部门岗位帐号类型（一般/临时/紧急/特权/超级）帐号用户姓名添加日期及相应申请单编号变更日期及相应申请单编号禁用/注销日期及相应申请单编号处理人：处理日期帐号/权限清理清单系统帐号权限使用人员部门岗位需做处理清理人员签字： 部门负责人签字：