参考模版,仅供参考
目的
为确保授权用户访问系统和服务,规范管理组织业务系统和基础设施账号,防止未授权的访问,特制定本制度。名词解释
基础设施:指承载业务系统运行的各类服务器、网络、安全设备、数据库及中间件。
业务系统:指处理组织相关业务的应用系统,如WMS、OMS、TMS、OA、NC等。
系统运营部门:指在组织日常活动中,运营管理业务系统的其他各部门。
特殊访问权限:指针对基础设施的访问权限。
第三方:供应商、代维服务商、合作厂商以及来访人员等非本组织成员。
异常用户:指不符合账号管理要求,无法关联对应使用人员、权限与职责不匹配的用户。范围
本制度适用于组织的各类基础设施、业务系统的账号管理过程。职责
4.1 人事专员
在人员招聘和离职期间,将人员岗位变化信息通知相关部门;
根据人员岗位需求,发起用户账号创建、变更、禁用申请流程。
4.2 系统运营部门
针对所运营的业务系统,处理来自组织内部和第三方的用户账号申请、审批、变更和销毁等操作。
4.3 运维部
负责基础设施特殊访问权限的管理;
负责处理特殊访问权限申请、审批、变更和销毁。
4.4 信息安全部
处置因账号管理不当导致的安全事件;
监督其他各部门账号管理工作。相关文件
《访问控制策略》内容
6.1 账号管理原则
业务系统默认不对外部用户提供访问服务,第三方访问需要执行申请和评估流程;
账号及其活动由账号所属责任人负责;
基础设施访问仅限于运维部及相关业务系统维护人员;
业务系统账号使用员工工号来进行唯一标识;
账号权限的分配应该遵循最小化原则。
6.2 账号创建
组织员工需访问业务系统时,向系统运营部门提交《账号创建申请表》;
系统运营部门依据最小化原则,审核《账号创建申请表》,根据申请人相关岗位和职责评估所申请访问权限的合理性;
《账号创建申请表》审核通过后,系统运营部门根据申请需求创建相关账号,分配相关权限;
系统运营部门执行账号创建时,需配置安全的临时口令,强制使用人员在首次使用时修改密码;
系统运营部门需要使用安全可靠的方式向申请人交付业务系统账号信息,避免账号信息泄露。
6.3 账号权限变更
组织人员在任职期间,如发生岗位变动或工作内容变化,需主动向系统运营部门提交《账号权限变更申请表》,申请访问权限变更;
系统运营部门根据最小化原则,审核《账号权限变更申请表》,根据申请人相关岗位和职责评估对应访问权限;
《账号权限变更申请表》审核通过后,系统运营部门及时修改相关账号,执行权限变更。
6.4 用户禁用/销毁
对于离职人员,应立即禁用或删除其拥有的账号;
组织人员在合同或协议终止时,人事专员需同步通知各系统运营部门,并提供离职人员信息,协助系统运营部门执行账号访问权限回收工作;
系统运营部门依据人事专员提供的人员信息,及时配置权限回收及账号禁用;
对于访问业务系统的第三方,在合作协议或合同终止时,相关系统运营部门需同步进行账号权限回收及禁用;
系统运营部门每90天执行1次账号审计清理工作,识别并禁用异常用户。
6.5 特殊访问权限管理
基础设施特权用户由运维部管理,其他部门或人员使用普通用户开展系统活动;
运维部根据维护人员岗位职责,依据最小化权限原则,仅当需要时,才为其创建对应账号;
数据库、中间件的特权用户由业务系统运营部门管理,由各部门指定相关维护人员;
运维部和业务运营部门共同维护《基础设施账号信息表》并定期维护;
运维部和业务运营部门每60天执行1次基础设施账号复查工作,识别和禁用非必要用户。- 记录
《账号创建申请表》
《账号权限变更申请表》
《基础设施账号信息表》
