XXX 深圳有限公司
文件制修订记录
XXX 深圳有限公司
1.0目的
目的是规范IT系统账号和权限的管理建立对信息访问的授权程序、规范和职责划分保证信息系统资源得到合理的使用通过建立相关策略来监控信息系统中的账号使用情况保证用户账号得到正确的使用。
2.0范围
本流程适用于公司所有使用信息系统的用户以及外部来访需要使用到公司信息系统的用户。
3.0名词定义
3. 1关键业务系统
关键业务系统包括AD、 CRM、 OA、 ERP、 HER、 BI等系统。
3.2账号
账号是用户用于访问公司信息系统的唯一的身份标识包括用户名和密码。用户账号分为终端账号、 AD账号、 网络接入账号、业务系统账号。
3.3用户账号
用户账号主要包括终端账号、 AD账号和网络接入账号等办公所需账号用户申请办公系统账号经审批后 由账号管理员赋予用户默认的办公环境中所需的账号及权限。
3.4特权账号
特权账号主要用于操作、维护、管理或监督审计服务器上操作系统、数据库系统或网络服务器的账号。
3.5账号管理员
账号管理员仅进行相应系统的账号管理包括新建账号、权限更改和删除/禁用
XXX 深圳有限公司
账号操作。
3.6系统管理员组
系统管理员组使用特权账号对服务器上操作系统、数据库系统进行操作、维护、管理或监督审计属于系统管理员组的角色包括系统管理员、数据库管理员、安全管理员。
3.7网络管理员组
网络管理员组使用网络认证系统和设备管理账号对网络设备和网络认证服务器以及IP地址管理服务器进行操作、维护、管理或监督审计属于网络组的角色包括网络管理员和安全管理员。
4.0职责
阐述本制度/流程涉及的部门角色职责与权限。
4. 1用户直属领导
4. 1. 1申请人应就信息系统的用户账号及权限向其直属领导提交申请
4. 1.2用户直属领导应根据公司制度以及员工岗位的需求对员工的账号及权限申请进行审核和批复。
4.2IT经理
用户账号AD账号、网络接入账号、业务系统账号的申请由申请人直属领导审批通过后提交至IT副经理进行审批。
4.3业务系统负责人
业务系统账号的申请由申请人直属领导审批通过后提交至业务系统负责人进行审批。
4.4IT经理
特权账号的申请应由IT经理进行审批。
4.5账号管理员
XXX 深圳有限公司
a)账号管理员应严格按照审批后的权限维护和管理系统b)账号管理员应按要求生成、变更和删除员工账号。
4.6安全管理员
安全审计员负责对用户账号和权限进行定期审计。
4.7用户职责以及违反规定的后果
4.7. 1用户职责c)遵守国家相关法律和公司IT规范d)充分利用公司各种IT资源与功能不断提高计算机使用水平提高工作效率e)不使用公司的IT资源于游戏或处理私人事情。
4.7.2违规处理a)用户若违反规定必须承担由此造成的全部后果并将受到公司包括解雇在内的处理b)违反国家相关法律的送交公安机关等法制机构处理。
5.0参考依据
6.0注意事项
特权账号必须做到分权管理所有特权账号需要进行的IT管理运维工作必须通过“堡垒机”从而留下操作记录。
7.0作业内容
7. 1账号管理原则
7. 1. 1账号管理原则a)公司各系统应根据“最小授权”的原则设定账号访问权限控制用户仅能够访问到工作需要的信息b)账号管理员在建立用户账号时应确保唯一性原则 即一个用户只能有一个账号且一个账号只能由一个用户使用
XXX 深圳有限公司
c)各系统应该设置审计专用账号审计账号应当仅具备系统的读权限检查系统设置、系统日志等信息d)各系统应限制第三方人员的访问权限对第三方人员的账号设置及使用情况进行定期的检查和审计。
7. 1.2用户账号应遵循如下命名规则用户账号根据HR提供的用户工号进行命名。
7. 1. 3各系统的用户账号应能标识系统访问的不同角色应避免使用系统默认账号。
7. 1.4各系统应开启系统安全日志功能能够记录系统的登录和访问时间、操作内容。
7. 1. 5账号管理员应当对系统中存在的账号进行定期审计系统中不应存在无用或匿名账号。
7. 1.6公司安全管理员应定期审计 内容应包含如下几个方面a)是否存在员工实际已经离职但其账号仍存在系统中的情况b)是否存在在职员工被授予不需使用的系统权限的情况c)是否存在用户账号权限与备案的用户账号权限不一致的情况d)是否存在非法账号或长期未使用的账号e)是否存在弱密码的用户账号。
7.2账号管理流程
7.2. 1账号管理流程a)账号申请
员工可申请开通办公系统账号如AD账号、网络接入账号等、 VPN账号、应用系统账号等i.公司正式员工其申请办公系统账号如AD账号、网络接入账号等需由其
XXX 深圳有限公司
直属领导和IT副经理共同批准其申请应用系统账号账号均需由其直属领导、业务系统负责人共同批准仅系统管理员组人员可申请特权账号其申请需由信息部IT经理批准ii.外部来访需要访问公司信息系统的用户申请终端账号、网络接入账号均需由需求部门申请人、其直属领导、 IT副经理和IT经理共同批准但需注明使用时段超过时段而没有及时重新申请的来宾账号将被停止使用。iii.用户权限变更
以下情况应申请更改用户权限i.用户岗位或职位改变导致其所需使用的资源发生改变ii.用户的工作内容增加或减少导致影响其所需使用的资源。b)禁用/删除账号
以下情况应禁用/删除账号权限i.员工辞职账号管理员根据员工离职单将该用户在所有服务器上的所有权限禁用各部门必须在签署员工离职单前做好该用户的数据交接和备份工作。ii.员工自行离职人力资源部必须在第一时间通知IT部自行离职人员信息IT部账号管理员据此将该用户的所有账号禁用及所有权限收回离职人员所在部门必须马上清点和该人员的相关资料和文件。iii.员工被开除人力资源部必须在正式通知被开除员工本人前通过书面或电子邮件的方式要求IT部将该用户的所有账号禁用及所有权限收回同时要求被开除员工所在部门的负责人应做好该用户的数据交接和备份工作。
6.2.2办公系统账号如终端账号、 AD账号和网络接入账号的申请流程a)在发生新增员工情况时如该员工使用到办公系统账号如终端账号、 AD账号和网络接入账号等则由相关人员在OA系统中填写账号申请表提交申请人直属领导和IT副经理共同批准后流转至账号管理员进行用户账号的新增
XXX 深圳有限公司
b)在发生员工离职时参照7.2. 1b节内容进行处理c)账号管理员赋予或取消用户默认的办公环境中所需的账号及权限d)新增用户的初始账号密码由账号管理员提供新用户第一次登录系统时强制要求更改其账号的初始密码密码强度的要求具体请参见7.3节“用户密码管理”e)账号的设置操作必须在IT部收到经审批通过的申请表后的两个工作日之内完成。
7.2.3应用系统账号的申请流程a)在发生新增员工、员工岗位变动的情况时如该员工为普通员工且需使用到AD、 CRM、 OA、 E RP、 HE R、 B I等系统的普通账号进行业务操作时则由相关人员在OA系统中填写相关表单经直属领导审批后提交给业务系统负责人进行职责和权限的确认并审批通过后流转至各账号管理员进行用户账号的维护b)账号管理员根据经审批通过后的相关申请表中所列的权限需求在相关系统中新增用户、设定权限/更改权限、禁用/删除用户c)新增普通用户时其初始账号密码由账号管理员提供新用户第一次登录系统时强制要求更改其账号的初始密码密码强度的要求具体请参见7.3节“用户密码管理”d)应用系统的账号管理员拥有超级用户权限禁止其进行业务操作e)BI系统的账号管理员应定期每半年导出BI系统的账号权限并由业务部门领导确认其所辖部门的用户账号存在性及权限的合理性具体请参见7. 2.5节“账号维护”。
7.2.4特权账号的申请流程a)IT人员需使用到后台账号进行技术支持操作 由相关人员在oa系统中填写申请表提交信息技术部副经理和IT经理批准后流转至账号管理员进行后台
XXX 深圳有限公司
账号的新增账号管理员根据经审批通过后的相关申请表中所列的权限需求在相关系统中新增用户、设定权限/更改权限、禁用/删除用户b)新用户第一次登录系统时强制要求更改其账号的初始密码密码强度的要求具体请参见6.3节“用户密码管理”
7.2.5账号维护
IT部门定期对用户账号的使用情况进行审查。维护流程如下a)账号管理员进行系统AD账号的查询禁用/删除不再需要访问系统的用户账号b)账号管理员同时每半年将BI系统中所有用户账号和用户权限导出并发送至相关业务部门领导 由其确认其所辖部门的用户账号存在性和权限合理性确认的内容包括账号持有人是否在职、账号持有人是否从属于正确的权限组及是否拥有合适的权限c)在进行任何操作以前i.尽可能联系用户及其部门领导ii.若用户不响应账号管理员账号管理员必须禁用此账号直至得到用户的响应iii.若确认用户已离职必须立即执行禁用此账号的程序iv.若有合理原因如用户长期不在公司内办公造成账号长期未使用账号管理员仍可考虑将此账号禁用当用户需使用此账号时再行启用。
7.2.6用户访问管理a)数据拥有者应负责对数据的访问权限进行授权并周期性地检查数据的访问授权状态支持IT部门的审计工作b)账号管理员应负责数据访问的安全控制负责实施数据访问的授权工作从程序上保护这些数据的逻辑访问保证按照数据拥有者的要求设置了安全措施
XXX 深圳有限公司
c)用户应遵守公司的安全管理策略和访问控制程序仅在工作需要时使用公司的信息系统资源。
7.3用户密码管理
7.3. 1用户账号密码的设置至少应该符合以下要求a)密码长度大于或等于8位b)使用大小写字母、数字 以及特殊字符混合使用c)不是外语单词或汉语拼音d)首次登陆后强制要求修改初始密码。
7.3.2普通用户密码至少每半年更换一次包括 AD账号密码、应用系统的密码等。
7.3. 3系统设定密码历史记录为2次即在用户修改密码时禁止其将密码置为最近2次以内使用过的密码。
7.3.4密码不能以明文的方式通过电子邮件或者其它网络传输方式进行传输。
7.3. 5账号管理员不能共享超级用户的用户账号密码应采用组策略控制超级用户的访问。
7.3.6所有系统集成商在施工期间设立的缺省密码在系统投入使用之前都要删除。
7.3. 7密码要以加密形式保存应使用高强度的加密算法且加密算法应不可逆。
7.3.8密码在输入系统时密码不能在显示屏上被明文显示。
7.3.9系统应该强制设定密码的策略包括密码的最短有效期、最长有效期、最短长度、复杂性等。
7.3. 10除账号管理员外普通用户应仅能改变其自身的用户账号密码。
8.0表单
简介华圣云 HuaSaint是阿里云国际版一级分销商(诚招募二级代理),专业为全球企业客户与个人开发者提供阿里云国际版开户注册、认证、充值等服务,通过HuaSaint开通阿里云国际版只需要一个邮箱,不需要PayPal信用卡,不需要买海外电话卡,绝对的零门槛,零风险官方网站:www.huasaint.com企业名:huaSaint Tech Limited阿里云国际版都有什么优势?阿里云国际版的产品...
百纵科技:美国高防服务器,洛杉矶C3机房 独家接入zenlayer清洗 带金盾硬防,CPU全系列E52670、E52680v3 DDR4内存 三星固态盘阵列!带宽接入了cn2/bgp线路,速度快,无需备案,非常适合国内外用户群体的外贸、搭建网站等用途。官方网站:https://www.baizon.cnC3机房,双程CN2线路,默认200G高防,3+1(高防IP),不限流量,季付送带宽美国洛杉矶C...
RackNerd今天补货了3款便宜vps,最便宜的仅$9.49/年, 硬盘是SSD RAID-10 Storage,共享G口带宽,最低配给的流量也有2T,注意,这3款补货的便宜vps是intel平台。官方网站便宜VPS套餐机型均为KVM虚拟,SolusVM Control Panel ,硬盘是SSD RAID-10 Storage,共享G口带宽,大流量。CPU:1核心内存:768 MB硬盘:12 ...