第三方访问管理制度
XX院
网络信息中心
第三方访问管理制度
修订及复核记录
目录
第一章总则 (4)
第二章定义和风险 (4)
第三章进出安全管理 (4)
第四章安全保密管理 (5)
第六章安全操作管理 (5)
第七章相关记录 (6)
第八章附则 (6)
第一章总则
第一条为规范XX院网络信息中心对第三方人员(非本院工作人员)来访的有效管理,管理外来第三方人员进入本院所带来的安全风险。提供第三方人员在本院活动所要遵守的行为准则,保证计算机系统及网络的安全,根据有关规定制定本制度。
第二条适用于XX院网络信息中心、产品供应商、服务提供商和施工方等各单位。及除本院与信息系统相关的操作、管理和维护人员以外的所有人员。
第二章定义和风险
第三条本制度所描述的第三方人员包括软件开发商、产品供应商、系统集成商、设备维护商和服务提供商等非XX院的内部人员。第三方人员分为临时第三方人员和长期第三方人员。
第四条临时第三方人员指因业务洽谈、技术交流、提供短期和不频繁的技术支持服务而临时来访的第三方人员。
第五条长期第三方人员指因从事合作开发、参与项目工程、提供技术支持或顾问服务,必须在一定时间内呆在本院内部进行办公的第三方人员。
第六条第三方人员的范畴包括临时第三方和长期第三方人员。
第七条第三方人员的访问方式包括现场访问和通过网络远程访问。
第八条接待人是指本院指定的负责接待和管理来访第三方人员的内部的正式员工。
第九条必须定期评估第三方人员带来的安全风险,至少每季度评估一次。必须防范第三方人员带来的以下安全风险:
(一)第三方人员的物理访问带来多大设备损坏、信息泄露、资料失窃、系统当机和网络中断等。
(二)第三方人员的误操作导致的各种软硬件故障。
(三)第三方人员的资料、信息外传导致的泄密。
(四)第三方人员对计算机系统的滥用和非授权访问。
(五)第三方人员给计算机系统和软件留下后门。
(六)第三方人员对计算机系统的恶意攻击尝试。
(七)第三方人员访问计算机信息系统引入的恶意代码传播。
第三章进出安全管理
第十条第三方人员进入本院必须遵守本院在物理安全控制方面的相关规定。
第十一条长期第三方人员工作完成后,由网络信息中心组织技术专家或顾问对第三方人员的工作进行安全检查和安全评估。
第十二条除预订的工作内容外,接待人员不得为第三方人员随意安排其它活动;
第十三条对接待人员的接待工作,部门负责人和本部门人员有权进行监督并指正。
第四章安全保密管理
第十四条第三方人员必须签署安全保密协议后才能进场工作。
第十五条在确认已与XX院签署有效的保密协议的情况下,第三方人员如因业务需要查阅本院机密资料、文件、实物和访问本院网络系统,必须获得相关负责人批准并详细登记。提供时应开具清单请第三方人员牵收。提供文字保密材料的应该加盖保密章或有其它保密标记。保密协议在相关部门存档,签收清单由相关管理部门妥善保存。
第十六条未经批准,禁止第三方人员携带移动存储介质进入本院,移动存储介质必须在XX院指定接待人的监控下使用。
第十七条未经本院相关主管领导特别许可,第三方人员不得在办公区域和机房内摄影或摄像,并且摄影和拍照内容需经过相关主管领导许可和接待人的确认。接待人需要对摄影或拍照内容进行审核。
第十八条禁止第三方人员试图了解和查阅与工作无关的单位机密。
第十九条第三方人员必须保守本院机密,严禁向任何人员(包括本单位无关人员)以口述、文件等方式透露单位机密。
第二十条接待人员以及参加会晤的其他的第三方人员应该自觉保守本单位的机密,不得透露业务范围之外的单位敏感信息。
第六章安全操作管理
第二十一条禁止第三方人员携带的计算机未经接待人授权之前接入本院网络。第三方人员使用的计算机必须属于独立的局域网,不能以任何形式连接到本单位的网络中。
第二十二条第三方人员开发测试环境只能连接测试网,且必须采用防火墙进行有效隔离,严禁接入业务网络。确需在线测试的项目,应上报分管领导批准,采取必要的防护措施,选择在适当的时间进行。并报本院网络信息中心审核并备案。
第二十四条不允许第三方人员进行远程网络访问。如确因维护需要远程访问,必须报本院网络信息中心审核,并由分管领导批准,选择在非业务时间,关闭所有应用,做好当天的数据备份后,由本院信息管理人员配合输入口令,进行全程监控和记录。远程网络访问结束后,应马上切断外部连接,检查设备状态是否正常,确认后开启应用。
第二十五条禁止第三方人员直接对网络设备和主机进行操作,第三方人员可以协助(如口述操作过程)本院相关系统管理或操作人员完成所需操作。
第二十六条第三方人员在机房内的所有工作情况,都必须说明该工作可能引起的安全风险,并由接待人确认后才能操作。接待人必须对第三方人员的操作进行全程监控,记录第三方
系统权限管理方案
权限 在系统中,权限通过模块+动作来产生。(在系统中也就是一个页面的所有操作,比如(浏览、添加、修改、删除等)。将模块与之组合可以产生此模块下的所有权限。 权限组 为了更方便的权限的管理,另将一个模块下的所有权限组合一起,组成一个权限组,也就是一个模块管理权限,包括所有基本权限操作。比如一个权限组(用户管理),包括用户的浏览、添加、删除、修改、审核等操作权限,一个权限组也是一个权限。 角色 权限的集合,角色与角色之间属于平级关系,可以将基本权限或权限组添加到一个角色中,用于方便权限的分配。 用户组将某一类型的人、具有相同特征人组合一起的集合体。通过对组授予权限(角色),快速使一类人具有相同的权限,来简化对用户授予权限的繁琐性、耗时性。用户组的划分,可以按职位、项目或其它来实现。用户可以属于某一个组或多个组。 一、通过给某个人赋予权限,有四种方式: (一):通过职位 在职位中,职位成员的权限继承当前所在职位的权限,对于下级职位拥有的权限不可继承。 例如前台这个职位,对于考勤查询有权限,则可以通过对前台这个职位设置考勤 查询的浏览权,使他们有使用这个对象的权限,然后再设置个考勤查询权(当然也可以不设置,默认能进此模块的就能查询),则所有前台人员都拥有考勤查询的权利。 (二):通过项目 在项目中,项目成员的权限来自于所在项目的权限,他们同样不能继承下级项目的权限,而对于项目组长,他对项目有全权,对下级项目也一样。 例如在项目中,项目成员可以对项目中上传文档,查看本项目的文档,可以通过对项目设置一个对于本项目的浏览权来实现进口,这样每个成员能访问这个项目了,再加上项目文档的上传权限和查看文档权限即可。 对于组长,因为可以赋予组长一个组长权(组长权是个特殊的权限,它包含其他各种权限的一个权限包),所有组长对于本项目有全权,则项目组长可以对于项目文档查看,审批,删除,恢复等,这些权限对于本项目的下级项目依然有效。 (三):通过角色 角色中的成员继承角色的权限,角色与角色没有上下级关系,他们是平行的。通过角色赋予权限,是指没办法按职位或项目的分类来赋予权限的另一种方式,如:系统管理员,资料备份员 例如对于系统中,全体人员应该默认都有的模块,如我的邮件,我的文档,我的日志,我的考勤等等,这些模块系统成员都应该有的,我们建立一个角色为系统默认角色, 把所有默认访问的模块的浏览权限加入到里面去,则系统成员都能访问这些模块。 (四):直接指定 直接指定是通过对某个人具体指定一项权限,使其有使用这个权限的能力。直接指定是角色指定的一个简化版,为了是在建立像某个项目的组长这种角色时,省略创建角色这一个步骤,使角色不至于过多。 例如指定某个项目的组长,把组长权限指定给某个人。 二针对职位、项目组: 如果用添加新员工,员工调换职位、项目组,满足了员工会自动继承所在职位、项目组的权限,不需要重新分配权限的功能。
学校用户登记和操作权限管理制度
学校用户登记和操作权限管理制度 1、校园网的所有服务器、主干交换机及其他系统主要设备由网络技术员负责管理,任何人不得擅自操作网络设备,修改网络参数和服务期等。 2、信息中心分配给各部门的上传下载口令,各单位信息管理员应予以保护,如因保护不善而造成的不良后果由各单位信息管理员本人承担。 3、对于校园网内各主要网络设备,信息中心应当正确分配权限,并加严密的口令予以保护,口令应定期修改,任何非系统管理人员严禁使用、扫描或猜测口令。 4、对于服务器系统和各主要交换设备的配置信息,信息中心应做好定期备份工作,确保在系统发生故障时能及时恢复,以保障校园网的正常运行。 5、信息中心系统管理维护人员对于服务器系统和主要网络设备的设置、修改应当做好登记、备案工作。同时管理人员还要做好服务器系统和主要网络设备的审核的备份工作。
6、需要设立WEB服务器、FTP服务器等公开站点的部门,必 须由各部门负责人向学校信息中心提出申请,填写表格,由部门负责人签字同意,并经学校领导审核批准后方可设立,同时应指定专人(教师)负责管理。 7、对于使用校园网WEB 服务器空间的部门,由各部门信息管理员根据信息中心分配的上下传口令及时更新备份服务器的各部门的网页文件,学院WEB 服务器上网页的更新由信息中心负责完成。 8、信息中心管理人员要明确管理职责,不得擅自将自己操作 权限转交他人,避免操作权限失控。未经领导批准也不得超越权限操作。 9、严禁设备厂家通过技术手段对已投入运行的网络设备进行遥控测和远程维护。已经投入运行的网络数据未经批准严禁向设备厂家或第三方提供。 10、各种涉及运行维护和网络设备情况的图纸资料要注意妥善保存,所有的上级来方和请示报告文件要编号登记,由专人存档保管。
公司审批权限管理制度三篇
公司审批权限管理制度三篇 篇一:XX股份有限公司审批权限管理制度 为便于公司各业务人员办理合同和款项支付审批手续,现对各类业务合同和款项支付的审批权限,作如下规定。 一、关联交易 (一)公司与关联自然人发生的交易金额在30万元以上的,由董事会批准;交易金额不超过30万元的,由总经理办公会审批。 (二)公司与关联法人发生的交易金额在300万元及以上,由董事会批准;交易金额低于300万元的,由总经理办公会审批。 (三)公司与关联方发生的交易金额在3000万元及以上的,由股东大会批准。(四)需经董事会、股东大会批准的关联交易合同,由董事长签署,总经理办公会批准的关联交易合同,由总经理签署。 二、对外担保 (一)公司对外担保事项,均须董事会审议批准。 (二)以下对外担保事项,经董事会审议通过后,还须报股东大会批准。 1、公司及控股子公司对外担保总额,超过最近一期经审计的公司净资产的50%以后提供的任何担保。 2、连续十二个月内担保金额超过公司最近一期经审计净资产的50%,或超过最近一期经审计总资产的30%。 3、为资产负债率超过70%的担保对象提供的担保。
4、单笔担保金额超过最近一期经审计的净资产10%的担保。 5、对股东、实际控制人及其关联方提供的担保。 (三)公司的对外担保合同,由董事长签署。 三、对外投资 (一)在一个财务年度内,累计投资金额不超过2500万元的,由董事长负责批准;超过2500万元,低于最近一期经审计确认净资产50%的,由董事会审议批准;超过公司最近一期经审计净资产50%的,由股东大会审议批准。 (二)单个项目投资额低于2500万元的,由董事长负责批准;超过2500万元,低于最近一期经审计确认净资产50%的,由董事会审议批准;超过公司最近一期经审计净资产50%的,由股东大会审议批准。 (三)公司进行证券投资、委托理财和衍生产品投资的审批权限如下。 1、单笔投资额不超过1000万元的,由董事会审议批准;超过1000万元的,由股东大会审议批准。 2、累计投资不超过2000万元的,由董事会审议批准;超过2000万元的,由股东大会审议批准。 3、对外投资、委托理财合同,由董事长签署;证券投资和衍生产品投资的资金划拨,由董事长审批、财务总监联签。 四、购买、出售、置换资产(包括房屋、设备等固定资产,土地使用权、商标、专利权等无形资产及其他财产权利)。 (一)成交金额不超过1000万的,由总经理审批。 (二)成交金额超过1000万,不超过2500万的,由董事长审批。 (三)成交金额超过2500万的,由董事会审批。
管理信息系统权限管理制度(定稿)
XXXXXX有限公司 管理信息系统权限管理制度 XXX-XX-XX 第一章总则 第一条目的 为规范公司管理信息系统的权限管理工作,明确不同权限系统用户的管理职责,结合公司实际情况,特制定本管理制度。 第二条定义 (一)管理信息系统:包含已经上线的财务会计、管理会计、供应链、生产制造、CRM(客户关系管理)、决策管理和后续上线的所有管理信息系统模块。 (二)权限:在管理信息系统中用户所能够执行的操作及访问数据的范围和程度。 (三)操作员:上述软件系统使用人员。 第三条适用范围 本制度适用于XXXXXX有限公司(以下简称XXXX、公司)、XXXXXXX有限公司、XXXXXX有限公司、XXXXXXXX有限公司。 XXXX股份有限公司控、参股的其他公司,应结合本公司实际情况,参照本制度制定相应管理制度,报XXXX质量信息部备案。 第二章职责划分 第四条管理信息系统管理部门 公司的管理信息系统由质量信息部负责管理和维护,同时也是管理信息系统用户权限的归口管理部门,主要负责各系统内用户权限的审批、开通、监控、删除及通知等管理工作。 第五条管理信息系统操作部门 除管理信息系统管理部门外,其他使用管理信息系统的部门,均为管理信息系统的操作部门,使用人员为各岗位操作员。
具体岗位职责如下: (一)负责岗位信息系统权限的申请及使用,并对权限申请后形成的业务结果负责。 (二)负责所使用模块的数据安全。 第六条管理信息系统系统管理员 管理信息系统的系统管理员由质量信息部指派,并报公司管理层领导备案。 系统管理员负责用户帐号管理、用户角色权限分配和维护、各模块运行的安全监管及数据备份,并定期进行管理信息系统安全审计。 第三章用户权限管理 第七条用户权限申请 各部门依据实际工作情况,当需要新增/变更/注销管理信息系统的用户权限时,可由操作员本人或所在部门领导指派的专人,填写《ERP权限新增/变更/注销申请表》(参附件1)。 第八条用户权限审批 《ERP权限新增/变更/注销申请表》由申请人提交,经所在部门领导、分管领导及质量信息部部门领导审批同意后,报送系统管理员。系统管理员根据申请人填写内容并与申请人以及部门领导沟通后,填写申请表中系统管理员之相应内容并存档。 第九条用户权限配置 用户权限审批通过后,系统管理员将在两个工作日内完成权限新增/变更/注销工作,并以电子邮件通知申请人以及部门领导。 第十条用户权限测试 申请人在接到权限开通通知后,须在三个工作日之内完成系统权限测试,如有问题可通过电子邮件(包含问题的文字说明及截图)反馈到系统管理员。系统管理员应及时给予解决,并将处理结果通过电子邮件及时反馈给申请人。 在三个工作日之内无问题反馈的,系统管理员将视此权限设置正确,后续如有问题将按照用户权限申请流程处理。
管理信息系统权限管理制度(定稿)
XXXXXXt限公司 管理信息系统权限管理制度 XXX-XX-XX 第一章总则 第一条目的 为规范公司管理信息系统的权限管理工作,明确不同权限系统用户的管理职责,结合公司实际情况,特制定本管理制度。 第二条定义 (一)管理信息系统:包含已经上线的财务会计、管理会计、供应链、生产制造、CRM (客户关系管理)、决策管理和后续上线的所有管理信息系统模块。 (二)权限:在管理信息系统中用户所能够执行的操作及访问数据的范围和程度。 (三)操作员:上述软件系统使用人员。 第三条适用范围 本制度适用于XXXXXX 有限公司(以下简称XXXX、公司)、XXXXXXX 有限公司、XXXXXX 有限公司、XXXXXXXX 有限公司。 XXXX股份有限公司控、参股的其他公司,应结合本公司实际情况,参照本制度制定相应管理制度,报XXXX质量信息部备案。 第二章职责划分 第四条管理信息系统管理部门 公司的管理信息系统由质量信息部负责管理和维护,同时也是管理信息系统用户权限的归口管理部门,主要负责各系统内用户权限的审批、开通、监控、删除及通知等管理工作。 第五条管理信息系统操作部门 除管理信息系统管理部门外,其他使用管理信息系统的部门,均为管理信息系统的操作部门,使用人员为各岗位操作员。 欢迎下载
具体岗位职责如下: (一)负责岗位信息系统权限的申请及使用,并对权限申请后形成的业务结果负责。 (二)负责所使用模块的数据安全。 第六条管理信息系统系统管理员 管理信息系统的系统管理员由质量信息部指派,并报公司管理层领导备案。 系统管理员负责用户帐号管理、用户角色权限分配和维护、各模块运行的安全监管及数据备份,并定期进行管理信息系统安全审计。 第三章用户权限管理 第七条用户权限申请 各部门依据实际工作情况,当需要新增/变更/注销管理信息系统的用户权限时,可由操作员本人或所在部门领导指派的专人,填写《ERP权限新增/变更/注销申请表》(参附件1)。 第八条用户权限审批 《ERP权限新增/变更/注销申请表》由申请人提交,经所在部门领导、分管领导及质量信息部部门领导审批同意后,报送系统管理员。系统管理员根据申请人填写内容并与申请人以及部门领导沟通后,填写申请表中系统管理员之相应内容并存档。 第九条用户权限配置 用户权限审批通过后,系统管理员将在两个工作日内完成权限新增/变更/注销工作,并以电子邮件通知申请人以及部门领导。 第十条用户权限测试 申请人在接到权限开通通知后,须在三个工作日之内完成系统权限测试,如有问题可通过电子邮件(包含问题的文字说明及截图)反馈到系统管理员。系统管理员应及时给予解决,并将处理结果通过电子邮件及时反馈给申请人。 在三个工作日之内无问题反馈的,系统管理员将视此权限设置正确,后续如有问题将按照用户权限申请流程处理。 第十一条系统权限维护
三级等保,安全管理制度,信息安全管理策略
* 主办部门:系统运维部 执笔人: 审核人: XXXXX 信息安全管理策略V0.1 XXX-XXX-XX-01001 2014年3月17日
[本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属XXXXX所有,受到有关产权及版权法保护。任何个人、机构未经XXXXX的书面授权许可,不得以任何方式复制或引用本文件的任何片断。] 文件版本信息 文件版本信息说明 记录本文件提交时当前有效的版本控制信息,当前版本文件有效期将在新版本文档生效时自动结束。文件版本小于1.0 时,表示该版本文件为草案,仅可作为参照资料之目的。 阅送范围 内部发送部门:综合部、系统运维部
目录 第一章总则 (1) 第二章信息安全方针 (1) 第三章信息安全策略 (2) 第四章附则 (13)
第一章总则 第一条为规范XXXXX信息安全系统,确保业务系统安全、稳定和可靠的运行,提升服务质量,不断推动信息安全工作的健康发展。根据《中华人民共和国计算机信息系统安全保护条例》、《信息安全技术信息系统安全等级保护基本要求》 (GB/T22239-2008)、《金融行业信息系统信息安全等级保护实施指引》(JR/T 0071—2012)、《金融行业信息系统信息安全等级保护测评指南》(JR/T 0072—2012),并结合XXXXX实际情况,特制定本策略。 第二条本策略为XXXXX信息安全管理的纲领性文件,明确提出XXXXX在信息安全管理方面的工作要求,指导信息安全管理工作。为信息安全管理制度文件提供指引,其它信息安全相关文件在制定时不得违背本策略中的规定。 第三条网络与信息安全工作领导小组负责制定信息安全 管理策略。 第二章信息安全方针 第四条 XXXXX的信息安全方针为:安全第一、综合防范、预防为主、持续改进。 (一)安全第一:信息安全为业务的可靠开展提供基础保障。把信息安全作为信息系统建设和业务经营的首要任务;
公司授权管理制度
组织组织授权授权授权管理制度管理制度管理制度 一、目的 为了进一步规范公司的运作,提高效率、控制风险、降低成本、改善客户服务,特制定本授权管理办法。 本办法包括从组织层面明确各层级的常规授权,以利于职责、任务的顺利完成,提高组织的运营效率及效能。同时规定临时性授权的原则及方法,指导各级主管的临时性授权,以促使组织经营管理能力的提升。 二、定义及类别 (一)定义 授权指将某项权力从公司或某个层级(岗位)授予某个层级(岗位)使用以完成某项任务的过程。 1、任务是指管理者所要求员工去完成的具体事项,如年度工作任务、日常监控任务等。 2、权力是指员工完成工作所需要的财力、人力及其他资源的自主支配权,如决策权、财务使用权、人员调配权、信息知情权、质量否决权等,按权力所指向的对象类别分为财务权、人事权及业务权。 (二)授权的种类 1、授权从整体上分为常规授权和临时授权。 常规授权 常规授权也称组织授权,指根据流程运作及职责分解而固定授予的权力。 临时授权 临时授权也称个人授权,指根据属下能力变化而临时授予完成某项任务的权力。权力一般由组织的高层级向低层级授予,但亦存在平级委托任务并相应授予权力的情况。 2、授权按权力的性质和尺度可分为决策权、信息知情权和执行权。 1)决策权决策权 决策权指对某项事项进行提议、审核、决策的权力; 2)信息知情权信息知情权 信息知情权指决策前及决策后信息知晓的权力; 3)执行权执行权 执行权指具体执行某项事务或决策的权力,前者即是职位职责所约定的分工,后者是指在职位分工的基础上,根据具体决策明确的执行主体所有的权力。 3、决策权按决策程度分提议权、审核权、会签权、批准权: 1)提议权提议权 提议权包括申请权,指对某一事项或工作制订、编制、申请或提议的权力。 2)审核权审核权 审核权包括复核权。审核权指对申请/提议事项按公司规定进行审核以确定是否合理、可行的权力。复核权指对已审核通过的事项进行复核的权力。审核和复核的结果有三种,第一种是通过并呈报上级批准,第二种是予以否决,与提议者沟通如何进行修订或改进,第三种是提出意见,由拥有批准权的人最终决策。审核和复核者根据事项的性质进行判断,决定作出哪一种审核结果。 3)会签权会签权 会签权指对申请/提议事项是否合理、可行提出本人意见的权力。会签权与审核
系统用户及权限管理制度
航开发系统用户账号及权限管理制度 第一章总则 第一条 航开发系统用户的管理包括系统用户ID的命名;用户ID的主数据的建立;用户ID的增加、修改;用户ID的终止;用户密码的修改;用户ID的锁定和解锁;临时用户的管理;应急用户的管理;用户ID的安全管理等。 第二章管理要求 第二条 航开发系统管理员(以下简称系统管理员)在系统中不得任意增加、修改、删除用户ID,必须根据《系统用户账号申请及权限审批表》和相关领导签字审批才能进行相应操作,并将相关文档存档。 第三条 用户ID的持有人特别是共享的用户ID必须保证用户ID和用户密码的保密和安全,不得对外泄漏,防止非此用户ID的所有者登录系统。 第四条 用户管理员要定期检查系统内用户使用情况,防止非法授权用户恶意登录系统,保证系统的安全。 第五条 用户ID持有人要对其在系统内的行为负责,各部门领导要对本部门用户的行为负责。
第六条 用户ID的命名由系统管理员执行,用户ID命名应遵循用户ID的命名规则,不得随意命名。 第七条 用户ID主数据库的建立应保证准确、完整和统一,在用户ID发生改变时,用户管理员应及时保证主数据库的更新,并做好用户ID变更的归档工作。 第八条 对用户申请表等相关文档各申请部门的用户管理员必须存档,不得遗失。 第九条 公司NC-ERP系统中各部门必须明确一名运维管理人员负责本部门用户管理、权限管理及基础数据维护等相关工作。 第三章增加、修改用户ID的管理第十条 公司NC-ERP系统中增加、修改用户ID应符合下列情况之一: 1、因工作需要新增或修改用户ID; 2、用户ID持有人改变; 3、用户ID封存、冻结、解冻; 4、单位或部门合并、分离、撤消; 5、岗位重新设置; 6、其他需要增加或修改公司NC-ERP系统中用户ID的情况。 第十一条
第三方安全管理办法
第三方安全管理办法 第一章总则 第一条为了规范XXX的外部第三方用户在共享科技公司内部信息、或访问科技公司内部信息系统时的行为,保护科技公司网络与信息系统安全,特制 定本管理办法,用于内部管理机构对第三方机构和人员进行安全管理。 第二章适用范围 第二条本管理办法适用的第三方包括科技公司的产品供应商、代维服务商、合作厂商等,制度的执行和责任由与第三方接触的科技公司相关部门承担。第三条第三方合作伙伴在涉及到共享科技公司内部信息、或访问企业内部信息系统时,必须遵守本管理办法。 第四条在科技公司网络与信息安全工作中,本管理办法是指导第三方安全管理的基本依据,相关组织和人员必须认真执行本管理办法,并根据工作实 际情况,制定并遵守相应的实施细则和操作流程,做好第三方安全管理 工作。 第三章来访出入管理 第五条第三方人员进入科技公司所属单位及其建筑物,应遵守科技公司相关安保制度。 第六条接待部门应当建立第三方来访预约制度和接待记录制度。对第三方人员的访问,科技公司前台应进行登记,详细登记来访原因、工作单位、出 入时间、会见人、目的、有效证件。 第七条第三方人员访问科技公司过程中,必须由接待部门安排专人陪同,不得任其自行走动。第三方人员在科技公司内活动应当佩戴来宾卡或访问登 记单。 第八条对于需要长时间访问科技公司的外部人员应该建立档案,档案应与通行
证对应,并签订安全保密协议。 第九条未经科技公司特别许可,第三方人员不得在科技公司内摄影、拍照。 第十条科技公司员工要遵守相关安全保密规定,禁止与第三方人员谈论与其工作无关的内容,对共享给第三方人员的信息应登记。 第十一条如因业务需要须向第三方提供含有科技公司保密信息的文件、资料或实物的,接待人应当在获得相应的批准或授权,并与第三方签订保密协议后再行提供,提供时应开具清单请第三方签收。 第十二条访问活动结束后,应陪送第三方人员离开科技公司,并到前台处注销访问登记并归还来宾卡或访问登记单。 第十三条同科技公司合作的第三方如有人员变动应及时通知科技公司相关部门。 第四章机房出入管理 第十四条除以下情况外,不得引领和允许第三方人员访问机房等重要区域: 1.科技公司领导批准的参观活动; 2.必要的仪器设备现场安装、维修、调测; 3.第三方因业务需要进入上述区域的其它情形。 第十五条第三方人员访问机房须遵守机房管理相关规定。 第十六条第三方人员进入计算机房或进行上机操作,须经信息化部门领导或安全负责人批准,并进行相应登记,记录原因、目的及操作内容,指定专人全程陪同。 第五章网络访问管理 第十七条科技公司员工有义务向第三方人员说明网络接入安全要求。 第十八条第三方人员不允许私自连接企业网络。如果必要,必须提出申请,征得信息化管理部门允许后方可接入。第三方人员连接网络要进行相应登记备案,并签订网络使用安全协议。 第十九条长期使用内部网络的第三方人员的计算机必须接受科技公司的统一客户端管理,包括客户端管理软件的安装、安全策略的配置等。
集团公司审批权限管理制度
XX-(HR)字[2018]第16号 司属各公司、各部门: 《员工退休管理办法》已由XXX(集团)有限公司总裁批准通过,现予公布,请各公司、各部门遵照执行。 本制度自2018年7月1日起施行。 XX集团有限公司 2018年5月28日
第一条目的 1.1为进一步加强企业内控、规范审批流程,特制定本制度。 1.2各单位应本着规范、安全、高效、合理的原则严格执行本制度。 第二条适用范围 2.1本制度适用于XXX总部各部门及境内各分(子)公司和办事处。 第三条管理原则 3.1各单位涉及到预算编制、资本性支出、签订合同、费用报销、员工管理、薪资管理、往 来款项管理、纳税申报等事宜,应按照本制度附表《管理审批权限表》对应规定的权限及审批流程执行。 3.2各单位制定的其他各种制度流程、审批权限应不得与本制度冲突,若有任何地方与本制 度抵触,应以本制度规定的流程及权限为准。 3.3各单位可在本制度标准范围内,制定更加细化、更加符合当地公司管理要求的管理办法。 第四条审批权限 4.1本集团采用“自下而上”与“自上而下”相结合的方式编制年度预算,集团年度预算应 由董事会批准执行;各单位年度预算应由集团总部各主管部门审核并经集团最高负责人批准后执行。 4.2各单位资本性支出应按《管理审批权限表》及集团颁发的《资产管理制度》规定的权限 及审批流程执行。 4.3各单位签订合同应按《管理审批权限表》及集团颁发的《合同管理制度》、《XXX会计制 度》规定的权限及审批流程执行。 4.4各单位费用报销应按《管理审批权限表》及集团颁发的各种费用报销管理制度规定的权 限及审批流程执行;凡是超过集团规定的标准(上限)或超过月度(或季度、年度)预算的各种费用,必须经集团总部各主管部门及相关负责人审核、批准后方可报销。 4.5各单位招聘人员、任免及调动干部、发放薪资、支付奖金等应按《管理审批权限表》及 集团颁发的人事及薪酬管理制度规定的权限及审批流程执行。 4.6各单位员工因公借款及坏账报损核销应按《管理审批权限表》及集团颁发的《合同管理 制度》规定的权限及审批流程执行。 4.7各单位计提、缴纳税款应按《管理审批权限表》及集团颁发的《XXX会计制度》、《XXX 税务管理制度》规定的权限及审批流程执行。 第五条处罚规定 5.1任何单位若违反本制度及相关管理制度规定,应严格追究单位(或部门)负责人及有关直 接责任人的责任(包括但不限于警告、通报、罚金、降职、解聘);给公司造成经济损失及不良影响的,还应按损失金额的一定比例追究相关管理人员及责任人员的赔偿责任。 5.2各单位应规范建立考核机制,任何人违反本制度及相关管理制度规定,应及时考核记录, 并纳入评优、加薪、晋升等考核范围。
信息系统用户和权限管理制度
系统用户和权限管理制度 第一章总则 第一条为加强系统用户账号和权限的规范化管理,确保各信息系统安全、有序、稳定运行,防范应用风险,特制定本制度。 第二条本制度适用于管理的、基于角色控制和方法设计的各型信息系统,以及以用户口令方式登录的客户端。 第三条系统用户、角色、权限的划分和制定,以人力资源部对部门职能定位和各业务部门内部分工为依据。 第四条协同办公系统用户和权限管理由场办公室负责,其他业务系统的用户和权限管理由各业务部门具体负责。所有信息系统须指定系统管理员负责用户和权限管理的具体操作。 第五条信息系统用户和权限管理的基本原则是: (一)用户、权限和口令设置由系统管理员全面负责。 (二)用户、权限和口令管理必须按照要求进行分配管理。 (三)用户、权限和口令管理采用实名制管理模式。 (四)严禁杜绝一人多账号登记注册。 第二章管理职责 第七条系统管理员职责 创建各类申请用户、用户有效性管理、为用户分配经授权批准使用的业务系统、为用户授权和操作培训和技术指导。 第八条用户职责 用户须严格管理自己用户名和口令,遵守保密性原则,除获得授权或另有规定外,不能将收集的个人信息向任何第三方泄露或公开。系统内所有用户信息均必须采用真实信息,即实名制登记。 第三章用户管理 第十条用户申请和创建 (一)申请人填写基本情况,提交本部门负责人; (二)部门负责人确认申请业务用户的身份权限,并在《用户账号申请和变更表》确认。
(三)经由部门经理进行审批后,由系统管理员创建用户或者变更权限。 (四)系统管理员将创建的用户名、口令告知申请人本人,并要求申请人及时变更口令; (五)系统管理员将《用户账号申请和变更表》存档管理。 第十一条用户变更和停用 (一)人力资源部主管确认此业务用户角色权限或变更原因。 (二)执行部门主管确认此业务用户角色权限或变更原因。 (三)系统管理员变更 系统管理员变更,应及时向上级系统管理员报告,并核对其账户信息、密码以及当时系统中的各类用户信息及文档,核查无误后方可进行工作交接。新任系统管理员应及时变更账户信息及密码。 (四)业务管理员变更 业务变更应及时向本级管理或上级业务管理报告,上级业务管理和系统管理员及时变更业务管理信息。 (五)用户注销 用户因工作岗位变动,调动、离职等原因导致使用权限发生变化或需要注销其分配账号时,应填写《用户账号申请和变更表》,按照用户账号停用的相关流程办理,由系统管理员对其权限进行注销。 第四章安全管理 第十二条使用各信息系统应严格执行国家有关法律、法规,遵守公司的规章制度,确保国家秘密和企业利益安全。 第十三条口令管理 (一)系统管理员创建用户时,应为其分配独立的初始密码,并单独告知申请人。 (二)用户在初次使用系统时,应立即更改初始密码。 (三)用户应定期变更登陆密码。 (四)用户不得将账户、密码泄露给他人。 第十四条帐号审计 账号审计工作由信息系统管理部门的负责人或者主管进行审计,并应定期向其领导进行汇报,由场信息系统管理部门负责人定期和不定期检查。 第十五条应急管理 (一)用户及业务管理员账户信息泄露遗失 用户及业务管理员账户信息泄露遗失时,.应在24小时内通知本级系统管理员。本级系统管理员在查明情况前,应暂停该用户的使用权限,并同时对该账户所报数据进行核查,待确认没有造成对报告数据的破坏后,通过修改密码,恢复该账户的报告权限。
第三方施工管理制度
第三方施工管理制度 第一条目的 (一)为进一步加强公司管道的交叉、并行、占压工程管理,防范第三方破坏,确保管道安全运行,结合公司实际,特制定本办法。 (二)第三方施工的管理应本着“早发现、早联系、早介入、早管理”的“四早原则”,严格执行审批程序,落实QHSE管理要求,杜绝违章行为,确保交叉、并行、占压工程实施过程中管道的安全。 第二条适用范围 本制度适用于管理处所辖长输管道的交叉、并行、占压工程管理工作。第三条第三方施工定义 第三方:是指管道运营单位及管道运营单位有合同关系的承包商之外的个人或组织。 第三方施工:是指第三方在输气管道沿线进行相关工程或与管道交叉的工程施工。 相关工程:新建和改扩建公路、铁路、河流、电(光)缆、管道、工矿企业、输电线路等与公司所辖管道在法定管道保护距离以内施工的情况。泛指取土、挖塘、修渠、修建养殖水场,排放腐蚀性物质,堆放大宗物资,采石、盖房、建温室、垒家畜棚圈、修筑其他建筑物、构筑物或者种植深根植物,修建铁路、高速公路、油气管道、高架电缆、通信光缆,爆破、开山和修筑大型建筑物、构筑物等工程。
相关工程包括周边工程(是指管道中心线两侧各10 米-100 米范围施工)和近距离工程(是指管道中心线两侧各10 米之内的施工,主要包括与在役管道交叉穿(跨)越、10 米内伴行,还包括管道中心线两侧各50-500 米及更近距离内爆破施工)。 第四条相关法律标准规定 1、《中华人民共和国石油天然气管道保护法》,中华人民共和国主席令(2010)第30 号 2、《关于规范公路桥梁与石油天然气交叉工程管理的通知》,交通运输部、国家能源局、国家安全监管总局交公路发(2015)36 号 3、《山西省石油天然气管道建设和保护办法》,山西省人民政府令第242 号 4、《输气管道工程设计规范》,GB 50251-2015 5、《油气输送管道穿越工程设计规范》GB 50423-2013 6、《油气输送管道跨越工程设计规范》GB 50459-2009 7、《油气长输管道工程施工及验收规范》GB50369-2014 注:包括 但不仅限于以上7 条第五条部门职责 1、负责与第三方业主单位、施工单位及相关政府职能部门的沟通协调工作; 2、组织管理处生产科、安全科进行现场联合勘察,以确定合理正确的技术方案及施工方案; 3、负责对第三方施工方案的初审,初审合格后报管道管理部,由管
账号密码及权限管理制度
XXXX公司 账号密码及权限管理制度 1总则 1.1 目的 为加强公司信息系统账号和密码管理,通过控制用户密码、权限,实现控制访问权限分配,防止对公司网络的非授权访问,特制订本管理办法。 1.2 范围 所有使用本公司网络信息系统的人员。 1.3 职责 公司所有使用信息系统的人员均需遵守本管理办法规定。行政部网络工程人员负责建立账号和密码管理的规范并推动执行、审核和检查落地执行情况。 1.4 术语和定义 内部网络:是指在本公司内部所有客户端等组成的局域网。包括但不限于OA 系统以及数据库系统等。 2控制内容 1.1 用户注册 ?新用户必须加入域,否则不允许入网。 ?域用户账号由网络管理员在该用户上岗使用公司网络系统前建立,命名 原则为职工工号。
?一自然人对应一个系统账号,以便将用户与其操作联系起来,使用户对 其操作行为负责。 ?用户因工作变更或离开公司时,管理员要及时取消或者锁定该用户所有 账号,对于无法锁定或者删除的用户账号采用更改密码等相应的措施规 避风险。 ?系统管理员应定期检查并取消多余的用户账号。 1.2 权限管理 ?行政部系统管理员负责分配新用户系统权限,负责审批用户权限变更申 请是否与信息安全策略相违背。 ?特权用户必须按授权程序通过系统等部门主管批准,才可给予相应的权 限。 ?系统管理员应保留所有特权用户的授权程序与记录。 ?权限设定要明细化,尽可能减少因拥有的权限化分较粗带来的不正当信 息访问或误操作等现象的发生。若某些权限无法细分,则需加强对用户 的单独监控。 ?只有工作需要的信息访问要求,才可授权。每个人分配的权限以完成本 岗位工作最低标准为准。 ?系统管理员对分配的所有权限记录进行维护。不符合授权程序,则不授 予权限。 ?对于本公司外的用户,需要访问本公司内部资源时,需要由用户的接待 者申请为其办理授审批程序。 1.3 密码的选择 密码的选择应参考以下规则:
企业级应用系统权限管理办法
企业级应用系统权限管理办法(暂行) 一、目的 为加强企业级应用系统权限管理,保证公司应用系统所涉及各类信息安全,不因系统权限设置发生信息泄密事故,特制定本管理办法。 二、适用范围 本办法适用于公司上线的企业级应用系统。 三、权限设置原则 (一)公司各应用系统权限设置分为“功能权限”和“数据权限”。功能权限指应用系统中为完成某项业务所开发的系统功能,“数据权限”指使用某项功能时可获取的数据范围。 (二)功能权限原则上授予各工作岗位,按照岗位从事的业务范围和职责授予该岗位相应的功能权限,处于该工作岗位的员工自动获得该岗位的功能权限;公司总经理、信息化领导小组组长的功能权限为系统中所有查询、统计类权限;各业务主分管领导功能权限为所主分管各业务部门所拥有的查询、统计类权限合集。 (三)数据权限设置分主分管领导、系统管理员、总部部门、项目经理部分别设置。一般情况下,总经理、信息化领导小组组长、系统管理员数据权限为系统所有数据;主分管领导数据权限为所主分管各业务部门数据权限合集;总部部门数据权限为相应系统功能中所有数据;项目数据权限为本项目数据。 (四)企业级应用系统上线时,应同时完成系统权限分配表的签发工作,系统权限设置以权限分配表为依据。 四、岗位人员设置 (一)应用系统中各岗位人员设置,公司有明确规定的,按照公司规定设置。 (二)应用系统中各岗位人员设置,公司无明确规定的,由各单位申报名单,按申报名单设置。 五、权限管理职责 (一)信息化领导小组组长是信息化系统权限管理最高领导,全面负责信息化系统权限管理工作,负责信息化系统权限分配表的批准、签发。 (二)信息管理室作为企业级信息化系统权限管理的牵头部门,负责指定各应用系统系统管理员;负责制定权限分配表,并根据公司管理需要、系统功能调整、扩充对权限分配表进行变更维护;依据权限分配表对系统中各种权限进行检查,保证系统中权限设定符合权限分配表的要求。
公司授权管理办法
公司授权管理办法 (试行版) 为完善公司的治理结构,强化公司对各部门的统一管理,达到集中决策与适当分权的合理平衡,以提高公司管理效率及经营的需要,依据《中华人民共和国公司法》、公司章程及公司发展战略,制定本办法。 一、本办法所称的授权,是指由公司董事长向各组织机构授权,组织机构负责人代表其部门接受授权,各组织机构必须在公司授权范围内依法进行经营管理活动。 二、各部门行使授权权限时,必须接受公司的统一领导,遵守公司的各项规章办法。 三、授权的范围、类别和形式: 1、基本授权是指对各部门基本业务、财务管理及人事管理的授权,经基本授权产生被授权部门的基本权限。由公司董事长签发授权,被授权人为各部门负责人。基本授权的期限为任职聘期为限。 2、特别授权是指对超出基本授权范围的某一特定事项或某项特殊业务的临时性授权。由公司董事长签发授权,被授权人为各部门负责人。特别授权的期限在特别授权书中注明。 3、公司董事长可根据经营需要向各部门进行基本授权,除非对该部门的授权管理规定有特殊规定,接受公司基本授权的部门不得再向其所辖机构或个人转授权。 四、基本授权的制订、管理和变更程序: (一)公司基本授权的范围包括:人事授权、财务授权和业务授权,分别产生被授权部门的人事权限、财务权限和业务权限。 1、人事授权的具体内容包括(即岗位职责):(1)、人事任免(推荐);(2)、人员考评、奖惩;(3)、组织架构及定岗定编;(4)、员工绩效奖励分配;(5)、支出费用审核。 2、财务授权的具体内容包括(即岗位职责):(1)、预算编制及调整;(2)、预算外支出的审批;(3)、投融资业务;(4)、合同付款计划的制订及审批;(5)、财务管理办法的制订。 3、业务授权的具体内容包括:(1)、主要经营业务相关经营决策的制订;(2)、对外合同的签订。 基本授权须经公司班子会议通过,公司对各部门的基本授权应与公司各部门的定岗定编相一致。 (二)当被授权部门发生下列情况时,公司可变更对该部门的基本授权: 1、部门与授权有关的工作岗位设置发生变更; 2、被授权人发生重大越权行为; 3、因被授权人未能正确履行授权程序造成重大经营风险; 4、其他需要变更的情况。 (三)基本授权的变更程序是: 由公司有关部门根据具体情况提出对授权的变更方案,重大变更方案经公司领导班子会议讨论,一般变更方案报公司董事长批准。变更方案批准后由公司综合部和根据此制作出通知书,经公司董事长签字后加盖公章,将授权变更通知书复印本下发被授权部门。原件作为原授权管理规定的附属文件,与原授权管理规定具有同等效力,随原授权管理规定的终止而终止。 六、特别授权的制订、管理和变更程序当公司出现以下情况时,公司执行董事可以向各部门签发特别授权:
公司信息化系统用户权限管理制度
公司信息化系统用户权限管理制度 第一章总则 第一条为了规范公司信息化系统的权限管理工作,明确系统用户权限的管理职责,结合公司实际情况,特制定本制度。 第二条相关名词解释 信息化系统:公司ERP系统,炼钢生产管控系统、报表系统、在线质量判定系统、物资计量网、调度日报系统、能力计划系统、物资计量系统、热轧自动仓储、冷轧自动仓储、一卡通、OA、内网、文档管理、IT运行管理等系统。 权限:在信息化系统中用户所能够执行的操作及访问的数据。 第三条本制度的适用范围为公司各单位,其中派驻站、ERP权限变更按照其归属部门流程提报。 第二章职责分工 第四条运营改善部作为信息化系统用户权限的归口 管理部门,主要负责各系统内用户权限的命名、审批、上报、配置、监控、删除、通知和培训等管理工作。负责《公司信息化系统用户权限管理制度》的修订、培训、实施、检查。 第五条各相关部室和作业部负责指定本单位权限管理员和权限审批者参与权限管理工作,权限管理员负责本单位信息系统权限的收集、申请、下发、测试、反馈;权限审
批者负责本单位申请的系统权限进行审批把关,并对权限申请后形成的业务结果负责。 第六条系统用户负责本人权限测试、保管工作;负责权限密码泄密后的上报和密码更换工作;负责依据本人权限进行相应系统操作。 第三章系统用户权限管理 第七条用户权限的申请 业务部门根据实际业务,需要新建(变更)信息化系统用户的权限,由本部门权限管理员在公司IT运行管理系统中填报权限新增(变更)申请。 第八条用户权限的审批 信息系统用户权限新增(变更)申请在公司IT运行管理系统中由申请单位权限审批者进行审批。 第九条用户权限的系统实现 经公司IT运行管理系统申请的系统权限,由运营改善部权限管理员于收到权限申请后一个工作日内完成权限审批、配置、变更工作,对于审批通过的ERP权限申请,由运营改善部按照《R/3系统用户申请表》、《用户权限变更申请表》要求完成上报工作。 第十条用户权限的系统测试 申请单位权限管理员在接到权限配置完成的信息后,应及时通知相关用户,在两个工作日之内完成系统权限测试,存在问题的由权限管理员反馈运营改善部。申请单位权限管
网络安全管理制度
******公司网络安全管理制度 1、机房管理规定 1.1、机房环境 1.1.1、机房环境实施集中监控和巡检登记制度。环境监控应包括:烟雾、温湿度、防盗系统。 1.1.2、机房应保持整齐、清洁。进入机房应更换专用工作服和工作鞋。 1.1.3、机房应满足温湿度的要求,配有监视温湿度的仪表或装置。温度:低于28°C 湿度:小于80% 1.1.4、机房的照明及直流应急备用照明电源切换正常,照明亮度应满足运行维护的要求,照明设备设专人管理,定期检修。 1.1.5、门窗应密封,防止尘埃、蚊虫及小动物侵入。 1.1.6、楼顶及门窗防雨水渗漏措施完善;一楼机房地面要进行防潮处理,在满足净空高度的原则下,离室外地面高度不得小于15CM。 1.2、机房安全 1.2.1、机房内用电要注意安全,防止明火的发生,严禁使用电焊和气焊。 1.2.2、机房内消防系统及消防设备应定期按规定的检查周期及项目进行检查,消防系统自动喷淋装置应处于自动状态。 1.2.3、机房内消防系统及消防设备应设专人管理,摆放位置适当,任何人不得擅自挪用和毁坏;严禁在消防系统及消防设备周围堆放杂物,维护值班人员要掌握灭火器的使用方法。 1.2.4、机房内严禁堆放汽油、酒精等易燃易爆物品。机房楼层间的电缆槽道要用防火泥进行封堵隔离。严禁在机房内大面积使用化学溶剂。 1.2.5、无人值守机房的安全防范措施要更加严格,重要机房应安装视像监视系统。 1.3、设备安全 1.3.1、每年雷雨季节到来之前的要做好雷电伤害的预防工作,主要检查机房设备与接地系统与连接处是否紧固、接触是否良好、接地引下线有无锈蚀、
接地体附近地面有无异常,必要时挖开地面抽查地下掩蔽部分锈蚀情况,如发现问题应及时处理。 1.3.2、接地网的接地电阻宜每年测量一次,测量方法按DL548—94标准附录B,接地电阻符合该标准附录A的表1所列接地电阻的要求,要防止设备地电位升高,击穿电器绝缘,引发通信事故。 1.3.3、每年雷雨季节到来之前应对运行中的防雷元器件进行一次检测,雷雨季节中要加强外观巡视,发现异常应及时处理。 1.3.4、房设备应有适当的防震措施。 1.4、接地要求 1.4.1、独立的数据网络机房必须有完善的接地系统,靠近建筑物或变电站的数据网络机房接地系统必须在本接地系统满足DL548—94标准附录A的表1所列接地电阻的要求后才可与附近建筑物或变电站的接地系统连接,连接点不得少于两点。 1.4.2、机房内接地体必须成环,与接地系统的连接点不得少于两点,机房内设备应就近可靠接地。 1.5、人身安全 1.5.1、检修及值班人员要严格遵守安全制度,树立安全第一的思想,确保设备和人身的安全。 1.5.2、通信站保卫值班人员不得在通信设备与电器设备上作业。通信站内高压设备出现故障应立即通知高压检修人员抢修,保卫值班、通信检修人员不得进入高压场地安全区内。 2、帐户管理规定 帐户是用户访问网络资源的入口,它控制哪些用户能够登录到网络并获取对那些网络资源有何种级别的访问权限。帐户作为网络访问的第一层访问控制,其安全管理策略在全网占有至关重要的地位。 在日常运维中发生的许多安全问题很大程度上是由于内部的安全防范及安全管理的强度不够。帐户管理混乱、弱口令、授权不严格、口令不及时更新、旧帐号及默认帐号不及时清除等都是引起安全问题的重要原因。 对于账户的管理可从三个方面进行:用户名的管理、用户口令的管理、用
公司授权管理制度
XXXX有限公司 授权管理制度 第一章总则 第一条为完善数字优搜(网络)北京有限公司(以下简称优搜)法人治理结构,规范优搜的经营管理,健全内控和自我约束机制,增强防范和控制风险的能力,按照《中华人民共和国公司法》、《支付清算组织管理办法》的要求,根据有关法律法规的规定,制定本制度。 第二条董事会遵循“统一管理、区别授权、权责明确、严格监管”的原则,实行统一法人体制下的授权管理体制。 第三条本制度所称授权是指董事会在法定经营范围内,授予经营管理层进行经营管理活动的权限。 第四条本制度所称授权人,系指向经营管理层授予经营管理权限的机构;受权人系指接受经营管理权限的经营管理层。 第五条授权人负责人和受权人负责人作为签署授权书的直接责任人。作为法定代表人的董事长作为授权人之代表人,代表董事会签署授权书。CEO作为经营管理层的代表人接受授权,并代表经营管理层签署承诺书,保证严格忠于职守。 第六条董事会根据受权人的经营管理水平、资产负债规模与资产质量、主要人员素质和业绩、风险控制能力、投资环境等条件和变化,实施区别授权和动态管理。 第七条经营管理层应在授权权限范围内依法开展业务,并承担相应的责任,严禁越权或未经授权从事经营活动。 第二章授权的分类、范围和形式 第八条授权分为基本授权和特别授权两种。基本授权是指对法定经营范围内的常规性经营管理所授予的权限。特别授权是指对超过基本授权范围的某一特
定事项或特殊业务、创新业务等所授予的临时权限。 第九条授权范围 (一)基本授权包括: 1、日常业务管理权限; 2、资产控制和损失管理权限; 3、资金使用和借贷管理权限; 4、内部财务管理权限; 5、法律事务管理权限; 6、行内人事安排管理权限; 7、其他经营管理权限。 具体授权幅度参见《分权手册》 (二)特别授权包括: 1、超出基本授权范围外的某一特定的、非常规性事项; 2、创新业务和特殊业务; 3、诉讼、仲裁代理事项; 4、其他需进行特别授权的事项。 第十条基本授权原则上一年一办、期限为一年。特别授权为一事一办,期限应根据授权事项办理的时间确定,但最长不超过一年。 第十一条基本授权、特别授权分为直接授权、转授权和再转授权三个层次:直接授权,系指董事会对CEO的直接授权。 转授权,系指CEO根据董事会的授权并在授权范围内,对分管公司领导、辖属分支机构或职能部门的授权。 再转授权,系指辖区分支机构或职能部门在转授权范围内对所辖机构和岗位再转授予的权限。 未经上级授权机构(人)书面授权许可,任何机构和个人不得进行转授权、再转授权。