信息系统用户及权限管理办法

信息系统用户及权限管理办法

总则

第一条为加强集团信息系统使用管理，完善操作权限控制体系，合理使用权限和有效防范权限风险，特制定本办法。

第二条本办法适用范围是集团公司统一管理的信息系统，各级子公司分级管理或自行管理的信息系统用户及权限管理办法参照本办法制定。

第二章管理原则

第三条权限设置原则

（一）操作员权限严格遵循“权限最小化”、“不相容权限相互分离”、“重要岗位间权限相互牵制”的原则进行设置。

（二）临时权限以“临时赋予、限时操作”的形式进行申请和审批。

第四条权限日常管理原则

（一）权限的日常管理和使用必须遵循“科学严谨、宁紧勿松”的原则，正确设置和使用权限。

（二）员工应定期更换权限密码；不得有意泄露权限密码；不打听、不窃取他人权限密码；不在他人面前输入权限密码；在其他操作员输入权限密码时自觉回避。

（三）员工在无交接手续的情况下，不得将自己的权限借给他人使用，也不得使用他人权限。

第三章权限设置

第五条权限设置

（一）申请

系统操作权限的设置、变更和删除申请必须填写《信息系统用户及权限申请表》（附件1）。员工入职或增加权限，应根据工作岗位的实际需求提出申请；发生岗位变动的员工，应根据工作变动情况申请变更相应系统权限；员工离职时，所在部门需申请删除相应用户权限。

（二）审批

《信息系统用户及权限申请表》由所在部门负责人、集团公司信息中心主任审批。

（三）授权

审批通过后，由信息中心系统管理员授权。对初次申请权限的申请人，应告知申请人修改初始密码。所在部门负责人负责对授权的正确性进行稽核监督。

第六条操作权限应严格根据岗位职责设置。系统管理员应定期检查所有操作人员的权限，启用系统提供的安全审计留痕功能，重要岗位的登录过程应增加必要的限制措施，并保留所有的操作记录。

第四章口令设置

第七条用户口令设置必须满足下列要求

(一)操作系统超级用户、业务系统管理员、重要设备管理员的口令长度大于8位，数字和字母混用，没有具体含义。

(二)普通用户口令长度大于5位。

(三)失败鉴别的最高次数为10次。

第八条重要口令的掌管

(一)操作系统超级用户：服务器操作系统超级用户权限用于系统升级和相关应用程序的安装和维护，并创建、维护经授权的其它用户，应严格控制其它用户对系统文件的读写、

更改、删除等权限。

(二)业务系统管理员:各业务系统管理员的权限实行专人管理制度，相关业务系统的管理员不得擅自修改口令强度设置。

(三)各重要口令掌管人应将掌管的口令以书面形式封存在密封件内，移交信息中心主任保管，遇到特殊情况时根据需要由信息中心主任启封。

第五章申办财务信息系统事项

第九条申办财务信息系统事项，需填写《财务信息系统事项申办单》。

第十条新建单位、变动单位新增或变更财务系统账套需填写内容：

单位全称（以营业执照为准）、财务负责人、财务人员及岗位权限、账套启用时间（年月)、币种、上级单位、是否合并报表等。

第十一条申办新增、变更和取消用户权限事项需填写内容：

（一）新增、变更或注销用户姓名。

（二）用户的有效期：长期、临时（具体时效）。

（三）选填用户的权限模块：财务、固定资产、工资、薪酬、预算、资金管理、报表系统、网上报销等。

（四）仅需查询权限的需列明查询用户及查询单位。

（五）审计部门申请用户权限需填写用户姓名，列明审计权限。外单位需进入账套进行审计申请临时用户的，由被审计单位填写“财务信息系统事项申办单”，申办事项中注明审计单位名称，使用人姓名，用户使用时效等。

（六）公司网络以外的用户申请VPN账号，需列明使用单位及使用人的中文姓名。

第十二条提取财务账套电子数据需填写内容：

聘请外单位进行审计或其他情况需提取财务账套电子数据，需在申办事项中填写提取账套单位名称，提取账套年度，取数单位全称（如××会计师事务所）、取数单位联系人、联系方式。

第十三条变更会计科目需填写内容：

财务信息系统3级以上会计科目由集团统一管理，3级以下会计科目各单位可自建，如需增加或变更会计科目，需注明会计科目名称，上级科目名称、科目编码。

第十四条《财务信息系统事项申办单》经申办部门负责人、申办单位财务负责人、集团公司信息中心主任审批确认后，财务系统管理员实施办理。

第六章附则

第十五条本办法由集团公司负责制定、解释与修订。

第十六条本办法自印发之日起施行。

附件：1.《信息系统用户及权限申请表》

2.《财务信息系统事项申办单》

信息系统用户及权限申请表

财务信息系统事项申办单