IT系统账号申请作业指导书

IT系统账号申请作业指导书1.0目的建立《IT系统账号申请作业指导书》的目的是规范IT系统账号和权限的管理，建立对信息访问的授权程序、规范和职责划分，保证信息系统资源得到合理的使用；通过建立相关策略来监控信息系统中的账号使用情况，保证用户账号得到正确的使用。2.0范围本流程适用于公司所有使用信息系统的用户以及外部来访需要使用到公司信息系统的用户。3.0名词定义3.1关键业务系统关键业务系统包括AD、CRM、OA、ERP、HER、BI等系统。3.2账号账号是用户用于访问公司信息系统的唯一的身份标识，包括用户名和密码。用户账号分为终端账号、AD账号、网络接入账号、业务系统账号。3.3用户账号用户账号主要包括终端账号、AD账号和网络接入账号等办公所需账号，用户申请办公系统账号经审批后，由账号管理员赋予用户默认的办公环境中所需的账号及权限。3.4特权账号特权账号主要用于操作、维护、管理或监督审计服务器上操作系统、数据库系统或网络服务器的账号。3.5账号管理员账号管理员仅进行相应系统的账号管理（包括新建账号、权限更改和删除/禁用账号）操作。3.6系统管理员组系统管理员组使用特权账号对服务器上操作系统、数据库系统进行操作、维护、管理或监督审计，属于系统管理员组的角色包括系统管理员、数据库管理员、安全管理员。3.7网络管理员组网络管理员组使用网络认证系统和设备管理账号对网络设备和网络认证服务器以及IP地址管理服务器进行操作、维护、管理或监督审计，属于网络组的角色包括网络管理员和安全管理员。4.0职责阐述本制度/流程涉及的部门（角色）职责与权限。4.1用户直属领导4.1.1申请人应就信息系统的用户账号及权限向其直属领导提交申请；4.1.2用户直属领导应根据公司制度以及员工岗位的需求对员工的账号及权限申请进行审核和批复。4.2IT经理用户账号（AD账号、网络接入账号、业务系统账号）的申请由申请人直属领导审批通过后提交至IT副经理进行审批。4.3业务系统负责人业务系统账号的申请由申请人直属领导审批通过后提交至业务系统负责人进行审批。4.4IT经理特权账号的申请应由IT经理进行审批。4.5账号管理员a)账号管理员应严格按照审批后的权限维护和管理系统；b)账号管理员应按要求生成、变更和删除员工账号。4.6安全管理员安全审计员负责对用户账号和权限进行定期审计。4.7用户职责以及违反规定的后果4.7.1用户职责c)遵守国家相关法律和公司IT规范；d)充分利用公司各种IT资源与功能，不断提高计算机使用水平，提高工作效率；e)不使用公司的IT资源于游戏或处理私人事情。4.7.2违规处理a)用户若违反规定，必须承担由此造成的全部后果，并将受到公司包括解雇在内的处理；b)违反国家相关法律的，送交公安机关等法制机构处理。5.0参考依据6.0注意事项特权账号必须做到分权管理，所有特权账号需要进行的IT管理运维工作必须通过“堡垒机”，从而留下操作记录。7.0作业内容7.1账号管理原则7.1.1账号管理原则：a)公司各系统应根据“最小授权”的原则设定账号访问权限，控制用户仅能够访问到工作需要的信息；b)账号管理员在建立用户账号时应确保唯一性原则，即一个用户只能有一个账号，且一个账号只能由一个用户使用；c)各系统应该设置审计专用账号，审计账号应当仅具备系统的读权限，检查系统设置、系统日志等信息；d)各系统应限制第三方人员的访问权限，对第三方人员的账号设置及使用情况进行定期的检查和审计。7.1.2用户账号应遵循如下命名规则：用户账号根据HR提供的用户工号进行命名。7.1.3各系统的用户账号应能标识系统访问的不同角色，应避免使用系统默认账号。7.1.4各系统应开启系统安全日志功能，能够记录系统的登录和访问时间、操作内容。7.1.5账号管理员应当对系统中存在的账号进行定期审计，系统中不应存在无用或匿名账号。7.1.6公司安全管理员应定期审计，内容应包含如下几个方面：a)是否存在员工实际已经离职但其账号仍存在系统中的情况；b)是否存在在职员工被授予不需使用的系统权限的情况；c)是否存在用户账号权限与备案的用户账号权限不一致的情况；d)是否存在非法账号或长期未使用的账号；e)是否存在弱密码的用户账号。7.2账号管理流程7.2.1账号管理流程a)账号申请员工可申请开通办公系统账号（如AD账号、网络接入账号等）、VPN账号、应用系统账号等i.公司正式员工，其申请办公系统账号（如AD账号、网络接入账号等）需由其直属领导和IT副经理共同批准；其申请应用系统账号账号均需由其直属领导、业务系统负责人共同批准；仅系统管理员组人员可申请特权账号，其申请需由信息部IT经理批准；ii.外部来访需要访问公司信息系统的用户，申请终端账号、网络接入账号均需由需求部门申请人、其直属领导、IT副经理和IT经理共同批准，但需注明使用时段，超过时段而没有及时重新申请的来宾账号将被停止使用。iii.用户权限变更以下情况应申请更改用户权限：i.用户岗位或职位改变导致其所需使用的资源发生改变；ii.用户的工作内容增加或减少导致影响其所需使用的资源。b)禁用/删除账号以下情况应禁用/删除账号权限：i.员工辞职：账号管理员根据员工离职单将该用户在所有服务器上的所有权限禁用；各部门必须在签署员工离职单前做好该用户的数据交接和备份工作。ii.员工自行离职：人力资源部必须在第一时间通知IT部自行离职人员信息，IT部账号管理员据此将该用户的所有账号禁用及所有权限收回，离职人员所在部门必须马上清点和该人员的相关资料和文件。iii.员工被开除：人力资源部必须在正式通知被开除员工本人前通过书面或电子邮件的方式要求IT部将该用户的所有账号禁用及所有权限收回；同时要求被开除员工所在部门的负责人应做好该用户的数据交接和备份工作。6.2.2办公系统账号（如终端账号、AD账号和网络接入账号）的申请流程a)在发生新增员工情况时，如该员工使用到办公系统账号（如终端账号、AD账号和网络接入账号等），则由相关人员在OA系统中填写账号申请表，提交申请人直属领导和IT副经理共同批准后，流转至账号管理员进行用户账号的新增；b)在发生员工离职时，参照7.2.1b节内容进行处理；c)账号管理员赋予或取消用户默认的办公环境中所需的账号及权限；d)新增用户的初始账号密码由账号管理员提供，新用户第一次登录系统时强制要求更改其账号的初始密码，密码强度的要求具体请参见7.3节“用户密码管理”；e)账号的设置操作必须在IT部收到经审批通过的申请表后的两个工作日之内完成。7.2.3应用系统账号的申请流程a)在发生新增员工、员工岗位变动的情况时，如该员工为普通员工，且需使用到AD、CRM、OA、ERP、HER、BI等系统的普通账号进行业务操作时，则由相关人员在OA系统中填写相关表单经直属领导审批后，提交给业务系统负责人进行职责和权限的确认，并审批通过后，流转至各账号管理员进行用户账号的维护；b)账号管理员根据经审批通过后的相关申请表中所列的权限需求，在相关系统中新增用户、设定权限/更改权限、禁用/删除用户；c)新增普通用户时，其初始账号密码由账号管理员提供，新用户第一次登录系统时强制要求更改其账号的初始密码，密码强度的要求具体请参见7.3节“用户密码管理”；d)应用系统的账号管理员拥有超级用户权限，禁止其进行业务操作；e)BI系统的账号管理员应定期（每半年）导出BI系统的账号权限并由业务部门领导确认其所辖部门的用户账号存在性及权限的合理性，具体请参见7.2.5节“账号维护”。7.2.4特权账号的申请流程a)IT人员需使用到后台账号进行技术支持操作，由相关人员在oa系统中填写申请表，提交信息技术部副经理和IT经理批准后，流转至账号管理员进行后台账号的新增；账号管理员根据经审批通过后的相关申请表中所列的权限需求，在相关系统中新增用户、设定权限/更改权限、禁用/删除用户；b)新用户第一次登录系统时强制要求更改其账号的初始密码，密码强度的要求具体请参见6.3节“用户密码管理”；7.2.5账号维护IT部门定期对用户账号的使用情况进行审查。维护流程如下：a)账号管理员进行系统AD账号的查询，禁用/删除不再需要访问系统的用户账号；b)账号管理员同时每半年将BI系统中所有用户账号和用户权限导出并发送至相关业务部门领导，由其确认其所辖部门的用户账号存在性和权限合理性，确认的内容包括账号持有人是否在职、账号持有人是否从属于正确的权限组及是否拥有合适的权限；c)在进行任何操作以前：i.尽可能联系用户及其部门领导；ii.若用户不响应账号管理员，账号管理员必须禁用此账号直至得到用户的响应；iii.若确认用户已离职，必须立即执行禁用此账号的程序；iv.若有合理原因（如用户长期不在公司内办公）造成账号长期未使用，账号管理员仍可考虑将此账号禁用，当用户需使用此账号时再行启用。7.2.6用户访问管理a)数据拥有者应负责对数据的访问权限进行授权，并周期性地检查数据的访问授权状态，支持IT部门的审计工作；b)账号管理员应负责数据访问的安全控制，负责实施数据访问的授权工作，从程序上保护这些数据的逻辑访问，保证按照数据拥有者的要求设置了安全措施；c)用户应遵守公司的安全管理策略和访问控制程序，仅在工作需要时使用公司的信息系统资源。7.3用户密码管理7.3.1用户账号密码的设置至少应该符合以下要求：a)密码长度大于或等于8位；b)使用大小写字母、数字，以及特殊字符混合使用；c)不是外语单词或汉语拼音；d)首次登陆后强制要求修改初始密码。7.3.2普通用户密码至少每半年更换一次，包括：AD账号密码、应用系统的密码等。7.3.3系统设定密码历史记录为2次，即在用户修改密码时，禁止其将密码置为最近2次以内使用过的密码。7.3.4密码不能以明文的方式通过电子邮件或者其它网络传输方式进行传输。7.3.5账号管理员不能共享超级用户的用户账号密码，应采用组策略控制超级用户的访问。7.3.6所有系统集成商在施工期间设立的缺省密码在系统投入使用之前都要删除。7.3.7密码要以加密形式保存，应使用高强度的加密算法，且加密算法应不可逆。7.3.8密码在输入系统时，密码不能在显示屏上被明文显示。7.3.9系统应该强制设定密码的策略，包括密码的最短有效期、最长有效期、最短长度、复杂性等。7.3.10除账号管理员外，普通用户应仅能改变其自身的用户账号密码。8.0表单8.1IT系统账号申请单8.2账号解锁申请单版本日期内容起草标准化审核批准1.02020.1.22IT系统账号申请作业指导书