機(jī)關(guān)單位信息系統(tǒng)權(quán)限管理辦法第一章總則第一條為規(guī)范本單位信息系統(tǒng)的權(quán)限管理，保障信息系統(tǒng)安全穩(wěn)定運(yùn)行，保護(hù)單位核心數(shù)據(jù)與敏感信息，確保各項(xiàng)業(yè)務(wù)工作有序開展，防范信息安全風(fēng)險(xiǎn)，依據(jù)國家相關(guān)法律法規(guī)及本單位信息化建設(shè)總體規(guī)劃，特制定本辦法。第二條本辦法適用于本單位所有信息系統(tǒng)（包括但不限于業(yè)務(wù)管理系統(tǒng)、辦公自動化系統(tǒng)、決策支持系統(tǒng)等）的用戶權(quán)限設(shè)置、分配、變更、回收、審計(jì)及監(jiān)督管理等活動。本單位所有工作人員（含正式職工、合同制人員、借調(diào)人員、實(shí)習(xí)人員以及經(jīng)授權(quán)訪問本單位信息系統(tǒng)的外部人員）均須遵守本辦法。第三條信息系統(tǒng)權(quán)限管理遵循以下原則：（一）最小權(quán)限原則：用戶權(quán)限應(yīng)與其工作職責(zé)嚴(yán)格匹配，僅授予完成工作所必需的最小權(quán)限，避免權(quán)限過度分配。（二）職責(zé)分離原則：關(guān)鍵崗位和重要操作的權(quán)限應(yīng)進(jìn)行分離設(shè)置，形成相互制約機(jī)制，防止單一用戶權(quán)限過大導(dǎo)致風(fēng)險(xiǎn)。（三）動態(tài)調(diào)整原則：權(quán)限分配應(yīng)根據(jù)用戶崗位變動、職責(zé)調(diào)整或項(xiàng)目進(jìn)展等情況及時進(jìn)行變更或回收，確保權(quán)限的時效性與準(zhǔn)確性。（四）全程可控原則：權(quán)限的申請、審批、分配、變更、回收等全過程均需有明確記錄，確?？勺匪?、可審計(jì)。（五）安全保密原則：權(quán)限管理活動本身應(yīng)符合信息安全和保密相關(guān)規(guī)定，嚴(yán)禁泄露權(quán)限信息及敏感數(shù)據(jù)。第二章管理職責(zé)第四條單位信息化工作領(lǐng)導(dǎo)小組（或相應(yīng)決策機(jī)構(gòu)）是信息系統(tǒng)權(quán)限管理的領(lǐng)導(dǎo)機(jī)構(gòu)，負(fù)責(zé)審定權(quán)限管理的重大政策、制度，協(xié)調(diào)解決權(quán)限管理中的重大問題。第五條信息技術(shù)部門（或負(fù)責(zé)信息化工作的科室）是信息系統(tǒng)權(quán)限管理的歸口管理部門，主要職責(zé)包括：（一）組織制定和完善信息系統(tǒng)權(quán)限管理相關(guān)制度和細(xì)則；（二）統(tǒng)籌協(xié)調(diào)各業(yè)務(wù)部門的權(quán)限管理需求；（三）負(fù)責(zé)信息系統(tǒng)權(quán)限管理技術(shù)平臺的建設(shè)、維護(hù)和技術(shù)支持；（四）指導(dǎo)和監(jiān)督各業(yè)務(wù)部門及系統(tǒng)管理員執(zhí)行權(quán)限管理規(guī)定；（五）組織開展權(quán)限審計(jì)與安全檢查，定期通報(bào)權(quán)限管理情況；（六）負(fù)責(zé)跨部門、全局性系統(tǒng)的用戶賬號創(chuàng)建、權(quán)限初始分配及關(guān)鍵權(quán)限的審批。第六條各業(yè)務(wù)部門是其主管業(yè)務(wù)領(lǐng)域信息系統(tǒng)權(quán)限的直接管理和使用部門，主要職責(zé)包括：（一）根據(jù)本部門業(yè)務(wù)需求和崗位職責(zé)，提出權(quán)限設(shè)置建議；（二）負(fù)責(zé)本部門用戶權(quán)限的申請初審、日常使用監(jiān)督和定期復(fù)核；（三）及時上報(bào)本部門用戶崗位變動、離職等情況，辦理權(quán)限變更或回收手續(xù)；（四）配合信息技術(shù)部門開展權(quán)限審計(jì)和安全檢查工作。第七條信息系統(tǒng)管理員（包括系統(tǒng)開發(fā)維護(hù)人員和數(shù)據(jù)庫管理員）負(fù)責(zé)具體執(zhí)行權(quán)限的配置、變更、回收等操作，并對操作過程進(jìn)行詳細(xì)記錄。系統(tǒng)管理員應(yīng)嚴(yán)格遵守權(quán)限管理規(guī)定，不得擅自授予或變更權(quán)限。第八條用戶對個人賬號及所擁有的權(quán)限負(fù)有直接責(zé)任，應(yīng)妥善保管賬號密碼，規(guī)范使用權(quán)限，不得轉(zhuǎn)借他人或用于未經(jīng)授權(quán)的操作。發(fā)現(xiàn)賬號異?；驒?quán)限濫用情況，應(yīng)立即向信息技術(shù)部門和本部門負(fù)責(zé)人報(bào)告。第三章權(quán)限設(shè)置與分配第九條權(quán)限設(shè)置應(yīng)基于單位組織架構(gòu)、業(yè)務(wù)流程和崗位職責(zé)進(jìn)行梳理和定義，形成標(biāo)準(zhǔn)化的權(quán)限清單。權(quán)限清單應(yīng)明確權(quán)限名稱、權(quán)限描述、適用崗位、關(guān)聯(lián)數(shù)據(jù)范圍及權(quán)限級別等要素。第十條權(quán)限分配應(yīng)嚴(yán)格遵循“按需分配、按崗授權(quán)”的原則，由各業(yè)務(wù)部門根據(jù)工作需要提出申請，經(jīng)規(guī)定程序?qū)徟螅尚畔⒓夹g(shù)部門或系統(tǒng)管理員執(zhí)行分配。第十一條對于涉及單位核心數(shù)據(jù)、敏感信息或關(guān)鍵業(yè)務(wù)操作的權(quán)限，應(yīng)設(shè)置為高級權(quán)限或特殊權(quán)限。此類權(quán)限的授予需經(jīng)過更高級別的審批，并對使用情況進(jìn)行重點(diǎn)監(jiān)控和記錄。第十二條實(shí)行崗位權(quán)限模板化管理。根據(jù)不同崗位的典型職責(zé)，預(yù)設(shè)相應(yīng)的權(quán)限集合（權(quán)限模板），以提高權(quán)限分配效率和準(zhǔn)確性。崗位權(quán)限模板應(yīng)根據(jù)業(yè)務(wù)發(fā)展和職責(zé)調(diào)整進(jìn)行定期評審和更新。第十三條禁止授予用戶與工作職責(zé)無關(guān)的權(quán)限，禁止將系統(tǒng)管理員權(quán)限、數(shù)據(jù)庫管理員權(quán)限等超級權(quán)限授予普通業(yè)務(wù)用戶。確因工作需要臨時使用高權(quán)限的，應(yīng)履行嚴(yán)格的臨時授權(quán)審批程序，并限定使用期限和操作范圍。第十四條權(quán)限分配應(yīng)實(shí)行雙人復(fù)核機(jī)制。重要權(quán)限的配置、變更操作需由兩名及以上系統(tǒng)管理員共同完成，一人操作，一人復(fù)核，確保操作準(zhǔn)確無誤。第四章權(quán)限申請與審批第十五條用戶權(quán)限申請應(yīng)提交書面申請材料（或通過指定的線上審批系統(tǒng)發(fā)起申請），說明申請權(quán)限的理由、所需權(quán)限范圍、預(yù)計(jì)使用期限等。申請材料需經(jīng)本部門負(fù)責(zé)人簽字（或線上審批）確認(rèn)。第十六條權(quán)限審批流程應(yīng)根據(jù)權(quán)限的重要程度和敏感級別設(shè)定不同的審批層級：（一）一般業(yè)務(wù)操作權(quán)限，由業(yè)務(wù)部門負(fù)責(zé)人審批后，報(bào)信息技術(shù)部門審核執(zhí)行；（二）涉及敏感信息訪問或重要業(yè)務(wù)操作的權(quán)限，需經(jīng)業(yè)務(wù)部門分管領(lǐng)導(dǎo)審批后，報(bào)信息技術(shù)部門負(fù)責(zé)人審核執(zhí)行；（三）高級權(quán)限或特殊權(quán)限，需經(jīng)單位分管信息化工作領(lǐng)導(dǎo)（或單位主要領(lǐng)導(dǎo)）審批。第十七條信息技術(shù)部門或系統(tǒng)管理員在收到權(quán)限申請審批單后，應(yīng)對申請材料的完整性、審批流程的合規(guī)性進(jìn)行審核。審核通過后，在規(guī)定時限內(nèi)完成權(quán)限配置操作，并將結(jié)果反饋給申請部門和用戶。第十八條權(quán)限審批過程中，各審批環(huán)節(jié)應(yīng)認(rèn)真履行審核職責(zé)，對申請理由的充分性、權(quán)限范圍的適當(dāng)性進(jìn)行嚴(yán)格把關(guān)。對不符合權(quán)限管理規(guī)定的申請，應(yīng)退回并說明理由。第五章權(quán)限變更與回收第十九條用戶因崗位變動、職責(zé)調(diào)整等原因需要變更權(quán)限的，應(yīng)由所在部門及時提交權(quán)限變更申請，重新履行審批程序。權(quán)限變更包括權(quán)限增加、減少或調(diào)整權(quán)限范圍等。第二十條用戶發(fā)生調(diào)離本單位、辭職、辭退、退休或離開原工作崗位等情況時，所在部門應(yīng)在相關(guān)人事變動手續(xù)辦理完畢前，及時提交權(quán)限回收申請。信息技術(shù)部門或系統(tǒng)管理員應(yīng)立即對其所有權(quán)限進(jìn)行凍結(jié)或清除。第二十一條對于臨時授權(quán)的權(quán)限，到期后應(yīng)由信息技術(shù)部門或系統(tǒng)管理員自動回收。確需延長使用的，需重新履行審批程序。第二十二條權(quán)限回收后，用戶應(yīng)立即停止使用相關(guān)系統(tǒng)資源。所在部門應(yīng)負(fù)責(zé)督促用戶清理個人工作設(shè)備中與原權(quán)限相關(guān)的敏感數(shù)據(jù)和文件。第六章安全管理與監(jiān)督檢查第二十三條用戶賬號密碼應(yīng)符合復(fù)雜度要求，定期更換。系統(tǒng)應(yīng)具備密碼強(qiáng)度檢測、定期更換提醒和強(qiáng)制更換功能。用戶不得使用簡單密碼，不得將密碼以明文形式存儲或告知他人。第二十四條信息系統(tǒng)應(yīng)具備完善的操作日志功能，對用戶登錄、權(quán)限使用、數(shù)據(jù)訪問、重要操作等行為進(jìn)行詳細(xì)記錄。操作日志應(yīng)至少保存規(guī)定期限，以備審計(jì)和追溯。第二十五條信息技術(shù)部門應(yīng)定期（至少每半年一次）組織對各信息系統(tǒng)的權(quán)限配置情況進(jìn)行全面審計(jì)，核查權(quán)限分配的合規(guī)性、與崗位職責(zé)的匹配性以及是否存在未及時回收的權(quán)限等問題。審計(jì)結(jié)果應(yīng)形成報(bào)告，報(bào)送單位信息化工作領(lǐng)導(dǎo)小組。第二十六條各業(yè)務(wù)部門應(yīng)每季度對本部門用戶權(quán)限進(jìn)行自查復(fù)核，及時發(fā)現(xiàn)和糾正權(quán)限管理中存在的問題，并將自查情況報(bào)信息技術(shù)部門備案。第二十七條信息技術(shù)部門應(yīng)建立權(quán)限管理應(yīng)急處置機(jī)制，對權(quán)限濫用、賬號被盜、數(shù)據(jù)泄露等突發(fā)事件，能夠及時采取凍結(jié)賬號、撤銷權(quán)限、恢復(fù)數(shù)據(jù)等應(yīng)急措施，并按規(guī)定上報(bào)。第二十八條鼓勵單位內(nèi)部人員對權(quán)限管理中的違規(guī)行為進(jìn)行舉報(bào)。信息技術(shù)部門應(yīng)對舉報(bào)內(nèi)容進(jìn)行調(diào)查核實(shí)，并對舉報(bào)人信息予以保密。第七章責(zé)任追究第二十九條對違反本辦法規(guī)定，有下列行為之一的，視情節(jié)輕重和所造成后果，對相關(guān)責(zé)任人進(jìn)行批評教育、通報(bào)批評、經(jīng)濟(jì)處罰直至紀(jì)律處分；構(gòu)成犯罪的，依法追究刑事責(zé)任：（一）擅自創(chuàng)建、刪除用戶賬號或授予、變更、回收用戶權(quán)限的；（二）超越權(quán)限范圍進(jìn)行操作，或?yàn)E用權(quán)限獲取、泄露、篡改、破壞單位信息數(shù)據(jù)的；（三）未按規(guī)定及時上報(bào)用戶崗位變動情況，導(dǎo)致權(quán)限未及時變更或回收，造成不良后果的；（四）泄露個人賬號密碼，或?qū)①~號轉(zhuǎn)借他人使用的；（五）在權(quán)限申請、審批過程中弄虛作假、把關(guān)不嚴(yán)的；（六）拒絕、阻撓權(quán)限審計(jì)和監(jiān)督檢查的；（七）其他違反本辦法規(guī)定的行為。第三十條因權(quán)限管理不當(dāng)導(dǎo)致信息系統(tǒng)安全事件或數(shù)據(jù)泄露，造成單位損失的，除追究直接責(zé)任人責(zé)任外，還應(yīng)根據(jù)管理職責(zé)追究相關(guān)部門