用戶訪問控制制度第一章總則第一條本制度依據(jù)《中華人民共和國網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》等相關(guān)法律法規(guī)，參照行業(yè)最佳實踐及集團母公司關(guān)于企業(yè)內(nèi)控與風險管理的指導意見，結(jié)合公司業(yè)務發(fā)展實際及內(nèi)控專項風險評估結(jié)果制定。為強化用戶訪問權(quán)限管理，防范未經(jīng)授權(quán)的訪問風險，保障信息系統(tǒng)安全穩(wěn)定運行，特制定本制度。第二條本制度適用于公司各部門、下屬單位及全體員工。凡涉及用戶訪問權(quán)限申請、審批、使用、變更及撤銷等全流程管理活動，均須遵守本制度規(guī)定。適用場景包括但不限于：員工賬號訪問企業(yè)內(nèi)部系統(tǒng)、第三方服務商接入企業(yè)信息系統(tǒng)、臨時用戶授權(quán)訪問特定資源等情形。第三條本制度下列核心術(shù)語定義如下：（一）“XX專項管理”指針對用戶訪問權(quán)限的全生命周期管理活動，涵蓋權(quán)限申請、審批、發(fā)放、監(jiān)控、審計、變更及撤銷等環(huán)節(jié)，以實現(xiàn)最小權(quán)限、及時更新、全程可溯的管理目標。（二）“XX風險”指因用戶訪問權(quán)限配置不當、管理疏漏或惡意利用等行為，可能導致的信息泄露、系統(tǒng)癱瘓、數(shù)據(jù)篡改、商業(yè)秘密失控等安全事件或合規(guī)風險。（三）“XX合規(guī)”指用戶訪問權(quán)限管理活動必須符合國家法律法規(guī)及公司內(nèi)部制度要求，確保權(quán)限分配合法合規(guī)、訪問行為可審計、風險隱患可管控。第四條用戶訪問控制管理應遵循以下核心原則：（一）全面覆蓋原則：覆蓋所有信息系統(tǒng)及非信息系統(tǒng)（如紙質(zhì)文檔柜）的訪問權(quán)限管理。（二）責任到人原則：明確各級管理主體及執(zhí)行崗位的權(quán)限管理職責。（三）風險導向原則：根據(jù)業(yè)務場景敏感度及權(quán)限級別實施差異化管控。（四）持續(xù)改進原則：定期評估權(quán)限管理效果，動態(tài)優(yōu)化制度流程。第二章管理組織機構(gòu)與職責第五條公司主要負責人為公司用戶訪問控制管理第一責任人，對權(quán)限管理體系有效性負總責；分管信息技術(shù)、人力資源及業(yè)務領域的公司領導為直接責任人，負責統(tǒng)籌協(xié)調(diào)各部門落實權(quán)限管理要求。第六條設立用戶訪問控制管理領導小組（以下簡稱“領導小組”），由公司主要負責人牽頭，分管領導及相關(guān)部門負責人組成。領導小組主要履行以下職能：（一）統(tǒng)籌審議用戶訪問控制管理制度及重大事項。（二）協(xié)調(diào)解決權(quán)限管理中的跨部門爭議問題。（三）監(jiān)督評估權(quán)限管理年度工作成效。第七條領導小組下設專項工作組，由信息技術(shù)部牽頭，人力資源部、內(nèi)審部、業(yè)務部門代表及下屬單位負責人組成，具體負責：（一）組織制定權(quán)限管理細則及操作指南。（二）開展權(quán)限管理專項培訓與宣貫。（三）監(jiān)督指導各部門落實權(quán)限管理要求。第八條牽頭部門職責：（一）信息技術(shù)部負責統(tǒng)籌權(quán)限管理系統(tǒng)建設，實現(xiàn)權(quán)限申請、審批、變更的線上化、自動化管理。（二）人力資源部負責員工賬號的初始創(chuàng)建、權(quán)限變更及離職權(quán)限清理工作。（三）內(nèi)審部負責定期開展權(quán)限管理專項審計，出具審計報告并跟蹤整改。第九條專責部門職責：（一）信息技術(shù)部專責崗負責權(quán)限系統(tǒng)的日常運維，監(jiān)控異常訪問行為并處置風險事件。（二）內(nèi)審部專責崗負責權(quán)限管理制度的合規(guī)性審查，提出優(yōu)化建議。（三）業(yè)務部門專責崗負責本領域業(yè)務場景下的權(quán)限需求提報與風險處置。第十條業(yè)務部門及下屬單位職責：（一）明確本部門/單位權(quán)限管理接口人，負責權(quán)限申請的初審與業(yè)務合理性說明。（二）組織本部門員工開展權(quán)限操作培訓，確保員工按規(guī)范使用訪問權(quán)限。（三）定期自查權(quán)限使用情況，發(fā)現(xiàn)異常及時上報。第十一條基層執(zhí)行崗位職責：（一）員工必須按照授權(quán)范圍使用訪問權(quán)限，不得轉(zhuǎn)借、濫用或泄露賬號密碼。（二）發(fā)現(xiàn)權(quán)限異?；蛞伤骑L險行為時，應立即停止操作并上報接口人。（三）離職時主動交回賬號權(quán)限，配合完成權(quán)限清理工作。第三章專項管理重點內(nèi)容與要求第十二條用戶賬號管理：（一）新員工賬號權(quán)限由人力資源部創(chuàng)建，需經(jīng)用人部門審批確認崗位需求。（二）員工離職后3個工作日內(nèi)完成賬號停用，長期休假人員需申請臨時權(quán)限凍結(jié)。（三）賬號密碼實行定期輪換制度，重要系統(tǒng)密碼有效期不超過60天。第十三條權(quán)限申請與審批：（一）權(quán)限申請需提供業(yè)務必要性說明及對應操作權(quán)限清單，禁止申請超出工作范圍權(quán)限。（二）審批流程按權(quán)限級別分級授權(quán)：一般系統(tǒng)權(quán)限由部門負責人審批，核心系統(tǒng)權(quán)限需經(jīng)分管領導審批。（三）審批通過后由信息技術(shù)部在權(quán)限系統(tǒng)中配置權(quán)限，配置完成后向申請部門反饋確認。第十四條訪問日志審計：（一）系統(tǒng)應記錄所有權(quán)限變更及操作行為，日志保存期限不少于18個月。（二）信息技術(shù)部每月抽取5%訪問日志進行隨機核查，內(nèi)審部每季度開展專項審計。（三）發(fā)現(xiàn)異常訪問行為時，需在2小時內(nèi)啟動調(diào)查程序。第十五條權(quán)限變更管理：（一）員工崗位調(diào)整需同步變更訪問權(quán)限，變更申請需經(jīng)新用人部門及信息技術(shù)部雙簽。（二）權(quán)限變更操作應在非工作時間完成，變更后需立即驗證功能可用性。（三）禁止通過修改系統(tǒng)配置繞過權(quán)限審批流程。第十六條訪問權(quán)限回收：（一）員工離職時必須交回所有訪問權(quán)限，包括系統(tǒng)賬號、門禁卡等。（二）信息技術(shù)部在離職確認后24小時內(nèi)完成權(quán)限清理，清理情況需經(jīng)人力資源部復核。（三）臨時授權(quán)用戶到期未續(xù)費時，需立即取消訪問權(quán)限。第十七條第三方授權(quán)管理：（一）服務商接入需通過正式協(xié)議明確權(quán)限需求，并簽署保密協(xié)議。（二）臨時訪問權(quán)限僅限項目執(zhí)行期間，到期自動失效。（三）第三方人員必須由本部門全程陪同使用，禁止單獨操作核心系統(tǒng)。第十八條權(quán)限回收機制：（一）定期（每季度）開展權(quán)限清理，對閑置賬號實施停用或刪除。（二）員工可主動申請權(quán)限調(diào)整，經(jīng)審批后由信息技術(shù)部配置。（三）發(fā)現(xiàn)權(quán)限濫用時，應立即取消違規(guī)權(quán)限并追責。第四章專項管理運行機制第十九條制度動態(tài)更新機制：（一）信息技術(shù)部每年第一季度修訂權(quán)限管理細則，修訂后報領導小組批準。（二）國家法律法規(guī)發(fā)生重大變化時，需在30日內(nèi)完成制度銜接。（三）重大業(yè)務場景調(diào)整需同步更新權(quán)限配置規(guī)則。第二十條風險識別預警機制：（一）信息技術(shù)部每月開展權(quán)限冗余排查，對高風險系統(tǒng)實施重點監(jiān)控。（二）內(nèi)審部每半年開展權(quán)限管理專項風險評估，識別潛在風險點。（三）發(fā)現(xiàn)異常訪問時，系統(tǒng)應自動觸發(fā)預警并通知專責人員處置。第二十一條合規(guī)審查機制：（一）權(quán)限申請必須附帶業(yè)務場景說明及權(quán)限必要性分析。（二）信息技術(shù)部每月抽查20%權(quán)限申請，驗證審批流程完整性。（三）未經(jīng)合規(guī)審查的權(quán)限配置禁止上線運行。第二十二條風險應對機制：（一）一般風險由信息技術(shù)部2小時內(nèi)處置，重大風險需啟動應急預案。（二）風險事件處置后需形成處置報告，報領導小組備案。（三）跨部門風險事件需成立臨時處置組，明確牽頭單位及成員分工。第二十三條責任追究機制：（一）違規(guī)配置權(quán)限的，對責任部門罰款1萬元-5萬元，對直接責任人取消年度評優(yōu)資格。（二）因權(quán)限管理疏漏導致安全事件的，按事件等級追究部門及崗位責任。（三）員工擅自共享賬號的，按違反勞動紀律處理，造成損失的需賠償。第二十四條評估改進機制：（一）每年12月31日前完成權(quán)限管理年度評估，評估結(jié)果納入部門考核。（二）評估發(fā)現(xiàn)的問題需制定整改計劃，3個月內(nèi)完成整改。（三）評估報告需提交領導小組審議，作為制度修訂依據(jù)。第五章專項管理保障措施第二十五條組織保障：（一）公司主要負責人每年聽取權(quán)限管理工作報告，解決重大問題。（二）信息技術(shù)部配備專職權(quán)限管理員，業(yè)務部門設立兼職接口人。（三）下屬單位負責人對本單位權(quán)限管理負首要責任。第二十六條考核激勵機制：（一）將權(quán)限合規(guī)情況納入部門年度考核，占比不低于5%。（二）對權(quán)限管理先進部門授予專項獎金，金額為部門年度預算的3%。（三）員工權(quán)限合規(guī)表現(xiàn)作為績效評定重要指標。第二十七條培訓宣傳機制：（一）每年4月開展權(quán)限管理專項培訓，覆蓋全員及新入職員工。（二）制作權(quán)限操作手冊，放置于各系統(tǒng)登錄頁面。（三）定期發(fā)布權(quán)限管理典型案例，強化風險意識。第二十八條信息化支撐：（一）建設權(quán)限管理平臺，實現(xiàn)權(quán)限申請、審批、變更全流程線上辦理。（二）系統(tǒng)支持權(quán)限模擬測試，防止因配置錯誤導致業(yè)務中斷。（三）對接門禁系統(tǒng)、視頻監(jiān)控系統(tǒng)，實現(xiàn)統(tǒng)一管控。第二十九條文化建設：（一）發(fā)布《權(quán)限管理行為規(guī)范》，張貼于辦公區(qū)域醒目位置。（二）簽訂《權(quán)限合規(guī)承諾書》，員工入職時簽署確認。（三）設立權(quán)限管理舉報郵箱，鼓勵員工監(jiān)督異常行為。第三十條報告制度：（一）風險事件處置報告需在24小時內(nèi)報送領導小組及信息技術(shù)部。（二）年度管理報告需