IT系统账号申请作业指导书

IT系统账号申请作业指导书

1.0 目的

建立《IT系统账号申请作业指导书》的目的是规范IT系统账号和权限的管理，建立对信息访问的授权程序、规范和职责划分，保证信息系统资源得到合理的使用；通过建立相关策略来监控信息系统中的账号使用情况，保证用户账号得到正确的使用。

2.0 范围

本流程适用于公司所有使用信息系统的用户以及外部来访需要使用到公司信息系统的用户。

3.0 名词定义

3.1 关键业务系统

关键业务系统包括AD、CRM、OA、ERP、HER、BI等系统。

3.2 账号

账号是用户用于访问公司信息系统的唯一的身份标识，包括用户名和密码。用户账号分为终端账号、AD账号、网络接入账号、业务系统账号。

3.3 用户账号

用户账号主要包括终端账号、AD账号和网络接入账号等办公所需账号，用户申请办公系统账号经审批后，由账号管理员赋予用户默认的办公环境中所需的账号及权限。

3.4 特权账号

特权账号主要用于操作、维护、管理或监督审计服务器上操作系统、数据库系统或网络服务器的账号。

3.5 账号管理员

账号管理员仅进行相应系统的账号管理（包括新建账号、权限更改和删除/禁用账号）操作。

3.6 系统管理员组

系统管理员组使用特权账号对服务器上操作系统、数据库系统进行操作、维护、管理或监督审计，属于系统管理员组的角色包括系统管理员、数据库管理员、安全管理员。

3.7 网络管理员组

网络管理员组使用网络认证系统和设备管理账号对网络设备和网络认证服务器以及IP地址管理服务器进行操作、维护、管理或监督审计，属于网络组的角色包括网络管理员和安全管理员。

4.0 职责

阐述本制度/流程涉及的部门（角色）职责与权限。

4.1 用户直属领导

4.1.1 申请人应就信息系统的用户账号及权限向其直属领导提交申请；

4.1.2 用户直属领导应根据公司制度以及员工岗位的需求对员工的账号及权限申请进行审核和批复。

4.2 IT经理

用户账号（AD账号、网络接入账号、业务系统账号）的申请由申请人直属领导审批通过后提交至IT 副经理进行审批。

4.3 业务系统负责人

业务系统账号的申请由申请人直属领导审批通过后提交至业务系统负责人进行审批。

4.4 IT经理

特权账号的申请应由IT经理进行审批。

4.5 账号管理员

a) 账号管理员应严格按照审批后的权限维护和管理系统；

b) 账号管理员应按要求生成、变更和删除员工账号。

4.6 安全管理员

安全审计员负责对用户账号和权限进行定期审计。

4.7 用户职责以及违反规定的后果

4.7.1 用户职责

c) 遵守国家相关法律和公司IT规范；

d) 充分利用公司各种IT资源与功能，不断提高计算机使用水平，提高工作效率；

e) 不使用公司的IT资源于游戏或处理私人事情。

4.7.2 违规处理

a) 用户若违反规定，必须承担由此造成的全部后果，并将受到公司包括解雇在内的处理；

b) 违反国家相关法律的，送交公安机关等法制机构处理。

5.0 参考依据

6.0 注意事项

特权账号必须做到分权管理，所有特权账号需要进行的IT管理运维工作必须通过“堡垒机”，从而留下操作记录。

7.0作业内容

7.1 账号管理原则

7.1.1 账号管理原则：

a) 公司各系统应根据“最小授权”的原则设定账号访问权限，控制用户仅能够访问到工作需要的信息；

b) 账号管理员在建立用户账号时应确保唯一性原则，即一个用户只能有一个账号，且一个账号只能由一个用户使用；

c) 各系统应该设置审计专用账号，审计账号应当仅具备系统的读权限，检查系统设置、系统日志等信息；

d) 各系统应限制第三方人员的访问权限，对第三方人员的账号设置及使用情况进行定期的检查和审计。

7.1.2 用户账号应遵循如下命名规则：用户账号根据HR提供的用户工号进行命名。

7.1.3 各系统的用户账号应能标识系统访问的不同角色，应避免使用系统默认账号。

7.1.4 各系统应开启系统安全日志功能，能够记录系统的登录和访问时间、操作内容。

7.1.5 账号管理员应当对系统中存在的账号进行定期审计，系统中不应存在无用或匿名账号。

7.1.6 公司安全管理员应定期审计，内容应包含如下几个方面：

a) 是否存在员工实际已经离职但其账号仍存在系统中的情况；

b) 是否存在在职员工被授予不需使用的系统权限的情况；

c) 是否存在用户账号权限与备案的用户账号权限不一致的情况；

d) 是否存在非法账号或长期未使用的账号；

e) 是否存在弱密码的用户账号。

7.2 账号管理流程

7.2.1 账号管理流程

a) 账号申请

员工可申请开通办公系统账号（如AD账号、网络接入账号等）、VPN账号、应用系统账号等

i. 公司正式员工，其申请办公系统账号（如AD账号、网络接入账号等）需由其直属领导和IT副经理共同批准；其申请应用系统账号账号均需由其直属领导、业务系统负责人共同批准；仅系统管理员组人员可申请特权账号，其申请需由信息部IT经理批准；

ii.外部来访需要访问公司信息系统的用户，申请终端账号、网络接入账号均需由需求部门申请人、其直属领导、IT 副经理和IT经理共同批准，但需注明使用时段，超过时段而没有及时重新申请的来宾账号将被停止使用。

iii.用户权限变更

以下情况应申请更改用户权限：

i. 用户岗位或职位改变导致其所需使用的资源发生改变；

ii.用户的工作内容增加或减少导致影响其所需使用的资源。

b) 禁用/删除账号

以下情况应禁用/删除账号权限：

i. 员工辞职：账号管理员根据员工离职单将该用户在所有服务器上的所有权限禁用；各部门必须在签署员工离职单前做好该用户的数据交接和备份工作。

ii.员工自行离职：人力资源部必须在第一时间通知IT部自行离职人员信息，IT部账号管理员据此将该用户的所有账号禁用及所有权限收回，离职人员所在部门必须马上清点和该人员的相关资料和文件。

iii.员工被开除：人力资源部必须在正式通知被开除员工本人前通过书面或电子邮件的方式要求IT部将该用户的所有账号禁用及所有权限收回；同时要求被开除员工所在部门的负责人应做好该用户的数据交接和备份工作。

6.2.2 办公系统账号（如终端账号、AD账号和网络接入账号）的申请流程

a) 在发生新增员工情况时，如该员工使用到办公系统账号（如终端账号、AD账号和网络接入账号等），则由相关人员在OA系统中填写账号申请表，提交申请人直属领导和IT副经理共同批准后，流转至账号管理员进行用户账号的新增；

b) 在发生员工离职时，参照7.2.1 b节内容进行处理；

c) 账号管理员赋予或取消用户默认的办公环境中所需的账号及权限；

d) 新增用户的初始账号密码由账号管理员提供，新用户第一次登录系统时强制要求更改其账号的初始密码，密码强度的要求具体请参见7.3节“用户密码管理”；

e) 账号的设置操作必须在IT部收到经审批通过的申请表后的两个工作日之内完成。

7.2.3 应用系统账号的申请流程

a) 在发生新增员工、员工岗位变动的情况时，如该员工为普通员工，且需使用到AD、CRM、OA、ERP、HER、BI等系统的普通账号进行业务操作时，则由相关人员在OA系统中填写相关表单经直属领导审批后，提交给业务系统负责人进行职责和权限的确认，并审批通过后，流转至各账号管理员进行用户账号的维护；

b) 账号管理员根据经审批通过后的相关申请表中所列的权限需求，在相关系统中新增用