系统及账号管理制度

系统账号管理办法

第一章总则

第一条目的：为保障企业信息化系统的安全、稳定运行，切实防范和降低因非法或不适当的对系统或数据的访问而带来的风险，加强对系统

访问和权限分配的管理，根据相关规章制度，特制订本管理办法。第二条系统范围：支撑和企业信息化各系统，包括app系统、以及支撑以上各系统的网络平台系统；

第三条人员范围：对上述系统进行使用和开发维护的人员，包括各系统的最终用户、系统账号权限管理人员、提供系统集成、开发、维护、

和技术支持服务的非本公司人员（第三方人员）。

第二章相关定义

第四条账号是指每个可访问系统资源的用户在系统中的标识,可分为应用系统账号、操作系统账号和数据库账号等。应用系统账号是指在应

用系统中建立的用户标识，用户可以通过应用系统提供的前台操作

界面进行登录，并使用授权的业务功能和访问授权的业务数据；操

作系统账号是指在主机系统中建立的用户标识，用户可以登录主机

设备和发出操作指令；数据库账号是指在数据库系统中建立的用户

标识，用户可以登录数据库系统并访问其中的数据。

第五条访问权限是指账号被赋予的可以访问系统资源和使用系统功能的权利。

第六条账号管理员是指负责在系统中执行账号管理操作的人员,例如在系统中创建或撤销账号,分配或修改账号权限,定期提供系统中的账

号和权限清单供审阅等。

第七条账号审批人员是指有权对账号和权限的管理操作进行审批和决策的人员，包括各部门负责人，业务负责人、安全管理员或经部门领

导授权的人员等。

第八条系统管理员是指负责对系统进行维护和管理的人员，例如操作系统管理员，数据库管理员，账号管理员等。

第九条归档人是指负责执行文档资料归档保存操作的人员。

第三章职责分工

第十条后台管理系统使用部门内部应用账号和权限的审批和相关管理操作由各部门负责.研发部负责管理本部门应用系统维护人员的账号

和权限，并执行对各使用部门应用账号管理员的账号和权限进行管

理的相关操作.各需求部门负责明确应用系统新增功能的开放范

围。

第十一条后台管理系统应用账号和权限的审批由各职能管理部门负责，各使用部门负责向职能管理部门提出应用系统账号和权限申请，研发部

负责在后台管理系统中执行账号和权限管理的相关操作。

第四章基本原则

第十二条对系统的访问必须经过授权，任何人不得在未经授权的情况下在系统中运行未经审批的程序。授权可以通过书面文件，或通过员工按

岗位的分工等方式实现。授权必须经过正式审批方可生效。

第十三条各系统必须采用用户名和密码认证方式实现登录控制，对系统的访问必须使用唯一的账号和口令。

第十四条各系统中不允许建立共享账号，每个账号都与唯一的用户相对应。

拥有账号的用户不得随意将账号交于他人使用。

第十五条账号权限的分配应遵循满足需求的最小授权原则, 即为用户分配权限时, 以其能进行系统管理、操作的最小权限进行授权，避免为

其分配无关的或更大的权限。

第十六条各系统（主机、数据库、网络、应用）都应有完整的帐号权限分配现状记录表，且展示形式清晰，可以方便查询到指定用户的权限；第十七条每月备份帐号权限分配记录表，备份信息保留至少一年；

第十八条有关用户登陆和账号权限管理的相关操作在系统中要留有日志,日志至少保留一年以上；

第十九条创立新用户角色或对用户组或用户角色定义进行修改时，应考虑不相容职责分工原则，例如操作人员与审核人员的分离、开发人员与

维护人员的分离等。

第二十条当员工工作调动或离职时，其在系统中的账号应立即撤销，不得继续将账号分配给他人使用。

第二十一条开发人员平时不得使用生产系统中的账号。如需使用，则必须以书面形式提出申请,经研发部主管审批后,由系统管理员临时为其开

启一个账号.开发人员在访问生产系统时必须由研发部系统维护人

员对其访问进行监督，在访问结束后及时删除账号或更改口令,并

对操作日志进行审阅。

第二十二条对操作系统级和数据库层超级用户的账号(比如根用户，系统管理员，安全管理员账号，批处理用户账号，数据库管理员) 由研发部

系统维护部经理对正式书面审批，使用仅限于经授权的系统管理人

员;研发部系统维护部经理对操作系统层及数据库层超级用户账号

的清单每季进行复核并签字确认，并对多余或不恰当的账号进行调

整。

第二十三条对应用系统层超级用户的账户的建立是根据用户工作职责，仅限于经授权的应用管理人员使用。各系统遵循如下规定：

第二十四条研发部业务维护部经理或各业务部门主管对系统应用管理员的授权审批建立正式的书面审批表格，并且对系统管理员的清单每季进

行复核并签字确认，并对多余或不恰当的账号进行调整；

第二十五条如果系统中存在第三方厂商人员使用账号的情况，应和第三方厂商签订相关的安全保密协议，以合理确保第三方厂商能够执行的安全

管理要求和职责不相容要求.

第二十六条对于部分因系统接口原因在系统中预设的用户账号，应对接口程序、脚本或相关设置进行加密或实施访问控制，以防止未经授权的

访问。对内置账号的目录/文件访问权限严格限制在该账号的功能

范围内并定期检查。在系统做定期维护时对密码做更改。对该类账

号的操作要保留日志并定期审阅。

第二十七条各账号和权限的操作、管理人员应严格遵守我公司相关管理规定，不得以任何非法形式操作非本人权限范围内之事。

第五章账号的建立、变更、撤销和审阅

第二十八条当需要在系统中创建新账号或新用户角色时，由申请人填写《账号权限变更记录单》提出申请，明确要使用账号的人员信息、账号权

限，或者新用户角色的权限，经账号审批人员签字审批后，由账号

管理员在系统中执行账号创建操作。执行完毕后，在记录单上签字

后归档。

第二十九条各系统普通用户账号管理由部门主管授权的帐号管理员负责。账号的权限进行调整或增加/删除，须由业务部门主管对权限变更记录

单审批确认后，由帐号管理员在系统中进行设置。