大型購物廣場(chǎng)-信息系統(tǒng)訪問管理

1、PAGE 010402-鄭州xx杉杉-信息系統(tǒng)訪問管理 10/10 xxxx購物廣場(chǎng)有限公司內(nèi)部控制系列文件010402 信息系統(tǒng)訪問管理xx 版批 準(zhǔn)： xx-04-01發(fā)布 xx-04-01實(shí)施xxxx購物廣場(chǎng)有限公司 1.0目的本程序規(guī)定了公司有關(guān)信息系統(tǒng)訪問管理方面的具體要求，旨在規(guī)范公司信息系統(tǒng)訪問安全管理、信息系統(tǒng)賬戶及權(quán)限管理的各項(xiàng)具體工作，確保公司信息系統(tǒng)的集成性、合規(guī)性和效益性，并防范信息系統(tǒng)訪問管理過程中的各種潛在風(fēng)險(xiǎn)。2.0制度要求2.1信息系統(tǒng)訪問管理程序制定2.1.1公司統(tǒng)括部根據(jù)集團(tuán)信息系統(tǒng)訪問管理程序，結(jié)合自身實(shí)際，制定本公司信息系統(tǒng)訪問管理制度。2.1.2統(tǒng)括部

2、應(yīng)當(dāng)會(huì)同內(nèi)控人員等信息系統(tǒng)用戶進(jìn)行信息系統(tǒng)訪問管理知識(shí)的培訓(xùn)，并在培訓(xùn)后予以考核。2.2信息系統(tǒng)訪問安全2.2.1由統(tǒng)括部IT人員對(duì)信息系統(tǒng)用戶的上機(jī)、密碼和使用權(quán)限進(jìn)行嚴(yán)格規(guī)范。新用戶需經(jīng)過IT人員指導(dǎo)培訓(xùn)后，才能開始使用賬戶，并且有不確定的錄入或刪除操作時(shí)，應(yīng)即時(shí)的與IT人員聯(lián)系，避免不應(yīng)當(dāng)?shù)恼`操作。2.2.2公司各信息系統(tǒng)應(yīng)該設(shè)定系統(tǒng)管理員，對(duì)于專業(yè)軟件，如財(cái)務(wù)軟件可以設(shè)定財(cái)務(wù)總監(jiān)為系統(tǒng)管理員，商友系統(tǒng)可以設(shè)定IT人員為系統(tǒng)管理員，但必須保證系統(tǒng)管理員與系統(tǒng)操作人員職責(zé)相分離。系統(tǒng)管理人員對(duì)系統(tǒng)賬號(hào)進(jìn)行維護(hù)：對(duì)于發(fā)生崗位變化或離崗的用戶，及時(shí)調(diào)整其在系統(tǒng)中的訪問權(quán)限。如員工離職，IT人員

3、在獲得員工離職信息的當(dāng)日，則將該員工在公司信息系統(tǒng)中的用戶賬號(hào)禁用并取消所有權(quán)限。每季度對(duì)系統(tǒng)中的賬號(hào)進(jìn)行審閱，避免有授權(quán)不當(dāng)或冗余賬號(hào)存在。信息系統(tǒng)使用部門分管領(lǐng)導(dǎo)每半年對(duì)用戶權(quán)限進(jìn)行審閱。2.2.3 IT人員利用操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)自身提供的安全性能，在系統(tǒng)中設(shè)置安全參數(shù)，以加強(qiáng)系統(tǒng)訪問安全。禁止未經(jīng)授權(quán)人員擅自調(diào)整、刪除或修改系統(tǒng)中設(shè)置的各項(xiàng)參數(shù)。涉及上網(wǎng)操作的，企業(yè)應(yīng)當(dāng)加強(qiáng)防火墻、路由器等網(wǎng)絡(luò)安全方面的管理。2.2.4 IT人員每周檢測(cè)信息系統(tǒng)運(yùn)行（包括服務(wù)器、防火墻、路由器、交換機(jī)等）情況，及時(shí)進(jìn)行計(jì)算機(jī)病毒的預(yù)防、檢查工作，具體見010404-xx杉杉-網(wǎng)絡(luò)管理。2.2.6

4、IT人員設(shè)定各操作人員的權(quán)限范圍，更換操作人員或密碼泄密后，必須及時(shí)更改密碼。IT人員在每臺(tái)業(yè)務(wù)電腦上設(shè)置屏保密碼，防止操作人員如果離開業(yè)務(wù)電腦，而未關(guān)閉業(yè)務(wù)系統(tǒng)，其他人員越權(quán)操作或查詢業(yè)務(wù)信息而引起的信息安全問題。2.2.7 IT人員牽頭各部門根據(jù)信息的重要性程度和泄密風(fēng)險(xiǎn)損失等劃分標(biāo)準(zhǔn)，將信息分為機(jī)密類、秘密類和重要類等，并建立不同類別信息的授權(quán)使用制度。2.2.8 IT人員每季度從系統(tǒng)中導(dǎo)出目前的應(yīng)用系統(tǒng)用戶和權(quán)限列表，并發(fā)送給運(yùn)營、銷售金、統(tǒng)括、財(cái)務(wù)、內(nèi)控等部門負(fù)責(zé)人，部門負(fù)責(zé)人審閱列表中的用戶是否都應(yīng)該擁有列表中列出的相應(yīng)權(quán)限，審閱后，將審閱意見及時(shí)回復(fù)IT人員，IT人員將該回復(fù)記錄

5、留檔備查。如需調(diào)整用戶權(quán)限，按本制度2.3.1.5進(jìn)行。2.3信息系統(tǒng)賬號(hào)及訪問權(quán)限管理2.3.1商友系統(tǒng)管理2.3.1.1商友系統(tǒng)是公司最主要的業(yè)務(wù)系統(tǒng)，商鋪所有的收銀機(jī)數(shù)據(jù)匯總和后臺(tái)報(bào)表制成都是通過該系統(tǒng)完成。對(duì)于系統(tǒng)管理員帳號(hào)在正式庫，僅使用基礎(chǔ)信息定義、系統(tǒng)管理、收款臺(tái)管理、數(shù)據(jù)分析（查詢）四個(gè)模塊的功能，對(duì)于SUPER帳號(hào)，只有IT高級(jí)主管和IT主管才能使用，每次使用需要記錄操作內(nèi)容和使用人簽名，記錄在SUPER帳號(hào)使用登記（附表1）。長(zhǎng)益程序員需使用該帳號(hào)，必須經(jīng)IT同意并登記后方可使用，長(zhǎng)益程序員在操作過程中，IT進(jìn)行監(jiān)督。2.3.1.2商友系統(tǒng)使用部門提出用戶賬號(hào)及訪問權(quán)限申請(qǐng)

6、，填寫商友系統(tǒng)用戶新增/變更權(quán)限申請(qǐng)表（參見表2）經(jīng)部門部長(zhǎng)、IT人員、銷售金負(fù)責(zé)人審核，財(cái)務(wù)總監(jiān)審批經(jīng)過后方可交IT人員執(zhí)行并將收到的申請(qǐng)表順序編號(hào)，統(tǒng)一保存，以備查看。2.3.1.3 審批人員在審核賬號(hào)及訪問權(quán)限申請(qǐng)，重點(diǎn)審核以下內(nèi)容：賬號(hào)及訪問權(quán)限的范圍；賬號(hào)及訪問權(quán)限的必要性，是否符合其職務(wù)的要求及職責(zé)；賬號(hào)及訪問權(quán)限是否受到業(yè)務(wù)監(jiān)督人員的監(jiān)督；賬號(hào)及訪問權(quán)限是否利于業(yè)務(wù)的進(jìn)行；賬號(hào)及訪問權(quán)限是否符合公司內(nèi)部控制制度要求。2.3.1.4 用戶賬號(hào)及訪問權(quán)限審批通過后，IT人員開通用戶賬號(hào)及使用權(quán)限，及時(shí)通知用戶賬號(hào)及權(quán)限開通情況和更改初始密碼，并將賬號(hào)信息記錄歸檔備查。2.3.1.5賬

7、號(hào)及訪問權(quán)限變更賬號(hào)變更需要由使用部門填寫商友系統(tǒng)用戶新增/變更權(quán)限申請(qǐng)表（參見表2），經(jīng)部門部長(zhǎng)、銷售金負(fù)責(zé)人及IT人員審核，財(cái)務(wù)總監(jiān)審批后方可執(zhí)行。訪問權(quán)限新增/變更需要由使用部門填寫商友系統(tǒng)用戶新增/變更權(quán)限申請(qǐng)表（參見表2），經(jīng)部門部長(zhǎng)、銷售金負(fù)責(zé)人及IT人員審核，財(cái)務(wù)總監(jiān)審批后方可執(zhí)行。賬號(hào)及權(quán)限變更需在批準(zhǔn)之后立即執(zhí)行賬號(hào)及權(quán)限變更程序。2.3.1.6賬號(hào)及權(quán)限作廢 賬號(hào)作廢時(shí)由IT人員列出作廢賬號(hào)名單，經(jīng)過部門部長(zhǎng)、銷售金負(fù)責(zé)人的審核、財(cái)務(wù)總監(jiān)審批后，執(zhí)行帳號(hào)作廢。權(quán)限作廢時(shí)由IT人員列出作廢權(quán)限內(nèi)容，經(jīng)部門部長(zhǎng)、銷售金負(fù)責(zé)人審核、財(cái)務(wù)總監(jiān)審批后，執(zhí)行權(quán)限作廢。2.3.1.7商友

8、系統(tǒng)定義新增/變更由銷售金填寫商友系統(tǒng)定義設(shè)置新增/變更申請(qǐng)表（參見表3），部門部長(zhǎng)、IT人員、銷售金副部長(zhǎng)及財(cái)務(wù)總監(jiān)審核方可執(zhí)行。2.3.1.8商友系統(tǒng)用戶密碼定期變更系統(tǒng)管理員每季度會(huì)向正在使用的用戶發(fā)一封用戶密碼自行更改郵件，各用戶對(duì)其賬戶的密碼進(jìn)行修改，系統(tǒng)管理員通過日志檢查用戶更改密碼情況。2.3.1.9系統(tǒng)管理員每月對(duì)該月的用戶操作日志進(jìn)行確認(rèn)，把確認(rèn)中的問題和結(jié)果，郵件給統(tǒng)括部部長(zhǎng)，抄送內(nèi)控部長(zhǎng)。2.3.2文件服務(wù)器管理2.3.2.1文件服務(wù)器提供各個(gè)部門之間文件的共享，及各個(gè)部門內(nèi)文件共享。系統(tǒng)管理員即該服務(wù)器唯一最高權(quán)限使用人使IT人員。其他用戶登錄該服務(wù)器的賬號(hào)，必須由系統(tǒng)

9、管理員輸入及保存，不準(zhǔn)任何人以任何形式修改登錄文件服務(wù)器的賬號(hào)及密碼。2.3.2.2公共文件夾的訪問修改權(quán)限。公司內(nèi)任何電腦都可以對(duì)該文件夾所有文件進(jìn)行讀取、復(fù)制、修改、刪除操作。公司每臺(tái)新電腦的加入系統(tǒng)管理員可以為用戶開通公共文件夾權(quán)限。2.3.2.3新建部門文件夾審批部門負(fù)責(zé)人填寫文件服務(wù)器共享文件夾新增/變更申請(qǐng)表（參見表4），統(tǒng)括部部長(zhǎng)審批后，IT人員新建文件夾，并開通相關(guān)人員的相關(guān)權(quán)限。2.3.2.4用戶權(quán)限修改用戶填寫文件服務(wù)器共享文件夾新增/變更申請(qǐng)表（參見表4），報(bào)部門負(fù)責(zé)人、統(tǒng)括部部長(zhǎng)審批后，IT人員更改該用戶權(quán)限。2.3.3財(cái)務(wù)信息系統(tǒng)管理2.3.3.1財(cái)務(wù)信息系統(tǒng)的一系列

10、管理，都在財(cái)務(wù)內(nèi)部流程內(nèi)，IT人員僅提供硬件和網(wǎng)絡(luò)支持，賬號(hào)及權(quán)限由財(cái)務(wù)自行管理。2.3.4自行開發(fā)的小型系統(tǒng)管理2.3.4.1根據(jù)各部門內(nèi)部管理要求，IT開發(fā)的小型系統(tǒng)，IT開發(fā)人員和管理人員具有最高權(quán)限，其他用戶權(quán)限由負(fù)責(zé)該部門領(lǐng)導(dǎo)分配。2.3.4.2小型系統(tǒng)人員和權(quán)限的變更和清除由負(fù)責(zé)該部門領(lǐng)導(dǎo)通過郵件通知IT調(diào)整。IT調(diào)整完成后，通過郵件回復(fù)匯報(bào)情況。3.0流程圖（另附）4.0政策4.1禁止未經(jīng)培訓(xùn)的相關(guān)人員不得作為操作人員申請(qǐng)賬戶及權(quán)限。4.2對(duì)于發(fā)生崗位變化或離崗的用戶，公司必須立即調(diào)整其在系統(tǒng)中的訪問權(quán)限。4.3禁止未經(jīng)授權(quán)人員擅自調(diào)整、刪除或修改系統(tǒng)中設(shè)置的各項(xiàng)權(quán)限參數(shù)。4.4

11、禁止信息系統(tǒng)用戶私自安裝非法軟件和卸載企業(yè)要求安裝的防病毒軟件。4.5公司信息系統(tǒng)操作人員必須在權(quán)限范圍內(nèi)進(jìn)行操作，嚴(yán)禁利用他人的口令和密碼進(jìn)入軟件系統(tǒng)。4.6禁止任何信息系統(tǒng)訪問管理經(jīng)辦人員和授權(quán)管理人員在執(zhí)行信息系統(tǒng)賬號(hào)及權(quán)限管理過程中不按程序處理業(yè)務(wù)，并對(duì)違反規(guī)定的責(zé)任人員按照有關(guān)獎(jiǎng)懲管理程序予以相應(yīng)的處分。4.7原則上本制度每年修訂一次，遇特殊情況時(shí)經(jīng)授權(quán)審批后可隨時(shí)進(jìn)行修改。本制度最終解釋權(quán)歸屬于公司總經(jīng)理辦公會(huì)。5.0相關(guān)制度及表單表1xx杉杉-010402-01 SUPER帳號(hào)使用登記表表2xx杉杉-010402-02 商友系統(tǒng)新增/變更用戶權(quán)限申請(qǐng)表表3xx杉杉-010402-02 商友系統(tǒng)定義設(shè)置新增/變更申請(qǐng)表表4xx杉杉-010402-03 文件服務(wù)器共享文件夾新增/變更申請(qǐng)表表1：SUPER帳號(hào)使用登記表序號(hào)使用日期用途使用人備注123456789101112131415161718192021222324252627282930表2：商友系統(tǒng)新增/變更用戶權(quán)限申請(qǐng)表申請(qǐng)人申請(qǐng)部門用戶新增 賬號(hào)變更 權(quán)限變更 申請(qǐng)理由和所需要使用功能： 日期：系統(tǒng)管理員描述： 日期：部門負(fù)責(zé)人意見：日期：銷售金負(fù)責(zé)人意見： 日期：財(cái)務(wù)