用户权限管理办法

第一章总则

第一条为规范公司信息系统的用户权限设置，有效防范信息安全风险，根据中国《证券公司信息技术管理规范》《证券期货经营机构信息技术治理工作指引》《证券期货业信息系统审计规范》《证券期货业信息系统审计指南》等相关法律法规及公司信息技术管理制度的要求，制订本办法。

第二条本办法所称信息系统用户权限，是指公司所有通过用户名登录访问的操作系统、数据库系统、业务处理系统、管理信息系统、网络设备等信息系统的用户设置和权限管理。

第三条本办法适用于公司各部门、分支机构及全资子公司。

第二章管理原则

第四条信息系统应具备有效的用户认证和访问控制管理功能。

第五条系统用户和权限管理应遵照技术与业务分离原则，信息技术人员不得从事业务相关操作或拥有相关操作权限。

第六条系统权限管理应实行操作与监督分离，风险监控、合规管理人员不得从事具体业务操作，不相容职务用户账户不得交叉操作。

第七条系统权限应遵循最小功能原则及最小权限策略进行管理，系统用户权限应与岗位职责及工作需要一致。

第信息技术管理部门负责统一管理公司信息系统的建设和运行维护，负责系统技术管理的用户和权限设置，负责系统技术参数的配置和管理。

第九条信息系统的主要使用部门负责系统日常使用管理，负责业务操作的用户和权限管理，负责业务参数的配置和管理，信息技术管理部门提供技术支持。若系统由多个部门共同使用，由信息技术管理部门指定系统业务用户权限管理部门。

第十条公司各部门及分支机构负责人为本部门信息系统权限管理责任人；各部门及分支机构应设置权限管理岗，负责系统用户权限的统一设置和集中管理。

第十一条信息系统用户权限的授予、变更应建立严格的复核、审批和留痕机制。系统用户和权限操作应具有可追溯性和可监控性，每一次操作应经唯一途径并留下唯一性标识。

第三章系统用户权限设置第十二条信息技术管理部门应设立相关系统的技术管理用户权限管理员，用于信息系统技术维护用户的管理。

第十三条系统业务用户权限管理部门应设立业务用户权限管理员，负责系统中业务操作用户和权限的管理。

第十四条系统用户权限管理部门应建立所负责的信息系统权限管理台账，登记系统用户的权限、状态、角色等具体内容。

第十五条用户权限管理员应熟悉用户权限管理模式和设置流程，掌握各种权限的操作特点和使用范围,合理设计角色及权限模板，提高权限管理效能。

第十六条系统超级用户权限由系统管理部门指定专人保管并在严格监督下使用。超级用户权限的用户、密码、使用记录应密封保存，超级用户的使用应做好使用登记。

第十七条重要信息系统用户权限管理应制定系统角色和系统权限模板，系统角色应按岗位要求设置权限。权限模板的设置和变更需要提交合规管理部门进行合规审核，必要时还需经相关部门会签，经系统管理部门分管领导同意后才能正式生效。

第十系统的用户权限申请由使用部门提出，经使用部门负责人审批同意后报该系统的权限管理员，权限管理员对各部门的申请进行复核，拟订角色或权限分配方案，经权限管理部门负责人审核后进行设置。

第十九条公司统一规划员工的系统用户名或注册账号，原则上各系统用户名或注册账号应保持一致，并具有唯一性。

第二十条密码应由员工本人保管和修改，员工应妥善保管本人的系统密码，员工应对本人用户和密码登录的操作负全部责任。

第二十一条操作系统、数据库系统和网络设备管理用户，口令应符合数字、字母、符号混排且无规律的方式，口令长度不低于12位，如果设备口令长度不支持 12 位或其他复杂度要求，口令应使用所支持的最长长度并适当缩小更换周期。其他系统不得设置弱口令，若条件允许，口令应采用数字、字母、符号混排且无规律的方式。管理用户口令原则上不低于12位，至少每季度更换1次，5次内不能重复。核心交易业务系统应提示并阻止用户使用弱口令登录。

第二十二条系统用户和口令专人专用，应加强对缺省帐户和口令的管理。

第二十三条信息技术管理部门的重要操作系统口令、重要系统数据库管理员口令由系统管理员负责设置与修改；网络口令由网络管理员负责设置与修改，重要系统应将用户和口令密封后交技术管理岗保管。

第四章权限变更

第二十四条系统用户的赋权及修改、角色的增设及修改应严格按照权限审批流程执行。重要信息系统权限使用部门应通过办公系统流程的形式向系统用户权限管理部门递交权限变更申请，系统用户权限管理部门审批后进行权限设置。

第二十五条因系统权限设计或操作流程发生变化，需要对用户角色或权限模板进行变更的，由权限管理员重新修订权限模板，经过审核程序后重新分配。

第二十六条公司员工发生部门内部调整、公司内部调动以及离职等岗位变动，应在工作交接表中对信息系统用户权限进行交接，待信息系统权限管理部门对该员工所有系统权限进行变更或注销后方可办理调动或离职手续。

第二十七条因岗位人员变动发生的权限变更，由变更部门提出用户权限变动申请，经变更部门负责人审核后报系统权限管理员，由权限管理员对申请进行复核，经权限管理部门负责人审批后在系统中进行调整。

第二十因员工离职发生的系统用户变更，应由离职员工所在部门通过相应流程发起该员工的系统用户权限注销申请。离职员工各信息系统用户和权限均应注销。

第二十九条系统用户权限管理部门应根据员工岗位变动及时更新用户权限台账并记录用户权限变更情况。

第三十条系统用户权限管理部门应定期对系统权限进行检查。

第三十一条用户密码失效或遗失，由本人提出重置密码申请，经本部门负责人审核后报系统权限管理员，由权限管理员重新设定。

第五章权限监督

第三十二条系统操作人员应按照业务操作权限和流程进行操作和管理，严禁任何违规作业，如擅自变更系统参数、业务参数、功能权限和业务数据。

第三十三条信息系统权限管理员应定期对系统用户和权限进行检查核对，发现越权用户要查明原因并及时调整，及时清理过期用户权限，做好记录归档。

第三十四条公司信息技术管理部门与合规管理部门应加强对信息系统用户和权限的监督，定期或不定期对信息系统权限设置、使用、变更情况进行检查，避免授权不当或存在非授权账户，确保系统用户对数据和系统的访权限应与其工作职责相匹配，对发现的问题及时督促使用部门进行改进。

第三十五条公司审计部门应定期对信息系统用户权限管理进行审计。

第六章附则

第三十六条公司使用外部系统权限的执行其相关规定，权限设置和变更流程参照本办法执行。

第三十七条公司可在本办法的基础上针对具体系统制定系统用户权限管理细则。

第三十本办法由公司负责解释和修订，信息技术管理部门组织实施。

第三十九条本办法自发布之日起实施。

6下载本文