企业业务账号管理办法

PAGE1企业业务账号管理办法模板第一章总则第一条为加强公司业务账号使用与管理，明确相关权限及责任部门，防范因账号泄漏及操作失误造成的业务风险，特制定本办法。第二条本办法所指的业务账号包含公司在使用的所有自研、采购的内部系统账号与外部系统账号。第二章基本原则第三条账号一经分配，便与员工进行责任绑定，计入员工的人事档案。公司将对因账号泄密或滥用产生的责任进行追责。如账号停用/移交或员工离职/异动，员工应及时提交相关申请进行审批。第四条业务账号的申请、移交与注销等需要通过OA审批完成，做到管理留痕。各类账号日常使用的日志应保留至少半年以上，以备公司随时查验，及时防范风险及责任追究。第五条业务账号审批应采取保守原则，选择符合需求的最小权限进行授予。第六条公司测试机不允许用来登录公司业务系统，包含公司自研、采购的内部系统及第三方业务系统。公司会不定期组织抽查，违规行为一经发现，将严肃处理。第七条财务类超级管理员类账号必须由财务归口管理，不允许向其他部门授权使用；管理员类及普通用户类账号，可根据实际情况确定是否授权他部门使用。第八条公司业务账号仅允许用于授权范围内的公司业务工作，不允许用于其他用途。第九条公司业务账号管理工作主要包含账号管理、审批管理、系统管理三个方面内容。

第三章账号管理第十条公司业务账号按照类别实行分类管理，公司业务账号主要类别为业务运营类、技术类、资产类、微博与渠道类、企业平台类、财务支付类。1、业务运营类账号：因公司业务运营需要，使用的公司自建系统与第三方系统的业务账号；此类账号包含但不限于业务管理平台账号、业务数据平台账号、外部数据平台账号、外部资讯分发账号等。2、技术类与资产类账号：技术类账号是指因公司业务开展需要，在技术研发与技术运维服务中使用的各类账号，此类账号包含但不限于开发者账号、技术管理账号等；资产类账号是指因公司业务开展需要，使用的各类非行政类固定资产的管理账号，此类账号包含但不限于CDN账号、云服务账号、域名管理账号、其他第三方业务账号（非支付类）等。3、微博与渠道类：因公司业务开展需要使用的各类微博平台管理账号及渠道分发相关的各类管理账号。4、企业平台类：公司内部使用的OA系统管理账号、邮箱后台管理账号、wiki后台管理账号等。5、财务管理类：各类涉及财务支付的管理账号。第十一条公司账号统一由归口管理部门进行管控。归口管理部门统一管理归口系统的最高系统管理员类账号，归档管理各系统账号分配资料，负责相关系统账号的审核、审批工作。归口管理部门如下：1、业务运营类账号：公司业务管理部2、技术类与资产类账号：公司信息资产管理组3、微博与渠道类账号：公司反作弊管理部4、企业平台类账号：人力资源部SSC（共享服务）组5、财务管理类账号：财务部第十二条为进一步加强公司对账号权限的风险管控，同时便于业务灵活、快速开展，基于公司系统权限难以统一的现状，将公司所有系统权限分为超级管理员、管理员、普通用户三个类别。超级管理员类账号：系统的最高权限账号，可以分配删除管理员账号，并对系统做任意操作，包括关闭系统、复制系统等高危操作。管理员类账号：具有分配、删除、配置普通用户类账号的权限，可在超级管理员授予权限下进行系统操作。普通用户类账号：系统的最终使用者，可在管理员授予权限下进行系统操作；普通用户类账号无法分配、删除、配置其他账号。第十三条为便于业务开展，超级管理员类账号可以由归口管理部门授权业务指定负责人进行账号代理，同时向人力资源部SSC（共享服务）组报备，计入员工档案。通常情况下，归口管理部门不应干涉业务部门的账号管理与使用，但在发现重大风险隐患或其他需要取消代理的情况时，有权随时终止代理授权。第十四条账号格式、账号密码应符合公司信息安全相关规定要求。第十五条涉及公司外部服务或流程的各类系统账号及所有系统超级管理员类账号的注册邮箱、注册手机号码应统一使用公司邮箱与手机号码，不允许使用个人邮箱与手机号码；如仅为内部使用的系统，应统一使用公司邮箱、企业微信进行注册，不建议使用个人手机号进行注册。公司内部系统在开发阶段，认证方式应尽量避免个人手机号注册的设计方案。对于本制度发布之前的账号注册信息采取逐步规范的原则，本制度发布之后的账号注册信息必须按照本条要求严格执行。第十六条业务账号在分配与使用过程中，实行分类保密。账号分配情况仅限于账号使用人本人及其直属领导、所在一级部门负责人（最高为SVP）、公司与财务部账号归口管理部门、系统管理员、人力资源部SSC（共享服务）组相关人员知晓；超级管理员类账号密码仅限于账号使用人、公司与财务部账号归口管理部门、系统管理员知晓；管理员类及普通用户类账号仅限于账号使用人、系统管理员知晓。账号及账号密码严禁传播使用，一经发现将按照公司相关规章制度处理。第十七条公司共享类账号，如外地统一接入的VPN账号等，应由账号归口管理部门定期更改密码，防范因密码泄漏造成的风险。第十八条账号管理部门负责相关账号的管理维护，确保账号申请、注册、使用符合本制度相关要求；并定期对公司的业务账号使用情况进行盘点，排查账号风险并及时修正。第四章审批管理第十九条OA系统是公司账号审批的唯一审批平台。所有账号类的审批流程均应在OA系统“账号管理”流程进行。第二十条各类账号审批流程结束后，系统会自动将相关账号变动信息同步人力系统，记入员工人力档案。第二十一条OA账号、邮箱账号、公司check平台账号等在员工入职时统一分配授权，无需单独申请。第二十二条公司内部系统平台账号申请1、账号申请人应事先与账号管理员线下沟通需求，然后OA线上申请审批。2、账号申请流程按照账号权限类别分为不同流程。具体如下· ：（1）超级管理员类账号（2）管理员类账号（3）普通用户类账号第二十三条账号代理1、当以下情况发生时，可以进行代理。（1）账号使用人将短期或长期处于无法登录账号处理业务的情况，期间可以授权他人代理账号；（2）账号使用人确因工作需要，可以在指定期间和职责范围内授权他人代理账号；（3）VP及以上级别员工可以在指定期间和职责范围内授权其助理代理账号开展业务。2、账号代理需要满足必要性、最小范围的受控传播原则。3、账号代理原则上应向上授权，尽量避免向下授权或同级授权的情况。4、账号代理后，如出现账号泄密或滥用造成公司损失的情况，账号使用人及代理人将承担连带责任。5、账号代理必须通过OA系统进行申请。如出现未在OA系统申请，擅自代理开展业务的情况，一经发现，将按照公司制度严肃处理；已经造成损失的，将进行追责。6、OA账号代理需要进入OA表单代理模块进行设置，其他系统账号需要走账号代理流程。7、本制度发布之前已经进行账号代理的，需要在OA系统补充申请。8、账号代理流程如下：9、代理期间中止代理授权或代理期结束终止代理授权的，需要由代理人发起代理回收流程，具体如下：第二十四条账号权限变更1、账号权限变更只适用于同一员工在岗期间因工作内容变动，导致其账号类别在管理员类账号与普通用户类账号之间的变更。2、超级管理员类账号不适用本流程。员工如变更本人持有的超级管理员类账号的，如需移交，请参见本文第二十五条内容申请账号移交；如无需移交，需参见本文第二十三条规定申请代理回收。3、权限变更流程如下：第二十五条账号移交1、当员工工作内容调整、员工岗位调整或员工离职，需要员工之间移交账号的，适用于账号移交流程。2、账号移交包含的账号仅限于以公司信息注册的各类账号；以员工邮箱注册的内部账号不可移交，需要注销后重新申请。3、账号移交的流程如下：（1）超级管理员类账号（2）管理员类与普通用户类账号4、因员工调岗/离职进行账号移交的，需要员工提前完成账号移交流程，方可办理人事手续。第二十六条账号注销1、业务账号不再使用时，应及时注销。2、账号注销流程如下：（1）超级管理员类账号（2）管理员类账号（3）普通用户类账号第五章系统管理第二十七条为加强公司系统资源统一管理，防范因账号密码私下共享可能造成的系统性风险，公司搭建SSO账号登录平台，要求公司各类系统接入本平台，并将本平台作为唯一登录系统的入口。第二十八条SSO账号登录平台的基本功能如下：1、系统唯一登录入口：员工可以通过SSO平台扫码登录已授权的系统；2、防止账号私下共享：员工仅可通过个人企业微信扫码或个人邮箱验证码等方式登录；3、人员状态实时更新：人员信息统一由OA人力系统带出，实时更新人员状态；4、登录系统严格受控：员工的系统授权信息与OA账号审批数据实时同步，杜绝员工未经授权开立账号的情况。第二十九条因SSO账号登录平台涉及公司业务运营与开展，需要做好运维保障工作，统一由公司信息资产管理组负责维护。第六章第三方业务账号管理第三十条第三方业务账号需要在OA上完成权限审批，方可使用。如未经批准，擅自登录系统，一经发现，公司将按照相关制度严肃处理。第三十一条第三方业务账号将作为公司虚拟资产进行管理，绑定到个人。第三十二条通常情况下，登录第三方业务平台要求从公司SSO账号登录平台进行登录。第三十三条第三方业务账号的申请、授权、权限变更、移交、注销等流程与标准流程一致。具体见“审批管理”部分。第七章外部人员账号管理第三十四条外部人员包括但不限于劳务外包人员、合作项目的非公司人员、关联公司任职且人事关系不在我公司的人员、投资方人员（含微博与其他）等。第三十五条外部人员登录公司业务系统，统一采用白名单制，使用授权后的个人手机号登录。第三十六条公司相关部门应定期对外部人员白名单进行维护，及时去除已取消合作或者从合作公司离职的人员信息。第三十七条外部人员仅可开设普通用户类账号，不可开设超级管理员类、管理员类账号。第三十八条对于投资方高级管理者的业务账号管理应参照本办法进行，根据实际情况也可进行适当调整。第三十九条外部人员业务账号申请流程如下：第四十条外部人员业务账号注销流程如下：第四十一条外部人员业务账号不可授权、变更、移交。第八章项目团队账号管理第四十二条项目团队是指因公司安排或工作需要，由公司员工之间、公司员工与外部人员之间、外部人员之间等任一方式组建的短期或长期存续的业务团队。项目团队的工作目标应与公司业务目标一致，并经公司确认。第四十三条未经公司确认批准组建的项目团队，不得申请、使用公司系统。第四十四条公司员工加入项目团队分为“脱岗”与“非脱岗”两种形式。脱岗是指公司员工解除原有岗位职责，全身心投入项目团队工作，组织关系脱离原有部门，调入项目团队的情况。第四十五条公司员工“脱岗”进入项目团队，应事先注销原岗位分配的所有账号权限后，方可进入项目团队工作；采用“非脱岗”形式参加项目团队工作的，如员工进入项目团队前已分配的业务账号在其进入项目团队后存在滥用及其他风险的，应在其进入项目团队前关闭账号权限。具体风险由业务部门评估并给出建议。第四十六条项目团队成员的账号管理与审批应符合本制度的其他相关要求。第四十七条原则上，项目团队必须通过公司系统开展与记录业务，不可私自搭建体外系统进行业务开展。第四十八条项目团队使用公司内部系统的，仅可开设管理员类及普通用户类账号；使用项目团队专属系统的，可以开设全部类型账号。第四十九条项目团队成员业务账号的审批需求均由项目团队负责人发起申请。第五十条项目团队成员的业务账号申请流程如下：1、超级管理员类账号2、管理员类及普通用户类账号第五十一条项