《授权安全标准》

第5页共5页授权安全标准第一章总则第一条授权安全标准是阐述信息活动中对信息的访问控制要求。第二条本制度适用于接触到信息资产的所有人员，包括但不限于总公司及其下属子公司的所有部门、内部员工、第三方人员（包括但不限于外包公司人员、代理人、厂商工程师、咨询公司顾问等）。第三条本标准必须被严格执行，如因特殊原因而不能满足信息安全的要求，必须事前遵照信息安全体系在OA系统提请《信息安全例外申请流程》申请及审批。第二章授权原则第四条权限应以角色的形式授予帐号，各角色的权限必须根据角色的职能授予。第五条授权必须细化到每个功能，每个行动可以分开个别授予，如信息资产的读、写、修改、删除、执行等行动可分别授予。第六条所有权限必须按照“知悉需要”的原则进行授权。第七条信息访问的授权必须遵循“权限最小化”原则，只开通必要的权限。第八条信息访问的授权必须遵循信息安全制度的要求，必不能存在冲突的授权。输入、复核功能是极为有效的职责分离系统控制。复核功能复核功能必须对所复核的数据只能读取，不能更改。复核的独立性控制为保证复核人员的独立性，系统复核功能必须确保输入、复核过程必须不能以同一帐号实施。第三章访问管理第九条所有信息系统必须具备访问控制功能。所有存有保密（秘密、机密、绝密）信息的系统必须为信息资产设置访问控制策略。访问策略中应清晰定义每个或每组用户的访问控制规则和可以拥有的权限。第十条所有存储保密信息的系统必须有认证控制，保护信息资产，使信息不能在未获授权下，意外地或刻意地被使用、发放、篡改、或删除。认证要求可参考信息安全制度。第十一条授权请求必须基于合理的工作目的，并经过部门主管及信息拥有人（或其指定的管理人）的确认。所申请的权限必须与申请人的职权相对应。第十二条帐号管理人必须核实帐号、权限申请，方可授予权限。所需核实的包括但不限于：申请人身份；批核人身份；申请人职责与权限申请的相应性；申请权限与现有的权限不能存在冲突。如发现申请有不符授权原则时，必须拒绝申请。第十三条当人员持有的帐号、权限不适用（如调岗、离司）时，管有人的直属部门长必须立即通知帐号、权限管理部门，删除、取消相关帐号、权限。第十四条当接到相关管理部门帐号、权限定期复查通知时，各部门长必须认真查核各部门人员帐号、权限的真确性、必要性，并回复帐号、权限管理部门删除冗余的帐号、权限。第十五条特权帐号是指在系统中拥有极大、访问资源广泛或有敏感控制性权限的强力帐号，这包括系统及帐号管理员的帐号等。第十六条特权帐号必须只能授予有管理职责的相关人员，而特权帐号应限制在最少拥有人的范围内。第十七条系统、帐号管理员只能使用其特权帐号在合理的管理工作上，绝对禁止管理员使用特权帐号在其它用途上。第十八条在可行范围内，特权帐号权限必须限制于管理职权所需；如帐号管理人只授予帐号管理权限，其它系统管理权限必须禁止；同样地系统管理员应禁止帐号管理权限。特权帐号应评估双重认证的可行性，在可能范围内必须实施。第十九条应急帐号通常为特权帐号，但不为特定人员所拥有。第二十条所有应急帐号必须至少由两个或两组独立托管人监控，确保没有任何一个人员知悉整个帐号密码。第二十一条应急帐号必须经过授权，并在独立监