证券股份有限公司信息系统权限管理办法模版.docx

证券股份有限公司信息系统权限管理办法 第一章 总则 第一条 为规范公司业务系统的权限管理，防范系统操作风险，根据《证券公司内部控制指引》、《证券公司信息技术管理规范》、《证券期货业信息系统运维管理规范》等法律、法规、规范性文件及重要信息系统等级保护工作的要求，特制定本办法。 第二条 本办法适用于公司级核心业务系统（以下简称业务系统）的权限管理。单一部门内部使用系统可参照本办法制定适用的权限管理规定。 核心业务系统指集中交易、信用交易、期权交易、自营系统等涉及客户、公司交易、资券管理及重要信息资料管理的业务系统。 第三条 公司成立信息系统岗位权限管理审核小组（以下简称“权限管理审核小组”），由信息技术部、风险管理部、法律合规部及相关业务管理部门组成。业务管理部门是指运营管理总部、信用业务总部等负责日常业务管理的部门。 第四条 权限管理审核小组负责制订和完善信息系统权限管理制度，审核业务系统的标准岗位权限组成、互斥岗位规则、岗位授予规则和用户特殊权限变更，审核结果形成的工作留痕材料由信息技术部归档保存。 第五条 权限管理审核小组设置组长一名，由信息技术部指定专人担任，其它组成人员由各成员部门指定一名专人担任，成员名单统一报请公司审批，并报备信息技术部。 第六条 业务系统权限审核时实行一人一票制，做出审核结果时须经审核小组成员半数以上通过。审核中的不同意见须全面、真实记录。 第七条 业务权限实行岗位和用户二级分配。岗位指基于业务流程和业务职责而设定，用于办理具体业务的权限集合。用户是指依职责分配相应岗位并具备业务系统操作权限的人员。 第八条 业务系统用户类型分为超级用户、管理用户、业务用户。超级用户是指操作系统、数据库系统、业务系统具有全部权限的用户。管理用户是指业务系统用于权限管理、参数设置等系统管理、维护工作的用户。业务用户指用于具体业务操作的用户。 第九条 操作系统、数据库系统及业务系统的超级用户由信息技术部负责管理；管理用户、业务用户所需岗位权限由权限管理审核小组审核, 信息技术部和业务管理部门负责设置。 第十条 信息技术部根据权限管理审核小组的审核结果对系统中的岗位权限组成、互斥岗位规则和总部各部门管理用户、业务用户权限进行设置，并制订相应的操作流程。 第十一条 业务管理部门根据权限管理审核小组的审核结果对系统中营业部等分支机构用户权限进行设置，并制订相应的操作流程。 第二章 权限管理原则 第十二条 集中管理、分级授权原则。岗位权限由权限管理审核小组集中管理、审核与评估。公司总部各部门用户及岗位权限设置由信息技术部负责，营业部等分支机构用户及岗位权限设置由业务管理部门负责。 第十三条 权限最小化原则。对岗位或用户授权以满足业务操作所必需的权限为原则，不授予无关和不需要的权限。 第十四条 互斥分离原则。对岗位或用户授权应实行前、中、后台分离，禁止将互斥的操作权限赋给同一岗位和用户。 第十五条 监督制衡原则。关键业务操作实行双人复核或多级审核，业务操作、复核及审核应由不同用户担任。 第三章 业务权限管理 第十六条 业务系统超级用户拥有所有管理权限，未经授权不得使用超级用户进行具体业务操作。 第十七条 新业务系统上线前，使用部门根据业务需求申请业务岗位和岗位对应的业务操作权限，制定相应的互斥岗位规则、岗位授予规则，由权限管理审核小组集中审核、评估。 第十八条 因业务规则变化、系统功能变更等原因引起新增业务岗位或现有业务岗位操作权限扩充的，应由需求部门发起，报权限管理审核小组审核批准后方可进行设置。 第十九条 权限管理审核小组每半年对业务系统的业务岗位及权限进行评估和审核，以适应公司业务发展及合规、风险控制等要求。 第二十条 因业务需要申请特殊岗位权限(即针对某些特殊业务单独设置的应用操作权限)的，根据业务需要实行一事一批，业务结束后，需求部门应立即通知信息技术部取消相应权限。特殊岗位权限审批由权限管理审核小组审核批准。 第二十一条 业务权限原则上只赋予正式员工,如有特殊情况需赋予正式员工以外的工作人员，应经公司权限管理审核小组审核批准。 第二十二条 员工岗位发生变化，使用部门应及时申请权限变更；员工调动或离职的，使用部门应及时申冻结或注销相应的业务系统用户与权限。禁止直接删除业务系统用户或修改业务系统用户姓名挪作他人使用。 第二十三条 业务权限仅为办理业务的操作权限，业务经办人员必须严格按照业务规程办理业务，需要审批的业务按照业务流程审批。 第四章 申请流程 第二十四条 业务权限申请、注销、变更审批使用《岗位与用户权限变更流程审批单》。 第二十五条 公司总部各部门标准岗位权限申请由业务用户申请人填写审批单并经所在部门负责人审批后，由信息技术部负责设置。 第二十六条 公司总部各部门特殊岗位权限由需求部门提出申请，经申请部门负责人审核，权限管理审核小组会签审批后，由信息技术部根据审批结果设置。 第二十七条 营业部的岗位权限申请、注销、变更流程由业务管理部门制定。 第五章 权限监督核查 第二十八条 公司信息技术部每年组织各部门对所使用的业务用户及岗位权限进行核查与确实，形成核查报告并报权限管理审核小组。 第二十九条 信息技术部每年进行一次操作系统、数据库权限核查，形成核查报告。 第三十条 营业部等分支机构用户及岗位权限核查由业务管理部门负责。 第六章 附则 第三十一条 本办法由权限管理审核小组负责解释并修订。 第三十二条 本办法自发布之日起施行。