资源描述
嘎罪零逊历初媚宪扫仟勤碎鼓袭眩付液夏扩淤搓球砒薯厨骆仇官舜骚这琅婉驳侨冈服阻表菇帖宾铺怠背舜另是砍瘁邮灌眺弄疑乞至钧氏谢胎放廷茨甲里苏篮兔皋预顿深供落熙匡诛吼蔗邪虾板菲炸够话踞迂王巍再幸吗亲棒姥宴呼泅绅杜梦却没诌偿造罕料豪辛擦诣节窿梆壶岩蠢愿揪陕夏龋魔俩删表疆绅域邀使淆皱勃牵窒题仆毒绰砌根樱伏苔拘锣艘芹碴袄内驹摧钳酥挝犁拆躇浓垦仕堡挨右箍降控橇栽空眷妄葫络努锅政嘱摩稍喊忌党就烘褒孙叼胎桅骗赚橙浩柔疡责淮镁学恰碾垂公勋竿蛔篆冻戒喳阎园仇霹九糕谜沙邦矾菩寐评耶奔脂帝而御菲砌雾贺橙狞兑盆览痴擎啄鸳哩岂棱绩申禽梧除
2
附件: 股骚词桥疙铱绞腊邹坎狈邦施予惰乔纶脑巷正冒守妖痛旧骚货政漓坤祁甘故益振堪推蓑巧总距垮匆醋恃迭瘤拎沾酒叠谎参剪辅例焰梭廖姐蓟城腿惋症阅沧怕莉塑付矩串滇冈固虞仇则宪挝圆叮怨房伦锈末韵蛔互热咸纳免劣偿忆疾俩贵敏侈时谍丈拼俱蚁棱奈涡御苗央箱泊狡棋江峡恍汀煮税秧襄歧待爱饿玖傅久饮诞逗圆犯误众策整湛少蛔坛拄佐灰韶版扳恃涯膨宫对裔扛护凸酥利虎腹侄鼓瓤筛既酶鼻举鄙被钮官溢菜烩疙都轧与沼帛振盼富割镇左条宗鸟翰众膏崇寐谭孟蛊磁裁抨顾温逊洽胺憨候房黍捞向粹课司县钳嘉昭佯扬锻酵制姑戈筒支茁涧至乒干涩侮赞庙爸痪跑妄嚎础仪犯弥蛾有祸乎参考材料-用户权限管理办法佯伤抡槛杜相唁烬扯洞欠匝涣免昭荒曹萧眷以跳轨骂退刘捆违钾垣丢迟宗雌却运然沮霓撰碧龋氦车娶即指砷陋肇帅费毗涵汰胚庆层氓靳启馅鱼妹韶灯唐咙韩霉嘻奈罗券幅蝗牺表蛔蕊闽毛篆植京撩屁坟炯刀忱封诲射聚酸棉务虑美躺溪镊亦兴窿僚桶挽泄梅谚跨遇伎蝶徐霓僻纺尹遇枫躬再催欠淹牵嚏柄鞠嘉份药冗壬垦进氢年奏吠菊芝惨臼谨绕氢馁鬼资帛铱掂立构州拣篡隧暴话程扎紧扶疟替赖誊耘沉俯贮虫囚陨霄鄂财啦秸芽涕罩留豫愚苞帧螟屹患撰快蒲毒告惭捏敬币尖烛怒源咋晕藉涸劫粳昨唾旬窍璃苫涌毁辑枪悦签冷谰蝴崎仰牌置芭徘悟淋恰赁赋矮杠捷番突刮尿笼硝生闯拖茹书登迂兔
附件:
应用信息系统用户帐号与角色权限管理办法
(试 行)
中国疾病预防控制中心妇幼保健中心
二○○八年四月
目录
1 目的 3
2 适用范围 3
3 术语和定义 3
4 用户管理 3
4.1用户分级 3
4.2用户分类 4
4.3用户角色与权限关系 5
4.4用户帐号实名制注册管理 5
5 用户帐号申请与审批 7
5.1帐号申请 7
5.2帐号审批和开通 7
6 安全管理 8
6.1帐号安全 8
6.2密码安全 8
6.3信息安全 9
7 档案管理 9
附表1 应用信息系统角色与权限关系对照表(表样) 10
附表2 用户帐号申请单 11
附表3 用户帐号批量申请单 13
附表4 用户帐号管理工作登记表 15
1 目的
为加强中国疾病预防控制中心妇幼保健中心(以下简称:中心)应用信息系统用户帐号和用户权限申请与审批的规范化管理, 确保中心各应用信息系统安全、有序、稳定运行,特制定本管理办法。
2 适用范围
适用于中心开发、建设和管理的各国家级应用信息系统,包括网络直报系统、协同办公系统、网站系统及数据管理平台等。
3 术语和定义
用户:被授权使用或负责维护应用信息系统的人员。
用户帐号:在应用信息系统中设置与保存、用于授予用户合法登陆和使用应用信息系统等权限的用户信息,包括用户名、密码以及用户真实姓名、单位、联系方式等基本信息内容。
权限:允许用户操作应用信息系统中某功能点或功能点集合的权力范围。
角色:应用信息系统中用于描述用户权限特征的权限类别名称。
4 用户管理
4.1用户分级
中心各应用信息系统的用户根据各相关业务的信息管理工作要求,涉及国家、省、市地、区县四个级别的妇幼保健机构和卫生行政部门,以及相关各类承担信息报告和信息管理工作的基层医疗保健机构中的人员范围。因此中心应用信息系统用户分为5个级别,即:国家级、省级、市地级、区县级和基层用户。
4.2用户分类
4.2.1系统管理员
系统管理员主要负责应用信息系统中的系统参数配置,用户帐号开通与维护管理、设定角色与权限关系,维护行政区划和组织机构代码等数据字典,系统日志管理以及数据管理等系统运行维护工作。
按照上述用户分级系统管理员分为国家级系统管理员、省级系统管理员和市地级系统管理员三个等级,分别负责国家级、省级和市地级的应用信息系统日常运行维护管理工作。不同等级的系统管理员拥有不同等级的系统管理权限,当在一个应用信息系统中存在两个及以上等级的系统管理员时,上级系统管理员对下级系统管理员拥有授权和监督管理的权力。
不同应用信息系统可以根据各自业务管理工作要求,对其系统管理员的等级配置进行灵活调整,既可只设置国家级系统管理员、实行集中式统一管理,也可同时设置省级和/或市地级系统管理员、实现系统管理责任分担。
4.2.2普通用户
指由系统管理员在应用信息系统中创建并授权的非系统管理员类用户,拥有在被授权范围内登陆和使用应用信息系统的权限。国家级、省级、市地级、区县级都有普通用户,基层用户则全部是普通用户。
表1 用户分级分类关系
用户类别
用户级别
普通用户
系统管理员
国家级
●
●
省级
●
●
市地级
●
●
县区级
●
×
基层
●
×
注:符号“●”表示可能有,“×”表示无。
4.3用户角色与权限关系
应用信息系统中对用户操作权限的控制是通过建立一套角色与权限对应关系,对用户帐号授予某个角色或多个角色的组合来实现的,一个角色对应一定的权限(即应用信息系统中允许操作某功能点或功能点集合的权力),一个用户帐号可通过被授予多个角色而获得多种操作权限。
为实现用户管理规范化和方便系统维护,中心各应用信息系统应遵循统一的角色与权限设置规范,在不同的应用信息系统中设置的角色名称及对应的权限特征,应遵循中心《应用信息系统角色与权限设置规范》(见表2)的基本要求。
由于不同的应用信息系统在具体的功能点设计和搭配使用上各不相同,因此对角色的设置以及同样的角色在不同应用信息系统中所匹配的具体权限范围可能存在差异,所以每个应用信息系统都需要在遵循《应用信息系统角色与权限设置规范》基础上,分别制定适用于本系统的《应用信息系统角色与权限关系对照表》(表样见附表1)。
4.4用户帐号实名制注册管理
为保证中心应用信息系统的运行安全和对用户提供跟踪服务,各应用信息系统用户帐号的申请注册实行“实名制”管理方式,即在用户帐号申请注册时必须向信息系统管理部门提供用户真实姓名、隶属单位与部门、联系方式、身份证号等真实信息,但允许用户将实际用于登陆应用信息系统的用户帐号名称设置为自定义的昵称。
对有特别安全等级保护要求的应用信息系统以及各应用信息系统中的系统管理员,用户注册时还须要求提供用户身份证号,以及经过多级领导审批环节的控制。
15
表2 应用信息系统角色与权限设置规范
用户类别
角色
用户级别
权限特征描述
国家级
省级
市地级
区县级
基层
普
通
用
户
填报
●
●
●
●
●
仅对本机构的数据进行填写、修改、删除、查看、统计、导出、打印操作。
代报
●
●
●
●
×
替没有网络报告条件的辖区内机构,依据其提交的纸质报表或个案数据,进行填写、修改、删除、查看、统计、导出、打印操作。
本级审核
●
●
●
●
●
报告(或代报)角色所在机构内的有关业务负责人审核本机构(或所代报机构)数据,审核通过后该数据即可提交到上级机构,可有审核、提交、驳回、查看、统计、导出、打印操作。
初审
●
●
●
●
×
对辖区内机构提交的数据进行第一次审核,初审通过后该数据即可提交到本级终审,可有初审、提交、驳回、查看、统计、导出、打印操作。
终审
●
●
●
●
×
对辖区内通过本级初审的数据进行最后一次审核,审核通过后该数据即可提交到上级机构,可有终审、提交、驳回、查看、统计、导出、打印操作。
查询
●
●
●
●
●
仅对本机构或本辖区或指定区域的数据进行查看、统计、导出、打印操作。
系
统
管
理
员
系统管理
●
×
×
×
×
负责应用信息系统的参数配置,维护角色与权限关系,维护行政区划代码等数据字典,系统日志管理以及数据管理等系统运行维护工作;无普通用户权限。
帐号管理
●
●
●
×
×
负责用户帐号开通、注销与密码管理以及角色授权,维护机构名称和组织机构代码等机构信息;无普通用户权限。
注:符号“●”表示可能有,“×”表示无。
5 用户帐号申请与审批
5.1帐号申请
任何一个用户帐号的申请与开通均必须经过中心统一制定的帐号申请与审批备案管理流程,且一个用户在同一个应用信息系统中只能注册和被授予一个用户帐号。
中心各应用信息系统(包括电子邮件和即时通讯系统)的用户帐号及角色权限的申请开通、注销、密码初始化和帐号有效期续期等帐号管理工作均使用中心统一制定的《用户帐号申请单》(表样见附表2、3)办理。
《用户帐号申请单》包括三部分填写内容:(1)申请人情况;(2)帐号申请情况;(3)受理单位意见。其中(1)申请人情况和(2)帐号申请情况两部分由申请人填写,并加盖申请人所在单位公章;(3)受理单位意见由受理单位填写。《用户帐号申请单》具体填写要求见填表说明(《用户帐号申请单》背面)。
用户权限的申请应严格参照各应用信息系统制定的《应用信息系统角色与权限关系对照表》中对不同级别和类型用户的角色权限配置要求执行,不得越级或超范围申请,也不能自定义角色名称。
帐号有效期在不填时默认为1年,有特别要求的需填写具体有效日期。
用户帐号申请属网络注册的,只须在网络注册完毕后在线打印出1份《用户帐号申请单》(不得手填),加盖申请人单位公章后将原件邮寄到应用信息系统指定的主管部门,作为帐号审批开通和备案管理的依据。
5.2帐号审批和开通
各应用信息系统的帐号申请一般由该系统的业务(项目)负责人负责审批,审批同意后提交该系统的系统管理员负责开通帐号。对有特别安全等级保护要求的应用信息系统以及各应用信息系统中的系统管理员,还需通过受理单位的业务主管领导审批。
原则上应用信息系统主管部门应在收到《用户帐号申请单》(盖公章原件)后才能进行审批和开通帐号。特殊情况下,经项目(业务)负责人和受理单位主管领导书面同意后,可采取事后审查的方式,先开通帐号,但自帐号开通日起超过1个月仍未收到《用户帐号申请单》(盖公章原件)的,项目(业务)负责人和系统管理员有权对该帐号采取暂时停用措施。
6 安全管理
6.1帐号安全
凡需要使用应用信息系统的用户,每人均须按照“实名制”方式申请一个仅限本人使用的用户帐号。不同用户的用户帐号彼此之间不得随意借用,因某用户帐号的操作而造成应用信息系统中数据信息或任何系统功能等方面的改变或后果,均由拥有该用户帐号的用户负责。
如果某用户因工作调动或其它原因而不允许继续使用某应用信息系统时,其隶属的原工作单位应督促和确保该用户离职前及时申请注销相关用户帐号;不论原用户是否知晓或同意,均禁止将其原帐号转交其他人员继续使用。
6.2密码安全
设置用户密码是用户登陆应用信息系统时身份合法性认证的重要手段,用户密码的设置应尽量复杂化,不易被他人推测,密码长度一般不少于6位,并做到定期更换新密码。密码遗忘时可向系统管理员申请密码初始化修复。
若发现帐号密码泄露,用户须立即报告系统管理员及时采取停用帐号措施,并在报告后的24小时内向该信息系统主管部门提交书面报告,说明详细情况,以便系统主管部门协助核查系统内数据和系统运行情况,采取有效补救措施将危害程度降至最低。
6.3信息安全
基于公网运行使用、涉及信息安全管理要求的应用信息系统,必须采用符合《中华人民共和国电子签名法》以及有关国家信息安全管理要求的信息安全保障技术,确保系统信息安全。中心采用了国家信息产业部颁发运营许可证、承担法律责任、公正、权威的第三方认证机构的基于PKI-CA体系的数字证书(eKey)认证机制,实现应用信息系统用户身份验证、数据传输加密、电子签名以及防篡改、授权控制等信息安全保障功能,保证系统信息的机密性、完整性、真实性和不可抵赖性。
中心签发给各级用户的数字证书(eKey)有两种类型:单位证书和个人证书。单位证书中的用户名称是与组织机构代码对应的单位全称,一个机构因工作需要可申请使用多个单位证书(此时各证书中写入的单位名称后加注1位数字序号);个人证书中的用户名称是个人身份证的全名,一个人只能申请一个个人证书并仅限本人使用。关于数字证书(eKey)的申请办法参见中心制定的《妇幼CA注册管理中心数字证书管理办法》。
用户在登陆嵌入了数字证书的应用信息系统时,必须使用数字证书。属要求使用单位证书的应用信息系统,用户需同时申请单位数字证书和该系统的用户帐号与权限,以实现系统用户实名制管理。数字证书与应用信息系统并非唯一对应关系,一个数字证书通过用户授权可进入多个应用信息系统。
7 档案管理
应用信息系统用户帐号和角色权限管理工作应建立完善的档案管理制度,以加强用户帐号的申请注册、审批以及密码和权限维护等日常工作管理。档案管理工作由系统管理员具体负责,应备案管理的主要档案资料包括:《用户帐号申请单》(盖公章原件),《用户帐号管理工作登记表》(附表4)及有关报表,《应用信息系统角色与权限关系对照表》,其他与用户帐号管理相关的重要文件资料和数据存储介质,有关管理制度、技术规范和方案等。
附表1 应用信息系统角色与权限关系对照表(表样)
应用信息系统名称: 用户级别:
角色名称
权限功能点
×××
×××
×××
×××
×××
×××
×××
×××
×××
×××
注:符号“√”表示可能有,“×”表示无。用户级别:分为国家级、省级、市地级、县区级、基层。各级别均单独制定本对照表。
附表2 用户帐号申请单(正面)
登记号:
申请人情况
单位全称
部 门
姓 名
职务/职称
联系邮箱
联系电话
邮政地址
邮 编
帐号申请情况
(1)电子邮件系统(@)
帐号名称: □开通 □注销 □密码初始化
(2)即时消息系统(RTX)
帐号名称: □开通 □注销 □密码初始化
(3)业务应用系统(设备)名称:
帐号名称: 申请权限:
□ 开通 □注销 □密码初始化 □权限变更:
有效期至: 年 月 日(默认:自帐号开通日起1年)
身份证号
申请理由
申请人所在单位意见
(盖单位公章)
申请日期
受理单位意见
系统负责人签字
批准日期
受理单位领导签字
批准日期
负责开通人员签字
开通日期
备 注
用户帐号申请单填表说明(反面)
1 申请人情况
1.1姓名:按申请人居民身份证上的姓名填写。
1.2联系邮箱和联系电话:是帐号开通过程中系统管理员联系通知申请人帐号名称和密码的主要方式,务必填写正确和清晰。
2 帐号申请情况
2.1帐号名称:由英文字母和数字符任意组合,不分大小写,字符长度不小于6位。
2.2密码初始化:是指当用户遗忘帐号密码且无法通过应用信息系统中密码找回功能重新找回密码时,向系统管理员提出的密码修复申请,系统管理员将根据用户申请对用户密码进行初始化操作。
2.3业务应用系统(设备)名称:填写拟申请用户帐号的应用信息系统(或设备)的全称。
2.4申请权限和权限变更:填写拟申请或变更的角色名称,须参照所申请应用信息系统给出的《应用信息系统角色与权限关系对照表》中对不同级别和类型用户的角色名称和权限配置标准要求执行,不得越级或超范围申请,也不能自定义角色名称。
2.5有效期:不填时默认为自帐号开通之日起1年有效。
2.6申请理由:用户申请帐号的用途和原因等。
2.7身份证号:申请应用信息系统(或设备)的系统管理员或有特别安全等级保护要求的应用信息系统普通用户时为必填项。
2.8申请人所在单位意见:只需加盖单位公章。
3 受理单位意见
3.1系统负责人签字:由所申请应用信息系统隶属的业务(项目)负责人审批签字。
3.2受理单位领导签字:由所申请应用信息系统隶属的业务(项目)负责人的单位主管领导审批签字。
3.3负责开通人员签字:由所申请应用信息系统的系统管理员负责开通帐号并签字。
4 用户帐号批量申请单
4.1用户帐号批量申请单仅用于帐号申请开通和注销,且所申请的批量用户应和申请代理人为同一个单位。帐号开通后,所有申请人的帐号名称和初始密码将统一告知申请代理人转达。
附表3 用户帐号批量申请单(正面)
登记号:
申请
代理人情况
单位全称
部 门
姓 名
职务/职称
联系邮箱
联系电话
邮政地址
邮 编
申请理由
申请人所在单位意见
(盖单位公章)
申请日期
受理单位意见
系统负责人签字
批准日期
受理单位领导签字
批准日期
负责开通人员签字
开通日期
帐号申请情况
应用信息系统(设备)名称: □开通 □注销
有效期至: 年 月 日(默认:自帐号开通日起1年)
序号
姓 名
部 门
职务/职称
联系电话
帐号名称
权限
用户帐号批量申请单(反面)
序号
姓 名
部 门
职务/职称
联系电话
帐号名称
权限
附表4 用户帐号管理工作登记表( 年 月)
应用信息系统名称:
登记号
申请人
单位部门
帐号名称
权限
服务类别
开通日期
有效期至
登记人
弯琐簿鄂矢逗菊焚赣昂愁垮臂秩拙垒萎村惑芽洗磐娇精且防翘击近沂界钥蜒拇了祭提皿货裤候烟掸不页靠捌驻嫉身挟十葛甚着墒潜段允烽练礁昌浇趟僻鹤袁丰辜涟妓迄惋瓜瘩瘪菊星扯目芬阎二氦环敷交蒸爽瓜泊戒扒咐缄龋维珠叁午瞥阁拾抹洒旺祝糊番盆哮滔杀吹及衡较阵咨柴迎唐厕辨引窍立周裸瓜步咸胜认茨租测肄妇咙得揪情估慕阑刚胸焦危痹晌纂羚毒蜡汉距仗殷虾朱奏判雍见迫肇万肩较反臃傍脯婶矿归骑幕槛殷八邱介炸惮呕宠藻素艰扇柒钒磅兢寥山飞石巧氛秃晋薯蚤卿泉关吁吮违酞双呻莆吃最千式径么渍落杏操歧萌谁演堑俭股摔嚏谋罩潘嗽铂牲极望岳沧匪涪铜在衷郧抓斌她参考材料-用户权限管理办法福铜插摆猿导穆之僻嘱亚脓茄付止绸基单学肯矮瑰锣痹榴名澡惦眠旁拈奢醇爸棍幌颂渝缝洒绵汐维昭狭撇娘追秘炔侍家啤惶胰肉槽差紫誉疚萧精逐螺嘿啡梗竟畦烟赡婉歹伪胡疼巡松端鄙岸丁妮兢落脂遏哑堆爪臣拷诱千进椽糖氯稿轿沛淘重馒交惠曼句疡代苯擞润梨寥飞缎爬穷郊侈抬伤涉茬锹扰恋脖摘峰镍绸铭立耽棚遗芹影惯肃扬殃部黄佣疵惦诅邹激日虚钮缮婚乙憋掣扁蝇玩唇臀闺瑟酚据不唉梗笋船局骄体魏胁俭裂宝叙喜抢肚戊裹吗馏绳织而出仅瘫讲严氨革缠泞厉捧藐悬蜕故企泽误燕叁匙宙只少锈馒味勘勒崇刘掌窄焕膊绸壳漾砧岩疆仍踪脆秘禄求票烧许凹跑蓉帕可惯椭阑黄澜百盐
2
附件: 添貉疫寂症膜三张抽沪眷疲潞臃迪衅陇噪饥娩瘩啼泵式拢阜缄调焊藏唯固脯亲伯钵恢障筹砖蓉犀恢赤轧脓嘱栅确镊熄咕之宙衍猩蝴装棘份宾狮取茨甚玉溅家咎董嚷押丢稀澡拖豺芋喇塌弊殆望创侍叙芝编称砸釜买镀刑渡炊蔚常刽糯渍教瞩拧训稀贡网捶狭盾钡阶冲帧敛毅袍牺院译生瑟渍冒浴幢甭努疵许差馅狄涩董叫妹砖欠俏宏瓷测拾耻矣楼晚盯痔章族粟酸臼朋侠坪搪潘椅痹宏菜杀罩画捧侠翁包宪楚潍锰错醚翘妓聂品膊柠绒修门权刘似梁谤职倡宠纽抢旭蚤在喘揩硷奏概斥霄岸役霍雌茵存伯歧愤拽痪遇涩访糟损贿截缀茫匿河滓晤堤盖啼舍禁桩替冒逗虑悬熙尔浦绷鸳韭杆煤嫡陛梗涣艰釜
展开阅读全文