單位信息系統的角色權限整改

發現短板

筆者單位高度重視防范信息泄露安全工作，每季度開展專項檢查,確保不出現安全事件。

單位目前下轄僅門戶賬號有1萬余戶，業務授權許可及帳號權限具有一定的典型性。存在長期未登錄帳號、冗余帳號等大量“僵尸帳號”；帳號弱口令問題易導致信息系統安全事件；部分單位對賬號密碼設定規則不夠清晰明確；各單位賬號申請新賬號時提供的信息不夠完善且各部門之間配合不夠緊密。

近年來總部對各級分部的運維管理、安全管理提出了更高的要求，需提升單位運行安全內控水平，提高在運信息系統的業務授權和賬號權限的治理工作水平。

分析原因

單位分部賬號申請新賬號時提供的信息不夠完善，對于賬號密碼設定規則不夠清晰明確，未嚴格要求定期登錄門戶賬號且未定期修改賬號密碼，且各部門之間配合不夠緊密；

未加強對本單位自建系統組織開展賬號實名制、賬號權限治理工作，以及主機、網絡、安全、數據庫、中間件等各類設備和系統的弱口令治理。

未有計劃的開展本單位信息系統業務授權及帳號權限的培訓。

改進思路

1.統一組織開展

單位設立各部門工作組織機構及職責。單位領導指導開展業務授權許可及帳號權限治理；工作組負責落實業務授權許可及帳號權限治理工作等。

根據一體化的管理要求，要求各地分部統一嚴格執行更為嚴格的業務授權及帳號權限相關制度：一是收集梳理賬號權限有關的文件和材料，匯總總部有關規定，包括各系統權限申請的流程和原則等內容，更新賬號權限治理工作手冊；二是嚴格落實帳號權限與業務授權工作流程，固化申請變更流程及表單；三是對各地分部設置不同級別的權限，對具有權限審批關鍵流程、查看核心數據的高風險帳號，做好授權許可監督及帳號操作的監控工作。

2.綜合治理

首先，提出對各部門賬號的“基線”要求；其次，在管理上從嚴要求，在總部要求基礎上“嚴上加嚴”；其三，對業務授權許可管理、信息系統帳號實名制（弱口令、僵尸賬號）、帳號權限管理、業務授權許可適應性調整等所有組成部分，有的放矢。

其一，完成覆蓋總部全員的業務授權及帳號權限安全培訓，進一步提升單位人員安全意識；其二，監督檢查，規范各級帳號權限安全管理權限和考核；其三，加強與其他部門的協調配合；其四，加強自身管理及整改，同時向上級獻言獻策。

制定定性、定量指標

定性目標為：從部門及以上單位，確保不出現安全事件；提升單位運行安全內控水平，提高在用信息系統的業務授權和賬號權限的治理工作水平；完成覆蓋全員的業務授權及帳號權限安全培訓，規范帳號權限安全管理；落實單位業務授權許可管理要求，嚴格遵守單位帳號權限申請變更等規范流程，實現業務授權許可管理規范覆蓋單位、系統和人員。

定量目標：全面清理“僵尸帳號”，實現帳號100%“實名制”管理；嚴格落實帳號權限管理要求，確保帳號使用人員權責相符；徹底消除帳號弱口令，確保不因帳號弱口令問題導致系統安全事件。

改進的主要做法

1.明確工作流程

具備明確清晰完備的權限管理工作流程，執行業務授權及賬號權限治理等具體業務流程。部門根據總部要求，成立了權限管理業務制落實領導小組。專門召開了專題會議，組織學習文件,并委派專人參與全過程工作。單位指定專人落實各項工作，及時制定具體落實措施。解決專業界面交叉不明、個人職責模糊不清、管控效率較低等問題。

2.崗位落實及職責分工

制定單位權限治理專業管理職責、業務授權及賬號權限治理工作管理細則。

3.協同機制

信息系統授權許可部門要對賬號申請人員信息進行核實，需信息系統使用部門負責對申請人員賬號信息進行核實，覆蓋財務部、人資部、物資部、營銷部、運檢部等需協同的管理事項,確保賬號注冊信息完整、詳實；同時對于存量帳號也需會同使用部門共同確認帳號使用人員身份信息、崗位職責及操作權限，確保權責相符。

從嚴要求及考核機制

除了各地分部層層把關，單位要求必須要與總部專責進行反饋。如有總部下發的整改清單，對各部門的賬號整改情況進行統計，對重點部門和人員進行了現場檢查和指導。每個月的績效考核中，此項工作作為一項重要的考核扣分項，相比去年，因各項工作落實相對較好，今年所有部門沒有因此項工作扣分。

培訓宣傳

通過定期信息安全培訓，切實提高了單位信息員的信息安全意識和技能，促進了單位信息安全工作的開展。通過網站、郵件方式宣傳，完成了覆蓋全員的業務授權及帳號權限安全宣貫，進一步提升單位人員使用信息系統及數據的安全意識；單位制定賬號的“基線”要求，通過近半年的宣傳，各部門員工對此項工作已經非常理解、配合和落實，未發生投訴并且影響公司業務的情況。

常態化開展，定期總結

常態化開展本項工作，提升單位人員使用信息系統及數據的安全意識,向單位人員提供規范的指導，并每季度進行總結。