单位信息系统的角色权限整改

发现短板

笔者单位高度重视防范信息泄露安全工作，每季度开展专项检查,确保不出现安全事件。

单位目前下辖仅门户账号有1万余户，业务授权许可及帐号权限具有一定的典型性。存在长期未登录帐号、冗余帐号等大量“僵尸帐号”；帐号弱口令问题易导致信息系统安全事件；部分单位对账号密码设定规则不够清晰明确；各单位账号申请新账号时提供的信息不够完善且各部门之间配合不够紧密。

近年来总部对各级分部的运维管理、安全管理提出了更高的要求，需提升单位运行安全内控水平，提高在运信息系统的业务授权和账号权限的治理工作水平。

分析原因

单位分部账号申请新账号时提供的信息不够完善，对于账号密码设定规则不够清晰明确，未严格要求定期登录门户账号且未定期修改账号密码，且各部门之间配合不够紧密；

未加强对本单位自建系统组织开展账号实名制、账号权限治理工作，以及主机、网络、安全、数据库、中间件等各类设备和系统的弱口令治理。

未有计划的开展本单位信息系统业务授权及帐号权限的培训。

改进思路

1.统一组织开展

单位设立各部门工作组织机构及职责。单位领导指导开展业务授权许可及帐号权限治理；工作组负责落实业务授权许可及帐号权限治理工作等。

根据一体化的管理要求，要求各地分部统一严格执行更为严格的业务授权及帐号权限相关制度：一是收集梳理账号权限有关的文件和材料，汇总总部有关规定，包括各系统权限申请的流程和原则等内容，更新账号权限治理工作手册；二是严格落实帐号权限与业务授权工作流程，固化申请变更流程及表单；三是对各地分部设置不同级别的权限，对具有权限审批关键流程、查看核心数据的高风险帐号，做好授权许可监督及帐号操作的监控工作。

2.综合治理

首先，提出对各部门账号的“基线”要求；其次，在管理上从严要求，在总部要求基础上“严上加严”；其三，对业务授权许可管理、信息系统帐号实名制（弱口令、僵尸账号）、帐号权限管理、业务授权许可适应性调整等所有组成部分，有的放矢。

其一，完成覆盖总部全员的业务授权及帐号权限安全培训，进一步提升单位人员安全意识；其二，监督检查，规范各级帐号权限安全管理权限和考核；其三，加强与其他部门的协调配合；其四，加强自身管理及整改，同时向上级献言献策。

制定定性、定量指标

定性目标为：从部门及以上单位，确保不出现安全事件；提升单位运行安全内控水平，提高在用信息系统的业务授权和账号权限的治理工作水平；完成覆盖全员的业务授权及帐号权限安全培训，规范帐号权限安全管理；落实单位业务授权许可管理要求，严格遵守单位帐号权限申请变更等规范流程，实现业务授权许可管理规范覆盖单位、系统和人员。

定量目标：全面清理“僵尸帐号”，实现帐号100%“实名制”管理；严格落实帐号权限管理要求，确保帐号使用人员权责相符；彻底消除帐号弱口令，确保不因帐号弱口令问题导致系统安全事件。

改进的主要做法

1.明确工作流程

具备明确清晰完备的权限管理工作流程，执行业务授权及账号权限治理等具体业务流程。部门根据总部要求，成立了权限管理业务制落实领导小组。专门召开了专题会议，组织学习文件,并委派专人参与全过程工作。单位指定专人落实各项工作，及时制定具体落实措施。解决专业界面交叉不明、个人职责模糊不清、管控效率较低等问题。

2.岗位落实及职责分工

制定单位权限治理专业管理职责、业务授权及账号权限治理工作管理细则。

3.协同机制

信息系统授权许可部门要对账号申请人员信息进行核实，需信息系统使用部门负责对申请人员账号信息进行核实，覆盖财务部、人资部、物资部、营销部、运检部等需协同的管理事项,确保账号注册信息完整、详实；同时对于存量帐号也需会同使用部门共同确认帐号使用人员身份信息、岗位职责及操作权限，确保权责相符。

从严要求及考核机制

除了各地分部层层把关，单位要求必须要与总部专责进行反馈。如有总部下发的整改清单，对各部门的账号整改情况进行统计，对重点部门和人员进行了现场检查和指导。每个月的绩效考核中，此项工作作为一项重要的考核扣分项，相比去年，因各项工作落实相对较好，今年所有部门没有因此项工作扣分。

培训宣传

通过定期信息安全培训，切实提高了单位信息员的信息安全意识和技能，促进了单位信息安全工作的开展。通过网站、邮件方式宣传，完成了覆盖全员的业务授权及帐号权限安全宣贯，进一步提升单位人员使用信息系统及数据的安全意识；单位制定账号的“基线”要求，通过近半年的宣传，各部门员工对此项工作已经非常理解、配合和落实，未发生投诉并且影响公司业务的情况。

常态化开展，定期总结

常态化开展本项工作，提升单位人员使用信息系统及数据的安全意识,向单位人员提供规范的指导，并每季度进行总结。