数据安全管理办法

精选

应用系统权限及数据管理安全管理办法

第一章总则

【目的】

第一条为了保障在应用系统使用及管理过程中因不安全的操作而导致的数据泄漏、被

盗取等安全事件的发生，特制定本办法。

【适用范围】

第二条本管理办法仅适用于股份公司。

【释义】

第三条本办法所指的应用系统是指用于公司业务运行的业务系统，不包括操作系统类

基础软件及其他工具型软件。

第四条根据《**集团信息安全管理办法》附则《信息资产安全级别定义办法》中所定

义的级别为5的信息资产为公司核心信息资产，级别为3和4的为重要信息资产。

第二章管理办法

第五条应用系统的系统管理员负责帐号、权限管理及系统维护，业务管理员负责数据、

报表、业务流程等业务功能管理。二者应由不同的人员管理。

第六条在系统管理员、业务管理员设立及变更时，应用系统的主管部门负责人应把系

统管理员、业务管理员姓名及联系方式报安全管理岗备案，安全管理岗每三个月按照名单回

访确认。

第七条系统管理员应在员工离职时及时删除其帐号，为了防止遗漏，系统管理员应每

季度末将系统帐号名单导出与人力资源部对账，对人力资源部确认离职的人员检查帐号是否

删除。

第八条系统管理员应在员工岗位职能变更时及时变更其权限，为了防止遗漏，系统管

理员应每季度末将系统帐号名单导出与相关业务部门负责人对账，对相关业务负责人确认岗

位职能变动的的人员检查帐号是否变更。

第九条系统管理员及业务管理员密码每三个月必须变更一次，密码不少于12位，包括

数字、字母、特殊符号。每次变更后业务系统管理员要上报安全管理岗检查，安全管理岗要

将检查结果记录入《业务系统管理权限变更日志》中。如业务系统管理员不按要求进行表更，

安全管理岗要书面通知其主管领导进行处理。

精选

第十条系统管理员应该每天检查系统日志，对发现的非法登录、访问等行为应及时上

报安全管理岗。

第十一条管理帐号及管理权限的增加、删除必须经应用系统主管部门负责人书面批准，

系统管理员应将增加、删除行为书面记录，安全管理岗不定期抽查。

第十二条应用系统数据的变更应通过应用系统的数据变更功能进行数据变更，如必须

在数据库中变更数据，应经过应用系统的主管部门的部门经理审批，重要信息资产及核心信

息资产还须主管副总裁及公司信息安全工作小组负责人审批，由业务管理员及系统维护人员

共同进行。

第十三条如应用系统存储有重要信息资产及核心信息资产，必须使用数字证书认证模

式访问以上数据。

第十四条如违反本办法，按照《**集团信息安全管理办法》相关规定对责任人予以处

罚。

第三章解释

第十五条本办法自发布之日生效。

第十六条本规定解释权归**集团信息技术部。