为实现公司级应用系统“统一运维、统一需求管理”的工作目标,规范公司级应用系统用户及权限的统一管理,对各系统用户及权限进行有效、合理、统一的管理控制,降低用户及权限管理给应用系统带来的风险,保障各应用系统安全稳定运行,公司信息中心于2014年9月分批完成了44个省级应用系统的管理员权限收回工作;管理权限收回后,各应用系统的组织机构调整,人员账号权限增、删、改等管理操作均由信息中心应用技术部进行统一的管理。
统一前:多种方式并存
权限对于信息系统的安全而言至关重要。给用户开通不同的权限,用户就能在系统进行不同的操作。因此,权限管理是应用系统上线后系统运维管理的一个重要工作内容。系统权限管理涉及到用户管理、角色管理、权限对象管理、权限分配管理、内控互斥检查等。系统上线后能安全、高效运行的前提是权限运维必须规范,即用户管理规范、授权管理清晰,最终用户的权限设置符合内控部制规范。否则,将产生直接负面影响,轻者业务工作人员无法正常开展业务,重者会导致企业应用系统管理混乱、业务停滞、信息数据泄密,给企业和公司带来损失。可以说,规范的系统权限管理和有力的管控是保证系统安全运行和数据保密的必要手段。所以,构建高效的权限管控体系,规范的授权业务流程和统一的运维方式是保证系统安全、高效和数据保密的重中之重。
目前,云南电网公司正在使用的省级应用系统多达数十个,通过前期梳理与调研,我们发现系统缺乏统一的管控,没有统一的权限管理标准流程和制度。应用系统用户账号的申请及权限配置的上报途径主要有以下两种方式:一是用户通过信息中心呼叫中心1000号运维电话上报用户及权限变更申请(如协同办公系统);二是各应用系统运维单位按需分配系统管理员账号给各使用单位,各系统使用单位管理员根据单位需要对一般用户账号及权限进行配置(如人力资源管理系统)。三是直接联系对应系统的运维单位,由运维单位应用系统管理员进行处理。这种管理方式的弊端是同一系统权限变更出现了多种方式并存的现象,造成了应用系统管理员冗余,职责分配不清晰,缺乏合规性审查等等安全性问题。
统一后:管理有理、有据
针对这些现象和问题,公司信息中心收回大部分应用系统的管理员权限。今后,公司信息中心将作为省级业务系统权限管理的主体,负责对省级应用系统账号权限进行统一管理,对集中管理的省级应用系统的账号权限进行配置;各供电局由公司信息中心授权负责分级管理的省级应用系统,并定期形成应用系统权限管理台账月报进行备案。
建立健全企业权限管理规章制度。实际上,我们不可能完全通过技术手段来进行权限的维护, 还需要建立起相应的规章制度,理顺、理清权限申请和授权的工作流程,以此来规范和约束权限管理,做到管理有理、有据、流程化、规范化,减少用户和管理员在权限申请和授权过程中主观意识的负面作用,使授权工作过程可控、授权结果合规。
信息中心应用技术部成立了权限管理小组,依照省级应用系统权限变更工作方案对权限变更进行统一管理,用户账号的申请需经过1000号上报,经由ITSM管理流程进行审核实施处理,从而对用户在权限申请和管理授权流程上进行规范和指导。
未来:构建清晰的管理体系
如何才能快速、高效地解决企业权限管理混乱的现状?答案无疑是系统用户账号和权限申请及分配必须按照“权限管理员分配权限”的原则进行。
事实上,企业不断追求人力资源最小化,一人拥有整个系统权限的情况是存在的,但这种管理方式往往是造成人员职责交叉,权限设置混乱。因此,如果没有清晰的管理员职责体系,就无法合理划分各个管理员的职责分工,无法保障管理员在工作岗位职责划分合理、合规,符合内部控制规范。最终会出现两种结果,一是为了符合内控规定,管理员授予用户的业务处理权限无法满足用户需求,导致企业生产经营停滞和业务中断;二是为了能维持企业生产经营和业务流程正常进行,用户就会无约束的申请权限,而管理员也无约束的给用户授权,最终导致用户权限分配失控。因此在系统中建立起合理、清晰管理员职责体系对于解决应用系统权限管理混乱的情况是非常重要的。权限统一分配后,信息中心权限管理管理员,只进行权限变更管理,规避应用系统业务变更的操作,与业务管理员各司其职,两者相对分离,减少职责交叉。
清晰的管理体系还需强化人事、业务以及信息管理部门的沟通协调,畅通用户信息反馈渠道。岗位、职责、权限三者之间的关系是环环相扣的,人员岗位变动引起职责变化,职责变化就意味着权限需要调整。反过来,用户权限调整了就意味着他的岗位和职责发生了变化。这是因为应用系统用户账号与用户实际岗位和职责是绑定的,用户的岗位和业务职责决定了其账号在系统中应分配的角色和权限。人事岗位调整和分工是由人事管理部门具体审核批准权,业务部门只有建议权,没有处理权,而信息部门只具有操作权。所以在这种情况下,业务部门、人事管理部门和信息管理部门需要建立起有效的沟通协调体系。在出现用户权限申请和授权时,要求申请人有相应业务部门、人事部门的盖章批准及相应信息管理部门/信息中心审核,从而在此层面上,实现业务、人事、信息管理部门的信息反馈机制。一方面人事部门可以及时协调处理人事岗位、职责调整的信息反馈,形成畅通的人事信息反馈机制,当有人员岗位和职责分工调整的情况时,人事管理部门可以及时将相关信息反馈到业务部门和权限管理部门,以便业务部门和信息管理部门能迅速作出反应,从而及时注销应该注销的用户,变更该变更的业务权限,删除该删除的权限,保证系统运营风险最小化;另一方面人事部门与业务部门可以通过有效的沟通系统,不断梳理、调整、优化部门岗位设置和人员职分工,达到合理分配人力资源。
此外,定期开展应用系统管理员账号及用户账号的梳理是必不可少的一环。应用用户及管理员账号管理是权限管理工作中最基础的工作,因为没有用户账号,根本就不用考虑该业务人员岗位职责是否互相冲突,业务处理权限是否互斥。所以要做好应用权限管理工作,保证管理程序上清晰、规范,首先就要做好账号管理的规范,因此按照应用内部控制规范,定期开展应用系统管理员账号梳理。这样做可以取得两个方面的好处,一是可以及时关闭和撤销不再需要的管理员、用户账号,降低管理员、用户账号的闲置率,有效提升账号利用率,减少企业因为存在大量闲置账号而承担不必要的风险;二是可以及时清理出存在权限互斥的账号,及时向业务部门反馈,并及时处理,将应用系统内控管理要求落实在日常管理中。
可见,优化应用系统权限管理,是提升管控力的有效途径,只有合理分配用户操作权限和限制用户操作范围,才能保证系统的安全性,数据的完整性。(云南电网公司信息中心 张冠豫)
统一前:多种方式并存
权限对于信息系统的安全而言至关重要。给用户开通不同的权限,用户就能在系统进行不同的操作。因此,权限管理是应用系统上线后系统运维管理的一个重要工作内容。系统权限管理涉及到用户管理、角色管理、权限对象管理、权限分配管理、内控互斥检查等。系统上线后能安全、高效运行的前提是权限运维必须规范,即用户管理规范、授权管理清晰,最终用户的权限设置符合内控部制规范。否则,将产生直接负面影响,轻者业务工作人员无法正常开展业务,重者会导致企业应用系统管理混乱、业务停滞、信息数据泄密,给企业和公司带来损失。可以说,规范的系统权限管理和有力的管控是保证系统安全运行和数据保密的必要手段。所以,构建高效的权限管控体系,规范的授权业务流程和统一的运维方式是保证系统安全、高效和数据保密的重中之重。
目前,云南电网公司正在使用的省级应用系统多达数十个,通过前期梳理与调研,我们发现系统缺乏统一的管控,没有统一的权限管理标准流程和制度。应用系统用户账号的申请及权限配置的上报途径主要有以下两种方式:一是用户通过信息中心呼叫中心1000号运维电话上报用户及权限变更申请(如协同办公系统);二是各应用系统运维单位按需分配系统管理员账号给各使用单位,各系统使用单位管理员根据单位需要对一般用户账号及权限进行配置(如人力资源管理系统)。三是直接联系对应系统的运维单位,由运维单位应用系统管理员进行处理。这种管理方式的弊端是同一系统权限变更出现了多种方式并存的现象,造成了应用系统管理员冗余,职责分配不清晰,缺乏合规性审查等等安全性问题。
统一后:管理有理、有据
针对这些现象和问题,公司信息中心收回大部分应用系统的管理员权限。今后,公司信息中心将作为省级业务系统权限管理的主体,负责对省级应用系统账号权限进行统一管理,对集中管理的省级应用系统的账号权限进行配置;各供电局由公司信息中心授权负责分级管理的省级应用系统,并定期形成应用系统权限管理台账月报进行备案。
建立健全企业权限管理规章制度。实际上,我们不可能完全通过技术手段来进行权限的维护, 还需要建立起相应的规章制度,理顺、理清权限申请和授权的工作流程,以此来规范和约束权限管理,做到管理有理、有据、流程化、规范化,减少用户和管理员在权限申请和授权过程中主观意识的负面作用,使授权工作过程可控、授权结果合规。
信息中心应用技术部成立了权限管理小组,依照省级应用系统权限变更工作方案对权限变更进行统一管理,用户账号的申请需经过1000号上报,经由ITSM管理流程进行审核实施处理,从而对用户在权限申请和管理授权流程上进行规范和指导。
未来:构建清晰的管理体系
如何才能快速、高效地解决企业权限管理混乱的现状?答案无疑是系统用户账号和权限申请及分配必须按照“权限管理员分配权限”的原则进行。
事实上,企业不断追求人力资源最小化,一人拥有整个系统权限的情况是存在的,但这种管理方式往往是造成人员职责交叉,权限设置混乱。因此,如果没有清晰的管理员职责体系,就无法合理划分各个管理员的职责分工,无法保障管理员在工作岗位职责划分合理、合规,符合内部控制规范。最终会出现两种结果,一是为了符合内控规定,管理员授予用户的业务处理权限无法满足用户需求,导致企业生产经营停滞和业务中断;二是为了能维持企业生产经营和业务流程正常进行,用户就会无约束的申请权限,而管理员也无约束的给用户授权,最终导致用户权限分配失控。因此在系统中建立起合理、清晰管理员职责体系对于解决应用系统权限管理混乱的情况是非常重要的。权限统一分配后,信息中心权限管理管理员,只进行权限变更管理,规避应用系统业务变更的操作,与业务管理员各司其职,两者相对分离,减少职责交叉。
清晰的管理体系还需强化人事、业务以及信息管理部门的沟通协调,畅通用户信息反馈渠道。岗位、职责、权限三者之间的关系是环环相扣的,人员岗位变动引起职责变化,职责变化就意味着权限需要调整。反过来,用户权限调整了就意味着他的岗位和职责发生了变化。这是因为应用系统用户账号与用户实际岗位和职责是绑定的,用户的岗位和业务职责决定了其账号在系统中应分配的角色和权限。人事岗位调整和分工是由人事管理部门具体审核批准权,业务部门只有建议权,没有处理权,而信息部门只具有操作权。所以在这种情况下,业务部门、人事管理部门和信息管理部门需要建立起有效的沟通协调体系。在出现用户权限申请和授权时,要求申请人有相应业务部门、人事部门的盖章批准及相应信息管理部门/信息中心审核,从而在此层面上,实现业务、人事、信息管理部门的信息反馈机制。一方面人事部门可以及时协调处理人事岗位、职责调整的信息反馈,形成畅通的人事信息反馈机制,当有人员岗位和职责分工调整的情况时,人事管理部门可以及时将相关信息反馈到业务部门和权限管理部门,以便业务部门和信息管理部门能迅速作出反应,从而及时注销应该注销的用户,变更该变更的业务权限,删除该删除的权限,保证系统运营风险最小化;另一方面人事部门与业务部门可以通过有效的沟通系统,不断梳理、调整、优化部门岗位设置和人员职分工,达到合理分配人力资源。
此外,定期开展应用系统管理员账号及用户账号的梳理是必不可少的一环。应用用户及管理员账号管理是权限管理工作中最基础的工作,因为没有用户账号,根本就不用考虑该业务人员岗位职责是否互相冲突,业务处理权限是否互斥。所以要做好应用权限管理工作,保证管理程序上清晰、规范,首先就要做好账号管理的规范,因此按照应用内部控制规范,定期开展应用系统管理员账号梳理。这样做可以取得两个方面的好处,一是可以及时关闭和撤销不再需要的管理员、用户账号,降低管理员、用户账号的闲置率,有效提升账号利用率,减少企业因为存在大量闲置账号而承担不必要的风险;二是可以及时清理出存在权限互斥的账号,及时向业务部门反馈,并及时处理,将应用系统内控管理要求落实在日常管理中。
可见,优化应用系统权限管理,是提升管控力的有效途径,只有合理分配用户操作权限和限制用户操作范围,才能保证系统的安全性,数据的完整性。(云南电网公司信息中心 张冠豫)