信息系统用户帐号与角色权限管理流程一、目的碧桂园的信息系统已经在集团下下各公司推广应用，为了确保公司各应用信息系统安全、有序、稳定运行，我们需要对应用信息系统用户帐号和用户权限申请与审批进行规范化管理,特制定本管理规定。 二、适用范围适用于公司应用信息系统和信息服务，包括ERP系统、协同办公系统、各类业务应用系统、电子邮箱及互联网服务、数据管理平台等。三、术语和定义用户：被授权使用或负责维护应用信息系统的人员。用户帐号：在应用信息系统中设置与保存、用于授予用户合法登陆和使用应用信息系统等权限的用户信息，包括用户名、密码以及用户真实姓名、单位、联系方式等基本信息内容。权限：允许用户操作应用信息系统中某功能点或功能点集合的权力范围。角色：应用信息系统中用于描述用户权限特征的权限类别名称。四、用户管理（一）用户分类1. 系统管理员：系统管理员主要负责应用信息系统中的系统参数配置，用户帐号开通与维护管理、设定角色与权限关系，维护公司组织机构代码和物品编码等基础资料。2. 普通用户：指由系统管理员在应用信息系统中创建并授权的非系统管理员类用户，拥有在被授权范围内登陆和使用应用信息系统的权限。（二） 用户角色与权限关系1. 应用信息系统中对用户操作权限的控制是通过建立一套角色与权限对应关系，对用户帐号授予某个角色或多个角色的组合来实现的，一个角色对应一定的权限（即应用信息系统中允许操作某功能点或功能点集合的权力），一个用户帐号可通过被授予多个角色而获得多种操作权限。2. 由于不同的应用信息系统在具体的功能点设计和搭配使用上各不相同，因此对角色的设置以及同样的角色在不同应用信息系统中所匹配的具体权限范围可能存在差异，所以每个应用信息系统都需要在遵循应用信息系统角色与权限设置规范基础上，分别制定适用于本系统的碧桂园应用信息系统角色与权限关系对照表（表样见附表1）。具体详细各系统角色与权限关系表以各系统公布为准。五、用户帐号实名制注册管理(一) 为保证公司应用信息系统的运行安全和对用户提供跟踪服务，各应用信息系统用户帐号的申请注册实行“实名制”管理方式，即在用户帐号申请注册时必须向信息系统管理部门提供用户真实姓名、隶属单位与部门、联系方式等信息。(二) 公司应用信息系统的账户命名方式，默认以申请人的中文姓名拼音全拼为账户名，若姓名拼音重复，账户后面加上两位数字识别。(三) 公司应用信息系统有特别安全等级保护要求的，例如数字证书针对关键和敏感业务操作的用户，在颁发个人数字证书时还须要求提供用户身份证号，并且经过主管部门领导审批和监管部门复核环节的控制。六、用户帐号申请、审批、开通(一) 任何一个用户帐号的申请与开通均必须经过相关部门审批管理流程，并由本部作为最终审批节点，且一个用户在同一个应用信息系统中只能注册和被授予一个用户帐号。(二) 公司各应用信息系统（包括电子邮件和互联网服务）的用户帐号及角色权限的申请开通、注销、密码初始化等帐号管理工作均使用本部统一制定的碧桂园集团公司应用信息系统账号申请表（表样见附表2、3）办理。(三) 应用系统用户帐号、权限申请表包括三部分填写内容：1、申请人资料；2、帐号申请内容；3、审批部门意见以及受理情况。其中1部分申请人资料和2部分帐号申请内容两部分由申请人填写，3部分审批部门意见由其主管部门负责人填写，受理情况由本部跟办人填写。碧桂园集团公司应用信息系统账号申请表具体填写要求见填表说明。(四) 用户权限的申请应严格参照各应用信息系统制定的应用信息系统角色与权限关系对照表中对不同级别和类型用户的角色权限配置要求执行，不得越级或超范围申请，也不能自定义角色名称。(五) 帐号申请有效期默认没有期限，有特别要求的需填写具体有效日期。(六) 用户帐号申请可通过协同办公平台下载表格填写，并通过传真或当面提交方式给本部执行；用户亦可通过协同办公平台电子审批流提交本部执行，有关书面申请表和电子审批流作为帐号审批开通和备案管理的依据。(七) 各应用信息系统的帐号申请一般由该系统的业务（项目）负责人负责审批，审批同意后提交该系统的系统管理员负责开通帐号。对有特别安全等级保护要求的应用信息系统，还需通过监管部门复核审批。(八) 原则上本部系统管理员应在收到应用系统用户帐号、权限申请表后才能进行帐号开通。特殊情况下，可采取事后审查的方式，先开通帐号，但自帐号开通日起超过15日后仍未收到相关申请表或电子申请表的，系统管理员有权对该帐号采取停用措施。七、安全管理（一）帐号安全1. 凡需要使用应用信息系统的用户，每人均须按照“实名制”方式申请一个仅限本人使用的用户帐号。不同用户的用户帐号彼此之间不得随意借用，因某用户帐号的操作而造成应用信息系统中数据信息或任何系统功能等方面的改变或后果，均由拥有该用户帐号的用户负责。2. 如果某用户因工作调动或其它原因而不允许继续使用某应用信息系统时,其隶属的原工作部门应督促和确保该用户离职前及时申请注销相关用户帐号；不论原用户是否知晓或同意，均禁止将其原帐号转交其他人员继续使用。（二）密码安全1. 设置用户密码是用户登陆应用信息系统时身份合法性认证的重要手段，用户密码的设置应尽量复杂化，不易被他人推测，密码长度一般不少于6位，并做到定期更换新密码。密码遗忘时可向系统管理员申请密码初始化修复。2. 若发现帐号密码泄露,用户须立即报告系统管理员及时采取停用帐号措施，并在报告后的24小时内向该信息系统主管部门提交书面报告，说明详细情况，以便系统主管部门协助核查系统内数据和系统运行情况，采取有效补救措施将危害程度降至最低。八、档案管理(一) 集团信息主管部门将每年不定期（至少一次）对各应用信息系统账户、权限、角色列表整理，并与各业务部门进行在职人员用户确认，并将相关确认检查信息记录在碧桂园应用信息系统用户帐号管理年度检查表（表样见附表4），以保障应用系统用户的一致性。(二) 系统应用信息系统用户帐号和角色权限管理工作应建立完善的档案管理制度，以加强用户帐号的申请注册、审批以及密码和权限维护等日常工作管理。档案管理工作由信息主管部门系统账户管理员具体负责，应备案管理的主要档案资料包括：应用系统用户帐号、权限申请表，应用信息系统角色与权限关系对照表，应用系统账户管理年度检查表，以及其他与用户帐号管理相关的重要文件资料和数据存储介质等。附表1： 应用信息系统角色与权限关系对照表 碧桂园应用信息系统角色与权限关系对照表应用信息系统名称： 制定日期：角色操作权限角色 / 文档可自由编辑附表2：碧桂园集团公司应用信息系统帐号申请表（正面） 碧桂园集团公司应用信息系统账号申请表 登记号：申请人情况申请人姓名性别工号申请日期所属公司所属部门职位职级联系电话联系邮箱申请内容申请系统名称申请状态新增 变更 注销申请角色申请公司公司编码公司名称申请原因 审批意见 申请人所在部门负责人意见(签名)部门项目集团跟办情况负责开通人员(签名)完成日期账号申请情况申请系统账号申请状态权限应用信息系统用户帐号申请单填表说明（反面）1 申请人情况1.1姓名：按申请人员工入职证上的姓名填写。1.2联系邮箱和联系电话：是帐号开通过程中系统管理员联系通知申请人帐号名称和密码的主要方式，务必填写正确和清晰。2 申请内容2.1申请系统名称：正确填写需要申请的应用信息系统名称（如：用友NC、明源、公司邮箱等）2.2申请状态：账户和权限的状态新增、变更、注销。2.3申请角色：填写拟申请或变更的角色名称，须参照所申请应用信息系统给出的应用信息系统角色与权限关系对照表中对不同级别和类型用户的角色名称和权限配置标准要求执行，不得越级或超范围申请，也不能自定义角色名称。2.4申请公司：针对用友NC ERP系统对应的公司帐套资料，其他应用系统可以不填。2.4申请原因：用户申请的用途和原因等。3 审核意见3.1负责人签字：由所申请人隶属的部门（项目）负责人审批签字。3.2若应用信息系统要求审批流程需经集团总部终审或复核，需由集团总部业务部门负责人或流程与信息管理部负责人签字确认。4跟办情况4.1负责开通人员签字：由流程与信息管理部负责账户、权限、角色的系统管理员签字，同时该人员须对有关审批意见作有关的校验。4.2账户情况：系统管理员对有关账户、权限、角色操作的记录。5 用户帐号批量申请单4.1用户帐号批量申请单仅用于帐号申请开通和注销，且所申请的批量用户应和申请代理人为同一个单位。帐号开通后，所有申请人的帐号名称和初始密码将统一告知申请代理人转达。附表3：碧桂园集团公司应用信息系统帐号批量申请表（正面） 碧桂园集团公司应用信息系统账号批量申请表 登记号：申请人情况申请人姓名性别工号申请日期所属公司所属部门职位职级联系电话联系邮箱申请权限申请系统申请状态新增 变更 注销申请角色申请公司公司编码公司名称申请原因 审批意见 申请人所在部门负责人意见(签名)部门项目集团跟办情况负责开通人员(签名)完成日期账号申请情况申请系统账号申请状态权限应用信息系统用户帐号批量申请单（反面）序号姓 名部 门职务/职称联系电话帐号名称权限、角色附表4：碧桂园应用信息系统用户帐号管理年度检查表 碧桂园应用信息系统用户帐号管理年度检查表（ 年 月）应用信息系统名称： 登记号申请人单位部门帐号名称权限角色备注