附件6： 中国太平洋保险（集团）股份有限公司 信息系统账号权限管理细则 第一章总则 第一条为落实《信息系统用户管理办法》的要求，有效加强集 团信息系统用户权限的统一管理和内控，提升公司防范和控制用户权 限风险管理的能力，在总结集团公司及产、寿险公司现有的成果经 验基础上，形成了本管理细则。 第二条公司应用系统用户权限管理遵循主管负责制、集中管 理、授权标准化、最小化权限、定期审阅、统一访问控制的原则，杜 绝或减少用户随意申请权限、人员状态变化权限未响应调整的情况， 提高系统内用户权限管控能力。 第三条用户账号权限管理是建立一套信息系统“用户一角色一 访问权限”的管理机制，对信息系统用户的新增、角色变动、离司离 岗等的变化进行管理，并定期或不定期的对在职人员和离司离岗人员 的用户权限进行检查、清理以及通报。 第四条本管理细则所指的系统，范围为全司各级机构在日常管 理和作业过程中所使用的各类集团所属应用系统的总和。 第五条本管理细则适用于集团公司。 第六条集团公司信息安全与内控管理部负责制定、完善、推 动、解释本细则，并监督、检查和监控各机构对本规则的实施情况。 -1- 第七条如需申请本办法的例外条款，需按照《信息安全制度管 第二章用户账号权限管理基本要求 第八条主管负责制原则 用户所在部门或机构对账号与权限创建分配的必要性、真实 性、有效性负责，未经主管批准禁止在该系统创建账号和分配权限； 将用户账号权限管理纳人本部门或机构的工作体系，须根据业务实际 情况，用各种方式保证及时授予、调整、撤销机构内人员账号权限， 并定期、不定期对机构内人员账号权限进行回顾，避免遗漏。各应用 系统业务归属部门应对其系统内相关权限的授权标准、分级审批的策 略负责。 第九条用户管理 （一）本管理细则所指的用户范围为所有需要登录集团公司所属 应用系统的人员总和，包括内部员工和外部人员； （二）本管理细则所指的角色范围为集团所属应用系统中所有角 色的总和； （三）集团公司内部员工是指以个人身份和集团公司签订正式劳 动合同，入职、转岗和离职由集团公司人力资源部集中管理的人员， 及在公司人力资源部正式注册的劳务派遣人员； （四）外部人员是没有以个人身份和集团公司签订正式劳动合同 的人员。外部人员主要包括：在公司办公地点上班的驻点外包人员、 不在公司上班的代理机构等外部合作伙伴、外部监管部门人员、退休 返聘人员、使用公司电子商务系统的外部客户等； - 2 - （五）集团公司内部员工的入职、转岗和离职信息由集团公司人 力资源部负责集中管理和统一发布给用户所属部门，并确保信息的完 整性、准确性和发布及时性； （六）集团公司外部人员的人职、转岗和离职信息由外部人员所 属部门负责集中管理和统一发布，并确保信息的完整性、准确性和发 布及时性。该部门授权申请人作为担保人，负责此类用户账号权限的 创建、变更和撤销的申请。 第十条账号管理 （一）SBU人员、轮岗人员申请应用系统账号权限时，账号权 限应根据实际工作需要设定有效期。有效期原则不超过1年。 （二）用户审计、合规检查的账号应遵循使用时间最小化原则， 账号有效期原则不超过3个月。原则上只授予查询权限，如需继续使 用须重新申请，外审人员不应开设应用系统账号。 （三）3个月以上不在岗位的待岗人员，其所用的应用系统账号 须进行挂起或注销，回归岗位后根据实际情况重新申请。 （四）应用系统账号分为高权限账号及普通账号，其中： 1.高权限账号包括：具有应用系统的参数变更、功能配置、及所 有业务操作权限的账号，即 admin 或 super admin 等应用系统管理 员账号；可对应用系统中普通账号、角色及权限进行维护操作的账 号。 2.普通账号为高权限账号以外的所有应用系统账号 （五）应用系统中高权限账号须由应用系统业务归属部门审批授 权，并应由管理员负责维护，严禁未经许可给予他人使用。在遵守公 司账号口令管理规范的基础上，每个月定期修改密码。 -3- （六）驻点外包人员账号权限有效期不应超过合同约定服务时 间，有效期不超过1年，如需继续使用须重新申请。 （七）对于部分因系统接口原因在系统中预设的用户账号，应对 接口程序、脚本或相关设置进行加密或实施访问控制，以防止未经授 权的访问。该类账号须纳入定期审阅机制中； （八）账号的命名规则及口令设置参考《信息系统用户管理办 法》的相关要求。 第十一条集中管理原则 所有公司管理的应用系统的所有用户账号权限都纳人专员的统一 管理。原则上，各应用系统账号权限设置操作须由专员确认后方可被 受理，其他非专员提交的申请将不予受理。 第十二条授权申请人、审核人、账号权限管理专员、账号权限 维护操作员及其职责： （一）集团公司信息安全与内控部设置账号权限管理专员岗位， 集团公司各部门或机构设置授权申请人一位； （二）集团公司各部门或机构授权申请人负责对本部门人员的账 号权限的新增、变更和注销申请进行资格初审、记录及统一发起，并 由部门负责人审批；应用系统业务归属部门根据分级审批的策略，对 升级申请进行审批； （三）账号权限管理专员负责对集团公司内部人员账号权限申请 在签字是否完整、系统是否可以设置等层面进行检查，通过各种可能 的方式转发至账号权限设置人员进行设置操作。账号权限管理专员负 责将申请单进行归档保存，建立专员授权范围内系统的用户、账号、 角色、访问权限的矩阵台账，包括：人员主-从账号关联关系、角色 和访问权限的授权关系情况等。账号权限管理专员负责受理集团公司 -4- 用户使用子公司应用系统账号的申请，并负责对授权相关信息进行定 期或不定期的统计； （四）账号权限设置人员负责集团公司所属应用系统账号权限 增、删、改等维护职能，只接受账号权限管理专员通过既定的方式确 认后的操作申请，如有例外，需要账号权限管理专员事后进行补偿性 检查确认，以确保账号权限设置人员进行设置操作经过审核并有记 录。现阶段集团公司账号权限设置人员由集团公司信息技术中心和相 关业务部门分别担任； （五）各部门机构授权申请人，各应用系统账号权限设置人员， 账号权限管理专员等岗位上有人员变更时，须及时通报账号权限管理 专员，并由其通过各种可能的方式通告大家。 第三章权限管理的标准化 第十三条授权标准化原则 核心应用系统的授权须采用标准化管理，建立授权矩阵。即人员 账号对应角色，角色对应操作功能及访问权限。 第十四条最小化权限原则 用户所在部门主管须根据岗位职责、业务实际需要分配权限，严 格禁止权限滥用。 第十五条授权标准是公司对应用系统用户（使用人员）开展常 规业务活动权限的规定，包括： （一）归属机构及部门; （二）角色及职级：在标准化作业流程中，承担某一类相同或类 似的工作的人员可以归为同一个角色，一般一个角色对应数个系统权 限的组合； 5 （三）冲突角色：明确列明互相不可兼任的角色，在用户申请角 色时进行提示，在实施授权时进行限制； （四）由业务部门负责制定“角色-权限”的权限矩阵，合规部 门负责制定岗位职责不相容矩阵，由账号权限集中管理团队负责维护 权限矩阵及不相容矩阵； （五）任职资格：对部分有任职资格要求的角色，要注明相应的 任职资格要求，包括学历、专业资质、从业年限或经过的专业培训经 历等。如须通过公司相关专业考试的，也应标明等级要求。以上将作 为用户授权申请时所须提供的资料，也是授权审核和管理的依据； （六）应用系统：用户所需要使用到的业务系统； （七）模块及功能项：各类作业的标准化业务流程过程需要在系 统中使用到的功能； （八）数据范围：是各类作业过程中需要用的数据范围总和，包 括且不限于集团公司、子公司、分公司、部门组、部门、科室； （九）其他标准事项。 第十六条各角色均有唯一对应的集团公司归属部门，即应用系 统业务归属部门。 第十七条集团公司应用系统业务归属部门负责发起角色和授权 标准的制定和变更，以及新的授权标准对全司条线内用户的宣导。 第十八条集团公司信息技术中心负责角色和权限标准版本维护 和定期发布。角色或系统权限变动的部门向集团公司信息技术中心提 交用户部门领导签署后的《角色及权限变动申请书》，如授权标准的 调整涉及到已有用户的权限调整，用户部门在《角色及权限变动申请 书》中须明确已有用户的权限调整方案、完成全司宣导和进行授权调 整的时间窗口，集团公司信息技术中心再进行已有用户的权限调整。 - 6- 如分支机构有对角色授权标准的建议，应向总公司归口管理部门提出 申请，总公司管理部门审核同意后，再由该部门向集团公司信息技术 中心提出申请。 第十九条为降低重复定义带来的授权维护的工作量，将作业权 限相对一致、对应有多个部门用户且仅限查询功能的角色，定义为 “公共角色”。 第二十条各级机构用户设置，亦要遵循公司人力资源建设的相 关规范。根据工作需要，同一职位的人员，可分配其一个或多个角 色：同一角色也可分配给不同职位的人员。但互为冲突、不兼容的鱼 色不可授予同一用户。 第二十一条根据以下情形，可以相应调整角色和权限标准： （一）公司标准化作业流程有所调整； （二）业务应用系统功能有所改造； （三）某一角色所对应的专业资质要求有所改变; （四）依据风险合规新的要求，不兼容角色有新的变化； （五）角色所归口的管理部门有所变动； （六）其他须对角色和权限标准做出变动的事项。 第二十二条，为支持业务应用系统功能改造而引起的角色和权限 标准的改变，在集团公司信息技术中心发布系统程序的更新版本之 前，将本次变动的内容中会引起新的模块或功能项变化的申请流转至 用户部门，由用户部门确认是否需要授权变动和授权调整并提出意 见，用户部门同意后，新