云南電網(wǎng)公司加強省級應用系統(tǒng)權限的統(tǒng)一管理
為實現(xiàn)公司級應用系統(tǒng)統(tǒng)一運維、統(tǒng)一需求管理的工作目標,規(guī)范公司級應用系統(tǒng)用戶及權限的統(tǒng)一管理,對各系統(tǒng)用戶及權限進行有效、合理、統(tǒng)一的管理控制,降低用戶及權限管理給應用系統(tǒng)帶來的風險,保障各應用系
為實現(xiàn)公司級應用系統(tǒng)“統(tǒng)一運維、統(tǒng)一需求管理”的工作目標,規(guī)范公司級應用系統(tǒng)用戶及權限的統(tǒng)一管理,對各系統(tǒng)用戶及權限進行有效、合理、統(tǒng)一的管理控制,降低用戶及權限管理給應用系統(tǒng)帶來的風險,保障各應用系統(tǒng)安全穩(wěn)定運行,公司信息中心于2014年9月分批完成了44個省級應用系統(tǒng)的管理員權限收回工作;管理權限收回后,各應用系統(tǒng)的組織機構調(diào)整,人員賬號權限增、刪、改等管理操作均由信息中心應用技術部進行統(tǒng)一的管理。
統(tǒng)一前:多種方式并存
權限對于信息系統(tǒng)的安全而言至關重要。給用戶開通不同的權限,用戶就能在系統(tǒng)進行不同的操作。因此,權限管理是應用系統(tǒng)上線后系統(tǒng)運維管理的一個重要工作內(nèi)容。系統(tǒng)權限管理涉及到用戶管理、角色管理、權限對象管理、權限分配管理、內(nèi)控互斥檢查等。系統(tǒng)上線后能安全、高效運行的前提是權限運維必須規(guī)范,即用戶管理規(guī)范、授權管理清晰,最終用戶的權限設置符合內(nèi)控部制規(guī)范。否則,將產(chǎn)生直接負面影響,輕者業(yè)務工作人員無法正常開展業(yè)務,重者會導致企業(yè)應用系統(tǒng)管理混亂、業(yè)務停滯、信息數(shù)據(jù)泄密,給企業(yè)和公司帶來損失。可以說,規(guī)范的系統(tǒng)權限管理和有力的管控是保證系統(tǒng)安全運行和數(shù)據(jù)保密的必要手段。所以,構建高效的權限管控體系,規(guī)范的授權業(yè)務流程和統(tǒng)一的運維方式是保證系統(tǒng)安全、高效和數(shù)據(jù)保密的重中之重。
目前,云南電網(wǎng)公司正在使用的省級應用系統(tǒng)多達數(shù)十個,通過前期梳理與調(diào)研,我們發(fā)現(xiàn)系統(tǒng)缺乏統(tǒng)一的管控,沒有統(tǒng)一的權限管理標準流程和制度。應用系統(tǒng)用戶賬號的申請及權限配置的上報途徑主要有以下兩種方式:一是用戶通過信息中心呼叫中心1000號運維電話上報用戶及權限變更申請(如協(xié)同辦公系統(tǒng));二是各應用系統(tǒng)運維單位按需分配系統(tǒng)管理員賬號給各使用單位,各系統(tǒng)使用單位管理員根據(jù)單位需要對一般用戶賬號及權限進行配置(如人力資源管理系統(tǒng))。三是直接聯(lián)系對應系統(tǒng)的運維單位,由運維單位應用系統(tǒng)管理員進行處理。這種管理方式的弊端是同一系統(tǒng)權限變更出現(xiàn)了多種方式并存的現(xiàn)象,造成了應用系統(tǒng)管理員冗余,職責分配不清晰,缺乏合規(guī)性審查等等安全性問題。
統(tǒng)一后:管理有理、有據(jù)
針對這些現(xiàn)象和問題,公司信息中心收回大部分應用系統(tǒng)的管理員權限。今后,公司信息中心將作為省級業(yè)務系統(tǒng)權限管理的主體,負責對省級應用系統(tǒng)賬號權限進行統(tǒng)一管理,對集中管理的省級應用系統(tǒng)的賬號權限進行配置;各供電局由公司信息中心授權負責分級管理的省級應用系統(tǒng),并定期形成應用系統(tǒng)權限管理臺賬月報進行備案。
建立健全企業(yè)權限管理規(guī)章制度。實際上,我們不可能完全通過技術手段來進行權限的維護, 還需要建立起相應的規(guī)章制度,理順、理清權限申請和授權的工作流程,以此來規(guī)范和約束權限管理,做到管理有理、有據(jù)、流程化、規(guī)范化,減少用戶和管理員在權限申請和授權過程中主觀意識的負面作用,使授權工作過程可控、授權結果合規(guī)。
信息中心應用技術部成立了權限管理小組,依照省級應用系統(tǒng)權限變更工作方案對權限變更進行統(tǒng)一管理,用戶賬號的申請需經(jīng)過1000號上報,經(jīng)由ITSM管理流程進行審核實施處理,從而對用戶在權限申請和管理授權流程上進行規(guī)范和指導。
未來:構建清晰的管理體系
如何才能快速、高效地解決企業(yè)權限管理混亂的現(xiàn)狀?答案無疑是系統(tǒng)用戶賬號和權限申請及分配必須按照“權限管理員分配權限”的原則進行。
事實上,企業(yè)不斷追求人力資源最小化,一人擁有整個系統(tǒng)權限的情況是存在的,但這種管理方式往往是造成人員職責交叉,權限設置混亂。因此,如果沒有清晰的管理員職責體系,就無法合理劃分各個管理員的職責分工,無法保障管理員在工作崗位職責劃分合理、合規(guī),符合內(nèi)部控制規(guī)范。最終會出現(xiàn)兩種結果,一是為了符合內(nèi)控規(guī)定,管理員授予用戶的業(yè)務處理權限無法滿足用戶需求,導致企業(yè)生產(chǎn)經(jīng)營停滯和業(yè)務中斷;二是為了能維持企業(yè)生產(chǎn)經(jīng)營和業(yè)務流程正常進行,用戶就會無約束的申請權限,而管理員也無約束的給用戶授權,最終導致用戶權限分配失控。因此在系統(tǒng)中建立起合理、清晰管理員職責體系對于解決應用系統(tǒng)權限管理混亂的情況是非常重要的。權限統(tǒng)一分配后,信息中心權限管理管理員,只進行權限變更管理,規(guī)避應用系統(tǒng)業(yè)務變更的操作,與業(yè)務管理員各司其職,兩者相對分離,減少職責交叉。
清晰的管理體系還需強化人事、業(yè)務以及信息管理部門的溝通協(xié)調(diào),暢通用戶信息反饋渠道。崗位、職責、權限三者之間的關系是環(huán)環(huán)相扣的,人員崗位變動引起職責變化,職責變化就意味著權限需要調(diào)整。反過來,用戶權限調(diào)整了就意味著他的崗位和職責發(fā)生了變化。這是因為應用系統(tǒng)用戶賬號與用戶實際崗位和職責是綁定的,用戶的崗位和業(yè)務職責決定了其賬號在系統(tǒng)中應分配的角色和權限。人事崗位調(diào)整和分工是由人事管理部門具體審核批準權,業(yè)務部門只有建議權,沒有處理權,而信息部門只具有操作權。所以在這種情況下,業(yè)務部門、人事管理部門和信息管理部門需要建立起有效的溝通協(xié)調(diào)體系。在出現(xiàn)用戶權限申請和授權時,要求申請人有相應業(yè)務部門、人事部門的蓋章批準及相應信息管理部門/信息中心審核,從而在此層面上,實現(xiàn)業(yè)務、人事、信息管理部門的信息反饋機制。一方面人事部門可以及時協(xié)調(diào)處理人事崗位、職責調(diào)整的信息反饋,形成暢通的人事信息反饋機制,當有人員崗位和職責分工調(diào)整的情況時,人事管理部門可以及時將相關信息反饋到業(yè)務部門和權限管理部門,以便業(yè)務部門和信息管理部門能迅速作出反應,從而及時注銷應該注銷的用戶,變更該變更的業(yè)務權限,刪除該刪除的權限,保證系統(tǒng)運營風險最小化;另一方面人事部門與業(yè)務部門可以通過有效的溝通系統(tǒng),不斷梳理、調(diào)整、優(yōu)化部門崗位設置和人員職分工,達到合理分配人力資源。
此外,定期開展應用系統(tǒng)管理員賬號及用戶賬號的梳理是必不可少的一環(huán)。應用用戶及管理員賬號管理是權限管理工作中最基礎的工作,因為沒有用戶賬號,根本就不用考慮該業(yè)務人員崗位職責是否互相沖突,業(yè)務處理權限是否互斥。所以要做好應用權限管理工作,保證管理程序上清晰、規(guī)范,首先就要做好賬號管理的規(guī)范,因此按照應用內(nèi)部控制規(guī)范,定期開展應用系統(tǒng)管理員賬號梳理。這樣做可以取得兩個方面的好處,一是可以及時關閉和撤銷不再需要的管理員、用戶賬號,降低管理員、用戶賬號的閑置率,有效提升賬號利用率,減少企業(yè)因為存在大量閑置賬號而承擔不必要的風險;二是可以及時清理出存在權限互斥的賬號,及時向業(yè)務部門反饋,并及時處理,將應用系統(tǒng)內(nèi)控管理要求落實在日常管理中。
可見,優(yōu)化應用系統(tǒng)權限管理,是提升管控力的有效途徑,只有合理分配用戶操作權限和限制用戶操作范圍,才能保證系統(tǒng)的安全性,數(shù)據(jù)的完整性。(云南電網(wǎng)公司信息中心 張冠豫)
統(tǒng)一前:多種方式并存
權限對于信息系統(tǒng)的安全而言至關重要。給用戶開通不同的權限,用戶就能在系統(tǒng)進行不同的操作。因此,權限管理是應用系統(tǒng)上線后系統(tǒng)運維管理的一個重要工作內(nèi)容。系統(tǒng)權限管理涉及到用戶管理、角色管理、權限對象管理、權限分配管理、內(nèi)控互斥檢查等。系統(tǒng)上線后能安全、高效運行的前提是權限運維必須規(guī)范,即用戶管理規(guī)范、授權管理清晰,最終用戶的權限設置符合內(nèi)控部制規(guī)范。否則,將產(chǎn)生直接負面影響,輕者業(yè)務工作人員無法正常開展業(yè)務,重者會導致企業(yè)應用系統(tǒng)管理混亂、業(yè)務停滯、信息數(shù)據(jù)泄密,給企業(yè)和公司帶來損失。可以說,規(guī)范的系統(tǒng)權限管理和有力的管控是保證系統(tǒng)安全運行和數(shù)據(jù)保密的必要手段。所以,構建高效的權限管控體系,規(guī)范的授權業(yè)務流程和統(tǒng)一的運維方式是保證系統(tǒng)安全、高效和數(shù)據(jù)保密的重中之重。
目前,云南電網(wǎng)公司正在使用的省級應用系統(tǒng)多達數(shù)十個,通過前期梳理與調(diào)研,我們發(fā)現(xiàn)系統(tǒng)缺乏統(tǒng)一的管控,沒有統(tǒng)一的權限管理標準流程和制度。應用系統(tǒng)用戶賬號的申請及權限配置的上報途徑主要有以下兩種方式:一是用戶通過信息中心呼叫中心1000號運維電話上報用戶及權限變更申請(如協(xié)同辦公系統(tǒng));二是各應用系統(tǒng)運維單位按需分配系統(tǒng)管理員賬號給各使用單位,各系統(tǒng)使用單位管理員根據(jù)單位需要對一般用戶賬號及權限進行配置(如人力資源管理系統(tǒng))。三是直接聯(lián)系對應系統(tǒng)的運維單位,由運維單位應用系統(tǒng)管理員進行處理。這種管理方式的弊端是同一系統(tǒng)權限變更出現(xiàn)了多種方式并存的現(xiàn)象,造成了應用系統(tǒng)管理員冗余,職責分配不清晰,缺乏合規(guī)性審查等等安全性問題。
統(tǒng)一后:管理有理、有據(jù)
針對這些現(xiàn)象和問題,公司信息中心收回大部分應用系統(tǒng)的管理員權限。今后,公司信息中心將作為省級業(yè)務系統(tǒng)權限管理的主體,負責對省級應用系統(tǒng)賬號權限進行統(tǒng)一管理,對集中管理的省級應用系統(tǒng)的賬號權限進行配置;各供電局由公司信息中心授權負責分級管理的省級應用系統(tǒng),并定期形成應用系統(tǒng)權限管理臺賬月報進行備案。
建立健全企業(yè)權限管理規(guī)章制度。實際上,我們不可能完全通過技術手段來進行權限的維護, 還需要建立起相應的規(guī)章制度,理順、理清權限申請和授權的工作流程,以此來規(guī)范和約束權限管理,做到管理有理、有據(jù)、流程化、規(guī)范化,減少用戶和管理員在權限申請和授權過程中主觀意識的負面作用,使授權工作過程可控、授權結果合規(guī)。
信息中心應用技術部成立了權限管理小組,依照省級應用系統(tǒng)權限變更工作方案對權限變更進行統(tǒng)一管理,用戶賬號的申請需經(jīng)過1000號上報,經(jīng)由ITSM管理流程進行審核實施處理,從而對用戶在權限申請和管理授權流程上進行規(guī)范和指導。
未來:構建清晰的管理體系
如何才能快速、高效地解決企業(yè)權限管理混亂的現(xiàn)狀?答案無疑是系統(tǒng)用戶賬號和權限申請及分配必須按照“權限管理員分配權限”的原則進行。
事實上,企業(yè)不斷追求人力資源最小化,一人擁有整個系統(tǒng)權限的情況是存在的,但這種管理方式往往是造成人員職責交叉,權限設置混亂。因此,如果沒有清晰的管理員職責體系,就無法合理劃分各個管理員的職責分工,無法保障管理員在工作崗位職責劃分合理、合規(guī),符合內(nèi)部控制規(guī)范。最終會出現(xiàn)兩種結果,一是為了符合內(nèi)控規(guī)定,管理員授予用戶的業(yè)務處理權限無法滿足用戶需求,導致企業(yè)生產(chǎn)經(jīng)營停滯和業(yè)務中斷;二是為了能維持企業(yè)生產(chǎn)經(jīng)營和業(yè)務流程正常進行,用戶就會無約束的申請權限,而管理員也無約束的給用戶授權,最終導致用戶權限分配失控。因此在系統(tǒng)中建立起合理、清晰管理員職責體系對于解決應用系統(tǒng)權限管理混亂的情況是非常重要的。權限統(tǒng)一分配后,信息中心權限管理管理員,只進行權限變更管理,規(guī)避應用系統(tǒng)業(yè)務變更的操作,與業(yè)務管理員各司其職,兩者相對分離,減少職責交叉。
清晰的管理體系還需強化人事、業(yè)務以及信息管理部門的溝通協(xié)調(diào),暢通用戶信息反饋渠道。崗位、職責、權限三者之間的關系是環(huán)環(huán)相扣的,人員崗位變動引起職責變化,職責變化就意味著權限需要調(diào)整。反過來,用戶權限調(diào)整了就意味著他的崗位和職責發(fā)生了變化。這是因為應用系統(tǒng)用戶賬號與用戶實際崗位和職責是綁定的,用戶的崗位和業(yè)務職責決定了其賬號在系統(tǒng)中應分配的角色和權限。人事崗位調(diào)整和分工是由人事管理部門具體審核批準權,業(yè)務部門只有建議權,沒有處理權,而信息部門只具有操作權。所以在這種情況下,業(yè)務部門、人事管理部門和信息管理部門需要建立起有效的溝通協(xié)調(diào)體系。在出現(xiàn)用戶權限申請和授權時,要求申請人有相應業(yè)務部門、人事部門的蓋章批準及相應信息管理部門/信息中心審核,從而在此層面上,實現(xiàn)業(yè)務、人事、信息管理部門的信息反饋機制。一方面人事部門可以及時協(xié)調(diào)處理人事崗位、職責調(diào)整的信息反饋,形成暢通的人事信息反饋機制,當有人員崗位和職責分工調(diào)整的情況時,人事管理部門可以及時將相關信息反饋到業(yè)務部門和權限管理部門,以便業(yè)務部門和信息管理部門能迅速作出反應,從而及時注銷應該注銷的用戶,變更該變更的業(yè)務權限,刪除該刪除的權限,保證系統(tǒng)運營風險最小化;另一方面人事部門與業(yè)務部門可以通過有效的溝通系統(tǒng),不斷梳理、調(diào)整、優(yōu)化部門崗位設置和人員職分工,達到合理分配人力資源。
此外,定期開展應用系統(tǒng)管理員賬號及用戶賬號的梳理是必不可少的一環(huán)。應用用戶及管理員賬號管理是權限管理工作中最基礎的工作,因為沒有用戶賬號,根本就不用考慮該業(yè)務人員崗位職責是否互相沖突,業(yè)務處理權限是否互斥。所以要做好應用權限管理工作,保證管理程序上清晰、規(guī)范,首先就要做好賬號管理的規(guī)范,因此按照應用內(nèi)部控制規(guī)范,定期開展應用系統(tǒng)管理員賬號梳理。這樣做可以取得兩個方面的好處,一是可以及時關閉和撤銷不再需要的管理員、用戶賬號,降低管理員、用戶賬號的閑置率,有效提升賬號利用率,減少企業(yè)因為存在大量閑置賬號而承擔不必要的風險;二是可以及時清理出存在權限互斥的賬號,及時向業(yè)務部門反饋,并及時處理,將應用系統(tǒng)內(nèi)控管理要求落實在日常管理中。
可見,優(yōu)化應用系統(tǒng)權限管理,是提升管控力的有效途徑,只有合理分配用戶操作權限和限制用戶操作范圍,才能保證系統(tǒng)的安全性,數(shù)據(jù)的完整性。(云南電網(wǎng)公司信息中心 張冠豫)
責任編輯:葉雨田
免責聲明:本文僅代表作者個人觀點,與本站無關。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實,對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關內(nèi)容。
我要收藏
個贊
-
中央廣播電視總臺專訪國網(wǎng)董事長毛偉明:盡快形成能源互聯(lián)網(wǎng)的產(chǎn)業(yè)鏈
2020-10-10國家電網(wǎng),毛偉明,5G -
人民日報刊載|國家電網(wǎng)董事長毛偉明:為做好“六穩(wěn)”“六保”提供可靠電力支撐
2020-10-10國家電網(wǎng),毛偉明,電氣裝備 -
南方供暖路徑初探——剛性需求下的順勢而為
2020-09-24清潔供暖,綜合能源服務,清潔供熱
-
中央廣播電視總臺專訪國網(wǎng)董事長毛偉明:盡快形成能源互聯(lián)網(wǎng)的產(chǎn)業(yè)鏈
2020-10-10國家電網(wǎng),毛偉明,5G -
人民日報刊載|國家電網(wǎng)董事長毛偉明:為做好“六穩(wěn)”“六保”提供可靠電力支撐
2020-10-10國家電網(wǎng),毛偉明,電氣裝備 -
國家電網(wǎng):光伏扶貧總關情
2020-08-14國家電網(wǎng),電網(wǎng)企業(yè),電網(wǎng),能源電力
