為實(shí)現(xiàn)公司級(jí)應(yīng)用系統(tǒng)“統(tǒng)一運(yùn)維、統(tǒng)一需求管理”的工作目標(biāo)，規(guī)范公司級(jí)應(yīng)用系統(tǒng)用戶及權(quán)限的統(tǒng)一管理，對(duì)各系統(tǒng)用戶及權(quán)限進(jìn)行有效、合理、統(tǒng)一的管理控制，降低用戶及權(quán)限管理給應(yīng)用系統(tǒng)帶來(lái)的風(fēng)險(xiǎn)，保障各應(yīng)用系統(tǒng)安全穩(wěn)定運(yùn)行，公司信息中心于2014年9月分批完成了44個(gè)省級(jí)應(yīng)用系統(tǒng)的管理員權(quán)限收回工作；管理權(quán)限收回后，各應(yīng)用系統(tǒng)的組織機(jī)構(gòu)調(diào)整，人員賬號(hào)權(quán)限增、刪、改等管理操作均由信息中心應(yīng)用技術(shù)部進(jìn)行統(tǒng)一的管理。
統(tǒng)一前：多種方式并存
權(quán)限對(duì)于信息系統(tǒng)的安全而言至關(guān)重要。給用戶開(kāi)通不同的權(quán)限，用戶就能在系統(tǒng)進(jìn)行不同的操作。因此，權(quán)限管理是應(yīng)用系統(tǒng)上線后系統(tǒng)運(yùn)維管理的一個(gè)重要工作內(nèi)容。系統(tǒng)權(quán)限管理涉及到用戶管理、角色管理、權(quán)限對(duì)象管理、權(quán)限分配管理、內(nèi)控互斥檢查等。系統(tǒng)上線后能安全、高效運(yùn)行的前提是權(quán)限運(yùn)維必須規(guī)范，即用戶管理規(guī)范、授權(quán)管理清晰，最終用戶的權(quán)限設(shè)置符合內(nèi)控部制規(guī)范。否則，將產(chǎn)生直接負(fù)面影響，輕者業(yè)務(wù)工作人員無(wú)法正常開(kāi)展業(yè)務(wù)，重者會(huì)導(dǎo)致企業(yè)應(yīng)用系統(tǒng)管理混亂、業(yè)務(wù)停滯、信息數(shù)據(jù)泄密，給企業(yè)和公司帶來(lái)?yè)p失。可以說(shuō)，規(guī)范的系統(tǒng)權(quán)限管理和有力的管控是保證系統(tǒng)安全運(yùn)行和數(shù)據(jù)保密的必要手段。所以，構(gòu)建高效的權(quán)限管控體系，規(guī)范的授權(quán)業(yè)務(wù)流程和統(tǒng)一的運(yùn)維方式是保證系統(tǒng)安全、高效和數(shù)據(jù)保密的重中之重。
目前，云南電網(wǎng)公司正在使用的省級(jí)應(yīng)用系統(tǒng)多達(dá)數(shù)十個(gè)，通過(guò)前期梳理與調(diào)研，我們發(fā)現(xiàn)系統(tǒng)缺乏統(tǒng)一的管控，沒(méi)有統(tǒng)一的權(quán)限管理標(biāo)準(zhǔn)流程和制度。應(yīng)用系統(tǒng)用戶賬號(hào)的申請(qǐng)及權(quán)限配置的上報(bào)途徑主要有以下兩種方式：一是用戶通過(guò)信息中心呼叫中心1000號(hào)運(yùn)維電話上報(bào)用戶及權(quán)限變更申請(qǐng)（如協(xié)同辦公系統(tǒng)）；二是各應(yīng)用系統(tǒng)運(yùn)維單位按需分配系統(tǒng)管理員賬號(hào)給各使用單位，各系統(tǒng)使用單位管理員根據(jù)單位需要對(duì)一般用戶賬號(hào)及權(quán)限進(jìn)行配置（如人力資源管理系統(tǒng)）。三是直接聯(lián)系對(duì)應(yīng)系統(tǒng)的運(yùn)維單位，由運(yùn)維單位應(yīng)用系統(tǒng)管理員進(jìn)行處理。這種管理方式的弊端是同一系統(tǒng)權(quán)限變更出現(xiàn)了多種方式并存的現(xiàn)象，造成了應(yīng)用系統(tǒng)管理員冗余，職責(zé)分配不清晰，缺乏合規(guī)性審查等等安全性問(wèn)題。
統(tǒng)一后：管理有理、有據(jù)
針對(duì)這些現(xiàn)象和問(wèn)題，公司信息中心收回大部分應(yīng)用系統(tǒng)的管理員權(quán)限。今后，公司信息中心將作為省級(jí)業(yè)務(wù)系統(tǒng)權(quán)限管理的主體，負(fù)責(zé)對(duì)省級(jí)應(yīng)用系統(tǒng)賬號(hào)權(quán)限進(jìn)行統(tǒng)一管理，對(duì)集中管理的省級(jí)應(yīng)用系統(tǒng)的賬號(hào)權(quán)限進(jìn)行配置；各供電局由公司信息中心授權(quán)負(fù)責(zé)分級(jí)管理的省級(jí)應(yīng)用系統(tǒng)，并定期形成應(yīng)用系統(tǒng)權(quán)限管理臺(tái)賬月報(bào)進(jìn)行備案。
建立健全企業(yè)權(quán)限管理規(guī)章制度。實(shí)際上，我們不可能完全通過(guò)技術(shù)手段來(lái)進(jìn)行權(quán)限的維護(hù), 還需要建立起相應(yīng)的規(guī)章制度，理順、理清權(quán)限申請(qǐng)和授權(quán)的工作流程，以此來(lái)規(guī)范和約束權(quán)限管理，做到管理有理、有據(jù)、流程化、規(guī)范化，減少用戶和管理員在權(quán)限申請(qǐng)和授權(quán)過(guò)程中主觀意識(shí)的負(fù)面作用，使授權(quán)工作過(guò)程可控、授權(quán)結(jié)果合規(guī)。
信息中心應(yīng)用技術(shù)部成立了權(quán)限管理小組，依照省級(jí)應(yīng)用系統(tǒng)權(quán)限變更工作方案對(duì)權(quán)限變更進(jìn)行統(tǒng)一管理，用戶賬號(hào)的申請(qǐng)需經(jīng)過(guò)1000號(hào)上報(bào)，經(jīng)由ITSM管理流程進(jìn)行審核實(shí)施處理，從而對(duì)用戶在權(quán)限申請(qǐng)和管理授權(quán)流程上進(jìn)行規(guī)范和指導(dǎo)。
未來(lái)：構(gòu)建清晰的管理體系
如何才能快速、高效地解決企業(yè)權(quán)限管理混亂的現(xiàn)狀？答案無(wú)疑是系統(tǒng)用戶賬號(hào)和權(quán)限申請(qǐng)及分配必須按照“權(quán)限管理員分配權(quán)限”的原則進(jìn)行。
事實(shí)上，企業(yè)不斷追求人力資源最小化，一人擁有整個(gè)系統(tǒng)權(quán)限的情況是存在的，但這種管理方式往往是造成人員職責(zé)交叉，權(quán)限設(shè)置混亂。因此，如果沒(méi)有清晰的管理員職責(zé)體系，就無(wú)法合理劃分各個(gè)管理員的職責(zé)分工，無(wú)法保障管理員在工作崗位職責(zé)劃分合理、合規(guī)，符合內(nèi)部控制規(guī)范。最終會(huì)出現(xiàn)兩種結(jié)果，一是為了符合內(nèi)控規(guī)定，管理員授予用戶的業(yè)務(wù)處理權(quán)限無(wú)法滿足用戶需求，導(dǎo)致企業(yè)生產(chǎn)經(jīng)營(yíng)停滯和業(yè)務(wù)中斷；二是為了能維持企業(yè)生產(chǎn)經(jīng)營(yíng)和業(yè)務(wù)流程正常進(jìn)行，用戶就會(huì)無(wú)約束的申請(qǐng)權(quán)限，而管理員也無(wú)約束的給用戶授權(quán)，最終導(dǎo)致用戶權(quán)限分配失控。因此在系統(tǒng)中建立起合理、清晰管理員職責(zé)體系對(duì)于解決應(yīng)用系統(tǒng)權(quán)限管理混亂的情況是非常重要的。權(quán)限統(tǒng)一分配后，信息中心權(quán)限管理管理員，只進(jìn)行權(quán)限變更管理，規(guī)避應(yīng)用系統(tǒng)業(yè)務(wù)變更的操作，與業(yè)務(wù)管理員各司其職，兩者相對(duì)分離，減少職責(zé)交叉。
清晰的管理體系還需強(qiáng)化人事、業(yè)務(wù)以及信息管理部門(mén)的溝通協(xié)調(diào)，暢通用戶信息反饋渠道。崗位、職責(zé)、權(quán)限三者之間的關(guān)系是環(huán)環(huán)相扣的，人員崗位變動(dòng)引起職責(zé)變化，職責(zé)變化就意味著權(quán)限需要調(diào)整。反過(guò)來(lái)，用戶權(quán)限調(diào)整了就意味著他的崗位和職責(zé)發(fā)生了變化。這是因?yàn)閼?yīng)用系統(tǒng)用戶賬號(hào)與用戶實(shí)際崗位和職責(zé)是綁定的，用戶的崗位和業(yè)務(wù)職責(zé)決定了其賬號(hào)在系統(tǒng)中應(yīng)分配的角色和權(quán)限。人事崗位調(diào)整和分工是由人事管理部門(mén)具體審核批準(zhǔn)權(quán)，業(yè)務(wù)部門(mén)只有建議權(quán)，沒(méi)有處理權(quán)，而信息部門(mén)只具有操作權(quán)。所以在這種情況下，業(yè)務(wù)部門(mén)、人事管理部門(mén)和信息管理部門(mén)需要建立起有效的溝通協(xié)調(diào)體系。在出現(xiàn)用戶權(quán)限申請(qǐng)和授權(quán)時(shí)，要求申請(qǐng)人有相應(yīng)業(yè)務(wù)部門(mén)、人事部門(mén)的蓋章批準(zhǔn)及相應(yīng)信息管理部門(mén)/信息中心審核，從而在此層面上，實(shí)現(xiàn)業(yè)務(wù)、人事、信息管理部門(mén)的信息反饋機(jī)制。一方面人事部門(mén)可以及時(shí)協(xié)調(diào)處理人事崗位、職責(zé)調(diào)整的信息反饋，形成暢通的人事信息反饋機(jī)制，當(dāng)有人員崗位和職責(zé)分工調(diào)整的情況時(shí)，人事管理部門(mén)可以及時(shí)將相關(guān)信息反饋到業(yè)務(wù)部門(mén)和權(quán)限管理部門(mén)，以便業(yè)務(wù)部門(mén)和信息管理部門(mén)能迅速作出反應(yīng)，從而及時(shí)注銷(xiāo)應(yīng)該注銷(xiāo)的用戶，變更該變更的業(yè)務(wù)權(quán)限，刪除該刪除的權(quán)限，保證系統(tǒng)運(yùn)營(yíng)風(fēng)險(xiǎn)最小化；另一方面人事部門(mén)與業(yè)務(wù)部門(mén)可以通過(guò)有效的溝通系統(tǒng)，不斷梳理、調(diào)整、優(yōu)化部門(mén)崗位設(shè)置和人員職分工，達(dá)到合理分配人力資源。
此外，定期開(kāi)展應(yīng)用系統(tǒng)管理員賬號(hào)及用戶賬號(hào)的梳理是必不可少的一環(huán)。應(yīng)用用戶及管理員賬號(hào)管理是權(quán)限管理工作中最基礎(chǔ)的工作，因?yàn)闆](méi)有用戶賬號(hào)，根本就不用考慮該業(yè)務(wù)人員崗位職責(zé)是否互相沖突，業(yè)務(wù)處理權(quán)限是否互斥。所以要做好應(yīng)用權(quán)限管理工作，保證管理程序上清晰、規(guī)范，首先就要做好賬號(hào)管理的規(guī)范，因此按照應(yīng)用內(nèi)部控制規(guī)范，定期開(kāi)展應(yīng)用系統(tǒng)管理員賬號(hào)梳理。這樣做可以取得兩個(gè)方面的好處，一是可以及時(shí)關(guān)閉和撤銷(xiāo)不再需要的管理員、用戶賬號(hào)，降低管理員、用戶賬號(hào)的閑置率，有效提升賬號(hào)利用率，減少企業(yè)因?yàn)榇嬖诖罅块e置賬號(hào)而承擔(dān)不必要的風(fēng)險(xiǎn)；二是可以及時(shí)清理出存在權(quán)限互斥的賬號(hào)，及時(shí)向業(yè)務(wù)部門(mén)反饋，并及時(shí)處理，將應(yīng)用系統(tǒng)內(nèi)控管理要求落實(shí)在日常管理中。
可見(jiàn)，優(yōu)化應(yīng)用系統(tǒng)權(quán)限管理，是提升管控力的有效途徑，只有合理分配用戶操作權(quán)限和限制用戶操作范圍，才能保證系統(tǒng)的安全性，數(shù)據(jù)的完整性。（云南電網(wǎng)公司信息中心 張冠豫）