為實現公司級應用系統“統一運維、統一需求管理”的工作目標，規范公司級應用系統用戶及權限的統一管理，對各系統用戶及權限進行有效、合理、統一的管理控制，降低用戶及權限管理給應用系統帶來的風險，保障各應用系統安全穩定運行，公司信息中心于2014年9月分批完成了44個省級應用系統的管理員權限收回工作；管理權限收回后，各應用系統的組織機構調整，人員賬號權限增、刪、改等管理操作均由信息中心應用技術部進行統一的管理。
統一前：多種方式并存
權限對于信息系統的安全而言至關重要。給用戶開通不同的權限，用戶就能在系統進行不同的操作。因此，權限管理是應用系統上線后系統運維管理的一個重要工作內容。系統權限管理涉及到用戶管理、角色管理、權限對象管理、權限分配管理、內控互斥檢查等。系統上線后能安全、高效運行的前提是權限運維必須規范，即用戶管理規范、授權管理清晰，最終用戶的權限設置符合內控部制規范。否則，將產生直接負面影響，輕者業務工作人員無法正常開展業務，重者會導致企業應用系統管理混亂、業務停滯、信息數據泄密，給企業和公司帶來損失?？梢哉f，規范的系統權限管理和有力的管控是保證系統安全運行和數據保密的必要手段。所以，構建高效的權限管控體系，規范的授權業務流程和統一的運維方式是保證系統安全、高效和數據保密的重中之重。
目前，云南電網公司正在使用的省級應用系統多達數十個，通過前期梳理與調研，我們發現系統缺乏統一的管控，沒有統一的權限管理標準流程和制度。應用系統用戶賬號的申請及權限配置的上報途徑主要有以下兩種方式：一是用戶通過信息中心呼叫中心1000號運維電話上報用戶及權限變更申請（如協同辦公系統）；二是各應用系統運維單位按需分配系統管理員賬號給各使用單位，各系統使用單位管理員根據單位需要對一般用戶賬號及權限進行配置（如人力資源管理系統）。三是直接聯系對應系統的運維單位，由運維單位應用系統管理員進行處理。這種管理方式的弊端是同一系統權限變更出現了多種方式并存的現象，造成了應用系統管理員冗余，職責分配不清晰，缺乏合規性審查等等安全性問題。
統一后：管理有理、有據
針對這些現象和問題，公司信息中心收回大部分應用系統的管理員權限。今后，公司信息中心將作為省級業務系統權限管理的主體，負責對省級應用系統賬號權限進行統一管理，對集中管理的省級應用系統的賬號權限進行配置；各供電局由公司信息中心授權負責分級管理的省級應用系統，并定期形成應用系統權限管理臺賬月報進行備案。
建立健全企業權限管理規章制度。實際上，我們不可能完全通過技術手段來進行權限的維護, 還需要建立起相應的規章制度，理順、理清權限申請和授權的工作流程，以此來規范和約束權限管理，做到管理有理、有據、流程化、規范化，減少用戶和管理員在權限申請和授權過程中主觀意識的負面作用，使授權工作過程可控、授權結果合規。
信息中心應用技術部成立了權限管理小組，依照省級應用系統權限變更工作方案對權限變更進行統一管理，用戶賬號的申請需經過1000號上報，經由ITSM管理流程進行審核實施處理，從而對用戶在權限申請和管理授權流程上進行規范和指導。
未來：構建清晰的管理體系
如何才能快速、高效地解決企業權限管理混亂的現狀？答案無疑是系統用戶賬號和權限申請及分配必須按照“權限管理員分配權限”的原則進行。
事實上，企業不斷追求人力資源最小化，一人擁有整個系統權限的情況是存在的，但這種管理方式往往是造成人員職責交叉，權限設置混亂。因此，如果沒有清晰的管理員職責體系，就無法合理劃分各個管理員的職責分工，無法保障管理員在工作崗位職責劃分合理、合規，符合內部控制規范。最終會出現兩種結果，一是為了符合內控規定，管理員授予用戶的業務處理權限無法滿足用戶需求，導致企業生產經營停滯和業務中斷；二是為了能維持企業生產經營和業務流程正常進行，用戶就會無約束的申請權限，而管理員也無約束的給用戶授權，最終導致用戶權限分配失控。因此在系統中建立起合理、清晰管理員職責體系對于解決應用系統權限管理混亂的情況是非常重要的。權限統一分配后，信息中心權限管理管理員，只進行權限變更管理，規避應用系統業務變更的操作，與業務管理員各司其職，兩者相對分離，減少職責交叉。
清晰的管理體系還需強化人事、業務以及信息管理部門的溝通協調，暢通用戶信息反饋渠道。崗位、職責、權限三者之間的關系是環環相扣的，人員崗位變動引起職責變化，職責變化就意味著權限需要調整。反過來，用戶權限調整了就意味著他的崗位和職責發生了變化。這是因為應用系統用戶賬號與用戶實際崗位和職責是綁定的，用戶的崗位和業務職責決定了其賬號在系統中應分配的角色和權限。人事崗位調整和分工是由人事管理部門具體審核批準權，業務部門只有建議權，沒有處理權，而信息部門只具有操作權。所以在這種情況下，業務部門、人事管理部門和信息管理部門需要建立起有效的溝通協調體系。在出現用戶權限申請和授權時，要求申請人有相應業務部門、人事部門的蓋章批準及相應信息管理部門/信息中心審核，從而在此層面上，實現業務、人事、信息管理部門的信息反饋機制。一方面人事部門可以及時協調處理人事崗位、職責調整的信息反饋，形成暢通的人事信息反饋機制，當有人員崗位和職責分工調整的情況時，人事管理部門可以及時將相關信息反饋到業務部門和權限管理部門，以便業務部門和信息管理部門能迅速作出反應，從而及時注銷應該注銷的用戶，變更該變更的業務權限，刪除該刪除的權限，保證系統運營風險最小化；另一方面人事部門與業務部門可以通過有效的溝通系統，不斷梳理、調整、優化部門崗位設置和人員職分工，達到合理分配人力資源。
此外，定期開展應用系統管理員賬號及用戶賬號的梳理是必不可少的一環。應用用戶及管理員賬號管理是權限管理工作中最基礎的工作，因為沒有用戶賬號，根本就不用考慮該業務人員崗位職責是否互相沖突，業務處理權限是否互斥。所以要做好應用權限管理工作，保證管理程序上清晰、規范，首先就要做好賬號管理的規范，因此按照應用內部控制規范，定期開展應用系統管理員賬號梳理。這樣做可以取得兩個方面的好處，一是可以及時關閉和撤銷不再需要的管理員、用戶賬號，降低管理員、用戶賬號的閑置率，有效提升賬號利用率，減少企業因為存在大量閑置賬號而承擔不必要的風險；二是可以及時清理出存在權限互斥的賬號，及時向業務部門反饋，并及時處理，將應用系統內控管理要求落實在日常管理中。
可見，優化應用系統權限管理，是提升管控力的有效途徑，只有合理分配用戶操作權限和限制用戶操作范圍，才能保證系統的安全性，數據的完整性。（云南電網公司信息中心 張冠豫）