Q/SY
中国石油天然气集团公司企业标准
Q/SY 10606.5—2017
档案信息化建设规范第5部分：系统权限管理
Specifications of the construction of archives informatization
Part 5 : System authority management
2017-06—28发布
2017－09－15实施
中国石油天然气集团公司 发布 Q/SY10606.5—2017
目 次
前言范围 2 规范性引用文件 3 术语和定义基本原则
1
4
系统用户分类及权限配置
5
2
6权限的适用范围附录A（规范性附录） 用户角色权限对照表参考文献·
H Q/SY10606.5—2017
前言
Q/SY10606《档案信息化建设规范》分为五个部分：
第1部分：档案分类：第2部分：档案标识：第3部分：档案著录：第4部分：档案业务管理：第5部分：系统权限管理。
本部分为Q/SY10606的第5部分本部分按照GBT1.1一2009《标准化工作导则第1部分：标准的结构和编写》给出的规则
起草。
本部分由中国石油天然气集团公司办公厅提出。 本部分由中国石油天然气集团公司标准化委员会信息技术专业标准化技术委员会归口。 本部分起草单位：中国石油天然气集团公司办公厅、中国石油信息技术服务中心、中国石油兰州
石化分公司。
本部分主要起草人：尚真、王海山、张奎、王强、高朝阳、张键、龚云兰、张晓健、高强、郭志军。
1I Q/SY10606.5—2017
档案信息化建设规范第5部分：系统权限管理
1范围
Q/SY1606的本部分规定了中国石油天然气集团公司（以下简称“集团公司）档案管理系统权限管理，以保证系统在操作过程中权限管理可控，系统运行严谨、规范、安全。
本部分适用于集团公司档案管理系统的权限管理工作。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的弓用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。
GB/T222392008信息安全技术信息系统安全等级保护基本要求中国石油天然气集团公司档案管理系统运行管理办法厅发【2011门25号中国石油天然气集团公司保密管理规定中油办［2016】80号
3术语和定义
3.1
档案管理系统 electronic records management system 集团公司统一规划，利用先进的信息技术实现集团公司各类档案的统一管理。为建设综合性国际
能源公司提供有效档案信息支持的信息系统。 3.2
权限管理 authority management 般指根据系统设置的安全规则或者安全策略。在集团公司档案管理系统中，业务人员是否能够
行使该业务范围的操作是由权限来实现的。
4基本原则
4.1系统授权应符合《中国石油天然气集团公司档案管理系统运行管理办法》（厅发【2011】25号）第三章用户管理和第五章运行管理中系统安全和运维管理的要求。 4.2系统授权应按照工作和业务需要进行分配：分配时要按照层级经过审批。管理员的授权要经过各企事业单位主管档案工作领导的审批由档案管理系统项目经理部授权，其他用户的授权要经过本部门领导的审批由管理员授权。 4.3系统按总体用户分为管理员（数据管理员。应用管理员。系统管理员），部门领导（归档部门领导。档案部门领导），归档人员。档案管理人员，档案统计人员，普通用户和授权用户。 4.4系统权限设置按照机构一用户组一用户（账户）或机构一用户（账户）进行设置。用户及权限
1 Q/SY 10606.5—2017
变更流程为用户申请一部门领导审批一系统管理员变更一用户确认。 4.5各级系统管理员应对系统进行的更改做备案登记，系统管理员应保证用户权限分配的合理性及变更的及时性，系统机构变更后应及时配合调整。系统账户信息如有泄露和遗失，应及时通知本级系统管理员。各级系统管理员应相对固定，如发生变动需确认后方可进行工作交接，并报告上一级系统管理员做变更备案。 4.6系统管理员应严格执行用户变更流程，对变更申请做备案登记。用户有效期接照用户创建时间起计算，离岗后由系统管理员变更用户使用权限：应坚持“一人一账户原则，原则上不应一人多账户或多人一账户，不应设置公用账户。 4.7安全备份策略应符合GB/T222392008中7.1.4应用安全的要求，以及《中国石油天然气集团公司保密管理规定》（中油办【［2016】80号）第四章保密要求。
5系统用户分类及权限配置 5.1数据管理员
用于档案管理员在档案管理中修改。删除已办结的档案数据，删除历史档案迁移数据，对已办结的档案进行拆装盒，见表A.1。 5.2应用管理员
用于局级单位应用管理员对本局级单位档案归档流程。档号编制规则。档案类型。著录项及著录项字典。打印模板、页面显示等方面的管理，见表A.2。 5.3系统管理员
用于系统管理员对本单位系统初始化。用户及权限组织机构。自定义权限角色。操作日志。流程监控、外部系统接口建立映射等方面的管理，见表A.3。 5.4归档部门领导
用于档案归档、档案借阅需要审核的流程中的归档部门审批，见表A.4。 5.5档案部门领导
用于档案归档，档案借阅需要审核的流程中的档案部门审批以及台账查看等，见表A5
5.6归档人员
用于归档部门归档人员著录本部门所产生的文件并归档移交至档案部门，以及向上级部门上交文件，见表A.6。 5.7档案管理人员
用于档案部门收集，整理著录本部门产生的文件，整理归档部门所归档移交的文件，以及向上级
部门上交档案，办理实体借阅申请和对档案库房的管理以及已办结档案的管理，包括档案的鉴定。档案的移交，历史数据迁移，以及电子附件批量挂接等，见表A.7。 5.8档案统计人员
用于档案部门统计人员统计本全宗的档案数据，以及填写本单位的年报并提交上级单位，见表A.8。
2 Q/SY10606.5—2017
5.9普通用户
用于普通用户提交借阅申请、查看系统通知，维护个人信息等。此角色绑定权限有：个人信息维护、工作提示、软件、我的借阅、系统通知，见表A.9。 5.10 授权用户
用于档案部门挡案编研人员利用馆藏挡案进行挡案信息资源的再开发，以及审计，监察等工作，
见表A.10。
注：以上所有用户（见表A.1至表A.10）都拥有普通用户角色。
6权限的适用范围 6.1 一般利用权限划分
一般利用权限指的是一个局级单位或全宗下各类用户所能查阅利用的数据范围和类别，针对不同层级的用户，查阅利用的数据范围和类别会随用户的职务、部门及业务划分存在差别，授权机构在按照一般利用权限划分的同时，可在本单位或本全宗下，根据用户使用的实际情况和业务需求，进行数据利用范围的调整，具体见表1，
表1数据利用范围对照表
用户层级
授权机构
用户类型公司领导
可查阅数据范围集团公司内全部档案部门 (专业分公司)
可查阅数据类别所有大类档案部门(专业分公司)
部门（专业分公司）领导
所属大类档案部门所属大类档案所有大类档案所有大类档案部门所属大类档案处室所属大类档案处室所属大类档案
所属全部档案部门所属全部档案
部门副总师档案处领导（含主管领导）档案处业务人员部门综合处处长部门处室处长部门处室归档人员
集团公司内全部档案
办公厅档案处
总部
集团总部内全部档案部门所属全部档案处室所属全部档案处室所属全部档案总部公开可查阅全部档案 总部公开可查阅全部类别
普通用户公司领导部门或处室领导二级单位领导
所有大类档案
公司全宗内全部档案部门或处室所属全部档案 部门或处室所属大类档案二级单位所属全部档案
本单位所属大类档案
档案管理部门人员（含主管
地区公司档案主管部门
公司全宗内全部档案
所有大类档案
地区公司
领导）公司处室归档人员二级单位归档人员
本处室分管所属全部档案 本处室分管所属大类档案本单位分管所属全部档案 本单位分管所属大类档案
公司全宗内公开可查阅全部档案
公司全宗内公开可查阅全部类别
普通用户
3 Q/SY10606.5—2017
6.2跨局级档案利用
跨局级全宗档案利用应通过档案利用单位和档案保管单位审批确认。审批通过后由档案保管单位的数据管理员在本全宗内给予跨全宗利用人员一个临时的数据权限配置，使跨全宗利用人员可以像档案保管单位全宗所属用户一样，对获得批准的可查数据进行利用。跨局级全宗利用权限审批流程见图1，跨全宗利用权限审批表见表2。
跨全宗档案利用权限审批流程
档案保管单位
档案利用单位
开始是
A6.保管单位档案部门接收审批单并选择审批部门及领导
是
A1.利用人填写蒙跨全宗档案利
用权限申请审批单》
A7.业务主管部门领导签字确认
乐
是变
是
二A2.人员所居部门领导签字确认
A8.保管单位领导签字确训
3.利用单位档案部门签字确认
A9.保管单位档案部门确认
足
退回
是
A4.利用单位领导签字确认
A10.权限配置保管单位为申请人开通权限。利用单位人员可在保管单位规定的权限和时间范围内查阅利用相关档案
R
A5.档案利用单位审批工作完成。提交并等待档案保管单位
回执
A11.完成并回执
图1跨全宗档案利用权限审批流程图
6.3档案查阅人员数据授权
档案查阅人员数据授权工作如下：
适用范围：集团公司以上或企事业单位开展的巡视、审计、纪检监察等临时性专项工作。 适用事由：集团公司以上或企事业单位开展的重大活动、重大事件，突发事件等。
4