电子印章系统的“权限”配置是否合理，直接关系到印章以及系统数据的安全。“权利”是不是按照管理制度、职能权限进行分配？如何防止“管理员权力”过于集中、失去监督？

契约锁电子签章系统实行“互相隔离、互相管理、互相监督的“三员分立”、“三权分立”印章权限体系，通过设立独立的“安全审计”角色，有效监督跟踪系统内各类配置、授权操作，确保企业的印章、文件安全。

1、系统“三员分立”：权限互相隔离、互相监督，防止权力集中

国家保密标准BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》对涉密信息系统分级保护管理过程、管理要求和管理内容做出规定，提出系统管理员、安全保密管理员、安全审计员分别承担涉密信息系统日常运行维护（配置）、安全保密管理（授权）及安全审计（审计）工作，全面废除“超级管理员”，实行“三员”权限设置互相独立、互相制约。

（国密标准对三员分立的要求）

其中，“三员”是指3个岗位或角色，并不是指3个人，可以是多人，各系统可以根据实际情况，配备合理数量的人员。

契约锁电子签章系统已经全面执行“三员分立”权限体系，帮助企业在系统后端就能智能配置自己的“系统管理员、安全保密员以及安全审计员”。

同时通过精细化的权限管理体系，将“三员”的配置、授权、审计权限全面细化、分解，形成“系统管理员、印章管理员、业务创建员、模板创建员、文件管理员、审计员等”多种基本角色，通过全流程操作体系帮助全面落实权限授权、执行、监督需求。

（契约锁精细化权限管理体系）

1）帮助企业智能配置“三员”，实现“审计独立”

为了方便三员方案执行，契约锁电子签章系统已经帮助企业实现智能配置，让企业在系统内就能智能添加、修改“系统管理员、安全保密员、安全审计员”名单，高效完成“三员”配置。

（契约锁三员设置）

为了实现“审计独立”，企业在配置系统管理员和安全保密员的过程中可以智能添加“安全审计员”为“互斥角色”，防止系统管理员或者安全保密员同时兼任审计员，确保用户的电子签章系统具备独立的“审计监督”角色，公正、严格执行监督。

（系统管理员与审计员互斥、监督）

2）帮助企业细化、分解权限，实现按需“授权到人”

为了方便企业对系统各个操作进行精细化管理和监控，契约锁将“安全保密管理员”的系统“授权”权限，根据企业实际用印需求不断分解成“印章类权限、模板类权限、文件查看类权限等”多个细分权限，通过创建对应的角色，把相关权限按需分配给员工，满足高效、安全、透明化授权的需求。

（按需创建细分角色）

（添加人员信息完成授权）

3）详细日志精准记录操作详情，人员动作及时“审计监督”

契约锁提供审计日志对系统内的“签约文件、电子印章以及成员信息”的查阅、制作、更改、删减、授权以及使用等详细操作进行全程记录，帮助企业实时监控系统，提高风险筛查能力。

（操作日志）

2、印章“三权分立”：“管理、使用、运维”三权分立，防范人为用章风险

为了保障用户用印安全，契约锁电子签章采用印章“管理、使用、运维”三权分立管理体系，全流程管理环境帮助用户全面掌控印章动态。

1）系统管理员、一般用户、技术人员“无权接触”印章

系统中分设印章管理员、印章使用者、系统管理员三种角色，限制每个角色中的人员不能在担任其他任一角色，避免了权限的交叉重叠：

· 印章管理员只负责印章的日常管理维护工作，并不能操作印章加盖文件。 · 印章使用者是具体操作印章的人，但是不能修改任何印章相关数据。 · 系统管理员只能维护系统中的管理参数，提供集成、运维等相关技术支持，不能触及任何印章管理和使用的数据。

(前端用户只用章不接触印章）

（中端管理人员只配置印章和业务流程）

（后端运维不接触印章）

应用价值

契约锁电子签章系统借助灵活的权限体系帮助组织将系统操作权限一一细分、拆解，为每一个操作配备管理员，借助精细化数据审计工具帮助用户高效还原“系统运维、权限配置及人员执行”情况，确保用户系统管理透明化、可控化，确保印章、文件安全。