中国移动管理信息系统4A系统技术规范统一用户管理系统分册V1.0.0.doc

《中国移动管理信息系统4A系统技术规范统一用户管理系统分册V1.0.0.doc》由会员分享，可在线阅读，更多相关《中国移动管理信息系统4A系统技术规范统一用户管理系统分册V1.0.0.doc（62页珍藏版）》请在三一办公上搜索。

1、中国移动通信企业标准QB-X-026-2009中国移动管理信息系统4A系统技术规范统一用户管理系统分册The Technical Requirement of Uniform User Management in MIS of CMCCfor CMCC MIS 版本号：1.0.02010-1-15实施2010-1-15发布中国移动通信集团公司 发布目录前 言IV1.范围12.规范性引用文件13.术语、定义和缩略语24.总体说明44.1.概述44.2.总体目标54.3.基本原则64.4.系统定位64.5.使用者75.总体架构85.1.体系结构86.用户身份信息管理要求106.1.用户管理要求10

2、6.1.1.创建用户要求106.1.2.查找用户要求126.1.3.编辑（修改）用户要求136.1.4.删除用户要求156.2.组织机构管理要求166.2.1.创建组织要求166.2.2.查找组织要求176.2.3.编辑组织要求186.2.4.删除组织要求196.3.用户相关属性对象管理要求206.3.1.职务管理要求206.3.2.职级管理要求226.3.3.职位管理要求236.3.4.业务管理要求246.4.用户自助管理（服务）要求256.4.1.用户自助管理要求256.4.2.用户个人信息自助服务要求266.4.3.用户密码自助服务要求277.用户授权信息管理要求297.1.应用管理要求

3、297.2.从帐号管理要求307.3.用户组管理要求327.4.用户权限开通管理要求337.5.基于角色的用户授权管理要求*358.用户生命周期管理要求368.1.内部用户管理要求368.1.1.入职管理要求378.1.2.调动管理要求388.1.3.离职管理要求398.1.4.借调管理要求408.2.外部用户管理要求418.2.1.新建管理要求428.2.2.变更管理要求438.2.3.撤销管理要求448.3.生命周期审核要求458.3.1.身份有效期审核要求458.3.2.密码审核要求469.用户同步管理要求479.1.省到集团两级用户管理系统的集成/同步要求479.2.统一用户管理系统向

4、应用系统的用户同步要求4810.支撑管理要求5010.1.分级管理要求5010.2.日志审计要求5110.3.安全支撑要求5110.4.扩展管理要求5210.5.其他管理约束要求5211.平台选型要求5511.1.目录服务产品要求5511.2.用户集成同步产品要求5611.3.用户管理产品要求5712.编制历史58前 言本标准定义了中国移动管理信息系统统一用户管理系统建设的技术要求，适用于指导中国移动总部及各省（自治区、直辖市）公司的统一用户管理系统建设或改造。本标准是中国移动管理信息系统4A系列标准之一，该系列标准的名称如下：序号标准编号标准名称1QB-X-024-2009中国移动管理信息系

5、统4A系统技术规范2QB-X-025-2009中国移动管理信息系统4A系统技术规范统一用户目录模式分册3QB-X-026-2009中国移动管理信息系统4A系统技术规范统一用户管理系统分册4QB-X-027-2009中国移动管理信息系统4A系统技术规范统一接入访问控制网关分册5QB-X-028-2009中国移动管理信息系统4A系统技术规范认证及单点登录接口分册本标准由中移技201017号印发。本标准由中国移动通信集团公司管理信息系统部提出，集团公司技术部归口。本标准起草单位：中国移动通信集团公司管理信息系统部。本标准主要起草人：冯运波、陈江锋、侯春森、康小强。1. 范围本要求的适用范围如下：n

6、适用于管理中国移动的各种管理信息类系统，即指导对中国移动管理信息系统部所管理的信息系统、服务器和网络设备等中的用户帐号进行集中而统一的管理。n 适用于管理中国移动的各种类型用户，不仅包括具备人事所属关系的内部员工，而且包括使用中国移动管理信息系统的外部代维人员和供应商等。n 适用于指导中国移动总部及各省（自治区、直辖市）公司的统一用户管理系统建设或改造。2. 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用

7、文件，其最新版本适用于本标准。序号标准编号标准名称发布单位1中国移动企业员工信息门户业务规范（v1.0.0）中国移动通信集团公司2中国移动企业员工信息门户技术规范（v1.0.0）中国移动通信集团公司3中国移动统一用户管理和身份认证详细方案设计报告中国移动通信集团公司4中国移动管理信息系统统一用户管理研究报告中国移动通信集团公司5中国移动管理信息系统统一用户管理实施规范中国移动通信集团公司6中国移动企业信息化系统目录服务管理规范中国移动通信集团公司7中国移动短信动态密码认证平台详细方案设计报告中国移动通信集团公司8QB-X-025-2009中国移动管理信息系统统一用户目录模式技术规范中国移动通信

8、集团公司3. 术语、定义和缩略语下列术语、定义适用于本标准：名词解释OA系统办公自动化（office Automation）的简称，本规范中是指包括公文处理、流程审批、邮件以及办公信息发布等核心功能的办公系统。X.500X.500目录服务系统是按照ITU-T X.500系列国际标准,研制开发的分布式目录服务系统。其目的是建立一个全球范围的目录查询的服务。角色在用户管理系统中的代表一类用户，同样角色的用户对系统功能具备相同的访问权限。轻量级目录访问协议LDAP，即Lightweight Directory Access Protocol的缩写，是一种较为简单的轻量级目录访问协议。LDAP被设计成

9、使用TCP/IP访问OSI 目录服务的服务协议，而随着互联网成为网络的主流，LDAP也成为一个具备目录的大部分服务的协议。企业员工信息门户通过先进手段汇总企业内部多种业务流程和业务数据，进行统一管理、统一封装、统一展现。根据用户的身份为企业员工提供个性化的Web工作平台。有时候又被称作：Portal，企业员工信息门户，WORKPLACE，个性化工作平台等。在本文档中上述称呼均指同一含义。内部用户指与中国移动签署个人劳务用工合同而被雇佣/聘用，并隶属于某具体组织部门的，会触发相应人事管理流程的员工，主要包括正式员工、部分合同工、以及待入职的实习生等用户管理在企业信息化建设中，用以管理信息系统的用

10、户基本信息以及其他用户信息方面的基础系统。用户目录用户管理中用以存储及查询用户数据的软件，一般以数据库和专门的LDAP软件实现。外部用户指那些并未与中国移动直接签署个人劳务用工合同，人事关系属于中国移动合作伙伴或者供货商等外部机构的人员，主要包括代维人员、供货商代表、第三方合作伙伴等。下列缩略语适用于本标准：略缩词英文中文4A (AAAA)Accounting,Authorization, Authentication, Audit帐号管理，授权，认证，审计AAAAuthentication,Authorization, Accounting认证，授权，帐号管理BOSSBusiness Ope

11、ration Support System 业务运营支撑系统CACertificate Authority认证权威DACDiscretionary Access Control自主访问控制ERP Enterprise Resource Planning企业资源管理系统LDAPLight-weight Directory Access Protocol轻量目录访问协议MACMandatory Access Control强制访问控制MISManagement Information System管理信息系统OTPOne Time Password一次性口令/动态口令OAOffice Automa

12、tion 办公自动化信息管理系统PKIPublic Key Infrastructure公开密钥体系PMIPrivilege Management Infrastructure权限管理体系RBACRole-based Access Control基于角色的访问控制PINPersonal Identity Number个人身份识别码RDBRational Database关系数据库SMAPSMS-based OTP Authentication Platform短信动态密码认证平台SSLSecure Sockets Layer加密套接字层SSOSingle Sign-on单点登录UUDUnifo

13、rm User Directory统一用户目录UUMUniform User Management统一用户管理4. 总体说明4.1. 概述随着中国移动业务系统的迅速发展，随着各种类型的管理类信息系统规模的不断扩大，用户数量也在不断的增加，现有的用户管理机制已经无法满足中国移动当前以及未来业务发展的要求。主要表现在以下几方面：1. 用户管理系统的建设和管理模式：无论中国移动集团还是各个省公司都已经建立起多种类型的管理信息系统，例如集团层面的综合统计，网上教育，计划管理和电子采购系统等，以及省公司层面的统一信息平台、OA系统、合同管理、知识管理等各种省级应用系统。目前这些应用系统并没有一个统一的用

14、户管理基础设施，每一个新上线应用系统均需要建立一套新的用户帐号管理系统，并且分别由各自的管理员负责维护和管理。这种相对独立的用户管理系统不仅建设前期投入成本较高，而且后期管理维护成本也会成倍增加。2. 用户管理机制的运行模式：现有的各种类型用户管理机制在用户数据源、管理对象、管理功能和系统实现上存在较大差异。不仅集团和省公司这两级用户管理机制系统难以保障用户信息的一致性，用户管理系统也难以和其他信息系统进行有效的用户信息同步和用户管理流程衔接，而且用户管理系统难以覆盖完整的用户管理需求。3. 用户信息的维护状况：在现有的用户管理机制下，用户信息的维护主要存在如下一些问题：多数用户缺乏一个统一的

15、主帐号，而且其在不同应用系统中的从帐号林立，导致用户需要记住多个帐号和口令；用户职位发生变动的情况下，依赖管理员手工调整，容易产生用户身份状态与用户帐号之间的失步情况；尤其是用户离职的时候，各用户管理系统无法做到有效的一次性删除；存在多人共享一个从帐号的情况，而且从帐号密码策略难以得到统一执行，等等。上述用户信息维护状况不仅给用户的正常工作造成影响，降低了工作效率，更为严重的是造成了安全漏洞，危害到整体应用系统的安全性。总之，随着管理信息系统的快速发展及用户数量的增加，首先是用户管理和系统维护人员的工作负担增加，工作效率无法提高；其次是大量应用系统中用户身份信息重复录入，用户身份信息不一致，重

16、复录入用户身份信息工作量巨大；再次，无法对各信息系统进行实现统一的用户管理策略，从而在实质上降低了信息系统的可用性和安全性。因此，迫切需要根据中国移动的现状，研究集中统一的用户管理（身份管理）技术和系统平台，制订标准的用户管理流程、内容和方法，为实现全国用户信息的整合，满足各种应用系统关于用户基础信息的需要，以及满足SOX审计关于用户管理的需要奠定基础。4.2. 总体目标本技术要求将在对中国移动各管理信息系统用户身份管理现状分析的基础上，制定统一的用户管理技术要求，其主旨是：n 阐述统一用户管理的基本技术，规定统一用户管理框架下各组成部分的基本需求，规定统一用户管理框架下各级用户管理系统的连接

17、界面。n 规定将应用系统接驳统一用户管理框架的方案，便于在现有基础上实施用户信息的集成与同步。n 为统一用户管理框架下的产品选型和开发提供依据。通过实施本技术要求，建立起统一的用户管理技术框架，可以达到以下总体目的：n 实现对所有信息系统所需的用户基础信息（包括用户身份信息、组织部门信息，其他公司相关信息，以及生命周期信息等）进行标准化的管理，能够为所有信息系统提供基础的用户信息源；n 实现对用户在统一用户目录中唯一主帐号信息的统一管理，以及对各信息系统中用户从帐号的集中管理，包括对从帐号的自动采集、创建、删除，主从帐号之间的自动关联与同步等；n 实现对用户生命周期的统一管理，保障用户帐号与用

18、户身份状态的一致性，例如实现离职用户的主从帐号一次性整体清除等。n 实现对用户管理系统与各信息系统之间的自动用户信息同步，以及实现对用户访问信息系统的集中实体级授权。n 实现集团和省两级用户管理系统之间的自动用户信息同步。 n 实现对所有用户密码策略的统一集中管理，实现与集团统一认证技术框架之间的连接。总之，建成后的统一用户管理体系将直接成为中国移动所有信息系统的标准化的用户基础设施，其中待建信息系统可以直接使用统一用户管理作为数据源，已建信息系统可以统一用户管理为根数据源进行用户信息同步。4.3. 基本原则为了规范中国移动统一用户管理系统的实施和改造，应遵循以下建设原则：l 标准化原则：集团

19、和各省公司必须遵循本技术要求在统一的用户管理技术框架下设计各级用户管理体系，以此为基础进行产品选型和系统开发，并对外提供统一的管理和访问接口，保证与IT系统之间的用户信息互通。l 分级管理原则：用户管理系统应能够支持总部、省公司、地市分公司管理员对用户信息进行分级管理的要求，保证管理员能且只能管理到其职责范围内的用户。l 集中化原则：省公司统一用户管理系统应集中管理和保存全省用户信息（包括正式员工、非正式员工、代维人员等）；集团统一用户管理系统应集中管理和保存全国的用户信息（包括正式员工、非正式员工、代维人员等）。l 扩展性原则：全国统一用户管理体系应具备按需扩展的能力，既满足用户信息随时间发

20、展而不断变化的管理需求，又能够适应总部和各省公司用户管理不同的建设进度，而且能够提供系统自身在技术升级和系统更新等方面的灵活性。l 高可用性原则：全国统一用户管理系统必须能够保障用户数据的可用性和准确性，并能够提供不间断用户管理服务的能力。l 先进性原则：应在平台选型建议的基础上，采用成熟先进的技术和平台软件实现用户管理系统。4.4. 系统定位统一用户管理系统在整个管理信息系统中的总体系统定位是：统一用户管理系统是所有信息系统的标准化的用户基础设施，它集中管理着所有信息系统的用户信息，包括用户身份信息，用户授权信息和生命周期信息等。统一用户管理系统与其他信息系统之间的区别与联系主要有以下一些：

21、u 统一用户管理系统所管理的用户信息存放在统一用户目录中，而统一用户目录则是统一用户管理的数据承载平台；u 统一用户管理与人力资源（HR）管理在公司组织架构管理方面存在一定的功能重复，而且统一用户管理系统的初始用户信息可以部分来自于HR。但HR系统更多涉及到人事信息的管理，例如员工劳资，履历，薪酬，绩效和档案等信息，统一用户管理更多涉及到用户在各信息系统中帐号信息的管理；HR系统主要由人力资源部门进行管理维护，而统一用户管理系统主要是由IT部门进行维护。u 统一用户管理系统在建设初期，其初始用户信息将主要来源于统一信息平台或HR系统；在统一用户管理系统建成之后，统一信息平台Portal等其他I

22、T应用系统的用户数据应来源于统一用户管理系统。u 各种全国性信息系统（包括IT监控管理中心、计划管理、电子采购、差旅服务、共享信息中心、期刊、综合信息网、终端管理平台等）可以从集团统一用户管理系统进行用户信息同步，也可以将集团统一用户管理系统作为信息系统自身的用户基础数据源。u 各种省级信息系统可以从省级统一用户管理系统进行用户信息同步，也可以将省级统一用户管理系统作为信息系统自身的用户基础数据源。4.5. 使用者统一用户管理主要的使用者包括：u 普通用户：即一般员工，主要负责对个人信息的自助维护。u 系统管理员：负责维护统一用户管理系统的管理员。u 用户管理员：维护统一用户管理系统中用户信息

23、的管理员。用户管理员又划分为不同的等级：n 集团用户管理员负责管理集团的用户信息n 省公司用户管理员只能管理本省的用户信息n 视用户数量和省公司信息系统规模情况决定，可以指定地市级用户管理员对该地市的用户信息进行维护。u 应用管理员：负责为用户开通应用访问权限的管理员。应用管理员可以划分为不同的等级：n 集团应用管理员负责设置应用的省公司管理员，并审批用户的应用开通申请；n 省公司应用管理员进行本省用户的应用访问开通或注销申请。5. 总体架构5.1. 体系结构统一用户管理规范的体系结构如下图所示：统一用户管理体系结构用户同步管理生命周期管理内部员工生命周期管理外部用户生命周期管理用户信息管理生

24、命周期审核部门管理用户组管理职位/职级/职务/业务管理用户管理/自助省级用户管理到集团用户管理间的用户同步用户管理系统到应用系统间用户同步系统支撑安全支撑日志审计管理员管理变更管理用户开通管理从帐号管理图表 51 统一用户管理体系结构如上图所示，统一用户管理系统将主要划分以下四个功能模块：u 用户信息管理：用户信息管理的主要内容包括用户身份管理和授权管理两个层次，其中：n 用户身份管理包括用户基本标识信息、组织结构信息、职位信息、职级信息、职务信息、业务信息以及其他公司相关信息等内容，n 用户授权管理则包括用户组信息，用户和用户组映射关联关系的维护，应用系统从帐号管理功能，对用户实体级授权信息

25、的管理，以及对未来用户角色信息的管理支持。u 用户生命周期管理是对用户帐号信息从其创建、启用、变更、注销和撤销全过程的管理，它是一个动态的过程，需要对用户变化的情况进行审核和监控，避免非法用户所产生的安全风险。由于内部员工和外部人员在人事管理等方面存在明显的差异，因此针对不同类型用户的生命周期管理也存在一定的差异：n 内部员工的人事管理流程包括员工入职、调动、离职以及借调等四大类流程。员工的人事/组织关系发生变化时，一方面会影响到HR系统并触发其中的相关流程，另一方面也需要统一用户管理系统对用户信息进行相应的维护。由于业务需求的不同和系统设计的不同，这两类系统对用户信息的管理职责不尽相同，因此

26、在生命周期管理的过程中应该相对独立考虑。为了提高效率，规范管理和便于审计，涉及到人事信息的用户管理流程可以在用户管理系统之外的HR系统系统中实现；而用户信息则应该在统一用户管理中进行更新，并实现与相关应用系统之间用户信息的同步。n 外部人员的管理流程比内部员工要简单一些，他们并不涉及到过多的人事信息，因此只是更多的对用户创建、授权、调整和撤销等方面的管理和审核流程。u 用户同步管理：用户信息在用户管理系统间以及与其他信息系统之间的集成/同步管理，并保障用户信息在同步过程中的完整性和安全性，主要涉及到如下两个层面：n 从省级用户管理系统到集团统一用户管理系统的用户集成与同步：统一用户管理系统的用

27、户来源包含各省级公司的用户信息，因此应该基于统一的用户目录模式schema规范，从各省级用户管理系统自动同步用户数据到集团统一的用户管理系统中。n 从统一用户管理系统到应用系统的用户信息同步：这种同步包含两个层次的同步管理内容，一个是集团统一用户管理系统必须为全国性应用系统提供同步的用户信息，另一个是省级用户管理系统可以为各省应用系统提供同步的用户信息。u 支撑管理： 用户管理系统辅助性的支撑管理主要涉及到如下内容：n 统一用户管理系统的管理层次应该是分级的，集团的管理员有权力管理全集团的用户信息，各省的用户管理员只能管理各省内部的用户信息；与此同时，各省的管理员还可以将其管理权限进一步下放给

28、下一等级（例如地市分公司）的用户管理员，实现管理工作的细分；n 统一用户管理系统自身需要严格的访问控制，管理员登录系统需要经过高强度的认证，同时对其操作能力也要进行严格的授权，普通用户访问管理系统同样也需要经过严格的认证n 统一用户管理系统内部各模块之间以及与其他应用系统的外部交互过程中，需要建立安全的传输通道保障各种用户信息的完整性和机密性。n 用户管理员的登录行为、对用户的各项管理行为都应该进行严格的日志记录，并能够对记录的日志信息进行审核分析；n 统一用户管理系统的底层数据源是存储在规范化的统一用户目录中，由于各省在应用系统和用户管理的需求上存在一定的差异性，各省用户目录的Schema可

29、能会在集团统一Schema规范基础上有所扩展，因此各省的用户管理系统需要在集团统一用户管理技术规范的基础上有所扩展以支持本省的用户目录；各省的统一用户管理系统需要基于Schema扩展的规范要求进行扩展。6. 用户身份信息管理要求6.1. 用户管理要求6.1.1. 创建用户要求u 基本功能定义：创建用户是指用户管理员通过用户管理系统的UI界面，在其管理范围内新增加一个新的用户，涉及到对新用户个人身份信息和公司相关信息的登记、编辑、检查和提交等。u 主体：各级用户管理员u 客体：各种类型用户，包括内部用户和外部用户u 管理功能点：n 登记用户功能：用户管理员能够通过文件导入或者API接口的方式，在

30、用户管理系统中增加一个或一批新用户的身份信息；n 增加/编辑用户功能：用户管理员能够在用户管理系统的UI界面中对用户的身份信息进行编辑；u 与用户可能发生关联的各种信息（例如：所属部门、工作部门、职位、职务、职级、套入职级、用户组等）应该允许用户管理员（在对这些信息进行独立管理的基础上）进行“字典模式”选择，以提高管理效率。n 信息分类功能：用户管理系统的UI界面应能够将用户的个人信息与公司相关信息清晰区开来，能够将用户身份信息中的必选信息和可选信息清晰区分开来；n 信息规范功能：用户管理系统中所管理的用户身份信息应遵循统一用户目录模式Schema技术规范，并能够按其要求在UI界面中进行完整展

31、现和编辑；n 日志功能：用户管理系统应能够将用户管理员的操作行为记录在操作日志中，以便进行审核。n 信息传递功能：用户管理员在创建新用户之后，用户管理系统能够自动实现后续的用户管理流程衔接。u 用户身份创建完毕之后，用户状态将转为“未启用”，标识该用户身份信息进行建立完毕，仍有待进一步应用开通；u 用户管理系统能够将用户身份信息创建情况通过相关系统（OA系统等）通知给相关人员。u 管理约束点：n 用户管理系统必须能够保障用户身份信息中的用户身份ID、用户编码和用户工号等是全局唯一的，不能重复。n 如果用户管理员没有人工设定用户的显示顺序，则用户管理系统能够按照姓氏比划（或汉语拼音）的顺序，自动

32、设定用户的显示顺序，并保证其连贯性。n 用户管理系统必须能够自动检测出输入的用户信息是否已经完备，达到用户目录模式规范中定义的必选属性要求。n 用户管理系统应具备自动的uid命名规则，应遵循统一用户目录模式Schema规范中的内外部用户uid命名规则。n 用户管理范围限制：用户管理系统必须保证省公司用户管理员只能创建本省的用户，集团用户管理员能够创建总部和集团的用户；如果存在地市级管理员，则其只能创建该地市的用户。6.1.2. 查找用户要求u 基本功能定义：查找用户是指用户管理员通过用户管理系统的UI界面，通过相应的查询条件（和查询条件组合）查找其管理范围内的一个用户或者一些用户，以便对查找到

33、的用户进行相关的管理操作。u 主体：各级用户管理员u 客体：各种类型用户u 管理功能点：n 检索条件设定功能：用户管理系统应能够让用户管理员根据用户身份信息属性进行精确查询条件设定，组合查询条件设定，以及模糊查询条件设定。u 精确查询条件设定是指用户管理员通过指定用户的员工卡号、或手机号、或用户ID等唯一性信息快速定位用户身份；u 组合查询条件设定是指用户管理员通过对各种用户身份信息进行逻辑（and, or, nor）和数学（, =, , , =, , =）上的条件组合，给出一个查询检索的范围；u 模糊查询条件设定是指用户管理员通过?代表某个不确定的单个字符（数字），或者通过*代表多个不确定的

34、字符（数字）组合给出一个查询检索的范围；n 范围内检索功能：用户管理系统应该能够允许用户管理员在前次检索的结果基础上再次设定检索条件进行新的检索。n 查询显示功能：用户管理系统应能够让用户管理员设定组织查询结果的显示方式，例如是否分页和每页显示数量等；并按照用户管理员的显示设定进行查询结果的显示。n 查询结果处理功能：用户管理系统的UI界面中应能够清晰表明对组织信息的不同处理方式，包括只读查看、编辑、删除单个以及删除全部等功能。n 查询规范功能：用户管理员设定查询条件中的组织信息应遵循统一用户目录模式Schema规范的要求。n 日志功能：用户管理系统应能够将用户管理员的查询行为记录在操作日志中

35、，以便进行审核。u 管理约束点：n 管理范围限制：省公司用户管理员只能查询本省的组织，集团用户管理员能够查询全国的组织。n 管理权限限制：不同权限的管理员只能对查询到的组织进行其授权范围的管理工作。例如：查询管理员不能对组织信息进行编辑。6.2.3. 编辑组织要求u 基本功能定义：编辑组织是指用户管理员通过用户管理系统的UI界面，在其管理范围内对某个组织的基本信息和相关信息进行编辑和调整等。u 主体：各级用户管理员u 客体：各级组织u 管理功能点：n 编辑用户功能：用户管理员能够在用户管理系统的UI界面中对组织的基本信息和关联信息进行编辑；n 信息分类功能：用户管理系统的UI界面应能够将组织的