# Nguyên tắc phân quyền và phối hợp giữa các vai trò
### 1. Nguyên tắc chung khi phân quyền
#### 1.1. “Ít quyền nhất” (Least privilege)
* Chỉ gán cho mỗi người những vai trò thực sự cần để làm việc hằng ngày.
* Tránh gán Quản trị tổ chức hoặc Quản trị thanh toán cho quá nhiều người; đây là các vai trò có quyền rất rộng.
#### 1.2. Tách bạch trách nhiệm
Phân tách rõ ba nhóm việc:
* Kỹ thuật & bảo mật → Quản trị CNTT, Vận hành sao lưu.
* Người dùng & quyền ứng dụng → Quản trị người dùng, Quản trị quyền.
* Chi phí & chứng từ → Quản trị thanh toán.
* Quản trị tổ chức chỉ nên dành cho 1–2 người “chủ trang”, chịu trách nhiệm cuối cùng.
#### 1.3. Ưu tiên phân quyền theo vai trò
* Khi có người mới, chọn vai trò phù hợp thay vì chỉnh tay từng quyền lặt vặt.
* Vai trò quản trị (Quản trị người dùng, Quản trị quyền, Quản trị thanh toán…) kết hợp với vai trò ứng dụng (HR Staff, Recruiter, Talent HR User…) để tạo nên bộ quyền đầy đủ.
***
### 2. Ai nên được gán vai trò nào?
Gợi ý tham khảo (anh/chị điều chỉnh theo thực tế tổ chức):
* Quản trị tổ chức
* IT Lead, HRIT Lead hoặc người phụ trách toàn bộ trang MBW.
* Quản trị CNTT
* Thành viên team IT/DevOps phụ trách bảo mật, dữ liệu, S3.
* Vận hành sao lưu
* Người phụ trách backup (có thể là IT nhưng không cần toàn quyền).
* Quản trị người dùng
* HRIT hoặc người phụ trách tài khoản nhân viên.
* Quản trị quyền
* Người hiểu quy trình nghiệp vụ tuyển dụng/CRM và thiết kế vai trò ứng dụng.
* Quản trị thanh toán
* Nhân sự Kế toán/Finance hoặc người chịu trách nhiệm hợp đồng, chi phí MBW.
Mỗi người dùng thường chỉ cần 1–2 vai trò. Nếu một người đang kiêm quá nhiều vai trò, nên xem xét tách bớt để giảm rủi ro.
***
### 3. Cách phối hợp giữa các vai trò (ví dụ thực tế)
#### 3.1. Thêm nhân viên mới
* Quản trị người dùng: tạo tài khoản, gán vai trò ứng dụng (ví dụ HR Staff, Recruiter).
* Quản trị quyền: rà lại role ứng dụng nếu cần bổ sung nhóm quyền mới.
* Quản trị thanh toán: kiểm tra gói/plan xem còn đủ số lượng người dùng hay không.
#### 3.2. Khóa tài khoản khi nhân viên nghỉ việc
* Quản trị người dùng: vô hiệu hóa tài khoản, bỏ vai trò ứng dụng.
* Quản trị quyền: kiểm tra xem người đó có nằm trong nhóm quyền đặc biệt nào không, loại ra nếu còn sót.
* Quản trị thanh toán: nếu dùng gói tính theo số user, có thể điều chỉnh/giảm gói trong kỳ tiếp theo.
#### 3.3. Thay đổi chính sách bảo mật
* Quản trị CNTT: cập nhật Chính sách bảo mật (mật khẩu, 2FA, IP whitelist), kiểm tra log.
* Quản trị người dùng: thông báo cho người dùng, hỗ trợ khi họ gặp khó khăn đăng nhập.
* Quản trị tổ chức: phê duyệt thay đổi và chịu trách nhiệm trước ban lãnh đạo.
#### 3.4. Kiểm tra chi phí hàng tháng
* Quản trị thanh toán: xem Đơn hàng tạm tính, Hóa đơn, báo cáo chi phí.
* Quản trị người dùng & Quản trị quyền: xuất báo cáo số người dùng, đối chiếu với số license bị tính.
* Quản trị tổ chức: quyết định nâng/hạ gói, phê duyệt hoặc dừng chương trình voucher.
***
### 4. Rà soát quyền định kỳ
Nên đặt lịch (ví dụ mỗi 3 hoặc 6 tháng) để:
* Quản trị tổ chức xuất danh sách người dùng và vai trò hiện có.
* Quản trị người dùng + Quản trị quyền kiểm tra:
* Tài khoản không dùng nữa nhưng chưa khóa.
* Người dùng có vai trò quản trị không cần thiết.
* Quản trị thanh toán đối chiếu số người dùng với chi phí thực tế.
Kết quả rà soát nên được lưu lại, có thể dựa trên Nhật ký hoạt động để xem ai đã thay đổi quyền và khi nào.
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.mhiring.vn/mbase/mbw-admin/bat-dau-voi-mbw-admin/nguyen-tac-phan-quyen-va-phoi-hop-giua-cac-vai-tro.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.