原创力文档XX单位
授权和审批管理制度
V1.1
编制单位:XX单位
编制日期:2020年11月
文档信息
制度编号:
生效日期:
分发范围:
解释部门:
版次:Ver1.1
页数:4
制定人:
审核人:
批准人:
FORMCHECKBOX传阅FORMCHECKBOX阅后执行并存档FORMCHECKBOX保密保密等级内部公开
版本记录
版本号
版本日期
修改者
说明
文件名
1.0
信息系统授权及审批管理制度
1.1
信息系统授权及审批管理制度
总则
目的
为规范XX单位信息安全管理各环节的审批流程和审批责任人,特制订本规范。
范围
本管理制度适用于XX单位信息系统相关的所有授权和审批事项,明确各相关管理环节授权和审批的部门和责任人。
职责
信息中心负责制订该规范并报信息安全领导小组审批通过后,由XX单位相关部门和科室相关人员参照执行。
管理细则
内部人员授权管理办法
内部授权程序:
根据信息安全领导小组的主要职责,信息安全工作小组由信息安全领导小组授权后生效。信息安全工作小组直接对信息安全领导小组负责。
根据信息安全工作小组的主要职责,信息安全各安全岗位的负责人员由信息安全工作小组授权后生效。各信息安全岗位管理人员对信息安全工作小组负责。
根据信息安全工作小组的主要职责,各业务信息系统的经办人员由各业务单元的相关部门提名产生,最终由信息安全工作小组授权后生效,各业务经办人员对信息安全工作小组负责。
外包人员审批管理办法
外包运维人员审批程序:
外包运维人员对XX单位信息系统每个环节的参与均需要信息中心主任的审批,或者由信息中心主任授权信息安全工作小组组员进行相关审批;
对于没有经过正式授权的,临时的、紧急的、需要即时审批的信息系统维护需求,可由信息中心主任电话审批同意,但过后需要补充审批记录。
外包运维人员审批内容主要牵涉访问单位信息系统。相关审批详细的流程和过程表单参见《第三方安全管理规范》。
变更审批办法
变更分类与审批的一般原则:
信息系统变更主要分两大类别:功能优化类变更和系统完善类(bug修订,补丁修复)变更。
功能优化类变更的发起人为各科室业务经办人员。
系统完善类变更的发起人为各科室业务经办人员、系统管理人员或系统运维外包厂商人员。
两类变更的审批办法和流程基本一致,原则是需要有效识别各类系统变更的风险,并严格按照审批程序有效规避风险、落实相关责任方。
变更审批流程:
变更由上述变更发起人发起,根据变更的具体内容填写相关的变更管理表单。
功能优化类变更审批的第一级部门是业务经办部门,因为不直接牵涉到信息系统的变更,该部分变更由业务经办部门审批,最后一个审批人须是业务经办部门的部门领导或者更高一级的主管领导,具体由业务经办单位自行决定。
功能优化类变更审批的第二级审批部门是信息中心,由信息中心安排专人评估变更的风险和可行性,评估结果可行后,由信息中心主任审批,信息中心主任审批后交由系统运维外包人员具体实施,完成系统变更。
系统完善类变更可能会涉及到系统的内核,影响系统运行的稳定性。此类变更一般由系统管理员发起,要求系统管理员在发起变更的同时需要就本次变更的潜在风险和风险规避措施进行描述后报请信息中心主任进行审批,信息中心主任审批后由系统管理员进行具体实施,完成系统变更。
详细的变更审批流程与过程表单参见《变更管理程序》。
IT设备采购审批办法
IT设备的采购过程按照《IT产品采购管理制度》规定执行,牵涉到信息中心部门审批的环节,均需要有信息中心主任签字审批认可。IT设备采购审批的最后一个环节按照上海市闵行区卫生和计划生育委员会现有办法,由总务处负责采购执行。
其他审批办法
物理访问、系统接入等其他对信息系统(包括业务网、主机房、各业务信息系统)的访问和修改操作,均由信息中心主任或信息中心主任授权的信息中心其他人员负责审批并监督后续的访问过程。
重要操作,如业务系统功能上的重大调整、重大升级变更、网络架构大的调整,均需要由信息中心主任召集相关人员论证后初审,初审的结果报信息安全领导小组做最后审批后进行。
附则
本管理规范牵涉多个部门和人员,必须在每年的年中和年末由信息中心发起评审,进行评审修订,及时更新需授权和审批的项目、审批部门和审批人等信息。
遇组织机构调整等其他影响原定审批制度情况,可由信息中心适时发起对于本规定的评审修订工作,适时修订各变动项目。
每次评审修订由文档专员在本制度抬头部分的‘版本记录’中如实记载评审修订内容,并更改版本号。
附件
附1:信息安全管理授权审批清单
信息安全管理授权审批清单
审批部门/审批人
审批项目
更新日期
信息中心/信息中心主任
外包运维人员审批
初审:信息中心负责人
终审:信息中心主任
变更审
文档评论(0)