XXX公司信息安全授权和审批管理办法.docxVIP

PAGE 5 PAGE 1 XXX公司 信息安全授权和审批管理办法 XX部  总 则 为加强XXX公司信息系统相关活动的授权和审批管理，规范审批程序，提高办事效率，保障资源的合理利用，特制定本办法。 本办法适用于XXX公司。 职责分工 XXX公司各部门承担本部门内各类事项授权和审批的管理工作。 涉及跨部门的重大事项授权和审批，应由信息安全工作组牵头，各相关部门参与，共同确定审批事项、授权人和被授权人，确定后将结果上报信息安全领导小组，信息安全领导小组审批后通过。 重要活动审批管理 XXX公司信息系统相关重要活动主要包括对网络系统、应用系统、数据库管理系统、重要服务器和设备等重要资源的变更、操作、访问和接入等内容。 信息系统变更类事项主要包括以下方面： 调整和更改网络设备、服务器、操作系统等各类设备和系统的配置参数； 设备硬件更换； 网络结构调整、网络连接更改； 应用程序软件包修改； 应用系统新需求/新功能的开发； 系统数据库修改； 产品版本升级； 新技术的使用； 组织策略和规程的更改。 上述变更内容涉及设备、系统自身的变更应由各部门安全主管领导进行审核和批准，涉及全网或跨部门的变更应由信息安全工作组审核，信息安全领导小组审批。 应确保信息系统的变更符合公司总体安全策略要求，变更过程的安全控制遵照《XXX公司软件系统变更管理制度》执行。 信息系统重要操作类事项包括以下方面： 重要服务器、交换机、路由器、网络安全设备的启动、关闭； 系统用户账号的增加、删除和权限修改； 系统漏洞扫描、风险评估和渗透测试。 上述操作事项涉及单个信息系统自身的重要操作应由各部门安全主管领导进行审核和批准；可能影响骨干网络正常运行、多个业务系统运行或跨部门的操作应由相关部门安全主管领导审核，公司领导审批。 公司机房物理环境的访问应按照《XXX公司机房安全管理制度》进行审批管理。 公司系统接入类事项审批要求： 新设备入网应按照机房管理相关办法进行审批； 新业务系统接入，仅涉及单个信息系统的应由各部门安全主管领导进行审核和批准；可能影响骨干网络正常运行、多个业务系统运行或跨部门的操作应由相关部门安全主管领导审核，公司领导审批。 其他信息系统重要活动的审批流程遵照公司相关工作流程处理。 信息安全工作组至少每年对公司授权审批事项做一次审查，及 时更新需授权和审批的项目、审批部门和审批人等信息。 附 则 本规定由XXX公司XX部负责解释。 本制度自颁布之日起发布执行。 本规定与国家有关法律、法规不一致的以国家法律、法规为准。 附件1 公司重要操作授权申请表 公司重要操作授权申请表 申请人 联系电话 操作原因 操作内容 部门意见： 签字： 日期： 公司领导意见： 签字： 日期： 操作人 操作时间 操作过程记录： 年 月 日 *注：可能影响多个业务系统运行或跨部门的操作应由部门负责人审核，公司领导审批。 附件2 审批记录表 审批记录表 审批事项 审批人 审批时间  附件3 审查审批事项变更记录表（长期有效） 审查审批事项变更记录表（长期有效） 审查的审批记录 审查部门人员变更 审查人 审查时间