为规范重庆XX中学信息安全管理各环节的审批流程和审批责任人,特制订本规范。本管理制度适用于重庆XX中学信息系统相关的所有授权和审批事项,明确各相关管理环节授权和审批的部门和责任人。

第一章 目的

第一条 为规范重庆XX中学信息安全管理各环节的审批流程和审批责任人,特制订本规范。

第二章 范围

第二条 本管理制度适用于重庆XX中学信息系统相关的所有授权和审批事项,明确各相关管理环节授权和审批的部门和责任人。

第三章 职责

第三条 网络安全办公室负责制订该规范并报信息安全领导小组审批通过后,由重庆XX中学相关部门和科室相关人员参照执行。

第四章 管理细则

第四条 内部授权程序

  1. 根据信息安全领导小组的主要职责,信息安全工作小组由信息安全领导小组授权后生效。信息安全工作小组直接对信息安全领导小组负责。
  2. 根据信息安全工作小组的主要职责,信息安全各安全岗位的负责人员由信息安全工作小组授权后生效。各信息安全岗位管理人员对信息安全工作小组负责。
  3. 根据信息安全工作小组的主要职责,各业务信息系统的经办人员由各业务单元的相关部门提名产生,最终由信息安全工作小组授权后生效,各业务经办人员对信息安全工作小组负责。

第五条 外包运维人员审批程序

  1. 外包运维人员对重庆XX中学信息系统每 个环节的参与均需要网络安全办公室主任的审批,或者由网络安全办公室主任授权信息安全工作小组组员进行相关审批;
  2. 对于没有经过正式授权的,临时的、紧急的、需要即时审批的信息系统维护需求,可由网络安全办公室主任电话审批同意,但过后需要补充审批记录。
  3. 外包运维人员审批内容主要牵涉访问重庆市城市照明管理局信息系统。

第六条 变更分类与审批的一般原则

  1. 信息系统变更主要分两大类别:功能优化类变更和系统完善类(bug 修订,补丁修复)变更。
  2. 功能优化类变更的发起人为各科室业务经办人员。
  3. 系统完善类变更的发起人为各科室业务经办人员、系统管理人员或系统运维外包厂商人员。
  4. 两类变更的审批办法和流程基本一致,原则是需要有效识别各类系统变更的风险,并严格按照审批程序有效规避风险、落实相关责任方。

第七条 变更审批流程

  1. 变更由上述变更发起人发起,根据变更的具体内容 填写相关的变更管理表单。功能优化类变更审批的第一级部门是业务经办部门, 因为不直接牵涉到信息系统的变更,该部分变更由业务经办 部门审批,最后一个审批人须是业务经办部门的部门领导或 者更高一级的主管领导,具体由业务经办单位自行决定。
  2. 功能优化类变更审批的第二级审批部门是网络安全办公室,由网络安全办公室安排专人评估变更的风险和可行性,评估结果可行后,由网络安全办公室主任审批,网络安全办公室主任审批后交由系统运维外包人员具体实施,完成系统变更。
  3. 系统完善类变更可能会涉及到系统的内核,影响系统运行的稳定性。此类变更一般由系统管理员发起,要求系统管理员在发起变更的同时需要就本次变更的潜在风险和风险规避措施进行描述后报请网络安全办公室主任进行审批, 网络安全办公室主任审批后由系统管理员进行具体实施,完成系统变更。

第八条 IT 设备采购审批办法

IT 设备的采购过程按照《IT 产品采购管理制度》规定执行,牵涉到网络安全办公室审批的环节,均需要有网络安全办公室主任签字审批认可。

第九条 其他审批办法

  1. 物理访问、系统接入等其他对信息系统的访问和修改操作,均由网络安全办公室主任或网络安全办公室主任授权的网络安全办公室其他人员负责审批并监督后续的访问过 程。
  2. 重要操作,如业务系统功能上的重大调整、重大升级变更、网络架构大的调整,均需要由网络安全办公室主任召集相关人员论证后初审,初审的结果报信息安全领导小组做最后审批后进行。

第五章 附则

第十条 本管理规范牵涉多个部门和人员,必须在每年的年中和年末由网络安全办公室发起评审,进行评审修订,及时更新需授权和审批的项目、审批部门和审批人等信息。

第十一条 遇重庆XX中学组织机构调整等其他影响原定审批制度情况,可由网络安全办公室适时发起对于本规定的评审修订工作,适时修订各变动项目。

信息系统授权及审批管理

相关文章

  • 智慧城市建设与大数据安全问题研究

    智慧城市建设与大数据安全问题研究

    通过对智慧城市建设总体架构、大数据安全等内容进行研究,归纳整理了智慧城市建设过程中面临的大数据安全问题。通过分析大数据安全问题产生的原因,给出提升大数据安全能力的方案建议,从而保证智慧城市建设中真正实现数据融通、信息安全,进而促进智慧城市建设持续、健康发展。 这是一篇原载于《信息通信技术与政策(2020 年 11 期)》的论文,作者是徐明慧等人,本站分享仅限技术交流学习之用。 1. 引言 随着“网络强国”战略、“大数据”战略、“互联网+”行动计划的实施和“数字中国”建设的不断发展,我国智慧城市建…

  • 电信和互联网企业网络数据安全合规性评估要点(2020 版)

    电信和互联网企业网络数据安全合规性评估要点(2020 版)

    为进一步指导电信和互联网企业做好网络数据安全合规性评估工作,提升数据安全保护水平,依据《网络安全法》《电信和互联网用户个人信息保护规定》等法律法规,参考《信息安全技术个人信息安全规范》等标准规范,制定本要点,供各企业在网络数据安全合规性评估中使用。 《电信和互联网企业网络数据安全合规性评估要点(2020 版)》主要包括以下几个方面:

  • 系统运行维护管理制度,运维管理制度

    系统运行维护管理制度,运维管理制度

    为强化应用系统运行维护管理工作,建立业务、技术支持相结合,规范、高效运转的综合运行维护管理体制,确保各类应用系统稳定、 安全、高效运行,特制订本办法。 第一章 目的 第一条 为进一步强化重庆XX中学应用系统运行维护管理工作,建立业务、技术支持相结合,规范、高效运转的综合运行维护管理体制,确保各类应用系统稳定、 安全、高效运行,特制订本办法。 第二章 范围 第二条 本办法适用于重庆XX中学应用系统的运行维护。由于业务处理的特殊性,各应用系统的具体运维管理内容可根据本办法进一步细化。 第三章 职责 …

  • GB/T 22240-2020《信息系统安全等级保护定级指南》PDF 下载

    GB/T 22240-2020《信息系统安全等级保护定级指南》PDF 下载

    随着信息技术的迅猛发展和广泛应用,信息系统的安全问题日益凸显。为了指导和规范信息系统安全等级保护工作,提高我国信息安全保障能力和水平,《信息安全技术 信息系统安全等级保护定级指南》(GB/T 22240-2020)应运而生。该标准为信息系统的运营、使用单位提供了一套科学合理的安全等级划分方法,旨在根据信息系统的实际重要性和面临的安全威胁,确定适当的安全保护等级,并采取相应的安全措施。 本标准主要针对非涉密信息系统,明确了信息系统安全等级保护的基本概念、定级要素、定级流程以及不同安全保护等级的具体…

  • GB/T 28451-2023 信息安全技术 网络入侵防御产品技术规范

    GB/T 28451-2023 信息安全技术 网络入侵防御产品技术规范

    《GB/T 28451-2023 信息安全技术 网络入侵防御产品技术规范》是中国国家标准委员会发布的一项重要技术规范,旨在为网络入侵防御产品的开发、评估和实施提供明确的技术要求和操作指南。该标准对网络入侵防御技术的发展和应用具有重要意义,特别是在应对日益复杂的网络安全威胁环境中,帮助组织有效防御来自内外部的各类入侵。 1. 标准背景与意义 随着互联网技术的迅猛发展,网络攻击手段和方式也不断升级,带来了巨大的安全隐患。从数据泄露到拒绝服务攻击,从网络入侵到病毒传播,网络安全的威胁愈加严峻。为了应对…

  • 什么是主机安全,主机安全未来的发展方向

    什么是主机安全,主机安全未来的发展方向

    在讨论主机安全之前,先说说主机安全对于我国有多重要。我国的信息安全经过二十多年的建设,在防病毒、网络和边界安全方面到得了一定成果,而主机环境安全建设却相对较薄弱,主机是信息安全最重要,也是最后一门防线,再加上美国采用贸易壁垒的方式来限制高安全等级的产品买到中国,加剧了我国主机安全建设的难度。 1. 什么是主机安全? 随着云技术的发展,现在各大银行、大小企业和政府都在频繁使用云技术,在这些领域,安全显然是一个非常重要的因素。云主机作为数据存储的场所,正面临着黑客不断入侵的威胁,那么主机安全是什么?…

- 联 系 我 们 -

+86 186-2315-0440

在线咨询:点击这里给我发消息

电子邮箱:i@zzptech.com

工作时间:9:00~18:30,工作日

微信客服