为规范重庆 XX 中学信息安全管理各环节的审批流程和审批责任人,特制订本规范。本管理制度适用于重庆 XX 中学信息系统相关的所有授权和审批事项,明确各相关管理环节授权和审批的部门和责任人。

第一章 目的

第一条 为规范重庆 XX 中学信息安全管理各环节的审批流程和审批责任人,特制订本规范。

第二章 范围

第二条 本管理制度适用于重庆 XX 中学信息系统相关的所有授权和审批事项,明确各相关管理环节授权和审批的部门和责任人。

第三章 职责

第三条 网络安全办公室负责制订该规范并报信息安全领导小组审批通过后,由重庆 XX 中学相关部门和科室相关人员参照执行。

第四章 管理细则

第四条 内部授权程序

  1. 根据信息安全领导小组的主要职责,信息安全工作小组由信息安全领导小组授权后生效。信息安全工作小组直接对信息安全领导小组负责。
  2. 根据信息安全工作小组的主要职责,信息安全各安全岗位的负责人员由信息安全工作小组授权后生效。各信息安全岗位管理人员对信息安全工作小组负责。
  3. 根据信息安全工作小组的主要职责,各业务信息系统的经办人员由各业务单元的相关部门提名产生,最终由信息安全工作小组授权后生效,各业务经办人员对信息安全工作小组负责。

第五条 外包运维人员审批程序

  1. 外包运维人员对重庆 XX 中学信息系统每 个环节的参与均需要网络安全办公室主任的审批,或者由网络安全办公室主任授权信息安全工作小组组员进行相关审批;
  2. 对于没有经过正式授权的,临时的、紧急的、需要即时审批的信息系统维护需求,可由网络安全办公室主任电话审批同意,但过后需要补充审批记录。
  3. 外包运维人员审批内容主要牵涉访问重庆市城市照明管理局信息系统。

第六条 变更分类与审批的一般原则

  1. 信息系统变更主要分两大类别:功能优化类变更和系统完善类(bug 修订,补丁修复)变更。
  2. 功能优化类变更的发起人为各科室业务经办人员。
  3. 系统完善类变更的发起人为各科室业务经办人员、系统管理人员或系统运维外包厂商人员。
  4. 两类变更的审批办法和流程基本一致,原则是需要有效识别各类系统变更的风险,并严格按照审批程序有效规避风险、落实相关责任方。

第七条 变更审批流程

  1. 变更由上述变更发起人发起,根据变更的具体内容 填写相关的变更管理表单。功能优化类变更审批的第一级部门是业务经办部门, 因为不直接牵涉到信息系统的变更,该部分变更由业务经办 部门审批,最后一个审批人须是业务经办部门的部门领导或 者更高一级的主管领导,具体由业务经办单位自行决定。
  2. 功能优化类变更审批的第二级审批部门是网络安全办公室,由网络安全办公室安排专人评估变更的风险和可行性,评估结果可行后,由网络安全办公室主任审批,网络安全办公室主任审批后交由系统运维外包人员具体实施,完成系统变更。
  3. 系统完善类变更可能会涉及到系统的内核,影响系统运行的稳定性。此类变更一般由系统管理员发起,要求系统管理员在发起变更的同时需要就本次变更的潜在风险和风险规避措施进行描述后报请网络安全办公室主任进行审批, 网络安全办公室主任审批后由系统管理员进行具体实施,完成系统变更。

第八条 IT 设备采购审批办法

IT 设备的采购过程按照《IT 产品采购管理制度》规定执行,牵涉到网络安全办公室审批的环节,均需要有网络安全办公室主任签字审批认可。

第九条 其他审批办法

  1. 物理访问、系统接入等其他对信息系统的访问和修改操作,均由网络安全办公室主任或网络安全办公室主任授权的网络安全办公室其他人员负责审批并监督后续的访问过 程。
  2. 重要操作,如业务系统功能上的重大调整、重大升级变更、网络架构大的调整,均需要由网络安全办公室主任召集相关人员论证后初审,初审的结果报信息安全领导小组做最后审批后进行。

第五章 附则

第十条 本管理规范牵涉多个部门和人员,必须在每年的年中和年末由网络安全办公室发起评审,进行评审修订,及时更新需授权和审批的项目、审批部门和审批人等信息。

第十一条 遇重庆 XX 中学组织机构调整等其他影响原定审批制度情况,可由网络安全办公室适时发起对于本规定的评审修订工作,适时修订各变动项目。

信息系统授权及审批管理

相关文章

  • 智慧城市建设与大数据安全问题研究

    智慧城市建设与大数据安全问题研究

    通过对智慧城市建设总体架构、大数据安全等内容进行研究,归纳整理了智慧城市建设过程中面临的大数据安全问题。通过分析大数据安全问题产生的原因,给出提升大数据安全能力的方案建议,从而保证智慧城市建设中真正实现数据融通、信息安全,进而促进智慧城市建设持续、健康发展。 这是一篇原载于《信息通信技术与政策(2020 年 11 期)》的论文,作者是徐明慧等人,本站分享仅限技术交流学习之用。 1 引言 随着“网络强国”战略、“大数据”战略、“互联网+”行动计划的实施和“数字中国”建设的不断发展,我国智慧城市建设…

  • 安全和监控中心管理制度

    安全和监控中心管理制度

    一章 目的 第一条 安全和监控中心管理制度的建立旨在实现重庆 XX 中学以资产和风险为核心的安全风险监控管理,并将之规范化、常态化。 第二章 范围 第二条 本规范适用于重庆 XX 中学对于信息系统的综合安全管理、风险监控管理,主要适用于网络安全办公室的日常综合管理。 第三章 职责 第三条 结合现有信息安全管理现状,网络安全办公室负责整合现有的信息安全管理技术解决方案,初步建成重庆 XX 中学的信息安全监控和管理中心。 第四章 管理细则 第四条 因重庆 XX 中学目前还未部署安全监控和管理中心,需…

  • 机房安全管理制度,信息机房管理条例

    机房安全管理制度,信息机房管理条例

    为规范重庆 XX 中学机房管理、提高机房安全保障水平、确保机房安全,通过对机房出入、值班、设备进出等进行管理和控制,防止对西重庆 XX 中学机房内部设备的非受权访问和信息泄露。本管理办法适用于重庆 XX 中学主机房的日常管理,包括出入管理、环境管理和值班管理、设备管理、设备运行维护管理。 第一章 目的 第一条 为规范重庆 XX 中学机房管理、提高机房安全保障水平、确保机房安全,通过对机房出入、值班、设备进出等进行管理和控制,防止对西重庆 XX 中学机房内部设备的非受权访问和信息泄露。 第二章 范…

  • 一家三甲医院,需要部署哪些网络安全设备?

    一家三甲医院,需要部署哪些网络安全设备?

    随着信息化建设的不断发展,信息系统在三甲医院中的角色也越来越重要,其所面临的安全挑战也不断涌现,患者隐私泄露、挂号系统中断以及木马病毒攻击直接威胁到医院运行秩序和信息系统安全。为进一步做好医院信息安全保护工作,卫生部曾下发《卫生行业信息安全等级保护工作的指导意见》的通知,通知明确了三甲医院的核心业务系统应按照信息安全等级保护第三级进行建设和保护。 根据 2018 年 4 月国家卫生健康委员会规划与信息司、国家卫生健康委员会统计信息中心所颁布的《全国医院信息化建设标准(试行)》中的各项条例,各等级…

  • 大数据信息系统中的数据加密、数据完整性和可用性保护

    大数据信息系统中的数据加密、数据完整性和可用性保护

    大数据平台对数据进行加密存储,实现无明文存储,避免明文带来的数据泄露等安全风险。 实现数据的透明加解密,在集群中数据写入时自动对数据进行加密、数据读取时自动对数据进行解密,数据离开集群环境后是密文,没有秘钥的情况下不能解密。一方面在集群环境中对应用程序实现透明加解密方便上层应用的开发,减少上层应用处理加解密带来的额外负担和安全风险;另一方面对数据起到保护作用,数据一旦离开集群环境就不能访问到秘钥因此无法解密出明文。 对于高密级的数据,可以设置多次加密和解密授权。通过不同的秘钥和加密算法对数据进行…

  • 恶意代码防范管理制度

    恶意代码防范管理制度

    本管理办法适用于重庆 XX 中学所有服务器和终端操作系统。本办法所称的计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据, 影响计算机使用,并能自我复制的一组计算机指令或者程序代码。 第一章 目的 第一条 为加强对计算机病毒的预防和治理,保护信息系统安全,根据公安部《计算机病毒防治管理办法》以及有关计算机病毒防治的规定,制定本办法。 第二章 范围 第二条 本管理办法适用于重庆 XX 中学所有服务器和终端操作系统。本办法所称的计算机病毒是指编制或者在计算机程序中插入的破坏计算机功…

- 联 系 我 们 -

+86 186-2315-0440

在线咨询:点击这里给我发消息

电子邮箱:i@zzptech.com

工作时间:7*24h,全年无休

关注微信