授权和审批管理规定.docxVIP

授权和审批管理规定 第一章总则 第一条为了控制和规范XXX公司信息系统安全管理活动的授权行为，明确信息 系统生命周期各个阶段的重要环节和活动的审批权限，以避免由于管理上的漏洞 或工作失误而埋下安全隐患，特制定本文件。 第二章适用范围 第二条本文件适用于XXX公司信息系统各类日常和重要安全管理活动的所有 授权与审批过程。 第三章术语定义 第三条本制度所涉及的授权是权力拥有人根据实际工作需要把其在安全管理工 作中所拥有的权利部分或全部转移给同级或下级的行为。 第四章授权原则 第四条 授权与审批应当遵循以下原则： （一）不得将权力授予不能胜任与权力相关的职责的人员。 （二）权力拥有人不得将其专有权力或不应当转移的权力授予他人。 （三）授权自上而下逐级进行，授权时不得隔级授权。 （四）授权中上级对下级行使权力活动负有领导与监管责任，下级对上级负 有定期或不定期（按照上级的要求）报告的义务。 （五）授权后权力拥有人对其拥有的权利相关责任并不因为授权而产生责任 转移，授权人与被授权人均应承担相应责任。 （六）权力拥有人无法亲自履行相关审批职责时应当及时向其他人员进行授 权。 （七）重要活动的授权必须通过书面形式并在相关部门公开。 第五章授权范围 第五条网络安全工作小组负责信息系统的所有安全管理活动相关事宜，第一审 批人为党委副书记，关键安全管理活动一律由第一审批人或授权责任人审批。 第六条 审批和授权范围包括（但不限于）以下重要管理活动： （一）系统升级和变更 （二）外部网络的接入 （三）核心设备配置的修改 （四）设备的采购和使用 （五）外来人员访问 （六）重要设备外修与销毁 第七条一般审批和授权流程： （一）由安全管理活动当事人或负责人填写并向授权审批部门的审批人提交 审批申请表，写明审批原因、审批内容等事项； （二）填写人或负责人向授权审批部门的第一审批人或授权责任人提交审批 申请表； （三）第一审批人审阅授权和审批申请单后，在其授权审批职责范围内进行 审批，签字并加盖公章； （四）安全活动发起人在授权审批范围内执行相应的安全管理操作，并将实 施进展报告给上级; （五）安全管理活动完成后，应及时告知上级，并按要求汇报实施结果。 第八条对于某项具体的重要安全管理活动，若在相应的管理制度文档中明确规 定了授权过程，则按照其要求进行。 第九条对于信息系统中发生的重大及关键安全管理活动的授权和审批过程，必 须通过部门审批负责人和单位审批负责人的双重审批。 第十条应根据实际情况的变化，及时和定期对各审批事项进行安全评审活动， 以便对审批部门、审批人或审批流程等进行相应的改动。