XXX公司信息安全授权和审批管理办法.docx
- 。个人认证 |
- 2021-12-02 发布|
- 30.66 KB|
- 7页
PAGE 5 PAGE 1
XXX公司
信息安全授权和审批管理办法
XX部
总 则
为加强XXX公司信息系统相关活动的授权和审批管理,规范审批程序,提高办事效率,保障资源的合理利用,特制定本办法。
本办法适用于XXX公司。
职责分工
XXX公司各部门承担本部门内各类事项授权和审批的管理工作。
涉及跨部门的重大事项授权和审批,应由信息安全工作组牵头,各相关部门参与,共同确定审批事项、授权人和被授权人,确定后将结果上报信息安全领导小组,信息安全领导小组审批后通过。
重要活动审批管理
XXX公司信息系统相关重要活动主要包括对网络系统、应用系统、数据库管理系统、重要服务器和设备等重要资源的变更、操作、访问和接入等内容。
信息系统变更类事项主要包括以下方面:
调整和更改网络设备、服务器、操作系统等各类设备和系统的配置参数;
设备硬件更换;
网络结构调整、网络连接更改;
应用程序软件包修改;
应用系统新需求/新功能的开发;
系统数据库修改;
产品版本升级;
新技术的使用;
组织策略和规程的更改。
上述变更内容涉及设备、系统自身的变更应由各部门安全主管领导进行审核和批准,涉及全网或跨部门的变更应由信息安全工作组审核,信息安全领导小组审批。
应确保信息系统的变更符合公司总体安全策略要求,变更过程的安全控制遵照《XXX公司软件系统变更管理制度》执行。
信息系统重要操作类事项包括以下方面:
重要服务器、交换机、路由器、网络安全设备的启动、关闭;
系统用户账号的增加、删除和权限修改;
系统漏洞扫描、风险评估和渗透测试。
上述操作事项涉及单个信息系统自身的重要操作应由各部门安全主管领导进行审核和批准;可能影响骨干网络正常运行、多个业务系统运行或跨部门的操作应由相关部门安全主管领导审核,公司领导审批。
公司机房物理环境的访问应按照《XXX公司机房安全管理制度》进行审批管理。
公司系统接入类事项审批要