授权和审批管理制度

1、总则

1.1、目的

为保障XXXXX单位信息业务正常运行，防止越权操作，保证业务信息安全，为规范信息安全管理各环节的审批流程和审批责任人，特制定本管理制度。

1.2、范围

本管理制度适用于XXXXX单位信息系统相关的所有授权和审批事项，明确各相关管理环节授权和审批的部门和责任人。

1.3、职责

网络安全与信息化管理部门负责制订《授权和审批管理制度》并报信息安全领导小组审批，通过后由XXXXX单位相关部门和各部门的相关人员参照执行。

2、授权管理细则

2.1、内部人员授权管理办法

2.1.1、内部授权程序

1）根据信息安全领导小组的主要职责，信息安全领导小组组长由信息安全领导小组授权后生效。信息安全工作小组直接对信息安全领导小组负责。

2）根据信息安全工作小组的主要职责，信息安全各安全岗位的负责人员由信息安全工作小组授权后生效。各信息安全岗位管理人员对信息安全工作小组负责。

3）根据信息安全工作小组的主要职责，各业务信息系统的经办人员由各业务单元的相关部门提名产生，最终由信息安全工作小组授权后生效，各业务经办人员对信息安全工作小组负责。

2.2、外包人员审批管理办法

2.2.1、外包运维人员审批程序

1）外包运维人员对XXXXX单位信息系统每个环节的参与均需要信息安全领导小组组长的审批，或者由信息安全领导小组组长授权信息安全工作小组组员进行相关审批；

2）对于没有经过正式授权的，临时的、紧急的、需要即时审批的信息系统维护需求，可由信息安全领导小组组长电话审批同意，但过后需要补充审批记录。

2.3、变更审批办法

2.3.1、变更分类与审批的一般原则

1）信息系统变更主要分两大类别：功能优化类变更和系统完善类（bug修订，补丁修复）变更。

2）功能优化类变更的发起人为各部门业务经办人员。

3）系统完善类变更的发起人为各部门业务经办人员、系统管理人员或系统运维外包厂商人员。

4）两类变更的审批办法和流程基本一致，原则是需要有效识别各类系统变更的风险，并严格按照审批程序有效规避风险、落实相关责任方。

2.3.2、变更审批流程

1）变更由上述变更发起人发起，根据变更的具体内容填写相关的变更管理表单。

2）功能优化类变更审批的第一级部门是业务经办部门，因为不直接牵涉到信息系统的变更，该部分变更由业务经办部门审批，最后一个审批人须是业务经办部门的部门领导或者更高一级的主管领导，具体由业务经办部门决定。

3）功能优化类变更审批的第二级审批部门是网络安全与信息化管理部门，由网络安全与信息化管理部门安排专人评估变更的风险和可行性，评估结果可行后，由信息安全领导小组组长审批，信息安全领导小组组长审批后交由系统运维外包人员具体实施，完成系统变更。

4）系统完善类变更可能会涉及到系统的内核，影响系统运行的稳定性。此类变更一般由系统管理员发起，要求系统管理员在发起变更的同时需要就本次变更的潜在风险和风险规避措施进行描述后报请信息安全领导小组组长进行审批，信息安全领导小组组长审批后由系统管理员进行具体实施，完成系统变更。

2.4、设备采购审批办法

IT设备的采购过程按照《IT产品采购管理制度》规定执行，牵涉到网络安全与信息化管理部门审批的环节，均需要有信息安全领导小组组长签字审批认可。

2.5、操作权限授权审批办法

2.5.1、操作权限管理

1）XXXXX单位信息系统主要设备由网络安全与信息化管理部门统一负责管理，任何人不得擅自操作网络设备，修改网络参数和服务期等。

2）XXXXX单位网络的所有数据库、软件应用系统由网络安全与信息化管理部门统一负责管理，任何人不得擅自操作，修改配置参数和服务期。

3）XXXXX单位根据各部门岗位需求，分配给各部门工作人员的用户，如因保护不善或误操作而造成的不良后果由各单位工作人员本人承担。

4）如岗位需求要求权限比较大（涉及到管理员权限）时，应组织会议进行评审讨论，确定业务的必要性和责任人。

5）对于XXXXX单位网络内各主要网络设备、计算机服务器系统和应用软件，网络安全与信息化管理部门应当正确分配权限，并设置严密的口令予以保护，口令应每三个月至少修改一次，任何非系统管理人员严禁使用、扫描或猜测口令。

2.5.2、操作权限授权审批

1）权限申请：任何权限的申请和授予都要遵循业务安全需求和最小影响授权原则，即所授予的权限是要完成任务所必需的最小权限。获取权限的同时必须承担相应的责任，权限所有者应为包括口令丢失、误操作等不当行为承担责任。

2）权限的申请流程如下：

a）账户权限申请人填写《权限用户申请表》，（参照附件二）；

b）该申请人部门负责人审批申请表，递交给网络安全与信息化管理部门负责人审批申请表，确定所申请的权限是必要的最小权限；

c）审批通过后，权限账户管理相关人员及时更新对应关系表，系统管理员严格按照《权限申请表》设置相应权限。

3）权限使用：权限应进行分级管理，操作与审计等职责应进行分离。

4）核心系统的主要业务操作应产生审计记录，审计记录应包括时间、发起者、类型、描述和结果，并采取措施控制审计权限和保护审计记录的安全，默认没有启动审计的系统上线时需手工打开审计功能。

5）各岗位必须按照账户权限对应关系表的权限分配，落实本岗位所负责的设备、主机、应用系统对应的账户和口令的管理。

6）权限废止：工作人员岗位发生变更，需要及时修改对应系统的账户和权限，必要时重新按照流程申请新的权限。

7）权限的调整流程如下：

a）工作人员岗位变更或者离职时，由单位人力资源相关部门正式通知技术部相关负责人；

b）权限管理人员根据单位相关流程进行系统权限的调整；

c）权限管理人员应及时更新账户权限关系表。

2.6、其他审批办法

1）物理访问、系统接入等其他对信息系统（包括XXXXX单位业务网、各业务信息系统）的访问和修改操作，均由信息安全领导小组组长或信息安全领导小组组长授权的网络安全与信息化管理部门其他人员负责审批并监督后续的访问过程。

2）重要操作，如业务系统功能上的重大调整、重大升级变更、网络架构大的调整，均需要由信息安全领导小组组长召集相关人员论证后初审，初审的结果报信息安全领导小组做最后审批后进行。

3、附则

本管理制度由XXXXX单位负责解释，自发布之日起实施。