1、 信息系统授权及审批管理文档信息制度编号: 生效日期: 分发范围: 解释部门: 版次:Ver1.1 页数: 4制定人: 审核人: 批准人: 传阅 阅后执行并存档 保密 保密等级 内部公开版本记录版本号 版本日期 修改者 说 明 文件名1.0 信息系统授权及审批管理制度1.1 信息系统授权及审批管理制度XX 单位信息系统授权及审批管理1 总则1.1 目的为规范 XX 单位信息安全管理各环节的审批流程和审批责任人,特制订本规范。1.2 范围本管理制度适用于 XX 单位信息系统相关的所有授权和审批事项,明确各相关管理环节授权和审批的部门和责任人。1.3 职责信息中心负责制订该规范并报信息安全领导小组
2、审批通过后,由 XX 单位相关部门和科室相关人员参照执行。2 管理细则2.1 内部人员授权管理办法信息系统授权及审批管理2.1.1 内部授权程序:(一) 根据信息安全领导小组的主要职责,信息安全工作小组由信息安全领导小组授权后生效。信息安全工作小组直接对信息安全领导小组负责。(二) 根据信息安全工作小组的主要职责,信息安全各安全岗位的负责人员由信息安全工作小组授权后生效。各信息安全岗位管理人员对信息安全工作小组负责。(三) 根据信息安全工作小组的主要职责,各业务信息系统的经办人员由各业务单元的相关部门提名产生,最终由信息安全工作小组授权后生效,各业务经办人员对信息安全工作小组负责。2.2 外包
3、人员审批管理办法2.2.1 外包运维人员审批程序:(一) 外包运维人员对 XX 单位信息系统每个环节的参与均需要信息中心主任的审批,或者由信息中心主任授权信息安全工作小组组员进行相关审批;(二) 对于没有经过正式授权的,临时的、紧急的、需要即时审批的信息系统维护需求,可由信息中心主任电话审批同意,但过后需要补充审批记录。(三) 外包运维人员审批内容主要牵涉访问上海市闵行区卫生和计划生育委员会信息系统。相关审批详细的流程和过程表单参见第三方安全管理规范。2.3 变更审批办法2.3.1 变更分类与审批的一般原则:(一) 信息系统变更主要分两大类别:功能优化类变更和系统完善类(bug 修订,补丁修复
4、)变更。(二) 功能优化类变更的发起人为各科室业务经办人员。(三) 系统完善类变更的发起人为各科室业务经办人员、系统管理人员或系统运维外包厂商人员。信息系统授权及审批管理(四) 两类变更的审批办法和流程基本一致,原则是需要有效识别各类系统变更的风险,并严格按照审批程序有效规避风险、落实相关责任方。2.3.2 变更审批流程:(一) 变更由上述变更发起人发起,根据变更的具体内容填写相关的变更管理表单。(二) 功能优化类变更审批的第一级部门是业务经办部门,因为不直接牵涉到信息系统的变更,该部分变更由业务经办部门审批,最后一个审批人须是业务经办部门的部门领导或者更高一级的主管领导,具体由业务经办单位自
5、行决定。(三) 功能优化类变更审批的第二级审批部门是信息中心,由信息中心安排专人评估变更的风险和可行性,评估结果可行后,由信息中心主任审批,信息中心主任审批后交由系统运维外包人员具体实施,完成系统变更。(四) 系统完善类变更可能会涉及到系统的内核,影响系统运行的稳定性。此类变更一般由系统管理员发起,要求系统管理员在发起变更的同时需要就本次变更的潜在风险和风险规避措施进行描述后报请信息中心主任进行审批,信息中心主任审批后由系统管理员进行具体实施,完成系统变更。(五) 详细的变更审批流程与过程表单参见变更管理程序。2.4 IT 设备采购审批办法IT 设备的采购过程按照IT 产品采购管理制度规定执行
6、,牵涉到信息中心部门审批的环节,均需要有信息中心主任签字审批认可。IT 设备采购审批的最后一个环节按照上海市闵行区卫生和计划生育委员会现有办法,由总务处负责采购执行。2.5 其他审批办法(一) 物理访问、系统接入等其他对信息系统(包括上海市闵行区卫生和计划生育委员会业务网、主机房、各业务信息系统)的访问和修改操作,均由信息中心主任或信息中心主任授权的信息中心其他人员负责审批并监督后续的访问过程。Comment y1: 负责人信息系统授权及审批管理(二) 重要操作,如业务系统功能上的重大调整、重大升级变更、网络架构大的调整,均需要由信息中心主任召集相关人员论证后初审,初审的结果报信息安全领导小组
7、做最后审批后进行。3 附则1 本管理规范牵涉多个部门和人员,必须在每年的年中和年末由信息中心发起评审,进行评审修订,及时更新需授权和审批的项目、审批部门和审批人等信息。2 遇上海市闵行区卫生和计划生育委员会组织机构调整等其他影响原定审批制度情况,可由信息中心适时发起对于本规定的评审修订工作,适时修订各变动项目。3 每次评审修订由文档专员在本制度抬头部分的版本记录中如实记载评审修订内容,并更改版本号。4 附件信息系统授权及审批管理附 1:信息安全管理授权审批清单信息安全管理授权审批清单审批部门/审批人 审批项目 更新日期信息中心/信息中心主任 外包运维人员审批初审:信息中心负责人终审:信息中心主任变更审批初审:使用信息中心负责人中审:信息中心负责人终审:运保科负责人IT 设备采购审批信息中心/信息中心主任 外来人员物理访问信息中心/信息中心主任 外来人员网络接入信息中心/信息中心主任 重要运维操作
