第三章 授权和审批
授权和审批可以保证安全有关工作得到认可和控制,排除盲目性和不一致性,使安全工作更加权威和科学,有利于增强责任感。
如果授权和审批工作做得不够完善,可能会带来执行难等问题,安全工作得不到控制,因安全带来的问题长期得不到解决,安全问题日积月累,最终导致严重安全事件的发生。
应按照以下规范进行授权和审批流程建设: 1.明确审批授权事项、审批授权部门;
2.建立系统变更、重要操作、物理访问和系统接入等事项的审批程序, 对重要活动实施逐级审批;
3.按照审批程序执行审批过程,记入文档并进行审计;
4.定期审查审批事项,及时更新需授权和审批的项目、审批部门和审批人等信息;
15
受控状态 制度名称 信息系统管理授权审批制度 文件编号 执行部门 监督部门 考证部门 第1条 为了提高企业信息系统的可靠性、稳定性、安全性,特制定本制度。 第2条 本制度适用于信息部与各用户部门使用企业信息系统的相关人员。 第3条 企业中涉及到信息系统方面的工作统一由信息部负责。 第4条 信息系统管理授权的方式。 企业信息系统的授权以职位说明书和授权书为基准,逐级授权,其他授权方式或越级授权视为无效。 第5条 企业信息系统管理授权程序。 1.总裁授权运营总监全面负责企业信息系统的开发、管理、修改等工作。 2.运营总裁授权信息部经理负责信息系统的开发、管理、修改等具体工作。 3.信息部经理授权给下属员工,完成相应工作。 第6条 企业信息系统管理中的文件审批程序,如下图所示。 信息部员工 信息部经理 运营总监 最高领导 信息系统管理的文件审批程序示意图 第7条 企业中的各用户部门对信息系统只有根据其职级的使用权与建议权,而无修改权,否则造成的全部后果由当事人承担。 第8条 本制度由信息部制定,解释权、修改权归属信息部。 第9条 本制度自总裁审批之日起实施,修订时亦同。 编制日期 修改标记 审核日期 修改处数 批准日期 修改日期 16
第四章 沟通和合作
安全管理问题涉及到各个层次的人员及技术,需要大家密切配合才能做好,任何一方出现问题都会影响整个安全管理工作的顺利开展,因此对各种安全问题进行定期沟通和合作是非常必要的。
如果与安全管理有关的沟通和合作推进不顺利,出现的安全问题得不到反馈和支持,则安全问题会变得越来越严重,直到出现严重安全事件。 应按照以下规范进行沟通与合作:
1.由安全管理部提出,每半年召开一次安全协调专题会议,为期一天,各有关部门包括外部顾问机构及人员都要参加,及时提出问题和解决问题;
17
会议记录
时间 主持人 参加人员: 会议议题 发言人 会议内容 执行人 监督人 完成时间 记录员 地点 时间调度
2.每年与与兄弟单位、公安机关、电信公司等召开一次安全总结会,平时则通过邮件等及时合作与沟通;
3.通过邮件、电话等与供应商、业界专家、专业的安全公司、安全组织进行及时合作与沟通;
4.建立外联单位联系列表,包括外联单位名称、合作内容、联系人和联系方式等信息;
5.聘请信息安全专家作为常年的安全顾问,指导信息安全建设,参与安全规划和安全评审等。
18
第五章 审核和检查
对安全工作的开展情况进行定级审核和检查可以及时、有效的督促安全制度和安全技术的执行、运作情况,减少安全疏忽,及时发现并解决问题,使安全工作日常化、制度化。
安全工作如果不能保证及时的审核和检查,则容易导致各项工作大打折扣,并且由此带来的问题会积累起来最终导致严重安全事件发生,如补丁长期得不到更新使系统长期暴露于黑客攻击威胁之下。
1.由安全管理员每周进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况;
2.由内部人员或上级单位每季度进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等; 3.每次检查都要制定安全检查表格实施安全检查,汇总安全检查数据,形成安全检查报告,并对安全检查结果进行通报;
4.将上述工作要求写入《安全审核和检查管理制度》,用以规范安全审核和安全检查工作的频率等重要内容。
19
2019信息安全管理制度汇编
