好收益(北京)金融信息服务有限公司
信息安全授权和审批管理办法
第一章 总 则
第一条 为加强好收益(北京)金融信息服务有限公司(以下简称“公司”)
信息系统相关活动的授权和审批管理,规范审批程序,提高办事效率,保障资源的合理利用,特制定本办法。
第二条 本办法适用于公司。
第二章 职责分工
第三条 公司各部门承担本部门内各类事项授权和审批的管理工作。
第四条 涉及跨部门的重大事项授权和审批,应由信息安全工作组牵头,各相关部门参与,共同确定审批事项、授权人和被授权人,确定后将结果上报信息安全领导小组,信息安全领导小组审批后通过。
第三章 重要活动审批管理
第五条 公司信息系统相关重要活动主要包括对网络系统、应用系统、数据库管理系统、重要服务器和设备等重要资源的变更、操作、访问和接入等内容。
第六条 信息系统变更类事项主要包括以下方面:
1
(一) 调整和更改网络设备、服务器、操作系统等各类设备和系统的
配置参数;
(二)
(三)
(四)
(五)
(六)
(七)
(八)
(九) 设备硬件更换; 网络结构调整、网络连接更改; 应用程序软件包修改; 应用系统新需求/新功能的开发; 系统数据库修改; 产品版本升级; 新技术的使用; 组织策略和规程的更改。
上述变更内容涉及设备、系统自身的变更应由各部门安全主管领导进行审核和批准;涉及全网或跨部门的变更应由信息安全工作组审核,信息安全领导小组审批。
第七条 应确保信息系统的变更符合公司总体安全策略要求,变更过程的安全控制遵照《公司信息系统变更管理办法》执行。
第八条 信息系统重要操作类事项包括以下方面:
(一) 重要服务器、交换机、路由器、网络安全设备的启动、关闭;
(二) 系统用户帐号的增加、删除和权限修改;
(三) 系统漏洞扫描、风险评估和渗透测试。
上述操作事项涉及单个信息系统自身的重要操作应由各部门安全主管领导进行审核和批准;可能影响骨干网络正常运行、多个业务系统运行或跨部门的操作应由相关部门安全主管领导审核,公司领导审批。
2
第九条 公司机房物理环境的访问应按照《公司机房环境安全管理办法》进行审批管理。
第十条 公司系统接入类事项审批要求:
(一) 新设备入网应按照机房管理相关办法进行审批;
(二) 新业务系统接入,仅涉及单个信息系统的应由各部门安全主管领导进行审核和批准;可能影响骨干网络正常运行、多个业务系统运行或跨部门的操作应由相关部门安全主管领导审核,公司领导审批。
第十一条 其他信息系统重要活动的审批流程遵照公司相关工作流程处理。 第十二条 信息安全工作组至少每年对公司授权审批事项做一次审查,及时更新需授权和审批的项目、审批部门和审批人等信息。
第四章 附 则
第十三条 本办法由信息安全工作组负责解释和修订。
第十四条 本办法自发布之日起执行。
3
附件1:
公司重要操作申请表
*注:可能影响多个业务系统运行或跨部门的操作应由部门负责人审核, 公司领导审批。
4