信息系统授权及审批管理，信息安全管理制度

为规范重庆 XX 中学信息安全管理各环节的审批流程和审批责任人，特制订本规范。本管理制度适用于重庆 XX 中学信息系统相关的所有授权和审批事项，明确各相关管理环节授权和审批的部门和责任人。

第一章目的

第一条为规范重庆 XX 中学信息安全管理各环节的审批流程和审批责任人，特制订本规范。

第二章范围

第二条本管理制度适用于重庆 XX 中学信息系统相关的所有授权和审批事项，明确各相关管理环节授权和审批的部门和责任人。

第三章职责

第三条网络安全办公室负责制订该规范并报信息安全领导小组审批通过后，由重庆 XX 中学相关部门和科室相关人员参照执行。

第四章管理细则

第四条内部授权程序

根据信息安全领导小组的主要职责，信息安全工作小组由信息安全领导小组授权后生效。信息安全工作小组直接对信息安全领导小组负责。
根据信息安全工作小组的主要职责，信息安全各安全岗位的负责人员由信息安全工作小组授权后生效。各信息安全岗位管理人员对信息安全工作小组负责。
根据信息安全工作小组的主要职责，各业务信息系统的经办人员由各业务单元的相关部门提名产生，最终由信息安全工作小组授权后生效，各业务经办人员对信息安全工作小组负责。

第五条外包运维人员审批程序

第六条变更分类与审批的一般原则

第七条变更审批流程

变更由上述变更发起人发起，根据变更的具体内容填写相关的变更管理表单。功能优化类变更审批的第一级部门是业务经办部门，因为不直接牵涉到信息系统的变更，该部分变更由业务经办部门审批，最后一个审批人须是业务经办部门的部门领导或者更高一级的主管领导，具体由业务经办单位自行决定。
功能优化类变更审批的第二级审批部门是网络安全办公室，由网络安全办公室安排专人评估变更的风险和可行性，评估结果可行后，由网络安全办公室主任审批，网络安全办公室主任审批后交由系统运维外包人员具体实施，完成系统变更。
系统完善类变更可能会涉及到系统的内核，影响系统运行的稳定性。此类变更一般由系统管理员发起，要求系统管理员在发起变更的同时需要就本次变更的潜在风险和风险规避措施进行描述后报请网络安全办公室主任进行审批，网络安全办公室主任审批后由系统管理员进行具体实施，完成系统变更。

第八条 IT 设备采购审批办法

IT 设备的采购过程按照《IT 产品采购管理制度》规定执行，牵涉到网络安全办公室审批的环节，均需要有网络安全办公室主任签字审批认可。

第九条其他审批办法

物理访问、系统接入等其他对信息系统的访问和修改操作，均由网络安全办公室主任或网络安全办公室主任授权的网络安全办公室其他人员负责审批并监督后续的访问过程。
重要操作，如业务系统功能上的重大调整、重大升级变更、网络架构大的调整，均需要由网络安全办公室主任召集相关人员论证后初审，初审的结果报信息安全领导小组做最后审批后进行。

第五章附则

第十条本管理规范牵涉多个部门和人员，必须在每年的年中和年末由网络安全办公室发起评审，进行评审修订，及时更新需授权和审批的项目、审批部门和审批人等信息。

第十一条遇重庆 XX 中学组织机构调整等其他影响原定审批制度情况，可由网络安全办公室适时发起对于本规定的评审修订工作，适时修订各变动项目。