信息安全等级保护之管理要求→安全管理制度→授权和审批

一、要求内容 

a)应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等; 

b)应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序,按照审批程序执行审批过程,对重要活动建立逐级审批制度; 

c)应定期审查审批事项,及时更新需授权和审批的项目、审批部门和审批人等信息; 

d)应记录审批过程并保存审批文档。 

二、实施建议 

授权和审批的程序包含在各种具体的流程中,如系统上线流程、变更流程、员工离职流程等。明确这些流程中的各个环节并进行记录。 

三、常见问题 

好多公司虽然建立的授权和审批的流程,但在实际执行的过程中,为了提高工作的效率却不使用正常的流程。 

四、实施难点 

过严格的流程会影响工作效率,减少审批的的要求则可能带来安全风险。所以流程的建立要考虑安全和效率的平衡,在不影响工作效率的基础上保证运行的安全。 

五、测评方法 

形式 访谈,检查。 对象 安全主管,关键活动的批准人,审批管理制度文档,审批文档,审批记录,审查记录。 

实施 

a)应访谈安全主管,询问其是否规定对信息系统中的关键活动进行审批,审批部门是何部门,批准人是何人,他们的审批活动是否得到授权;询问是否定期审查、更新审批项目,审查周期多长; 

b)应访谈关键活动的批准人,询问其对关键活动的审批范围包括哪些(如系统变更、重要操作、物理访问和系统接入,重要管理制度的制定和发布,人员的配备、培训,产品的采购,外部人员的访问、管理,与合作单位的合作项目等),审批程序如何; 

c)应检查审批管理制度文档,查看文档中是否是否明确需逐级审批的事项、审批部门、批准人及审批程序等(如列表说明哪些事项应经过信息安全领导小组审批,哪些事项应经过安全管理机构审批,哪些关键活动应经过哪些部门逐级审批等),文件是否说明应定期审查、更新需审批的项目和审查周期等; 

d)应检查经逐级审批的文档,查看是否具有各级批准人的签字和审批部门的盖章; 

e)应检查关键活动的审批过程记录,查看记录的审批程序与文件要求是否一致。 

六、参考资料 

ISO17799中对信息处理设施的授权有一些指导方法: 

6.1.4 信息处理设施的授权问题 

控制: 

应规定并实施新信息处理设施的管理授权过程。 

实施指南: 

授权过程应考虑下列指南: 

a) 新设施要有相应用户管理者的授权,以授权设施的用途和使用;还要获得负责维护本地系统安全环境的管理者授权,以确保所有相关安全策略和要求得到满足; 

b) 若需要,硬件和软件应进行检验,以确保它们与其他系统部件兼容; 

c) 使用个人或私有信息处理设施(例如膝上电脑、家用电脑或手上装置)处理业务信息,可能引起新的脆弱点,因此应识别和实施必要的控制。

如若转载,请注明出处:http://www.codingwhy.com/view/263.html

联系我们

在线咨询: 点击这里给我发消息

邮件:731000228@qq.com