一、要求内容 

a)应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等； 

b)应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序，按照审批程序执行审批过程，对重要活动建立逐级审批制度； 

c)应定期审查审批事项，及时更新需授权和审批的项目、审批部门和审批人等信息； 

d)应记录审批过程并保存审批文档。 

二、实施建议 

授权和审批的程序包含在各种具体的流程中，如系统上线流程、变更流程、员工离职流程等。明确这些流程中的各个环节并进行记录。 

三、常见问题 

好多公司虽然建立的授权和审批的流程，但在实际执行的过程中，为了提高工作的效率却不使用正常的流程。 

四、实施难点 

过严格的流程会影响工作效率，减少审批的的要求则可能带来安全风险。所以流程的建立要考虑安全和效率的平衡，在不影响工作效率的基础上保证运行的安全。 

五、测评方法 

形式 访谈，检查。 对象 安全主管，关键活动的批准人，审批管理制度文档，审批文档，审批记录，审查记录。 

实施 

a)应访谈安全主管，询问其是否规定对信息系统中的关键活动进行审批，审批部门是何部门，批准人是何人，他们的审批活动是否得到授权；询问是否定期审查、更新审批项目，审查周期多长； 

b)应访谈关键活动的批准人，询问其对关键活动的审批范围包括哪些（如系统变更、重要操作、物理访问和系统接入，重要管理制度的制定和发布，人员的配备、培训，产品的采购，外部人员的访问、管理，与合作单位的合作项目等），审批程序如何； 

c)应检查审批管理制度文档，查看文档中是否是否明确需逐级审批的事项、审批部门、批准人及审批程序等（如列表说明哪些事项应经过信息安全领导小组审批，哪些事项应经过安全管理机构审批，哪些关键活动应经过哪些部门逐级审批等），文件是否说明应定期审查、更新需审批的项目和审查周期等； 

d)应检查经逐级审批的文档，查看是否具有各级批准人的签字和审批部门的盖章； 

e)应检查关键活动的审批过程记录，查看记录的审批程序与文件要求是否一致。 

六、参考资料 

ISO17799中对信息处理设施的授权有一些指导方法： 

6.1.4 信息处理设施的授权问题 

控制： 

应规定并实施新信息处理设施的管理授权过程。 

实施指南： 

授权过程应考虑下列指南： 

a) 新设施要有相应用户管理者的授权，以授权设施的用途和使用；还要获得负责维护本地系统安全环境的管理者授权，以确保所有相关安全策略和要求得到满足； 

b) 若需要，硬件和软件应进行检验，以确保它们与其他系统部件兼容； 

c) 使用个人或私有信息处理设施（例如膝上电脑、家用电脑或手上装置）处理业务信息，可能引起新的脆弱点，因此应识别和实施必要的控制。