第一章 总则

第一条 为了控制和规范武汉学院信息系统安全管理活动的授权行为，明确信息系统生命周期各个阶段的重要环节和活动的审批权限，以避免由于管理上的漏洞或工作失误而埋下安全隐患，特制定本文件。

第二章 适用范围

第二条 本文件适用于武汉学院信息系统各类日常和重要安全管理活动的所有授权与审批过程。

第三章 术语定义

第三条 本制度所涉及的授权是权力拥有人根据实际工作需要把其在安全管理工作中所拥有的权利部分或全部转移给同级或下级的行为。

第四条 本制度所涉及的审批是指在信息系统安全管理活动中权力拥有者在其权力与责任范围内批准业务的行为。

第四章 授权原则

第五条 授权与审批应当遵循以下原则：

（一） 不得将权力授予不能胜任与权力相关的职责的人员。

（二） 权力拥有人不得将其专有权力或不应当转移的权力授予他人。

（三） 授权自上而下逐级进行，授权时不得隔级授权。

（四） 授权中上级对下级行使权力活动负有领导与监管责任，下级对上级负有定期或不定期（按照上级的要求）报告的义务。

（五） 授权后权力拥有人对其拥有的权利相关责任并不因为授权而产生责任转移，授权人与被授权人均应承担相应责任。

（六） 权力拥有人无法亲自履行相关审批职责时应当及时向其他人员进行授权。

（七） 重要活动的授权必须通过书面形式并在相关部门公开。

第五章 授权范围

第六条 信息安全工作小组负责信息系统的所有安全管理活动相关事宜，第一审批人为信息中心负责人，第二审批人为分管校领导，关键安全管理活动一律由第一审批人审批。

第七条 审批和授权范围包括（但不限于）以下重要管理活动：

（一） 系统升级和变更

（二） 外部网络的接入

（三） 核心设备配置的修改

（四） 设备的采购和使用

（五） 外来人员访问

（六） 重要设备外修与销毁

第八条 一般审批和授权流程：

（一） 由安全管理活动当事人或负责人填写并向授权审批部门的审批人提交审批申请表，写明审批原因、审批内容等事项；

（二） 填写人或负责人向授权审批部门的第一审批人提交审批申请表；

（三） 第一审批人审阅授权和审批申请单后，在其授权审批职责范围内进行审批，签字并加盖公章；

（四） 当第一审批人不在办公现场时，应提交第二审批人进行相应的授权和审批；

（五） 安全活动发起人在授权审批范围内执行相应的安全管理操作，并将实施进展报告给上级；

（六） 安全管理活动完成后，应及时告知上级，并按要求汇报实施结果。

第九条 对于某项具体的重要安全管理活动，若在相应的管理制度文档中明确规定了授权过程，则按照其要求进行。

第十条 对于信息系统中发生的重大及关键安全管理活动的授权和审批过程，必须通过部门审批负责人和单位审批负责人的双重审批。

第十一条 应根据实际情况的变化，及时和定期对各审批事项进行安全评审活动，以便对审批部门、审批人或审批流程等进行相应的改动。

第六章 持续改进

第十二条 为了保证本文件的时效性、可行性，必须根据相关审核规定进行评审和修订，修订后重新发布。

第七章 附则

第十三条 本文件由武汉学院负责制定、解释和修改。

第十四条 本文件自发布之日起执行。