如东县教体系统网络授权审批管理制度

第一章        总  则

第一条为了加强对信息系统的审批管理，完善内部控制及提高工作效率，根据国家相关法规和如东县教育体育局网络安全和信息化领导小组有关制度文件，特制定本制度。

第二条本制度适用于如东县教体系统各部门、学校（单位）。

第三条如东县教育体育局局网络安全和信息化领导小组办公室及信息系统管理负责人对授权审批制度的健全和有效实施负责。

第四条授权审批的重点主要包括信息系统有关事项的审批人员和审核人员，以及批准范围、批准权限、批准程序、承担责任等。

第二章      授权审批的基本原则

第五条各部门、学校（单位）应当建立授权审批的岗位责任制，明确相关部门和岗位的职责权限，确保授权审批的不相容岗位相互分离、制约和监督。授权审批的不相容岗位包括：

系统管理；

机房、网络管理；

网站系统业务管理；

数据存储备份管理；

资产介质管理。

第六条信息系统各个管理层必须在授权范围内行使职权和承担责任，经办人员也必须在授权范围内办理业务。经办人员应当在职责范围内，按照审批人的批准意见办理业务。对于审批人超越授权范围审批的业务，经办人员有权拒绝办理，并应及时向审批人的上级授权部门报告。

第七条审批人员只能审批其下级经办的事项。审批人员不得审批或变相审批自己经办的事项，其经办的经济业务事项，应当由其上级审批。

第八条 审批人员和审核人员的设置应遵循如下原则：设置多层审批的，不宜设置审批层次过多。一般情况下，审批层次一般不超过三层。

第九条审批层次为：单位主管领导、部门负责人、信息系统相关管理负责人。   

第三章      授权审批的范围及权限

第十条审批权限分为审核和审批两类：

第十一条   审批：指主管领导及管理负责人对该申请的合理性和必要性进行批准。

第十二条   审核：指主管领导及管理负责人审核申请事项的审批是否符合流程的规定，各级审批人是否符合审批权限，经办人员是否在授权范围内办理业务。

第十三条   安全主管全面管理信息系统的审批审核过程。

第十四条   安全管理员对物理、数据、网络、应用、主机、操作系统、数据库系统等方面进行审批审核。

第十五条   系统管理员负责申请人员对信息系统主机系统、数据库系统、备份系统、应用系统操作变更等操作的授权审批。

第十六条   网络管理负责人对网络系统、安全防护设备、机房进出等操作变更进行授权审批。

第十七条   应用管理负责人对应用系统操作变更进行审批。

第十八条   设备介质管理负责人对设备维护报修、介质管理、文档管理的操作使用进行授权审批。

第四章      审批和审核的责任承担

第十九条   审批或审核人员在审批或审核时，发现经办人员超越授权范围等故意原因造成的信息系统损失，应由经办人员承担责任；经办人员明知损失的发生而未向审批和审核人员说明而致使信息系统损失，经办人员也应承担一定责任。

第二十条   审批和审核人员因渎职、过失等原因而致使损失未得到发现或控制，审批人员应承担主要责任，审核人员应承担次要责任。

第二十一条    审批和审核人员因故意或明知等主观原因而致使损失发生或未得到控制，故意或明知的审批和审核人员应当与直接责任人员承担同等责任，其他非故意或不明知的审批和审核人员均应按上项规定承担相应次要责任。

第二十二条    这里的明知，一般需要单位根据有证据证实审批和审核人员明知，或者没有证据证实审批和审核人不明知这两种情况合理掌握。

第五章      监督检查

第二十三条    各部门、学校（单位）应当建立对授权审批制度执行的监督检查制度，确保本制度的有效实施。

第二十四条    授权审批制度的监督检查的主要内容有：

第二十五条    授权审批岗位及人员的设置情况。重点检查是否存在授权审批不相容职务混岗的现象。

第二十六条    授权审批制度的执行情况。重点检查是否存在越范围、越权审批行为，审批流程是否符合审批程序的规定。

第二十七条    对监督检查中发现对授权审批控制中的薄弱环节，应及时采取措施纠正；对发现有越权审批、不进行审批和擅自更改审批用途的，应提出处理建议，按规定追究相关人员的行政和经济责任。

第六章      附则

第二十八条     本制度由如东县教育体育局网络安全和信息化领导小组办公室负责解释。

第二十九条    本制度自发布之日起执行，有新的修改版本颁布后，本规定自行终止。