江湖秘笈：二级等保之安全管理制度篇授权和审批要层级明确 记录文档更不可随意摆放或丢失，否则就无法做出解释和工作结果的说明了

关注蓝字 看点网络安全

Hello，亲爱的看官们，大家晚上好。今天是周日，一个清新凉爽的天气。虽然整体感觉有些凉，但却称得上是非常不错的天气。

相信对于希望能够在这种天气下好好休息的看官来讲，一定是一个不错的日子。而对于希望外出的看官们，你们可真的需要穿多一点，不然很容易感冒哦。

不过说真话，对于当前大好的国家安全背景下，居然有人会对网络安全产生鄙视感，甚至说出一些不屑的语句出来。

对于这类人员，2 cats大侠我相当的鄙视，如果不让你们体验一些网络安全重要的意义，真的很对不起自身工作啊。

可是考虑到为了要遵守行业规则，不能因为看不惯世间不平之事而违反国家相关安全规定，要知道职业道德是不能轻易被破坏的，特别是身为一名老司机，更不能在心情的误导下违反道德底线，所以深呼吸、深呼吸、深呼吸……

好啦，赶快回到我们正统的工作当中吧。

网络安全等级保护系列（三十五）

今天我们依旧是讨论安全管理制度在二级等保中的信息话题。

6.2.2.3 授权和审批

1、访谈安全主管，询问其是否对信息系统中的关键活动进行审批，审批部门是何部门，批准人是何人，他们的审批活动是否得到授权；

从这条内容中，看官们可以简单的了解到在安全管理制度进行发布、涉及相关活动对比项等需要审批工作时，是哪个部门来负责审批流程、批文管理及签字，这里会存在部门、权限人等方面的信息。

例如，机房管理员，他们能负责的方面仅是在机房范围内活动的权限。人员参观、询问事宜或是可接触的范围等等。安全管理员，可以负责针对一些安全设备策略调整、安全设备升级和维护等方面的审批。

2、访谈安全主管，询问其对关键活动的审批范围包括哪些，审批程序如何；

正如上面第一条内容中所询问的信息，关键活动都有哪些内容，它们的范围是什么，在了解这些明确信息后，就该开始进入到申请和审批的过程啦。

申请的话非常简单，基本上就是进行表单填写。审批工作的话，就需要看关键活动的范围，是单纯的查看机房情况、调整设备安全策略还是说对于设备更换和断网等内容，不同的关键活动需要不同层级进行审批，这点需要注意。

3、检查审批管理制度文档，查看文档中是否明确对系统投入运行，网络系统接入和重要资源的访问等关键活动进行审批的部门和批准人，是否明确审批程序；

好啦，重点来啦，刚刚已经通过访谈和询问的方式对当前管理信息有所了解，那么接下来就是针对文字方面的验证和查看了。特别是在关键活动及范围方面是否有明确说明，涉及的管理部门和人员是否有给出，申请和审批时的流程是否有表单展示等。

虽说这写都是文字方面的工作，可是却体现着日常安全意识是否紧绷，工作态度是否认真，以及工作细节是否存在纰漏等细节，因此将它们定为本节重点就不奇怪了。

4、检查经审批的文档，查看审批程序与文件要求是否一致，是否有批准人的签字和审批部门的盖章。

好啦，查过安全制度，看过审批表单模板后，该再次进入下一个重点中来，就是查看所有涉及关键活动所需要的记录类内容信息。

曾经是否出现过需要审批流程和表单的关键活动，在这些相关关键活动中，又有哪些人员参与审批工作，是否按照规章制度中的流程来进行审批工作等等。

相信看官们看到这里也就明白这部分内容要说的事情以及考核的内容。当然对于记录类文档的重要意义，从本章节开始就算正式体现出来啦，各位看官们一定要注意哦，不要以为这些内容是可以弄虚作假的，很容易出现错误哦。

2cats 寄语

老规矩不变，

如果有任何问题依旧可以发给e品小顽童。

小顽童的邮箱是：

xiaowantong@epinjianghu.com。

也可以在微信公众号的下方留言，我们会及时整理反馈的。

期待各位的来信交流！

另外，大家可以扫描下面的二维码，加我2cats的个人微信哈！

e品江湖

不失初心 不忘初衷

长按扫码 加关注！