内部控制-信息系统变更管理制度.doc

软件变更管理制度 第一节 总 则 第一条 为规范软件变更与维护管理，提高软件管理水平，优化软件变更与维护管理流程，特制定本制度。 第二条 本制度适用于应用系统已开发或采购完毕并正式上线、且由软件开发组织移交给应用管理组织之后，所发生的生产应用系统（以下简称应用系统）运行支持及系统变更工作。 第二节 变更流程 第三条 系统变更工作可分为下面三类类型：功能完善维护、系统缺陷修改、统计报表生成。功能完善维护指根据业务部门的需求，对系统进行的功能完善性或适应性维护；系统缺陷修改指对一些系统功能或使用上的问题所进行的修复，这些问题是由于系统设计和实现上的缺陷而引发的；统计报表生成指为了满足业务部门统计报表数据生成的需要，而进行的不包含在应用系统功能之内的数据处理工作。 第四条 系统变更工作以任务形式由需求方（一般为业务部门）和维护方（一般为信息部门的应用维护组织和软件开发组织，还包括合作厂商）协作完成。系统变更过程类似软件开发，大致可分为四个阶段：任务提交和接受、任务实现、任务验收和程序下发上线。 第五条 因问题处理引发的系统变更处理，具体流程参见《问题处理管理制度》。 第六条 需求部门提出系统变更需求，并将变更需求整理成《系统变更申请表》（附件一），由部门负责人审批后提交给系统管理员。 第七条 系统管理员负责接受需求并上报给IT主管。IT主管分析需求，并提出系统变更建议。IT经理根据变更建议审批《系统变更申请表》。 第八条 系统管理员根据自行开发、合作开发和外包开发的不同要求组织实现系统变更需求，将需求提交至内部开发人员、合作开发商或外包开发商，产生供发布的程序。 第九条 实现过程应按照软件开发过程规定进行。系统变更过程应遵循软件开发过程相同的正式、统一的编码标准，并经过测试和正式验收才能下发和上线。 第十条 系统管理员组织业务部门的系统最终用户对系统程序变更进行测试，并撰写《用户测试报告》（附件二），提交业务部门负责人和IT主管领导签字确认通过。 第十一条 在系统变更完成后，系统管理员和业务部门的最终用户共同撰写《程序变更验收报告》（附件三），经业务部门负责人签字验收后，报送IT经理审批。 第十二条 培训管理员负责对系统变更过程的文档进行归档管理，变更过程中涉及的所有文档应至少保存两年。 第三节 紧急变更流程 第十三条 对于紧急变更，需求部门可以通过电子邮件或传真等书面形式提出申请。 第十四条 信息技术部根据重要性和紧迫性做判断，确定其优先级和影响程度，并进行相应处理。 第十五条 紧急变更过程中应使用专设的系统用户账号，由专责部门或人员启动紧急修改变更程序。信息技术部应对紧急变更的处理进行规范的文档记录。 第十六条 在紧急事件处理完成后，必须在一周内补办正式、完整的文档，其中包括问题发现人填写的紧急变更申请、问题发现人所在部门负责人对该申请的审批、需求部门/信息技术部测试记录（包括签字确认测试结果）。 第四节 系统变更的权责分离 第十七条 系统变更过程中，应采取各种措施保证维护环境程序代码访问权限受到良好控制。这些措施包括： 1、通过系统用户的授权管理，确保只有特定人员能进行系统维护工作； 2、如果使用专用程序开发工具，只有授权人员才能使用程序开发工具（通过只有特定开发人员拥有程序开发工具）； 3、通过对源代码的访问控制，限制只有授权人员才能获得源代码以进行系统维护； 4、在进行自有系统的程序变更时，应建立版本控制制度确保每次在最新的代码基础上进行更改，当多名程序员同时进行更改工作时，能够进行适当协调； 5、通过对系统日志的审阅，监督系统维护人员在系统中的操作，确认维护工作的授权； 6、在进行自有系统的程序变更时，应防止源代码在完成测试到正式上线之间的非授权修改。 第十八条 系统变更过程中，采取各种措施保证生产系统应用程序访问权限受到良好控制。这些措施包括： 1、通过生产环境的访问控制，限制对生产环境的访问； 2、通过物理隔离的手段，限制对生产环境的访问； 3、通过逻辑隔离的手段，限制对生产环境的访问； 4、对授权访问生产环境的人员进行详细记录，使用该记录对生产环境访问权限的检查，确保只有经授权人员才能访问生产环境； 5、普通用户只能通过前台登录系统，不能通过后台（如使用生产环境操作系统的命令行）进行操作； 6、信息技术人员不应该拥有前台应用程序的业务操作访问权限，更不应该在前台应用程序中担任实际的业务操作任务； 7、从技术角度限制开发人员对生产环境中应用程序文件夹的访问权限，只有经过授权的人员对程序拥有读、写和执行的权限； 8、禁止信息技术人员共享操作系统级别的账号。 第五节 附则 第十九条 本制度由公司总部信息技术部负责解释和修订。 第二十条 本制度自发布之日起开始执行。 附件一 系统变更申请表 系统变更申请表 编号： 变更请求类型 □用户方变更 □开发方变更 □需求增加 □需求修改 □需求缩减 □其它：请说明： 变更申请人 申请日期 实施人员 验证人 原需求 内容描述 变更内容描述 变更的影响 业务部门负责人 意见： 签字： IT人员 意见： 签字： 备注： 附件二 用户测试报告 1. 基本信息 测试依据 例如：参照标准、客户需求、需求规格说明书、测试用例等 测试范围 测试验收标准 测试环境描述 测试驱动程序描述 提示：可以把测试驱动程序当作附件 测试人员 测试时间 须注明每次回归测试的时间 测试工具 2. 实况记录 模块 测试用例编号 期望结果 测试结果 缺陷密度 是否执行了回归测试 3. 测试总评价 根据对测试结果提出一个关于软件能力的全面分析，需标明遗留的主要缺陷、局限性和软件的约束限制等，并提出软件测试过程中程序中的不足。 根据测试标准及测试结果，综合评价软件的开发是否已达到预定目标。 4. 缺陷修改记录 提示：如果采用了缺陷管理工具，能自动产生缺陷报表的话，则无需本表。 缺陷名称 缺陷类型 严重程度 模块 原因 驻留时间 解决方案 … 测试人员签字/日期： 附件三 程序变更验收报告 验收报告书 需求部门 系统名称 系统名称英文缩写 系统版本 任 务 完 成 情 况 栏 *由信息技术部根据任务完成实际情况填写* 任务名称 实际开始时间 实际完成时间 实际工作量 人天，合 人月 本次任务实际税前开发费用（含报酬） *注明小写金额和大写金额* ￥ 元，（大写） 【任务完成情况】：*由信息技术部简要概述任务完成情况* 【提交文档清单】：*由信息技术部提交相关文档清单* 业务部门接受人签字： 信息技术部提交人签字： 日 期： 日 期： 验 收 过 程 信 息 栏 *由信息技术部根据验收过程填写* 验收开始时间 验收完成时间 验收地点 需求部门 验收人员 角色/职责 信息部门 协助人员 角色/职责 任 务 验 收 情 况 栏 *由业务部门根据验收情况出具* 【验收意见】：*由业务部门项目负责人出具对实际验收结果的意见* 业务部门项目负责人签字： 日期： 任务管理处室项目负责人签字： 日期： 任务管理处室负责人签字： 日期： 任 务 验 收 结 论 栏 *由业务部门出具，双方负责人签字确认* 【验收结论】：*由业务部门根据验收意见出具任务验收结论* 【下发意见】：*由业务部门根据验收结论出具程序下发意见* 业务部门负责人签字： 信息技术部负责人签字： 日 期： 日 期： 注：该表格一式两份，业务部门、信息技术部双方各执一份。 其中专业理论知识内容包括：保安理论知识、消防业务知识、职业道德、法律常识、保安礼仪、救护知识。作技能训练内容包括：岗位操作指引、勤务技能、消防技能、军事技能。 二．培训的及要求培训目的 安全生产目标责任书 为了进一步落实安全生产责任制，做到“责、权、利”相结合，根据我公司2015年度安全生产目标的内容，现与财务部签订如下安全生产目标： 一、目标值： 1、全年人身死亡事故为零，重伤事故为零，轻伤人数为零。 2、现金安全保管，不发生盗窃事故。 3、每月足额提取安全生产费用，保障安全生产投入资金的到位。 4、安全培训合格率为100%。 二、本单位安全工作上必须做到以下内容： 1、对本单位的安全生产负直接领导责任，必须模范遵守公司的各项安全管理制度，不发布与公司安全管理制度相抵触的指令，严格履行本人的安全职责，确保安全责任制在本单位全面落实，并全力支持安全工作。 2、保证公司各项安全管理制度和管理办法在本单位内全面实施，并自觉接受公司安全部门的监督和管理。 3、在确保安全的前提下组织生产，始终把安全工作放在首位，当“安全与交货期、质量”发生矛盾时，坚持安全第一的原则。 4、参加生产碰头会时，首先汇报本单位的安全生产情况和安全问题落实情况；在安排本单位生产任务时，必须安排安全工作内容，并写入记录。 5、在公司及政府的安全检查中杜绝各类违章现象。 6、组织本部门积极参加安全检查，做到有检查、有整改，记录全。 7、以身作则，不违章指挥、不违章操作。对发现的各类违章现象负有查禁的责任，同时要予以查处。 8、虚心接受员工提出的问题，杜绝不接受或盲目指挥； 9、发生事故，应立即报告主管领导，按照“四不放过”的原则召开事故分析会，提出整改措施和对责任者的处理意见，并填写事故登记表，严禁隐瞒不报或降低对责任者的处罚标准。 10、必须按规定对单位员工进行培训和新员工上岗教育； 11、严格执行公司安全生产十六项禁令，保证本单位所有人员不违章作业。 三、 安全奖惩： 1、对于全年实现安全目标的按照公司生产现场管理规定和工作说明书进行考核奖励；对于未实现安全目标的按照公司规定进行处罚。 2、每月接受主管领导指派人员对安全生产责任状的落 第8页，共8页