IT变更管理新规制度.docx

1、一、 目标规范信息安全方向类变更行为，降低系统故障风险，保障系统可用性。二、 范围本制度适适用于IT生产环境中包含到信息安全类软件、硬件、配置等变更或基于规避信息安全风险标准提议其它变更。三、 定义(一) 变更分级依据变更紧急程度将变更分为两类：标准变更和紧急变更。变更类型及等级定义详见附件1。(二) 变更步骤标准变更管理步骤详见附件2，紧急变更管理步骤详见附件3。(三) 职责和权限叙述本制度/步骤包含部门（角色）职责和权限。1. 变更审批人职责和权限对影响较大、风险较高关键变更进行审批。2. 变更审核人职责和权限变更审核人负责审核变更实施方案，决议变更等级，监控、管理变更实施全过程，并对影响

2、较大、风险较高关键变更操作，向变更审批人请示。3. 变更申请人职责和权限撰写变更实施文档，确定变更影响范围、实施范围和预期结果，和变更失败回退计划。4. 变更实施人职责和权限严格根据变更描述文档所述，按时按序实施变更步骤和对应验证步骤，如变更步骤失败则实施回退计划。在全部变更步骤实施完成后，变更实施人通知受影响部门和变更审核人。四、 要求(一) 变更准备1. 对于标准变更，必需提前1个工作日提交实施方案，并通知受影响用户和关联络统责任人。对变更进行分级，如遇变更时长超出1小时标准变更，需要公布维护公告。2. 重大变更实施前必需对变更对象相关配置进行备份，并判定是否需要公布维护公告。3. 变更方

3、案必需经过测试，测试结果需填写在变更申请表中（详见附件4）。(二) 变更审批1. 全部标准变更必需经过步骤审批才能实施。变更申请人对于有固定周期、或低影响标准变更，可将变更计划一次性提交审批。除非变更计划发生改变，不然后续变更无需再提交申请。2. 变更审核人必需依据变更等级定义对变更进行分级（详见附件1），对实施方案进行操作可行性审批。对于关键变更、工作日标准变更必需提交变更审批人审批。3. 紧急变更必需由变更审批人同意，实施完成后需补交审批步骤。(三) 变更实施1. 除非特批，相关信息安全类变更时间需控制在每七天四19:00至次日8:00期间。2. 在变更实施后必需需由相关人员对影响范围内应

4、用系统进行验证。3. 变更实施人在变更成功实施后需通知变更审核人，在确定实施成功后方可结束变更步骤。4. 如遇变更失败需实施回退操作时，需取得变更审核人同意。失败后需查明原因，并提交相关文案。五、 附录附件1 变更分类及等级定义1. 变更分类依据变更紧急程度将变更类型划分为标准变更和紧急变更，具体定义见下表：序号变更类型类型描述1标准变更提前计划且需经过审批才能实施变更。比如：硬件设备更换、防火墙策略更改等。2紧急变更在变更计划之外，为应对突发紧急情况必需立即实施变更。比如：系统重大故障。2. 变更等级定义依据变更影响程度对变更进行等级划分，具体定义见下表：序号等级等级描述1关键满足下列条件之

5、一即可认为是“关键”：1) 影响企业关键业务；2) 系统需停机时间超出1小时；3) 实施风险较大，易造成数据丢失，比如丢失当日业务数据。2通常1) 系统部分组件或集群部分主机不能提供服务，比如Web集群WEB01服务器停机维护；2) 停机时间不超出1小时；3) 回退方法简单，不会影响业务数据。 附件2 标准变更管理步骤附件3 紧急变更管理步骤附件4 变更申请表变更申请表变更项目名称变更审核人变更申请人同意日期变更实施人计划变更时间变更类别标准 紧急 变更等级通常 关键 变更实施对象： 应用系统 应用系统名称：_ 受影响系统名称：_ 服务器 服务器名称： _ 受影响系统名称：_ 网络： 设备位置：_ 设备用途：_ 安全类： 设备名称：_ 设备用途：_配置修改描述：变更目标：变更影响范围立即长：变更方案测试统计（如有）：变更实施、验证、回退步骤序号实施步骤验证步骤回退步骤1234