1、XX 信息系统变更管理制度制人评审人批准人日期日期日期修订记录日期 修订版本 CR/ Defect 修改章节 修改描述 作者号第一章 总则第一条 为加强 XX 单位信息系统的变更管理,确保变更需求的 申请、审批、设计、测试与实施的规范性,保障信息系统的安全稳定 运行,特制定本管理制度。第二条 本管理制度由 XX 单位信息安全职能部门依据本单位相 关制度文件制定。第三条 本管理制度适用于 XX 单位信息系统的变更管理。信息 安全职能部门负责对其进行定期审阅更新,以符合业务发展的需要。第四条 本管理制度中规定的内容在上述范围内具有强制效力。 任何例外或违背本管理制度的情况都需上报 XX 单位网络与
2、信息安全 领导小组审批。第二章 变更管理的目标和职责第五条 变更管理的总体目标,是确保变更需求的受理符合业务 的优先需要,并使变更过程规范化,控制变更对 XX 单位信息系统安 全运行的不利影响。第六条 信息安全职能部门负责受理所有变更需求,会同其他相 关部门对变更需求进行评估,主要责任包括:(一)负责受理各部门提交的变更申请;(二)负责组织对变更申请进行评估、分析;(三)负责将评估意见向 XX 单位网络与信息安全领导小组汇报沟通,获取所 需的授权;(四)负责组织变更的测试和实施;(五)负责组织定期对变更效果进行分析和总结。第三章 信息系统变更的提出与评估第七条 信息系统变更,指由于新增信息系统
3、功能、系统逻辑改 变、系统错误修正、系统补丁安装及版本更新、系统配置修改及业务参数修改等原因,而对信息系统进行单位部改变的一切活动。信息系 统变更需求主要来源于以下几种情况:(一) 由于实际业务需要对现有信息系统的功能或设置进行变更或通过新增 功能来满足需求;(二)用户在使用过程中发生的一些操作错误,或技术人员、监控管理软件自 动发现的故障或事件, 需要通过安装程序补丁或修改配置等操作进行修 改;(三)厂商定期发布的系统补丁,涉及系统的功能、性能、安全漏洞,需要在 信息系统中进行安装;(四)由于系统容量扩充或与信息系统存在数据交换或数据共享的其他系统 发生变化后引发的信息系统变更。第八条 信息
4、系统变更的提出,必须由申请部门填写信息系统 变更流程单。在申请信息填写阶段的主要工作内容包括:(一) 申请人需选择变更类型;(二)描述变更内容和目的;(三)是否存在其他措施满足变更需求;(四)如不实施变更可能对业务、 安全控制、 系统可用性和数据准确性的影响;(五)选择变更的急迫性。第九条 申请部门主管审批签字后提交信息安全职能部门进行处 理。第十条 信息安全职能部门收到变更申请后,和变更申请部门充 分沟通,理解变更需求的合理性,审阅变更的影响和急迫性,并会同 其他相关部门对可行的变更实施方案和变更对信息系统的影响做出评 估,最终形成建议变更日期,填写至信息系统变更流程单,交信 息安全职能部门
5、负责人进行审批。第十一条 信息安全职能部门组织变更需求评估时,应充分考 虑系统是否已存在满足变更需求的功能或设置;是否存在其他操作手 段,能达到同样的变更需求效果。第十二条 信息安全职能部门组织变更需求评估时,应了解实施变更内容:(一)是否需要进行开发,以及开发的工时;(二)是否需要进行操作系统、数据库系统、中间件、硬件和网络的变更;(三)是否需要进行后台数据变更;(四)是否存在信息安全控制的考虑因素;(五)结合部门现有的资源,统筹安排变更实施时间表;(六)实施相关变更时,可能导致的业务中断或业务服务水平下降。第十三条 综合对变更需求合理性的评估和变更实施影响的评 估,信息安全职能部门在信息系
6、统变更流程单提出变更的建议日 期,并进行资源协调。在信息安全职能部门负责人进行审批后,通知 相关部门:(一)如不建议实施变更,则向变更申请部门说明理由;(二)如建议实施变更, 则告知建议变更的时间及对业务服务和内部操作的影 响,要求变更申请部门和相关部门进行准备;第四章 变更的实施第十四条 对涉及软件开发的需求变更,组织相关厂商给出实 施方案并予以实施。第十五条 对不涉及软件开发的需求变更,信息安全职能部门 根据需要制定变更的测试步骤,落实测试人员在测试环境中对变更进 行测试,测试人员对测试结果进行记录并签字确认。第十六条 信息安全管理人员对变更进行上线前审阅,确保系 统变更过程中的系统安全。
7、信息安全管理人员完成上线前审阅后,信 息安全职能部门进行上线处理。信息安全管理人员根据变更的风险程 度,进行上线后审阅,确保达到变更目标。第十七条 为控制信息系统的变更对业务服务和业务操作带来 的影响,确保生产环境的完整性和可靠性,信息安全职能部门应制定一系列控制变更的策略和制度,严格控制变更的规模、涉及面及信息 安全风险。包括:(一)信息安全职能部门负责人每周对集中的变更工作计划进行审阅, 确保充 分有效的技术资源或系统供应商、开发商技术资源,保证变更的有序进 行;(二)除非是需要立即实施的特急变更, 信息安全职能部门应选择非业务繁忙 时间,如凌晨、周末或公众假期进行变更上线;(三)信息安全
8、职能部门进行周密计划,包括制定意外应急措施;(四)分离信息系统与开发或测试系统的管理职责;(五)保证信息系统和开发或者测试系统相分离, 禁止开发人员在未经授权的 情况下进入信息系统;(六)只有在得到管理层批准执行紧急修复任务时, 开发人员才能访问信息系 统,所有的紧急修复活动都应立即进行记录和审核;(七)开发人员对信息系统进行变更必须经过严格的审批和控制; 开发人员访 问信息系统时必须由信息安全职能部门系统管理员对其访问进行监督 和记录, 并在访问结束后系统管理员及时禁用或删除开发人员在信息系 统中使用的账号;(八)对信息系统进行变更必须经过严格的授权之后才能进行操作实施, 操作 实施过程必须
9、受到严格监控。第十八条 变更实施上线前需进行用户测试,并在变更上线后 由变更申请部门负责人对变更进行签字确认。第十九条 对于上线过程可能导致业务暂时中断或导致业务操 作发生重大变化的变更,信息安全职能部门必须在上线前以书面方式 告知相关业务部门影响的业务范围和时间,并提供相关技术支持。第二十条 变更计划与步骤、回退计划与步骤、测试步骤与结 果、信息安全审阅意见、用户测试确认等变更实施信息记录在信息 系统变更流程单,变更计划和测试接受信息。信息安全职能部门负 责人负责对变更实施信息进行审阅。第五章 紧急变更管理第二十一条 紧急变更是指在某些紧急情况下,对信息系统需要 在没有完整的系统测试,或无法
10、完成正式审批流程的情况下进行的变 更。如:因系统缺陷需要对信息系统进行立即修补,或突发的监管要 求对信息系统进行紧急变更。第二十二条 紧急变更应由变更申请部门相关负责人提出,获得 信息安全职能部门负责人的审批或者授权方可进行。可以接受的审批 方式或者授权是信息安全职能部门负责人的口头授权、邮件授权等, 并在紧急变更实施之后,补足相应的信息系统变更流程单并由相 关负责人员签字,进行备案。第二十三条 在紧急变更实施前,须进行测试。紧急变更前未能 实现测试的,须事后补足相应的测试及测试文档,并由相关测试人员 签字。第二十四条 紧急变更应记录日志,由信息安全职能部门和变更 申请部门共同审核和签字确认,
11、并进行程序和数据备份,以便必要时 可以恢复到原来的程序版本和数据版本。第六章 变更的总结分析第二十五条 变更实施后,信息安全职能部门组织其他相关部门 对变更实施的结果进行定期集中评估,主要应从以下几个方面对变更 实施的情况进行总结:(一)变更是否达到预期目标;(二)变更是否存在负面影响;(三)一段时期内实施的变更数量(包括总量以及按变更类型分类的数量);(四)变更以及变更请求的理由清单和类型分析、 以及未来控制变更数量的跟 进措施;(五)变更回退的数量及其原因。第二十六条 信息系统变更流程单填写完整后由信息安全职 能部门进行整理归档,并由部门负责人安排人员进行定期审阅。第七章 附则第二十七条
12、本管理制度由信息安全职能部门负责解释和修订, 经网络与信息安全领导小组批准执行。第二十八条 本管理制度自发布之日起实施。附件附件 1:信息系统变更流程单信息系统变更流程单申请编号: 提交时间: 年 月 日第一部分 申请信息(由变更申请部门填写):变更申请部门: 申请人:申请人电邮: 申请人电话: 系统功能新增 系统应用参数设置 业务数据改动 系统现有功能缺失 系统程序错误修正变更类型 系统安全补丁 系统硬件及网络更新 其它类,请说明 _ 变更需求具体内容和目的描述:请如实描述变更需求的具体内容,并从系统可用性、系统可服务性、数据准确 性和完整性等方面描述系统变更需求的必要性。如果不进行系统变更
13、是否存在其他措施满足变更需求?变 更 急 迫性 特急,需要立即中断业务,实施变更 紧急,需要在下一工作日开始之前完成变更 一般,可在一周内非业务繁忙时间完成变更 较低,可在一个月内的非业务繁忙时间完成变更 低,可在下一次系统升级时实现变更变 更 申请 部 门主 管 审日期: 年 月 日批变 更 需 求 评 估 部 门 建 议评 估 负 责 人 签 字签字(章):日期: 年 月 日搁置变更,暂不具备变更实施条件。不做变更,有其他方式可满足变更需求,如:批准变更,建议 年 月 日前,非业务繁忙时间完成 变更。运行维护部门负责人签字签字(章):签字(章):日期: 年 月 日 日期: 年 月 日信
14、息 安全 职 能部 门负 责 人审批签字(章):第二部分 变更计划(由变更执行部门与变更申请部门共同填写)1 变更计划和步骤 (由变更执行部门提供)时间 步骤 执行人2 变更回退步骤 (由变更执行部门提供)2.1 变更回退条件:2.2 变更回退计划和步骤时间 步骤 执行人3 变更测试步骤(由变更测试验收部门提供)测试点 测试步骤 测试结果变更实施结果:实施者签字/日期:测试验收结果:实施者签字/日期:变更申请部门反馈意见及结果确认:变更需求已实现,确认接受变更结果。不确认接受变更结果,原因:变更申请部门签字(公章)/日期:附件 2:机房环境变更申请表机房环境变更申请表申请时间: 年 月 日编号:变更需求(符合打勾,否则打叉)新增拆除其他变更变更(设备/设施)名称、数量名称数量备注变更设备位置(房间)申请人签字机房管理员签字部门领导签字执行情况(时间、主要内容、相关人)
浙ICP备2021020529号-1 | 浙B2-20240490 
