16、信息系统变更管理规定.docx

文件名称 信息系统变更管理规定 密级 内部 文件编号 YKXX20210016 版 本 号 V1.0 编写部门 信息科 编 写 人 XXX 审 批 人 发布时间 2021.5 长春 XXXX 有限公司 信息系统变更管理规定 信息科 2021 年 5 月 第 1 页 第一条 第二条 第三条 第四条 第五条  信息系统变更管理规定 第一章 总 则 为规范 XXXX 信息系统的变更管理流程，确保 XXXX 信息系统的可核查性和 可追溯性，合理控制信息系统变更产生的信息安全风险，保障信息系统安 全运行和使用，特制定本规定。 本规定适用于 XXXX 的信息系统，主要用于信息系统运行维护期间管理产 生的变更。 第二章 信息系统变更定义 本规定中的变更是指对信息系统运行维护管理过程中，针对信息系统、网 络、平台、应用系统和设备等需求和配置的增补或修改，所做增补或修改 可能会影响运行环境的稳定性和安全性。 信息系统变更的内容包括但不限于信息系统相关的硬件、操作系统软件 (OS)、应用软件、网络、环境 (冷却、供热等)以及服务文件(如服务等级 协议)等配置和需求产生的变化，具体包括： (一) 信息系统运行过程中业务部门产生的新需求； (二) 信息系统运行过程中维护部门提出的新配置。 根据信息系统变更的时限和紧迫程度不同，变更分成计划型变更和应急变 更： (一) 计划型变更是由变更申请人发起的， 在一定时间范围内由领导审核审 批后， 按照计划安排执行的变更流程， 包括日常运行维护过程中的配 置变更、应用系统需求变更而引发的软硬件变更等。 (二) 应急变更是为了改正运行环境下的某一个重要问题而必须立即实施 的变更。 应急变更也需要进行审批， 但在紧急情况下可免去正常的变 更程序，变更完成后重新填写变更表单。 第三章 组织职责 第六条 信息系统变更涉及变更申请人/部门、变更的审核部门、变更的审批人/部 门、变更的执行人/部门。 第七条 信息系统变更的申请人/部门是提出变更需求的人/部门，主要职责是阐述 变更的需求，变更的目的和基本情况。 第八条 信息系统变更的审核部门是对变更申请必要性、可行性的审核部门，审核 部门是 XXXX 的信息科，信息科应确保信息系统的变更符合 XXXX 总体要求。 第九条 信息系统变更的审批人/部门是对变更申请进行批准的人/部门，根据变更 涉及的范围、程度和审批的权限不同，审批的人/部门应符合 XXXXX 统一 的审批权限管理要求。 第十条 信息系统变更的执行人 /部门是对变更进行操作管理的相关人员，根据工 作内容不同，包括变更的具体执行者，变更发生后的测试人员等。 第四章 信息系统变更要求 第十一条 信息系统在运行过程中产生的变更(包括用途、功能、性能等变更)应 由变更申请人填写《XXXX 信息系统运行变更申请表》 (见附件一)，经各 业务部门确认后，由信息中心审核并提出意见，主管领导签字审批。 第十二条 信息系统的配置(包括软件、硬件、系统等配置参数)变更应由变更申 请人填写《XXXX 信息系统配置变更申请表》 (见附件二)，经相关运行维 护部门确认后，由信息中心审核并提出意见，主管领导签字审批。 第十三条 对于非信息中心统一下发的配置引发的变更， 变更执行人/部门不是信息 中心的情况下， 变更执行人/部门应记录变更执行情况， 并报信息中心进 行备案。 第十四条 对于信息科审核并审批的变更申请，信息中心主管领导对提交的变更申 第 2 页 请审核审批后，应通知申请单位或部门，并对于批准的变更申请予以存 档。 第十五条 信息系统变更实施前，执行人应通知相关部门和人员，在变更进行时， 对变更期内系统和服务的正常运行情况应进行监控。 第十六条 信息系统变更执行人在执行后要测试变更结果并验证执行的成功与否。 如果结果表明不成功，变更执行人应采取回退措施将变更回退至变更执 行前的状态并进行测试，保证回退成功。 第十七条 信息系统变更期内如发现对服务有影响，系统维护人员应通知执行人 / 部门， 分析是否是因变更导致的影响。 如果是， 变更执行人/部门应立即 对问题进行调查，如问题严重，变更执行人应采取紧急恢复措施或回退 程序，和维护人员配合尽快恢复服务。 第十八条 信息系统发生变更的硬件、软件和系统运行操作日志中应记录变更事件 以备后查。 第十九条 信息系统变更实施完毕后， 执行人/部门应通知有关各方， 关闭变更申请 并提供实际实施时间和结果。 第二十条 属于信息资产配置变更范围内的，信息资产的维护部门应根据《XXXX 信 息资产安全管理办法》要求和变更情况，重新维护相应的信息资产信息 和配置信息。 第二十一条 信息系统变更过程中应注意： (一) 应评估应用系统变更是否会影响相关配套设备和网络配置的变更； (二)应用系统部署发生变化时应与网络管理员、 安全管理员相沟通， 确 保访问控制策略的一致性； (三)网络配置发生变化时， 应考虑是否会影响应用系统的稳定运行， 如 果有影响应提前沟通，制定应对措施； (四)应考虑新的技术和措施可能存在的安全风险。 第 3 页 第二十二条 应急变更属于特殊的变更申请，可以因问题紧迫取得特别批准，一般 需要在变更申请批准后尽快实施完成。申请人应随后创建一份变更申 请，并补充相应的测试及审批文档。 第五章 附则 第二十三条 本规定由 XXXX 信息科制定，并负责解释和修订。 第二十四条 本规定自发布之日起执行。 第 4 页 附件一 XXXX 信息系统运行变更申请表 信息系统 第 5 页 申请部门 申请日期 变更类型 变更内容描述 申请更改时间 实施期限/变更完 成时间 业务部门意见 业务部门/用户/系 统/平台的影响 变更前的准备工作 变更执行步骤 保证变更成功的测 试方法 变更失败时应采取 的回退程序 信息中心意见 主管领导意见  申请人 联系电话 □计划型变更 □应急变更 □高 □低 重要程度 应用名称 特殊的变更指示 签字 : 日期： (可附后面) (可附后面) (可附后面) 签字 : 日期： 签字 : 日期： 附件二 XXXX 信息系统配置变更申请单 信息系统： 第 6 页 申请部门 申 请 人 申请日期 联系电话 变更类型 □计划型变更 □应急变更 重要程度 配置变更内容 配置变更原因 配置变更方案  □高 □低 (方案可附后面) 通知部门名称 通知部门 反馈意见 参与变更人员 名单 运行维护部门 意见 信息中心意见 主管领导意见  签字 : 日期： 签字 : 日期： 签字 : 日期：