网络变更流程图指引1.doc

1、 网络变更流程网络变更流程文档控制文档名称：网络变更流程机密分类：内部版本控制：版本号定版日期作者更新说明文档审定：姓名部门（文档部分所有者）复查计划：复查时间复查结果发布批准人：分发控制：人员文档权限与文档的主要关系目 录文档控制21总则42通则43附则8第1条 制定本流程的目标是为了规范xxx网络变更行为，使得网络系统的变更遵循公司信息安全的有关流程。第2条 本流程是指导xxx进行网络系统变更管理工作的基本依据。第3条 本流程适用于xxx拥有、控制和管理的所有网络系统，包括但不限于网络系统、操作/应用系统、项目开发等范畴，涉及属于xxx网络系统范围内的所有部门以及在特殊情况下的其他第三方组

2、织.第4条 本流程的解释和修改权属xxx。第5条 本流程主要依据国际标准ISO17799，并遵照我国信息安全有关法律法规、行业规范和相关标准。第6条 信息系统的变更应当遵循以下原则： 保证系统在变更前后的一致性原则； 保证系统在变更前后的完整性原则; 保证变更的可控性原则； 保证变更的协调性原则； 保证变更的可审计性原则；第7条 信息系统的变更控制包括但不局限于下列情况：范畴内容网络系统网络系统构架（拓扑）变化网络系统功能变化网络设备内嵌操作/应用系统版本升级网络设备配置变化网络设备变化（设备更新/调配）地址分配 第8条 信息系统的变更级别应当按照如下的情况进行确认：变更级别甲级乙级丙级丁级变

3、更需求急迫性要求急迫急迫不急迫不急迫变更需求重要性要求重要不重要重要不重要变更范围重要业务系统的重要功能网络割接/升级重要的安全补丁和升级重要配置变化网络系统的重大改变 重要业务系统的一般性功能变化一般性安全补丁 一般性系统升级系统配置变化服务对象变化网络系统局部（非重要部分)变化 部门内部小范围变化系统淘汰 变更影响影响重要业务系统功能影响网络性能影响公司整体形象 影响业务系统部分功能 影响业务系统部分功能 对公司整体影响很小对部门/业务系统影响很小 响应确认时间24小时之内48小时之内48小时之内无限制第9条 信息系统的变更应当得到上级主管部门明确的授权和支持，任何没有获得上级主管部门明确

4、授权的变更将被视为非法，不会获得任何支持;第10条 任何非法变更的发起者和执行者将受到公司相应管理制度和条例的惩戒，惩戒程度视变更的范围和影响而定；第11条 任何获得上级主管部门授权的变更应当获得公司相应的变更支持，以保证： 公司对变更请求的确认； 公司对变更过程的保护；第12条 信息系统的变更按照变更的级别，由下表确认和授权：变更级别甲级乙级丙级丁级变更确认和授权部门公司最高决策机构上级主管部门上级主管部门上级主管部门上级主管部门第13条 信息系统变更请求应当由信息系统的合法拥有者/管理者正式向主管部门提出;第14条 信息系统的变更请求应当向上级主管部门提供包含但不局限于下列内容： 变更请求

5、的发起者； 变更的目的和意义; 变更的紧迫性和重要性(变更级别）; 变更请求需要的答复响应时间； 变更涉及的业务系统范围; 变更对当前系统的影响； 变更请求涉及和需要的各类资源,包括所必需的各类人力资源和物力资源； 变更的必要性与可行性分析； 详细的变更实施计划，包括但不限于变更实施步骤、紧急情况应对措施等内容; 对变更结果的预测与评估；第15条 信息系统的变更请求依据其变更等级由相应的上级主管部门负责审批和授权；第16条 涉及跨部门的变更请求,应当由更上一级主管部门进行协调、审批和授权;第17条 各级变更控制管理机构在审批变更请求时应当: 确认信息系统变更请求者的合法地位； 检查系统/功能的

6、内在/外在风险控制措施在变更过程中不会受到破坏； 检查系统/功能的完整性、可用性、机密性在变更过程中不会受到破坏； 审核确认变更所涉及的范围； 审核评估变更对公司/组织的(潜在的）正面/负面影响; 审核确认变更所需要的各种资源消耗; 审核变更请求中评估结果并对变更做出允许/不允许的决议; 维护变更请求以及变更请求者的审计跟踪记录； 对变更请求进行备案，并报上级主管部门; 下发对于变更请求的决议和通知，确保所有相关人员均已知晓变更； 批准变更执行计划,任命合适的变更执行人员/小组； 对变更执行人员/小组进行必要的授权；第18条 系统变更由相应的变更控制管理机构所任命/授权的人员/小组负责实施；第

7、19条 被授权的变更执行者应当： 在变更实施之前确保所有的合法用户都同意变更； 在变更实施之前确认所有先决条件均已满足变更实施要求; 在变更实施中，严格按照既定的变更方案实施变更，确保变更得到正确的组织和实施，使在变更流程范围之内，最大限度地减少变更对业务系统的影响; 在变更实施中维护变更实施过程纪录供上级变更控制管理部门和信息安全审计部门审计； 确保在变更实施完毕后相关文档的及时更新，所有的旧文文档得到妥善的处理(归档或者销毁）; 变更实施完毕后及时向上级变更控制管理部门/审计机构通报变更执行情况； 在变更实施过程中和完毕后接受上级变更控制管理部门/审计机构对变更过程的监督/审计；第20条

8、变更控制管理部门在变更实施过程中应当： 负责监督变更的实施； 负责对变更实施的记录进行审计; 在各个部门之间协调变更的执行； 对变更中的突发事件进行控制；第21条 变更控制管理部门在变更实施完毕后应当: 组织相关人员/部门对变更的过程和结果进行评估和审计，以确保变更达到设计目标； 向变更的发起者和执行者提供评估/审计结果; 对整个变更进行备案；第22条 在变更过程中如果遇到突发事件，由变更执行人取得相应的授权之后全权处理，但必须在处理完毕后在变更控制管理部门备案；第23条 变更纪录由下级变更管理机构归档并报上级变更管理机构备案；第24条 对于在变更执行过程中和完毕后违反执行流程的人员和行为，依据其情节的轻重和后果的严重程度，由公司有关管理条例和规范实施惩戒；第25条 为了确保本安全流程的可用性和可操作性，需要定期进行审查/更新或因为变更而进行更新.第26条 本流程由xxx每年审视一次，根据审视结果进行修订，修订后重新颁布执行；第27条 本流程的解释权归xxx;第28条 本流程自签发之日起生效。仅供xxx内部参考使用7 2004-9