1、系统变更管理规定商密三级XXX信息安全管理体系文档XXX系统变更管理规定编号: XXX-L2-005XXX网安技术有限公司二一六年十月版本控制信息版本日期拟稿和修改说明A初版发行1.目的为保证系统变更的正确率,确保生产系统的实时可用,规范公司生产系统的变更操作流程和控制要点,特制定本文件。2.适用范围适用于公司系统的变更管理及相关人员。3.术语定义 系统:包括公司所有应用系统、数据库系统等。 变更申请人:为信息技术中心变更提出人。本文所述岗位,如无特别说明,均为信息技术中心内设岗位。4.职责与权限部门/岗位职责不相容职责4.1系统变更申请人4.1.1 负责提出系统的变更计划;4.1.2 负责填
2、写“信息系统变更管理申请表”(附录一);4.1.3 负责对运行维护人员进行上线前的培训。无4.2变更申请人所在组负责人4.2.1 仔细审阅“信息系统变更管理申请表”(附录一);4.2.2 确认本次变更有否涉及其它组,如果有,需一一指出;4.2.3确认信息系统变更计划的必要性和可行性;4.2.4 确认是否需要部门负责人审批。无4.3变更所涉及的其它组负责人4.3.1 仔细审阅“信息系统变更管理申请表”(附录一);4.3.3 确认信息系统变更计划的必要性和可行性。无4.4系统运行组负责人4.4.1 仔细审阅“信息系统变更管理申请表”(附录一);4.4.2 确认信息系统变更计划的必要性和可行性;4.
3、4.3 确认是否需要部门负责人审批。无4.5 信息技术中心部门负责人4.5.1 根据要求对需要进行审批的变更计划做出审批;4.5.2 仔细审阅“信息系统变更管理申请表”(附录一);4.5.3 确认信息系统变更计划的必要性和可行性。无4.6系统运行组成员4.6.1 仔细阅读“信息系统变更管理申请表”(附录一);4.6.2 做好变更前系统的安全检查;4.6.3 按照“信息系统变更管理申请表” (附录一)的要求实施变更计划;4.6.4 做好系统变更后的测试;4.6.4.1 如果测试失败则恢复成变更前的系统状态;4.6.4.2 如果测试成功则做好灾备中心的同步工作;4.6.5 填写“信息系统变更管理申
4、请表”(附录一)中相应的内容。无5.政策 授权原则:当审批人员暂时无法行使审批权限时,可授权给指定人员代为行使该权限。 本文件由信息技术部负责解释、修订。6.工作程序 6.1 信息系统变更管理流程示意图:阶段流程说明和控制要求责任部门/岗位控制要点支持文件/记录1. 填写1.1 申请人应该详细填写本次变更所涉及到的各方面增加、改动的情况,并给出详细的操作说明。1.2 申请人应该详细列出本次变更所带来的具体功能上的影响和对已有系统的整体影响。1.3 申请人应该给出详细的风险诊断及回退说明。1.4申请人要对被否决的变更计划做出修改以使其符合要求。系统变更申请人信息系统变更管理申请表(附录一)2.
5、审批2.1变更申请人所在组负责人需确认本次变更有否涉及其它组,如果有,需在“信息系统变更管理申请表”(附录一)中写明。2.2 变更计划所涉及组负责人以及系统运行组负责人需仔细阅读“信息系统变更管理申请表”(附录一)并确认本次计划的正确性和必要性。2.3变更申请人所在组负责人和系统运行组负责人需确认本次计划是否需要信息技术中心部门负责人审批。2.5 信息技术中心部门负责人根据要求对需要进行审批的变更计划做出审批。变更申请人所在组负责人变更所涉及的其它组负责人系统运行组负责人信息技术中心部门负责人风险点1:没有对本次变更计划的正确性和必要性做出正确的评估。风险类型:操作风险。风险级别:中等。控制目
6、标:对于变更计划的正确性和必要性做出正确的评估。控制措施:对于错误评估导致的失败计划,评审人要负主要责任。控制岗位:信息 技术中心部门负责人信息系统变更管理申请表(附录一)3. 实施3.1 系统变更申请人需要对运行维护人员进行上线前的培训。3.2 系统运行组成员要对变更前系统做完备的安全检查,不合格的坚决不予变更。3.3 通过安全检查后需按照“信息系统变更管理申请表”(附录一)的要求,按步骤有计划的实施变更。3.4 系统变更上线后要做好变更后测试。3.5 测试成功则需对灾备中心进行同步操作,测试失败则需按照“信息系统变更管理申请表”(附录一)的说明进行回退。系统变更申请人系统运行组成员风险点2
7、:没有详细对测试结果做出评估。风险类型:操作风险。风险级别:高等。控制目标:对测试结果做出正确评估。控制措施:按申请表的影响点做出全面评估。控制岗位:系统运行组负责人。信息系统变更管理申请表(附录一)6.2个人信息系统变更管理工作流程 6.2.1需变更人员填写“个人信息系统变更管理申请表” (附录二),并提交本所属部门经理审批。 6.2.2所属部门经理审批同意后提交给信息技术中心审批,未获部门经理批准则终止该计划。 6.2.3 信息技术中心审批后回复给需变更人员,通过,则监督其按计划实施;不通过,则终止该计划并写明原因。 6.2.4 需求变更人员接到同意回复后按计划实施变更。7.检查监督 信息
8、技术中心各组共同检查监督本文件执行情况。8.附件8.1 信息系统变更管理申请表(附录一)。 8.2 人信息系统变更管理申请表(附录二)。附录一:信息系统变更管理申请表申请原因: 安装 维护 数据申 请 人: 申 请 组: 上线时间:操作说明:1.数据库方面的变更详细描述数据库所做的变动,包括表的变更、字段的变更2.应用软件方面的变更详细描述程序的变更3.系统软件方面的变更详细描述系统软件所做的变动4.硬件方面的变更详细描述对于硬件所做的变更及重要的配置变更设备类型设备型号设备功率固定资产编号配置操作系统用途网络要求供电要求场地要求其他要求5机房日常操作变更6. 设计文档的变更变更影响:逐一列出
9、对相关系统的影响,并详细描述影响的具体功能等 是否需要部门负责人审批:是 否 上线组负责人签名: 运维组负责人签名: 部门负责人意见: 部门负责人签名:安全检查:是否进行病毒检查并有病毒防范措施。IP地址是否由机房统一分配。IP地址为:操作系统安全漏洞检查 用户设置及用户安全检查其他检查项目及存在问题: 签名: 日期:上线情况:上线前是否进行过培训: 是 否 培训人签名: 日期: 受训人签名: 日期:权限处理: 签名: 日期:上线提交: 签名: 日期:上线后测试: 是否需要恢复成变更前的系统状态 是 否 签名: 日期机房操作文档的变更: 签名: 日期灾备同步情况:签名: 日期:申请原因:申请人: 所属营业部: 申请时间: 预计上线时间:操作说明:1应用软件方面的变更 详细描述程序的变更2系统软件方面的变更详细描述系统软件所做的变动3硬件方面的变更详细描述对于硬件所做的变更及重要的配置变更设备类型设备型号设备功率固定资产编号配置操作系统用途网络要求供电要求场地要求其他要求4. 机房日常操作变更详细列出对机房日常操作所做出的改变应急预案:逐一列出可能出现的风险点及相应的应对措施营业部经理审批: 是否同意本次变更 是 否营业部经理签名:信息技术中心审批: 是否同意本次变更 是 否不同意请注明原因 签名:。