文档信息
文档名称
|
信息系统变更管理制度
|
文档编号
|
|
文档类别
|
策略方针 □管理制度 ■工作流程 □操作指南 □运维记录 □其他 □
|
当前版本
|
1.0
|
创建日期
|
2020-10-18
|
文档编辑部门
|
信息中心
|
文档作者
|
|
联系方式
|
|
修订记录
文档版本
|
日期
|
修改人员
|
审阅人员
|
修订摘要
|
V1.0
|
2020-10-18
|
|
|
建立文档
|
|
|
|
|
|
审批发布
序号
|
审核记录
|
日期
|
审阅人员
|
1
|
审阅
|
2020-10-18
|
|
2
|
正式核准发布
|
2020-10-18
|
|
3
|
|
|
|
一总则
目的。为规范信息系统变更、发布、配置与维护管理,提高软件管理水平,优化软件变更与维护管理流程,依据《信息安全管理办法》制定本管理制度。
对象。信息系统内部所有的信息系统的变更、发布、配置与维护管理。
范围。本制度适用于信息系统涉及的信息系统。
要求。信息系统变更管理制度统一遵循《GB/T 22239-2019信息安全技术 信息系统安全等级保护基本要求》。
二变更申请及受理
1.变更应提出申请,审批后方可执行。
2.对于非例行计划停机变更,需要事先征得涉及业务部门同意。
3.对于常规变更,变更申请时间:提前二个工作日申请。
4.变更申请要根据运行系统中的不同功能点的变更分别提出变更申请,要避免一个变更中涵盖多个系统的变更动作。
5.非正常工作时间需要立即实施的紧急变更,可以使用邮件或电话形式进行申请和审批。
6.信息中心应及时受理各类系统变更申请,对17:00以后受理的变更申请视同下一个工作日提交的变更申请(紧急变更除外)。
7.对要素填写不全、申请时间不符合要求、描述不清的变更申请,信息中心可以退回变更申请部门。
三变更方案制订
1.信息中心组织相关人员填写变更实施方案、计划的同时,需要相关部门或人员共同研究、制订评估方案和应急方案。
2.需要由第三方服务商提供变更方案或脚本时,变更申请部门应通过正式渠道(例如邮箱等)向信息中心提出,由信息中心根据变更内容制定变更方案,变更方案应进行评审。
3.变更实施计划和回退方案应包含以下内容:
(1)变更日期、时间(包括变更实施计划开始时间和结束时间);
(2)变更影响范围和是否影响生产系统业务连续运行;
(3)变更中各部门需要配合和确认的工作,明确变更主要实施人员;
(4)变更实施后的验证方案;
(5)是否完成相关技术培训、操作手册和操作日志的修订;
(6)变更是否涉及配置变更;
(7)变更分析评估方案(包括风险分析、隐患分析等);
(8)变更的具体实施步骤、内容;
(9)变更的回退方案;
(10)变更的应急方案。
四变更审批
1.系统变更由信息中心进行审批,如涉及多个部门,由各个部门共同审批。
2.变更实施人员填写实施计划时,应明确变更的风险,并由系统负责人审批。
3.对于技术方案或审批过程存在异议的变更,由变更实施部门组织协调,必要时提请本部门最终审批人裁定。
4.对于未被批准的变更,由变更实施部门负责将变更未被批准的具体原因通知变更申请单位。
5.对业务有可能造成影响的变更,需要在变更实施前通知相关业务部门。
五变更实施
1.除紧急变更外,对运行系统业务连续运行造成影响的变更,实施时间要避开业务高峰日期和特殊日期。
2.对于具备测试条件的变更,要在测试环境上进行严格、完整的模拟测试。
3.应根据变更的情况及时召开协调会,对变更进行通报和协调,进一步明确变更实施的要求和相关配合工作。
4.系统变更实施前:
(1)变更实施人员需要对变更实施计划进行确认,做好实施前的准备工作,包括有关操作流程制定、操作日志修改、技术文档整理和操作人员培训等工作;
(2)根据变更的受理情况,协调相关技术支持人员进行验证。
5.变更实施的要求:
(1)变更实施人员应确认“变更实施计划、评估、验证、应急和回退方案”;
(2)变更实施过程中,按照变更实施计划的执行时间、环境、顺序、条件等要求执行变更实施计划,严格监控变更实施过程;
(3)变更实施过程必须保证双人操作;
(4)变更实施完成,认真检查现场执行结果,根据变更验证方案对变更后情况进行验证,并将变更实施结果反馈相关部门。
6.变更实施过程中,如果发生与变更实施计划不相符的意外情况时,在没有找到原因和排除错误的方法时,变更实施人员必须立即报告,由该变更审批人决定是否终止变更,恢复变更实施前的运行环境,并详细记录信息。
7.变更实施过程中,如果需要启动新的变更或因变更实施计划不周需要调整变更内容,应重新进行变更审批;若因某种原因导致变更失败,必须由实施部门审批人决定是否启动回退方案。
8.对于变更实施后的运行系统,变更实施人员进行跟踪检查和验证,确保变更结果的正确性。
9.对于涉及客户账户的变更,必须在变更前后对账户进行检查,确保变更实施准确无误。
10.对于在变更实施过种中出现安全事件,应按照安全事件管理规定执行。
11.若变更实施过程中出现问题,在技术人员无法解决的情况下及时中止变更,并按照制订的变更回退方案和变更应急方案进行相关处理。
六变更汇总
1.变更实施完成后,由变更实施部门向变更申请部门反馈变更实施情况。
2.对于系统变更,应二个工作日反馈变更申请部门。
3.如果变更失败,变更实施部门负责分析产生问题的原因、提出改进意见、及时反馈到变更申请的相关部门。
七附则
对违反本制度的人员,将按照有关规定进行处罚。
本制度由信息安全工作小组负责制定、解释和修改。
本制度自发布之日起执行。
信息安全工作小组
2020年10月18日