信息技术变更管理规定

信息技术变更管理规定

1.目的对信息处理设施和系统的变更缺乏控制是系统故障或安全失误的常见原因,为规范本公司信息系统的变更，降低因信息系统变更带来的风险，特制定本程序

2.引用文件1）下列文件中的条款通过本规定的引用而成为本规定的条款凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本凡是不注日期的引用文件，其最新版本适用于本标准2）I SO/1EC27001:2005信息技术-安全技术-信息安全管理体系要求3）I SO/1EC27002:2005信息技术-安全技术-信息安全管理实施细则

3.职责和权限1）网络技术部网络技术部是公司信息系统变更的归口管理部门，负责批准变更的计划、实施、恢复，总体评价变更影响，决策管理；并实施变更2）其他各部门负责分管的各自工作系统的计划申请和总体评价变更影响

4.变更步骤管理变更申请变更审批-----------变更处理.5程序

5.1变更分类a）IT设备变更包括系统中服务器、网络设备、传输线路及计算机终端的新增、减少及其设备本身的变化（包括设备的报废）；b）操作系统软件变更包括新安装、补丁、版本升级及更换（如打ZLJY2补T）;c）开发软件包的变更52IT设备变更控制软件设备（包括传输线路）的变更需求由变更管理部门根据组织业务发展的需要提出，填写《变更申请审批处理表》，经变更管理部门经理批准后予以实施

5.3操作系统软件变更当软件厂商发布操作系统或应用软件的更新补丁或版本时，FT人员负责分析更新内容对公司现有业务及工作的影响，IT人员可以先选一台测试机安装最新补T,在未发现对工作业务产生重要负面影响的前提下，为使用该操作系统或应用软件的用户安装补丁

5.4软件的变更控制当客户重新对项目的某一或某些模块进行重要要求时，项目组负责跟踪客户的新要求,进行业务及可以行性分析，组织有关人员进行方案评审，考虑系统改造对现有业务的影响，并制定有效的风险控制措施，方案在评审通过后，修改《需求开发说明书》，针对发生变更的模块，修改相应的详细设计书，数据库说明书,源程序并对整个项目重新进行测试在软件正式变更前，项目组应考虑以下方面的安全要求a）变更对目前业务的影响；b）变更对现有软件的影响；C）变更实施前应进行安全测试；d）不成功的变更恢复措施在变更实施前，由变更管理部门填写《变更申请审批处理表》，明确变更的原因、变更范围、变更影响的分析及对策（包括不成功变更的恢复措施），经IT人员批准后予以实施

5.5变更实施的安全要求在变更实施之前，必要时，将重要的数据、系统软件进行备份，以便变更不成功之后的恢复在变更实施之前，必要时，应和相关部门协商，以便确定适当的变更时间，尽可能的将对业务的影响减至最低

5.6变更验收与记录当变更成功提交后，需由用户进行验收，确认其是否已完成用户所提的要求，达到预期的效果，并记录此次变更操作

5.7设备报废设备报废应得到网络技术部批准后实施报废设备中存有敏感信息，必须予以清除.

5.8变更后软件备份要求当变更完成后，需将此次所运行的软件进行备份，包括其相关资料，以便再一次变更以及资料查询；如果此次变更涉及到一些资料文件，则这些资料文件也必须做相应的变更并存档

5.9变更不成功的恢复措施取消所做变更，从备份资料中获得原始软件资料，重新运行，恢复原始状态根据变更操作记录，查找变更失败原因，以便再次做变更操作时避免同样的错误发生

6.相关记录《变更申请审批处理表》ISMS-3013-01。