变更管理规定-v1.0.doc

保密等级秘密文档名称信息安全策略文档编号 发布组织信息安全工作委员会发布日期2009-1-7 执行日期2009-1-7 版 本 号1.0信息安全策略批准人签字审核人签字制订人签字 曹立斌日期： 2009-1-7 金浩海日期：2009-1-7 金浩海日期： 2009-1-7 变更履历序号版本编号或更改记录编号变化 状态 *简要说明(变更内容、变更位置、变更原因和变更范围)变更日期变更人审核人批准人批准日期11.0C创建，全页。2009-1-7金浩海金浩海曹立斌2009-1-7*变化状态：C创建，A增加，M修改，D删除变更管理规定1.目的对信息处理设施和系统的变更缺乏控制是系统故障或安全失误的常见原因，为规范本公司信息系统的变更，降低因信息系统变更带来的风险，特制定本程序。2.引用文件1) 下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。2) ISO/IEC 27001:2005 信息技术-安全技术-信息安全管理体系要求3) ISO/IEC 17799:2005 信息技术-安全技术-信息安全管理实施细则3.职责和权限1) 实施部：实施部是公司信息系统变更的归口管理部门，负责批准变更的计划、实施、恢复，总体评价变更影响，决策管理；并实施变更。2) 其他各部门：负责分管的各自工作系统的计划申请和总体评价变更影响。4.变更步骤管理4.1明确变更分类1) 以下情况属于变更范畴，需按此变更管理规定处理。2) 当信息系统需要产生变更时，应先分析其变更原因，信息类变更主要有以下几个方面：a) IT设备的维修、升级或更换。b) 操作系统的补丁升级或更换。c) 应用系统的升级或更换。d) 各类操作流程的变更。e) 数据库变更。f) 配置信息变更。3) 实施部依据公司实际情况制定变更分类表，明确公司的变更事项的分类，变更类别分日常、一般和重大三种类别。只有重大类别变更填写完成的相关表单，对日常和一般两个级别的变更只要求保留变更记录即可。4.2.变更影响评价1) 实施部确认并制定重要设备和重要信息系统变更管理明细表。 2) 对于非重要设备和重要信息系统的变更，可不做变更影响评价。 3) 对于重要设备和重要信息系统的重大变更，应对变更影响进行评价：a) 变更实施前，由实施部及各应用部门提出变更预期目的及影响预测，交由实施部领导审核。b) 变更实施后，首先由实施部对变更的实际影响进行评估，提交实施部领导进行影响评估。c) 变更实施后，各应用部门和用户对变更产生的影响进行评估，并将意见反馈给实施部。4.3提交变更计划1) 在明确变更原因和必要的变更影响评价后，实施部负责对变更进行策划，提出变更意见，以及变更的具体实施方案计划，交由实施部长审核。2) 变更不成功的恢复措施，所有的变更，包括IT系统的变更、操作系统软件、应用程序软件和程序库的升级、补丁或更新等，在制订变更计划时，就需要将失败恢复措施作为必要措施写入计划，并经实施部领导与各应用部门论证通过。3) 实施部提交变更申请表和变更计划表4.4 变更的测试1) 变更测试是对回退计划、变更实施计划和变更预期进行测试。变更测试应在独立的测试系统上进行。不可再正式环境中进行测试2) 对于重要设备和重要信息系统的重大变更要首先进行测试，避免变更带来的风险。3) 对需要测试的变更，制定应急恢复计划。4.5变更的批准 1) 实施部长对提交的变更计划进行审核，如涉及到其他部门，则转发相关部门共同审议，达成共同意见后，批准变更计划。2) 如需要召开变更协调会议，实施部要保留相关会议记录。3) 系统管理员经实施部长授权后实施变更具体操作。4.6变更的实施1) 变更实施前，实施部负责将变更的信息传达到所有相关用户。变更应按批准的计划和程序进行。2) 要由经过培训的管理员，根据授权来执行操作系统软件、应用程序软件和程序库的升级、补丁或更新。3) 操作系统软件、应用程序软件和程序库的升级、补丁或更新前，应进行数据备份，包括数据、程序和具体配置。4) 在变更实施时，需要时刻注意对应用系统造成的影响，如影响超出可控范围，需停止变更，并将系统恢复到变更前的状态。4.7变更验收1) 变更后，实施部填写变更验收报告2) 在变更实施后，由实施部和各应用部门及用户对变更的影响作出测试或评估，确保对业务连续性和安全没有不利影响。3) 变更主管对变更进行评估，评估内容包括：a) 变更是否达到预期的目标b) 用户是否满意变更的结果c) 变更是否带来未预期的副作用d) 变更的费用和工作量是否超过预期4) 如果变更成功，则变更结束。如果变更失败，则重新开始。变更主管可根据情况，建议执行回退计划然后重新申请变更。因为继续在失败的系统中变更常常会引起更多的问题。5) 变更不成功的恢复措施：a) 根据回退计划，取消所做更改，如从备份资料中获得原始软件资料，重新运行，恢复原始状态；b) 根据更改操作记录，查找更改失败原因，以便再次做更改操作时避免同样的错误发生。6) 变更后备份要求：当更改完成后，需将此次所运行的系统、软件和数据进行备份，包括其相关资料，以便下次的再一次更改以及资料查询；如果此次更改涉及到一些资料文件，则这些资料文件也必须做相应的更改并存档4.8软件包的变更1) 一般不更改软件包。如果确有必要进行更改，应取得供应商的许可和支持，提出更改的部门应在实施前进行风险评估，确定必须的控制措施，经实施部及总经理批准。2) 软件包更改时，应保留原始软件，并在完全一样的复制软件上进行更改，更改实施前应得到实施部及总经理的授权。5.实施策略1) 变更管理中涉及的变更管理汇总表包括变更分类表、重要设备和重要信息系统变更管理明细表、变更申请表、变更计划表、变更验收报告、变更管理统计报告和变更管理记录汇总共7个表单。2) 实施部依据公司实际情况制定并存档变更分类表3) 实施部确认并制定存档重要设备和重要信息系统变更管理明细表4) 实施部在提交计划时，填写并存档变更计划表5) 变更后，实施部填写并存档变更验收报告6) 每季度对变更情况进行总结汇总，填写并存档变更管理统计报告和变更管理记录汇总表6.相关记录本程序发生的记录汇总表见表1（表式见ISMS