信息系统变更管理办法

信息系统变更管理方法修改记录版本号修改日期主要修订汇总稽核记录审阅者属于部门评估日期第一章总则第一种是专门开发的管理方法，旨在快速响应信息系统的业务需求和IT优化请求，同时有效地控制更改风险，将突发事件和更改失败降至最低。第二条变更管理的基本要求：1.变更请求必须经过评估，确保变更的可行性。2.变更必须经过周密的计划，以确保变更实施和恢复计划的完整性和准确性。3.确保变更的透明度和工作之间的有效沟通。请确保更改具有明确完整的记录。5.实施变更后，值班人员应加强观察和监控，以确保变更达到预期目的。第三条本管理方法适用于信息中心的信息系统变更。第二章组织和责任第四条为了确保公司重要信息系统的启动和变更工作的顺利进行，企业建立了重要信息系统变更领导团队，监督整个公司重要信息系统的建设，监督重大项目变更的风险评估报告和内容的审查、审批和风险管理流程。管理信息中心、风险管理、内部控制法规遵从性、内部审计部、物流服务、办公室和各业务部门的负责副主管，并指定技术组、业务组、审查组和安全组等团队，将各部门的相关人员指定为团队成员。(a)技术组的责任如下：1、重要信息系统更改业务影响分析和评估2、负责重要信息系统变更的具体技术实施。(b)业务组的责任如下：1、组织制定重要信息系统变更测试方案和业务应急处置方案；2、组织范围的业务部门、每个业务部门在实施关键信息系统更改的过程中执行业务测试和业务紧急处置。(c)审查组的责任如下：1、审查重要信息系统变更方案；2、负责整个实施过程的监督和审核。(d)安全保障组的责任如下：1、提供重要信息系统变更所需的人员、财力和物力保障；2、做好对受影响客户的说明和镇静工作。3、组织对外发布公告的同时，负责对相关第三方机构做好通信工作；4、负责做好电力、通信、公安、消防等相关外部机构的应急协调机制和应急联动机制。第三章分类变更第五条结合变更请求的紧迫性和变更工作的规范性考虑，分为紧急变更、一般变更和标准变更三类变更。第六条根据硬件更改、系统更改、网络更改、测试更改等更改类型，有四种更改。第七个紧急变更是必须立即实施的变更。否则，将显着影响多个用户、关键系统的服务质量或可用性。第八条紧急变更与否由技术部门负责人或指定个人共同决定。必要时，技术部门负责人可以召集相关人士紧急讨论。第九条标准变更适用于以下两种情况之一：(a)属于日常维护性质的低风险运营。(b)已执行且未影响的变更作业已确认，并且在工作手册中已验证的整个作业阶段(未按照标准变更执行的定义或不符合条件的作业)。第十个标准变更的管理进程可以参考常规变更管理进程，但可以跳过变更计划审阅部分。第十一条一般变更：紧急变更、标准变更以外的变更属于一般变更。第十二条第四章变更通知第十三条变更影响现有业务系统和业务运营的，应当在变更执行前5天通知有关部门。为防止更改冲突和减少对业务的影响，促进各业务部门的业务协调。第五章风险评估第十四条信息中心必须在技术层面确定、分析和评估重要信息系统更改风险，包括系统功能缺陷、客户信息泄露、业务中断、缓慢交易或其他因素可能产生的风险，并编制初步风险评估报告。风险管理部门应配置相关管理部门，以验证信息中心重要信息系统更改的初步风险评估报告，评估重要信息系统更改实施过程中可能出现的运营风险、法律风险和信誉风险，并生成最终风险评估报告。第15条重要信息系统更改风险评估流程(a)信息中心门在实施重要信息系统更改之前，必须进行风险识别和初步分析，并发布技术层面的风险分析评估报告。(b)风险管理部门对重要信息系统更改风险进行总体风险分析和评估，提出风险分析和评估结果，判断重要信息系统更改是否确实实施。(c)如有必要，风险管理部门可以委托外部专家或合格的外部专业机构进行关键信息系统更改的风险评估工作第16条重要信息系统更改风险评估报告(a)信息中心分析和评估技术方面重要的信息系统更改风险，并发布风险评估报告。(b)风险管理部门组织相关管理部门对重要信息系统更改实施过程中可能出现的运营风险、法律风险和信誉风险进行评估，并生成最终风险评估报告。(三)风险管理部门负责向高级管理人员提交重大项目的风险评估报告，并取得高水平的审计结果。特别是重大项目，董事会的风险控制和相关交易委员会将主要项目的风险评估报告提交给董事会，并获得董事会审查结果。第十七条应当制定风险评估中发现的漏洞的纠正方案，明确纠正时间。没有整改条件的情况下，应采取风险缓解措施。第六章变更控制第18条一般变更管理进程分为变更说明、变更评估、变更测试、变更实施和变更跟踪五个主要阶段，风险较大的变更需要制定详细的应急和回滚计划。第十九条信息中心统一组织协调信息系统变更工作，每年每一秒都要制定和公布本年度重要信息系统变更规则，制定变更前实施计划和实施计划，确定实施战略和程序，明确职责，保证核心职务的分离。第二十条信息中心负责重要信息系统变更内容的审查批准，建立授权机制的任务。第二十一条内部审计部门审查信息系统变更过程中提交的相关文件资料，了解是否有适当的控制措施，指出现有风险，提出评价和建议。第二十二条为了确保信息系统的稳定运行，信息中心应根据对业务影响最小的原则，采取符合风险水平的重要信息系统变更政策。第二十三条信息中心应当合理地避免重要信息系统从业务高峰和敏感时段联机，办公室应提前通知客户重要信息系统更改对服务的影响。第二十四条信息中心应建立完整完整的测试系统，测试结果应通过信息中心和相关业务部门确认，并制作测试和验收报告，确保系统在线后稳定运行，系统功能与业务目标保持一致。第25条信息中心应建立与生产环境隔离的测试环境，测试环境应模拟生产环境的实际情况。第二十六条信息中心要建立健全的版本管理系统，制定严格的审批、控制和操作流程，保存完整的记录。要更改的重要信息系统必须保证符合系统开发和运行管理系统规范的完整、准确、有效的版本。第二十七条信息中心在重要信息系统变更过程中必须加强数据管理和质量管理测试环境中使用的敏感生产数据需要进行脱敏、变形处理。如果需要历史数据迁移，则必须制定详细的数据迁移计划，并提前执行数据迁移测试和数据有效性、兼容性验证，以确保迁移后数据的完整性、安全性和可用性。第二十八条信息中心和相关业务管理部门应当制定重要信息系统变更应急计划，根据变更回滚期间要求制定相应的系统回滚和应急处理计划和流程，必要时进行练习，实施重要信息系统变更后，及时更新各相关应急计划。第二十九条在信息系统变更过程中，信息中心要严格执行在线建设方案，加强监督和审查，避免操作错误和非法操作。第三十条信息中心应当加强对信息系统变更过程的风险监控和警报，各有关部门合作，彻底做好应急准备。第三十一条信息中心必须制定和实施系统操作管理程序、系统，业务部门必须组织相关的业务管理方法、操作程序、明确的业务和操作管理责任、必要的培训，以确保变更实施后业务顺利进行。第三十二条重要信息系统变更实施后，部门、管理部门和信息技术部门必须验证变更的有效性。第三十三条信息中心必须管理重要信息系统变更过程中发生的各种文件资料，确保文件资料的完整性、及时性和有效性，满足独立审计要求。第三十四条一般信息系统变更由信息中心统筹管理，应当建立事先审批、四重控制、事后评价的管理流程和实施细则。重要信息系统更改由重要信息系统更改组长管理。相关管理流程详见附件一。第三十五条为了减少变更对信息系统稳定运行的负面影响，信息中心应根据尽量减少对业务影响的原则，明确合理的变更期限，严格控制变更次数。对于重要信息系统更改，原则上每个重要信息系统一年至少一次，全年累计的重要信息系统更改不会影响业务持续性超过四次。第七章变更报告第36条重要信息系统更改前至少30个工作日，更改前至少20个工作日，重要信息系统更改请求部门向更改审阅小组提出请求，由审查小组组织审查，更改重要信息系统前至少20个工作日，更改前至少10个工作日，包括3360(a)介绍和更改目的、内容、计划开始时间、业务影响范围、联系方式和联系方式的总体说明。(b)重要信息系统基本信息，如：系统名称、业务功能、操作系统、数据库、中间件情况、应用程序体系结构、技术体系结构、数据体系结构、生产主机备份方案、数据备份方案、操作管理等相关功能部门，以及是否包括灾难恢复计划。(c)重要信息系统信息安全策略和措施，包括帐户、交易和客户重要信息的安全控制措施。(d)如果与基础设施相关，必须提供基础设施基本信息，包括机房和网络计划。机房方案包括等级标准、地址、供配电系统、消防、空调、弱电系统、机房加固、机房空间规划和机房验收报告等。网络方案包括网络体系结构分区、核心网络备份情况和区域间、外部网、internet边界安全措施和网络监控措施。(e)采用外包方法需要提交外包服务组织情况、外包服务内容、外包风险评估报告等。(VI)运营和更改计划，包括运营和更改的组织结构和实施计划、运营阶段等。(7)风险评估报告，包括业务影响分析、技术风险分析和评估、控制措施的效果和剩馀风险。(八)实施应急计划、练习，包括应急计划、应急响应组织结构、应急方案、应急处理过程、步骤、应急联系方式和报告路径等，需要提交练习总结报告。第三十七条信息中心在重要信息系统启动和变更实施后的20天内进行了重要信息系统变更后，应整理报告材料，其中应详细说明后续改进，如变更计划执行、效果、问题发现和处理、变更失败等，并参考内部控制规定、风险管理部门的事后报告。重要信息系统更改过程：第八章附则第三十八条本办法由信息中心解释和修改。第三十九条本办法自公布之日起施行。附件：变更记录档表格变更提交者提交