ISMS-B-11 变更控制程序-ISO27001

1、变更控制程序文件编号：ISMS-B-11版 本：A/0页 码：第4页 共4页版本更改履历制订/修订审批生效日期A/0编制审核批准日期日期日期分发栏：r 市场中心r 项目中心r 模具中心r 采购部r 品质中心r 货仓课r 财务部r 总经办r 人力资源中心r 设备课r 计划部r 生产中心1. 目的为规范及加强对公司信息系统变更的控制，降低由于变更管理不当而导致的信息系统风险，特制定本程序。2. 范围本程序适用于公司信息系统的维护管理部门对信息系统变更的管理。3. 职责与权限3.1 人力资源部负责本公司信息系统变更的管理和协调处理，包括总体评价变更影响，决策管理，变更的计划、实施、恢复等。3.2 相

2、关部门需要时，相关部门应配合人力资源部实施信息系统变更。4. 相关文件a) 软件控制程序5. 术语定义无 6. 控制程序6.1变更分类6.1.1本公司涉及的变更分为以下6类：a) IT设备（信息处理设施）变更。b) 操作系统变更。c) 应用系统变更。d）操作流程变更。e）数据库变更。f）配置信息变更。6.2 变更控制要求6.2.1 变更计划制订6.2.1.1 当信息系统需要发生变更时，应先分析其变更原因，变更主要有以下几个方面：a) IT设备的维修、升级或更换，按信息处理设施控制程序进行控制。b) 操作系统的补丁升级或更换。c) 应用系统的升级或更换。d) 各类操作流程的变更。e）数据库变更。

3、f）配置信息变更。6.2.1.2在明确变更原因后，人力资源部负责对变更进行策划，提出变更意见，以及变更的具体实施方案计划，交由领导审核。6.2.2 变更的批准6.2.2.1领导对提交的变更计划进行审核，如涉及到其他部门，则转发相关部门共同审议，达成共同意见后，批准变更计划。6.2.2.2人力资源部在经领导及相关部门审批通过后实施变更具体操作。6.3 变更的实施6.3.1变更实施前，人力资源部负责将变更的信息传达到所有相关用户。变更应按批准的计划和程序进行。6.3.2软件的版本控制按软件控制程序进行。6.3.3应当由经过培训或熟悉相关操作的系统管理员，根据授权来执行操作系统软件、应用程序软件和程

4、序库的升级、补丁或更新。6.3.4操作系统软件、应用程序软件和程序库的升级、补丁或更新前，应进行数据备份，包括数据、程序和具体配置。6.3.5变更如果影响业务连续性计划，应对业务连续性计划做适当调整或改变。6.3.6在变更过程中，应采取措施防止信息泄漏（防止隐蔽通道或特洛伊木马等）。6.3.7应保存操作系统软件、应用程序软件和程序库的升级、补丁或更新记录。6.4 变更不成功的恢复措施6.4.1所有的变更，包括IT系统的变更、操作系统软件、应用程序软件和程序库的升级、补丁或更新等，在制订变更计划时，就需要将失败恢复措施作为必要措施写入计划，适当时应经领导与相关部门论证通过。6.4.2在变更实施时，需要注意对应用系统造成的影响，如影响超出可控范围，需停止变更，并将系统恢复到变更前的状态。6.4.3在变更实施后，由人力资源部和相关部门及用户对变更的影响作出测试或评估，确保对业务连续性和安全没有不利影响。如评估结果为变更不成功，则应启动变更恢复措施，将变更还原。6.5 软件包的变更6.5.1本公司一般不随便更改软件包。如果确有必要进行更改，应取得供应商的许可和支持，提出更改的部门应在实施前进行风险评估，确定必须的控制措施，经人力资源部及领导批准。6.5.