信息安全管理体系

变更管理制度

版本号:V1.0

网络信息中心

2020-9

1. 文件版本信息

目 录

第一章总则1

第二章变更类型、类别、级别2

第三章变更流程管理3

第一节变更申请3

第二节变更准备4

第三节变更实施5

第四节变更跟踪7

第五节紧急变更8

第四章附则9

总则

1. 贵州食品工程职业学院为了保障软件、硬件、数据、配置、流程等变更在各个阶段得到合理的安全控制管理,对变更情况进行跟踪和记录,特制定本制度。

2. 本制度适用于公司所有业务系统包括:生产主机系统、PC SERVER应用系统、存储系统等的变更申请、评估、授权、开发、测试、审批、部署等变更过程中涉及的一系列控制环节的管理。

3. 下列内容不包括在本规定内:

4. 尚处于开发阶段的IT系统的变更;

5. 不包括变更所需要的开发;

6. 单个客户终端的变更,授权工程师直接执行变更;

7. 直接连接客户端的桌面端网络设备的变更,授权工程师直接执行变更;

8. 已有固定流程的轻微变更,包括口令更改,PC申请维护升级报废;

9. 个人用户IP地址申请更改,INTERNET申请,EMAIL申请等。

10. 网络信息中心负责人负责审阅变更申请人提交的变更描述文档,根据业务需要,分析变更的合理性、必要性、重要性及变更风险,并作相应的审批。

11. 变更申请人负责撰写变更描述文档,确定变更的影响范围、实施范围和预期结果,以及变更失败的回退计划。严格按照变更描述文档所述,按时按序执行变更步骤和相应验证步骤,如变更步骤失败则执行回退计划。在所有变更步骤执行完毕后,变更申请人通知受影响部门或应用负责人。

变更类型、类别、级别

1. 变更类型主要包括:

1. 变更级别(根据风险大小)包含:

1. 变更审批层级:

1. 变更类别

2. 紧急变更:因其紧迫性而需要立刻实施,可以口头或者其它方式获得允许的授权后才能进行;紧急变更需要在事后补充相应的变更记录。所有必须在2天内完成的变更,视为紧急变更。

3. 日常变更:是为满足一项或多项业务要求,可以在预定的期限内完成的变更。

4. 变更角色

5. 变更管理小组:变更管理小组为临时组织,负责策划变更步骤,并把变更付诸实施的小组,该小组由信科部成员、总监及分管领导组成。

6. 变更负责人:变更负责人为变更申请部门的经理或相关领导。

7. 变更实施人员:变更实施人员负责协助变更负责人制定的变更实施计划,执行分派的任务以推进变更项目,负责现场变更实施和向变更负责人汇报工作进程。

8. 回退计划

回退计划为变更计划的一部分,包括一系列的处理步骤,在变更失败时,可以依照这一系列的步骤使信息系统恢复到变更前的状态。

变更流程管理

变更申请

1. 信息系统需要变更时,变更申请者应及时向网络信息中心提出变更申请,阐明变更的原由以及能够解决的问题,填写《信息系统变更审批表》。

2. 网络信息中心收到变更申请后,对变更申请的类别、级别和可行性进行判定:紧急变更纳入紧急变更流程处理。对于非紧急变更,先判断变更请求级别和可行性,如变更不可行,拒绝变更请求;如变更可行,进入变更准备阶段。

变更准备

1. 变更准备工作根据信息系统变更级别不同分别处理,具体如下:

2. 一般变更:网络信息中心负责人批准变更,由技术人员直接执行变更。

3. 较大变更:技术人员制定变更实施、测试及恢复方案,并在测试系统中进行测试验证,验证通过后由网络信息中心负责人审批,审批通过后,由技术人员执行变更,必要时应对恢复过程进行演练。

4. 重大变更:技术人员制定变更实施、测试及恢复方案,并在测试系统中进行测试验证和恢复演练,通过后,报信息安全领导小组审批,审批通过后,由技术人员执行变更。

5. 变更准备工作的具体要求:

6. 为确保生产上的变更能安全、按时、高效实施,凡涉及生产方面的变更均需填报相关材料后上报公司,经公司网络信息中心变更管理小组及管理层领导审批同意后方可实施;

7. 所有生产变更必须通过前期测试工作,并提供内容完整的《网络信息中心需求变更前测试报告》方可进入审批流程;

8. 《网络信息中心需求变更前测试报告》中必须注明详细的测试环境、测试单位、测试人等信息,并有相关团队部门领导的签字为准;

9. 如涉及特殊的紧急变更,无法在规定时间内进行测试工作,必须另行附带具体的文档说明情况和原因,由网络信息中心负责审批变更内容是否可行;

10. 所有影响生产的标准变更类项目(应用、系统、网络、设备调整类),计划每一周为一个变更周期,每周一由网络信息中心人员统一收集变更材料:《网络信息中心需求变更前测试报告》、《生产变更实施方案》,在每周二之前确认所有实施流程及内容是否可行,通过变更管理小组审批后,在周二下班之前根据具体投产情况发布变更具体投产时间;

11. 凡涉及在一定生产运行周期内需固定每周或在指定时间段内多次、频繁实施的例行变更,原则上采取事先统一收集变更内容方案,统筹各项实施时间点,并列出生产影响范围,根据具体项目内容和实施频率来安排定期实施时间段。此类例行变更每季度或半年申报一次,由公司网络信息中心根据具体实施方案来统一排期管理,并在每周设定一个(或几个)非联机交易及批量执行时间段进行例行变更投产;

12. 《生产变更实施方案》内必须有详细的验证和回退内容,而且必须明确每个实施步骤所需的时间,并列出影响生产的时间段;

13. 《生产变更实施方案》中的变更投产时间段必须安排在非生产业务时间段以外进行,并事先对实施内容进行全面的评估,分析其中的风险点,以便在变更投产期间可以对存在的风险点加以控制。

变更实施

1. 技术人员进行变更实施工作,网络信息中心监控整个变更实施过程,如变更失败网络信息中心应立即启动恢复方案恢复系统的正常运行。

2. 变更实施中必须严格按照变更申请单和相关附件中的内容,如碰到实际情况与申请资料不符的情况,应该立即停止操作,恢复到实施前状态,并将实施结果标注为失败且说明原因。

3. 应用系统变更投产要求:

4. 生产环境标准变更投产必须按照信科部规定,定于非业务时间段实施。应用系统需要投产时,需于投产前一周,提供此次投产的版本并刻录成光盘,提交贵州食品工程职业学院,此后不可再更改此版本内容。

5. 投产地点原则上为贵州食品工程职业学院办公工作地点,如遇特殊情况必须至张江生产机房现场,则当日参与变更人员必须至张江机房进行现场变更。

6. 如遇紧急情况,需要进行紧急变更,而遇变更操作人员无法在规定地点进行变更的,通过网络信息中心经理口头授权同意后,在保证网络安全的前提下,可以允许变更操作人员进行远程紧急变更。

7. 投产介质

8. 必须在测试环境完成所有测试工作,并将预投产的补丁包和程序包在测试环境中事先完成杀毒工作。通过刻录光盘方式,将所有投产程序刻入光盘中,将光盘带回办公环境后必须再次进行病毒查杀,确保无误后方可投产。

9. 应用系统投产光盘包含以下内容:最新版源代码(即投产的版本,包括全部源代码及配置文件等相关文件)、版本变更的程序源代码、测试报告、其它需要的文件。

10. 应用系统的投产光盘内容放置目录为:\u7cfb统名\u5168量代码\u6700新版源代码(网上服务、内部服务网站、核心等不同系统在此目录下分别建立子目录)

11. 投产规范

12. 执行投产前,需进行原系统版本的备份及出错回退机制的确认。

13. 投产过程中,需要备份的原版本存放在投产计算机各系统指定的目录下,并定期清理,临时存放在投产计算机上的文件必须及时清除。

14. 投产后需进行验证,并对生产变更实施方案相关规定进行确认。

15. 投产过程中若出现问题时,需进行评估并由服务商提交事故说明报告,评估结果为允许修正,后方可进行修正投产;评估结果为不允许修正,则执行回退机制,系统需恢复至投产前状态并进行验证。

16. 版本控制要求

17. 对系统的代码、数据库、中间件等进行版本控制管理,制定各系统开发项目的文件记录的格式要求,并有相应的软件版本记录清单。

18. 系统发生变更时,由其负责及时对代码、数据库、中间件的归档版本进行更新,同时更新软件版本记录清单。

19. 记录管理要求

20. 所有变更都应留存记录。

变更跟踪

1. 变更实施完成后,技术人员对变更进行后续跟踪、回顾、分析。如果有新问题、新故障出现,需及时处理;如果成功,则本次变更请求结束。

2. 系统正式变更前与系统变更结束后要通告相关领导、部门和人员,整个变更过程均要进行记录,填写《信息系统变更记录表》。变更结束后,应有专人对变更过程文档进行整理、保存。

3. 网络信息中心应由专人维护《信息系统变更记录表》,记录跟踪信息系统的变更情况。

日常变更流程图如下:

紧急变更

1. 紧急变更为突发性变更,网络信息中心应迅速准备变更,同时向信息安全领导小组进行汇报。如有测试时间,网络信息中心立即安排技术人员组织相关人员紧急测试;如没有测试时间,网络信息中心立即协调变更实施,变更完成后第一时间向信息安全领导小组进行汇报变更情况。

附则

1. 本制度由网络信息中心负责解释。

2. 本制度正式发布之日起执行。