1-变更管理办法.doc

版本编号：XX.XX-XXXX 变更管理办法 XXXX-XX-XX发布 XXXX-XX-XX实施 XXXXXXXXX 发布 前 言 为了保护信息系统的安全，促进建设的顺利进行，保障化的应用和发展变更管理办法 范围 本制度规定了xxxxxxxxx信息系统及设施变更程序。 本制度适用于xxxxxxxxx开展信息安全管理工作。 组织与职责 变更负责人职责：负责变更的发起、变更方案制订、变更测试、变更执行、变更记录等变更主线工作。并协调沟通变更过程中的相关资源。变更负责人可以是普通员工、部门领导等各个层面的员工。 变更审批人职责：负责变更全程的审批和监督工作，从整体业务层面判断变更的必要性和可行性。 信息安全专员职责：负责变更方案和变更测试过程，和安全相关的工作。 相关组织职责：根据变更工作的需要，参与、配合变更工作的执行。 变更分级与授权 变更级别 一级 二级 三级 四级 变更需求急迫 性要求 急迫 不急迫 急迫 不急迫 变更需求重要 性要求 重要 重要 不重要 不重要 变更范围 重要业务的重要功能 网络割接/升级 重要的安全补丁和升级 重要配置变化 网络系统的重大改变 … … 一般性系统升级 系统配置变化 服务对象变化 网络系统局部（非重要部分）变化 重要业务的一般性功能变化 一般性安全补丁 小范围变化 系统淘汰 … … 变更影响 影响重要业务 功能 影响网络性能 影响整体形象 影响业务部分 功能 影响业务部分 功能 对整体影响很小 对部门/业务系统影响很小 响应确认时间 24小时之内 48小时之内 48小时之内 无限制 变更审批人 信息安全 领导小组 信息安全 管理办公室 信息安全 管理办公室 信息安全专员 变更管理流程 流程图说明： 本流程主要适用于一级和二级变更，三级和四级变更可简化变更过程，但必须有变更记录。 一级和二级变更，在变更方案获得审批后，须向影响范围内外部客户和内部用户发布变更通知。 针对周期性的同一变更工作（三级和四级），须形成统一、标准的变更方案。在变更过程中可简化对此类变更工作的审批工作。 变更方案须包括以下内容： 变更需求描述 确定变更进度安排（如：实施变更的日期） 实施前对变更进行测试的方法 实施变更的详细步骤 对实施变更的成功与否的判断依据 变更失败后的详细回退措施与步骤 变更成本及利益 变更风险及带来的影响 变更审批依据： 实施变更给业务带来的风险 不实施变更给业务带来的风险 实施变更对业务产生的影响（时间、资源、质量方面） 检查表 任务编号 检查点 检查内容 检查方法 检查周期 1 变更申请 检查变更申请表的完整性 从最新的变更申请表中抽取10% 每月1次 2 变更方案 检查变更方案的可行性和完整性，并通过访谈变更负责人了解变更过程中，了解是否真实按照变更方案执行 从最新的变更申请表中抽取5% 每月1次 3 变更记录 通过对比相应的变更方案，检查变更记录的完整性 从最新的变更申请表中抽取5% 每月1次 相关记录 《变更申请单》 《变更操作记录表》 附件一 变更申请单 申请部门 申 请 人 申请日期 联系电话 变更级别 变更申请详细描述（原因、变更内容）： 签字： 日期： 变更管理员框架方案： 通知以下相关部门： 签字： 日期： 相关部门反馈意见： 参与变更人员名单： 变更授权人签字： 日期： 附件二 变更记录表 变更日期： 操作内容 开始时间 结束时间 操作人员签字 核查人员签字 完成情况 备注 2 1