it变更管理流程.docVIP

IT 变更管理流程 1. 目的 IT 变更管理流程建立的目的是为了保障软件、硬件、数据、配置、流程等变更在各个 阶段得到合理的安全控制管理，对变更情况进行跟踪和记录。 2. 范围 本流程适用于流程、服务器系统、网络设备、应用程序、数据库、配置文件变更的管理。 3. 定义 3.1 变更管理 变更管理包括变更申请、评估、授权、开发、测试、审批、部署等变更过程中涉及 的一系列控制环节的管理。 3.2 紧急变更 紧急变更为因其紧迫性而需要立刻实施，可以口头或者其它方式获得允许的授权后 才能进行；紧急变更需要在事后补充相应的变更记录。 3.3 变更管理小组 变更管理小组负责策划变更步骤，并把变更付诸实施的小组，该小组由 IT 部和公 司相关高层管理领导。变更管理小组为临时组织，由 IT 部成员、IT 部相关经理或/ 及总监、申请部门的经理或/及总监、变更涉及的各负责部门相关经理或/及总监组 成；申请部门属于变更负责人，IT 部门属于召集人和执行人，由 IT 部门负责系统 实现。 3.4 变更负责人 变更负责人为变更申请部门的经理或相关领导。 3.5 变更程序 变更程序为在变更正式部署前，发出正式通知，评估变更的影响和部署变更的过程 及相应的日程安排等。 3.6 回退计划 回退计划为变更计划的一部分，包括一系列的处理步骤，在变更失败时，可以依照 这一系列的步骤使信息系统恢复到变更前的状态。 3.7 变更类型 变更类型 定义 应用系统或数据库变更 变更对象为应用系统程序或数据库的结构、内容等。 变更对象为基础架构相关信息资产（包括服务器、网络设备等）或 基础架构或配置文件变更 信息资产相关配置文件或配置信息（包括信息资产属性如 IP 地址、 MAC 地址、信息资产编码、存放位置等） 3.8 系统影响等级 系统影响等级 定义 涉及的用户多，且商业服务可能会遭受较大的影响。变更可能会中断网络或/及应 系统严重影响 用程序，例如关键服务器操作系统的升级、关键应用软件的实施、可能会影响财 务报表数据的变更、新业务系统的实施、关键补丁程序的分发，网络设备配置重 （第 1 级） 大变更或硬件升级，以及 DDN 线路变更等。 涉及的用户较少，且商业服务可能会遭受中等程度的影响。变更可能会导致可预 系统中等影响 （第 2 级） 见的部分网络或应用程序中断，例如新业务模块的实施、非关键服务器操作系统 的升级，以及网络设备的轻微变更等。 涉及的用户很少，且商业服务可能会遭受很低程度的影响。变更可能会中断部分 系统低影响 （第 3 级） 网络服务或某个服务器，例如执行一些新的财务相关的报表功能的开发、进行网 络打印机的配置变更，以及窗体的变更等。 没有用户或服务会受到影响。例如进行应用程序和标准配置变更、非关键补丁程 系统零影响 （第 4 级） 序的分发、密码重新设定等不需要停机时间的变更、执行一些新的非财务相关的 报表和程序等。 3.9 系统影响等级审批层级 系统影响等级 实施批准 执行批准 系统严重影响 （第 1 级） IT 总监和申请部门总监或 CFO IT 总监和申请部门总监或 CFO 系统中等影响 IT 相关系统及应用的经理、总监和申 IT 相关系统及应用的经理、总监和申请部 请部门经理 门经理 （第 2 级） 系统低影响 IT 相关系统及应用的经理和申请部 IT 相关系统及应用的经理和申请部门经 门经理 理 （第 3 级） 系统零影响 （第 4 级） IT 网络管理员、IT 应用管理员、IT 开发人员或 IT 业务程序统管理员 IT 相关系统及应用的经理 4. 职责和权限 阐述本制度/流程涉及的部门（角色）职责与权限。 4.1 变更审批人的职责和权限 变更审批人仔细阅读变更申请人提交的变更描述文档，根据业务需要，分析变更的 合理性、必要性、重要性及变更风险，并作相应的审批。 4.2 变更执行人的职责和权限 撰写变更描述文档，确定变更的影响范围、实施范围和预期结果，以及变更失败的 回退计划。严格按照变更描述文档所述，按时按序执行变更步骤和相应验证步骤， 如变更步骤失败则执行回退计划。在所有变更步骤执行完毕后，变更执行人通知受 影响部门和变更申请人。 5. 内容 5.1 应用系统或数据库变更管理流程 5.1.1 变更申请的提交和批准流程 a) 变更管理程序起始于一个正式的变更申请； b) 变更申请可由各个方面提出，包括最终用户或IT 部内部人员等； c) 变更申请的提出需要变更申请人填写《IT 变更申请表》，变更申请人在填 写时应根据变更类型和系统影响等级确定变更的影响等级以及变更的类 型，并记录在变更申请中； d) 变更的申请要经过变更申请人所在部门领导、变更对象负责部门领导、信 息技术部领导的审批，具体审批层级需要根据系统影响等级和系统影响等