银行信息系统变更管理新规制度.docVIP

XXXXXXX银行信息系统变更管理制度 总 则 为规范XXXXXXX银行信息系统变更和维护管理，提升信息系统管理水平，优化信息系统变更和维护管理步骤，特制订本制度。 本制度适适用于已开发或采购完成并正式上线、且由信息系统开发组织移交给应用管理机构以后，所发生生产信息系统（以下简称信息系统）运行支持及系统变更工作。 变更步骤 系统变更工作可分为下面三类类型：功效完善维护、系统缺点修改、统计报表生成。功效完善维护指依据业务部门需求，对系统进行功效完善性或适应性维护；系统缺点修改指对部分系统功效或使用上问题所进行修复，这些问题是因为系统设计和实现上缺点而引发；统计报表生成指为了满足业务部门统计报表数据生成需要，而进行不包含在信息系统功效之内数据处理工作。 系统变更工作以任务形式由需求方（通常为业务部门）和维护方（通常为信息部门应用维护组织和信息系统开发组织，还包含合作厂商）协作完成。系统变更过程类似信息系统开发，大致可分为四个阶段：任务提交和接收、任务实现、任务验收和程序下发上线。 需求部门提出系统变更需求，并将变更需求整理成《系统变更申请表》（附件1），由部门责任人审批后提交给系统管理员。 系统管理员负责接收需求并上报给信息科技部经理。信息科技部经理分析需求，并提出系统变更提议。信息科技部经理依据变更提议审批《系统变更申请表》。 系统管理员依据自行开发、合作开发和外包开发不一样要求组织实现系统变更需求，将需求提交至内部开发人员、合作开发商或外包开发商，对信息系统进行变更。 实现过程应根据信息系统开发过程要求进行。系统变更过程应遵照信息系统开发过程相同规范标准，并经过测试和正式验收才能下发和上线。 系统管理员组织业务部门系统最终用户对信息系统变更进行测试，并撰写《用户测试汇报》（附件2），提交业务部门责任人和信息科技部经理领导签字确定经过。 在系统变更完成后，系统管理员和业务部门最终用户共同撰写《程序变更验收汇报》（附件3），经业务部门责任人签字验收后，报送信息科技部经理审批。 培训管理员负责对系统变更过程文档进行归档管理，变更过程中包含全部文档应最少保留两年。 紧急变更步骤 对于紧急变更，需求部门能够经过电子邮件或传真等书面形式提出申请。 信息科技部依据关键性和紧迫性做判定，确定其优先级和影响程度，并进行对应处理。 紧急变更过程中应使用专设系统用户账号，由专责部门或人员开启紧急修改变更程序。信息科技部应对紧急变更处理进行规范文档统计。 在紧急事件处理完成后，必需在一周内补办正式、完整文档，其中包含问题发觉人填写紧急变更申请、问题发觉人所在部门责任人对该申请审批、需求部门/信息科技部测试统计（包含签字确定测试结果）。 系统变更权责分离 系统变更过程中，应采取多种方法确保维护环境访问权限受到良好控制。这些方法包含： 1、经过系统用户授权管理，确保只有特定人员能进行系统维护工作； 2、假如使用专用程序开发工具，只有授权人员才能使用程序开发工具（经过只有特定开发人员拥有程序开发工具）； 3、经过对源代码访问控制，限制只有授权人员才能取得源代码以进行系统维护； 4、在进行自有系统信息系统变更时，应建立版本控制制度确保每次在最新代码基础上进行更改，当多名程序员同时进行更改工作时，能够进行合适协调； 5、经过对系统日志审阅，监督系统维护人员在系统中操作，确定维护工作授权； 6、在进行自有系统信息系统变更时，应预防源代码在完成测试到正式上线之间非授权修改。 系统变更过程中，采取多种方法确保生产系统应用程序访问权限受到良好控制。这些方法包含： 1、经过生产环境访问控制，限制对生产环境访问； 2、经过物理隔离手段，限制对生产环境访问； 3、经过逻辑隔离手段，限制对生产环境访问； 4、对授权访问生产环境人员进行具体统计，使用该统计对生产环境访问权限检验，确保只有经授权人员才能访问生产环境； 5、一般用户只能经过前台登录系统，不能经过后台（如使用生产环境操作系统命令行）进行操作； 6、信息技术人员不应该拥有前台应用程序业务操作访问权限，更不应该在前台应用程序中担任实际业务操作任务； 7、从技术角度限制开发人员对生产环境中应用程序文件夹访问权限，只有经过授权人员对程序拥有读、写和实施权限； 8、严禁信息技术人员共享操作系统等级账号。 附则 本制度由XXXXXXX银行信息科技部负责解释和修订。 本制度自公布之日起开始实施。 附件1 系统变更申请表 编号： 变更请求类型 □用户方变更 □开发方变更 □需求增加 □需求修改 □需求缩减 □其它：请说明： 变更