【管理制度】【制度模板】系统变更管理制度.docVIP

PAGE 3 系统变更管理制度 文档信息 单位名称 XXXX 文档名称 系统变更管理制度 文档编号 受控状态 扩散范围 制作人 审核人 批准人 页数 共3页 发布日期 生效日期 版本历史 版本 日期 说明 修订人 1.0 创建文件 系统变更管理制度 第一章 总则 第一条 为加强本单位重要信息系统变更过程管理，制定本制度。 第二条 本制度所称的重要信息系统是指支撑重要业务，其信息安全和服务质量关系公民、法人和其他组织的权益，或关系社会秩序、公共利益乃至国家安全的信息系统。 第三条 本制度所称的重要信息系统变更主要指： （一）影响本单位系统服务、重要业务中断时间3小时（含）以上的重要信息系统以及支持其运行的基础设施变更，包括机房改造、机房场地迁移、网络及核心业务系统应用架构变更、核心业务系统版本变更等。 （二）其他对本单位重要业务运营及重要信息系统的可用性、完整性、安全性具有较大潜在影响的变更。 第二章　组织管理 第四条 XXXX建立重要信息系统变更管理机制、制度与流程，承担技术管理工作，协调其他部门开展相关工作，保障XXXX技术资源投入。 第五条 其他部门配合XXXX开展变更工作，开展业务影响分析，制定业务管理办法，组织用户测试，保证业务资源投入。 第六条 审计相关部门开展重要信息系统变更审计工作，针对问题提出整改意见。 第三章　风险评估 第七条 XXXX识别、分析、评估重要信息系统变更风险，包括系统功能缺陷、客户信息泄露、业务中断、交易缓慢或其他因素可能造成的操作风险、法律风险和声誉风险。 第八条 针对风险评估中发现的薄弱环节制定整改方案，明确整改时间。不具备整改条件的应采取风险缓释措施。 第四章　变更控制 第九条 为控制信息系统的变更对客户服务和业务操作带来的影响，确保生产环境的完整性和可靠性，XXXX应采取一定的控制信息系统变更的策略，严格控制变更的规模、涉及面及信息安全风险。包括： （一）XXXX负责人及时对变更工作计划进行审阅，确保充分有效的XXXX技术资源，保证变更的有序进行； （二）除需要立即实施的特急变更，应选择非业务繁忙时间，如凌晨、周末或公众假期进行变更上线，应提前将重要信息系统变更可能对服务的影响告知客户； （三）制定重要信息系统变更应急预案，制定系统回退和应急处置计划和流程，必要时实施演练。 （四）对信息系统进行变更必须经过严格的授权之后才能进行操作实施，操作实施过程必须由双人操作、复核。 第十条 重要信息系统变更过程中，应严格执行上线实施方案，加强监督与复核，避免操作失误和非法操作。 第十一条 根据对业务影响大小将重要信息系统变更分为一般变更、重大变更和紧急变更。 （一）一般变更是指对生产系统的运行影响较小的变更，不影响系统可用率。主要有：系统配置修改（不停机）；补丁升级（不停机或不停止应用服务），包括应用和系统、网络；网络配置修改（不影响应用服务）；硬件或配件变更（不停机或不影响应用服务）； （二）重大变更是指会对生产系统的持续运行造成影响的变更。主要有：新应用系统上线或应用系统大版本升级（需停止服务）；补丁升级（需停机或停止应用服务），包括应用和系统、网络；网络配置修改（影响应用服务）；硬件或配置变更（停机或影响应用服务）； （三）紧急变更是指因系统问题或预警引发的，存在较大风险的，需紧急处理的变更。 第十二条 信息系统变更的提出，必须由申请部门（业务部门或XXXX）填写《信息系统变更流程单》有关内容，申请变更。申请内容应包括： （一） 申请日期； （二） 申请人需选择变更类型； （三） 计划变更时间； （四）描述变更内容和目的。 第十三条 申请部门主管审批签章后提交XXXX进行处理。 第十四条 XXXX与变更申请部门充分沟通，理解变更需求的合理性，审阅变更的影响和急迫性，制定出详细的变更计划及步骤、变更回退机制分别记录在《信息系统变更流程单》“变更计划和步骤”和“回退计划和步骤”部分。 第十五条 XXXX负责人签章后提交风险部门进行风险评估。 第十六条 风险部门根据XXXX填写的“变更计划和步骤”和“回退计划和步骤”,会同XXXX对可行的变更实施方案和变更对已投产系统的影响做出风险评估，最终形成变更风险评估意见，填写至《信息系统变更流程单》“变更风险评估”部分。 第十七条 风险部门负责人审批签章之后交由分管领导审批。 第十八条 紧急变更应由变更申请部门相关负责人提出，获得分管领导或经授权的XXXX负责人的审批或者授权方可进行。可以接受的审批方式或者授权是口头授权或邮件授权等，并在紧急变更实施之后，补足相应的《信息系统变更流程单》并由相关负责人员签章，进行备案。 第十九条 变更完成之后申请部门应对变更后系统投产和测试情况进行记录和分析，并将详细情况填写至《信息系统变更流程单》“变更投产及测试”部