网络及信息系统变更管理制度.docxVIP

网络及信息系统变更管理制度

第一章总则

第一条制定目的与依据

为规范公司网络及信息系统变更管理行为，建立“申请-评估-审批-实施-验证-归档”全流程管控机制，防范因变更操作不当导致的系统故障、数据丢失、敏感信息泄露等风险，保障系统持续稳定运行及数据安全，确保变更工作符合合规要求与业务发展需要，根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《企业内部控制应用指引第18号——信息系统》等法律法规、规范性文件及《公司章程》《信息系统安全管理办法》《数据备份和恢复管理制度》，结合公司实际情况，制定本制度。

第二条适用范围

本制度适用于公司及下属各部门、分公司、控股子公司（以下统称“各下属主体”）所有网络及信息系统变更的全流程管理，覆盖硬件设备、网络架构、系统软件、应用软件、数据库、安全策略、配置参数等各类变更事项，涉及变更申请、评估、审批、实施、验证、运维及监督等相关部门及人员均应遵守本制度。其中，涉及三级系统（承载内幕信息、未披露信息等核心敏感数据的系统）的变更，同时遵守信息披露、内幕信息管理相关制度要求。

第三条核心原则

公司网络及信息系统变更管理遵循以下原则：

合规可控原则：严格遵循法律法规及内部制度要求，所有变更均履行审批程序，全程留痕可追溯；

风险前置原则：变更前开展充分风险评估，识别潜在安全、业务及合规风险，制定应对措施及回退预案；

分级施策原则：根据变更影响范围、风险等级划分变更类型，实施差异化审批流程与管控措施；

协同衔接原则：与数据备份、系统安全、应急处置等制度无缝衔接，变更过程同步落实数据保护及安全防护要求；

最小影响原则：优化变更实施方案，避开业务高峰时段，最大限度降低对系统运行及业务开展的影响。

第四条管理职责分工

公司建立“董事会统一领导、信息技术部门牵头实施、各部门协同配合、监事会监督检查”的管理体系，明确各方职责如下：

（一）董事会：作为重大变更决策机构，审批涉及三级系统、核心业务系统的重大变更方案及专项投入，督促变更风险防控措施落实。

（二）信息技术部门：作为日常执行机构，负责制定变更技术规范及操作流程；受理变更申请，组织开展风险评估、方案审核；统筹变更实施、验证及运维工作；同步落实变更过程中的数据备份、安全防护措施；管理变更档案，定期开展变更工作复盘。

（三）业务部门：为本部门业务相关系统变更的需求提出主体，说明变更背景、业务目标及需求范围，配合开展变更评估、验证及测试工作，反馈变更实施后的业务适配情况。

（四）合规部门：负责审核变更事项的合规性，重点核查三级系统变更对敏感数据保护、信息披露合规性的影响，提出合规意见。

（五）董事会办公室：统筹涉及信息披露、内幕信息登记系统的变更管理，督促落实专项风险防控及数据保护措施，确保变更不影响核心敏感数据安全及披露工作。

（六）监事会：对本制度执行情况及变更管理工作实施监督，定期核查变更流程合规性、风险防控有效性及三级系统变更管控情况，对违规行为提出整改意见并督促落实。

（七）变更实施及操作人员：严格按照审批方案及操作规范执行变更，如实记录操作过程，及时上报变更过程中的异常情况，配合完成变更验证及归档工作。

第二章变更分类与分级标准

第五条变更分类

根据变更对象及内容，将网络及信息系统变更分为以下类别：

硬件变更：服务器、交换机、防火墙、存储设备等硬件的新增、更换、升级、迁移及下线；

网络变更：网络拓扑结构、IP地址规划、路由策略、访问控制列表、VPN配置等网络参数及架构调整；

软件变更：操作系统、数据库、中间件等系统软件的安装、升级、补丁更新、版本迭代；应用软件的功能新增、修改、优化及BUG修复；

配置变更：系统运行参数、数据库配置、安全策略、用户权限等配置项的调整；

数据变更：因系统迭代、业务调整导致的数据结构调整、数据迁移、数据标准化处理等；

其他变更：涉及网络及信息系统运行的其他调整事项，如灾备体系优化、安全防护方案变更等。

第六条变更分级标准

根据变更影响范围、风险等级及业务重要性，将变更划分为三级，实施差异化管控：

一级变更（一般变更）：影响范围小、风险低，仅涉及单个部门非核心业务的局部变更，如普通办公终端软件升级、非核心系统小范围配置调整、单个用户权限变更等；变更后不会影响系统整体运行及业务连续性。

二级变更（重要变更）：影响范围较大、风险中等，涉及跨部门业务或二级系统（承载常规敏感数据的系统）的变更，如核心业务系统功能优化、数据库参数调整、网络路由策略优化、批量用户权限调整等；变更后可能对部分业务运行产生影响，需制定专项实施方案。

三级变更（重大变更）：影响范围广、风险高，涉及三级系统、核心业务系统及全网架构的变更，如三级系统版本迭代、核心服务器集群迁移、网络拓扑重大调整、数据结构重构及大规模数据迁移、安全防护体