系统变更管理办法 第 2 页 编制部门 信息技术处 版本说明 更新日期 更新人员 更新说明 V1.0 2014.08 编制 第 3 页 第一章 总则 第一条 为了进一步规范 xx 系统信息变更流程,根据《信息安全等级保护 管理办法》 、 《信息系统安全管理要求》 (GBT 20269-2006)和其他有关法律法 规的规定,结合本单位实际,特制定本规定 第二章 系统变更范围 第二条 由于当前系统功能、性能及安全等方面不能满足需求,可提出进行 变更以下情况属于变更范畴: a) IT 设备的维护、升级和更换 b) 操作系统的升级或更换 c) 应用系统的升级或更换 d) 各类操作流程的变更 e) 数据库变更 第三条 运维管理部门可依据实际情况制定《变更分类表》 ,明确 xx 系统变 更事项的分类,变更类别分日常、一般和重大三种类别只有重大类别须严格 遵循变更申请、变更测试与风险评估、变更批准、变更上线执行等环节填写相 关表单,对日常和一般两个级别的变更只保留变更记录即可。
根据紧急程度分 为正常变更和紧急变更 第三章 系统变更流程 第四条 系统变更工作以任务形式由信息技术处和需求方协作完成系统变 更过程大致可分为四个阶段:任务提交和接受、任务实现、任务验收和程序下 发上线 第五条 因问题处理引发的系统变更处理,具体流程参见 《问题处理管理制 第 4 页 度》 第六条 需求部门提出系统变更需求,并将变更需求整理成 《系统变更申请 表》 ,由部门负责人审批后提交给系统管理员 第七条 系统管理员负责接受需求并上报给信息技术处信息技术处分析需 求,并提出系统变更建议 第八条 系统管理员根据自行开发、合作开发和外包开发的不同要求组织实 现系统变更需求,将需求提交至内部开发人员、合作开发商或外包开发商,产 生供发布的程序 第九条 实现过程应按照软件开发过程规定进行系统变更过程应遵循软件 开发过程相同的正式、统一的编码标准,并经过测试和正式验收才能下发和上 线 第十条 系统管理员组织业务部门的系统最终用户对系统程序变更进行测 试,并撰写《用户测试报告》提交业务部门负责人和信息技术处领导签字确认 通过。
第十一条 在系统变更完成后,系统管理员和业务部门的最终用户共同撰 写《程序变更验收报告》 ,经业务部门负责人签字验收后,报送信息技术处审批 第十二条 培训管理员负责对系统变更过程的文档进行归档管理,变更过 程中涉及的所有文档应至少保存两年 第三章 紧急变更流程 第十三条 对于紧急变更,需求部门可以通过电子邮件或等书面形式 提出申请 第十四条 信息技术部根据重要性和紧迫性做判断,确定其优先级和影响 第 5 页 程度,并进行相应处理 第十五条 紧急变更过程中应使用专设的系统用户账号,由专责部门或人 员启动紧急修改变更程序信息技术部应对紧急变更的处理进行规范的文档记 录 第十六条 在紧急事件处理完成后,必须在一周内补办正式、完整的文档, 其中包括问题发现人填写的紧急变更申请、问题发现人所在部门负责人对该申 请的审批、需求部门/ 信息技术部测试记录(包括签字确认测试结果) 第四章 系统变更的权责分离 第十七条 系统变更过程中,应采取各种措施保证维护环境程序代码访问 权限受到良好控制。
这些措施包括: 1、通过系统用户的授权管理,确保只有特定人员能进行系统维护工作; 2、如果使用专用程序开发工具,只有授权人员才能使用程序开发工具(通 过只有特定开发人员拥有程序开发工具) ; 3、通过对源代码的访问控制,限制只有授权人员才能获得源代码以进行系 统维护; 4、在进行自有系统的程序变更时,应建立版本控制制度确保每次在最新的 代码基础上进行更改,当多名程序员同时进行更改工作时,能够进行适当协调; 5、通过对系统日志的审阅,监督系统维护人员在系统中的操作,确认维护 工作的授权; 6、在进行自有系统的程序变更时,应防止源代码在完成测试到正式上线之 间的非授权修改 第十八条 系统变更过程中,采取各种措施保证生产系统应用程序访问权 第 6 页 限受到良好控制这些措施包括: 1、通过生产环境的访问控制,限制对生产环境的访问; 2、通过物理隔离的手段,限制对生产环境的访问; 3、通过逻辑隔离的手段,限制对生产环境的访问; 4、对授权访问生产环境的人员进行详细记录,使用该记录对生产环境访问 权限的检查,确保只有经授权人员才能访问生产环境; 5、普通用户只能通过前台登录系统,不能通过后台(如使用生产环境操作 系统的命令行)进行操作; 6、信息技术人员不应该拥有前台应用程序的业务操作访问权限,更不应该 在前台应用程序中担任实际的业务操作任务; 7、从技术角度限制开发人员对生产环境中应用程序文件夹的访问权限,只 有经过授权的人员对程序拥有读、写和执行的权限; 8、禁止信息技术人员共享操作系统级别的账号。
第五章 附则 第十九条 本规定由单位信息安全领导小组负责解释 第二十一条 违反本规定,发生信息安全事件的,按照事件造成的损失和后 果,依据国家有关法律法规进行处罚 第二十二条 本规定自发布之日起施行。