参考模版,仅供参考
目的
为规范信息化变更管理,确保组织业务系统和基础设施有效运行,特制定本制度。名词解释
系统运营部门:指在组织日常活动中,运营管理业务系统的其他各部门。范围
本制度适用于组织的各类基础设施、业务系统和 软件开发等信息化活动的变更管理。职责
4.1 系统运营部门
收集变更需求,执行需求调研和梳理;
制定变更需求,向相关部门提交变更申请。
4.2 研发部
组织开展开发变更评审,分析变更的风险和必要性;
制定对应的变更计划、实施和回退计划;
审核变更相关计划;
落实变更的开发和变更后的测试。
4.3 运维部门
参与研发部变更评审,并实施对应负责内容的变更;
负责基础设施变更管理;
根据基础设施日常运维和负载情况,分析总结变更需求;
组织开展基础设施变更评审,分析变更的风险和必要性;
制定对应基础设施的变更计划、实施和回退计划;
审核变更相关计划;
落实基础设施变更的实施和变更后的测试。
4.4 信息安全部
参与组织变更评审;
分析变更相关计划的完备性;
配合相关部门完善变更计划。
4.5 信息部总监
负责审核一般、重大变更。相关文件
《安全变更管理策略》内容
6.1 变更分类分级
变更分类:
根据变更的紧急程度将变更分为标准变更和紧急变更。定义如下表:
序号 变更类型 类型描述
1 标准变更 提前计划且需通过审批的才能实施的变更。例如:系统中服务器、网络设备、传输线路及计算机终端的新增、减少及其设备本身的变化(包括设备的报废)、版本升级、打补丁、软件包的变更等。
2 紧急变更 在变更计划之外,为应对突发的紧急情况必须立即执行的变更。例如:系统重大故障、突发安全事件整改等。
变更级别定义:
根据变更影响程度对变更进行级别划分,具体定义见下表:
序号 级别 级别描述
1 重要 满足下列条件之一即可认为是“重要”: 1. 重要停机维护; 2. 影响组织核心业务活动,例如:仓易宝、OMS等;3. 影响组织活动,例如:双十一、双十二等;4. 系统需停机时间超过4小时; 5. 核心网络的架构调整;6. 实施风险较大,易造成数据丢失,例如:丢失当天业务数据。
2 一般 系统部分组件不能提供服务,例如:仓易宝、OMS服务器停机维护;1. 停机时间不超过4小时;2. 回退方式简单,不会影响业务数据。
3 轻微变更 不影响系统正常运行。
注:重要请参考《信息资产管理制度》
6.2 安全变更管理
非轻微变更管理流程至少要包含变更申请、变更方案、变更计划、变更测试、回退方案等步骤
更新补丁或版本时,要分析更新内容对现有业务及工作的影响,需要进行补丁测试,保证生产服务器和信息系统的稳定;
软件变更,系统运营部门应考虑以下方面的安全要求:
变更对目前业务的影响;
变更对现有软件的影响;
变更实施前应进行安全测试;
不成功的变更恢复措施。
在变更实施之前,必要时:
将重要的数据、系统软件进行备份,以便变更不成功之后的恢复;
应和相关部门协商,以便确定适当的变更时间,尽可能的将对业务的影响减至最低。
当变更完成后,需将此次变更后的运行状态进行备份,包括其相关资料,以便再一次变更以及资料查询;如果此次变更涉及到一些资料文件,则这些资料文件也必须做相应的变更并存档;
取消所做变更,从备份资料中获得原始软件资料,重新运行,恢复原始状态;
根据变更操作记录,查找变更失败原因,以便再次做变更操作时避免同样的错误发生;
信息安全部需要配合变更部门完善变更过程中涉及的安全部分;
变更需求由对应变更部门提出,填写《变更申请表》,经上级批准后予以实施。
- 记录
《变更申请表》
《变更方案》
《变更评审会议签到表》
《变更实施计划》
