XX 单位信息系统变更管理制度20xx 年 xx 月第 1 页 共 6 页目录1 总则.................................................................................................................12 依据标准和文件.............................................................................................13 术语和定义.....................................................................................................14 职责.................................................................................................................15 管理内容和方法.............................................................................................26 附则.................................................................................................................3第 2 页 共 6 页1 总则为了规范 XX 单位信息系统变更管理和纪录跟踪,根据相关工作的要求,根据 GB/T 22080-2008/ISO/IEC 27001:2005《信息技术 安全技术 信息安全管理体系 要求》中相关要求,特制订本办法。本办法描述了 XX 单位在信息系统变更中相关部门管理职责、管理内容和管理方法。本办法适用于 XX 单位信息中心进行信息系统相关变更调整的变更管理。2 依据标准和文件GB/T 22080-2008/ISO/IEC 27001:2005《信息技术 安全技术 信息安全管理体系 要求》GB/T 22081-2008/ISO/IEC 27002:2005《信息技术 安全技术 信息安全管理实用规则》3 术语和定义信息系统变更管理流程是对信息系统变更行为进行控制的流程,变更的内容包括服务器调整、网络调整、应用调整或者其他调整,它对变更请求进行记录、跟踪与管理,消除或减少 IT 变更对生产环境和系统的影响和风险,保证变更的平稳运行。第 1 页 共 6 页4 职责4.1 信息中心负责人4.1.1 负责对重要变更和紧急变更的审批工作,并监督变更结果。4.1.2 负责指定各信息系统的负责人。4.1.3 审批内容主要包括变更申请的必要性和变更方案的可行性。4.2 变更申请者4.2.1 负责填写变更需求并进行详细的描述,按规定执行相应的审批手续后提交给相关实施人员,并对变更后的结果进行确认。4.3 系统管理员4.3.1 负责审核变更申请的各要素,评估变更所带来的影响,制定变更方案和应急方案,实施变更方案和跟踪变更效果。4.3.2 负责根据变更审核申请表中的内容,进行变更的实施。4.3.3 协同安全管理员负责对一般变更进行审批并监督变更结果。审批内容为变更申请的必要性和变更方案的可行性。4.4 安全管理员4.4.1 从安全角度审核业务系统应用策略的变更是否符合安全要求。4.4.2 协同应用管理员负责对一般变更进行审批并监督变更结果。第 2 页 共 6 页5 管理内容和方法5.1 变更管理5.1.1 变更管理的目的是保证变更在受控方式下正确评估,批准和实施。减少和杜绝非授权变更,降低变更风险和对业务的影响。5.1.2 应指定专人担任变更经理,指定专人担任变更主管。5.1.3 变更管理的范围涵盖 IT 环境的所有变更。不包括尚处于开发和测试阶段的系统和应用的变更、不需要信息中心介入的由用户控制的行为动作、以及业务系统的软件版本升级。5.1.4 变更管理包括常规变更、标准变更、紧急变更。5.1.5 常规变更指的是那些相对常见、有着基本固定流程、并已被授权可直接执行的变更。 5.1.6 标准变更指常见的有固定流程的变更。标准变更的变更申请需要变更主管审批,变更方案不需要审批。5.1.7 紧急变更指如果不进行变更会立即或正在严重影响业务运行、导致严重影响服务级别或者带来重大社会影响的变更。紧急变更要由变更经理审批。5.1.8 对于频繁发生而且基本没有风险的标准变更,可以采取预授权的方式,制定预授权标准变更列表,此列表内的变更,变更申请人填写变更申请后传递给变更实施人进行实施。5.1.9 变更申请人填写变更申请和变更实施人填写实施方案应详细明确,如果变更涉及多个配置项,应填写全部的关联配置项。变更主管和变更经理在审批时进行检查,填写不...
