信息安全策略-变更管理安全策略.doc

密级等级：敏感 受控状态：受控 文件编号： XX_A_04_10_2009.12 变 更 管 理 安 全 策 略 Ver 1.0 2009年12月30日历史版本编制、审核、批准、发布实施、分发信息记录表 版本号 编制人/ 创建日期 审核人/ 审核日期 批准人/ 批准日期 发布日期/ 实施日期 分发编号 V1.0 2009/12/30 2010/1/4 原稿 / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / 文件更改记录 序号 更改单号 页次 更改人 日期 更 改 摘 要 1 2 3 4 5 6 7 8 9 10 本标准XX_A_04_10_2009.12 本标准依据ISO/IEC 27001：2005信息安全管理体系-要求编写。 本标准由XXXX有限公司提出起草 本标准主要起草人： 本标准于2009年12月30日首次发布2009年12月30日XX_A_04_10_2009.12 介绍 信息资源基础设施正在逐步扩大并且越来越复杂。越来越多的人依赖网络、更多的客户服务机构、未升级和扩展的管理系统以及更多应用程序 。由于信息资源基础设施之间的互相依赖程度越来越高，因此有必要加强变更管理过程。 有时每一个信息资源组成部分需要暂停运行，按计划进行升级、维护或调整，另外也可能由于为计划的升级、维护或调整而导致暂停运行。管理这些变更是提供坚固的、有价值的信息资源基础设施的关键组成部分。 目 的 该策略的目的是以一种合理的、可预知的方式管理变更，以便员工和客户能进行相应的计划。变更需要事先严格计划、仔细监控并要进行追踪评价，以降低对用户群的负面影响，增加信息资源的价值。 适用范围 该策略适用于安装、操作或维护信息资源的所有人员。 术语定义 略 变更 管理 安全 策略 对信息资源的每一次变更，如操作系统、计算机硬件、网络以及应用程序都要服从变更管理策略，并且必须遵守变更管理程序； 所有影响计算机环境设备的变更(如空调、水、热、管道、电)需要向变更管理过程的领导者报告，并与之协调处理； 无论是事先有计划的变更还是事先无计划的变更必须都提交书面的变更申请； 所有事先有计划的变更申请必须按照变更管理程序的规定提交，以便变更管理委员会有足够的时间评审申请，确定并重新评审潜在的失败，并决定申请被批准还是延期执行； 每一个事先计划的变更申请在执行前必须受到变更管理委员会的正式批准； 指定的变更管理委员领导在下列情况下有权拒绝任何申请：不充分的策划、不充分的删除计划、变更的时间等会对关键的业务过程造成负面影响，或者会造成没有充分的资源可用； 在变更管理程序实施前，必须完成对所有客户的通知； 每一次变更必须进行变更评审，无论是计划还是未计划的，成功的还是失败的； 所有变更必须保留变更管理日志，必须保留的日志包括但不限于下列内容： 变更的提交和执行日期； 所有者和保管者信息； 变更的特性； 成功或失败的标志。 所有信息系统必须遵照上述规定进行信息资源的变更。 惩罚 违背该策略可能导致：员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除；另外，这些人员还可能遭受信息资源访问权以及公民权的损失，甚至遭到法律起诉。 引用标准 略 XXXX有限公司 XX_A_04_10_2009.12 变更管理安全策略 第 2 页 共 4 页 XXXX有限公司