等保三-系统变更管理办法.docx

系统变更管理办法编制部门信息技术处版本说明更新日期更新人员更新说明V1.02014.08编制第一章总则第一条为了进一步规范xx系统信息变更流程，根据《信息安全等级保护管理办法》、《信息系统安全管理要求》（GBT 20269-2006）和其他有关法律法规的规定，结合本单位实际，特制定本规定。第二章系统变更范围第二条由于当前系统功能、性能及安全等方面不能满足需求，可提出进行变更。以下情况属于变更范畴：a)IT设备的维护、升级和更换b)操作系统的升级或更换c)应用系统的升级或更换d)各类操作流程的变更e)数据库变更第三条运维管理部门可依据实际情况制定《变更分类表》，明确xx系统变更事项的分类，变更类别分日常、一般和重大三种类别。只有重大类别须严格遵循变更申请、变更测试与风险评估、变更批准、变更上线执行等环节填写相关表单，对日常和一般两个级别的变更只保留变更记录即可。根据紧急程度分为正常变更和紧急变更。第三章系统变更流程第四条系统变更工作以任务形式由信息技术处和需求方协作完成。系统变更过程大致可分为四个阶段：任务提交和接受、任务实现、任务验收和程序下发上线。第五条因问题处理引发的系统变更处理，具体流程参见《问题处理管理制度》。第六条需求部门提出系统变更需求，并将变更需求整理成《系统变更申请表》，由部门负责人审批后提交给系统管理员。第七条系统管理员负责接受需求并上报给信息技术处。信息技术处分析需求，并提出系统变更建议。第八条系统管理员根据自行开发、合作开发和外包开发的不同要求组织实现系统变更需求，将需求提交至内部开发人员、合作开发商或外包开发商，产生供发布的程序。第九条实现过程应按照软件开发过程规定进行。系统变更过程应遵循软件开发过程相同的正式、统一的编码标准，并经过测试和正式验收才能下发和上线。第十条系统管理员组织业务部门的系统最终用户对系统程序变更进行测试，并撰写《用户测试报告》提交业务部门负责人和信息技术处领导签字确认通过。第十一条在系统变更完成后，系统管理员和业务部门的最终用户共同撰写《程序变更验收报告》，经业务部门负责人签字验收后，报送信息技术处审批。第十二条培训管理员负责对系统变更过程的文档进行归档管理，变更过程中涉及的所有文档应至少保存两年。第三章紧急变更流程第十三条对于紧急变更，需求部门可以通过电子邮件或传真等书面形式提出申请。第十四条信息技术部根据重要性和紧迫性做判断，确定其优先级和影响程度，并进行相应处理。第十五条紧急变更过程中应使用专设的系统用户账号，由专责部门或人员启动紧急修改变更程序。信息技术部应对紧急变更的处理进行规范的文档记录。第十六条在紧急事件处理完成后，必须在一周内补办正式、完整的文档，其中包括问题发现人填写的紧急变更申请、问题发现人所在部门负责人对该申请的审批、需求部门/信息技术部测试记录（包括签字确认测试结果）。第四章系统变更的权责分离第十七条系统变更过程中，应采取各种措施保证维护环境程序代码访问权限受到良好控制。这些措施包括：1、通过系统用户的授权管理，确保只有特定人员能进行系统维护工作；2、如果使用专用程序开发工具，只有授权人员才能使用程序开发工具（通过只有特定开发人员拥有程序开发工具）；3、通过对源代码的访问控制，限制只有授权人员才能获得源代码以进行系统维护；4、在进行自有系统的程序变更时，应建立版本控制制度确保每次在必威体育精装版的代码基础上进行更改，当多名程序员同时进行更改工作时，能够进行适当协调；5、通过对系统日志的审阅，监督系统维护人员在系统中的操作，确认维护工作的授权；6、在进行自有系统的程序变更时，应防止源代码在完成测试到正式上线之间的非授权修改。第十八条系统变更过程中，采取各种措施保证生产系统应用程序访问权限受到良好控制。这些措施包括：1、通过生产环境的访问控制，限制对生产环境的访问；2、通过物理隔离的手段，限制对生产环境的访问；3、通过逻辑隔离的手段，限制对生产环境的访问；4、对授权访问生产环境的人员进行详细记录，使用该记录对生产环境访问权限的检查，确保只有经授权人员才能访问生产环境；5、普通用户只能通过前台登录系统，不能通过后台（如使用生产环境操作系统的命令行）进行操作；6、信息技术人员不应该拥有前台应用程序的业务操作访问权限，更不应该在前台应用程序中担任实际的业务操作任务；7、从技术角度限制开发人员对生产环境中应用程序文件夹的访问权限，只有经过授权的人员对程序拥有读、写和执行的权限；8、禁止信息技术人员共享操作系统级别的账号。第五章附则第十九条本规定由单位信息安全领导小组负责解释。第二十一条违反本规定，发生信息安全事件的，按照事件造成的损失和后果，依据国家有关法律法规进行处罚。第二十二条本规定自发布之日起施行。