变更管理程序.doc

XXXXXXXXX有限责任公司 变更管理程序 [XXXX-B-20] V1.0 发布日期 发布部门 信息安全小组 实施日期 变更管理程序 PAGE i 变更履历 版本 变更履历 变更人/变更日期 审核人/审核日期 批准人/批准日期 1.0 初次发布 PAGE 3 1 目的 为对组织内的软件的硬件与软件的变更进行有效控制，确保系统的各项安全要求得到识别并执行，防止未经授权及不充分的变更所造成的系统故障与业务中断，保证系统安全，特制定本程序。 2 范围 本程序适用于本组织IT设备（包括传输线路)、软件（操作系统及应用系统)等方面的变更控制的管理。 3 职责 3.1 技术部 负责以下方面的IT设备及软件方面的变更管理： 组织内办公用计算机和网络设备及软件； 服务器设备； 财务管理系统等设备及软件； 电子商务系统设备及软件。 3.2 各软件开发部 负责自行开发的软件变更管理 4 相关文件 《信息安全管理手册》 《变更管理安全策略》 5 程序 5.1 变更分类 IT设备变更：包括系统中服务器、网络设备、传输线路及计算机终端的新增、减少及其设备本身的变化（包括设备的报废）； 操作系统软件变更：包括新安装、补丁、版本升级及更换（如打SP2补丁）； 自行开发软件变更：包括小型业务变更、版本升级； 软件包的变更。 5.2 IT设备变更控制 软件设备（包括传输线路)的变更需求由变更管理部门根据组织业务发展的需要提出，填写《变更跟踪表》，经变更管理部门经理批准后予以实施。 5.3 操作系统软件变更 当软件厂商发布操作系统或应用软件的更新补丁或版本时，工程部负责分析更新内容对公司现有业务及工作的影响，工程部IT专职人员可以先选一台测试机安装必威体育精装版补丁，在未发现对工作业务产生重要负面影响的前提下，为使用该操作系统或应用软件的用户安装补丁。 5.4 软件的变更控制 当客户重新对项目的某一或某些模块进行重要要求时，项目组负责跟踪客户的新要求,进行业务及可以行性分析，组织有关人员进行方案评审，考虑系统改造对现有业务的影响，并制定有效的风险控制措施，方案在评审通过后，修改《需求开发说明书》，针对发生变更的模块，修改相应的详细设计书，数据库说明书，源程序。并对整个项目重新进行测试。 在软件正式变更前，项目组应考虑以下方面的安全要求： 变更对目前业务的影响； 变更对现有软件的影响； 变更实施前应进行安全测试； 不成功的变更恢复措施。 在变更实施前，由变更管理部门填写《变更跟踪表》，明确变更的原因、变更范围、变更影响的分析及对策（包括不成功变更的恢复措施），经工程部批准后予以实施。 5.5 变更实施的安全要求 在变更实施之前，必要时，将重要的数据、系统软件进行备份，以便变更不成功之后的恢复。 在变更实施之前，必要时，应和相关部门协商，以便确定适当的变更时间，尽可能的将对业务的影响减至最低。 5.6 变更验收与记录 当变更成功提交后，需由用户进行验收，确认其是否已完成用户所提的要求，达到预期的效果，并记录此次变更操作。 5.7 设备报废 设备报废应由工程部填写《设施报废记录》得到行政部批准后实施。报废设备中存有敏感信息，必须予以清除并在《设施报废记录》中予以说明 5.8 变更后软件备份要求 当变更完成后，需将此次所运行的软件进行备份，包括其相关资料，以便再一次变更以及资料查询；如果此次变更涉及到一些资料文件，则这些资料文件也必须做相应的变更并存档。 5.9 变更不成功的恢复措施 取消所做变更，从备份资料中获得原始软件资料，重新运行，恢复原始状态。 根据变更操作记录，查找变更失败原因，以便再次做变更操作时避免同样的错误发生。 6 记录 《变更跟踪表》 《设施报废记录》