系統(tǒng)變更管理辦法

《系統(tǒng)變更管理辦法》由會員分享，可在線閱讀，更多相關(guān)《系統(tǒng)變更管理辦法（13頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、系統(tǒng)變更管理辦法 (V1.0) 文檔編號 變更管理辦法V1.0 文檔敏感性 敏感 項目監(jiān)理 文檔編寫 編寫日期 文檔審核 審核日期 公開范圍 1. 目錄2 2. 目的3 3. 范圍3 4. 變更流程3 5. 變更方案的制訂4 6. 緊急變更流程5 7. 權(quán)責分離5 為規(guī)范軟件變更與維護管理，提高軟件管理水平，優(yōu)化軟件變更與維護管理 流程，特制定本管理辦法。 3. 范圍 本辦法適用于應用系統(tǒng)已開發(fā)或采購完畢并正式上線、且由軟件開發(fā)組織移 交給應用管理組織之后，所發(fā)生的生產(chǎn)應用系統(tǒng)（以下簡稱應用系統(tǒng)）運行支持 及系統(tǒng)變更工

2、作。 4. 變更流程 系統(tǒng)變更工作可分為下面三類類型：功能完善維護、系統(tǒng)缺陷修改、統(tǒng)計報 表生成。 功能完善維護指根據(jù)業(yè)務部門的需求，對系統(tǒng)進行的功能完善性或適應性維 護；系統(tǒng)缺陷修改指對一些系統(tǒng)功能或使用上的問題所進行的修復，這些問題是 由于系統(tǒng)設計和實現(xiàn)上的缺陷而引發(fā)的；統(tǒng)計報表生成指為了滿足業(yè)務部門統(tǒng)計 報表數(shù)據(jù)生成的需要，而進行的不包含在應用系統(tǒng)功能之內(nèi)的數(shù)據(jù)處理工作。 系統(tǒng)變更工作以任務形式由需求方（一般為業(yè)務部門）和維護方（一般為信 息中心，還包括合作廠商）協(xié)作完成。系統(tǒng)變更過程類似軟件開發(fā)，大致可分為 四個階段：任務提交和接受、任務實現(xiàn)、任務驗收和程序下發(fā)上線

3、。 需求部門提出系統(tǒng)變更需求，并將變更需求整理成《系統(tǒng)變更申請表》，由 部門負責人審批后提交給信息中心系統(tǒng)管理員。 系統(tǒng)管理員負責接受需求并上報給信息中心。信息中心分析需求，并提出系 統(tǒng)變更建議。對變更過程應形成變更過程記錄。 系統(tǒng)管理員根據(jù)自行開發(fā)、合作開發(fā)和外包開發(fā)的不同要求組織實現(xiàn)系統(tǒng)變 更需求，將需求提交至內(nèi)部開發(fā)人員、合作開發(fā)商或外包開發(fā)商，產(chǎn)生供發(fā)布的 程序。系統(tǒng)管理員應形成詳細的變更方案。信息中心主任根據(jù)變更建議審批變更 方案。 實現(xiàn)過程應按照軟件開發(fā)過程規(guī)定進行。系統(tǒng)變更過程應遵循軟件開發(fā)過程 相同的正式、統(tǒng)一的編碼標準，并經(jīng)過測試和正式驗收才能下發(fā)和上線。

4、 信息中心系統(tǒng)管理員組織業(yè)務部門的系統(tǒng)最終用戶對系統(tǒng)程序變更進行測 試，并撰寫《用戶測試報告》，提交業(yè)務部門負責人和信息中心主管領(lǐng)導簽字確 認通過。 在系統(tǒng)變更完成后，信息中心系統(tǒng)管理員和業(yè)務部門的最終用戶共同撰寫 《程序變更驗收報告》，經(jīng)業(yè)務部門負責人簽字驗收后，報送信息中心主管審批。 培訓管理員負責對系統(tǒng)變更過程的文檔進行歸檔管理，變更過程中涉及的所 有文檔應至少保存兩年。 5. 變更方案的制訂 由系統(tǒng)管理員負責制定變更實施計劃和方案。 變更實施計劃和方案包含以下內(nèi)容： （一）生產(chǎn)變更事件日期、時間（包括生產(chǎn)變更事件實施計劃開始時間和結(jié) 束時間）； （二）生產(chǎn)變更

5、事件影響范圍和是否影響生產(chǎn)系統(tǒng)業(yè)務連續(xù)運行。 （三）生產(chǎn)變更事件中各參與部門需要配合和確認的工作，明確變更主要實 施成員。 （四）生產(chǎn)變更事件實施前的測試報告。 （五）生產(chǎn)變更事件實施后的驗證方案。 （六）是否完成相關(guān)技術(shù)培訓、操作手冊和操作日志的修訂。 （七）變更是否涉及配置變更。 （八）變更的具體實施步驟、內(nèi)容。 （九）變更的回退方案。 （十）變更的應急方案。 對于緊急變更，需求部門可以通過電子郵件或傳真等書面形式提出申請。 信息中心根據(jù)重要性和緊迫性做判斷，確定其優(yōu)先級和影響程度，并進行相 應處理。 緊急變更過程中應使用專設的系統(tǒng)用戶賬號，由專責部門或人員啟動緊

6、急修 改變更程序。信息中心應對緊急變更的處理進行規(guī)范的文檔記錄。 在緊急事件處理完成后，必須在一周內(nèi)補辦正式、完整的文檔，其中包括問 題發(fā)現(xiàn)人填寫的緊急變更申請、問題發(fā)現(xiàn)人所在部門負責人對該申請的審批、需 求部門/信息技術(shù)部測試記錄（包括簽字確認測試結(jié)果）。 7. 權(quán)責分離 系統(tǒng)變更過程中，應采取各種措施保證維護環(huán)境程序代碼訪問權(quán)限受到良好 控制。這些措施包括： 1 、通過系統(tǒng)用戶的授權(quán)管理，確保只有特定人員能進行系統(tǒng)維護工作； 2、如果使用專用程序開發(fā)工具，只有授權(quán)人員才能使用程序開發(fā)工具（通 過只有特定開發(fā)人員擁有程序開發(fā)工具）； 3、通過對源代碼的訪問控制，限制只有

7、授權(quán)人員才能獲得源代碼以進行系 統(tǒng)維護； 4、在進行自有系統(tǒng)的程序變更時，應建立版本控制制度確保每次在最新的 代碼基礎上進行更改，當多名程序員同時進行更改工作時，能夠進行適當協(xié)調(diào)； 5、通過對系統(tǒng)日志的審閱，監(jiān)督系統(tǒng)維護人員在系統(tǒng)中的操作，確認維護 工作的授權(quán)； 6、在進行自有系統(tǒng)的程序變更時，應防止源代碼在完成測試到正式上線之 間的非授權(quán)修改。 系統(tǒng)變更過程中，采取各種措施保證生產(chǎn)系統(tǒng)應用程序訪問權(quán)限受到良好控 制。這些措施包括： 1、通過生產(chǎn)環(huán)境的訪問控制，限制對生產(chǎn)環(huán)境的訪問； 2、通過物理隔離的手段，限制對生產(chǎn)環(huán)境的訪問； 3、通過邏輯隔離的手段，限制對生產(chǎn)環(huán)境

8、的訪問； 4、對授權(quán)訪問生產(chǎn)環(huán)境的人員進行詳細記錄，使用該記錄對生產(chǎn)環(huán)境訪問 權(quán)限的檢查，確保只有經(jīng)授權(quán)人員才能訪問生產(chǎn)環(huán)境； 5、普通用戶只能通過前臺登錄系統(tǒng)，不能通過后臺（如使用生產(chǎn)環(huán)境操作 系統(tǒng)的命令行）進行操作； 6、信息技術(shù)人員不應該擁有前臺應用程序的業(yè)務操作訪問權(quán)限，更不應該 在前臺應用程序中擔任實際的業(yè)務操作任務； 7、從技術(shù)角度限制開發(fā)人員對生產(chǎn)環(huán)境中應用程序文件夾的訪問權(quán)限，只 有經(jīng)過授權(quán)的人員對程序擁有讀、寫和執(zhí)行的權(quán)限； 8、禁止信息技術(shù)人員共享操作系統(tǒng)級別的賬號。 附錄 1、系統(tǒng)變更申請表 系統(tǒng)名稱: 申請人: 申請時間:

9、 變更原因: 變更內(nèi)容：物理安全變更□網(wǎng)絡安全變更口 主機安全變更口應用安全變更口 數(shù)據(jù)安全變更口 變更描述: 變更影響: 系統(tǒng)主管部門審批意見: 審批人簽名: 信息安全管理部門審批意見: 審批人簽名: 信息安全領(lǐng)導機構(gòu)審批意見: 審批人簽名: 備注: 注：可加附頁 2、變更過程記錄 系統(tǒng)名稱： 變更執(zhí)行時間 開始：結(jié)束： 變更結(jié)果 成功口失敗口（是否完成回退操作是口否口） 變更執(zhí)行機構(gòu)及人員： 變更相關(guān) 資料 系統(tǒng)變更申請口風險管理威脅控制計劃口 變更操作指南口系統(tǒng)回退方案口 變更實施過程描述： 變更 操作 資產(chǎn)名稱 責任人 變更處理 資產(chǎn) 管理 變更結(jié)果確認驗收人員： 備注： WelcomeTo Download!!! 歡迎您的下載，資料僅供參考!