系統(tǒng)變更管理辦法

1、系統(tǒng)變更管理辦法（V1.0）文檔編號(hào)變更管理辦法V1.0文檔敏感性敏感項(xiàng)目監(jiān)理文檔編寫編寫日期文檔審核審核日期公開范圍1. 目錄1.目錄22.目的33.范圍34.變更流程35.變更方案的制訂46.緊急變更流程57.權(quán)責(zé)分離5第 8頁 /共8頁2. 目的為規(guī)范軟件變更與維護(hù)管理，提高軟件管理水平，優(yōu)化軟件變更與維護(hù)管理流程，特制定本管理辦法。3. 范圍本辦法適用于應(yīng)用系統(tǒng)已開發(fā)或采購?fù)戤叢⒄缴暇€、且由軟件開發(fā)組織移交給應(yīng)用管理組織之后，所發(fā)生的生產(chǎn)應(yīng)用系統(tǒng)（以下簡稱應(yīng)用系統(tǒng)）運(yùn)行支持及系統(tǒng)變更工作。4. 變更流程系統(tǒng)變更工作可分為下面三類類型：功能完善維護(hù)、系統(tǒng)缺陷修改、統(tǒng)計(jì)報(bào)表生成。功能完善

2、維護(hù)指根據(jù)業(yè)務(wù)部門的需求，對(duì)系統(tǒng)進(jìn)行的功能完善性或適應(yīng)性維護(hù)；系統(tǒng)缺陷修改指對(duì)一些系統(tǒng)功能或使用上的問題所進(jìn)行的修復(fù)，這些問題是由于系統(tǒng)設(shè)計(jì)和實(shí)現(xiàn)上的缺陷而引發(fā)的；統(tǒng)計(jì)報(bào)表生成指為了滿足業(yè)務(wù)部門統(tǒng)計(jì)報(bào)表數(shù)據(jù)生成的需要，而進(jìn)行的不包含在應(yīng)用系統(tǒng)功能之內(nèi)的數(shù)據(jù)處理工作。系統(tǒng)變更工作以任務(wù)形式由需求方（一般為業(yè)務(wù)部門）和維護(hù)方（一般為信息中心，還包括合作廠商）協(xié)作完成。系統(tǒng)變更過程類似軟件開發(fā)，大致可分為四個(gè)階段：任務(wù)提交和接受、任務(wù)實(shí)現(xiàn)、任務(wù)驗(yàn)收和程序下發(fā)上線。需求部門提出系統(tǒng)變更需求，并將變更需求整理成系統(tǒng)變更申請(qǐng)表，由部門負(fù)責(zé)人審批后提交給信息中心系統(tǒng)管理員。系統(tǒng)管理員負(fù)責(zé)接受需求并上報(bào)給信息

3、中心。信息中心分析需求，并提出系統(tǒng)變更建議。對(duì)變更過程應(yīng)形成變更過程記錄。系統(tǒng)管理員根據(jù)自行開發(fā)、合作開發(fā)和外包開發(fā)的不同要求組織實(shí)現(xiàn)系統(tǒng)變更需求，將需求提交至內(nèi)部開發(fā)人員、合作開發(fā)商或外包開發(fā)商，產(chǎn)生供發(fā)布的程序。系統(tǒng)管理員應(yīng)形成詳細(xì)的變更方案。信息中心主任根據(jù)變更建議審批變更方案。實(shí)現(xiàn)過程應(yīng)按照軟件開發(fā)過程規(guī)定進(jìn)行。系統(tǒng)變更過程應(yīng)遵循軟件開發(fā)過程相同的正式、統(tǒng)一的編碼標(biāo)準(zhǔn)，并經(jīng)過測(cè)試和正式驗(yàn)收才能下發(fā)和上線。信息中心系統(tǒng)管理員組織業(yè)務(wù)部門的系統(tǒng)最終用戶對(duì)系統(tǒng)程序變更進(jìn)行測(cè)試，并撰寫用戶測(cè)試報(bào)告，提交業(yè)務(wù)部門負(fù)責(zé)人和信息中心主管領(lǐng)導(dǎo)簽字確認(rèn)通過。在系統(tǒng)變更完成后，信息中心系統(tǒng)管理員和業(yè)務(wù)部門

4、的最終用戶共同撰寫程序變更驗(yàn)收?qǐng)?bào)告，經(jīng)業(yè)務(wù)部門負(fù)責(zé)人簽字驗(yàn)收后，報(bào)送信息中心主管審批。培訓(xùn)管理員負(fù)責(zé)對(duì)系統(tǒng)變更過程的文檔進(jìn)行歸檔管理，變更過程中涉及的所有文檔應(yīng)至少保存兩年。5. 變更方案的制訂由系統(tǒng)管理員負(fù)責(zé)制定變更實(shí)施計(jì)劃和方案。變更實(shí)施計(jì)劃和方案包含以下內(nèi)容：（一）生產(chǎn)變更事件日期、時(shí)間（包括生產(chǎn)變更事件實(shí)施計(jì)劃開始時(shí)間和結(jié)束時(shí)間）；（二）生產(chǎn)變更事件影響范圍和是否影響生產(chǎn)系統(tǒng)業(yè)務(wù)連續(xù)運(yùn)行。（三）生產(chǎn)變更事件中各參與部門需要配合和確認(rèn)的工作，明確變更主要實(shí)施成員。（四）生產(chǎn)變更事件實(shí)施前的測(cè)試報(bào)告。（五）生產(chǎn)變更事件實(shí)施后的驗(yàn)證方案。（六）是否完成相關(guān)技術(shù)培訓(xùn)、操作手冊(cè)和操作日志的修訂。

5、（七）變更是否涉及配置變更。（八）變更的具體實(shí)施步驟、內(nèi)容。（九）變更的回退方案。（十）變更的應(yīng)急方案。6. 緊急變更流程對(duì)于緊急變更，需求部門可以通過電子郵件或傳真等書面形式提出申請(qǐng)。信息中心根據(jù)重要性和緊迫性做判斷，確定其優(yōu)先級(jí)和影響程度，并進(jìn)行相應(yīng)處理。緊急變更過程中應(yīng)使用專設(shè)的系統(tǒng)用戶賬號(hào)，由專責(zé)部門或人員啟動(dòng)緊急修改變更程序。信息中心應(yīng)對(duì)緊急變更的處理進(jìn)行規(guī)范的文檔記錄。在緊急事件處理完成后，必須在一周內(nèi)補(bǔ)辦正式、完整的文檔，其中包括問題發(fā)現(xiàn)人填寫的緊急變更申請(qǐng)、問題發(fā)現(xiàn)人所在部門負(fù)責(zé)人對(duì)該申請(qǐng)的審批、需求部門/信息技術(shù)部測(cè)試記錄（包括簽字確認(rèn)測(cè)試結(jié)果）。7. 權(quán)責(zé)分離系統(tǒng)變更過程中

6、，應(yīng)采取各種措施保證維護(hù)環(huán)境程序代碼訪問權(quán)限受到良好控制。這些措施包括：1、通過系統(tǒng)用戶的授權(quán)管理，確保只有特定人員能進(jìn)行系統(tǒng)維護(hù)工作；2、如果使用專用程序開發(fā)工具，只有授權(quán)人員才能使用程序開發(fā)工具（通過只有特定開發(fā)人員擁有程序開發(fā)工具）；3、通過對(duì)源代碼的訪問控制，限制只有授權(quán)人員才能獲得源代碼以進(jìn)行系統(tǒng)維護(hù)；4、在進(jìn)行自有系統(tǒng)的程序變更時(shí)，應(yīng)建立版本控制制度確保每次在最新的代碼基礎(chǔ)上進(jìn)行更改，當(dāng)多名程序員同時(shí)進(jìn)行更改工作時(shí)，能夠進(jìn)行適當(dāng)協(xié)調(diào)；5、通過對(duì)系統(tǒng)日志的審閱，監(jiān)督系統(tǒng)維護(hù)人員在系統(tǒng)中的操作，確認(rèn)維護(hù)工作的授權(quán)；6、在進(jìn)行自有系統(tǒng)的程序變更時(shí)，應(yīng)防止源代碼在完成測(cè)試到正式上線之間的非

7、授權(quán)修改。系統(tǒng)變更過程中，采取各種措施保證生產(chǎn)系統(tǒng)應(yīng)用程序訪問權(quán)限受到良好控制。這些措施包括：1、通過生產(chǎn)環(huán)境的訪問控制，限制對(duì)生產(chǎn)環(huán)境的訪問；2、通過物理隔離的手段，限制對(duì)生產(chǎn)環(huán)境的訪問；3、通過邏輯隔離的手段，限制對(duì)生產(chǎn)環(huán)境的訪問；4、對(duì)授權(quán)訪問生產(chǎn)環(huán)境的人員進(jìn)行詳細(xì)記錄，使用該記錄對(duì)生產(chǎn)環(huán)境訪問權(quán)限的檢查，確保只有經(jīng)授權(quán)人員才能訪問生產(chǎn)環(huán)境；5、普通用戶只能通過前臺(tái)登錄系統(tǒng)，不能通過后臺(tái)（如使用生產(chǎn)環(huán)境操作系統(tǒng)的命令行）進(jìn)行操作；6、信息技術(shù)人員不應(yīng)該擁有前臺(tái)應(yīng)用程序的業(yè)務(wù)操作訪問權(quán)限，更不應(yīng)該在前臺(tái)應(yīng)用程序中擔(dān)任實(shí)際的業(yè)務(wù)操作任務(wù)；7、從技術(shù)角度限制開發(fā)人員對(duì)生產(chǎn)環(huán)境中應(yīng)用程序文件夾的訪問權(quán)限，只有經(jīng)過授權(quán)的人員對(duì)程序擁有讀、寫和執(zhí)行的權(quán)限；8、禁止信息技術(shù)人員共享操作系統(tǒng)級(jí)別的賬號(hào)。附錄1、系統(tǒng)變更申請(qǐng)表系統(tǒng)名稱：申請(qǐng)人：申請(qǐng)時(shí)間：變更原因：變更內(nèi)容：物理安全變更 網(wǎng)絡(luò)安全變更 主機(jī)安全變更 應(yīng)用安全變更 數(shù)據(jù)安全變更 變更描述：變更影響：系統(tǒng)主管部門審批意見： 審批人簽名：信息安全管理部門審批意見： 審批人簽名：信息安全領(lǐng)導(dǎo)機(jī)構(gòu)審批意見： 審批人簽名：備注：注：可加附頁2、變更過程記錄系統(tǒng)名稱：變更執(zhí)行時(shí)間 開