網(wǎng)絡(luò)變更流程圖指引1

1、網(wǎng)絡(luò)變更流程網(wǎng)絡(luò)變更流程文檔控制網(wǎng)絡(luò)變更流程文檔名稱：內(nèi)部機(jī)密分類：版本號(hào)定版日期作者更新說明版本控制：姓名部門（文檔部分所有者）文檔審定：復(fù)查時(shí)間復(fù)查結(jié)果復(fù)查計(jì)劃：發(fā)布批準(zhǔn)人：人員文檔權(quán)限與文檔的主要關(guān)系分發(fā)控制：僅供 xxx 內(nèi)部參考使用22004-9網(wǎng)絡(luò)變更流程目錄文檔控制11總則錯(cuò)誤！未定義書簽。2通則錯(cuò)誤！未定義書簽。3附則錯(cuò)誤！未定義書簽。僅供 xxx 內(nèi)部參考使用32004-9網(wǎng)絡(luò)變更流程1第 1條 制定本流程的目標(biāo)是為了規(guī)范 xxx 網(wǎng)絡(luò)變更行為，使得網(wǎng)絡(luò)系統(tǒng)的變更遵循公司信息安全的有關(guān)流程。第 2條 本流程是指導(dǎo) xxx 進(jìn)行網(wǎng)絡(luò)系統(tǒng)變更管理工作的基本依據(jù)。第 3條 本流程適

2、用于 xxx 擁有、控制和管理的所有網(wǎng)絡(luò)系統(tǒng)，包括但不限于網(wǎng)絡(luò)系統(tǒng)、操作 / 應(yīng)用系統(tǒng)、項(xiàng)目開發(fā)等范疇，涉及屬于 xxx 網(wǎng)絡(luò)系統(tǒng)范圍內(nèi)的所有部門以及在特殊情況下的其他第三方組織。第 4條 本流程的解釋和修改權(quán)屬 xxx 。第 5條 本流程主要依據(jù)國際標(biāo)準(zhǔn) ISO17799,并遵照我國信息安全有關(guān)法律法規(guī)、行業(yè)規(guī)范和相關(guān)標(biāo)準(zhǔn)。2第 6條 信息系統(tǒng)的變更應(yīng)當(dāng)遵循以下原則：保證系統(tǒng)在變更前后的一致性原則；保證系統(tǒng)在變更前后的完整性原則；保證變更的可控性原則；保證變更的協(xié)調(diào)性原則；保證變更的可審計(jì)性原則；第 7條 信息系統(tǒng)的變更控制包括但不局限于下列情況：范疇內(nèi)容網(wǎng)絡(luò)系統(tǒng)構(gòu)架（拓?fù)洌┳兓W(wǎng)絡(luò)系統(tǒng)功能

3、變化網(wǎng)絡(luò)設(shè)備內(nèi)嵌操作 / 應(yīng)用系統(tǒng)版本升級(jí)網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)設(shè)備配置變化網(wǎng)絡(luò)設(shè)備變化（設(shè)備更新/ 調(diào)配）地址分配僅供 xxx 內(nèi)部參考使用42004-9網(wǎng)絡(luò)變更流程第 8條 信息系統(tǒng)的變更級(jí)別應(yīng)當(dāng)按照如下的情況進(jìn)行確認(rèn)：變更級(jí)別甲級(jí)乙級(jí)丙級(jí)丁級(jí)變更需求急迫急迫急迫不急迫不急迫性要求變更需求重要重要不重要重要不重要性要求變更范圍重要業(yè)務(wù)系統(tǒng)重要業(yè)務(wù)系統(tǒng)一般性系統(tǒng)升部門內(nèi)部小范的重要功能的一般性功能級(jí)圍變化網(wǎng)絡(luò)割接 / 升變化系統(tǒng)配置變化系統(tǒng)淘汰級(jí)一般性安全補(bǔ)服務(wù)對象變化重要的安全補(bǔ)丁網(wǎng)絡(luò)系統(tǒng)局部丁和升級(jí)（非重要部重要配置變化分）變化網(wǎng)絡(luò)系統(tǒng)的重大改變變更影響影響重要業(yè)務(wù)影響業(yè)務(wù)系統(tǒng)影響業(yè)務(wù)系統(tǒng)對公司整

4、體影系統(tǒng)功能部分功能部分功能響很小影響網(wǎng)絡(luò)性能對部門 / 業(yè)務(wù)影響公司整體系統(tǒng)影響很小形象響應(yīng)確認(rèn)時(shí)間24 小時(shí)之內(nèi)48 小時(shí)之內(nèi)48 小時(shí)之內(nèi)無限制第 9條 信息系統(tǒng)的變更應(yīng)當(dāng)?shù)玫缴霞?jí)主管部門明確的授權(quán)和支持， 任何沒有獲得上級(jí)主管部門明確授權(quán)的變更將被視為非法，不會(huì)獲得任何支持；第 10條 任何非法變更的發(fā)起者和執(zhí)行者將受到公司相應(yīng)管理制度和條例的懲戒，懲戒程度視變更的范圍和影響而定；僅供 xxx 內(nèi)部參考使用52004-9網(wǎng)絡(luò)變更流程第 11條 任何獲得上級(jí)主管部門授權(quán)的變更應(yīng)當(dāng)獲得公司相應(yīng)的變更支持，以保證：公司對變更請求的確認(rèn)；公司對變更過程的保護(hù)；第 12條 信息系統(tǒng)的變更按照變更

5、的級(jí)別，由下表確認(rèn)和授權(quán)：變更級(jí)別甲級(jí)乙級(jí)丙級(jí)丁級(jí)變更確認(rèn)和授公司最高決策上級(jí)主管部門上級(jí)主管部門上級(jí)主管部門權(quán)部門機(jī)構(gòu)上級(jí)主管部門第 13條 信息系統(tǒng)變更請求應(yīng)當(dāng)由信息系統(tǒng)的合法擁有者/ 管理者正式向主管部門提出；第 14條 信息系統(tǒng)的變更請求應(yīng)當(dāng)向上級(jí)主管部門提供包含但不局限于下列內(nèi)容：變更請求的發(fā)起者；變更的目的和意義；變更的緊迫性和重要性（變更級(jí)別） ; 變更請求需要的答復(fù)響應(yīng)時(shí)間；變更涉及的業(yè)務(wù)系統(tǒng)范圍；變更對當(dāng)前系統(tǒng)的影響；變更請求涉及和需要的各類資源，包括所必需的各類人力資源和物力資源；變更的必要性與可行性分析；詳細(xì)的變更實(shí)施計(jì)劃，包括但不限于變更實(shí)施步驟、緊急情況應(yīng)對措施等內(nèi)容

6、；對變更結(jié)果的預(yù)測與評估；第 15條 信息系統(tǒng)的變更請求依據(jù)其變更等級(jí)由相應(yīng)的上級(jí)主管部門負(fù)責(zé)審批和授權(quán)；第 16條 涉及跨部門的變更請求，應(yīng)當(dāng)由更上一級(jí)主管部門進(jìn)行協(xié)調(diào)、審批和授權(quán)；第 17條 各級(jí)變更控制管理機(jī)構(gòu)在審批變更請求時(shí)應(yīng)當(dāng)：確認(rèn)信息系統(tǒng)變更請求者的合法地位；檢查系統(tǒng) / 功能的內(nèi)在 / 外在風(fēng)險(xiǎn)控制措施在變更過程中不會(huì)受到破壞；檢查系統(tǒng) / 功能的完整性、可用性、機(jī)密性在變更過程中不會(huì)受到破壞；審核確認(rèn)變更所涉及的范圍；審核評估變更對公司 / 組織的（潛在的）正面 / 負(fù)面影響；僅供 xxx 內(nèi)部參考使用62004-9網(wǎng)絡(luò)變更流程審核確認(rèn)變更所需要的各種資源消耗；審核變更請求中評

7、估結(jié)果并對變更做出允許 / 不允許的決議；維護(hù)變更請求以及變更請求者的審計(jì)跟蹤記錄；對變更請求進(jìn)行備案，并報(bào)上級(jí)主管部門；下發(fā)對于變更請求的決議和通知，確保所有相關(guān)人員均已知曉變更；批準(zhǔn)變更執(zhí)行計(jì)劃，任命合適的變更執(zhí)行人員/ 小組；對變更執(zhí)行人員 / 小組進(jìn)行必要的授權(quán)；第 18條 系統(tǒng)變更由相應(yīng)的變更控制管理機(jī)構(gòu)所任命/ 授權(quán)的人員 / 小組負(fù)責(zé)實(shí)施；第 19條 被授權(quán)的變更執(zhí)行者應(yīng)當(dāng)：在變更實(shí)施之前確保所有的合法用戶都同意變更；在變更實(shí)施之前確認(rèn)所有先決條件均已滿足變更實(shí)施要求；在變更實(shí)施中， 嚴(yán)格按照既定的變更方案實(shí)施變更， 確保變更得到正確的組織和實(shí)施，使在變更流程范圍之內(nèi)，最大限度地

8、減少變更對業(yè)務(wù)系統(tǒng)的影響；在變更實(shí)施中維護(hù)變更實(shí)施過程紀(jì)錄供上級(jí)變更控制管理部門和信息安全審計(jì)部門審計(jì)；確保在變更實(shí)施完畢后相關(guān)文檔的及時(shí)更新，所有的舊文文檔得到妥善的處理（歸檔或者銷毀）；變更實(shí)施完畢后及時(shí)向上級(jí)變更控制管理部門/ 審計(jì)機(jī)構(gòu)通報(bào)變更執(zhí)行情況；在變更實(shí)施過程中和完畢后接受上級(jí)變更控制管理部門/ 審計(jì)機(jī)構(gòu)對變更過程的監(jiān)督 / 審計(jì)；第 20條 變更控制管理部門在變更實(shí)施過程中應(yīng)當(dāng)：負(fù)責(zé)監(jiān)督變更的實(shí)施；負(fù)責(zé)對變更實(shí)施的記錄進(jìn)行審計(jì)；在各個(gè)部門之間協(xié)調(diào)變更的執(zhí)行；對變更中的突發(fā)事件進(jìn)行控制；第 21條 變更控制管理部門在變更實(shí)施完畢后應(yīng)當(dāng)：組織相關(guān)人員 / 部門對變更的過程和結(jié)果進(jìn)行

9、評估和審計(jì)，以確保變更達(dá)到設(shè)計(jì)目標(biāo)；向變更的發(fā)起者和執(zhí)行者提供評估/ 審計(jì)結(jié)果；僅供 xxx 內(nèi)部參考使用72004-9網(wǎng)絡(luò)變更流程對整個(gè)變更進(jìn)行備案；第 22條 在變更過程中如果遇到突發(fā)事件，由變更執(zhí)行人取得相應(yīng)的授權(quán)之后全權(quán)處理，但必須在處理完畢后在變更控制管理部門備案；第 23條 變更紀(jì)錄由下級(jí)變更管理機(jī)構(gòu)歸檔并報(bào)上級(jí)變更管理機(jī)構(gòu)備案；第 24條 對于在變更執(zhí)行過程中和完畢后違反執(zhí)行流程的人員和行為， 依據(jù)其情節(jié)的輕重和后果的嚴(yán)重程度，由公司有關(guān)管理?xiàng)l例和規(guī)范實(shí)施懲戒；3第 25條 為了確保本安全流程的可用性和可操作性，需要定期進(jìn)行審查/ 更新或因?yàn)樽兏M(jìn)行更新。第 26條 本流程由

10、xxx 每年審視一次，根據(jù)審視結(jié)果進(jìn)行修訂，修訂后重新頒布執(zhí)行；第 27條 本流程的解釋權(quán)歸 xxx ；第 28條 本流程自簽發(fā)之日起生效。其中專業(yè)理論知識(shí)內(nèi)容包括：保安理論知識(shí)、消防業(yè)務(wù)知識(shí)、職業(yè)道德、法律常識(shí)、保安禮儀、救護(hù)知識(shí)。作技能訓(xùn)練內(nèi)容包括：崗位操作指引、勤務(wù)技能、消防技能、軍事技能。二培訓(xùn)的及要求培訓(xùn)目的安全生產(chǎn)目標(biāo)責(zé)任書為了進(jìn)一步落實(shí)安全生產(chǎn)責(zé)任制，做到“責(zé)、權(quán)、利”相結(jié)合，根據(jù)我公司2015 年度安全生產(chǎn)目標(biāo)的內(nèi)容，現(xiàn)與財(cái)務(wù)部 簽訂如下安全生產(chǎn)目標(biāo)：一、目標(biāo)值：1 、全年人身死亡事故為零，重傷事故為零，輕傷人數(shù)為零。2 、現(xiàn)金安全保管，不發(fā)生盜竊事故。3 、每月足額提取安全生

11、產(chǎn)費(fèi)用，保障安全生產(chǎn)投入資金的到位。4 、安全培訓(xùn)合格率為 100% 。二、本單位安全工作上必須做到以下內(nèi)容：1 、對本單位的安全生產(chǎn)負(fù)直接領(lǐng)導(dǎo)責(zé)任，必須模范遵守公司的各項(xiàng)安全管理制度，不發(fā)布與公司安全管理制度相抵觸的指令，嚴(yán)格履行本人的安全職責(zé)，確保安全責(zé)任制在本單位全面落實(shí)，并全力支持安全工作。僅供 xxx 內(nèi)部參考使用82004-9網(wǎng)絡(luò)變更流程2 、保證公司各項(xiàng)安全管理制度和管理辦法在本單位內(nèi)全面實(shí)施，并自覺接受公司安全部門的監(jiān)督和管理。3 、在確保安全的前提下組織生產(chǎn)，始終把安全工作放在首位，當(dāng)“安全與交貨期、質(zhì)量”發(fā)生矛盾時(shí)，堅(jiān)持安全第一的原則。4 、參加生產(chǎn)碰頭會(huì)時(shí)，首先匯報(bào)本單位的安全生產(chǎn)情況和安全問題落實(shí)情況；在安排本單位生產(chǎn)任務(wù)時(shí)，必須安排安全工作內(nèi)容，并寫入記錄。5 、在公司及政府的安全檢查中杜絕各類違章現(xiàn)象。6 、組織本部門積極參加安全檢查，做到有檢查、有整改，記錄全。7 、以身作則，不違章指揮、不違章操作。對發(fā)現(xiàn)的各類違章現(xiàn)象負(fù)有查禁的責(zé)任，同時(shí)要予以查處。8 、虛心接受員工提出的問題，杜絕不接受或盲目指揮；9 、發(fā)生事故，應(yīng)立即報(bào)告主管領(lǐng)導(dǎo)，按照“四不放過”的原則召開事故分析會(huì)，提出整改措施和對責(zé)任者的處理意見，并填寫事故登記表，嚴(yán)禁隱瞞不報(bào)或降