IT變更管理制度

1、一、 目的規(guī)范信息安全方向類的變更行為，降低系統(tǒng)故障風險，保障系統(tǒng)可用性。二、 范圍本制度適用于IT生產環(huán)境中涉及到信息安全類的軟件、硬件、配置等變更或基于規(guī)避信息安全風險原則發(fā)起的其它變更。三、 定義(一) 變更分級根據變更緊急程度將變更分為兩類：標準變更和緊急變更。變更類型及級別定義詳見附件1。(二) 變更流程標準變更管理流程詳見附件2，緊急變更管理流程詳見附件3。(三) 職責與權限闡述本制度/流程涉及的部門（角色）職責與權限。1. 變更審批人的職責和權限對影響較大、風險較高的重要變更進行審批。2. 變更審核人的職責和權限變更審核人負責審核變更實施方案，決策變更級別，監(jiān)控、管理變更實施的全

2、過程，并對影響較大、風險較高的重要變更操作，向變更審批人請示。3. 變更申請人職責和權限撰寫變更實施文檔，確定變更的影響范圍、實施范圍和預期結果，以及變更失敗的回退計劃。4. 變更實施人的職責和權限嚴格按照變更描述文檔所述，按時按序執(zhí)行變更步驟和相應驗證步驟，如變更步驟失敗則執(zhí)行回退計劃。在所有變更步驟執(zhí)行完畢后，變更實施人通知受影響部門和變更審核人。四、 要求(一) 變更準備1. 對于標準變更，必須提前1個工作日提交實施方案，并通知受影響用戶以及關聯(lián)系統(tǒng)負責人。對變更進行分級，如遇變更時長超過1小時的的標準變更，需要發(fā)布維護公告。2. 重大變更實施前必須對變更對象相關配置進行備份，并判斷是否

3、需要發(fā)布維護公告。3. 變更方案必須通過測試，測試結果需填寫在變更申請表中（詳見附件4）。(二) 變更審批1. 所有標準變更必須通過流程審批才能實施。變更申請人對于有固定周期、或低影響的標準變更，可將變更計劃一次性提交審批。除非變更計劃發(fā)生改變，否則后續(xù)變更無需再提交申請。2. 變更審核人必須根據變更級別定義對變更進行分級（詳見附件1），對實施方案進行操作可行性審批。對于重要變更、工作日的標準變更必須提交變更審批人審批。3. 緊急變更必須由變更審批人批準，實施完畢后需補交審批流程。(三) 變更實施1. 除非特批，關于信息安全類的變更時間需控制在每周四19:00至次日8:00期間。2. 在變更實

4、施后必須需由相關人員對影響范圍內的應用系統(tǒng)進行驗證。3. 變更實施人在變更成功實施后需通知變更審核人，在確認實施成功后方可結束變更流程。4. 如遇變更失敗需執(zhí)行回退操作時，需獲得變更審核人批準。失敗后需查明原因，并提交相關文案。五、 附錄附件1 變更分類及級別定義1. 變更分類根據變更的緊急程度將變更類型劃分為標準變更和緊急變更，具體定義見下表：序號變更類型類型描述1標準變更提前計劃且需通過審批的才能實施的變更。例如：硬件設備更換、防火墻策略更改等。2緊急變更在變更計劃之外，為應對突發(fā)的緊急情況必須立即執(zhí)行的變更。例如：系統(tǒng)重大故障。2. 變更級別定義根據變更影響程度對變更進行級別劃分，具體定

5、義見下表：序號級別級別描述1重要滿足下列條件之一即可認為是“重要”：1) 影響公司核心業(yè)務；2) 系統(tǒng)需停機時間超過1小時；3) 實施風險較大，易造成數(shù)據丟失，例如丟失當天業(yè)務數(shù)據。2一般1) 系統(tǒng)部分組件或集群部分主機不能提供服務，例如Web集群WEB01服務器停機維護；2) 停機時間不超過1小時；3) 回退方式簡單，不會影響業(yè)務數(shù)據。 附件2 標準變更管理流程附件3 緊急變更管理流程附件4 變更申請表變更申請表變更項目名稱變更審核人變更申請人批準日期變更實施人計劃變更時間變更類別標準 緊急 變更級別一般 重要 變更實施對象： 應用系統(tǒng) 應用系統(tǒng)名稱：_ 受影響系統(tǒng)名稱：_ 服務器 服務器名稱： _ 受影響系統(tǒng)名稱：_ 網絡： 設備位置：_ 設備用途：_ 安全類