变更管理规定
目 录
1 2 3 4
目的 ................................................................................................................................................. 2 引用文件 ......................................................................................................................................... 2 职责和权限 ..................................................................................................................................... 2 变更步骤管理 ................................................................................................................................. 2
4.1变更分类 ............................................................................................................................................. 2 4.2提交变更申请 ..................................................................................................................................... 3 4.3变更的测试 ......................................................................................................................................... 3 4.4变更的批准 ......................................................................................................................................... 4 4.5变更的实施 ......................................................................................................................................... 4 4.6变更验收 ............................................................................................................................................. 4 4.7软件包的变更 ..................................................................................................................................... 5
5 6
关于补丁变更的参考文件 ............................................................................................................. 6 相关记录 ......................................................................................................................................... 6
1 目的
对信息处理设施和系统的变更缺乏控制是系统故障或安全失误的常见原因,为规范本公司信息系统的变更,降低因信息系统变更带来的风险,特制定本制度。 2 引用文件
1) 下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的
引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
2) GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全
管理体系要求
3) GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全
管理实施细则
3 职责和权限
系统服务部:负责各产品线的变更管理。 各研发部:负责对变更进行策划。 4 变更步骤管理 4.1变更分类
以下情况属于变更范畴,需按此变更管理规定处理。当信息系统需要产生变更时,应先分析其变更原因,信息类变更主要有以下几个方面:
a) IT设备的维修、升级或更换。 b) 操作系统的补丁升级或更换。
c) 应用系统的升级或更换(包括紧急更新)。 d) 数据库变更。
e) 配置信息变更(包括组织角色)。 f) 架构更新。
4.2提交变更申请
1) 业务部门提交各产品线的变更申请表。
2) 在明确变更原因和必要的变更影响评价后,各研发或业务部负责对变更进
行策划,提出变更意见,以及变更的具体实施方案计划,交由各研发或业务部负责人审核。
3) 变更不成功的恢复措施,所有的变更,包括IT系统的变更、操作系统软件、
应用程序软件和程序库的升级、补丁或更新等,在制订变更计划时,就需要将失败恢复措施作为必要措施写入计划,并经各研发或业务部领导与各应用部门论证通过。
4.3变更的测试
1) 变更测试是对回退计划、变更实施计划和变更预期进行测试。变更测试应
在独立的测试系统上进行。不可再正式环境中进行测试
2) 对于重要设备和重要信息系统的重大变更要首先进行测试,避免变更带来
的风险。
22080-216-ISO27001-2013信息安全管理体系变更管理规定
