《系统变更管理办法.pdf》由会员分享,可在线阅读,更多相关《系统变更管理办法.pdf(8页珍藏版)》请在三一文库上搜索。
1、. . 系统变更管理办法 (V1.0) 文档编号变更管理办法V1.0 文档敏感性敏感项目监理 文档编写编写日期 文档审核审核日期 公开范围 . . 1. 目录 1.目录 . 2 2.目的 . 3 3.范围 . 3 4.变更流程 . 3 5.变更方案的制订 4 6.紧急变更流程 5 7.权责分离 . 5 . . 2. 目的 为规范软件变更与维护管理,提高软件管理水平,优化软件变更与维护管理 流程,特制定本管理办法。 3. 范围 本办法适用于应用系统已开发或采购完毕并正式上线、且由软件开发组织移 交给应用管理组织之后, 所发生的生产应用系统 (以下简称应用系统) 运行支持 及系统变更工作。 4.
2、变更流程 系统变更工作可分为下面三类类型:功能完善维护、系统缺陷修改、统计报 表生成。 功能完善维护指根据业务部门的需求,对系统进行的功能完善性或适应性维 护;系统缺陷修改指对一些系统功能或使用上的问题所进行的修复,这些问题是 由于系统设计和实现上的缺陷而引发的;统计报表生成指为了满足业务部门统计 报表数据生成的需要,而进行的不包含在应用系统功能之内的数据处理工作。 系统变更工作以任务形式由需求方(一般为业务部门)和维护方(一般为信 息中心,还包括合作厂商)协作完成。系统变更过程类似软件开发,大致可分为 四个阶段:任务提交和接受、任务实现、任务验收和程序下发上线。 需求部门提出系统变更需求,并
3、将变更需求整理成系统变更申请表,由 部门负责人审批后提交给信息中心系统管理员。 系统管理员负责接受需求并上报给信息中心。信息中心分析需求,并提出系 统变更建议。对变更过程应形成变更过程记录。 系统管理员根据自行开发、 合作开发和外包开发的不同要求组织实现系统变 更需求,将需求提交至内部开发人员、合作开发商或外包开发商, 产生供发布的 程序。系统管理员应形成详细的变更方案。信息中心主任根据变更建议审批变更 . . 方案。 实现过程应按照软件开发过程规定进行。系统变更过程应遵循软件开发过程 相同的正式、统一的编码标准,并经过测试和正式验收才能下发和上线。 信息中心系统管理员组织业务部门的系统最终用
4、户对系统程序变更进行测 试,并撰写用户测试报告 ,提交业务部门负责人和信息中心主管领导签字确 认通过。 在系统变更完成后,信息中心系统管理员和业务部门的最终用户共同撰写 程序变更验收报告 ,经业务部门负责人签字验收后, 报送信息中心主管审批。 培训管理员负责对系统变更过程的文档进行归档管理,变更过程中涉及的所 有文档应至少保存两年。 5. 变更方案的制订 由系统管理员负责制定变更实施计划和方案。 变更实施计划和方案包含以下内容: (一)生产变更事件日期、时间(包括生产变更事件实施计划开始时间和结 束时间) ; (二)生产变更事件影响范围和是否影响生产系统业务连续运行。 (三)生产变更事件中各参
5、与部门需要配合和确认的工作,明确变更主要实 施成员。 (四)生产变更事件实施前的测试报告。 (五)生产变更事件实施后的验证方案。 (六)是否完成相关技术培训、操作手册和操作日志的修订。 (七)变更是否涉及配置变更。 (八)变更的具体实施步骤、内容。 (九)变更的回退方案。 (十)变更的应急方案。 . . 6. 紧急变更流程 对于紧急变更,需求部门可以通过电子邮件或传真等书面形式提出申请。 信息中心根据重要性和紧迫性做判断,确定其优先级和影响程度,并进行相 应处理。 紧急变更过程中应使用专设的系统用户账号,由专责部门或人员启动紧急修 改变更程序。信息中心应对紧急变更的处理进行规范的文档记录。 在
6、紧急事件处理完成后,必须在一周内补办正式、完整的文档,其中包括问 题发现人填写的紧急变更申请、 问题发现人所在部门负责人对该申请的审批、需 求部门 / 信息技术部测试记录(包括签字确认测试结果)。 7. 权责分离 系统变更过程中, 应采取各种措施保证维护环境程序代码访问权限受到良好 控制。这些措施包括: 1、通过系统用户的授权管理,确保只有特定人员能进行系统维护工作; 2、如果使用专用程序开发工具,只有授权人员才能使用程序开发工具(通 过只有特定开发人员拥有程序开发工具) ; 3、通过对源代码的访问控制,限制只有授权人员才能获得源代码以进行系 统维护; 4、在进行自有系统的程序变更时,应建立版
7、本控制制度确保每次在最新的 代码基础上进行更改,当多名程序员同时进行更改工作时,能够进行适当协调; 5、通过对系统日志的审阅,监督系统维护人员在系统中的操作,确认维护 工作的授权; 6、在进行自有系统的程序变更时,应防止源代码在完成测试到正式上线之 间的非授权修改。 系统变更过程中, 采取各种措施保证生产系统应用程序访问权限受到良好控 制。这些措施包括: 1、通过生产环境的访问控制,限制对生产环境的访问; . . 2、通过物理隔离的手段,限制对生产环境的访问; 3、通过逻辑隔离的手段,限制对生产环境的访问; 4、对授权访问生产环境的人员进行详细记录,使用该记录对生产环境访问 权限的检查,确保只
8、有经授权人员才能访问生产环境; 5、普通用户只能通过前台登录系统,不能通过后台(如使用生产环境操作 系统的命令行)进行操作; 6、信息技术人员不应该拥有前台应用程序的业务操作访问权限,更不应该 在前台应用程序中担任实际的业务操作任务; 7、从技术角度限制开发人员对生产环境中应用程序文件夹的访问权限,只 有经过授权的人员对程序拥有读、写和执行的权限; 8、禁止信息技术人员共享操作系统级别的账号。 . . 附录 1、系统变更申请表 系统名称: 申请人:申请时间: 变更原因: 变更内容:物理安全变更网络安全变更 主机安全变更应用安全变更 数据安全变更 变更描述: 变更影响: 系统主管部门审批意见: 审批人签名: 信息安全管理部门审批意见: 审批人签名: 信息安全领导机构审批意见: 审批人签名: 备注: 注:可加附页 . . 2、变更过程记录 系统名称: 变更执行时间开始:结束: 变更结果成功失败(是否完成回退操作是 否 ) 变更执行机构及人员: 变更相关 资料 系统变更申请风险管理威胁控制计划 变更操作指南系统回退方案 变更实施过程描述: 变更 操作 资产 管理 资产名称类型责任人变更处理 变更结果确认验收人员: 备注: