变更管理程序
文件版次
V1.0
密级/状态
机密/受控
第PAGE\*Arabic2页共NUMPAGES\*Arabic3页
密级等级:机密
受控状态:受控
文件编号:GM-IP-003-V1.0
变更管理程序
V1.0
2024年2月1日
XXXXXXXX电子科技有限公司
内部资料版权所有未经允许不得抄印
变更履历
版本
变更内容
编制人/
创建日期
审核人/
审核日期
批准人/
批准日期
备注
V1.0
初次发布
1目的
为对组织内的软件的硬件与软件的变更进行有效控制,确保系统的各项安全要求得到识别并执行,防止未经授权及不充分的变更所造成的系统故障与业务中断,保证系统安全,特制定本程序。
2范围
本程序适用于本组织IT设备(包括传输线路)、软件(操作系统及应用系统)等方面的变更控制的管理。
3职责
3.1管理部
负责以下方面的IT设备及软件方面的变更管理:
组织内办公用计算机和网络设备及软件;
服务器设备;
财务管理系统等设备及软件;
3.2信息安全管理小组
负责开发软件的变更管理
4相关文件
《信息安全管理手册》
《变更管理安全策略》
5程序
5.1变更分类
IT设备变更:包括系统中服务器、网络设备、传输线路及计算机终端的新增、减少及其设备本身的变化(包括设备的报废);
操作系统和信息系统软件变更:包括新安装、补丁、版本升级及更换(如打SP2补丁);
开发软件包的变更。
5.2IT设备变更控制
软件设备(包括传输线路)的变更需求由变更部门根据组织业务发展的需要提出,填写《变更申请表》,经管理部批准后予以实施。
5.3操作系统软件变更
当软件厂商发布操作系统或应用软件的更新补丁或版本时,管理部负责分析更新内容对公司现有业务及工作的影响,管理部人员可以先选一台测试机安装最新补丁,在未发现对工作业务产生重要负面影响的前提下,为使用该操作系统或应用软件的用户安装补丁。
5.4软件的变更控制
当客户重新对项目的某一或某些模块进行重要要求时,项目组负责跟踪客户的新要求,进行业务及可以行性分析,组织有关人员进行方案评审,考虑系统改造对现有业务的影响,并制定有效的风险控制措施,方案在评审通过后,修改《需求开发说明书》,针对发生变更的模块,修改相应的详细设计书,数据库说明书,源程序。并对整个项目重新进行测试。
在软件正式变更前,项目组应考虑以下方面的安全要求:
变更对目前业务的影响;
变更对现有软件的影响;
变更实施前应进行安全测试;
不成功的变更恢复措施。
在变更实施前,由变更部门填写《变更申请表》,明确变更的原因、变更范围、变更影响的分析及对策(包括不成功变更的恢复措施),经管理部批准后予以实施。
5.5变更的策划和测试
针对影响较大的变更,在执行变更前需编写《变更方案》,策划变更整改过程,包括人员、时间、方法步骤、测试要求、回退方法等,方案需得到批准后才可实施。
接下来需要对变更方案进行测试,对变更可能引发的问题进行解决,直到可以保证变更是可控的,方可实施,测试情况填入《变更测试报告》。
5.6变更实施的安全要求
在变更实施之前,必要时,将重要的数据、系统软件进行备份,以便变更不成功之后的恢复。
在变更实施之前,必要时,应和相关部门协商,以便确定适当的变更时间,尽可能的将对业务的影响减至最低。
5.6变更验收与记录
当变更成功提交后,需由用户进行验收,确认其是否已完成用户所提的要求,达到预期的效果,并记录此次变更操作。
5.8变更后软件备份要求
当变更完成后,需将此次所运行的软件进行备份,包括其相关资料,以便再一次变更以及资料查询;如果此次变更涉及到一些资料文件,则这些资料文件也必须做相应的变更并存档。
5.9变更不成功的恢复措施
取消所做变更,从备份资料中获得原始软件资料,重新运行,恢复原始状态。
根据变更操作记录,查找变更失败原因,以便再次做变更操作时避免同样的错误发生。
6记录
《变更申请表》
《变更方案》
《变更测试报告》