IT变更管理制度.docx
《IT变更管理制度.docx》由会员分享,可在线阅读,更多相关《IT变更管理制度.docx(6页珍藏版)》请在冰豆网上搜索。
IT变更管理制度
IT变更管理制度
一、目的
规范信息安全方向类的变更行为,降低系统故障风险,保障系统可用性。
二、范围
本制度适用于IT生产环境中涉及到信息安全类的软件、硬件、配置等变更或基于规避信息安全风险原则发起的其它变更。
三、定义
(一)变更分级
根据变更紧急程度将变更分为两类:
标准变更和紧急变更。
变更类型及级别定义详见附件1。
(二)变更流程
标准变更管理流程详见附件2,紧急变更管理流程详见附件3。
(三)职责与权限
阐述本制度/流程涉及的部门(角色)职责与权限。
1.变更审批人的职责和权限
对影响较大、风险较高的重要变更进行审批。
2.变更审核人的职责和权限
变更审核人负责审核变更实施方案,决策变更级别,监控、管理变更实施的全过程,并对影响较大、风险较高的重要变更操作,向变更审批人请示。
3.变更申请人职责和权限
撰写变更实施文档,确定变更的影响范围、实施范围和预期结果,以及变更失败的回退计划。
4.变更实施人的职责和权限
严格按照变更描述文档所述,按时按序执行变更步骤和相应验证步骤,如变更步骤失败则执行回退计划。
在所有变更步骤执行完毕后,变更实施人通知受影响部门和变更审核人。
四、要求
(一)变更准备
1.对于标准变更,必须提前1个工作日提交实施方案,并通知受影响用户以及关联系统负责人。
对变更进行分级,如遇变更时长超过1小时的的标准变更,需要发布维护公告。
2.重大变更实施前必须对变更对象相关配置进行备份,并判断是否需要发布维护公告。
3.变更方案必须通过测试,测试结果需填写在变更申请表中(详见附件4)。
(二)变更审批
1.所有标准变更必须通过流程审批才能实施。
变更申请人对于有固定周期、或低影响的标准变更,可将变更计划一次性提交审批。
除非变更计划发生改变,否则后续变更无需再提交申请。
2.变更审核人必须根据变更级别定义对变更进行分级(详见附件1),对实施方案进行操作可行性审批。
对于重要变更、工作日的标准变更必须提交变更审批人审批。
3.紧急变更必须由变更审批人批准,实施完毕后需补交审批流程。
(三)变更实施
1.除非特批,关于信息安全类的变更时间需控制在每周四19:
00至次日8:
00期间。
2.在变更实施后必须需由相关人员对影响范围内的应用系统进行验证。
3.变更实施人在变更成功实施后需通知变更审核人,在确认实施成功后方可结束变更流程。
4.如遇变更失败需执行回退操作时,需获得变更审核人批准。
失败后需查明原因,并提交相关文案。
五、附录
附件1变更分类及级别定义
1.变更分类
根据变更的紧急程度将变更类型划分为标准变更和紧急变更,具体定义见下表:
序号
变更类型
类型描述
1
标准变更
提前计划且需通过审批的才能实施的变更。
例如:
硬件设备更换、防火墙策略更改等。
2
紧急变更
在变更计划之外,为应对突发的紧急情况必须立即执行的变更。
例如:
系统重大故障。
2.变更级别定义
根据变更影响程度对变更进行级别划分,具体定义见下表:
序号
级别
级别描述
1
重要
满足下列条件之一即可认为是“重要”:
1)影响公司核心业务;
2)系统需停机时间超过1小时;
3)实施风险较大,易造成数据丢失,例如丢失当天业务数据。
2
一般
1)系统部分组件或集群部分主机不能提供服务,例如Web集群WEB01服务器停机维护;
2)停机时间不超过1小时;
3)回退方式简单,不会影响业务数据。
附件2标准变更管理流程
附件3紧急变更管理流程
附件4变更申请表
变更申请表
变更项目名称
变更审核人
变更申请人
批准日期
变更实施人
计划变更时间
变更类别
□标准□紧急
变更级别
□一般□重要
变更实施对象:
□应用系统应用系统名称:
______________受影响系统名称:
______________
□服务器服务器名称:
______________受影响系统名称:
______________
□网络:
设备位置:
__________________设备用途:
____________________
□安全类:
设备名称:
__________________设备用途:
____________________
配置修改描述:
变更目的:
变更影响范围及时长:
变更方案测试记录(如有):
变更实施、验证、回退步骤
序号
实施步骤
验证步骤
回退步骤
1
2
3
4
升级会员 