系统变更管理方案办法doc.docx

1、系统变更管理方案办法doc系统变更管理办法（ V1.0 ）文档编号变更管理办法V1.0文档敏感性敏感项目监理文档编写编写日期文档审核审核日期公开范围1.目录1.2.3.4.5.6.7.目录.目的.范围.变更流程.变更方案的制订.紧急变更流程.权责分离.2333455第 2 页 /共 8 页2.目的为规范软件变更与维护管理，提高软件管理水平，优化软件变更与维护管理流程，特制定本管理办法。3.范围本办法适用于应用系统已开发或采购完毕并正式上线、 且由软件开发组织移交给应用管理组织之后， 所发生的生产应用系统 （以下简称应用系统） 运行支持及系统变更工作。4.变更流程系统变更工作可分为下面三类类型：

2、功能完善维护、系统缺陷修改、统计报表生成。功能完善维护指根据业务部门的需求， 对系统进行的功能完善性或适应性维护；系统缺陷修改指对一些系统功能或使用上的问题所进行的修复， 这些问题是由于系统设计和实现上的缺陷而引发的； 统计报表生成指为了满足业务部门统计报表数据生成的需要，而进行的不包含在应用系统功能之内的数据处理工作。系统变更工作以任务形式由需求方（一般为业务部门）和维护方（一般为信息中心，还包括合作厂商）协作完成。系统变更过程类似软件开发，大致可分为四个阶段：任务提交和接受、任务实现、任务验收和程序下发上线。需求部门提出系统变更需求，并将变更需求整理成系统变更申请表 ，由部门负责人审批后提

3、交给信息中心系统管理员。系统管理员负责接受需求并上报给信息中心。信息中心分析需求，并提出系统变更建议。对变更过程应形成变更过程记录。系统管理员根据自行开发、 合作开发和外包开发的不同要求组织实现系统变更需求，将需求提交至内部开发人员、 合作开发商或外包开发商， 产生供发布的程序。系统管理员应形成详细的变更方案 。信息中心主任根据变更建议审批 变更第 3 页 /共 8 页方案。实现过程应按照软件开发过程规定进行。 系统变更过程应遵循软件开发过程相同的正式、统一的编码标准，并经过测试和正式验收才能下发和上线。信息中心系统管理员组织业务部门的系统最终用户对系统程序变更进行测试，并撰写用户测试报告 ，

4、提交业务部门负责人和信息中心主管领导签字确认通过。在系统变更完成后，信息中心系统管理员和业务部门的最终用户共同撰写程序变更验收报告，经业务部门负责人签字验收后， 报送信息中心主管审批。培训管理员负责对系统变更过程的文档进行归档管理， 变更过程中涉及的所有文档应至少保存两年。5.变更方案的制订由系统管理员负责制定变更实施计划和方案。变更实施计划和方案包含以下内容：（一）生产变更事件日期、时间（包括生产变更事件实施计划开始时间和结束时间）；（二）生产变更事件影响范围和是否影响生产系统业务连续运行。（三）生产变更事件中各参与部门需要配合和确认的工作，明确变更主要实施成员。（四）生产变更事件实施前的测

5、试报告。（五）生产变更事件实施后的验证方案。（六）是否完成相关技术培训、操作手册和操作日志的修订。（七）变更是否涉及配置变更。（八）变更的具体实施步骤、内容。（九）变更的回退方案。（十）变更的应急方案。第 4 页 /共 8 页6.紧急变更流程对于紧急变更，需求部门可以通过电子邮件或传真等书面形式提出申请。信息中心根据重要性和紧迫性做判断，确定其优先级和影响程度，并进行相应处理。紧急变更过程中应使用专设的系统用户账号， 由专责部门或人员启动紧急修改变更程序。信息中心应对紧急变更的处理进行规范的文档记录。在紧急事件处理完成后，必须在一周内补办正式、完整的文档，其中包括问题发现人填写的紧急变更申请、

6、 问题发现人所在部门负责人对该申请的审批、 需求部门 / 信息技术部测试记录（包括签字确认测试结果） 。7.权责分离系统变更过程中， 应采取各种措施保证维护环境程序代码访问权限受到良好控制。这些措施包括：1、通过系统用户的授权管理，确保只有特定人员能进行系统维护工作；2、如果使用专用程序开发工具，只有授权人员才能使用程序开发工具（通过只有特定开发人员拥有程序开发工具） ；3、通过对源代码的访问控制，限制只有授权人员才能获得源代码以进行系统维护；4、在进行自有系统的程序变更时，应建立版本控制制度确保每次在最新的代码基础上进行更改，当多名程序员同时进行更改工作时，能够进行适当协调；5、通过对系统日

7、志的审阅，监督系统维护人员在系统中的操作，确认维护工作的授权；6、在进行自有系统的程序变更时，应防止源代码在完成测试到正式上线之间的非授权修改。系统变更过程中， 采取各种措施保证生产系统应用程序访问权限受到良好控制。这些措施包括：1、通过生产环境的访问控制，限制对生产环境的访问；第 5 页 /共 8 页2、通过物理隔离的手段，限制对生产环境的访问；3、通过逻辑隔离的手段，限制对生产环境的访问；4、对授权访问生产环境的人员进行详细记录，使用该记录对生产环境访问权限的检查，确保只有经授权人员才能访问生产环境；5、普通用户只能通过前台登录系统，不能通过后台（如使用生产环境操作系统的命令行）进行操作；

8、6、信息技术人员不应该拥有前台应用程序的业务操作访问权限，更不应该在前台应用程序中担任实际的业务操作任务；7、从技术角度限制开发人员对生产环境中应用程序文件夹的访问权限，只有经过授权的人员对程序拥有读、写和执行的权限；8、禁止信息技术人员共享操作系统级别的账号。第 6 页 /共 8 页附录1、系统变更申请表系统名称：申请人： 申请时间：变更原因：变更内容：物理安全变更 网络安全变更 主机安全变更 应用安全变更 数据安全变更 变更描述：变更影响：系统主管部门审批意见：审批人签名：信息安全管理部门审批意见：审批人签名：信息安全领导机构审批意见：审批人签名：备注：注：可加附页第 7 页 /共 8 页2、变更过程记录系统名称：变更执行时间 开始： 结束：变更结果 成功 失败（是否完成回退操作 是 否 ）变更执行机构及人员：变更相关 系统变更申请 风险管理威胁控制计划 资料 变更操作指南 系统回退方案 变更实施过程描述：变更资产名称类型责任人变更处理操作资产管理变更结果确认验收人员：备注：第 8 页 /共 8 页