信息安全变更管理程序

《信息安全变更管理程序》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、变更管理程序Ver1.0发布口期2014年10月15日发布部门信息安全管理小组实施FI期2014年10月15日XXXXXXX计算机技术有限公司文件编号变更管理程序文件版次1.0密级变更履历版本变更履历变更人/变更日期审核人/审核日期批准人/批准口期1.0初次发布XXXXXXX计算机技术有限公司文件编号变更管理程序文件版次1.0密级秘密1目的为对组织内的软件的硬件与软件的变更进行有效控制，确保系统的各项安全要求得到识别并执行，防止未经授权及不充分的变更所造成的系统故障与业务中断，保证系统安全，特制定本程序。2范围本程序适用于本组织TT

2、设备（包括传输线路）、软件（操作系统及应用系统）等方面的变更控制的管理。3职责3.1信息安全管理小组负责以下方面的1T设备及软件方面的变更管理:a）组织内办公用计算机和网络设备及软件；b）服务器设备；c）财务管理系统等设备及软件；d）电子商务系统设备及软件。3.2各部门负责自行开发的软件变更管理4相关文件《信息安全管理手册》《变更管理安全策略》5程序5.1变更分类a）IT设备变更：包括系统中服务器、网络设备、传输线路及计算机终端的新增、减少及其设备本身的变化（包括设备的报废）；XXXXXXX计算机技术有限公司文件编号变更管理程序文件版次1.0密级秘密b）操作系统软件变

3、更：包括新安装、补丁、版本升级及更换;C）自行开发软件变更：包括小型业务变更、版本升级；d）软件包的变更。5.2IT设备变更控制软件设备（包括传输线路）的变更需求由变更管理部门根据组织业务发展的需要提出,填写《变更跟踪表》，经变更管理部门经理批准后予以实施。5.3操作系统软件变更当软件厂商发布操作系统或应用软件的更新补丁或版本时，信息安全管理小组负责分析更新内容对公司现有业务及工作的影响，IT人员可以先选一台测试机安装最新补丁，在未发现对工作业务产生重要负血影响的前提下，为使用该操作系统或应用软件的用户安装补丁。5.4软件的变更控制当客户重新对项目的某一或某些模块进行

4、重要耍求时，项FI组负责跟踪客户的新要求,进行业务及可以行性分析，组织有关人员进行方案评审，考虑系统改造对现有业务的影响,并制定有效的风险控制措施，方案在评审通过后，修改《需求开发说明书》，针对发生变更的模块，修改相应的详细设计书，数据库说明书，源程序。并対整个项目重新进行测试。在软件正式变更前，项目组应考虑以下方面的安全要求：a）变更对目前业务的影响；b）变更对现有软件的影响；0）变更实施前应进行安全测试；d）不成功的变更恢复措施。在变更实施前，由变更管理部门填写《变更跟踪表》，明确变更的原因、变更范圉、变更影响的分析及对策（包括不成功变更的恢复措施），经IT部批准

5、后予以实施。5.5变更实施的安全要求在变更实施之前，必要时，将重要的数据、系统软件进行备份，以便变更不成功之后的恢复。在变更实施Z前，必要时，应和相关部门协商，以便确定适当的变更时间，尽可能的将对业务的影响减至最低。5.6变更验收与记录当变更成功提交后，需由用户进行验收，确认其是否己完成用户所提的要求，达到预期的效果，并记录此次变更操作。5-7设备报废设备报废应由信息安全管理小组填写《设施报废记录》得到总经理批准后实施。报废设备中存有敏感信息，必须予以清除并在《设施报废记录》中予以说明5.8变更后软件备份要求当变更完成后，需将此次所运行的软件进行备份，包括其相关资料，

6、以便再一次变更以XXXXXXX计算机技术有限公司文件编号变更管理程序文件版次1.0密级及资料查询；如果此次变更涉及到一些资料文件，则这些资料文件也必须做相应的变更并存档。5.9变更不成功的恢复措施取消所做变更，从备份资料中获得原始软件资料，重新运行，恢复原始状态。根据变更操作记录，查找变更失败原因，以便再次做变更操作时避免同样的错误发生。6记录《变更跟踪表》《设施报废记录》