IT变更管理制度.docx

IT IT 变更管理制度 1 2020 年 4 月 19 日 一、目的 规范信息安全方向类的变更行为，降低系统故障风险，保障系统可用性。 二、范围 本制度适用于 IT 生产环境中涉及到信息安全类的软件、硬件、配置等变更或基于规避信息安全风险原则发起的其它变更。 三、定义 (一) 变更分级 根据变更紧急程度将变更分为两类：标准变更和紧急变更。变更类型及级别定义详见 附件 1。 (二) 变更流程 标准变更管理流程详见 附件 2，紧急变更管理流程详见 附件 3。 (三) 职责与权限 阐述本制度 / 流程涉及的部门（角色）职责与权限。 变更审批人的职责和权限 对影响较大、风险较高的重要变更进行审批。 变更审核人的职责和权限 变更审核人负责审核变更实施方案，决策变更级别，监控、管理变更实施的全过程，并对影响较大、风险较高的重要变更操作，向变更审批人请示。 变更申请人职责和权限 撰写变更实施文档，确定变更的影响范围、实施范围和预期结果，以 文档仅供参考 文档仅供参考 PAGE 3 PAGE 3 2020 年 4 月 19 日 及变更失败的回退计划。 变更实施人的职责和权限 严格按照变更描述文档所述，按时按序执行变更步骤和相应验证步骤，如变更步骤失败则执行回退计划。在所有变更步骤执行完毕后，变更实施人通知受影响部门和变更审核人。 四、要求 (一) 变更准备 对于标准变更，必须提前 1 个工作日提交实施方案，并通知受影响用户以及关联系统负责人。对变更进行分级，如遇变更时长超 过 1 小时的的标准变更，需要发布维护公告。 重大变更实施前必须对变更对象相关配置进行备份，并判断是否需要发布维护公告。 变更方案必须经过测试，测试结果需填写在变更申请表中（ 详见附件 4）。 (二) 变更审批 所有标准变更必须经过流程审批才能实施。变更申请人对于有固定周期、或低影响的标准变更，可将变更计划一次性提交审批。除非变更计划发生改变，否则后续变更无需再提交申请。 变更审核人必须根据变更级别定义对变更进行分级（ 详见附件 1） ，对实施方案进行操作可行性审批。对于重要变更、工作日的标准变更必须提交变更审批人审批。 紧急变更必须由变更审批人批准，实施完毕后需补交审批流程。 (三) 变更实施 除非特批，关于信息安全类的变更时间需控制在 每周四 19:00 至次日 8:00 期间。 在变更实施后必须需由相关人员对影响范围内的应用系统进行验证。 变更实施人在变更成功实施后需通知变更审核人，在确认实施成功后方可结束变更流程。 如遇变更失败需执行回退操作时，需获得变更审核人批准。失败后需查明原因，并提交相关文案。 五、附录 附件 1 变更分类及级别定义 变更分类 根据变更的紧急程度将变更类型划分为标准变更和紧急变更，具体定义见下表： 序号变更类型 序号 变更类型 类型描述 1 标准变更 提前计划且需经过审批的才能实施的变更。例如：硬件设备更 换、防火墙策略更改等。 2 紧急变更 在变更计划之外，为应对突发的紧急情况必须立即执行的变更。 例如：系统重大故障。 变更级别定义 根据变更影响程度对变更进行级别划分，具体定义见下表： 序号 级别 级别描述 1 重要 满足下列条件之一即可认为是“重要”： 1) 2) 3) 影响公司核心业务； 系统需停机时间超过 1 小时； 实施风险较大，易造成数据丢失，例如丢失当天业务数据。 1) 系统部分组件或集群部分主机不能提供服务，例如 WEB01 服务器停机维护； 停机时间不超过 1 小时； 回退方式简单，不会影响业务数据。 Web 集群 2 一般 2) 3) 附件 2 标准变更管理流程 标准变更管理流程 变 开始 更申 请 流程 流程节点说明 变更申请者在提交变更前应事先与变更系统负责人进行沟通，确定变更方案，如有条件，需对其进行测试后再提交变更申请表。变更申请表必须完整填写（见附表一），必须明确计划变更时间，变更 提交变更申请 变更申请表 时间，变更方案，测试记录，回退方案，验证方案，配置修改项。 驳回 变更审核人  不通过  变更审核人检查变更申请单是否填写完整，描述是否准确清晰，评估该变更是否必须实施。 变 更 通过 审 批 变更级别 重要 一般  变更审批人  不通过  变更审核人对变更级别进行判断，如为重要变更需提交给变更审批人进行审批。 通过 变更计划与变更方案核实  变更实施人对变更方案，变更计划进行核实， 组织协调变更所需的各类资源。 通知用户及关联系统负责人 变更计划通过审批后变更审核人应提前通知用户以及关联系统负责人。 变更前备份 6. 变更实施人在实施变更前需对变更对象实施备份。 变更实施 变更实施人需按变更方案实施变更。 否 变 验证变更是否成功？ 更 实 施 是 确认配置更新结果  执行回