系统变更制度范文
《XXXX安全管理制度汇编》**
系统变更制度
| 文件名称 | 系统变更制度 | 密级 | 内部 |
| 文件编号 | 版 本 号 | V1.0 | |
| 编写部门 | XXX部门 | 编 写 人 | |
| 审 批 人 | 发布时间 |
目录**
编制说明**
为进一步贯彻党中央和国务院批准的《国家信息化领导小组关于加强信息安全保障工作的意见》及其“重点保护基础信息网络和重要信息系统安全”的思想、贯彻信息产业部“积极预防、及时发现、快速反应、确保恢复”的方针和“同步规划、同步建设、同步运行”的要求,特制定本 制度 。
本 制度 依据我国信息安全的有关法律法规,结合 XXXX的自身业务特点 、并参考国际有关信息安全标准制定的。
第一章 总则**
第一条 制度目标: 为了规范系统变更行为,使得信息系统的变更遵循单位信息安全的有关策略。
第二条 适用范围: 本制度适用于所有信息系统,包括但不限于网络系统、操作/应用系统、项目开发等范畴,涉及单位范围内的所有部门以及在特殊情况下的其他第三方组织。
第三条 制度相关性: 本制度主要依据国际标准ISO17799,并遵照我国信息安全有关法律法规、行业规范和相关标准。
第二章 通则**
第四条 信息系统的变更应当遵循以下原则:
(一) 保证系统在变更前后的一致性原则;
(二) 保证系统在变更前后的完整性原则;
(三) 保证变更的可控性原则;
(四) 保证变更的协调性原则;
(五) 保证变更的可审计性原则。
第五条 信息系统的变更控制包括但不局限于下列情况 :
| 范畴 | 内容 |
| 网络系统 | 网络系统构架(拓扑)变化网络系统功能变化网络设备内嵌操作/应用系统版本升级网络设备配置变化网络设备变化(设备更新/调配)… … |
| 主机系统 | 主机系统硬件配置变化操作系统构架变化操作系统软件版本变化操作系统配置变化操作系统功能变化操作系统服务对象变化… … |
| 应用系统 | 应用系统构架变化应用系统软件版本变化应用系统配置变化应用系统功能变化应用系统服务对象变化… … |
第六条 信息系统的变更级别应当按照如下的情况进行确认 :
| 变更级别 | 甲级 | 乙级 | 丙级 | 丁级 |
| 变更需求急迫性要求 | 急迫 | 急迫 | 不急迫 | 不急迫 |
| 变更需求重要性要求 | 重要 | 不重要 | 重要 | 不重要 |
| 变更范围 | 单位重要业务系统的重要功能网络割接/升级重要的安全补丁和升级重要配置变化网络系统的重大改变… … | 重要业务系统的一般性功能变化一般性安全补丁… … | 一般性系统升级系统配置变化服务对象变化网络系统局部(非重要部分)变化… … | 部门内部小范围变化系统淘汰… … |
| 变更影响 | 影响重要业务系统功能影响网络性能影响单位整体形象… … | 影响业务系统部分功能… … | 影响业务系统部分功能… … | 对单位整体影响很小对部门/业务系统影响很小… … |
| 响应确认时间 | 24小时之内 | 48小时之内 | 48小时之内 | 无限制 |
第七条 信息系统的变更应当得到上级主管部门(变更控制管理机构)明确的授权和支持,任何没有获得上级主管部门(变更控制管理机构)明确授权的变更将被视为非法,不会获得任何支持。
第八条 任何非法变更的发起者和执行者将受到单位相应管理制度和条例的惩戒,惩戒程度视变更的范围和影响而定。
第九条 任何获得上级主管部门(变更控制管理机构)授权的变更应当获得单位相应的变更支持,以保证:
(一) 单位对变更请求的确认;
(二) 单位对变更过程的保护。
第十条 信息系统的变更按照变更的级别,由下表确认和授权:
| 变更级别 | 甲级 | 乙级 | 丙级 | 丁级 |
| 变更确认和授权部门 | 单位最高决策机构单位信息管理最高管理机构 | 单位/部门信息管理机构 | 单位/部门信息管理机构 | 部门信息管理机构 |
第十一条 信息系统变更请求应当由信息系统的合法拥有者/管理者正式向变更控制管理机构提出。
第十二条 信息系统的变更请求应当向上级变更控制管理机构提供包含但不局限于下列内容:
(一) 变更请求的发起者;
(二) 变更的目的和意义;
(三) 变更的紧迫性和重要性(变更级别);
(四) 变更请求需要的答复响应时间;
(五) 变更涉及的业务系统范围;
(六) 变更对当前系统的影响;
(七) 变更请求涉及和需要的各类资源,包括所必需的各类人力资源和物力资源;
(八) 变更的必要性与可行性分析;
(九) 详细的变更实施计划,包括但不限于变更实施步骤、紧急情况应对措施等内容;
(十) 对变更结果的预测与评估。
第十三条 信息系统的变更请求依据其变更等级由相应的上级主管部门(变更控制管理机构)负责审批和授权。
第十四条 涉及跨部门的变更请求,应当由更上一级主管部门进行协调、审批和授权。
第十五条 各级变更控制管理机构在审批变更请求时应当:
(一) 确认信息系统变更请求者的合法地位;
(二) 检查系统/功能的内在/外在风险控制措施在变更过程中不会受到破坏;
(三) 检查系统/功能的完整性、可用性、机密性在变更过程中不会受到破坏;
(四) 审核确认变更所涉及的范围;
(五) 审核评估变更对单位/组织的(潜在的)正面/负面影响;
(六) 审核确认变更所需要的各种资源消耗;
(七) 审核变更请求中评估结果并对变更做出允许/不允许的决议;
(八) 维护变更请求以及变更请求者的审计跟踪记录;
(九) 对变更请求进行备案,并报上级主管部门;
(十) 下发对于变更请求的决议和通知,确保所有相关人员均已知晓变更;
(十一) 批准变更执行计划,任命合适的变更执行人员/小组;
(十二) 对变更执行人员/小组进行必要的授权。
第十六条 系统变更由相应的变更控制管理机构所任命/授权的人员/小组负责实施。
第十七条 被授权的变更执行者应当:
(一) 在变更实施之前确保所有的合法用户都同意变更;
(二) 在变更实施之前确认所有先决条件均已满足变更实施要求;
(三) 在变更实施中,严格按照既定的变更方案实施变更,确保变更得到正确的组织和实施,使在变更流程范围之内,最大限度地减少变更对业务系统的影响;
(四) 在变更实施中维护变更实施过程纪录供上级变更控制管理部门和信息安全审计部门审计;
(五) 确保在变更实施完毕后相关文档的及时更新,所有的旧文文档得到妥善的处理(归档或者销毁);
(六) 变更实施完毕后及时向上级变更控制管理部门/审计机构通报变更执行情况;
(七) 在变更实施过程中和完毕后接受上级变更控制管理部门/审计机构对变更过程的监督/审计。
第十八条 变更控制管理部门在变更实施过程中应当:
(一) 负责监督变更的实施;
(二) 负责对变更实施的记录进行审计;
(三) 在各个部门之间协调变更的执行;
(四) 对变更中的突发事件进行控制。
第十九条 变更控制管理部门在变更实施完毕后应当:
(一) 组织相关人员/部门对变更的过程和结果进行评估和审计,以确保变更达到设计目标;
(二) 向变更的发起者和执行者提供评估/审计结果;
(三) 对整个变更进行备案。
第二十条 在变更过程中如果遇到突发事件,由变更执行人取得相应的授权之后全权处理,但必须在处理完毕后在变更控制管理部门备案。
第二十一条 变更纪录由下级变更管理机构归档并报上级变更管理机构备案。
第二十二条 对于在变更执行过程中和完毕后违反执行流程的人员和行为,依据其情节的轻重和后果的严重程度,由单位有关管理条例和规范实施惩戒。
第三章 附则**
第一节 文挡信息**
第二十三条 为了确保本安全制度的可用性和可操作性,需要每季度进行审查/更新或因为变更而进行更新
第二十四条 本制度由业务科技处制定,并负责解释和修订。由信息安全工作组讨论通过,发布执行。
第二十五条 本制度自发布之日起执行。
第二节 版本控制**
第二十六条 对本 制度 所有修改 及审批、发布 都按时间顺序记录在此。
| 版本 | 日期 | 修改内容 | 修改人 | 审批人 |
| V1.0 | 文档定稿 | |||
第三节 其他信息**
第二十七条 本 制度 中所称的 人员角色职责由各部门人员分别担任,可能现有岗位的职工在不同时期所担任的角色不同,甚至身兼多种角色,这种情况下该职工应该履行所兼每种角色的安全职责。
第二十八条 《XXXX安全管理制度汇编》 定义了 信息安全体系的整体结构、安全组织及各角色岗位的职责、以及覆盖各项安全内容的安全管理制度。 所有 职工 均应把 《XXXX安全管理制度汇编》 的规定作为信息安全工作的基本要求 ,其 内容一经颁布将在一定时间内长期有效,其涉及的所有部门或个人均需对其负责。
如果觉得我的文章对您有用,请点赞。您的支持将鼓励我继续创作!
赞5作者其他文章
评论 0 · 赞 2
评论 2 · 赞 2
评论 0 · 赞 0
评论 0 · 赞 3
评论 4 · 赞 3
添加新评论0 条评论