網(wǎng)絡(luò)變更流程圖指引1

1、網(wǎng)絡(luò)變更流程文檔控制文檔名稱：網(wǎng)絡(luò)變更流程機密分類：內(nèi)部版本控制：版本號定版日期作者更新說明文檔審定：姓名部門文檔局部所有者復(fù)查方案：復(fù)查時間復(fù)查結(jié)果發(fā)布批準人：分發(fā)控制：人員文檔權(quán)限與文檔的主要關(guān)系目錄文檔控制 11 總那么 錯誤 ! 未定義書簽2 通那么 錯誤 ! 未定義書簽3 附那么 錯誤 ! 未定義書簽1第1條 制定本流程的目標是為了標準XXX網(wǎng)絡(luò)變更行為，使得網(wǎng)絡(luò)系統(tǒng)的變更遵循公司 信息平安的有關(guān)流程。第2條本流程是指導(dǎo)XXX進行網(wǎng)絡(luò)系統(tǒng)變更管理工作的根本依據(jù)。第3條 本流程適用于xxx擁有、控制和管理的所有網(wǎng)絡(luò)系統(tǒng)，包括但不限于網(wǎng)絡(luò)系統(tǒng)、 操作/應(yīng)用系統(tǒng)、工程開發(fā)等范疇，涉及屬于

2、xxx網(wǎng)絡(luò)系統(tǒng)范圍內(nèi)的所有部門以 及在特殊情況下的其他第三方組織。第4條本流程的解釋和修改權(quán)屬xxx。第5條 本流程主要依據(jù)國際標準ISO17799,并遵照我國信息平安有關(guān)法律法規(guī)、行業(yè)規(guī) 范和相關(guān)標準。2第6條 信息系統(tǒng)的變更應(yīng)當遵循以下原那么：? 保證系統(tǒng)在變更前后的一致性原那么；? 保證系統(tǒng)在變更前后的完整性原那么；? 保證變更的可控性原那么；? 保證變更的協(xié)調(diào)性原那么；? 保證變更的可審計性原那么；第7條信息系統(tǒng)的變更控制包括但不局限于以下情況:范疇內(nèi)容網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)系統(tǒng)構(gòu)架拓撲變化網(wǎng)絡(luò)系統(tǒng)功能變化網(wǎng)絡(luò)設(shè)備內(nèi)嵌操作/應(yīng)用系統(tǒng)版本升級網(wǎng)絡(luò)設(shè)備配置變化網(wǎng)絡(luò)設(shè)備變化設(shè)備更新/調(diào)配地址分配第8條

3、 信息系統(tǒng)的變更級別應(yīng)當按照如下的情況進行確認:變更級別甲級乙級丙級丁級變更需求急迫性要求急迫急迫不急迫不急迫變更需求重要性要求重要不重要重要不重要變更范圍重要業(yè)務(wù)系統(tǒng)的重要功能 網(wǎng)絡(luò)割接/升 級重要的平安補 丁和升級 重要配置變化 網(wǎng)絡(luò)系統(tǒng)的重大改變重要業(yè)務(wù)系統(tǒng) 的一般性功能 變化一般性平安補 丁一般性系統(tǒng)升 級系統(tǒng)配置變化 效勞對象變化 網(wǎng)絡(luò)系統(tǒng)局部非重要部分變化部門內(nèi)部小范圍變化系統(tǒng)淘汰變更影響影響重要業(yè)務(wù) 系統(tǒng)功能 影響網(wǎng)絡(luò)性能 影響公司整體 形象影響業(yè)務(wù)系統(tǒng)局部功能影響業(yè)務(wù)系統(tǒng)局部功能對公司整體影響很小對部門/業(yè)務(wù)系統(tǒng)影響很小響應(yīng)確認時間24小時之內(nèi)48小時之內(nèi)48小時之內(nèi)無限制第9

4、條 信息系統(tǒng)的變更應(yīng)當?shù)玫缴霞壷鞴懿块T明確的授權(quán)和支持，任何沒有獲得上級主管部門明確授權(quán)的變更將被視為非法，不會獲得任何支持；第10條任何非法變更的發(fā)起者和執(zhí)行者將受到公司相應(yīng)管理制度和條例的懲戒，懲戒程度視變更的范圍和影響而定；第11條任何獲得上級主管部門授權(quán)的變更應(yīng)當獲得公司相應(yīng)的變更支持，以保證:? 公司對變更請求確實認;? 公司對變更過程的保護;第12條 信息系統(tǒng)的變更按照變更的級別，由下表確認和授權(quán):變更級別甲級乙級丙級丁級變更確認和授權(quán)部門公司最高決策機構(gòu)上級主管部門上級主管部門上級主管部門上級主管部門第13條 信息系統(tǒng)變更請求應(yīng)當由信息系統(tǒng)的合法擁有者 /管理者正式向主管部門提出

5、;第14條 信息系統(tǒng)的變更請求應(yīng)當向上級主管部門提供包含但不局限于以下內(nèi)容：? 變更請求的發(fā)起者；? 變更的目的和意義；? 變更的緊迫性和重要性變更級別；? 變更請求需要的答復(fù)響應(yīng)時間；? 變更涉及的業(yè)務(wù)系統(tǒng)范圍；? 變更對當前系統(tǒng)的影響；? 變更請求涉及和需要的各類資源，包括所必需的各類人力資源和物力資源；? 變更的必要性與可行性分析；? 詳細的變更實施方案，包括但不限于變更實施步驟、緊急情況應(yīng)對措施等內(nèi)容；? 對變更結(jié)果的預(yù)測與評估；第15條 信息系統(tǒng)的變更請求依據(jù)其變更等級由相應(yīng)的上級主管部門負責(zé)審批和授權(quán)；第16條 涉及跨部門的變更請求，應(yīng)當由更上一級主管部門進行協(xié)調(diào)、審批和授權(quán)；第1

6、7條 各級變更控制管理機構(gòu)在審批變更請求時應(yīng)當：? 確認信息系統(tǒng)變更請求者的合法地位；? 檢查系統(tǒng)/功能的內(nèi)在/外在風(fēng)險控制措施在變更過程中不會受到破壞；? 檢查系統(tǒng)/功能的完整性、可用性、機密性在變更過程中不會受到破壞；? 審核確認變更所涉及的范圍；? 審核評估變更對公司/組織的潛在的正面/負面影響；? 審核確認變更所需要的各種資源消耗；? 審核變更請求中評估結(jié)果并對變更做出允許 / 不允許的決議；? 維護變更請求以及變更請求者的審計跟蹤記錄；? 對變更請求進行備案，并報上級主管部門；? 下發(fā)對于變更請求的決議和通知，確保所有相關(guān)人員均曉變更；? 批準變更執(zhí)行方案，任命適宜的變更執(zhí)行人員 /

7、 小組；? 對變更執(zhí)行人員 / 小組進行必要的授權(quán)；第18條 系統(tǒng)變更由相應(yīng)的變更控制管理機構(gòu)所任命 /授權(quán)的人員 /小組負責(zé)實施； 第 19條 被授權(quán)的變更執(zhí)行者應(yīng)當：? 在變更實施之前確保所有的合法用戶都同意變更；? 在變更實施之前確認所有先決條件均已滿足變更實施要求；? 在變更實施中， 嚴格按照既定的變更方案實施變更， 確保變更得到正確的組織和 實施，使在變更流程范圍之內(nèi)，最大限度地減少變更對業(yè)務(wù)系統(tǒng)的影響；? 在變更實施中維護變更實施過程紀錄供上級變更控制管理部門和信息平安審計 部門審計；? 確保在變更實施完畢后相關(guān)文檔的及時更新，所有的舊文文檔得到妥善的處理 歸檔或者銷毀；? 變更實

8、施完畢后及時向上級變更控制管理部門 / 審計機構(gòu)通報變更執(zhí)行情況；? 在變更實施過程中和完畢后接受上級變更控制管理部門 / 審計機構(gòu)對變更過程的 監(jiān)督/ 審計；第 20條 變更控制管理部門在變更實施過程中應(yīng)當：? 負責(zé)監(jiān)督變更的實施；? 負責(zé)對變更實施的記錄進行審計；? 在各個部門之間協(xié)調(diào)變更的執(zhí)行；? 對變更中的突發(fā)事件進行控制；第 21條 變更控制管理部門在變更實施完畢后應(yīng)當：? 組織相關(guān)人員 / 部門對變更的過程和結(jié)果進行評估和審計，以確保變更到達設(shè)計 目標；? 向變更的發(fā)起者和執(zhí)行者提供評估 / 審計結(jié)果；? 對整個變更進行備案；第 22條 在變更過程中如果遇到突發(fā)事件，由變更執(zhí)行人取得相應(yīng)的授權(quán)之后全權(quán)處理， 但必須在處理完畢后在變更控制管理部門備案；第 23條 變更紀錄由下級變更管理機構(gòu)歸檔并報上級變更管理機構(gòu)備案；第 24條 對于在變更執(zhí)行過程中和完畢后違反執(zhí)行流程的人員和行為， 依據(jù)其情節(jié)的輕重 和后果的嚴重程度，由公司有關(guān)管理條例和標準實施