ISMS-B-33變更管理程序

深圳市恒雙展業(yè)科技有限公司變更管理程序編號(hào)：ISMS-B-33版本號(hào)：V1.0編制：曹飛澎日期：2019-11-01審核：汪倩日期：2019-11-01批準(zhǔn)：汪倩日期：2019-11-01受控狀態(tài)1目的為對(duì)組織內(nèi)的軟件的硬件與軟件的變更進(jìn)行有效控制，確保系統(tǒng)的各項(xiàng)安全要求得到識(shí)別并執(zhí)行，防止未經(jīng)授權(quán)及不充分的變更所造成的系統(tǒng)故障與業(yè)務(wù)中斷，保證系統(tǒng)安全，特制定本程序。2范圍本程序適用于本組織IT設(shè)備（包括傳輸線路)、軟件（操作系統(tǒng)及應(yīng)用系統(tǒng))等方面的變更控制的管理。3職責(zé)3.1綜合管理部負(fù)責(zé)以下方面的IT設(shè)備及軟件方面的變更管理：組織內(nèi)辦公用計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備及軟件；服務(wù)器設(shè)備；財(cái)務(wù)管理系統(tǒng)等設(shè)備及軟件；電子商務(wù)系統(tǒng)設(shè)備及軟件。3.2各部門(mén)負(fù)責(zé)自行開(kāi)發(fā)的軟件變更管理。4相關(guān)文件《信息安全管理手冊(cè)》《變更管理安全策略》5程序5.1變更分類IT設(shè)備變更：包括系統(tǒng)中服務(wù)器、網(wǎng)絡(luò)設(shè)備、傳輸線路及計(jì)算機(jī)終端的新增、減少及其設(shè)備本身的變化（包括設(shè)備的報(bào)廢）；操作系統(tǒng)軟件變更：包括新安裝、補(bǔ)丁、版本升級(jí)及更換；自行開(kāi)發(fā)軟件變更：包括小型業(yè)務(wù)變更、版本升級(jí)；軟件包的變更。5.2IT設(shè)備變更控制軟件設(shè)備（包括傳輸線路)的變更需求由變更管理部門(mén)根據(jù)組織業(yè)務(wù)發(fā)展的需要提出，填寫(xiě)《變更跟蹤表》，經(jīng)變更管理部門(mén)經(jīng)理批準(zhǔn)后予以實(shí)施。5.3操作系統(tǒng)軟件變更當(dāng)軟件廠商發(fā)布操作系統(tǒng)或應(yīng)用軟件的更新補(bǔ)丁或版本時(shí)，綜合管理部負(fù)責(zé)分析更新內(nèi)容對(duì)公司現(xiàn)有業(yè)務(wù)及工作的影響，IT人員可以先選一臺(tái)測(cè)試機(jī)安裝最新補(bǔ)丁，在未發(fā)現(xiàn)對(duì)工作業(yè)務(wù)產(chǎn)生重要負(fù)面影響的前提下，為使用該操作系統(tǒng)或應(yīng)用軟件的用戶安裝補(bǔ)丁。5.4軟件的變更控制當(dāng)客戶重新對(duì)項(xiàng)目的某一或某些模塊進(jìn)行重要要求時(shí)，項(xiàng)目組負(fù)責(zé)跟蹤客戶的新要求,進(jìn)行業(yè)務(wù)及可以行性分析，組織有關(guān)人員進(jìn)行方案評(píng)審，考慮系統(tǒng)改造對(duì)現(xiàn)有業(yè)務(wù)的影響，并制定有效的風(fēng)險(xiǎn)控制措施，方案在評(píng)審?fù)ㄟ^(guò)后，修改《需求開(kāi)發(fā)說(shuō)明書(shū)》，針對(duì)發(fā)生變更的模塊，修改相應(yīng)的詳細(xì)設(shè)計(jì)書(shū)，數(shù)據(jù)庫(kù)說(shuō)明書(shū)，源程序。并對(duì)整個(gè)項(xiàng)目重新進(jìn)行測(cè)試。在軟件正式變更前，項(xiàng)目組應(yīng)考慮以下方面的安全要求：變更對(duì)目前業(yè)務(wù)的影響；變更對(duì)現(xiàn)有軟件的影響；變更實(shí)施前應(yīng)進(jìn)行安全測(cè)試；不成功的變更恢復(fù)措施。在變更實(shí)施前，由變更管理部門(mén)填寫(xiě)《變更跟蹤表》，明確變更的原因、變更范圍、變更影響的分析及對(duì)策（包括不成功變更的恢復(fù)措施），經(jīng)IT部批準(zhǔn)后予以實(shí)施。5.5變更實(shí)施的安全要求在變更實(shí)施之前，必要時(shí)，將重要的數(shù)據(jù)、系統(tǒng)軟件進(jìn)行備份，以便變更不成功之后的恢復(fù)。在變更實(shí)施之前，必要時(shí)，應(yīng)和相關(guān)部門(mén)協(xié)商，以便確定適當(dāng)?shù)淖兏鼤r(shí)間，盡可能的將對(duì)業(yè)務(wù)的影響減至最低。5.6變更驗(yàn)收與記錄當(dāng)變更成功提交后，需由用戶進(jìn)行驗(yàn)收，確認(rèn)其是否已完成用戶所提的要求，達(dá)到預(yù)期的效果，并記錄此次變更操作。5.7設(shè)備報(bào)廢設(shè)備報(bào)廢應(yīng)由綜合管理部填寫(xiě)《設(shè)施報(bào)廢記錄》得到總經(jīng)理批準(zhǔn)后實(shí)施。報(bào)廢設(shè)備中存有敏感信息，必須予以清除并在《設(shè)施報(bào)廢記錄》中予以說(shuō)明5.8變更后軟件備份要求當(dāng)變更完成后，需將此次所運(yùn)行的軟件進(jìn)行備份，包括其相關(guān)資料，以便再一次變更以及資料查詢；如果此次變更涉及到一些資料文件，則這些資料文件也必須做相應(yīng)的變更并存檔。5.9變更不成功的恢復(fù)措施取消所做變更，從備份資料中獲得原始