变更履历序号版本编号或更改记录编号变化状态*简要说明(变更内容、变更位置、变更原因和变更范围)变更日期变更人审核人批准人批准日期11.0C创建，全页。2009-1-7金浩海金浩海曹立斌2009-1-7对信息处理设施和系统的变更缺乏控制是系统故障或安全失误的常见原因，为规范本公司信息系统的变更，降低因信息系统变更带来的风险，特制定本程序。1)下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。2)ISO/IEC27001:2005信息技术-安全技术-信息安全管理体系要求3)ISO/IEC17799:2005信息技术-安全技术-信息安全管理实施细则1)实施部：实施部是公司信息系统变更的归口管理部门，负责批准变更的计划、实施、恢复，总体评价变更影响，决策管理；并实施变更。2)其他各部门：负责分管的各自工作系统的计划申请和总体评价变更影响。4.1明确变更分类1)以下情况属于变更范畴，需按此变更管理规定处理。2)当信息系统需要产生变更时，应先分析其变更原因，信息类变更主要有以下几个方面：a)IT设备的维修、升级或更换。b)操作系统的补丁升级或更换。c)应用系统的升级或更换。d)各类操作流程的变更。e)数据库变更。f)配置信息变更。3)实施部依据公司实际情况制定《变更分类表》，明确公司的变更事项的分类，变更类别分日常、一般和重大三种类别。只有重大类别变更填写完成的相关表单，对日常和一般两个级别的变更只要求保留变更记录即可。4.2.变更影响评价1)实施部确认并制定《重要设备和重要信息系统变更管理明细表》。2)对于非重要设备和重要信息系统的变更，可不做变更影响评价。3)对于重要设备和重要信息系统的重大变更，应对变更影响进行评价：a)变更实施前，由实施部及各应用部门提出变更预期目的及影响预测，交由实施部领导审核。b)变更实施后，首先由实施部对变更的实际影响进行评估，提交实施部领导进行影响评估。c)变更实施后，各应用部门和用户对变更产生的影响进行评估，并将意见反馈给实施部。4.3提交变更计划1)在明确变更原因和必要的变更影响评价后，实施部负责对变更进行策划，提出变更意见，以及变更的具体实施方案计划，交由实施部长审核。2)变更不成功的恢复措施，所有的变更，包括IT系统的变更、操作系统软件、应用程序软件和程序库的升级、补丁或更新等，在制订变更计划时，就需要将失败恢复措施作为必要措施写入计划，并经实施部领导与各应用部门论证通过。3)实施部提交《变更申请表》和《变更计划表》4.4变更的测试1)变更测试是对回退计划、变更实施计划和变更预期进行测试。变更测试应在独立的测试系统上进行。不可再正式环境中进行测试2)对于重要设备和重要信息系统的重大变更要首先进行测试，避免变更带来的风险。3)对需要测试的变更，制定应急恢复计划。4.5变更的批准1)实施部长对提交的变更计划进行审核，如涉及到其他部门，则转发相关部门共同审议，达成共同意见后，批准变更计划。2)如需要召开变更协调会议，实施部要保留相关会议记录。3)系统管理员经实施部长授权后实施变更具体操作。4.6变更的实施1)变更实施前，实施部负责将变更的信息传达到所有相关用户。变更应按批准的计划和程序进行。2)要由经过培训的管理员，根据授权来执行操作系统软件、应用程序软件和程序库的升级、补丁或更新。3)操作系统软件、应用程序软件和程序库的升级、补丁或更新前，应进行数据备份，包括数据、程序和具体配置。4)在变更实施时，需要时刻注意对应用系统造成的影响，如影响超出可控范围，需停止变更，并将系统恢复到变更前的状态。4.7变更验收1)变更后，实施部填写《变更验收报告》2)在变更实施后，由实施部和各应用部门及用户对变更的影响作出测试或评估，确保对业务连续性和安全没有不利影响。3)变更主管对变更进行评估，评估内容包括：a)变更是否达到预期的目标b)用户是否满意变更的结果c)变更是否带来未预期的副作用d)变更的费用和工作量是否超过预期4)如果变更成功，则变更结束。如果变更失败，则重新开始。变更主管可根据情况，建议执行回退计划然后重新申请变更。因为继