本文档详述了XXXXX单位的信息系统需求变更管理,包括变更的目的、范围、责任划分、变更原则、详细流程(包括功能完善、缺陷修复和紧急变更),以及安全管理措施。强调了变更控制、文档管理和安全等级测评的重要性。
1、总则
1.1、目的
为规范XXXXX单位各信息系统需求变更操作,增强需求变更的可追溯性,控制需求变更风险,特制定本制度。
1.2、范围
本制度适用于XXXXX单位应用系统、网络系统等已开发或采购完毕并正式上线、且由软件开发组织移交给应用管理组织之后,所发生的生产应用系统(以下简称应用系统)运行支持及系统变更工作。
1.3、职责
各业务部门信息系统使用和维护人员按照本办法发起和进行各信息系统的变更,网络安全与信息化管理部门系统管理员和网络管理员按照本办法发起或受理各信息系统的变更,并就相关变更的执行过程进行控制。
2、管理细则
2.1、变更原则
- 当需求发生变化,需对软件包进行修改/变更时,首先应和第三方企业/软件供应商取得联系并获得帮助,了解所需变更的可能性和潜在的风险:如项目进度、成本以及安全性等方面的风险。
- 应按照变更控制程序对变更过程进行控制。
- 实施系统变更前,应先通过系统变更测试,并提交系统变更申请,由信息安全工作小组审批后实施变更,重大系统变更需提交信息安全领导小组审批后实施。
2.2、变更流程
- 系统变更工作可分为下面三类类型:
- 功能完善维护:业务部门由于业务发展或业务处理的需要,所产生的对系统的现有功能进行修改、完善的需求。
- 系统缺陷修改:系统设计和实现上的缺陷会引发业务操作中的异常。对系统缺陷进行修复的需求。
- 统计报表生成:业务部门统计报表数据生成的需求。所要求的统计报表数据不能够通过应用系统现有功能提供。这些报表有的只是一次性使用,有的需要经常使用。
- 系统变更工作以任务形式由相关科室和计算机管理员协作完成。系统变更过程类似软件开发,大致可分为四个阶段:任务提交和接受、任务实现、任务验收和程序下发上线。具体流程,前三个阶段参见《系统变更流程》,第四个阶段参见《程序下发流程》。
- 因紧急问题处理引发的系统变更处理,具体流程参见《紧急变更流程》。
- 相关科室提出系统变更需求,并将变更需求整理成《系统变更申请表》,由科室负责人审批后提交给计算机管理员。
- 计算机管理员负责接受需求,进行分析需求后,向开发人员提出系统变更建议。
- 实现过程应按照软件开发过程规定进行。系统变更过程应遵循软件开发过程相同的正式、统一的编码标准,并经过测试和正式验收才能分发。
- 计算机管理员组织相关科室对系统程序变更严格按照功能要求在备用服务器上进行全面调试,并撰写《程序变更验收报告》,提交科室负责人和计算机管理员签字确认通过后才能分发,并对前一版本撤销。
- 计算机管理员负责对系统变更过程的文档进行归档进行版本管理,变更过程中涉及的所有文档应至少保存两年。
2.3、紧急变更流程
- 紧急事件的报告:
科室发现系统异常,导致业务处理无法正常进行,必须迅速处理解决时,问题发现人将问题报告给计算机管理员。
计算机管理员根据问题信息,进行问题的初步诊断,如有可能,对问题原因进行分析定位,并给出解决问题的建议
- 紧急事件变更启动:
计算机管理员接到紧急问题上报后,及时与进行讨论和交流,了解情况,并最终判定是否属于紧急事件。确定属于紧急事件后,由计算机管理员启动紧急事件变更流程,并根据其重要性和紧迫性分配优先权,组织人员采取相应的处理流程。
- 紧急事件变更处理:
计算机管理员组织人员进行紧急事件变更处理。紧急事件变更流程的变更处理同一般问题变更流程,包括分析、设计、实施、测试、验收,但需使用专设系统用户账号进行紧急事件变更,并进行明确的紧急事件变更文档记录。
- 紧急事件变更程序分发:
计算机管理员组织完成变更处理后,进行程序分发。紧急事件变更流程的程序分发同一般系统变更流程。
- 补办文档和领导审批记录:
紧急问题得到妥善解决后,需要分别补办各类文档和审批记录。
系统变更过程中,采取各种措施保证调试系统应用程序访问权限受到良好控制。这些措施包括:
a)通过调试环境的访问控制,限制对调试环境的访问;
b)通过物理隔离的手段,限制对调试环境的访问;
c)通过逻辑隔离的手段,限制对调试环境的访问;
d)对授权访问调试环境的开发人员进行详细记录,使用该记录对调试环境访问权限的检查,确保只有经授权开发人员才能访问调试环境;
e)普通用户只能通过前台登录系统,不能通过后台(如使用调试环境操作系统的命令行)进行操作;
f)开发人员不应该拥有前台应用程序的业务操作访问权限,更不应该在前台应用程序中担任实际的业务操作任务;
g)从技术角度限制开发人员对调试环境中应用程序文件夹的访问权限,只有经过授权的开发人员对程序拥有读、写和执行的权限。
系统变更之后应及时对系统进行等级测评,根据测评结果对系统进行及时的整改,系统等级发生变化后及时调整安全级别,并对系统进行安全改造。
3、附则
本管理制度由XXXXX单位负责解释,自发布之日起实施。
4、附录和附件
附件1:系统变更申请表
系统变更申请表
以下内容由发起单位填写
| 发起人 | 日期 | 要求期限 | |||
| 联系电话 | 单位\部门 | ||||
| 变更内容或需求目标 | □ 数据变更 □ 应用变更 □ 网络变更 (如表格无法显示全部内容可附附件做详细说明) | ||||
| 业务部门主管意见 (应用变更适用) | |||||
| 分管领导意见(如有必要) | |||||
| 以下内容由网络安全与信息化管理部门填写 | |||||
| 系统管理员 意见 | |||||
| XXXXX单位领导审批 | |||||
| 承办情况 | 办理人员签字: | ||||
附件2:变更过程记录
变更过程记录单
| ||||||||||||||||||||||||||||||
8314
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
