第一章 总则
第一条为规范江西师范大学信息系统变更管理流程,控制变更产生的影响,降低变更带来的风险,制定本制度。
第二条本制度适用于江西师范大学各学院、处(室、部、馆),各直属单位,用于规范信息系统的各类变更管理。
第三条变更是指对系统或平台需求的增补或修改,所做增补或修改可能会影响生产环境的稳定性。变更对象包括但不限于硬件、系统软件(OS)、应用软件、网络、环境(冷却、供热等等)。变更又分为计划型变更和应急变更。
第四条变更包含但不限于下列事项
1、新的版本或修订。
2、网络设备软件补丁更新和配置变更。
3、增减软件或补丁。
4、操作系统升级。
5、硬件设备的增加和移出。
发起变更,完整填写变更申请单中的需求内容,在变更处理过程中提供必要信息,并配合对变更的结果进行验证。
第六条变更执行者
变更的执行者负责对变更的实施,通常由运维部门的各相关管理员或供应商、第三方人员等担当。接收变更申请单,并报运维管理小组审批。
分析变更申请单,主要对变更的可行性、风险等进行评估。由运维部门各相关管理员、第三方合作伙伴等对变更的技术部分进行分析。
负责对重大变更进行审批,由信息安全管理小组担当。当审批通过时由变更实施人对变更进行实施。
第九条变更分级与授权:
| 变更级别 | 一级 | 二级 | 三级 | 四级 |
| 变更急迫性 | 急迫 | 急迫 | 不急迫 | 不急迫 |
| 变更重要性 | 重要 | 重要 | 不重要 | 不重要 |
| 变更范围 | 重要业务的重要功能变化,网络割接升级,重要的安全补丁和升级,重要配置变化,网络系统的重大改变。 | 一般性系统升级,系统配置变化,服务对象变化,网络系统局部(非重要部分)变化。 | 重要业务的一般性功能变化,一般性安全补丁升级。 | 小范围变化,系统淘汰。 |
| 变更影响 | 影响重要业务功能。影响网络性能。影响整体形象。 | 影响业务部分功能。 | 影响业务部分功能。 | 对整体影响很小。对部门业务系统影响很小。 |
| 审批周期 | 2个工作日 | 3个工作日 | 3个工作日 | 3个工作日 |
| 变更审批人 | 信息安全管理小组 | 信息安全管理小组 | 运维管理小组 | 运维管理小组 |
第十条变更管理流程
第十一条变更管理流程说明
1、三级和四级变更可简化变更审批过程,但必须有变更记录。
2、一级和二级变更,在变更方案获得审批后,须向影响范围内的外部客户和内部用户发布变更通知。
3、针对周期性的同一变更工作(三级和四级),须形成统一、标准的变更方案。在变更过程中可简化对此类变更工作的审批工作。
第十二条变更方案须包括以下内容:
1、变更需求描述。
2、确定变更进度安排(如:实施变更的日期)。
3、实施前对变更进行测试的方法。
4、实施变更的详细步骤。
5、对实施变更的成功与否的判断依据。
6、变更失败后的详细回退措施与步骤。
7、变更成本及利益。
8、变更风险及带来的影响。
第十三条变更审批依据
1、实施变更给业务带来的风险。
2、不实施变更给业务带来的风险。
3、实施变更对业务产生的影响(时间、资源、质量方面)。
第十四条与本制度相关的其他文件及表单包括:
1、《变更记录表》
2、《变更申请单》
第十五条本制度自发布之日起执行。
第十六条本制度的解释和修改权属于信息安全领导小组。
信息安全领导小组每年统一检查和评估本制度,并做出适当更新。在业务环境和安全需求发生重大变化时,也将对本制度进行检查和更新。