为规范XXXXX单位各信息系统需求变更操作,增强需求变更的可追溯性,控制需求变更风险,特制定本制度。
本制度适用于XXXXX单位应用系统、网络系统等已开发或采购完毕并正式上线、且由软件开发组织移交给应用管理组织之后,所发生的生产应用系统(以下简称应用系统)运行支持及系统变更工作。
各业务部门信息系统使用和维护人员按照本办法发起和进行各信息系统的变更,网络安全与信息化管理部门系统管理员和网络管理员按照本办法发起或受理各信息系统的变更,并就相关变更的执行过程进行控制。
科室发现系统异常,导致业务处理无法正常进行,必须迅速处理解决时,问题发现人将问题报告给计算机管理员。
计算机管理员根据问题信息,进行问题的初步诊断,如有可能,对问题原因进行分析定位,并给出解决问题的建议
计算机管理员接到紧急问题上报后,及时与进行讨论和交流,了解情况,并最终判定是否属于紧急事件。确定属于紧急事件后,由计算机管理员启动紧急事件变更流程,并根据其重要性和紧迫性分配优先权,组织人员采取相应的处理流程。
计算机管理员组织人员进行紧急事件变更处理。紧急事件变更流程的变更处理同一般问题变更流程,包括分析、设计、实施、测试、验收,但需使用专设系统用户账号进行紧急事件变更,并进行明确的紧急事件变更文档记录。
计算机管理员组织完成变更处理后,进行程序分发。紧急事件变更流程的程序分发同一般系统变更流程。
紧急问题得到妥善解决后,需要分别补办各类文档和审批记录。
系统变更过程中,采取各种措施保证调试系统应用程序访问权限受到良好控制。这些措施包括:
a)通过调试环境的访问控制,限制对调试环境的访问;
b)通过物理隔离的手段,限制对调试环境的访问;
c)通过逻辑隔离的手段,限制对调试环境的访问;
d)对授权访问调试环境的开发人员进行详细记录,使用该记录对调试环境访问权限的检查,确保只有经授权开发人员才能访问调试环境;
e)普通用户只能通过前台登录系统,不能通过后台(如使用调试环境操作系统的命令行)进行操作;
f)开发人员不应该拥有前台应用程序的业务操作访问权限,更不应该在前台应用程序中担任实际的业务操作任务;
g)从技术角度限制开发人员对调试环境中应用程序文件夹的访问权限,只有经过授权的开发人员对程序拥有读、写和执行的权限。
系统变更之后应及时对系统进行等级测评,根据测评结果对系统进行及时的整改,系统等级发生变化后及时调整安全级别,并对系统进行安全改造。
本管理制度由XXXXX单位负责解释,自发布之日起实施。
系统变更申请表
以下内容由发起单位填写
| 发起人 | 日期 | 要求期限 | |||
| 联系电话 | 单位\部门 | ||||
| 变更内容或需求目标 | □ 数据变更 □ 应用变更 □ 网络变更 (如表格无法显示全部内容可附附件做详细说明) | ||||
| 业务部门主管意见 (应用变更适用) | |||||
| 分管领导意见(如有必要) | |||||
| 以下内容由网络安全与信息化管理部门填写 | |||||
| 系统管理员 意见 | |||||
| XXXXX单位领导审批 | |||||
| 承办情况 | 办理人员签字: | ||||
变更过程记录单
| ||||||||||||||||||||||||||||||