网络安全变更管理规定.doc

网络安全变更管理规定目的对信息处理设施和系统的变更缺乏控制是系统故障或安全失误的常见原因,为规范本公司信息系统的变更,降低因信息系统变更带来的风险,特制定本程序。引用文件(1) 下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。(2) ISO/IEC27001:2005信息技术-安全技术-信息安全管理体系要求(3) ISO/IEC27002:2005信息技术-安全技术-信息安全管理实施细则职责和权限(1) 技术部:技术部是公司信息系统变更的归口管理部门,负责批准变更的计划、实施、恢复,总体评价变更影响,决策管理;并实施变更。(2) 其他各部门:负责分管的各自工作系统的计划申请和总体评价变更影响。变更步骤管理变更申请---变更审批----(1)变更分类1)技术部设备变更:包括系统中服务器、网络设备、传输线路及计算机终端的新增、减少及其设备本身的变化(包括设备的报废);2)操作系统软件变更:包括新安装、补丁、版本升级及更换(如打ZLJY2补丁);3)开发软件包的变更。(2)技术部设备变更控制软件设备(包括传输线路)的变更需求由技术部门根据组织业务发展的需要提出,填写《变更申请审批处理表》,经技术部门经理批准后予以实施。(3)操作系统软件变更当软件厂商发布操作系统或应用软件的更新补丁或版本时,技术部人员负责分析更新内容对公司现有业务及工作的影响,技术部人员可以先选一台测试机安装最新补丁,在未发现对工作业务产生重要负面影响的前提下,为使用该操作系统或应用软件的用户安装补丁。(4)软件的变更控制当客户重新对项目的某一或某些模块进行重要要求时,项目组负责跟踪客户的新要求,进行业务及可以行性分析,组织有关人员进行方案评审,考虑系统改造对现有业务的影响,并制定有效的风险控制措施,方案在评审通过后,修改《需求开发说明书》,针对发生变更的模块,修改相应的详细设计书,数据库说明书,源程序。并对整个项目重新进行测试。在软件正式变更前,项目组应考虑以下方面的安全要求:1)变更对目前业务的影响;2)变更对现有软件的影响;3)变更实施前应进行安全测试;4)不成功的变更恢复措施。在变更实施前,由技术部门填写《变更申请审批处理表》,