医院信息系统变更管理办法.docx

医院信息系统变更管理办法第一章总则为了对信息系统业务需求和优化请求做出快速响应,同时有效控制变更风险,尽可能减少突发事件和变更失效,特制定本管理办法。变更管理的基本要求:(一)变更申请必须经过评估,确保变更的合理性;(二)变更必须经过周密的计划,确保变更实施和恢复方案的完整性和准确性;(三)保证变更的透明性和各岗位间的有效沟通;(四)确保变更有明确、完整的记录;(五)变更实施后值班人员应加强观察和监控,确保变更达到预期目的。本管理办法适用于信息科对信息系统所作的变更。第二章组织机构与职责为确保**县**医院重要信息系统投产及变更工作的顺利开展,**县**医院建立重要信息系统变更领导小组,负责统筹管理**县**医院重要信息系统的建设,听取重大项目变更的风险评估报告和内容的评审、审批,并对风险控制过程进行监督。由**县**医院最高领导任组长,由信息科分管领导任副组长,并下设技术组、业务组、评审组、保障组等小组,指定信息科相关人员为组员。(一)技术组职责为:1、对重要信息系统变更业务影响情况进行分析和评估;2、负责重要信息系统变更的具体技术实施工作。(二)业务组职责为:1、负责组织制定重要信息系统变更测试方案和业务应急处置方案;2、组织**县**医院各业务部门在重要信息系统变更实施过程中进行业务测试和业务应急处置。(三)评审组职责为:1、对重要信息系统变更方案进行评审;2、负责对整个实施过程进行监督和审计。(四)保障组职责为:1、提供重要信息系统变更所需人力、财力和物力等资源保障;2、做好对受影响客户的解释和安抚工作;3、组织对外发布公告,同时负责对相关第三方单位做好函告工作;4、负责做好电力、通讯、公安和消防等相关外部机构的应急协调机制和应急联动机制。第三章变更分类结合变更要求的迫切程度以及变更操作的规范性考虑,分为三类变更:紧急变更、一般变更和标准变更。根据不同的变更类型共分为以下四种变更:硬件变更、系统变更、网络变更、测试变更。紧急变更,是需要立即实施的变更,否则可能对大量用户、关键系统的服务质量或可用性产生重大影响。是否为紧急变更由信息科负责人或指定的专人共同确定;必要时,信息科负责人可以召集相关人员紧急商议。标准变更,适用于以下两种情况的任一种:属于日常维护性质的低风险操作。已经执行过的且确认无影响的变更操作,并且在操作手册中具有经过验证的完整操作步骤(不符合定义或者不符合条件的操作,不能按照标准变更执行)。标准变更的管理流程可参考一般变更管理流程,但变更计划评审部分可以省略。一般变更:除紧急变更、标准变更以外的变更,均属于一般变更。第四章变更通知如变更对现有的业务系统和业务操作产生影响,在变更执行前5日应通知有关部门。以便于各业务部门做好业务调整,避免变更冲突,减少对业务的影响。第五章风险评估信息科应从技术层面对重要信息系统变更风险进行识别、分析和评估,具体包括系统功能缺陷、客户信息泄露、业务中断、交易缓慢或其他因素可能造成的风险,并形成初步风险评估报告;信息安全领导小组应对信息科重要信息系统变更的初步风险评估报告进行确认,并组织相关管理部门对重要信息系统变更实施过程可能产生的操作风险、法律风险和声誉风险进行评估,并形成最终的风险评估报告。重要信息系统变更风险评估流程(一)信息科在重要信息系统变更实施之前,需进行风险识别和初步分析并出具技术层面的风险分析评估报告;(二)信息科织相关管理部门对重要信息系统变更风险进行整体风险分析和评估,并出具风险分析和评估结果和评判重要信息系统变更是否实际实施;(三)如有必要,信息科可委托外部专家或具备相应资质的外部专业机构进行重要信息系统变更的风险评估工作重要信息系统变更风险评估报告(一)信息科从技术层面对重要信息系统变更风险进行分析和评估,并出具风险评估报告;(二)信息安全领导小组组织相关管理部门对重要信息系统变更实施过程可能产生的操作风险、法律风险和声誉风险进行评估,并形成最终的风险评估报告。(三)信息科负责向分管领导提交重大项目的风险评估报告,并取得审核结果。针对风险评估中发现的薄弱环节应制定整改方案,明确整改时间。不具备整改条件的应采取风险缓释措施。第六章变更控制一般变更管理流程划分为变更描述、变更评估、变更测试、变更实施、变更跟踪五个主要阶段,风险较大的变更必须制定详细应急和回退方案。由信息科统一组织协调信息系统变更工作,每年年初制定并发布本年度重要信息系统变更规则,在变更前应制定实施计划和实施方案,确定实施策略和步骤,明确岗位职责,确保关键岗位职责分离。信息科负责建立重要信息系统变更内容评审和审批、授权机制。信息安全领导小组对信息系统变更过程中所提交的有关文档资料进行审阅,了解是否具有相应的控制措施,指出存在的风险并提出评价和建议。为保障信息系统稳定运行,信息科应按照对业务影