江苏安全技术职业学院信息系统变更管理规定

江苏安全技术职业学院信息系统变更管理规定

第一章 总则

第一条 为加强我校各信息系统在实际运行环境变更管理过程中的安全管理，规范变更操作，降低系统变更风险，特制定本规定。

第二章 适用范围

第二条 本规定适用于我校所使用的各信息系统，包括但不限于网络、设备、机房基础设施。

第三章 术语定义

第三条 实际运行环境是指各信息系统管理和维护范围内所有已投产的各类系统以及支持其运行所需的系统、网络、设备、机房基础设施等。

第四条 变更是指在实际运行环境内所实施的变更。变更分为技术变更和业务变更。其中，根据变更的紧急程度分为紧急变更和常规变更。

第五条 技术变更是指设备、系统、网络、应用软件、系统操作流程等配置及系统参数的改变。

第六条 业务变更是指对业务系统所提供业务服务以及数据的改变、下载或查询。

第七条 紧急变更是指因突发事件和问题引发或第三方（合作伙伴）要求急需处理的变更。

第八条 常规变更是指除紧急变更以外的所有变更。

第九条 根据变更影响的业务与服务的类型，以及变更影响范围分为三级：

一级变更：影响重要业务功能、影响网络性能以及影响整体形象的变更，如：重要业务的重要功能、网络割接/升级、重要的安全补丁和升级重要配置变化以及网络系统的重大改变；

二级变更：影响系统部分功能如：一般性系统升级、系统配置变化、服务对象变化以及网络系统局部（非重要部分）变化；

三级变更：对整体影响很小、对部门/业务系统影响很小，如：一般性功能变化、一般性安全补丁以及小范围变化。

第四章 组织职责

第十条 信息系统相关业务部门，负责根据要求提出业务变更申请、由网络与信息管理中心对业务变更进行审批，协助进行业务变更实施。

第十一条  网络与信息管理中心负责系统技术变更的申请，审批、受理以及组织相关人员进行所有变更实施。

第五章 变更申请

第十二条  变更申请应按规范规定的格式提交变更申请，并填写《变更申请单》，变更申请需要申请部门负责人批准。

第十三条  变更申请应详细填写变更内容、变更原因、变更要求、变更影响分析、变更的紧急程序以及变更的类型。

第十四条  变更申请时间：技术变更提前二个工作日申请；业务变更提前三个工作日申请。

第十五条  变更申请要根据系统中的不同功能点的变更分别提出变更申请，要避免一个变更中涵盖多个系统的变更动作。

第六章 变更受理

第十六条  对于各类变更，统一由网络与信息管理中心受理。

第十七条  对要素填写不全、申请时间不符合要求、描述不清的变更申请网络与信息管理中心可以退回变更申请部门或人员。

第七章 变更方案制订

第十八条  网络与信息管理中心负责人接到变更申请后，应组织相关人员填写变更实施方案、计划的同时，涉及到业务变更时，应与相关部门或人员共同研究、制订评估方案和应急方案。

第十九条  需要由第三方服务商提供变更方案或脚本时，变更申请部门应通过正式渠道（例如邮箱等）向网络与信息管理中心提出，由网络与信息管理中心根据变更内容制定变更方案，并通过正式渠道反馈。

第二十条  变更实施计划和回退方案应包含以下内容：

1.变更日期、时间（包括变更实施计划开始时间和结束时间）；

2.变更影响范围和是否影响业务系统业务连续运行；

3.变更中各部门需要配合和确认的工作，明确变更主要实施人员；

4.变更实施后的验证方案；

5.是否完成相关技术培训、操作手册和操作日志的修订；

6.变更是否涉及配置变更；

7.变更分析评估方案（包括风险分析、隐患分析等）；

8.变更的具体实施步骤、内容；

9.变更的回退方案；

10.变更的应急方案。

根据变更方案，由变更申请人在变更申请单中说明变更的级别。

第八章 变更审批

第二十一条对于一级变更由学院、部门分管领导进行审批。

第二十二条 对于二级变更由网络与信息管理中心领导进行审批。

第二十三条 对于三级变更由变更申请部门审批。

第二十四条  对于未被批准的变更，由网络与信息管理中心负责将变更未被批准的具体原因通知变更申请相关单位或部门。

第二十五条  对于业务有可能造成影响的变更，需要在变更实施前通知相关业务部门。

第九章 变更实施

第二十六条   除紧急变更外，对业务系统业务连续运行造成影响的变更，实施时间要避免影响正常的业务运行。

第二十七条   对于具备测试条件的变更，要在测试环境上进行严格、完整的模拟测试。

第二十八条   应根据变更的情况及时召开协调会，对变更进行通报和协调，进一步明确变更实施的要求和相关配合工作。

第二十九条   技术变更实施前：

1.变更实施人员需要做好有关操作流程制定、操作日志修改、技术文档整理和操作人员培训等工作；

2.应根据变更的受理情况，协调相关技术支持人员进行验证。

第三十条  业务变更实施前：

1.对变更实施计划进行确认，并做好实施前的准备工作；

2.应根据变更的受理情况，协调相关技术人员以及业务人员进行验证。

第三十一条   变更实施的要求：

1.变更实施人员应确认“变更实施计划、评估、验证、应急和回退方案”；

2.变更实施过程中，按照变更实施计划的执行时间、环境、顺序、条件等要求执行变更实施计划，严格监控整个变更实施过程；

3.变更实施过程必须保证双人操作；

4.变更实施完成，认真检查现场执行结果，根据变更验证方案对变更后情况进行验证，并将变更实施结果反馈相关部门。

第三十二条   变更实施过程中，如果发生与变更实施计划不相符的意外情况时，在没有找到原因和排除错误的方法时，变更实施人员必须立即报告，由该变更审批人决定是否终止变更，恢复变更实施前的实际运行环境，并详细记录信息。

第三十三条   变更实施过程中，如果需要启动新的变更或因变更实施计划不周需要调整变更内容，应重新进行变更审批；若因某种原因导致变更失败，必须由实施部门审批人决定是否启动回退方案。

第三十四条   对于变更实施后的业务系统，变更实施人员进行跟踪检查和验证，确保变更结果的正确性。

第十章 变更汇总

第三十五条   变更实施完成后，由网络与信息管理中心向变更申请部门反馈变更实施情况。

第三十六条   对于技术变更，应的二个工作日反馈变更申请部门。

第三十七条   对于业务变更实施完成后，应在三个工作日反馈变更申请部门。对于涉及保密的业务变更，在完成变更实施后，按照变更指定的方式向相关单位或部门反馈；

第三十八条   如果变更失败，网络与信息管理中心负责分析产生问题的原因、提出改进意见、及时反馈到变更申请的相关部门。

第十一章 紧急变更

第三十九条   对需要立即实施的紧急变更，可以使用邮件或电话形式进行申请和审批。

第四十条  紧急变更实施前，变更实施人员制定简单的变更实施计划和验证、回退、恢复方案，其中回退或恢复方案是现行成熟的方案，具有可操作性。

第四十一条   紧急变更实施完成后，变更实施人员将变更实施结果反馈变更申请部门。

第四十二条   对于实施的紧急变更，需要在一个工作日将相关邮件审批记录作附件，补办相关手续。

第四十三条    各变更申请部门应严格控制本部门的紧急变更。

第十二章 持续改进

第四十四条   为了保证本规定的时效性、可有性，必须根据相关审核规定进行评审和修订，修订后重新发布。

第十三章 附 则

第四十五条   本规定由学校网络与信息管理中心负责制定、解释和修改，此前相关规定与本规定不一致的，以本规定为准。

第四十六条 本规定自发布之日起实施。

附件：江苏安全技术职业学院信息系统变更申请单

网络与信息管理中心