ISMS-03-07-V1.0 变更管理实施细则

变更管理实施细则

第一章 总则

第一条 目的

为规范思度安全运营中心各类变更活动的管理，控制变更风险，减少变更对生产运行的影响，保障思度安全运营中心安全、稳定地运行，特制定本规定。

第二条 适用范围

适用于思度安全运营中心范围内系统、网络、基础设施和设备等的变更管理。不适用于生产环境的应用变更。

第二章 组织与职责

第三条 变更评议委员会

由业务主管部门负责人和思度安全运营中心负责人及其它相关部门负责人组成，主要负责： (一) 审定思度安全运营中心生产变更管理策略 ； (二) 研究确定生产例行变更时间窗口； (三) 审批标准变更并确定对标准变更的审批授权； (四) 研究确定紧急变更管理策略； (五) 评议各类生产变更请求对生产运行的影响及风险，协调部署变更实施任务 ； (六) 评估变更实施情况，审议变更管理报告； (七) 协调、处理变更管理中的其它重大事项。

第四条 变更执行经理

由执行变更工作的部门负责人担任，主要负责： (一) 检查本变更请求合规性，确定变更类型； (二) 对于不同类型的变更，依据授权或预授权进行审核或审批； (三) 组织变更的实施，监控变更的实施情况；

第五条 变更管理员

(一) 负责变更的具体执行工作； (二) 汇总变更任务执行情况，协助新的变更与已计划变更冲突时的排程； (三) 填写变更登记薄，汇总变更实施情况。

第六条 变更申请人

(一) 提交变更请求； (二) 负责变更后的验证工作。

第三章 流程总体描述

第七条 变更管理策略

(一) 变更的相关信息必须及时、准确记录。因情况紧急无法及时登记的，必须在处理完毕后及时补充记录； (二) 变更必须经过审批方可实施； (三) 变更实施过程中的重要情况及结果应及时与相关方进行沟通； (四) 标准变更应由变更评议委员会预先审批并预授权，依照标准处理方法实施。

第八条 变更的类型。

(一) 标准变更，由变更评议委员会预先审批通过，并已预授权的变更； (二) 紧急变更，为迅速恢复服务或降低当前故障影响的业务范围，需要紧急实施的变更； (三) 常规变更，标准变更与紧急变更以外的变更。

第九条 变更的级别

根据变更的复杂与影响程度定义变更的级别。特级：高复杂度的、可能影响全行全部业务或核心业务的变更。 1 级：较高复杂程度的、可能影响一个（含）以上分行核心业务或非核心业务的变更。 2 级：中等复杂程度的、可能影响一个（含）以上分行核心业务一个子系统以上或非核心业务一个应用系统的变更。 3 级：较低复杂程度的、可能影响一个（含）以上分行一类交易或单个交易的变更。 4 级：对业务不产生影响或影响较小的变更。

第十条 变更的分类

变更划分为以下类别：系统、应用、网络、数据、环境设备。

第十一条 变更的状态

草案：变更的初始状态，新建变更请求但未被提交的状态。 待受理：变更请求复核成功，提交到变更执行经理，等待受理的状态。待审批：变更请求已提交审批，未完成审批的状态。 待实施：变更已经审批通过，等待实施的状态。 实施中：变更正在实施的状态。 关闭：变更结束。

第四章 流程步骤描述

第十二条 流程步骤描述

提交变更请求。提交《变更申请》（介绍信、函）。 复核变更请求。变更执行经理检查变更请求材料的合规性： 1. 通过触发变更评审流程，对于紧急变更，直接通过电话进行紧急评审； 2. 需要补充申请材料则返回步骤（一）； 3. 不通过则退回变更。 变更评审。对提交的变更请求进行评审： 1. 通过则触发制定变更计划步骤； 2. 如果未通过则返回（二）。 制定/修订变更计划。 执行变更。变更管理员执行变更，填写《变更登记簿》，通知变更请求人确认。 评价。评价、总结变更实施情况，判断变更是否达到预期目标，检查相关配置信息是否更新完毕，提出改进意见。 关闭。关闭变更。

第五章 附则

本规定由思度安全运营中心制定、修订和解释。 本规定自发布之日起生效。 记录 《变更申请》（介绍信、函） 《变更登记簿》

附件二：

密级:内部公开 sidu-ISMS-03-07-V1.0