第一篇：3、信息系統(tǒng)變更管理制度

機(jī)房信息系統(tǒng)變更制度

第一條 為規(guī)范應(yīng)用系統(tǒng)變更與維護(hù)管理，提高應(yīng)用軟件管理水平，優(yōu)化軟件變更與維護(hù)管理流程，特制定本制度。

第二條 系統(tǒng)變更工作分為四種類型：功能完善維護(hù)、系統(tǒng)缺陷修改、統(tǒng)計(jì)報(bào)表生成、系統(tǒng)版本升級(jí)或流程、功能新增。功能完善維護(hù)指根據(jù)業(yè)務(wù)部門的需求，對(duì)系統(tǒng)進(jìn)行的功能完善性或適應(yīng)性維護(hù)；系統(tǒng)缺陷修改指對(duì)一些系統(tǒng)功能或使用上的問(wèn)題所進(jìn)行的修復(fù)，這些問(wèn)題是由于系統(tǒng)設(shè)計(jì)和實(shí)現(xiàn)上的缺陷而引發(fā)的；統(tǒng)計(jì)報(bào)表生成指為了滿足業(yè)務(wù)部門統(tǒng)計(jì)報(bào)表數(shù)據(jù)生成的需要，而進(jìn)行的不包含在應(yīng)用系統(tǒng)功能之內(nèi)的數(shù)據(jù)處理工作；系統(tǒng)版本升級(jí)或流程、功能新增是指對(duì)應(yīng)用系統(tǒng)的版本進(jìn)行更新，或因業(yè)務(wù)管理需要新增功能。

第三條 系統(tǒng)變更工作以任務(wù)形式由需求方（一般為業(yè)務(wù)部門）和維護(hù)方（一般為信息部門、軟件開發(fā)商）協(xié)作完成。系統(tǒng)變更過(guò)程大致分為四個(gè)階段：需求提交和接受、需求實(shí)現(xiàn)、需求驗(yàn)收和程序下發(fā)正式上線。

第四條 需求部門提交系統(tǒng)變更需求，需求內(nèi)容過(guò)多可整理成文檔以附件形式一起上報(bào)，經(jīng)部門負(fù)責(zé)人簽字后提交給信息部門系統(tǒng)負(fù)責(zé)人。

第五條 如屬于功能完善維護(hù)、系統(tǒng)缺陷修改、統(tǒng)計(jì)報(bào)表生成的系統(tǒng)變更需求，系統(tǒng)負(fù)責(zé)人審核變更內(nèi)容無(wú)誤后，可直接將需求提交至開發(fā)人員進(jìn)行處理；如要系統(tǒng)版本升級(jí)或流程、功能新增，需經(jīng)信息 經(jīng)理同意。若變更牽涉到多業(yè)務(wù)部門的工作，并影響經(jīng)營(yíng)管理業(yè)務(wù)流程的執(zhí)行，須經(jīng)主管領(lǐng)導(dǎo)同意方可進(jìn)行變更處理。

第六條 軟件開發(fā)人員對(duì)系統(tǒng)變更的需求實(shí)現(xiàn)過(guò)程，應(yīng)遵循與軟件開發(fā)過(guò)程相同的正式、統(tǒng)一的編碼標(biāo)準(zhǔn)，并經(jīng)過(guò)反復(fù)測(cè)試和正式驗(yàn)收后才能提交系統(tǒng)負(fù)責(zé)人。

第七條 系統(tǒng)負(fù)責(zé)人要組織業(yè)務(wù)部門的系統(tǒng)最終用戶對(duì)系統(tǒng)變更內(nèi)容進(jìn)行測(cè)試及驗(yàn)收，并撰寫《用戶測(cè)試、驗(yàn)收?qǐng)?bào)告》，提交需求部門負(fù)責(zé)人或信息系統(tǒng)負(fù)責(zé)人簽字確認(rèn)后，方可將程序上線應(yīng)用。系統(tǒng)負(fù)責(zé)人每月要針對(duì)系統(tǒng)變更申請(qǐng)及完成情況進(jìn)行匯總，記錄在《軟件需求及修改報(bào)告》中以備查。

第八條 系統(tǒng)負(fù)責(zé)人要對(duì)系統(tǒng)最終用戶，進(jìn)行系統(tǒng)變更內(nèi)容的培訓(xùn)和應(yīng)用指導(dǎo)，并留存培訓(xùn)記錄。培訓(xùn)管理員負(fù)責(zé)對(duì)系統(tǒng)變更過(guò)程的文檔進(jìn)行歸檔管理，變更過(guò)程中涉及的所有文檔應(yīng)至少保存五年。第九條 系統(tǒng)變更過(guò)程中，應(yīng)采取下列措施保證維護(hù)環(huán)境程序代碼訪問(wèn)權(quán)限受到良好控制：

1、通過(guò)系統(tǒng)用戶的授權(quán)管理，確保只有特定人員能進(jìn)行系統(tǒng)維護(hù)工作；

2、如果使用專用程序開發(fā)工具，只有授權(quán)人員才能使用程序開發(fā)工具（通過(guò)只有特定開發(fā)人員擁有程序開發(fā)工具）；

3、通過(guò)對(duì)源代碼的訪問(wèn)控制，限制所有人員對(duì)系統(tǒng)源代碼的修改；

4、通過(guò)對(duì)系統(tǒng)日志的審閱，監(jiān)督系統(tǒng)維護(hù)人員在系統(tǒng)中的操作，確認(rèn)維護(hù)工作的授權(quán)；

第十條 系統(tǒng)變更過(guò)程中，應(yīng)采取下列措施保證在線系統(tǒng)應(yīng)用程序訪問(wèn)權(quán)限受到良好控制：

1、對(duì)授權(quán)訪問(wèn)在線系統(tǒng)應(yīng)用程序的人員進(jìn)行詳細(xì)記錄，做好應(yīng)用人員訪問(wèn)權(quán)限的檢查，確保只有經(jīng)授權(quán)人員才能訪問(wèn)在線系統(tǒng)；

2、普通用戶只能通過(guò)在線系統(tǒng)應(yīng)用程序前臺(tái)登錄系統(tǒng)，不能通過(guò)后臺(tái)（如使用操作系統(tǒng)的命令行）進(jìn)行操作；

3、系統(tǒng)管理人員不應(yīng)擁有前臺(tái)應(yīng)用程序的業(yè)務(wù)操作訪問(wèn)權(quán)限，不得利用前臺(tái)應(yīng)用程序進(jìn)行實(shí)際的業(yè)務(wù)操作；

4、只有經(jīng)過(guò)授權(quán)的人員對(duì)程序擁有讀、寫和執(zhí)行的權(quán)限； 第十一條 本制度由信息管理部負(fù)責(zé)解釋和修訂。第十二條 本制度自發(fā)布之日起開始執(zhí)行。

第二篇：信息系統(tǒng)管理制度

信息系統(tǒng)管理制度

第一章 用戶和密碼管理

第一條 對(duì)于網(wǎng)絡(luò)設(shè)備、主機(jī)、操作系統(tǒng)、數(shù)據(jù)庫(kù)、業(yè)務(wù)應(yīng)用程序，系統(tǒng)用戶都必須通過(guò)用戶和密碼認(rèn)證方可訪問(wèn)。

第二條 用戶權(quán)限分為普通用戶、維護(hù)用戶與超級(jí)用戶三個(gè)級(jí)別。普通用戶為各應(yīng)用系統(tǒng)的使用者，維護(hù)用戶為各層面系統(tǒng)維護(hù)者，超級(jí)用戶為各層面的管理員用戶。

第三條 具有重要權(quán)限的帳號(hào)密碼設(shè)置必須符合以下安全要求:

（一）密碼不得包含常用可以識(shí)別的名稱或單詞、易于猜測(cè)的字母或數(shù)字序列或者容易同用戶發(fā)生聯(lián)系的數(shù)據(jù)，比如自己、配偶或者子女的生日和姓名等內(nèi)容。

（二）密碼長(zhǎng)度至少是六個(gè)字符，組成上必須包含大小寫字母、數(shù)字、標(biāo)點(diǎn)等不同的字符。

（三）如果數(shù)據(jù)庫(kù)系統(tǒng)、應(yīng)用系統(tǒng)提供了密碼安全周期機(jī)制，則帳戶密碼必須至少每120天修改一次。

（四）同一密碼不得被給定賬戶在一年內(nèi)重復(fù)使用。

（五）如果數(shù)據(jù)庫(kù)系統(tǒng)、應(yīng)用系統(tǒng)提供了密碼安全機(jī)制，則必須在30分鐘之內(nèi)連續(xù)出現(xiàn)5次無(wú)效的登錄嘗試，其賬戶必須鎖定15分鐘。在此期間，超級(jí)用戶可以采用經(jīng)過(guò)批準(zhǔn)的備用驗(yàn)證機(jī)制重新啟用賬戶。

（六）廠商默認(rèn)密碼必須在軟件或硬件安裝調(diào)試完畢后進(jìn)行修改。

（七）對(duì)于操作系統(tǒng)，必須禁用GUEST帳戶，并將管理員帳戶重命名。

第四條 密碼保護(hù)與備份策略：

（一）范圍：網(wǎng)絡(luò)設(shè)備、服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)、ADSL帳戶撥號(hào)信息；

（二）包含項(xiàng)目：網(wǎng)絡(luò)設(shè)備包括訪問(wèn)的IP地址、端口，所有超級(jí)用戶的用戶名以及密碼；

服務(wù)器操作系統(tǒng)的IP地址、所有管理員帳戶名、密碼；

數(shù)據(jù)庫(kù)中所有具有系統(tǒng)數(shù)據(jù)庫(kù)管理員權(quán)限的用戶的用戶名和密碼；

應(yīng)用系統(tǒng)中所有超級(jí)用戶的用戶名以及密碼；帳戶的用戶名以及密碼。

第二章 網(wǎng)絡(luò)安全管理

第五條 需要全面、系統(tǒng)地考慮整個(gè)網(wǎng)絡(luò)的安全控制措施，并緊密協(xié)調(diào)，一致實(shí)施，以便優(yōu)化公司IT系統(tǒng)運(yùn)營(yíng)。明確規(guī)定有關(guān)網(wǎng)絡(luò)的規(guī)劃、實(shí)施、運(yùn)作、更改和監(jiān)控的安全技術(shù)要求，對(duì)網(wǎng)絡(luò)安全狀態(tài)進(jìn)行持續(xù)監(jiān)控，保存有關(guān)錯(cuò)誤、故障和補(bǔ)救措施的記錄。

第六條 網(wǎng)絡(luò)層次管理必須遵循以下要求：

（一）應(yīng)用系統(tǒng)所有者相關(guān)部門必須同集團(tuán)信息管理部密切合作。

（二）必須編制并保留網(wǎng)絡(luò)連接拓?fù)浣Y(jié)構(gòu)。

第七條 網(wǎng)絡(luò)管理員負(fù)責(zé)生產(chǎn)網(wǎng)絡(luò)、辦公網(wǎng)絡(luò)的安全管理，網(wǎng)絡(luò)管理員必須掌握網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全方面的知識(shí)。

第八條 網(wǎng)絡(luò)管理員必須使用安全工具或技術(shù)進(jìn)行系統(tǒng)間的訪問(wèn)控制，并根據(jù)系統(tǒng)的安全等級(jí)，相應(yīng)的在系統(tǒng)的接入點(diǎn)部署防火墻等網(wǎng)絡(luò)安全產(chǎn)品，保證網(wǎng)絡(luò)安全。

第三章 操作系統(tǒng)安全管理

第九條 操作系統(tǒng)管理員由信息管理部領(lǐng)導(dǎo)指定專人擔(dān)任。

第十條 操作系統(tǒng)管理員主要責(zé)任包括：

（一）對(duì)操作系統(tǒng)登錄帳號(hào)、權(quán)限、帳號(hào)持有人進(jìn)行登記分配管理。

（二）制定并實(shí)施操作系統(tǒng)的備份和恢復(fù)計(jì)劃。

（三）管理系統(tǒng)資源并根據(jù)實(shí)際需要提出系統(tǒng)變更、升級(jí)計(jì)劃。

（四）監(jiān)控系統(tǒng)運(yùn)行狀況，發(fā)現(xiàn)不良侵入立即采取措施制止。

（五）每1個(gè)月檢查系統(tǒng)漏洞，根據(jù)實(shí)際需要提出版本升級(jí)計(jì)劃，及時(shí)安裝系統(tǒng)補(bǔ)丁，并記錄。

（六）檢查系統(tǒng)CPU、內(nèi)存、文件系統(tǒng)空間的使用情況等。

（七）檢查服務(wù)器端口的開放情況。

（八）每月分析系統(tǒng)日志和告警信息，根據(jù)分析結(jié)果提出解決方案。

第十一條 在信息系統(tǒng)正式上線前，操作系統(tǒng)管理員必須刪除操作系統(tǒng)中所有測(cè)試帳號(hào)，對(duì)操作系統(tǒng)中無(wú)關(guān)的默認(rèn)帳號(hào)進(jìn)行刪除或禁用。

第十二條 操作系統(tǒng)管理員與應(yīng)用系統(tǒng)管理員不可兼職,當(dāng)操作系統(tǒng)管理員變化時(shí)，必須及時(shí)更換管理員口令。操作系統(tǒng)管理員必須創(chuàng)建專門的操作系統(tǒng)維護(hù)帳號(hào)進(jìn)行日常維護(hù)。

第十三條 本地或遠(yuǎn)程登錄主機(jī)操作系統(tǒng)進(jìn)行配置等操作完成后或臨時(shí)離開配置終端時(shí)，必須退出操作系統(tǒng)。在操作系統(tǒng)設(shè)置上，操作系統(tǒng)管理員必須將操作系統(tǒng)帳號(hào)自動(dòng)退出時(shí)間參數(shù)設(shè)置為10分鐘以內(nèi)。

第十四條 操作系統(tǒng)管理員執(zhí)行重要操作時(shí)，必須開啟操作系統(tǒng)日志，對(duì)于一些系統(tǒng)無(wú)法自動(dòng)記錄的重要操作，由操作系統(tǒng)管理員將操作內(nèi)容記錄在《系統(tǒng)維護(hù)日志》上。

第四章 數(shù)據(jù)安全管理

第十五條 數(shù)據(jù)庫(kù)管理員由信息管理部領(lǐng)導(dǎo)根據(jù)工作需要指定專人擔(dān)任。數(shù)據(jù)庫(kù)管理員與應(yīng)用系統(tǒng)管理員不能為同一個(gè)人，不可兼職。數(shù)據(jù)庫(kù)管理員必須創(chuàng)建專門的服務(wù)支撐帳號(hào)進(jìn)行日常服務(wù)支撐。

第十六條 數(shù)據(jù)庫(kù)管理員的職責(zé)：

（一）數(shù)據(jù)庫(kù)用戶注冊(cè)管理及其相關(guān)安全管理。

（二）對(duì)數(shù)據(jù)庫(kù)系統(tǒng)存儲(chǔ)空間進(jìn)行管理，根據(jù)實(shí)際需要提出擴(kuò)容計(jì)劃。對(duì)數(shù)據(jù)庫(kù)系統(tǒng)性能進(jìn)行分析、監(jiān)測(cè)，優(yōu)化數(shù)據(jù)庫(kù)的性能。必要時(shí)進(jìn)行數(shù)據(jù)庫(kù)碎片整理、重建索引等。

（三）制定并實(shí)施數(shù)據(jù)庫(kù)的備份及恢復(fù)計(jì)劃，根據(jù)備份計(jì)劃進(jìn)行數(shù)據(jù)庫(kù)數(shù)據(jù)和配置備份，并檢查數(shù)據(jù)庫(kù)備份是否成功。

（四）監(jiān)測(cè)有關(guān)數(shù)據(jù)庫(kù)的告警，檢查并分析數(shù)據(jù)庫(kù)系統(tǒng)日志，及時(shí)提出解決方案，并記錄服務(wù)支撐日志。

（五）檢查數(shù)據(jù)庫(kù)對(duì)主機(jī)系統(tǒng)CPU、內(nèi)存的占用情況。

第五章 主機(jī)安全管理

第十七條 主機(jī)系統(tǒng)管理員由信息管理部領(lǐng)導(dǎo)指定專人負(fù)責(zé)，主機(jī)系統(tǒng)管理員與應(yīng)用系統(tǒng)管理員不可兼職。主機(jī)的訪問(wèn)權(quán)限由主機(jī)系統(tǒng)管理員統(tǒng)一管理，并為系統(tǒng)應(yīng)用人員分配與其工作相適應(yīng)的權(quán)限。

第十八條 主機(jī)系統(tǒng)管理員必須每日檢查主機(jī)機(jī)房工作環(huán)境是否滿足主機(jī)的工作條件，包括不間斷電源、溫度、濕度、潔凈程度等。若主機(jī)機(jī)房的工作條件不能滿足主機(jī)的工作要求，應(yīng)及時(shí)向上級(jí)主管部門反映，提出改善主機(jī)機(jī)房的要求，以保障主機(jī)設(shè)備的安全。

第十九條 主機(jī)系統(tǒng)管理員負(fù)責(zé)系統(tǒng)安全措施的設(shè)置，系統(tǒng)用戶管理和授權(quán)，制定系統(tǒng)安全檢查規(guī)則，實(shí)施對(duì)生產(chǎn)系統(tǒng)服務(wù)器的訪問(wèn)控制、日志監(jiān)測(cè)、系統(tǒng)升級(jí)，防止非法入侵。

第六章 終端安全管理

第二十條 各計(jì)算機(jī)終端用戶不允許進(jìn)行任何干擾網(wǎng)絡(luò)用戶、破壞網(wǎng)絡(luò)服務(wù)和破壞網(wǎng)絡(luò)設(shè)備的活動(dòng)，不得私自調(diào)整網(wǎng)絡(luò)參數(shù)配置。

第二十一條 計(jì)算機(jī)終端設(shè)備為公司生產(chǎn)設(shè)備，不得私用，轉(zhuǎn)讓借出，除筆記本電腦外，其它設(shè)備嚴(yán)禁無(wú)故帶出生產(chǎn)工作場(chǎng)所。

第二十二條 計(jì)算機(jī)終端設(shè)備均應(yīng)用于與公司辦公生產(chǎn)相關(guān)的活動(dòng)，不得安裝與辦公生產(chǎn)無(wú)關(guān)的軟件和進(jìn)行與辦公生產(chǎn)無(wú)關(guān)的活動(dòng)。

第二十三條 所有計(jì)算機(jī)終端設(shè)備必須統(tǒng)一安裝網(wǎng)絡(luò)防病毒軟件，接受公司防病毒服務(wù)器的統(tǒng)一管理，未經(jīng)網(wǎng)絡(luò)管理員同意，不得私自在計(jì)算機(jī)中安裝非公司統(tǒng)一規(guī)定的任何防病毒軟件及個(gè)人防火墻。對(duì)于特殊專業(yè)使用的終端設(shè)備必須安裝適合的防病毒軟件，符合防病毒安全管理規(guī)定。長(zhǎng)期在外使用的計(jì)算機(jī)終端設(shè)備，必須及時(shí)升級(jí)操作系統(tǒng)補(bǔ)丁和防病毒軟件。

第二十四條 信息管理部采取必要的管理工具或手段，檢查終端設(shè)備是否及時(shí)升級(jí)操作系統(tǒng)補(bǔ)丁、是否及時(shí)更新防病毒軟件的病毒庫(kù)信息。

第二十五條 信息管理部定期組織檢查辦公用機(jī)器上是否安裝或使用非辦公軟件及任何與工作無(wú)關(guān)的軟件，定期檢查是否訪問(wèn)反動(dòng)、不良網(wǎng)站。

第二十六條 各計(jì)算機(jī)終端用戶負(fù)責(zé)自己所擁有的一切口令的保密，并根據(jù)密碼管理的要求及時(shí)修改口令。不得將自己所擁有系統(tǒng)帳號(hào)轉(zhuǎn)借他人使用。

第二十七條 禁止在計(jì)算機(jī)終端上開放具有“寫”權(quán)限的共享目錄，如果確實(shí)必要，可臨時(shí)開放，必須設(shè)置基于用戶的共享，禁止將共享權(quán)限賦予“Everyone”，在共享使用完之后應(yīng)立刻取消。在下班時(shí)將自己使用的個(gè)人計(jì)算機(jī)關(guān)機(jī)。

第二十八條 禁止在個(gè)人計(jì)算機(jī)操作系統(tǒng)分區(qū)或卷上存放重要數(shù)據(jù)，以及以軟盤、移動(dòng)存儲(chǔ)設(shè)備、紅外設(shè)備或手提電腦等形式將重要數(shù)據(jù)帶出系統(tǒng)。如需要將移動(dòng)存儲(chǔ)設(shè)備連接到個(gè)人計(jì)算機(jī)，需征得信息管理部同意并進(jìn)行病毒查殺后方可接入，未經(jīng)同意使用U盤、移動(dòng)硬盤等設(shè)備造成機(jī)器故障或網(wǎng)絡(luò)故障的，根據(jù)情節(jié)，將提交領(lǐng)導(dǎo)進(jìn)行行政處理或其它處罰。

第二十九條 如因工作需要，需將非公司計(jì)算機(jī)或者筆記本電腦接入公司內(nèi)部，必須經(jīng)信息管理部同意并檢查后，方可接入。

第七章 病毒防治

第三十條 信息管理部應(yīng)在信息系統(tǒng)的主機(jī)和終端上統(tǒng)一安裝性能優(yōu)良的防病毒軟件，并及時(shí)對(duì)其進(jìn)行更新。因硬件或操作系統(tǒng)比較生僻而無(wú)法安裝防病毒軟件的主機(jī)應(yīng)注意升級(jí)系統(tǒng)補(bǔ)丁、關(guān)閉不使用的系統(tǒng)服務(wù)和配置相應(yīng)的訪問(wèn)控制規(guī)則。

第三十一條 網(wǎng)絡(luò)管理員通過(guò)人工或者系統(tǒng)自動(dòng)提醒的方式完成定期（每天一次）更新終端防毒軟件內(nèi)的病毒碼。

第三十二條 網(wǎng)絡(luò)管理員必須了解最新的病毒信息和病毒動(dòng)向，及時(shí)檢查并下載殺毒防毒補(bǔ)丁。

第三十三條 公司內(nèi)部計(jì)算機(jī)終端用戶必須啟用防病毒產(chǎn)品的實(shí)時(shí)檢測(cè)功能，任何主機(jī)系統(tǒng)和終端在加載任何軟件或數(shù)據(jù)前，先對(duì)該軟件或數(shù)據(jù)進(jìn)行病毒檢查。

第三十四條 信息管理部網(wǎng)絡(luò)管理員定期（至少每月一次）對(duì)系統(tǒng)中的程序或數(shù)據(jù)文件進(jìn)行病毒檢查，填寫《病毒掃描記錄》提交本部門主管領(lǐng)導(dǎo)審閱。

由于個(gè)人計(jì)算機(jī)系統(tǒng)漏洞或者誤操作導(dǎo)致計(jì)算機(jī)感染病毒程序的，必須及時(shí)切斷本機(jī)網(wǎng)絡(luò)連接。在病毒發(fā)作時(shí)，必須進(jìn)行相應(yīng)的診斷、分析和記錄，對(duì)于因計(jì)算機(jī)病毒而引起的重要信息系統(tǒng)癱瘓、程序和數(shù)據(jù)損壞等重大事故，及時(shí)報(bào)告信息管理部領(lǐng)導(dǎo)以及相關(guān)信息系統(tǒng)應(yīng)用部門及時(shí)進(jìn)行處理。

第八章 機(jī)房安全管理

第三十五條 機(jī)房的電源系統(tǒng)、空調(diào)系統(tǒng)、門禁系統(tǒng)、消防系統(tǒng)的服務(wù)支撐以及對(duì)電源電壓，地線、接地，環(huán)境溫、濕度，各種電纜走線，清潔度，防靜電，防霉，防蟲害，防火，防水，防易燃、易爆品，防電磁波等方面都應(yīng)當(dāng)符合國(guó)家標(biāo)準(zhǔn)及國(guó)家和集團(tuán)有關(guān)規(guī)定。

第三十六條 信息管理部配合公司物業(yè)安全保衛(wèi)部門對(duì)防火、防盜、防雷、應(yīng)急出口、應(yīng)急照明等系統(tǒng)定期檢查，并記錄檢查結(jié)果。

第三十七條 機(jī)房環(huán)境管理

（一）機(jī)房附近不應(yīng)有污染氣體、強(qiáng)電磁場(chǎng)、強(qiáng)震動(dòng)源、強(qiáng)噪聲源及所有危害系統(tǒng)正常運(yùn)行的因素。

（二）機(jī)房的潔凈程度必須滿足設(shè)備制造廠家要求的工作條件，地面要最大程度的達(dá)到整潔，機(jī)房門窗必須封閉。

（三）機(jī)房必須保持清潔，排列正規(guī)，布線整齊，儀表正常，工具到位，資料齊全，設(shè)備有序，使用方便。機(jī)房周圍應(yīng)保持清潔，凡路口、過(guò)道、門窗附近，不得堆放物品和雜物妨礙交通。

（四）機(jī)房?jī)?nèi)核心設(shè)備與服務(wù)器必須配備UPS，至少保證斷電情況下UPS可對(duì)核心設(shè)備與服務(wù)器持續(xù)供電30分鐘。

（五）必須嚴(yán)格遵守設(shè)備制造商有關(guān)設(shè)備保護(hù)的要求。

（六）信息管理部應(yīng)監(jiān)控及調(diào)節(jié)機(jī)房的環(huán)境條件，保證機(jī)房的溫度在18---25攝氏度內(nèi)。

（七）機(jī)房有足夠的照明設(shè)備、通信設(shè)施和良好的防靜電設(shè)施。

第三十八條 用電防火安全管理

（一）機(jī)房必須配備滅火裝置等防火設(shè)施。

（二）嚴(yán)禁在機(jī)房使用與生產(chǎn)無(wú)關(guān)的各種電器，非電氣人員不準(zhǔn)裝、修電氣設(shè)備和線路，不準(zhǔn)帶電作業(yè)。

（三）加強(qiáng)機(jī)房施工監(jiān)護(hù)，防止人為事故的發(fā)生，各種安裝施工禁止使用UPS電源，施工人員撤離現(xiàn)場(chǎng)后應(yīng)關(guān)閉工具電源。

（四）機(jī)房?jī)?nèi)電器設(shè)備外殼要接地良好，高壓操作時(shí)必須使用絕緣防護(hù)工具，并注意人身和設(shè)備安全。

（五）機(jī)房應(yīng)設(shè)置滅火裝置和安全防護(hù)用具，安放在指定位置，并有專人負(fù)責(zé)定期檢查。維護(hù)人員必須熟悉一般的消防和安全操作方法。

（六）消防系統(tǒng)需要定期委托請(qǐng)公司消防部門進(jìn)行檢查驗(yàn)收。

（七）機(jī)房?jī)?nèi)嚴(yán)禁存放易燃易爆物品。嚴(yán)禁在機(jī)房?jī)?nèi)大面積使用化學(xué)溶劑。

（八）雷雨季節(jié)要加強(qiáng)對(duì)機(jī)房?jī)?nèi)部安全設(shè)備、地線及防護(hù)電路的檢修。

第三十九條 機(jī)房?jī)?nèi)部管理：

（一）機(jī)房管理實(shí)施安全責(zé)任人制度，信息管理部安排專人負(fù)責(zé)機(jī)房管理。

（二）機(jī)房管理人員應(yīng)保持機(jī)房?jī)?nèi)整潔。

（三）機(jī)房管理人員不做與工作無(wú)關(guān)的事情。

（四）未經(jīng)上級(jí)主管部門同意，任何人不得操作與自己不相關(guān)的設(shè)備。

（五）檢修設(shè)備由相關(guān)人員進(jìn)行，他人不得隨意操作。需停設(shè)備檢修時(shí)，應(yīng)經(jīng)設(shè)備主管部門領(lǐng)導(dǎo)批準(zhǔn)方能進(jìn)行。

第三篇：信息系統(tǒng)管理制度_定稿

信息系統(tǒng)管理制度 第一章 總則

第一條

為明確崗位職責(zé)，規(guī)范操作流程，保障本中心信息系統(tǒng)安全、有效運(yùn)行，根據(jù)有關(guān)法律、法規(guī)和政府有關(guān)規(guī)定，結(jié)合信息統(tǒng)計(jì)中心實(shí)際情況，特制定本制度。

第二條

目的：使信息化建設(shè)工作規(guī)范化進(jìn)行，做到統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一建設(shè)、統(tǒng)一管理。使用范圍：適用于本中心信息化建設(shè)。

第三條 利用信息系統(tǒng)實(shí)施內(nèi)部控制至少應(yīng)當(dāng)關(guān)注下列風(fēng)險(xiǎn)：

（一）信息系統(tǒng)缺乏或規(guī)劃不合理，可能造成信息孤島或重復(fù)建設(shè)，導(dǎo)致中心管理效率低下。

（二）系統(tǒng)開發(fā)不符合內(nèi)部控制要求，授權(quán)管理不當(dāng)，可能導(dǎo)致無(wú)法利用信息技術(shù)實(shí)施有效控制。

（三）系統(tǒng)運(yùn)行維護(hù)和安全措施不到位，可能導(dǎo)致信息泄漏或毀損，系統(tǒng)無(wú)法正常運(yùn)行。

第四條 職責(zé)：

（一）信息統(tǒng)計(jì)中心負(fù)責(zé)中心信息化管理總體規(guī)劃，建立統(tǒng)一的信息化建設(shè)標(biāo)準(zhǔn)、規(guī)范。負(fù)責(zé)中心各科（所）信息化項(xiàng)目總體協(xié)調(diào)及中心辦公自動(dòng)化網(wǎng)絡(luò)和系統(tǒng)軟硬件的維護(hù)工作。

（二）各科（所）負(fù)責(zé)指定專人擔(dān)任本專業(yè)信息化網(wǎng)絡(luò)工作，并負(fù)責(zé)本科（所）日常信息管理工作。

第五條

工作要求：

（一）各科(所)在開展涉及信息化建設(shè)及申報(bào)信息化建設(shè)項(xiàng)目之前，需報(bào)主管領(lǐng)導(dǎo)審批后，將業(yè)務(wù)需求、建設(shè)規(guī)劃等報(bào)信息統(tǒng)計(jì)中心，信息統(tǒng)計(jì)中心應(yīng)按照中心信息化建設(shè)規(guī)劃及相關(guān)要求進(jìn)行審核。

（二）經(jīng)信息統(tǒng)計(jì)中心審核同意后的信息化建設(shè)項(xiàng)目，由信息中心提出信息化技術(shù)要求及軟硬件需求，同意規(guī)劃整合后報(bào)市衛(wèi)生局信息中心。

（三）各科（所）申報(bào)的信息化項(xiàng)目批準(zhǔn)后，信息統(tǒng)計(jì)中心技術(shù)人員全程參與項(xiàng)目的招標(biāo)、實(shí)施、驗(yàn)收。

第二章 信息系統(tǒng)的開發(fā)

第六條 信息統(tǒng)計(jì)中心根據(jù)信息系統(tǒng)建設(shè)整體規(guī)劃提出項(xiàng)目建設(shè)方案，明確建設(shè)目標(biāo)、人員配備、職責(zé)分工、經(jīng)費(fèi)保障和進(jìn)度安排等相關(guān)內(nèi)容，按照規(guī)定的流程報(bào)批通過(guò)后配合相關(guān)公司實(shí)施。

信息統(tǒng)計(jì)中心負(fù)責(zé)監(jiān)督開發(fā)流程，明確系統(tǒng)設(shè)計(jì)、安裝調(diào)試、驗(yàn)收、上線等全過(guò)程的管理要求。

第七條 信息統(tǒng)計(jì)中心需要深入了解各個(gè)業(yè)務(wù)科（所）的業(yè)務(wù)流程、關(guān)鍵控制點(diǎn)、處理規(guī)則、用戶范圍以及手工環(huán)境下難以實(shí)現(xiàn)的控制功能等較為核心的信息系統(tǒng)需求點(diǎn)。在系統(tǒng)開發(fā)過(guò)程中，應(yīng)當(dāng)按照不同業(yè)務(wù)的控制要求，通過(guò)信息系統(tǒng)中的權(quán)限管理功能控制用戶的操作權(quán)限，避免將不相容職責(zé)的處理權(quán)限授予同一用戶。

應(yīng)當(dāng)針對(duì)不同數(shù)據(jù)的輸入方式，考慮對(duì)進(jìn)入系統(tǒng)數(shù)據(jù)的檢查和校驗(yàn)功能。對(duì)于必需的后臺(tái)操作，應(yīng)當(dāng)加強(qiáng)管理，建立規(guī)范的流程制度，對(duì)操作情況進(jìn)行監(jiān)控或者審計(jì)。

應(yīng)當(dāng)在信息系統(tǒng)中設(shè)置操作日志功能，確保操作的可審計(jì)性。對(duì)異常的或者違背內(nèi)部控制要求的操作，應(yīng)當(dāng)設(shè)計(jì)系統(tǒng)自動(dòng)報(bào)告并設(shè)置跟蹤處理機(jī)制。

第八條 信息統(tǒng)計(jì)中心需要組織開發(fā)單位或開發(fā)人員與各科（所）的日常溝通和協(xié)調(diào)，督促開發(fā)單位或開發(fā)人員按照建設(shè)方案、計(jì)劃進(jìn)度和質(zhì)量要求完成編程工作。

第九條 信息統(tǒng)計(jì)中心應(yīng)根據(jù)配備的硬件設(shè)備和系統(tǒng)軟件的具體情況，組織安排相應(yīng)的硬件廠家或軟件開發(fā)商的技術(shù)人員入場(chǎng)安裝調(diào)試。對(duì)于關(guān)鍵的軟硬件設(shè)備，應(yīng)安排專人負(fù)責(zé)跟蹤、記錄整個(gè)安裝調(diào)試過(guò)程；在完成軟硬件設(shè)備的安裝調(diào)試后，應(yīng)注意做好有關(guān)文檔的驗(yàn)收及歸檔保存工作。

第十條 信息系統(tǒng)上線前，需要對(duì)信息系統(tǒng)進(jìn)行等保定級(jí)，沒有定級(jí)的信息系統(tǒng)不能正式上線。另外，信息統(tǒng)計(jì)中心都應(yīng)當(dāng)切實(shí)做好上線的各項(xiàng)準(zhǔn)備工作，應(yīng)查驗(yàn)設(shè)備廠商或軟件開發(fā)商或開發(fā)人員提交的有關(guān)運(yùn)行維護(hù)資料，包括技術(shù)手冊(cè)、操作手冊(cè)等，并負(fù)責(zé)監(jiān)督設(shè)備廠商或軟件開發(fā)商提供對(duì)相關(guān)崗位人員的技術(shù)培訓(xùn)。制定科學(xué)的上線計(jì)劃和新舊系統(tǒng)轉(zhuǎn)換方案，考慮應(yīng)急預(yù)案，確保新舊系統(tǒng)順利切換和平穩(wěn)銜接。系統(tǒng)上線涉及數(shù)據(jù)遷移的，還應(yīng)制定詳細(xì)的數(shù)據(jù)遷移計(jì)劃。第十一條 未經(jīng)安全檢測(cè)的信息系統(tǒng)不能為其配置外網(wǎng)地址，信息安全的投入原則上不低于信息系統(tǒng)項(xiàng)目總投資的10%。此外，對(duì)于信息技術(shù)軟件，應(yīng)注意母盤或源代碼的保存登記工作，并由專人管理。日常工作中應(yīng)盡量使用母盤的復(fù)制品，避免造成對(duì)母盤或源代碼的破壞。

第三章 信息系統(tǒng)的運(yùn)行與維護(hù)

第十二條 信息系統(tǒng)投運(yùn)前，信息統(tǒng)計(jì)中心要掌握有關(guān)設(shè)備所提供的各種系統(tǒng)監(jiān)控、維護(hù)工具，并檢查其安全性和完整性。

第十三條 信息系統(tǒng)投運(yùn)前，信息統(tǒng)計(jì)中心應(yīng)與軟件開發(fā)商和設(shè)備的供應(yīng)商共同制定系統(tǒng)投運(yùn)實(shí)施方案以及應(yīng)急處理方案，并盡可能在測(cè)試環(huán)境中測(cè)試通過(guò)后，再在實(shí)際運(yùn)行環(huán)境中實(shí)施。

第十四條

信息系統(tǒng)的日常管理和維護(hù)由信息統(tǒng)計(jì)中心負(fù)責(zé)。信息統(tǒng)計(jì)中心按實(shí)際情況制定各模塊子系統(tǒng)的具體操作規(guī)范，及時(shí)跟蹤、發(fā)現(xiàn)和解決系統(tǒng)運(yùn)行中存在的問(wèn)題，確保信息系統(tǒng)按照規(guī)定的程序、制度和操作規(guī)范持續(xù)穩(wěn)定運(yùn)行。

信息統(tǒng)計(jì)中心對(duì)服務(wù)器等關(guān)鍵信息設(shè)備指定專人負(fù)責(zé)檢查維護(hù)，及時(shí)處理異常情況。未經(jīng)授權(quán)，任何人不得接觸關(guān)鍵信息設(shè)備。機(jī)房設(shè)備發(fā)生故障時(shí)，應(yīng)及時(shí)聯(lián)系設(shè)備供應(yīng)廠商解決。

第十五條

信息系統(tǒng)需求變更應(yīng)當(dāng)嚴(yán)格遵照管理流程進(jìn)行操作。信息系統(tǒng)操作人員不得擅自進(jìn)行系統(tǒng)軟件的刪除、修改等操作；不得擅自升級(jí)、改變系統(tǒng)軟件版本；不得擅自改變軟件系統(tǒng)環(huán)境配置。

對(duì)于重大信息系統(tǒng)配置的更改，應(yīng)先形成方案文件，經(jīng)信息統(tǒng)計(jì)中心討論確認(rèn)可行，報(bào)信息統(tǒng)計(jì)中心領(lǐng)導(dǎo)批準(zhǔn)后執(zhí)行。方案中應(yīng)包括系統(tǒng)備份方式、調(diào)試運(yùn)行期限、更改和操作記錄、應(yīng)急措施等相關(guān)內(nèi)容。

第十六條 根據(jù)業(yè)務(wù)性質(zhì)、重要性程度、涉密情況等確定信息系統(tǒng)的安全等級(jí)，建立不同等級(jí)信息的授權(quán)使用制度。

（一）建立用戶管理制度，根據(jù)工作崗位需求嚴(yán)格控制重要業(yè)務(wù)系統(tǒng)的訪問(wèn)權(quán)限。合理分配用戶權(quán)限，避免授權(quán)不當(dāng)或存在非授權(quán)賬號(hào)，禁止不相容崗位用戶賬號(hào)的交叉操作。

（二）每周備份信息系統(tǒng)數(shù)據(jù)庫(kù)，確保信息系統(tǒng)一旦發(fā)生故障能夠快速恢復(fù)。第十七條

信息統(tǒng)計(jì)中心人員必須嚴(yán)格遵守信息傳遞操作流程，嚴(yán)禁外泄網(wǎng)絡(luò)用戶密碼及共享權(quán)限密碼。嚴(yán)禁擅改他人文件。

第十八條

信息統(tǒng)計(jì)中心全體人員均有權(quán)制止違反規(guī)定、可能損害信息系統(tǒng)安全的行為，并有義務(wù)及時(shí)向信息統(tǒng)計(jì)中心領(lǐng)導(dǎo)匯報(bào)。在出現(xiàn)違反規(guī)定的可疑情況，應(yīng)立即向信息統(tǒng)計(jì)中心領(lǐng)導(dǎo)通報(bào)。

第十九條

信息系統(tǒng)設(shè)備完成安裝調(diào)試后，未經(jīng)信息統(tǒng)計(jì)中心同意，任何個(gè)人或部門不得擅自移動(dòng)或拆除。如因工作需要，確實(shí)要對(duì)有關(guān)設(shè)備進(jìn)行移動(dòng)或拆除，需報(bào)信息統(tǒng)計(jì)中心審批同意后，由信息統(tǒng)計(jì)中心組織有關(guān)技術(shù)人員實(shí)施，并做好相應(yīng)的登記變更工作。關(guān)鍵硬件設(shè)備完成安裝后，運(yùn)行地點(diǎn)要相對(duì)固定，移動(dòng)或拆除要在完成審批程序后，方可實(shí)施。

第二十條 硬件設(shè)備的報(bào)廢應(yīng)由使用部門提出書面申請(qǐng)，信息統(tǒng)計(jì)中心根據(jù)設(shè)備的使用情況進(jìn)行審核，提出設(shè)備報(bào)廢清單，按固定資產(chǎn)報(bào)廢程序辦理。

第四篇：信息系統(tǒng)變更和發(fā)布管理辦法

信息系統(tǒng)變更和發(fā)布管理辦法

第一章 總 則

第一條 目的：本管理辦法規(guī)定了XX銀行（以下簡(jiǎn)稱“我行”）信息系統(tǒng)的變更和發(fā)布管理，變更和發(fā)布管理作業(yè)操作流程和控制要點(diǎn)，確保變更需求的受理符合業(yè)務(wù)的優(yōu)先需要，并使變更和發(fā)布過(guò)程規(guī)范化，控制變更對(duì)銀行業(yè)務(wù)和已投產(chǎn)系統(tǒng)安全運(yùn)行的不利影響。達(dá)到降低信息系統(tǒng)變更和發(fā)布風(fēng)險(xiǎn)的目的。保障信息系統(tǒng)的安全穩(wěn)定運(yùn)行，特制定本管理辦法。

第二條 第三條 第四條(一)目。

(二)生產(chǎn)業(yè)務(wù)系統(tǒng)：指我行從事金融服務(wù)的應(yīng)用網(wǎng)絡(luò)系統(tǒng)，包括綜合業(yè)務(wù)系統(tǒng)、國(guó)依據(jù)：本管理辦法根據(jù)《XX銀行信息安全管理策略》制訂。范圍：本管理辦法適用于我行信息系統(tǒng)變更和發(fā)布管理。定義

軟件產(chǎn)品：泛指信息技術(shù)開發(fā)的生產(chǎn)業(yè)務(wù)系統(tǒng)和管理信息系統(tǒng)等應(yīng)用軟件項(xiàng)際業(yè)務(wù)系統(tǒng)、支付系統(tǒng)等銀行對(duì)外營(yíng)業(yè)的各種核心業(yè)務(wù)系統(tǒng)。

(三)管理信息系統(tǒng)：指我行信息管理的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)，具體指OA辦公系統(tǒng)、信貸管理、報(bào)表系統(tǒng)等用來(lái)進(jìn)行內(nèi)部管理的應(yīng)用軟件系統(tǒng)。

(四)第五條(五)遵循原則 業(yè)務(wù)部門：指我行總部相關(guān)業(yè)務(wù)部門。

監(jiān)督制約原則：針對(duì)信息系統(tǒng)變更和發(fā)布管理工作中各個(gè)環(huán)節(jié)，建立相應(yīng)的監(jiān)督檢查機(jī)制。

(六)計(jì)劃性原則：信息系統(tǒng)發(fā)布應(yīng)納入每年計(jì)算機(jī)應(yīng)用計(jì)劃，確保全行計(jì)算機(jī)系統(tǒng)資源、應(yīng)用環(huán)境、維護(hù)力量、操作技能能滿足系統(tǒng)安全、可靠運(yùn)行的要求。

(七)(八)可行性原則：具有普遍適用性和可操作性。風(fēng)險(xiǎn)控制原則：

若為新項(xiàng)目或新業(yè)務(wù)功能變更和發(fā)布，需進(jìn)行以下風(fēng)險(xiǎn)分析： 1.備份機(jī)建設(shè)情況；

2.應(yīng)用系統(tǒng)投產(chǎn)后的集中監(jiān)控方案； 3.生產(chǎn)數(shù)據(jù)備份方案； 4.程序及系統(tǒng)備份方案；

5.數(shù)據(jù)庫(kù)建庫(kù)/建表/建索引方式等； 6.對(duì)其他系統(tǒng)的影響。

第二章 組織與管理

第六條(一)職責(zé)劃分

需求部門：

1.提出需求，并確認(rèn)《用戶需求說(shuō)明書》；

2.用戶測(cè)試階段確認(rèn)用戶測(cè)試計(jì)劃、記錄用戶測(cè)試問(wèn)題、確認(rèn)用戶測(cè)試報(bào)告； 3.接受用戶培訓(xùn)并提出反饋。(二)科技信息部安全科：

1.在需求階段審閱和提出IT風(fēng)險(xiǎn)控制、IT合規(guī)和IT稽核方面的要求，在項(xiàng)目開發(fā)階段對(duì)有關(guān)IT風(fēng)險(xiǎn)控制、IT合規(guī)和IT稽核方面的測(cè)試結(jié)果進(jìn)行審閱；

2.在項(xiàng)目實(shí)施后審閱階段對(duì)有關(guān)IT風(fēng)險(xiǎn)控制、IT合規(guī)和IT稽核要求的實(shí)施效果進(jìn)行審閱。

(三)科技信息部運(yùn)行維護(hù)中心：

1.負(fù)責(zé)受理所有變更和發(fā)布需求，會(huì)同IT其他相關(guān)部門（IT軟件開發(fā)中心、安全科等）對(duì)變更和發(fā)布需求進(jìn)行評(píng)估，并將評(píng)估意見向IT部門領(lǐng)導(dǎo)、業(yè)務(wù)部門領(lǐng)導(dǎo)匯報(bào)溝通，獲取所需的授權(quán)；

2.在詳細(xì)設(shè)計(jì)階段審閱和提出網(wǎng)絡(luò)、硬件、操作系統(tǒng)和數(shù)據(jù)庫(kù)等方面的配置和容量要求；

3.在設(shè)計(jì)與編程階段提供網(wǎng)絡(luò)、硬件、操作系統(tǒng)和數(shù)據(jù)庫(kù)的參數(shù)配置； 4.在測(cè)試階段配合項(xiàng)目組設(shè)立網(wǎng)絡(luò)、硬件、操作系統(tǒng)和數(shù)據(jù)庫(kù)環(huán)境；

5.配合項(xiàng)目組對(duì)系統(tǒng)進(jìn)行聯(lián)合測(cè)試，把信息系統(tǒng)版本軟件、相關(guān)配置文件、標(biāo)準(zhǔn)數(shù)據(jù)和相關(guān)文檔提供給測(cè)試評(píng)估中心；

6.將信息系統(tǒng)發(fā)布到使用部門，系統(tǒng)上線時(shí)會(huì)同項(xiàng)目組搭建生產(chǎn)系統(tǒng)并進(jìn)行程序移植，組織定期對(duì)變更和發(fā)布效果進(jìn)行分析和總結(jié)。

7.接收管理和備份軟件開發(fā)中心提供的源程序、相關(guān)標(biāo)準(zhǔn)數(shù)據(jù)、配置文件、相關(guān)文檔；(四)科技信息部軟件開發(fā)中心：

1.負(fù)責(zé)設(shè)計(jì)、編程、糾錯(cuò)和開發(fā)質(zhì)量控制，編制《系統(tǒng)設(shè)計(jì)規(guī)格書》；

2.落實(shí)項(xiàng)目管理制度和業(yè)務(wù)操作手冊(cè)的編制工作，參加制定上線方案制定，編制《上線實(shí)施計(jì)劃》；

3.負(fù)責(zé)系統(tǒng)切換上線的技術(shù)支持工作；

4.負(fù)責(zé)項(xiàng)目驗(yàn)收資料整理匯總，配合項(xiàng)目驗(yàn)收工作。(五)科技信息部測(cè)試評(píng)估中心：

1.負(fù)責(zé)對(duì)需要測(cè)試評(píng)估的軟件進(jìn)行分析測(cè)試； 2.負(fù)責(zé)提交測(cè)試分析報(bào)告。

第三章 信息系統(tǒng)變更

第七條 信息系統(tǒng)變更，指由于新增信息系統(tǒng)功能、系統(tǒng)邏輯改變、系統(tǒng)錯(cuò)誤修正、系統(tǒng)補(bǔ)丁安裝及版本更新、系統(tǒng)配置修改及業(yè)務(wù)參數(shù)修改等原因，而對(duì)已投產(chǎn)系統(tǒng)進(jìn)行局部改變的一切活動(dòng)。已投產(chǎn)系統(tǒng)變更需求主要來(lái)源于以下幾種情況：

(一)由于業(yè)務(wù)快速發(fā)展，業(yè)務(wù)部門對(duì)現(xiàn)有已投產(chǎn)系統(tǒng)的功能或設(shè)置進(jìn)行變更或通過(guò)新增功能來(lái)滿足需求；

(二)用戶在使用過(guò)程中發(fā)生的一些操作錯(cuò)誤，或技術(shù)人員、監(jiān)控管理軟件自動(dòng)發(fā)現(xiàn)的故障或事件，需要通過(guò)安裝程序補(bǔ)丁或修改配置等操作進(jìn)行修改；(三)廠商定期發(fā)布的系統(tǒng)補(bǔ)丁，涉及系統(tǒng)的功能、性能、安全漏洞，需要在已投產(chǎn)系統(tǒng)中進(jìn)行安裝；

(四)由于系統(tǒng)容量擴(kuò)充或與已投產(chǎn)系統(tǒng)存在數(shù)據(jù)交換或數(shù)據(jù)共享的其他已投產(chǎn)系統(tǒng)發(fā)生變化后引發(fā)的已投產(chǎn)系統(tǒng)變更。

第八條 信息系統(tǒng)變更的提出，必須由申請(qǐng)部門（用戶部門或IT部門）填寫《已投產(chǎn)系統(tǒng)變更流程單》（附件1）第一部分，申請(qǐng)信息。在申請(qǐng)信息填寫階段的主要工作內(nèi)容包括：

(一)申請(qǐng)人需選擇變更類型；(二)描述變更內(nèi)容和目的；

(三)是否存在其他措施滿足變更需求；

(四)如不實(shí)施變更可能對(duì)客戶、合規(guī)、外部利益相關(guān)方、內(nèi)部管理和操作、安全控制、系統(tǒng)可用性和數(shù)據(jù)準(zhǔn)確性的影響；

(五)選擇變更的急迫性。

第九條 申請(qǐng)部門主管審批簽字后提交IT運(yùn)行維護(hù)中心進(jìn)行處理。

第十條 IT運(yùn)行維護(hù)中心收到變更申請(qǐng)后，和變更申請(qǐng)部門充分溝通，理解變更需求的合理性，審閱變更的影響和急迫性，并會(huì)同IT其他相關(guān)部門（IT軟件開發(fā)中心、安全科等）對(duì)可行的變更實(shí)施方案和變更對(duì)已投產(chǎn)系統(tǒng)的影響做出評(píng)估，最終形成建議的變更日期，填寫至《已投產(chǎn)系統(tǒng)變更流程單》第二部分，變更需求評(píng)估信息，交IT運(yùn)行維護(hù)中心負(fù)責(zé)人進(jìn)行審批。

第十一條 IT運(yùn)行維護(hù)中心組織變更需求評(píng)估時(shí)，應(yīng)充分考慮系統(tǒng)是否已存在滿足變更需求的功能或設(shè)置；是否存在其他操作手段，能達(dá)到同樣的變更需求效果。

第十二條 IT運(yùn)行維護(hù)中心組織變更需求評(píng)估時(shí)，了解實(shí)施變更：

(一)是否需要進(jìn)行IT開發(fā)，以及IT開發(fā)的工時(shí)；

(二)是否需要進(jìn)行操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、中間件、硬件和網(wǎng)絡(luò)的變更；(三)是否需要進(jìn)行后臺(tái)數(shù)據(jù)變更；(四)是否存在信息安全控制的考慮因素；

(五)結(jié)合IT部門現(xiàn)有的IT資源，統(tǒng)籌安排變更實(shí)施時(shí)間表；(六)實(shí)施相關(guān)變更時(shí)，可能導(dǎo)致的業(yè)務(wù)中斷或客戶服務(wù)水平下降。

第十三條 綜合對(duì)變更需求合理性的評(píng)估和變更實(shí)施影響的評(píng)估，IT運(yùn)行維護(hù)中心在《已投產(chǎn)系統(tǒng)變更流程單》的第二部分提出變更的建議日期，并進(jìn)行資源協(xié)調(diào)。在IT運(yùn)行維護(hù)中心負(fù)責(zé)人進(jìn)行審批后，通知相關(guān)部門：(一)如不建議實(shí)施變更，則向變更申請(qǐng)部門說(shuō)明理由；

(二)如建議實(shí)施變更，則告知建議變更的時(shí)間及對(duì)客戶服務(wù)和內(nèi)部操作的影響，要求變更申請(qǐng)部門和相關(guān)部門進(jìn)行準(zhǔn)備；

(三)如變更規(guī)模超過(guò)《XX銀行IT項(xiàng)目管理指引》規(guī)定的項(xiàng)目受理標(biāo)準(zhǔn)，則依據(jù)該指引有關(guān)規(guī)定執(zhí)行。

第十四條 對(duì)涉及軟件開發(fā)的需求變更，參照《XX銀行IT開發(fā)方法指引》的要求執(zhí)行。

第十五條 對(duì)不涉及軟件開發(fā)的需求變更，IT運(yùn)行維護(hù)中心根據(jù)需要，提交IT測(cè)試評(píng)估中心相關(guān)人員負(fù)責(zé)制定變更的測(cè)試步驟，落實(shí)測(cè)試人員在測(cè)試環(huán)境中對(duì)變更進(jìn)行測(cè)試，測(cè)試人員對(duì)測(cè)試結(jié)果進(jìn)行記錄并簽字確認(rèn)。

第十六條 信息安全人員對(duì)變更進(jìn)行上線前審閱，確保系統(tǒng)變更過(guò)程中的系統(tǒng)安全。信息安全人員完成上線前審閱后，IT運(yùn)行維護(hù)中心進(jìn)行上線處理。信息安全人員根據(jù)變更的風(fēng)險(xiǎn)程度，進(jìn)行上線后審閱，確保達(dá)到變更目標(biāo)。

第十七條 為控制已投產(chǎn)系統(tǒng)的變更對(duì)客戶服務(wù)和業(yè)務(wù)操作帶來(lái)的影響，確保生產(chǎn)環(huán)境的完整性和可靠性，IT部門應(yīng)制定一系列控制IT變更的策略和制度，嚴(yán)格控制變更的規(guī)模、涉及面及信息安全風(fēng)險(xiǎn)。包括：

(一)IT運(yùn)行維護(hù)中心負(fù)責(zé)人每周對(duì)集中的變更工作計(jì)劃進(jìn)行審閱，確保充分有效的IT技術(shù)資源或系統(tǒng)供應(yīng)商/開發(fā)商技術(shù)資源，保證變更的有序進(jìn)行；

(二)除非是需要立即實(shí)施的特急變更，IT運(yùn)行維護(hù)中心應(yīng)選擇非業(yè)務(wù)繁忙時(shí)間，如凌晨、周末或公眾假期進(jìn)行變更上線；

(三)IT運(yùn)行維護(hù)中心進(jìn)行周密計(jì)劃，包括制定意外應(yīng)急措施；(四)分離已投產(chǎn)系統(tǒng)與開發(fā)或測(cè)試系統(tǒng)的管理職責(zé)；

(五)保證已投產(chǎn)系統(tǒng)和開發(fā)或者測(cè)試系統(tǒng)相分離，禁止開發(fā)人員在未經(jīng)授權(quán)的情況下進(jìn)入已投產(chǎn)系統(tǒng)；

(六)只有在得到管理層批準(zhǔn)執(zhí)行緊急修復(fù)任務(wù)時(shí)，開發(fā)人員才能訪問(wèn)已投產(chǎn)系統(tǒng)，所有的緊急修復(fù)活動(dòng)都應(yīng)立即進(jìn)行記錄和審核；

(七)開發(fā)人員對(duì)已投產(chǎn)系統(tǒng)進(jìn)行變更必須經(jīng)過(guò)嚴(yán)格的審批和控制；開發(fā)人員訪問(wèn)已投產(chǎn)系統(tǒng)時(shí)必須由IT運(yùn)行維護(hù)中心系統(tǒng)管理員對(duì)其訪問(wèn)進(jìn)行監(jiān)督和記錄，并在訪問(wèn)結(jié)束后系統(tǒng)管理員及時(shí)禁用或刪除開發(fā)人員在已投產(chǎn)系統(tǒng)中使用的賬號(hào)；(八)對(duì)已投產(chǎn)系統(tǒng)進(jìn)行變更必須經(jīng)過(guò)嚴(yán)格的授權(quán)之后才能進(jìn)行操作實(shí)施，操作實(shí)施過(guò)程必須受到嚴(yán)格監(jiān)控。

第十八條 變更實(shí)施上線前需進(jìn)行用戶測(cè)試，并在變更上線后由變更申請(qǐng)部門負(fù)責(zé)人對(duì)變更進(jìn)行簽字確認(rèn)。

第十九條 對(duì)于上線過(guò)程可能導(dǎo)致業(yè)務(wù)暫時(shí)中斷或?qū)е聵I(yè)務(wù)操作發(fā)生重大變化的IT變更，IT運(yùn)行維護(hù)中心必須在上線前以書面方式告知相關(guān)業(yè)務(wù)部門(至少包括行長(zhǎng)辦公室和客戶服務(wù)中心)影響的業(yè)務(wù)范圍和時(shí)間，并提供相關(guān)技術(shù)支持。

第二十條 IT變更上線執(zhí)行的工作內(nèi)容和相關(guān)要求參照《XX銀行IT開發(fā)方法指引》中對(duì)上線的要求和描述。

第二十一條 變更計(jì)劃與步驟、回退計(jì)劃與步驟、IT測(cè)試步驟與結(jié)果、信息安全審閱意見、用戶測(cè)試確認(rèn)等變更實(shí)施信息記錄在《已投產(chǎn)系統(tǒng)變更流程單》第三部分，變更計(jì)劃和測(cè)試接受信息。IT運(yùn)行維護(hù)中心負(fù)責(zé)人負(fù)責(zé)對(duì)變更實(shí)施信息進(jìn)行審閱。

第二十二條

急變更是指在某些緊急情況下，對(duì)已投產(chǎn)系統(tǒng)需要在沒有完整的系統(tǒng)測(cè)試，或無(wú)法完成正式審批流程的情況下進(jìn)行的變更。如：因系統(tǒng)缺陷需要對(duì)已投產(chǎn)系統(tǒng)進(jìn)行立即修補(bǔ)，或突發(fā)的監(jiān)管要求對(duì)已投產(chǎn)系統(tǒng)進(jìn)行緊急變更（如利率的緊急調(diào)整）。

第二十三條 緊急變更應(yīng)由變更申請(qǐng)部門相關(guān)負(fù)責(zé)人提出，獲得IT運(yùn)行維護(hù)中心負(fù)責(zé)人的審批或者授權(quán)方可進(jìn)行。可以接受的審批方式或者授權(quán)是IT運(yùn)行維護(hù)中心負(fù)責(zé)人的口頭授權(quán)或郵件授權(quán)等，并在緊急變更實(shí)施之后，補(bǔ)足相應(yīng)的《已投產(chǎn)系統(tǒng)變更流程單》并由相關(guān)負(fù)責(zé)人員簽字，進(jìn)行備案。

第二十四條

在緊急變更實(shí)施前，須進(jìn)行測(cè)試。緊急變更前未能實(shí)現(xiàn)測(cè)試的，須事后補(bǔ)足相應(yīng)的測(cè)試及測(cè)試文檔，并由相關(guān)測(cè)試人員簽字。

第二十五條

緊急變更應(yīng)記錄日志，由IT運(yùn)行維護(hù)中心和變更申請(qǐng)部門共同審核和簽字確認(rèn)，并進(jìn)行程序和數(shù)據(jù)備份，以便必要時(shí)可以恢復(fù)到原來(lái)的程序版本和數(shù)據(jù)版本。

第二十六條

變更實(shí)施后，IT運(yùn)行維護(hù)中心組織IT其他相關(guān)部門（IT軟件開發(fā)中心、安全科等）對(duì)變更實(shí)施的結(jié)果進(jìn)行定期集中評(píng)估，主要應(yīng)從以下幾個(gè)方面對(duì)變更實(shí)施的情況進(jìn)行總結(jié)：

(一)(二)(三)(四)施；

(五)變更回退的數(shù)量及其原因。

《已投產(chǎn)系統(tǒng)變更流程單》填寫完整后由IT運(yùn)行維護(hù)中心進(jìn)行整變更是否達(dá)到預(yù)期目標(biāo)； 變更是否存在負(fù)面影響；

一段時(shí)期內(nèi)實(shí)施的變更數(shù)量（包括總量以及按變更類型分類的數(shù)量）； 變更以及變更請(qǐng)求的理由清單和類型分析、以及未來(lái)控制變更數(shù)量的跟進(jìn)措第二十七條

理，并由IT部門負(fù)責(zé)人安排人員進(jìn)行定期審閱，最終交IT綜合科歸檔。

第四章 軟件上線流程和控制要求

第二十八條 上線受理(一)項(xiàng)目開發(fā)和測(cè)試工作完成后，項(xiàng)目組提交《軟件產(chǎn)品上線申請(qǐng)表》附件2和相關(guān)業(yè)務(wù)部門負(fù)責(zé)人簽署意見的《用戶測(cè)試驗(yàn)收?qǐng)?bào)告》給項(xiàng)目管理科進(jìn)行審核。

(二)項(xiàng)目管理科審核通過(guò)后，將上線申請(qǐng)材料交科技信息部安全科及科技信息部負(fù)責(zé)人審核。審核后在上線申請(qǐng)書上寫明上線意見并簽名蓋章。

第二十九條(一)上線準(zhǔn)備

項(xiàng)目組提交通過(guò)審核的上線材料給運(yùn)行維護(hù)中心。運(yùn)行維護(hù)中心配合項(xiàng)目組制定上線實(shí)施計(jì)劃，項(xiàng)目經(jīng)理提交部門負(fù)責(zé)人進(jìn)行審批，上線實(shí)施計(jì)劃的主要內(nèi)容包括：

1.歷史數(shù)據(jù)、配置參數(shù)、應(yīng)用程序等的備份方案

2.上線環(huán)境的搭建（項(xiàng)目經(jīng)理協(xié)調(diào)運(yùn)行中心搭建生產(chǎn)環(huán)境）

3.上線執(zhí)行的內(nèi)容和步驟、各項(xiàng)工作任務(wù)責(zé)任人、人員組織和具體時(shí)間安排等 4.上線回退計(jì)劃

5.確定上線時(shí)可能出現(xiàn)的問(wèn)題及解決方案(二)項(xiàng)目組配合業(yè)務(wù)主管部門編寫項(xiàng)目上線后的業(yè)務(wù)管理辦法和操作細(xì)則，完成相應(yīng)的培訓(xùn)工作。對(duì)新項(xiàng)目，要求相關(guān)業(yè)務(wù)部門提供相關(guān)核算辦法、管理辦法、下發(fā)文件。

(三)項(xiàng)目組向系統(tǒng)應(yīng)用維護(hù)人員提供維護(hù)手冊(cè)；向后臺(tái)操作人員提供操作手冊(cè)，并完成相應(yīng)的培訓(xùn)工作。

(四)項(xiàng)目組提交《軟件版本管理表》給版本管理部門，完成上線版本的制作。

第三十條

上線與試運(yùn)行

系統(tǒng)切換發(fā)布按照上線實(shí)施計(jì)劃步驟進(jìn)行；

(一)安全科負(fù)責(zé)檢查項(xiàng)目的安全性，是否符合國(guó)家和上級(jí)單位的有關(guān)安全規(guī)定；(二)生產(chǎn)系統(tǒng)版本管理員在程序正式遷移至主機(jī)之前，首先完成生產(chǎn)系統(tǒng)的備份，對(duì)上線所涉及的程序進(jìn)行新老版本比對(duì)，同時(shí)根據(jù)上線步驟所定的時(shí)點(diǎn)完成程序的編譯，制作新版本，并使新程序生效；

(三)系統(tǒng)管理管理員根據(jù)上線步驟所定的時(shí)點(diǎn)，負(fù)責(zé)對(duì)數(shù)據(jù)庫(kù)進(jìn)行新增、修改、刪除等維護(hù)工作；(四)系統(tǒng)管理員根據(jù)上線步驟所定的時(shí)點(diǎn)，提供所需的系統(tǒng)資源、定義系統(tǒng)參數(shù)、定義各類文件；并做好基礎(chǔ)資料建檔；

(五)網(wǎng)絡(luò)通訊技術(shù)人員根據(jù)上線步驟所定的時(shí)點(diǎn)，負(fù)責(zé)網(wǎng)絡(luò)通訊有關(guān)參數(shù)的設(shè)置，將通訊接口切換到生產(chǎn)系統(tǒng)；并做好基礎(chǔ)資料建檔；

(六)前臺(tái)版本管理員根據(jù)上線步驟所定的時(shí)點(diǎn)，負(fù)責(zé)下發(fā)新的前臺(tái)版本至各支行、網(wǎng)點(diǎn)，并跟蹤各支行、網(wǎng)點(diǎn)的版本安裝和生效情況；

(七)前置機(jī)系統(tǒng)技術(shù)人員根據(jù)上線步驟所定的時(shí)點(diǎn)，負(fù)責(zé)變更前置機(jī)系統(tǒng)的程序版本、數(shù)據(jù)庫(kù)信息等，并負(fù)責(zé)與主機(jī)的交易聯(lián)動(dòng)；

(八)項(xiàng)目建設(shè)部門、各相關(guān)業(yè)務(wù)部門配合系統(tǒng)切換上線的具體實(shí)施；

(九)對(duì)于只涉及主機(jī)日終批處理程序變更的應(yīng)用項(xiàng)目，在上線當(dāng)日及相應(yīng)關(guān)鍵日期（如月終、結(jié)息日等）的批處理時(shí)段，批處理技術(shù)人員應(yīng)提供技術(shù)支持，并負(fù)責(zé)跟蹤試運(yùn)行的結(jié)果；

(十)對(duì)于只涉及前臺(tái)版本更新的應(yīng)用項(xiàng)目，在上線后下一個(gè)營(yíng)業(yè)日及關(guān)鍵日期（如下一個(gè)對(duì)公營(yíng)業(yè)日等）的聯(lián)機(jī)時(shí)段，前臺(tái)技術(shù)人員負(fù)責(zé)跟蹤試運(yùn)行的結(jié)果；

(十一)對(duì)于只涉及主機(jī)聯(lián)機(jī)交易變更的應(yīng)用項(xiàng)目，在上線后下一個(gè)營(yíng)業(yè)日及關(guān)鍵日期的聯(lián)機(jī)時(shí)段，相關(guān)主機(jī)技術(shù)人員應(yīng)提供技術(shù)支持，并負(fù)責(zé)跟蹤試運(yùn)行的結(jié)果；

(十二)對(duì)于同時(shí)涉及主機(jī)聯(lián)機(jī)交易、前臺(tái)版本和/或前置機(jī)版本改動(dòng)的應(yīng)用項(xiàng)目，在上線后下一個(gè)營(yíng)業(yè)日及關(guān)鍵日期的聯(lián)機(jī)時(shí)段，相關(guān)主機(jī)技術(shù)人員、前臺(tái)技術(shù)人員、主機(jī)接口術(shù)人員及前置機(jī)系統(tǒng)技術(shù)人員應(yīng)提供技術(shù)支持，并負(fù)責(zé)跟蹤試運(yùn)行的結(jié)果；

(十三)(十四)試運(yùn)行中發(fā)現(xiàn)問(wèn)題時(shí)通知項(xiàng)目組技術(shù)人員對(duì)系統(tǒng)進(jìn)行修改；

系統(tǒng)上線后，項(xiàng)目組還需要在上線后為用戶提供一段時(shí)間的上線后支持服務(wù)，對(duì)系統(tǒng)運(yùn)行狀態(tài)進(jìn)行監(jiān)控，保證系統(tǒng)在使用后能夠有一個(gè)穩(wěn)定、良好的狀態(tài)。在此期間，運(yùn)行維護(hù)中心在項(xiàng)目組的指導(dǎo)下執(zhí)行系統(tǒng)的日常維護(hù)和批處理。

第三十一條 上線運(yùn)行(一)項(xiàng)目系統(tǒng)上線試運(yùn)行3個(gè)月以后，根據(jù)試運(yùn)行情況，項(xiàng)目組提交項(xiàng)目正式上線驗(yàn)收申請(qǐng)報(bào)告；

(二)(三)科技信息部審核并確認(rèn)驗(yàn)收?qǐng)?bào)告及相關(guān)項(xiàng)目資料后，牽頭組織驗(yàn)收； 經(jīng)驗(yàn)收合格后的項(xiàng)目轉(zhuǎn)正式運(yùn)行，運(yùn)行維護(hù)管理由運(yùn)行維護(hù)中心按《IT運(yùn)行維護(hù)指引》要求進(jìn)行管理。

第五章 系統(tǒng)發(fā)布流程和控制要點(diǎn)

第三十二條

系統(tǒng)發(fā)布申請(qǐng)

系統(tǒng)項(xiàng)目組實(shí)施和測(cè)試工作完成后，項(xiàng)目組提交《系統(tǒng)發(fā)布申請(qǐng)表》（附件4）和相關(guān)業(yè)務(wù)部門負(fù)責(zé)人簽署意見的《系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告》給項(xiàng)目管理科進(jìn)行審核。項(xiàng)目管理科審核通過(guò)后，將系統(tǒng)申請(qǐng)材料交科技信息部安全科及科技信息部負(fù)責(zé)人審核。審核后在發(fā)布申請(qǐng)書上寫明意見并簽名蓋章。

第三十三條

系統(tǒng)發(fā)布準(zhǔn)備(一)項(xiàng)目組提交通過(guò)審核的發(fā)布材料給運(yùn)行維護(hù)中心。運(yùn)行維護(hù)中心配合項(xiàng)目組制定系統(tǒng)發(fā)布計(jì)劃，項(xiàng)目經(jīng)理提交部門負(fù)責(zé)人進(jìn)行審批，發(fā)布計(jì)劃的主要內(nèi)容包括：

1.所涉及系統(tǒng)的歷史數(shù)據(jù)、配置參數(shù)、應(yīng)用程序等的備份方案；

2.系統(tǒng)發(fā)布執(zhí)行的內(nèi)容和步驟、各項(xiàng)工作任務(wù)責(zé)任人、人員組織和具體時(shí)間安排等； 3.回退計(jì)劃；

4.確定發(fā)布時(shí)可能出現(xiàn)的問(wèn)題及解決方案；(二)項(xiàng)目組配合業(yè)務(wù)主管部門編寫系統(tǒng)發(fā)布后的的系統(tǒng)管理辦法和操作細(xì)則，完成相應(yīng)的培訓(xùn)工作。

(三)項(xiàng)目組向系統(tǒng)維護(hù)人員提供維護(hù)手冊(cè)；向操作人員提供操作手冊(cè)，并完成相應(yīng)的培訓(xùn)工作。

第三十四條

系統(tǒng)發(fā)布及試運(yùn)行

(一)系統(tǒng)更新或者發(fā)布按照發(fā)布實(shí)施計(jì)劃步驟進(jìn)行；(二)科技信息部安全科負(fù)責(zé)檢查項(xiàng)目系統(tǒng)的安全性，是否符合國(guó)家和上級(jí)單位的有關(guān)安全規(guī)定；

(三)運(yùn)行維護(hù)中心系統(tǒng)管理員首先完成相關(guān)系統(tǒng)的數(shù)據(jù)或配置等備份；

(四)運(yùn)行維護(hù)中心網(wǎng)絡(luò)管理員根據(jù)發(fā)布計(jì)劃所定的時(shí)點(diǎn)，負(fù)責(zé)涉及系統(tǒng)的網(wǎng)絡(luò)通訊有關(guān)參數(shù)的設(shè)置，將通訊接口切換到發(fā)布系統(tǒng)；并做好基礎(chǔ)資料建檔；

(五)項(xiàng)目建設(shè)部門、各相關(guān)業(yè)務(wù)部門配合系統(tǒng)發(fā)布及運(yùn)行的具體實(shí)施；(六)運(yùn)行維護(hù)中心在試運(yùn)行期間中發(fā)現(xiàn)問(wèn)題時(shí)通知該系統(tǒng)項(xiàng)目組技術(shù)人員對(duì)系統(tǒng)涉及的產(chǎn)品進(jìn)行修改；

(七)系統(tǒng)發(fā)布后，項(xiàng)目組還需要在發(fā)布后為用戶提供一段時(shí)間的支持服務(wù)，配合運(yùn)行維護(hù)中心人員對(duì)系統(tǒng)運(yùn)行狀態(tài)進(jìn)行監(jiān)控，保證系統(tǒng)在使用后能夠有一個(gè)穩(wěn)定、良好的狀態(tài)。

第三十五條 系統(tǒng)發(fā)布運(yùn)行(一)申請(qǐng)報(bào)告；

(二)(三)科技信息部審核并確認(rèn)驗(yàn)收?qǐng)?bào)告及相關(guān)項(xiàng)目資料后，牽頭組織驗(yàn)收； 經(jīng)驗(yàn)收合格后的系統(tǒng)轉(zhuǎn)正式運(yùn)行，運(yùn)行維護(hù)管理由運(yùn)行維護(hù)中心按《IT運(yùn)行維系統(tǒng)發(fā)布試運(yùn)行3個(gè)月以后，根據(jù)試運(yùn)行情況，系統(tǒng)項(xiàng)目組提交項(xiàng)目正式驗(yàn)收護(hù)指引》要求進(jìn)行管理。

第六章 檢查監(jiān)督

第三十六條 檢察監(jiān)督

(一)科技信息部版本管理員在系統(tǒng)切換發(fā)布前對(duì)系統(tǒng)切換發(fā)布的版本進(jìn)行檢查控制；

(二)科技信息部系統(tǒng)管理員在系統(tǒng)更變和發(fā)布前對(duì)系統(tǒng)進(jìn)行檢查控制；(三)科技信息部每季度對(duì)項(xiàng)目文檔的完整性、規(guī)范性進(jìn)行檢查監(jiān)督；(四)科技信息部安全科至少每季度進(jìn)行一次檢查。

第七章 附 則 第三十七條 第三十八條 本管理辦法由科技信息部負(fù)責(zé)解釋和修訂。

本管理辦法自發(fā)布之日起施行。

第五篇：信息系統(tǒng)變更和發(fā)布管理辦法

信息系統(tǒng)變更和發(fā)布管理辦法

第一章 總 則

第一條 目的：本管理辦法規(guī)定了我區(qū)信息系統(tǒng)的變更和發(fā)布管理，變更和發(fā)布管理作業(yè)操作流程和控制要點(diǎn)，確保變更需求的受理符合業(yè)務(wù)的優(yōu)先需要，并使變更和發(fā)布過(guò)程規(guī)范化，控制變更對(duì)銀行業(yè)務(wù)和已投產(chǎn)系統(tǒng)安全運(yùn)行的不利影響。達(dá)到降低信息系統(tǒng)變更和發(fā)布風(fēng)險(xiǎn)的目的。保障信息系統(tǒng)的安全穩(wěn)定運(yùn)行，特制定本管理辦法。第二條 依據(jù)：本管理辦法根據(jù)《高新區(qū)信息安全管理策略》制訂。第三條 范圍：本管理辦法適用于我區(qū)信息系統(tǒng)變更和發(fā)布管理。第四條 定義

(一)軟件產(chǎn)品：泛指信息技術(shù)開發(fā)的生產(chǎn)業(yè)務(wù)系統(tǒng)和管理信息系統(tǒng)等應(yīng)用軟件項(xiàng)目。

(二)生產(chǎn)業(yè)務(wù)系統(tǒng)：指我區(qū)從事金融服務(wù)的應(yīng)用網(wǎng)絡(luò)系統(tǒng)。

(三)管理信息系統(tǒng)：指我區(qū)信息管理的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)，具體指OA辦公系統(tǒng)、信貸管理、報(bào)表系統(tǒng)等用來(lái)進(jìn)行內(nèi)部管理的應(yīng)用軟件系統(tǒng)。

(四)業(yè)務(wù)部門：指我區(qū)相關(guān)業(yè)務(wù)部門。

第五條 遵循原則

(五)監(jiān)督制約原則：針對(duì)信息系統(tǒng)變更和發(fā)布管理工作中各個(gè)環(huán)節(jié)，建立相應(yīng)的監(jiān)督檢查機(jī)制。

(六)計(jì)劃性原則：信息系統(tǒng)發(fā)布應(yīng)納入每年計(jì)算機(jī)應(yīng)用計(jì)劃，確保全行計(jì)算機(jī)系統(tǒng)資源、應(yīng)用環(huán)境、維護(hù)力量、操作技能能滿足系統(tǒng)安全、可靠運(yùn)行的要求。

(七)可行性原則：具有普遍適用性和可操作性。(八)風(fēng)險(xiǎn)控制原則：

若為新項(xiàng)目或新業(yè)務(wù)功能變更和發(fā)布，需進(jìn)行以下風(fēng)險(xiǎn)分析： 1.備份機(jī)建設(shè)情況；

2.應(yīng)用系統(tǒng)投產(chǎn)后的集中監(jiān)控方案； 3.生產(chǎn)數(shù)據(jù)備份方案； 4.程序及系統(tǒng)備份方案；

5.數(shù)據(jù)庫(kù)建庫(kù)/建表/建索引方式等； 6.對(duì)其他系統(tǒng)的影響。

第二章 組織與管理

第六條 職責(zé)劃分(一)需求部門：

1.提出需求，并確認(rèn)《用戶需求說(shuō)明書》；

2.用戶測(cè)試階段確認(rèn)用戶測(cè)試計(jì)劃、記錄用戶測(cè)試問(wèn)題、確認(rèn)用戶測(cè)試報(bào)告；

3.接受用戶培訓(xùn)并提出反饋。

(二)信息化管理與服務(wù)中心：

1.在需求階段審閱和提出風(fēng)險(xiǎn)控制、合規(guī)和稽核方面的要求，在項(xiàng)目開發(fā)階段對(duì)有關(guān)風(fēng)險(xiǎn)控制、合規(guī)和稽核方面的測(cè)試結(jié)果進(jìn)行審閱；

2.在項(xiàng)目實(shí)施后審閱階段對(duì)有關(guān)風(fēng)險(xiǎn)控制、合規(guī)和稽核要求的實(shí)施效果進(jìn)行審閱。

3.負(fù)責(zé)受理所有變更和發(fā)布需求，會(huì)同其他相關(guān)部門對(duì)變更和發(fā)布需求進(jìn)行評(píng)估，并將評(píng)估意見向部門領(lǐng)導(dǎo)匯報(bào)；

4.在詳細(xì)設(shè)計(jì)階段審閱和提出網(wǎng)絡(luò)、硬件、操作系統(tǒng)和數(shù)據(jù)庫(kù)等方面的配置和容量要求；

5.在設(shè)計(jì)與編程階段提供網(wǎng)絡(luò)、硬件、操作系統(tǒng)和數(shù)據(jù)庫(kù)的參數(shù)配置； 6.在測(cè)試階段配合項(xiàng)目組設(shè)立網(wǎng)絡(luò)、硬件、操作系統(tǒng)和數(shù)據(jù)庫(kù)環(huán)境； 7.配合對(duì)系統(tǒng)進(jìn)行聯(lián)合測(cè)試，把信息系統(tǒng)版本軟件、相關(guān)配置文件、標(biāo)準(zhǔn)數(shù)據(jù)和相關(guān)文檔提供給信息化管理與服務(wù)中心；

8.將信息系統(tǒng)發(fā)布到使用部門，系統(tǒng)上線時(shí)會(huì)同項(xiàng)目組搭建生產(chǎn)系統(tǒng)并進(jìn)行程序移植，組織定期對(duì)變更和發(fā)布效果進(jìn)行分析和總結(jié)。

9.接收管理和備份軟件開發(fā)中心提供的源程序、相關(guān)標(biāo)準(zhǔn)數(shù)據(jù)、配置文件、相關(guān)文檔；

10.負(fù)責(zé)設(shè)計(jì)、編程、糾錯(cuò)和開發(fā)質(zhì)量控制，編制《系統(tǒng)設(shè)計(jì)規(guī)格書》； 11.落實(shí)項(xiàng)目管理制度和業(yè)務(wù)操作手冊(cè)的編制工作，參加制定上線方案制定，編制《上線實(shí)施計(jì)劃》；

12.負(fù)責(zé)系統(tǒng)切換上線的技術(shù)支持工作；

13.負(fù)責(zé)項(xiàng)目驗(yàn)收資料整理匯總，配合項(xiàng)目驗(yàn)收工作。14.負(fù)責(zé)對(duì)需要測(cè)試評(píng)估的軟件進(jìn)行分析測(cè)試； 15.負(fù)責(zé)提交測(cè)試分析報(bào)告。

第三章 信息系統(tǒng)變更

第七條 信息系統(tǒng)變更，指由于新增信息系統(tǒng)功能、系統(tǒng)邏輯改變、系統(tǒng)錯(cuò)誤修正、系統(tǒng)補(bǔ)丁安裝及版本更新、系統(tǒng)配置修改及業(yè)務(wù)參數(shù)修改等原因，而對(duì)已投產(chǎn)系統(tǒng)進(jìn)行局部改變的一切活動(dòng)。已投產(chǎn)系統(tǒng)變更需求主要來(lái)源于以下幾種情況：

(一)由于業(yè)務(wù)快速發(fā)展，業(yè)務(wù)部門對(duì)現(xiàn)有已投產(chǎn)系統(tǒng)的功能或設(shè)置進(jìn)行變更或通過(guò)新增功能來(lái)滿足需求；

(二)用戶在使用過(guò)程中發(fā)生的一些操作錯(cuò)誤，或技術(shù)人員、監(jiān)控管理軟件自動(dòng)發(fā)現(xiàn)的故障或事件，需要通過(guò)安裝程序補(bǔ)丁或修改配置等操作進(jìn)行修改；

(三)廠商定期發(fā)布的系統(tǒng)補(bǔ)丁，涉及系統(tǒng)的功能、性能、安全漏洞，需要在已投產(chǎn)系統(tǒng)中進(jìn)行安裝；

(四)由于系統(tǒng)容量擴(kuò)充或與已投產(chǎn)系統(tǒng)存在數(shù)據(jù)交換或數(shù)據(jù)共享的其他已投產(chǎn)系統(tǒng)發(fā)生變化后引發(fā)的已投產(chǎn)系統(tǒng)變更。

第八條 信息系統(tǒng)變更的提出，必須由申請(qǐng)部門填寫《系統(tǒng)變更流程單》（附件1）第一部分，申請(qǐng)信息。在申請(qǐng)信息填寫階段的主要工作內(nèi)容包括：

(一)申請(qǐng)人需選擇變更類型；

(二)描述變更內(nèi)容和目的；

(三)是否存在其他措施滿足變更需求；

(四)如不實(shí)施變更可能對(duì)客戶、合規(guī)、外部利益相關(guān)方、內(nèi)部管理和操作、安全控制、系統(tǒng)可用性和數(shù)據(jù)準(zhǔn)確性的影響；

(五)選擇變更的急迫性。

第九條 申請(qǐng)部門主管審批簽字后提交信息化管理與服務(wù)中心進(jìn)行處理。第十條 信息化管理與服務(wù)中心收到變更申請(qǐng)后，和變更申請(qǐng)部門充分溝通，理解變更需求的合理性，審閱變更的影響和急迫性，并會(huì)同其他相關(guān)部門對(duì)可行的變更實(shí)施方案和變更對(duì)已投產(chǎn)系統(tǒng)的影響做出評(píng)估，最終形成建議的變更日期，填寫至《系統(tǒng)變更流程單》第二部分，變更需求評(píng)估信息，交信息化管理與服務(wù)中心負(fù)責(zé)人進(jìn)行審批。

第十一條 信息化管理與服務(wù)中心組織變更需求評(píng)估時(shí)，應(yīng)充分考慮系統(tǒng)是否已存在滿足變更需求的功能或設(shè)置；是否存在其他操作手段，能達(dá)到同樣的變更需求效果。

第十二條 信息化管理與服務(wù)中心組織變更需求評(píng)估時(shí)，了解實(shí)施變更：(一)是否需要進(jìn)行開發(fā)，以及開發(fā)的工時(shí)；

(二)是否需要進(jìn)行操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、中間件、硬件和網(wǎng)絡(luò)的變更；(三)是否需要進(jìn)行后臺(tái)數(shù)據(jù)變更；(四)是否存在信息安全控制的考慮因素；

(五)結(jié)合信息化管理與服務(wù)中心現(xiàn)有的資源，統(tǒng)籌安排變更實(shí)施時(shí)間表；

(六)實(shí)施相關(guān)變更時(shí)，可能導(dǎo)致的業(yè)務(wù)中斷或服務(wù)水平下降。

第十三條 綜合對(duì)變更需求合理性的評(píng)估和變更實(shí)施影響的評(píng)估，信息化管理與服務(wù)中心在《系統(tǒng)變更流程單》的第二部分提出變更的建議日期，并進(jìn)行資源協(xié)調(diào)。在信息化管理與服務(wù)中心負(fù)責(zé)人進(jìn)行審批后，通知相關(guān)部門：

(一)如不建議實(shí)施變更，則向變更申請(qǐng)部門說(shuō)明理由；

(二)如建議實(shí)施變更，則告知建議變更的時(shí)間及對(duì)客戶服務(wù)和內(nèi)部操作的影響，要求變更申請(qǐng)部門和相關(guān)部門進(jìn)行準(zhǔn)備；

第十四條 對(duì)涉及軟件開發(fā)的需求變更，向信息化管理與服務(wù)中心提出申請(qǐng)。

第十五條 對(duì)不涉及軟件開發(fā)的需求變更，信息化管理與服務(wù)中心根據(jù)需要，提交信息化管理與服務(wù)中心相關(guān)人員負(fù)責(zé)制定變更的測(cè)試步驟，落實(shí)測(cè)試人員在測(cè)試環(huán)境中對(duì)變更進(jìn)行測(cè)試，測(cè)試人員對(duì)測(cè)試結(jié)果進(jìn)行記錄并簽字確認(rèn)。

第十六條 信息安全人員對(duì)變更進(jìn)行上線前審閱，確保系統(tǒng)變更過(guò)程中的系統(tǒng)安全。信息安全人員完成上線前審閱后，信息化管理與服務(wù)中心進(jìn)行上線處理。信息安全人員根據(jù)變更的風(fēng)險(xiǎn)程度，進(jìn)行上線后審閱，確保達(dá)到變更目標(biāo)。

第十七條 為控制已投產(chǎn)系統(tǒng)的變更對(duì)客戶服務(wù)和業(yè)務(wù)操作帶來(lái)的影響，確保生產(chǎn)環(huán)境的完整性和可靠性，信息化管理與服務(wù)中心應(yīng)制定一系列控制變更的策略和制度，嚴(yán)格控制變更的規(guī)模、涉及面及信息安全風(fēng)險(xiǎn)。包括：

(一)信息化管理與服務(wù)中心負(fù)責(zé)人每周對(duì)集中的變更工作計(jì)劃進(jìn)行審閱，確保充分有效的技術(shù)資源或系統(tǒng)供應(yīng)商/開發(fā)商技術(shù)資源，保證變更的有序進(jìn)行；

(二)除非是需要立即實(shí)施的特急變更，信息化管理與服務(wù)中心應(yīng)選擇非業(yè)務(wù)繁忙時(shí)間，如凌晨、周末或公眾假期進(jìn)行變更上線；

(三)信息化管理與服務(wù)中心進(jìn)行周密計(jì)劃，包括制定意外應(yīng)急措施；(四)分離已投產(chǎn)系統(tǒng)與開發(fā)或測(cè)試系統(tǒng)的管理職責(zé)；

(五)保證已投產(chǎn)系統(tǒng)和開發(fā)或者測(cè)試系統(tǒng)相分離，禁止開發(fā)人員在未經(jīng)授權(quán)的情況下進(jìn)入已投產(chǎn)系統(tǒng)；

(六)只有在得到管理層批準(zhǔn)執(zhí)行緊急修復(fù)任務(wù)時(shí)，開發(fā)人員才能訪問(wèn)已投產(chǎn)系統(tǒng)，所有的緊急修復(fù)活動(dòng)都應(yīng)立即進(jìn)行記錄和審核；

(七)開發(fā)人員對(duì)已投產(chǎn)系統(tǒng)進(jìn)行變更必須經(jīng)過(guò)嚴(yán)格的審批和控制；開發(fā)人員訪問(wèn)已投產(chǎn)系統(tǒng)時(shí)必須由信息化管理與服務(wù)中心系統(tǒng)管理員對(duì)其訪問(wèn)進(jìn)行監(jiān)督和記錄，并在訪問(wèn)結(jié)束后系統(tǒng)管理員及時(shí)禁用或刪除開發(fā)人員在已投產(chǎn)系統(tǒng)中使用的賬號(hào)；

(八)對(duì)已投產(chǎn)系統(tǒng)進(jìn)行變更必須經(jīng)過(guò)嚴(yán)格的授權(quán)之后才能進(jìn)行操作實(shí)施，操作實(shí)施過(guò)程必須受到嚴(yán)格監(jiān)控。

第十八條 變更實(shí)施上線前需進(jìn)行用戶測(cè)試，并在變更上線后由變更申請(qǐng)部門負(fù)責(zé)人對(duì)變更進(jìn)行簽字確認(rèn)。

第十九條 對(duì)于上線過(guò)程可能導(dǎo)致業(yè)務(wù)暫時(shí)中斷或?qū)е聵I(yè)務(wù)操作發(fā)生重大變化的變更，信息化管理與服務(wù)中心必須在上線前以書面方式告知相關(guān)業(yè)務(wù)部門影響的業(yè)務(wù)范圍和時(shí)間，并提供相關(guān)技術(shù)支持。

第二十條 變更上線執(zhí)行的工作內(nèi)容和相關(guān)要求進(jìn)行。

第二十一條 變更計(jì)劃與步驟、回退計(jì)劃與步驟、測(cè)試步驟與結(jié)果、信息安全審閱意見、用戶測(cè)試確認(rèn)等變更實(shí)施信息記錄在《系統(tǒng)變更流程單》第三部分，變更計(jì)劃和測(cè)試接受信息。信息化管理與服務(wù)中心負(fù)責(zé)人負(fù)責(zé)對(duì)變更實(shí)施信息進(jìn)行審閱。

第二十二條

急變更是指在某些緊急情況下，對(duì)已投產(chǎn)系統(tǒng)需要在沒有完整的系統(tǒng)測(cè)試，或無(wú)法完成正式審批流程的情況下進(jìn)行的變更。如：因系統(tǒng)缺陷需要對(duì)已投產(chǎn)系統(tǒng)進(jìn)行立即修補(bǔ)，或突發(fā)的監(jiān)管要求對(duì)已投產(chǎn)系統(tǒng)進(jìn)行緊急變更。

第二十三條

緊急變更應(yīng)由變更申請(qǐng)部門相關(guān)負(fù)責(zé)人提出，獲得信息化管理與服務(wù)中心負(fù)責(zé)人的審批或者授權(quán)方可進(jìn)行。可以接受的審批方式或者授權(quán)是信息化管理與服務(wù)中心負(fù)責(zé)人的口頭授權(quán)或郵件授權(quán)等，并在緊急變更實(shí)施之后，補(bǔ)足相應(yīng)的《系統(tǒng)變更流程單》并由相關(guān)負(fù)責(zé)人員簽字，進(jìn)行備案。

第二十四條

在緊急變更實(shí)施前，須進(jìn)行測(cè)試。緊急變更前未能實(shí)現(xiàn)測(cè)試的，須事后補(bǔ)足相應(yīng)的測(cè)試及測(cè)試文檔，并由相關(guān)測(cè)試人員簽字。

第二十五條

緊急變更應(yīng)記錄日志，由信息化管理與服務(wù)中心和變更申請(qǐng)部門共同審核和簽字確認(rèn)，并進(jìn)行程序和數(shù)據(jù)備份，以便必要時(shí)可以恢復(fù)到原來(lái)的程序版本和數(shù)據(jù)版本。

第二十六條

變更實(shí)施后，信息化管理與服務(wù)中心組織其他相關(guān)部門對(duì)變更實(shí)施的結(jié)果進(jìn)行定期集中評(píng)估，主要應(yīng)從以下幾個(gè)方面對(duì)變更實(shí)施的情況進(jìn)行總結(jié)：

(一)變更是否達(dá)到預(yù)期目標(biāo)；(二)變更是否存在負(fù)面影響；

(三)一段時(shí)期內(nèi)實(shí)施的變更數(shù)量（包括總量以及按變更類型分類的數(shù)量）；(四)變更以及變更請(qǐng)求的理由清單和類型分析、以及未來(lái)控制變更數(shù)量的跟進(jìn)措施；

(五)變更回退的數(shù)量及其原因。

第二十七條

《系統(tǒng)變更流程單》填寫完整后由信息化管理與服務(wù)中心進(jìn)行整理，并由信息化管理與服務(wù)中心負(fù)責(zé)人安排人員進(jìn)行定期審閱，最終交信息化管理與服務(wù)中心歸檔。

第四章 檢查監(jiān)督

第二十八條

檢察監(jiān)督

(一)信息化管理與服務(wù)中心管理員在系統(tǒng)切換發(fā)布前對(duì)系統(tǒng)切換發(fā)布的版本進(jìn)行檢查控制；

(二)信息化管理與服務(wù)中心系統(tǒng)管理員在系統(tǒng)更變和發(fā)布前對(duì)系統(tǒng)進(jìn)行檢查控制；

(三)信息化管理與服務(wù)中心每季度對(duì)項(xiàng)目文檔的完整性、規(guī)范性進(jìn)行檢查監(jiān)督；

(四)信息化管理與服務(wù)中心安全科至少每季度進(jìn)行一次檢查。

第五章 附 則

第二十九條 本管理辦法由信息化管理與服務(wù)中心負(fù)責(zé)解釋和修訂。第三十條 本管理辦法自發(fā)布之日起施行。