变更管理程序：控制IT设备和软件变更

变更管理程序是信息安全管理系统（ISMS）中的一项关键程序，旨在确保组织内的软件和硬件变更得到有效控制，以防止未经授权和不充分的变更所造成的系统故障和业务中断。 知识点1：变更管理程序的目的 变更管理程序的主要目的是对组织内的软件和硬件变更进行有效控制，确保系统的安全要求得到识别和执行，防止未经授权和不充分的变更所造成的系统故障和业务中断。 知识点2：变更管理程序的范围 变更管理程序适用于本组织IT设备（包括传输线路）、软件（操作系统及应用系统）等方面的变更控制的管理。 知识点3：变更管理程序的职责 综合管理部负责以下方面的IT设备及软件方面的变更管理： * 组织内办公用计算机和网络设备及软件 * 服务器设备 * 财务管理系统等设备及软件 * 电子商务系统设备及软件 各部门负责自行开发的软件变更管理。 知识点4：相关文件 * 《信息安全管理手册》 * 《变更管理安全策略》 知识点5：变更分类 变更可以分为四类： * IT设备变更：包括系统中服务器、网络设备、传输线路及计算机终端的新增、减少及其设备本身的变化（包括设备的报废） * 操作系统软件变更：包括新安装、补丁、版本升级及更换 * 自行开发软件变更：包括小型业务变更、版本升级 * 软件包的变更 知识点6：IT设备变更控制 软件设备（包括传输线路）的变更需求由变更管理部门根据组织业务发展的需要提出，填写《变更跟踪表》，经变更管理部门经理批准后予以实施。 知识点7：操作系统软件变更 当软件厂商发布操作系统或应用软件的更新补丁或版本时，综合管理部负责分析更新内容对公司现有业务及工作的影响，IT人员可以先选一台测试机安装最新补丁，在未发现对工作业务产生重要负面影响的前提下，为使用该操作系统或应用软件的用户安装补丁。 知识点8：软件的变更控制 当客户重新对项目的某一或某些模块进行重要要求时，项目组负责跟踪客户的新要求，进行业务及可以行性分析，组织有关人员进行方案评审，考虑系统改造对现有业务的影响，并制定有效的风险控制措施，方案在评审通过后，修改《需求开发说明书》，针对发生变更的模块，修改相应的详细设计书，数据库说明书，源程序。并对整个项目重新进行测试。 知识点9：变更实施前的安全要求 在软件正式变更前，项目组应考虑以下方面的安全要求： * 变更对目前业务的影响 * 变更对现有软件的影响 * 变更实施前应进行安全测试 * 不成功的变更恢复措施