信息系统变更和发布管理办法详解

"信息系统变更和发布管理办法" 本管理办法旨在规定公司信息系统的变更和发布管理，确保变更需求的受理符合业务的优先需要，并使变更和发布过程规范化，控制变更对银行业务和已投产系统安全运行的不利影响。 **变更和发布管理目的** 变更和发布管理的主要目的在于降低信息系统变更和发布风险，保障信息系统的安全稳定运行。 **依据** 本管理办法根据《公司信息安全管理策略》制订。 **范围** 本管理办法适用于公司信息系统变更和发布管理。 **定义** 软件产品：泛指信息技术开发的生产业务系统和管理信息系统等应用软件项目。 生产业务系统：指公司从事金融服务的应用网络系统。 管理信息系统：指公司信息管理的计算机网络系统，具体指OA办公系统、信贷管理、报表系统等用来进行内部管理的应用软件系统。 业务部门：指公司总部相关业务部门。 **遵循原则** 1. 监督制约原则：针对信息系统变更和发布管理工作中各个环节，建立相应的监督检查机制。 2. 计划性原则：信息系统发布应纳入每年计算机应用计划，确保全行计算机系统资源、应用环境、维护力量、操作技能能满足系统安全、可靠运行的要求。 3. 可行性原则：具有普遍适用性和可操作性。 4. 风险控制原则：若为新项目或新业务功能变更和发布，需进行以下风险分析： * 备份机建设情况 * 应用系统投产后的集中监控方案 * 生产数据备份方案 * 程序及系统备份方案 * 数据库建库/建表/建索引方式等 * 对其他系统的影响 **组织与管理** 1. 职责划分： * 需求部门： * 提出需求，并确认《用户需求说明书》 * 用户测试阶段确认用户测试计划、记录用户测试问题、确认用户测试报告 * 接受用户培训并提出反馈 * 科技信息部安全科： * 在需求阶段审阅和提出IT风险控制、IT合规和IT稽核方面的要求 * 在项目开发阶段对有关IT风险控制、IT合规和IT稽核方面的测试结果进行审阅 * 在项目实施后审阅阶段对有关IT风险控制、IT合规和IT稽核要求的实施效果进行审阅 * 科技信息部运行维护中心： * 负责受理所有变更和发布需求 * 会同IT其他相关部门对变更和发布需求进行评估，并将评估意见向IT部门领导、业务部门领导汇报沟通，获取所需的授权 * 在详细设计阶段审阅和提出网络、硬件、操作系统和数据库等方面的配置和容量要求 **变更和发布管理流程** 1. 需求部门提出需求，并确认《用户需求说明书》 2. 科技信息部安全科在需求阶段审阅和提出IT风险控制、IT合规和IT稽核方面的要求 3. 科技信息部运行维护中心负责受理所有变更和发布需求，并会同IT其他相关部门对变更和发布需求进行评估 4. 在详细设计阶段，科技信息部运行维护中心审阅和提出网络、硬件、操作系统和数据库等方面的配置和容量要求 5. 在项目实施后，科技信息部安全科对有关IT风险控制、IT合规和IT稽核要求的实施效果进行审阅 **结论** 本管理办法旨在规范信息系统变更和发布管理，确保变更需求的受理符合业务的优先需要，并使变更和发布过程规范化，控制变更对银行业务和已投产系统安全运行的不利影响。