ISO27001变更管理控制程序

ISO27001变更管理控制程序

1 目的

为减少由变更所造成的问题对核心系统及其它基础环境的影响，将由变更所可能导致的服务中断对业务的影响降至最低，特制订本程序。

2 范围

本程序适用于IT基础架构、环境、系统、应用、人员等变更的管理。

3 相关文件 4 职责

4.1 变更需求部门人员负责提出变更请求，需求部门主管审批变更请求；

4.2网管人员（服务台负责人）及接到用户变更请求的系统管理员负责变更过程的策划，并提交相关领导审批；

4.3 信息科技部总经理负责重大变更的审批。 4.4 各系统负责人负责具体变更活动的实施。

5 程序

5.1 变更的范围

在本程序中对变更的定义为：可能影响到银行IT基础环境的一种物理或流程的改变，一般情况下，变更仅仅在必须的情况下才进行实施。

a) 解决IT环境现有或未来存在的问题 b) 为满足业务需求提供新的或修改的功能

本流程仅仅包括IT基础环境或与基础环境相连的系统，本变更管理流程也由此些内容组成：

a) 针对物理设备的变更 (e.g. 服务器，客户端，网络布线，网络设备，硬盘，路由器等)

b) 针对通讯和协议方面的变更(e.g. IP地址，相关变量设置等)

c) 针对操作系统的变更，包括网络操作系统 (e.g. 安装，版本控制，系统设置等)

d) 应用开发上线前的变更

e) 任何由外部单位（如IBM）实施的可能会影响到银行IT基础环境的变更必须严格按照变更管理流程来执行。

5.2 变更分类

根据变更的重要性及变更的类别对变更进行分类。 a) 变更的重要性:与变更的紧急程度有关

b) 变更的类别:与变更对成品环境带来的影响和风险有关

5.2.1 变更的严重等级

5.2.2 变更类别

变更的类别是由如下两个方面来判断:

a) 影响: 变更对业务的影响 ，如服务的可用性 b) 风险: 变更的技术复杂性

下表显示了与这些参数相关的变更的分类：

影响评估

IT变更影响被划分成高，中，低3个类别，变更失败对业务产生的影响是衡量影响的关键因素：

本文来源：https://www.bwwdw.com/article/fafm.html