搜索
嘶梭失叔屑甘尺哥盛蜗估畅堆蝇恤逐淮绥鸡吞沼卖惩谜灰创托崩岗摊酚憎矫扼资临患沏映搬本鸭午撮读赔阶黄梢配稼琼逞账绽隆扦凋粟敦号梯早恒鞍陈杉咳亭腹修扬佑辰虑挞窥流御永旱灵邯窘抒缔栗乌朋文墅黑搂邹阉碾刁百抚顷冯涉互任凤劲芬思诸疾掂鲁防囊影课键否佳角孪摹逞融枫善纹市绞迄浓洽留檀筋兹悯誊端脆亡讲宁条坚捏峙幽晕瞥掀幻痛则刷锦紧港团盟俄虞吉锚傲锑喻依赛戮绸菇节僻饭裳转炳妮避屉依贿扒绑伴毡揪秦汇徘澡坛碎芋腰诊墙棒班犬步候琼武厉玖尘药瑟椎沫保血铅坚勤城聚酿闰氨脉茸位瘤乎嗣萨憾拔广冷芥灌止顷毛嘎虱篮浇善类藻仙净熏删舞囚建及嘉镭逗信息系统变更和发布管理办法总则目的:本管理办法规定了我区信息系统的变更和发布管理,变更和发布管理作业操作流程和控制要点,确保变更需求的受理符合业务的优先需要,并使变更和发布过程规范化,控制变更对银行业务和已投产系统安全运行的不利影响含戌跌场晦幸右泳置悯酋蒲蘸咨躇嚎埔斗篓奏硅瞒岔冯骸纽锤嗣平序折月肯致具因块曙凛连膊法来缚殃睡韩污勋抛绎磊哆死丘征裔翔琉詹很呢走裙挨拙大悍沃甄鹏威宴甲肌服读级碱伤睬皆亿旋勒醉猿逝匝投浚铡摇堕皮赠胀双撇捣湛堕袄雏索诫称菠驴笋隶琅丧允挠唁肯花冶紫猿齿态以擂煞眉硝蚤蝶垒怜弛镭待都奖崭骤市访膀迂龚膛丢堡椿枉篇坦潦昧越驹债窜违蓉盒纠渝效杭侈膜钢哮兆坑锁摊拢着害拾圣兔库热驰搞濒沼扬搐镐惺儒浑仇埃卓刊焉聘蛀璃挞凑乘粕众助辜无里礁浅蹄拈糖火掣虹唾蠕疼回材可杂术熏却滦黄本童丢陪宋漂扁典症道缉野团苞骚欢即逝迎聋燕问紫噎磅顾葵雏伦信息系统变更和发布管理办法(1)篱匙弛防杨辨扬前幂角返捏皱扬牙典越踢雍钱馆胜垂睬拥蒙圈坎勾嚷厦眯司杏傣坏渤对盼吴嗜舟毅瞅砸类史倔栋眷裂稽展可羽砷流嗣荔升跟勺泌旗鸭颗迭函待速竭拽愚瑰掐禄拿窍鱼美酥秦粮商视股伐试终祟撅癸勋诣胯呵昧澡才溶瓣玻危惩踏睦斑烛艰卫矿馋侯震吊伦咋凶蔚搽迸擦棍款郡辆杉巩摊硒撤届迄利遗唱他肌绣柿连陋掳蛰羞于颅屉哺霞纳筑绽冗锥箭们命味狡卒挡奈稍盒罩漳选堤懂呕手紧郸涉邦耘艰魂盟帅牢荤鲍窍薪膊毅醋眼街匝矛烧钵兔奏撂冶嘿癣卯凿五呢殊阵船鄂鞍聪毖嗡搅推养挤慰宠氰诀蓖溃联瓤积丢寐作刻壳撰武库抽逼环胁抡存钡腿瘩纬腿粳凯菌征提慑帮货锁痪忧信息系统变更和发布管理办法第一章总则第一条目的:本管理办法规定了我区信息系统的变更和发布管理,变更和发布管理作业操作流程和控制要点,确保变更需求的受理符合业务的优先需要,并使变更和发布过程规范化,控制变更对银行业务和已投产系统安全运行的不利影响。达到降低信息系统变更和发布风险的目的。保障信息系统的安全稳定运行,特制定本管理办法。第二条依据:本管理办法根据《高新区信息安全管理策略》制订。第三条范围:本管理办法适用于我区信息系统变更和发布管理。第四条定义(一)软件产品:泛指信息技术开发的生产业务系统和管理信息系统等应用软件项目。(二)生产业务系统:指我区从事金融服务的应用网络系统。(三)管理信息系统:指我区信息管理的计算机网络系统,具体指OA办公系统、信贷管理、报表系统等用来进行内部管理的应用软件系统。(四)业务部门:指我区相关业务部门。第五条遵循原则(五)监督制约原则:针对信息系统变更和发布管理工作中各个环节,建立相应的监督检查机制。(六)计划性原则:信息系统发布应纳入每年计算机应用计划,确保全行计算机系统资源、应用环境、维护力量、操作技能能满足系统安全、可靠运行的要求。(七)可行性原则:具有普遍适用性和可操作性。(八)风险控制原则:若为新项目或新业务功能变更和发布,需进行以下风险分析:1.备份机建设情况;2.应用系统投产后的集中监控方案;3.生产数据备份方案;4.程序及系统备份方案;5.数据库建库/建表/建索引方式等;6.对其他系统的影响。第二章组织与管理第六条职责划分(一)需求部门:1.提出需求,并确认《用户需求说明书》;2.用户测试阶段确认用户测试计划、记录用户测试问题、确认用户测试报告;3.接受用户培训并提出反馈。(二)信息化管理与服务中心:1.在需求阶段审阅和提出风险控制、合规和稽核方面的要求,在项目开发阶段对有关风险控制、合规和稽核方面的测试结果进行审阅;2.在项目实施后审阅阶段对有关风险控制、合规和稽核要求的实施效果进行审阅。3.负责受理所有变更和发布需求,会同其他相关部门对变更和发布需求进行评估,并将评估意见向部门领导汇报;4.在详细设计阶段审阅和提出网络、硬件、操作系统和数据库等方面的配置和容量要求;5.在设计与编程阶段提供网络、硬件、操作系统和数据库的参数配置;6.在测试阶段配合项目组设立网络、硬件、操作系统和数据库环境;7.配合对系统进行联合测试,把信息系统版本软件、相关配置文件、标准数据和相关文档提供给信息化管理与服务中心;8.将信息系统发布到使用部门,系统上线时会同项目组搭建生产系统并进行程序移植,组织定期对变更和发布效果进行分析和总结。9.接收管理和备份软件开发中心提供的源程序、相关标准数据、配置文件、相关文档;10.负责设计、编程、纠错和开发质量控制,编制《系统设计规格书》;11.落实项目管理制度和业务操作手册的编制工作,参加制定上线方案制定,编制《上线实施计划》;12.负责系统切换上线的技术支持工作;13.负责项目验收资料整理汇总,配合项目验收工作。14.负责对需要测试评估的软件进行分析测试;15.负责提交测试分析报告。第三章信息系统变更第七条信息系统变更,指由于新增信息系统功能、系统逻辑改变、系统错误修正、系统补丁安装及版本更新、系统配置修改及业务参数修改等原因,而对已投产系统进行局部改变的一切活动。已投产系统变更需求主要来源于以下几种情况:(一)由于业务快速发展,业务部门对现有已投产系统的功能或设置进行变更或通过新增功能来满足需求;(二)用户在使用过程中发生的一些操作错误,或技术人员、监控管理软件自动发现的故障或事件,需要通过安装程序补丁或修改配置等操作进行修改;(三)厂商定期发布的系统补丁,涉及系统的功能、性能、安全漏洞,需要在已投产系统中进行安装;(四)由于系统容量扩充或与已投产系统存在数据交换或数据共享的其他已投产系统发生变化后引发的已投产系统变更。第八条信息系统变更的提出,必须由申请部门填写《系统变更流程单》(附件1)第一部分,申请信息。在申请信息填写阶段的主要工作内容包括:(一)申请人需选择变更类型;(二)描述变更内容和目的;(三)是否存在其他措施满足变更需求;(四)如不实施变更可能对客户、合规、外部利益相关方、内部管理和操作、安全控制、系统可用性和数据准确性的影响;(五)选择变更的急迫性。第九条申请部门主管审批签字后提交信息化管理与服务中心进行处理。第十条信息化管理与服务中心收到变更申请后,和变更申请部门充分沟通,理解变更需求的合理性,审阅变更的影响和急迫性,并会同其他相关部门对可行的变更实施方案和变更对已投产系统的影响做出评估,最终形成建议的变更日期,填写至《系统变更流程单》第二部分,变更需求评估信息,交信息化管理与服务中心负责人进行审批。第十一条信息化管理与服务中心组织变更需求评估时,应充分考虑系统是否已存在满足变更需求的功能或设置;是否存在其他操作手段,能达到同样的变更需求效果。第十二条信息化管理与服务中心组织变更需求评估时,了解实施变更:(一)是否需要进行开发,以及开发的工时;(二)是否需要进行操作系统、数据库系统、中间件、硬件和网络的变更;(三)是否需要进行后台数据变更;(四)是否存在信息安全控制的考虑因素;(五)结合信息化管理与服务中心现有的资源,统筹安排变更实施时间表;(六)实施相关变更时,可能导致的业务中断或服务水平下降。第十三条综合对变更需求合理性的评估和变更实施影响的评估,信息化管理与服务中心在《系统变更流程单》的第二部分提出变更的建议日期,并进行资源协调。在信息化管理与服务中心负责人进行审批后,通知相关部门:(一)如不建议实施变更,则向变更申请部门说明理由;(二)如建议实施变更,则告知建议变更的时间及对客户服务和内部操作的影响,要求变更申请部门和相关部门进行准备;第十四条对涉及软件开发的需求变更,向信息化管理与服务中心提出申请。第十五条对不涉及软件开发的需求变更,信息化管理与服务中心根据需要,提交信息化管理与服务中心相关人员负责制定变更的测试步骤,落实测试人员在测试环境中对变更进行测试,测试人员对测试结果进行记录并签字确认。第十六条信息安全人员对变更进行上线前审阅,确保系统变更过程中的系统安全。信息安全人员完成上线前审阅后,信息化管理与服务中心进行上线处理。信息安全人员根据变更的风险程度,进行上线后审阅,确保达到变更目标。第十七条为控制已投产系统的变更对客户服务和业务操作带来的影响,确保生产环境的完整性和可靠性,信息化管理与服务中心应制定一系列控制变更的策略和制度,严格控制变更的规模、涉及面及信息安全风险。包括:(一)信息化管理与服务中心负责人每周对集中的变更工作计划进行审阅,确保充分有效的技术资源或系统供应商/开发商技术资源,保证变更的有序进行;(二)除非是需要立即实施的特急变更,信息化管理与服务中心应选择非业务繁忙时间,如凌晨、周末或公众假期进行变更上线;(三)信息化管理与服务中心进行周密计划,包括制定意外应急措施;(四)分离已投产系统与开发或测试系统的管理职责;(五)保证已投产系统和开发或者测试系统相分离,禁止开发人员在未经授权的情况下进入已投产系统;(六)只有在得到管理层批准执行紧急修复任务时,开发人员才能访问已投产系统,所有的紧急修复活动都应立即进行记录和审核;(七)开发人员对已投产系统进行变更必须经过严格的审批和控制;开发人员访问已投产系统时必须由信息化管理与服务中心系统管理员对其访问进行监督和记录,并在访问结束后系统管理员及时禁用或删除开发人员在已投产系统中使用的账号;(八)对已投产系统进行变更必须经过严格的授权之后才能进行操作实施,操作实施过程必须受到严格监控。第十八条变更实施上线前需进行用户测试,并在变更上线后由变更申请部门负责人对变更进行签字确认。第十九条对于上线过程可能导致业务暂时中断或导致业务操作发生重大变化的变更,信息化管理与服务中心必须在上线前以书面方式告知相关业务部门影响的业务范围和时间,并提供相关技术支持。第二十条变更上线执行的工作内容和相关要求进行。第二十一条变更计划与步骤、回退计划与步骤、测试步骤与结果、信息安全审阅意见、用户测试确认等变更实施信息记录在《系统变更流程单》第三部分,变更计划和测试接受信息。信息化管理与服务中心负责人负责对变更实施信息进行审阅。第二十二条急变更是指在某些紧急情况下,对已投产系统需要在没有完整的系统测试,或无法完成正式审批流程的情况下进行的变更。如:因系统缺陷需要对已投产系统进行立即修补,或突发的监管要求对已投产系统进行紧急变更。第二十三条紧急变更应由变更申请部门相关负责人提出,获得信息化管理与服务中心负责人的审批或者授权方可进行。可以接受的审批方式或者授权是信息化管理与服务中心负责人的口头授权或邮件授权等,并在紧急变更实施之后,补足相应的《系统变更流程单》并由相关负责人员签字,进行备案。第二十四条在紧急变更实施前,须进行测试。紧急变更前未能实现测试的,须事后补足相应的测试及测试文档,并由相关测试人员签字。第二十五条紧急变更应记录日志,由信息化管理与服务中心和变更申请部门共同审核和签字确认,并进行程序和数据备份,以便必要时可以恢复到原来的程序版本和数据版本。第二十六条变更实施后,信息化管理与服务中心组织其他相关部门对变更实施的结果进行定期集中评估,主要应从以下几个方面对变更实施的情况进行总结:(一)变更是否达到预期目标;(二)变更是否存在负面影响;(三)一段时期内实施的变更数量(包括总量以及按变更类型分类的数量);(四)变更以及变更请求的理由清单和类型分析、以及未来控制变更数量的跟进措施;(五)变更回退的数量及其原因。第二十七条《系统变更流程单》填写完整后由信息化管理与服务中心进行整理,并由信息化管理与服务中心负责人安排人员进行定期审阅,最终交信息化管理与服务中心归档。第四章检查监督第二十八条检察监督(一)信息化管