中国海洋石油总公司SAP系统变更管理细则

信息化管理-IT-02-09-04中国海洋石油总公司SAP系统变更管理细则中国海洋石油总公司第1页共13页体系名称信息化管理编码IT-02-09-04版本号2010-1中国海洋石油总公司SAP系统变更管理细则公司名称中国海洋石油总公司批准人[XXXX]职务[XXXX]批准依据发布范围普发发布文号海油总风险办﹝20XX﹞号发布日期20XX年XX月XX日生效日期20XX年XX月XX日1目的加强SAP系统变更管理，规范变更操作流程，最大限度降低变更对SAP系统带来的负面影响,确保使用规范的方法和过程实现快速、有效的变更过程，减少变更带来的突发事件，促进日常工作的正常进行，提高SAP系统的高可用性、高可靠性及合规性。2适用范围总公司及所属单位。3编制依据《中国海洋石油总公司ERP系统维护管理办法》，IT-02-09，2010，总公司。4释义4.1SAP系统变更指对于SAP系统中某对象所进行的非开发性质的修改。变更管理是对变更从提出、审议、批准到实施、监控完成、评估分析的整个过程的管理。对于SAP系统功能配置及应用补丁、IT基础架构及系统补丁、相关文档修改都应该有变更管理规范和记录。SAP系统变更主要分为三类：标准变更、紧急变更和重大变更。具体定义如表1：SAP系统变更类型。表1SAP系统变更类型变更类型描述信息化管理-IT-02-09-04中国海洋石油总公司SAP系统变更管理细则中国海洋石油总公司第2页共13页标准变更是指仅对SAP信息环境和公司业务产生较小影响的变更部署，其变更复杂程度较低、所需资源较少、部署风险较小、对公司业务改变较小，一般会对单项功能、单一模块、个别业务部门单元或用户产生影响，且事先都已定义好变更步骤及审批流程，发生变更时严格按照已定义的流程进行变更。具体包括：系统功能配置、SAP应用补丁配置补丁更新、一般硬件配置的变更、日常系统软件升级等。重大变更重大变更是指会对信息环境和公司业务产生严重影响的变更部署，其变更复杂程度较高、所需资源较多、部署风险较大、对公司业务改变较大，一般会对多项功能、多个模块、多个系统、多项业务、多个业务部门单元或用户产生影响。具体包括：新系统开发上线、基础构架的重大调整和维修等。对于这类变更，遵循重大变更管理流程，在变更审批后，考虑是否按项目管理形式进行相关实施变更操作。紧急变更SAP系统或应用程序出现的突发事件，需要在短时间内立即执行的变更，如不执行会造成重大业务影响的变更。4.2SAP系统功能配置变更指上线二级单位（包括集团本部，下同）日常运维支持期间提出的业务功能变更需求，须有变更管理文档记录。5职责分工5.1变更需求提出方a)变更需求发起和确认，识别业务需要，提交变更请求；b)提交变更请求表格,把需求转化为一个可执行的、有清晰目标的变更请求，设定变更初始状态的优先级；c)参与变更的用户接受测试，配合其他系统测试。5.2业务/技术审核方a)审核变更需求提出人递交的变更申请的业务合理性；b)审核SAP系统变更实施方提交的技术解决方案或评估报告。5.3信息技术负责人a)审核变更需求提出人递交的变更申请的技术合理性；b)负责审批PRD传输请求。信息化管理-IT-02-09-04中国海洋石油总公司SAP系统变更管理细则中国海洋石油总公司第3页共13页5.4变更委员会（CAB）a)负责重大变更的风险分析和资源评估；b)对涉及全局配置或关键业务功能变更方案进行审核；c)讨论及审批是否按项目管理实施操作。5.5SAP系统变更实施方a)从技术或业务层面对变更的可行性和操作性进行评估，出具变更方案或评估报告；b)负责执行变更；c)在实施后监控变更，确保变更实施成功。5.6变更传输方按照《SAP系统传输管理细则》进行变更的传输工作。6工作内容与程序6.1SAP系统变更管理的原则a)SAP系统变更遵循业务驱动和技术驱动原则，每项涉及SAP系统变更的要求要有明确的业务需求和技术需求单位；b)依据变更所引起的影响和范围，变更需求提出及实施必须遵守相应的审批流程，并以书面或线上形式报信息技术责任人审批、记录并存档，重大变更应经过变更委员会（CAB）确认才可实施；c)在执行变更过程中严格遵守职责分离进行实施，保证变更中下列活动由相互独立的人员执行，包括变更申请、风险评估与审核相分离、变更方案审批确认与变更监控相分离，以及变更执行与传输相分离；d)对于业务变更需求复杂，涉及全局配置或涉及多个功能模块，可能对多家已上线单位业务产生影响，或预计实施周期超过一个月以上的，由变更委员会决策是否转为单独的CBI项目，在已上线单位的主导下成立专门的项目实施小组，提出技术解决方案。6.2SAP系统相关IT基础架构变更SAP相关的IT基础架构的变更主要指变更需求提出人提出的单纯IT系统变更需求和为保证SAP系统安全、可靠所进行的硬件更新维护，以及操作系统和数据库的配置变更和涉及SAP系统相关的各项补丁程序。变更范围主要包括以信息化管理-IT-02-09-04中国海洋石油总公司SAP系统变更管理细则中国海洋石油总公司第4页共13页下几类：a)SAP系统架构，包括SAP架构、相关架构文档以及系统安全参数配置；b)SAP硬件基础设施，包括系统硬件设施、服务器设备等；c)SAP系统相关补丁，包括硬件微码、操作系统AIX补丁、数据库补丁。6.3SAP系统补丁变更6.3.1SAP系统补丁变更种类a)硬件微码：IBM公司提供硬件微码修复程序；b)操作系统补丁：IBM公司对于AIX软件存在的问题提供的补丁程序；c)数据库补丁：SAP公司针对系统数据库定期更新补丁程序；d)SAP补丁：SAP公司针对SAP系统的补丁。6.3.2SAP系统补丁变更管理6.3.2.1SAP系统补丁变更总体策略SAP系统补丁变更总体策略，是通过系统管理员定期检查和获取SAP系统补丁情况，在保守的策略基础上更新系统补丁，来保证系统处于安全稳定的运行状态。在变更中要制定完善的变更计划、方案及跟踪记录，包括测试、备份、回退跟踪方案，严格按照流程进行操作，遵循变更需求申请及变更实施的审批需经信息技术责任人审批的原则，重大变更要经过变更委员会（CAB）审核确认后实施，并对整个变更过程进行有效监控。6.3.2.2硬件微码变更管理采用保守的策略，进行硬件微码管理。即：除非IBM公司强制升级ECA或是对于微码修复问题的严重性等级为HIPER的补丁，以及微码所修复问题涉及到严重系统安全方面，考虑尽快升级安装否则不进行硬件微码升级，以确保系统最大程度的处于安全运行状态。6.3.2.3操作系统补丁管理采用保守的策略，进行操作系统补丁管理。a)除非IBM公司强烈建议升级操作系统补丁，否则不进操作系统补丁升级，以确保系统最大程度的处于安全运行状态；b)当数据库版本和SAP应用版本对操作系统补丁和版本有更新时，执行操作系统补丁和版本升级的变更管理采取优先考虑涉及到Security类型信息化管理-IT-02-09-04中国海洋石油总公司SAP系统变更管理细则中国海洋石油总公司第5页共13页的补丁策略；c)安装补丁时尽量以ServicePack为单位安装，而不是单个补丁，除非为解决某具体已知的安全漏洞或问题；d)安装因升级（硬件或软件）而必须升级的软件修正性程序；e)操作系统的补丁和版本升级应先在单独测试系统中进行充分测试，正确无误后再正式升级开发、测试、生产系统，同时做好操作系统备份和回退计划，以便在操作系统补丁升级失败后按照回退计划执行回退操作。6.3.2.4数据库补丁管理a)系统上线后，如遇数据库严重错误，应该及时根据SAP的官方回复来应用相关的数据库补丁；b)数据库补丁升级前，需对数据库制定备份和回退计划，以便在数据库补丁升级失败后按照回退计划执行回退操作；c)数据库升级应配合SAP系统升级同步进行。6.3.2.5SAP系统补丁管理a)系统上线后，针对业务应用过程中遇到的具体问题，由问题发现人员或应用管理员查找SAP网站，得到官方确认后进行补丁升级(Notes升级)；b)补丁升级需要执行系统变更流程，先在单独测试系统上进行测试，问题得到解决后，再依次在开发系统、测试系统和生产系统中进行补丁升级；c)问题发现人员或应用管理员根据SAP提供的补丁集（hotpackage）和本模块的应用范围和深度，决定是否对本业务模块对应的补丁集进行升级；d)问题发现人员或应用管理员提出升级补丁集的变更申请后，需要将目前补丁集版本与目标补丁集版本的功能差异进行比较，以便充分评估升级后对系统的影响；e)补丁集的升级申请提交后，经变更业务审批人及信息技术责任人审批通过后需要先在回归测试环境中进行，并且组织业务模块相关人员和用户进行充分测试，以便充分确认升级后对系统的影响范围，确定应对措施。准备完毕后，经信息技术责任人审批后可在正式的开发系统、测试系统和生产系统中升级补丁集；信息化管理-IT-02-09-04中国海洋石油总公司SAP系统变更管理细则中国海洋石油总公司第6页共13页f)补丁集升级之前，需要根据具体情况对SAP系统进行备份及回退计划，以保证在升级失败后按回退计划执行回退操作。6.4SAP系统配置变更6.4.1配置变更流程a)变更需求提出方汇总需要进行配置变更的业务需求，并经过本单位领导审批，递交配置变更申请；b)SAP系统配置变更实施方需要与二级单位协同进行解决方案设计或完成需求评估报告并提交业务审核方审批配置变更方案；c)业务审核方审核其是否为重大变更，如为重大变更，须提交变更委员会审核，确定是否按照新项目管理流程执行，并反馈相关用户；d)业务审核方审批通过后，SAP系统变更实施方进行配置变更，执行配置传输管理流程；e)业务审核方如果审批未通过，修改解决方案，或重新评估业务变更需求；f)变更需求提出方组织用户进行各级测试并提交测试文档。6.4.2配置维护策略a)配置对象及相关参数的编码标准和应用标准必须遵照执行《标准编码应用手册》中所规定的要求；b)关系到跨模块应用的配置参数须统一进行设计，参照《中海油SAP系统配置对象总表》,仔细考虑对其他功能模块的影响。当对此类配置参数进行变更时，要与关联模块的指定负责人紧密协同工作，就相关流程和配置内容进行共同设计与确认。6.5SAP系统紧急变更活动紧急变更应遵循标准变更流程执行，取得信息技术责任人授权情况下，执行系统变更或配置操作，变更执行完毕后要按照标准变更流程补齐所有审批文档和记录单据。6.6流程图根据本细则，SAP系统变更管理流程图见附件1；SAP系统配置变更管理流程见附件2。6.7内控活动列表信息化管理-IT-02-09-04中国海洋石油总公司SAP系统变更管理细则中国海洋石油总公司第7页共13页根据本细则，SAP系统变更管理的内控活动列表见附件3；SAP系统配置变更管理的内控活动列表见附件4。7附则本细则由总公司风险管理办公室组织解释。【正文结束】附件1：SAP系统变更管理流程附件2：SAP系统配置变更管理流程附件3：SAP系统变更管理的内控活动列表附件4：SAP系统配置变更管理的内控活动列表信息化管理-IT-02-09-04中国海洋石油总公司SAP系统变更管理细则中国海洋石油总公司第8页共13页附件1SAP系统变更管理流程IT-02-09-04-C01SAP系系系系系系系系系系系系系系系系系系/系系系系系(CAB/EC)系系系系系系系系系系系系系系系系系系系系系系系系系系YNY系系系系系系系系系系系系YNN系系系系系系系系SAP系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系PRD系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系16系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系系PRD系系系系1234567信息化管理-IT-02-09-04中国海洋石油总公司SAP系统变更管理细则中国海洋石油总公司第9页共13页附件2SAP系统配置