Sunday, February 12, 2012

ISO27001变更控制程序


ISO27001变更控制程序

 
1目的
为了管理和控制公司的信息系统和软件开发的变更活动,以减少因变更活动对公司的业务影响,保持公司业务的持续性,特制定本程序。
2适用范围
本程序适用于公司的信息系统(公司内部系统、公司外部网站等)的变更(发布信
息的变更、程序的变更等)和软件开发的变更。
3职责与权限
3.1 各部门
a.部门成员
在信息系统(公司内部系统、公司外部网站等)使用过程中发现有功能变更需要时,有义务与责任提出变更申请。
b.部门负责人
①在信息系统(公司内部系统、公司外部网站等)使用过程中发现有功能变更需要时,或者因公司的业务需要进行功能变更时,有义务与责任提出变更申请;
②对部门成员提出的申请进行审核,决定是否有必要提交申请到管理本部。
3.2 管理部门
①在信息系统(公司内部系统、公司外部网站等)使用过程中发现有功能变更需要时,或者因公司的业务需要进行功能变更时,有义务与责任提出变更申请;
②对各部门提交的申请进行审核;
③对变更实施完成形成的成果物验证。
3.3 高层负责人(副总经理/总经理)
①提出变更申请;
②若是公司网站变更,必要时审核变更申请;
③监督变更情况,若是公司网站变更,必要时对变更进行验证。
3.4 技术支持中心
①接收管理本部批准的变更申请,安排人员策划变更实施;
②成果物验证通过后,对成果物进行发布。
③安排专门人员对研发本部完成的变更进行验证。
4 程序和工作流程
4.1 信息系统的变更
4.1.1 变更申请
①各部门成员、各部门的负责人、管理部门、高层负责人(副总经理/总经理)根据公司外部网站的运行效果或者公司的业务需要,提出变更申请,填写《变更申请表》,说明变更原因,变更效果和影响分析,实施方案(包括变更失败的应急措施)等内容;
②申请按照逐级向上层提交的原则进行提交,然后提交到管理本部,公司网站的变更时有必要的话提交到高层负责人(副总经理/总经理)。
4.1.2 申请审批
在按照逐级向上层提交的原则进行提交的过程中,同时进行变更申请的审核,由管理本部进行审批,公司网站变更时必要的话要经高层负责人(副总经理/总经理)审批,确保变更的必要性,评估对业务的影响,决定是否批准变更。
4.1.3 变更实施
细化实施方案,并按照方案对变更项进行测试和变更。实施尽量在非业务时间,减少对公司正常业务的干扰。变更开始时做好系统地备份,要在变更失败时,能顺利切换回原有系统。
4.1.4 变更验证
ⅰ.由技术支持部门对变更实施完成形成的成果物进行验证;
ⅱ.再交给管理部门进行验证;
ⅲ.若是公司网站变更,必要时对变更进行验证;
ⅳ.验证通过则变更通过,验证未通过则重新提交变更方案。
V.验证应包括对输入数据、输出数据、系统内部处理、信息完整性的确认和验证。
4.1.5 变更通知与成果物发布
    变更通过后,信息系统时发布时,将变更信息以邮件的形式及时通知给相关部门、人员。另外,内部系统发布时,要提前将系统发布的时间段发邮件通知给全体社员,以免公司社员在此时间段使用时,得到不可靠的信息。
4.1.6变更记录
对变更项进行变更时,对应的负责人应该把成功的或者不成功的变更以及未预料事件做出记录,形成《信息系统变更记录》,最后归档。
4.1.7信息泄漏防止
变更实施过程中,应严格执行上述程序。相关责任人不得将申请、审批、变更、验证等工作移交他人,任何人未经授权亦不得涉及上述工作内容,防止信息泄露。
4.2 意外变更发生防止措施
4.2.1责任分离
严格执行上述申请与变更实施流程,实现责任和负责相分离,以降低未经许可或无意识的修改造成的变更事故。
4.2.2开发、测试和运行设施隔离
对于测试和运行设施应放置与重点安全区域(如机房),如不能放于重点安全区域的,可以根据项目组的具体情况,由项目负责人同意设立服务器区,并对服务器的访问权限加以限制。防止未经授权的访问和修改。
5相关支持性文档
6相关记录
《变更申请表》
《信息系统变更记录》

No comments:

Post a Comment