文档介绍:精选优质文档-----倾情为你奉上
精选优质文档-----倾情为你奉上
专心---专注---专业
专心---专注---专业
精选优质文档-----倾情为你奉上
专心---专注---专业
信息系统变更管理办法
修订记录
版有必要,风险管理部门可委托外部专家或具备相应资质的外部专业机构进行重要信息系统变更的风险评估工作
重要信息系统变更风险评估报告
(一)信息中心从技术层面对重要信息系统变更风险进行分析和评估,并出具风险评估报告;
(二)风险管理部组织相关管理部门对重要信息系统变更实施过程可能产生的操作风险、法律风险和声誉风险进行评估,并形成最终的风险评估报告。
(三)风险管理部负责向高级管理层提交重大项目的风险评估报告,并取得高层审核结果;对于特别重大项目由董事会风险控制及关联交易委员会向董事会提交重大项目的风险评估报告,并取得董事会审核结果。
针对风险评估中发现的薄弱环节应制定整改方案,明确整改时间。不具备整改条件的应采取风险缓释措施。
第六章 变更控制
一般变更管理流程划分为变更描述、变更评估、变更测试、变更实施、变更跟踪五个主要阶段,风险较大的变更必须制定详细应急和回退方案。
由信息中心统一组织协调信息系统变更工作,每年年初制定并发布本年度重要信息系统变更规则,在变更前应制定实施计划和实施方案,确定实施策略和步骤,明确岗位职责,确保关键岗位职责分离。
信息中心负责建立重要信息系统变更内容评审和审批、授权机制。
内部审计部门对信息系统变更过程中所提交的有关文档资料进行审阅,了解是否具有相应的控制措施,指出存在的风险并提出评价和建议。
为保障信息系统稳定运行,信息中心应按照对业务影响最小原则,采取与风险程度相适应的重要信息系统变更策略。
信息中心应合理避开业务高峰期和敏感时段安排重要信息系统上线,办公室负责提前将重要信息系统变更可能对服务的影响告知客户。
信息中心应建立充分、完整的测试体系,测试结果应经过信息中心和相关业务部门确认
精选优质文档-----倾情为你奉上
精选优质文档-----倾情为你奉上
专心---专注---专业
专心---专注---专业
精选优质文档-----倾情为你奉上
专心---专注---专业
,并形成测试和验收报告,确保系统上线后的正常稳定运行以及系统功能与业务目标的一致性。
信息中心应建立与生产环境相隔离的测试环境,测试环境应模拟生产环境的真实情况。
信息中心应建立完善的版本管理制度,制定严格的审批、控制和操作流程,保存完整的日志记录。拟变更的重要信息系统应保证版本完整、准确、有效,遵从系统开发和运行管理制度规范。
信息中心应加强重要信息系统变更过程中的数据管理与质量控制;测试环境中使用的敏感生产数据应进行脱敏、变形处理;需要历史数据迁移的,应制定详细的数据迁移计划,并提前进行数据迁移测试和数据有效性、兼容性验证,确保迁移后数据的完整性、安全性和可用性。
信息中心和相关业务管理部门应制定重要信息系统变更应急预案,并根据变更回退时间跨度要求制定相应的系统回退和应急处置计划和流程,必要时应实施演练,并在重要信息系统变更实施后及时更新各项相关应急预案。
信息系统变更过程中, 信息中心应严格执行上线实施方案,加强监督与复核,避免操