南京特殊教育师范学院信息安全管理体系文档

系统变更安全管理办法

（初稿V1.0）

南京特殊教育师范学院

编制说明

随着南京特殊教育师范学院各信息系统功能与规模的日益完善与扩大，为加强信息安全管理能力，提高信息系统安全服务水平，保障南京特殊教育师范学院各信息系统的安全运转，特制定南京特殊教育师范学院信息安全管理体系规范文档。

南京特殊教育师范学院信息安全管理体系文档主要依据ISO/IEC27001:2005《信息系统安全管理规范指南》、GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》、GB/T22240-2008《信息安全技术信息系统安全等级保护定级指南》和《教育行政部门及高等院校信息系统安全等级保护定级指南》，同时参考了国际和国内的其它信息安全标准，以及国家相关法律法规，并结合南京特殊教育师范学院的实际情况制定。

最终目标是建设完善南京特殊教育师范学院的信息安全管理体系，是南京特殊教育师范学院对信息系统及第三方供应商进行信息安全管理的重要依据，各相关单位必须结合具体情况将信息安全管理落实到实际的工作中。

南京特殊教育师范学院信息安全管理委员会负责对本规范进行解释和修改。

本规范自公布之日起实施。

第1条总则

1. 南京特殊教育师范学院系统变更管理规定制定的目的是为了指导在开发和生产过程中的系统变更过程，保证所有的系统变更过程都被批准、正确执行并不会影响安全，保证不会对业务功能造成负面影响。

2. 本管理规定适用于南京特殊教育师范学院所有的业务应用系统的变更控制，涉及系统的规划设计、开发测试、运行维护各个方面，变更对象涉及硬件、软件、应用系统、数据库等。

第2条系统变更过程

3. 由于软件缺陷以及用户需求变化的原因，信息系统的变更是不可避免的。系统变更可能由于以下原因引起：

• 新的应用开发

• 对现有系统增加新的功能

• 变更、修改或者升级现有的系统

4. 在系统规划和开发阶段应做好系统变更的准备：明确如何处理变更需求，变更入口点、变更控制。

5. 系统变更必需被授权、测试和记录。发生变更的系统可能需要重新进行风险评估，评价其对业务功能和安全性能的影响，

6. 变更控制过程的一般步骤：

1. 提出正式变更请求

2. 评估变更请求

3. 提交变更请求要求批准

4. 变更开发和测试

5. 变更执行和记录

第3条变更申请和批准

7. 由于系统软件重大缺陷或者重要的需求变化，可以由业务管理部门向信息中心部门提出系统变更申请。

8. 业务管理部门填写《系统变更申请单》，需要定义变更的类型和紧急程度，明确变更的内容和原因，并对由于系统变更造成对业务功能以及安全性的影响进行初步评价。

9. 信息中心和安全管理部门负责对系统变更需求进行必要性、可行性、成本和影响方面的评价。

10. 信息中心部门最终批准系统变更需求并授权。

第4条变更开发和测试

11. 信息中心部门组织系统变更详细需求的定义和编写。

12. 开发团队按照变更详细需求进行变更开发并制定系统变更执行方案，并执行内部测试。

13. 业务运行维护部门组织和执行外部测试。测试环境需要与业务运行环境分开。

14. 测试中发现的问题提交开发部门进行修正。

15. 业务规划部门批准并发布最终的开发结果和系统变更执行方案。

第5条变更执行

16. 业务运行维护部门按照既定的系统变更执行方案，执行系统变更。

17. 系统变更执行以对业务影响最小为原则，执行过程中需要采取错开业务高峰时间，或数据备份。

18. 要求整个对系统变更过程进行详细记录，包括从变更需求的提出，到变更开发、变更测试、变更执行的整个过程。

第6条审计和执行

19. 信息中心和安全管理部门应当对信息系统变更管理过程进行有效监督和管理，对违反管理规定的行为要及时指正，对严重违反者要立即上报。

20. 安全审计小组应当对定期/部定期对所有的信息系统变更过程进行审计，对违反管理规定的情况要通报批评；对严重违反规定，可能或者己经造成重大损失的情况要立即汇报学校最高领导。

第7条附件

21. 系统变更申请单

22. 系统变更评估报告

23. 系统变更记录