一、要求内容
a)应确认系统中要发生的变更,并制定变更方案;
b)应建立变更管理制度,系统发生变更前,向主管领导申请,变更和变更方案经过评审、审批后方可实施变更,并在实施后将变更情况向相关人员通告;
c)应建立变更控制的申报和审批文件化程序,控制系统所有的变更情况,对变更影响进行分析并文档化,记录变更实施过程,并妥善保存所有文档和记录;
d)应建立中止变更并从失败变更中恢复的文件化程序,明确过程控制方法和人员职责,必要时对恢复过程进行演练;
e)应定期检查变更控制的申报和审批程序的执行情况,评估系统现有状况与文档记录的一致性。
二、实施建议
变更管理是企业内部流程建立的一部分,内部变更流程比较容易制定,当变更的范围涉及到多个部门时需要多个部门共同协商,建立变更流程;整个变更的过程都应当是被有效记录并跟踪的,有变更经理负责控制所有的变更事件;可以通过使用应用系统实现变更管理的自动化。
三、常见问题
某些公司缺少足够详细的变更流程,很多日常的变更工作都是依靠员工个人的意识和以往的经验。
四、实施难点
流程设置的是否合理,是变更管理的重要问题,这需要有丰富经验的员工来制定变更流程。
五、测评方法
形式 访谈,检查。 对象 系统运维负责人,系统变更申请书,变更方案,变更管理制度,变更申报和审批程序,变更失败恢复程序文档,变更方案评审记录,变更过程记录文档。
实施
a) 应访谈系统运维负责人,询问是否制定变更方案指导系统执行变更;目前系统发生过哪些变更,变更过程是否文档化并保存,是否修改相关的操作流程(如系统配置发生变更后,相应的操作流程是否修改);
b) 应访谈系统运维负责人,询问重要系统变更前是否根据有关申报和审批程序得到有关领导的批准,由何人批准,对发生的变更情况是否通知了所有相关人员,以何种方式通知,是否按照申报和审批程序定期对系统变更情况进行一致性检查;
c) 应访谈系统运维负责人,询问变更失败后的恢复程序、工作方法和职责是否文档化,恢复过程是否经过演练;
d) 应检查重要系统的变更申请书,查看其是否有主管领导的批准;
e) 应检查系统变更方案,查看其是否对变更类型、变更原因、变更过程、变更前评估等方面进行规定;
f) 应检查变更管理制度,查看其是否覆盖变更前审批、变更过程记录、变更后通报等方面内容;
g) 应检查变更控制的申报、审批程序,查看其是否覆盖所有变更类型、申报流程、审批部门、批准人等方面内容;
h) 应检查变更失败恢复程序,查看其是否规定变更失败后的恢复流程;
i) 应检查是否具有变更方案评审记录和变更过程记录文档。
六、参考资料
ISO17799中对变更管理的实施给出了指导建议: 10.1.2 变更管理 控制: 应控制信息处理设施及系统的变更实施指南: 操作系统和应用软件应有严格的变更管理控制。 特别是,下列条款应予以考虑。
a) 重大变更的标识和记录;
b) 变更的策划和测试;
c) 对这种变更的潜在影响的评估,包括安全影响;
d) 对建议的变更的正式批准程序;
e) 向所有有关人员传递变更细节;
f) 反馈程序,包括从不成功变更和未预料事件中退出和恢复的程序和职责。 正式的管理者职责和程序应到位,以确保对设备、软件或程序的所有变更有令人满意的控制。当该计划变更时,包含所有相关信息的审计日志要予以保留。