河南水利与环境职业学院信息系统变更管理操作规程
第一章 总 则
第一条 为规范信息系统变更与维护管理,提高系统管理水平,优化系统变更与维护管理流程,特制定本规程。
第二条 本规程适用于应用系统已开发或采购完毕并正式上线,所发生的生产应用系统(以下简称应用系统)运行支持及系统变更工作。
第二章 变更流程
第三条 系统变更工作可分为下面几种类类型:
(一)功能完善维护。功能完善维护指根据相关业务的需求,对系统进行的功能完善性或适应性维护;
(二)系统缺陷修改。系统缺陷修改指对一些系统功能或使用上的问题所进行的修复,这些问题是由于系统设计和实现上的缺陷而引发的;
(三)安全性维护。安全性维护指对系统中存在的安全性问题或使用的第三方产品安全性问题进行修复;
(四)其它未包括在上述中的描述中的系统变更需求。
第四条 系统变更工作以任务形式由需求方(一般为业务部门)和维护方(一般为信息部门的应用维护组织和软件开发组织,还包括合作厂商)协作完成。系统变更过程类似软件开发,大致可分为四个阶段:任务提交和接受、任务实现、任务验收和程序下发上线。
第五条 需求方会同相关系统管理员提出系统变更需求,需求如涉及关键性或政策性修改,需报办公会研究,经领导批准后方可进行修改。其他一般性修改由系统管理员报信息化管理办公室备案。
第六条 信息化管理办公室根据自行开发、合作开发和外包开发的不同情况组织实现系统变更需求,将需求提交至开发人员、合作开发商或外包开发商,产生变更发布的程序,对信息系统进行变更。
第七条 实现过程应按照软件开发过程规定进行。系统变更过程应遵循软件开发过程相同的正式、统一的编码标准,并经过测试和验收才能下发和上线。
第八条 信息化管理办公室会同业务部门的系统最终用户对系统程序变更进行测试,测试无误后提交业务部门和信息化管理办公室负责人签字确认通过测试和验收。如属于安全性维护,测试后必须再次经过安全性检查,确保安全性问题已解决。
第九条 系统管理员负责对系统变更过程的相关文档进行归档管理。
第三章 紧急变更流程
第十条 业务部门发现系统异常,导致业务处理无法正常进行,必须迅速处理解决,无法解决时,上报问题到信息化管理办公室。对于紧急变更,可以通过电子邮件或传真等书面形式提出申请。
第十三条 信息化管理办公室根据重要性和紧迫性做判断,确定其优先级和影响程度,并进行相应处理。
第十四条 紧急事件变更流程的变更处理同一般问题变更流程,包括分析、设计、实施、测试、验收。
第十五条 紧急变更过程中应使用专设的系统用户账号,由专责部门或人员启动紧急修改变更程序。信息化管理办公室应对紧急变更的处理进行规范的文档记录。
第十六条 在紧急事件处理完成后,必须在一周内补办正式、完整的文档,其中包括问题发现人填写的紧急变更申请、问题发现人所在部门负责人对该申请的审批、系统管理员测试记录(包括签字确认测试结果)。
第四章 系统变更的权限分离
第十七条 系统变更过程中,应采取各种措施保证维护环境程序代码访问权限受到良好控制。这些措施包括:
(一)通过系统用户的授权管理,确保只有特定人员能进行系统维护工作;
(二)如果使用专用程序开发工具,只有授权人员才能使用程序开发工具(通常只有特定开发人员拥有程序开发工具);
(三)通过对源代码的访问控制,限制只有授权人员才能获得源代码以进行系统维护;
(四)在进行自有系统的程序变更时,应建立版本控制办法确保每次在最新的代码基础上进行更改,当多名程序员同时进行更改工作时,能够进行适当协调;
(五)通过对系统日志的审阅,监督系统维护人员在系统中的操作,确认维护工作的授权;
(六)在进行自有系统的程序变更时,应防止源代码在完成测试到正式上线之间的非授权修改。
第十三条 系统变更过程中,采取各种措施保证生产系统应用程序访问权限受到良好控制。这些措施包括:
(一)通过生产环境的访问控制,限制对生产环境的访问;
(二)通过物理隔离的手段,限制对生产环境的访问;
(三)通过逻辑隔离的手段,限制对生产环境的访问;
(四)对授权访问生产环境的人员进行详细记录,使用该记录对生产环境访问权限的检查,确保只有经授权人员才能访问生产环境;
(五)普通用户只能通过前台登录系统,不能通过后台(如使用生产环境操作系统的命令行)进行操作;
(六)信息技术人员不应该拥有前台应用程序的业务操作访问权限,更不应该在前台应用程序中担任实际的业务操作任务;
(七)从技术角度限制开发人员对生产环境中应用程序文件夹的访问权限,只有经过授权的人员对程序拥有读、写和执行的权限;
(八)禁止信息技术人员共享操作系统级别的账号。
第五章 附 则
第十四条 本管理规程由河南水利与环境职业学院信息化管理办公室负责解释和修改。
第十五条 本管理规程自公布之日起施行。