IT变更管理制度
一、目的
规范信息安全方向类的变更行为，降低系统故障风险，保障系统可用性。

二、范围
本制度适用于IT生产环境中涉及到信息安全类的软件、硬件、配置等变更或基于规避信息安全风险原则发起的其它变更。

三、定义
(一)变更分级
根据变更紧急程度将变更分为两类：标准变更和紧急变更。

变更类型及级别定义详见附件1。

(二)变更流程
标准变更管理流程详见附件2，紧急变更管理流程详见附件3。

(三)职责与权限
阐述本制度/流程涉及的部门（角色）职责与权限。

1.变更审批人的职责和权限
对影响较大、风险较高的重要变更进行审批。

2.变更审核人的职责和权限
变更审核人负责审核变更实施方案，决策变更级别，监控、管理变更实施的全过程，并对影响较大、风险较高的重要变更操作，向变更审批人请示。

3.变更申请人职责和权限
撰写变更实施文档，确定变更的影响范围、实施范围和预期结果，以
及变更失败的回退计划。

4.变更实施人的职责和权限
严格按照变更描述文档所述，按时按序执行变更步骤和相应验证步骤，如变更步骤失败则执行回退计划。

在所有变更步骤执行完毕后，变更实施人通知受影响部门和变更审核人。

四、要求
(一)变更准备
1.对于标准变更，必须提前1个工作日提交实施方案，并通知受影
响用户以及关联系统负责人。

对变更进行分级，如遇变更时长超
过1小时的的标准变更，需要发布维护公告。

2.重大变更实施前必须对变更对象相关配置进行备份，并判断是否
需要发布维护公告。

3.变更方案必须经过测试，测试结果需填写在变更申请表中（详见
附件4）。

(二)变更审批
1.所有标准变更必须经过流程审批才能实施。

变更申请人对于有固
定周期、或低影响的标准变更，可将变更计划一次性提交审批。

除非变更计划发生改变，否则后续变更无需再提交申请。

2.变更审核人必须根据变更级别定义对变更进行分级（详见附件
1），对实施方案进行操作可行性审批。

对于重要变更、工作日的
标准变更必须提交变更审批人审批。

3.紧急变更必须由变更审批人批准，实施完毕后需补交审批流程。

(三)变更实施
1.除非特批，关于信息安全类的变更时间需控制在每周四19:00至
次日8:00期间。

2.在变更实施后必须需由相关人员对影响范围内的应用系统进行验
证。

3.变更实施人在变更成功实施后需通知变更审核人，在确认实施成
功后方可结束变更流程。

4.如遇变更失败需执行回退操作时，需获得变更审核人批准。

失败
后需查明原因，并提交相关文案。

五、附录
附件1 变更分类及级别定义
1.变更分类
根据变更的紧急程度将变更类型划分为标准变更和紧急变更，具体定义见下表：
2.变更级别定义
根据变更影响程度对变更进行级别划分，具体定义见下表：
附件2 标准变更管理流程。