ISO27001变更管理控制程序
1 目的
为减少由变更所造成的问题对核心系统及其它基础环境的影响，将由变更所可能导致的服务中断对业务的影响降至最低，特制订本程序。

2 范围
本程序适用于IT基础架构、环境、系统、应用、人员等变更的管理。

3 相关文件
4 职责
4.1 变更需求部门人员负责提出变更请求，需求部门主管审批变更请求；
4.2网管人员（服务台负责人）及接到用户变更请求的系统管理员负责变更过程的策划，并提交相关领导审批；
4.3 信息科技部总经理负责重大变更的审批。

4.4 各系统负责人负责具体变更活动的实施。

5 程序
5.1 变更的范围
在本程序中对变更的定义为：可能影响到银行IT基础环境的一种物理或流程的改变，一般情况下，变更仅仅在必须的情况下才进行实施。

a)解决IT环境现有或未来存在的问题
b)为满足业务需求提供新的或修改的功能
本流程仅仅包括IT基础环境或与基础环境相连的系统，本变更管理流程也由此些内容组成：
a)针对物理设备的变更(e.g. 服务器，客户端，网络布线，网络设备，硬盘，路由器
等)
b)针对通讯和协议方面的变更(e.g. IP地址，相关变量设置等)
c)针对操作系统的变更，包括网络操作系统 (e.g. 安装，版本控制，系统设置等)
d) 应用开发上线前的变更
e) 任何由外部单位（如IBM ）实施的可能会影响到银行IT 基础环境的变更必须严格按
照变更管理流程来执行。

5.2 变更分类
根据变更的重要性及变更的类别对变更进行分类。

a) 变更的重要性:与变更的紧急程度有关
b) 变更的类别:与变更对成品环境带来的影响和风险有关
5.2.1 变更的严重等级 严重等级
说 明 普通变更
根据需求日期和资源配置情况进行划分 重要变更
从业务角度有较高的优先级，不通过普通变更的窗口来执行 紧急变更 多个流程或单一业务受到影响或部分核心系统受到影响
5.2.2 变更类别
变更的类别是由如下两个方面来判断:
a) 影响: 变更对业务的影响 ，如服务的可用性
b) 风险: 变更的技术复杂性
下表显示了与这些参数相关的变更的分类： 影响 > 低 中 高
风险 低 低 低 中
中 低 中 高
高 中 高
高 影响评估
IT 变更影响被划分成高，中，低3个类别，变更失败对业务产生的影响是衡量影响的关键因素：。