資訊系統變更和發布管理辦法

2021-03-04 07:47:57 字數 5189 閱讀 9731

第一條目的:本管理辦法規定了xx銀行(以下簡稱「我行」)資訊系統的變更和發布管理,變更和發布管理作業操作流程和控制要點,確保變更需求的受理符合業務的優先需要,並使變更和發布過程規範化,控制變更對銀行業務和已投產系統安全執行的不利影響。達到降低資訊系統變更和發布風險的目的。

保障資訊系統的安全穩定執行,特制定本管理辦法。

第二條依據:本管理辦法根據《xx銀行資訊保安管理策略》制訂。

第三條範圍:本管理辦法適用於我行資訊系統變更和發布管理。

第四條定義

(一) 軟體產品:泛指資訊科技開發的生產業務系統和管理資訊系統等應用軟體專案。

(二) 生產業務系統:指我行從事金融服務的應用網路系統,包括綜合業務系統、國際業務系統、支付系統等銀行對外營業的各種核心業務系統。

(三) 管理資訊系統:指我行資訊管理的計算機網路系統,具體指oa辦公系統、信貸管理、報表系統等用來進行內部管理的應用軟體系統。

(四) 業務部門:指我行總部相關業務部門。

第五條遵循原則

(五) 監督制約原則:針對資訊系統變更和發布管理工作中各個環節,建立相應的監督檢查機制。

(六) 計畫性原則:資訊系統發布應納入每年計算機應用計畫,確保全行計算機系統資源、應用環境、維護力量、操作技能能滿足系統安全、可靠執行的要求。

(七) 可行性原則:具有普遍適用性和可操作性。

(八) 風險控制原則:

若為新專案或新業務功能變更和發布,需進行以下風險分析:

1. 備份機建設情況;

2. 應用系統投產後的集中監控方案;

3. 生產資料備份方案;

4. 程式及系統備份方案;

5. 資料庫建庫/建表/建索引方式等;

6. 對其他系統的影響。

第六條職責劃分

(一) 需求部門:

1. 提出需求,並確認《使用者需求說明書》;

2. 使用者測試階段確認使用者測試計畫、記錄使用者測試問題、確認使用者測試報告;

3. 接受使用者培訓並提出反饋。

(二) 科技資訊部安全科:

1. 在需求階段審閱和提出it風險控制、it合規和it審核方面的要求,在專案開發階段對有關it風險控制、it合規和it審核方面的測試結果進行審閱;

2. 在專案實施後審閱階段對有關it風險控制、it合規和it審核要求的實施效果進行審閱。

(三) 科技資訊部執行維護中心:

1. 負責受理所有變更和發布需求,會同it其他相關部門(it軟體開發中心、安全科等)對變更和發布需求進行評估,並將評估意見向it部門領導、業務部門領導匯報溝通,獲取所需的授權;

2. 在詳細設計階段審閱和提出網路、硬體、作業系統和資料庫等方面的配置和容量要求;

3. 在設計與程式設計階段提供網路、硬體、作業系統和資料庫的引數配置;

4. 在測試階段配合專案組設立網路、硬體、作業系統和資料庫環境;

5. 配合專案組對系統進行聯合測試,把資訊系統版本軟體、相關配置檔案、標準資料和相關文件提供給測試評估中心;

6. 將資訊系統發布到使用部門,系統上線時會同專案組搭建生產系統並進行程式移植,組織定期對變更和發布效果進行分析和總結。

7. 接收管理和備份軟體開發中心提供的源程式、相關標準資料、配置檔案、相關文件;

(四) 科技資訊部軟體開發中心:

1. 負責設計、程式設計、糾錯和開發質量控制,編制《系統設計規格書》;

2. 落實專案管理制度和業務操作手冊的編制工作,參加制定上線方案制定,編制《上線實施計畫》;

3. 負責系統切換上線的技術支援工作;

4. 負責專案驗收資料整理彙總,配合專案驗收工作。

(五) 科技資訊部測試評估中心:

1. 負責對需要測試評估的軟體進行分析測試;

2. 負責提交測試分析報告。

第七條資訊系統變更,指由於新增資訊系統功能、系統邏輯改變、系統錯誤修正、系統補丁安裝及版本更新、系統配置修改及業務引數修改等原因,而對已投產系統進行區域性改變的一切活動。已投產系統變更需求主要**於以下幾種情況:

(一) 由於業務快速發展,業務部門對現有已投產系統的功能或設定進行變更或通過新增功能來滿足需求;

(二) 使用者在使用過程中發生的一些操作錯誤,或技術人員、監控管理軟體自動發現的故障或事件,需要通過安裝程式補丁或修改配置等操作進行修改;

(三) 廠商定期發布的系統補丁,涉及系統的功能、效能、安全漏洞,需要在已投產系統中進行安裝;

(四) 由於系統容量擴充或與已投產系統存在資料交換或資料共享的其他已投產系統發生變化後引發的已投產系統變更。

第八條資訊系統變更的提出,必須由申請部門(使用者部門或it部門)填寫《已投產系統變更流程單》(附件1)第一部分,申請資訊。在申請資訊填寫階段的主要工作內容包括:

(一) 申請人需選擇變更型別;

(二) 描述變更內容和目的;

(三) 是否存在其他措施滿足變更需求;

(四) 如不實施變更可能對客戶、合規、外部利益相關方、內部管理和操作、安全控制、系統可用性和資料準確性的影響;

(五) 選擇變更的急迫性。

第九條申請部門主管審批簽字後提交it執行維護中心進行處理。

第一十條 it執行維護中心收到變更申請後,和變更申請部門充分溝通,理解變更需求的合理性,審閱變更的影響和急迫性,並會同it其他相關部門(it軟體開發中心、安全科等)對可行的變更實施方案和變更對已投產系統的影響做出評估,最終形成建議的變更日期,填寫至《已投產系統變更流程單》第二部分,變更需求評估資訊,交it執行維護中心負責人進行審批。

第一十一條 it執行維護中心組織變更需求評估時,應充分考慮系統是否已存在滿足變更需求的功能或設定;是否存在其他操作手段,能達到同樣的變更需求效果。

第一十二條 it執行維護中心組織變更需求評估時,了解實施變更:

(一) 是否需要進行it開發,以及it開發的工時;

(二) 是否需要進行作業系統、資料庫系統、中介軟體、硬體和網路的變更;

(三) 是否需要進行後台資料變更;

(四) 是否存在資訊保安控制的考慮因素;

(五) 結合it部門現有的it資源,統籌安排變更實施時間表;

(六) 實施相關變更時,可能導致的業務中斷或客戶服務水平下降。

第一十三條綜合對變更需求合理性的評估和變更實施影響的評估,it執行維護中心在《已投產系統變更流程單》的第二部分提出變更的建議日期,並進行資源協調。在it執行維護中心負責人進行審批後,通知相關部門:

(一) 如不建議實施變更,則向變更申請部門說明理由;

(二) 如建議實施變更,則告知建議變更的時間及對客戶服務和內部操作的影響,要求變更申請部門和相關部門進行準備;

(三) 如變更規模超過《xx銀行it專案管理指引》規定的專案受理標準,則依據該指引有關規定執行。

第一十四條對涉及軟體開發的需求變更,參照《xx銀行it開發方法指引》的要求執行。

第一十五條對不涉及軟體開發的需求變更,it執行維護中心根據需要,提交it測試評估中心相關人員負責制定變更的測試步驟,落實測試人員在測試環境中對變更進行測試,測試人員對測試結果進行記錄並簽字確認。

第一十六條資訊保安人員對變更進行上線前審閱,確保系統變更過程中的系統安全。資訊保安人員完成上線前審閱後, it執行維護中心進行上線處理。資訊保安人員根據變更的風險程度,進行上線後審閱,確保達到變更目標。

第一十七條為控制已投產系統的變更對客戶服務和業務操作帶來的影響,確保生產環境的完整性和可靠性,it部門應制定一系列控制it變更的策略和制度,嚴格控制變更的規模、涉及面及資訊保安風險。包括:

(一) it執行維護中心負責人每週對集中的變更工作計畫進行審閱,確保充分有效的it技術資源或系統**商/開發商技術資源,保證變更的有序進行;

(二) 除非是需要立即實施的特急變更,it執行維護中心應選擇非業務繁忙時間,如凌晨、週末或公眾假期進行變更上線;

(三) it執行維護中心進行周密計畫,包括制定意外應急措施;

(四) 分離已投產系統與開發或測試系統的管理職責;

(五) 保證已投產系統和開發或者測試系統相分離,禁止開發人員在未經授權的情況下進入已投產系統;

(六) 只有在得到管理層批准執行緊急修復任務時,開發人員才能訪問已投產系統,所有的緊急修復活動都應立即進行記錄和審核;

(七) 開發人員對已投產系統進行變更必須經過嚴格的審批和控制;開發人員訪問已投產系統時必須由it執行維護中心系統管理員對其訪問進行監督和記錄,並在訪問結束後系統管理員及時禁用或刪除開發人員在已投產系統中使用的賬號;

(八) 對已投產系統進行變更必須經過嚴格的授權之後才能進行操作實施,操作實施過程必須受到嚴格監控。

第一十八條變更實施上線前需進行使用者測試,並在變更上線後由變更申請部門負責人對變更進行簽字確認。

第一十九條對於上線過程可能導致業務暫時中斷或導致業務操作發生重大變化的it變更,it執行維護中心必須在上線前以書面方式告知相關業務部門(至少包括行長辦公室和客戶服務中心)影響的業務範圍和時間,並提供相關技術支援。

第二十條 it變更上線執行的工作內容和相關要求參照《xx銀行it開發方法指引》中對上線的要求和描述。

第二十一條變更計畫與步驟、回退計畫與步驟、it測試步驟與結果、資訊保安審閱意見、使用者測試確認等變更實施資訊記錄在《已投產系統變更流程單》第三部分,變更計畫和測試接受資訊。 it執行維護中心負責人負責對變更實施資訊進行審閱。

第二十二條急變更是指在某些緊急情況下,對已投產系統需要在沒有完整的系統測試,或無法完成正式審批流程的情況下進行的變更。如:因系統缺陷需要對已投產系統進行立即修補,或突發的監管要求對已投產系統進行緊急變更(如利率的緊急調整)。

第二十三條緊急變更應由變更申請部門相關負責人提出,獲得it執行維護中心負責人的審批或者授權方可進行。可以接受的審批方式或者授權是it執行維護中心負責人的口頭授權或郵件授權等,並在緊急變更實施之後,補足相應的《已投產系統變更流程單》並由相關負責人員簽字,進行備案。

第二十四條在緊急變更實施前,須進行測試。緊急變更前未能實現測試的,須事後補足相應的測試及測試文件,並由相關測試人員簽字。

第二十五條緊急變更應記錄日誌,由it執行維護中心和變更申請部門共同審核和簽字確認,並進行程式和資料備份,以便必要時可以恢復到原來的程式版本和資料版本。

第二十六條變更實施後,it執行維護中心組織it其他相關部門(it軟體開發中心、安全科等)對變更實施的結果進行定期集中評估,主要應從以下幾個方面對變更實施的情況進行總結:

(一) 變更是否達到預期目標;

(二) 變更是否存在負面影響;

(三) 一段時期內實施的變更數量(包括總量以及按變更型別分類的數量);

(四) 變更以及變更請求的理由清單和型別分析、以及未來控制變更數量的跟進措施;

(五) 變更回退的數量及其原因。

第二十七條 《已投產系統變更流程單》填寫完整後由it執行維護中心進行整理,並由it部門負責人安排人員進行定期審閱,最終交it綜合科歸檔。

第二十八條上線受理

資訊系統變更和發布管理辦法

第一條目的 本管理辦法規定了公司資訊系統的變更和發布管理,變更和發布管理作業操作流程和控制要點,確保變更需求的受理符合業務的優先需要,並使變更和發布過程規範化,控制變更對銀行業務和已投產系統安全執行的不利影響。達到降低資訊系統變更和發布風險的目的。保障資訊系統的安全穩定執行,特制定本管理辦法。第二條...

資訊系統變更 發布 配置管理記錄

第一條為規範資訊系統變更 發布 配置與維護管理,提高軟體管理水平,優化軟體變更與維護管理流程,特制定本制度。第二條資訊系統變更 發布 配置工作可分為下面三類型別 功能完善維護 系統缺陷修改 統計報表生成。功能完善維護指根據業務部門的需求,對資訊系統進行的功能完善性或適應性維護 系統缺陷修改指對一些系...

資訊系統變更及發布管理制度

第一章總則 第一條為規範軟體變更與維護管理,提高軟體管理水平,優化軟體變更與維護管理流程,特制定本制度。第二條本制度適用於應用系統已開發或採購完畢並正式上線 且由軟體開發組織移交給應用管理組織之後,所發生的生產應用系統 以下簡稱應用系統 執行支援及系統變更工作。第二章變更流程 第三條系統變更工作可分...