第一条 为了有效规范单位信息系统的变更,降低因信息系统变更带来的风险,特制定本规范。
第二条 本规范适用于全球正规十大网赌网络安全和信息化办公室(以下简称“网信办”)系统变更安全管理工作。
第三条 本文件的编制引用了以下的文件:
ISO/IEC 27001:2013《信息技术-安全技术-信息安全管理体系要求》;
GB 22080-2008《信息技术-安全技术-信息安全管理体系要求》;
GB 22081-2008《信息技术-安全技术-信息安全管理实用规则》;
ISMS-01-12《通信和操作安全管理办法》。
第四条 信息安全管理小组负责信息系统变更的安全管理,负责制定变更的计划、实施、恢复,总体评价变更影响,实施安全变更。
第五条 管理内容
(一)变更分类
对重大变更进行编号以方便识别,编号规则如下:
变更设备类型种类为N、S,其中N代表Network,S代表Server;变更日期格式为yyyymmdd-流水号,如20150624-01。则编号的整体形势为:N(或S)-yyyymmdd-流水号,如:N-20150624-01。
当信息系统需要产生变更时,先分析其变更原因,信息类变更主要有以下几个方面:
1.IT设备的维修、升级或更换;
2.操作系统的补丁升级或更换;
3.应用系统的升级或更换;
4.各类操作流程的变更;
5.数据库变更;
6.配置信息变更。
网信办依据单位实际情况,制定变更事项的分类,变更类别分日常、一般和重大三种类别。
(二)变更评估
信息安全管理小组确认并制定《重要设备和重要信息系统变更管理明细表》。
对于非重要设备和非重要信息系统的变更,可不做变更影响评价。
对于重要设备和重要信息系统的重大变更,如:核心交换机、服务器软硬件变更,应对变更影响进行评价。变更实施前,由信息系统使用部门提出变更内容和预期目的,信息安全管理小组进行审核并预测影响。变更实施后,由信息安全领导小组对变更的实际影响进行评估。
(三)变更计划
在明确变更原因和必要的变更影响评价后,信息安全管理小组负责对变更进行策划,提出变更意见,以及变更的具体实施方案计划。
在制订变更计划时,需要将失败恢复措施作为必要措施写入计划,包括变更(所有的变更,包括IT系统的变更、操作系统软件、应用程序软件和数据库的升级、补丁或更新等)不成功的恢复措施。
(四)变更测试
变更测试是对回退计划、变更实施计划和变更预期进行测试。变更测试应在独立的测试系统上进行,不可在正式环境中进行测试。
信息安全管理小组协同系统使用方人员和系统建设方人员对于重要设备和重要信息系统的重大变更要首先进行测试,避免变更带来的风险。
信息安全管理小组对需要测试的变更,制定应急恢复计划。
(五)变更实施
变更实施前,信息安全管理小组负责将变更的信息传达到所有应用部门,变更应按批准的计划和程序进行。
信息安全执行小组协同使用方人员根据授权来执行操作系统软件、应用程序软件和程序库的升级、补丁或更新。
信息安全执行小组协同使用方人员在操作系统软件、应用程序软件和程序库的升级、补丁或更新前,应进行数据备份,包括数据、程序和具体配置。
在变更实施时,信息安全管理小组需要时刻注意对应用系统造成的影响,如影响超出可控范围,需停止变更,并将系统恢复到变更前的状态。
(六)变更验收
变更实施后,由信息安全领导小组和各部门及用户对变更的影响做出测试或评估,确保对业务连续性和安全无不利影响。
信息安全领导小组和系统使用方负责人对变更共同进行评估,评估内容包括:
1.变更是否达到预期的目标;
2.用户是否满意变更的结果;
3.变更是否带来未预期的副作用;
4.变更的费用和工作量是否超过预期。
如果变更成功,则变更结束。如果变更失败,则重新开始。信息安全领导小组和系统使用方负责人可根据情况,建议执行回退计划然后重新申请变更,因为继续在失败的系统中变更常常会引起更多的问题。
变更不成功的恢复措施:
1.根据回退计划,取消所做更改,如从备份资料中获得原始软件资料,重新运行,恢复原始状态;
2.根据更改操作记录,查找更改失败原因,以便再次做更改操作时避免同样的错误发生。
(七)变更后备份要求:
当更改完成后,需将此次所运行的系统、软件和数据进行备份,包括其相关资料,以便下次的再一次更改以及资料查询;如果此次更改涉及到一些资料文件,则这些资料文件也必须做相应的更改并存档。
中共全球正规十大网赌委员会网络安全和信息化办公室
2021年 9 月 22 日
附件:重要设备和重要信息系统变更管理明细表.docx