信息系统变更管理制度

银行业金融机构重要信息系统投产及变更管理办法第一章总则第一条为加强银行业金融机构重要信息系统投产及变更风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》制定本办法。

第二条在中华人民共和国境内设立的政策性银行、国有商业银行、股份制商业银行、邮政储蓄银行、城市商业银行、农村商业银行、农村合作银行、农村信用社、城市信用社、外商独资银行、中外合资银行适用本办法。

中国银行业监督管理委员会(以下简称中国银监会）监管的其他金融机构参照本办法执行。

第三条本办法所称的重要信息系统是指支撑重要业务，其信息安全和服务质量关系公民、法人和其他组织的权益，或关系社会秩序、公共利益乃至国家安全的信息系统.包括面向客户、涉及账务处理且实时性要求较高的业务处理类、渠道类和涉及客户风险管理等业务的管理类信息系统，以及支撑系统运行的机房和网络等基础设施.第四条本办法所称的重要信息系统投产及变更主要指：（一)重要信息系统投产。

(二）支撑重要信息系统运行的机房和网络基础设施投产。

（三）影响全辖或一个(含）以上分行系统服务、重要业务中断时间3小时（含）以上的重要信息系统以及支持其运行的基础设施变更，包括机房场地迁移、网络及核心业务系统应用架构变更、核心业务系统版本变更等。

（四)其他对银行重要业务运营及重要信息系统的可用性、完整性、安全性具有较大潜在影响的投产及变更。

第二章组织管理第五条银行业金融机构应健全IT治理结构,落实重要信息系统投产及变更管理责任。

第六条银行业金融机构高级管理层应统筹管理重要信息系统建设，听取重大项目投产或变更的风险评估汇报，对风险控制过程进行监督。

第七条银行业金融机构信息科技部门应建立重要信息系统投产及变更管理机制、制度与流程，承担技术管理工作，协调业务、管理部门开展重要信息系统投产及变更工作，保障信息科技资源投入。

第八条银行业金融机构业务、管理部门应配合信息科技部门开展投产及变更工作，开展业务影响分析,制定业务管理办法，组织用户测试，保证业务资源投入。

医院信息系统变更申请及发布制度一、信息系统变更流程因医院业务发展等原因提出新的需求或对原信息系统不足提出更改，必须通过信息系统变更流程来反映需求，流程如下：图1 信息系统变更流程1、根据不同时期和工作实际需要，以及各科室需求，信息系统可进行变更。

调整内容由使用科室的负责人向主管科室提出书面需求，以及添加新功能的建议报告，主管科室审批后，递交信息中心管理人员具体实施。

2、递交信息中心备案。

根据轻重缓急、难易程度与软件公司协商预期完成日期，反馈给需求方。

3、如果变更实现较为简单，信息中心单独完成；如果系统变更复杂，则与软件开发商共同完成信息系统变更。

4、更改后在信息中心备案，安装新程序。

5、使用人员对该次修改是否满意，如果不满意，重新填写反馈表，并注明该功能是否已修改好，是否再次提出意见。

二、优先次序标准1、对系统更新优先次序按下列规则判断，优先次序分为紧急、急和普通：2、所有涉及马上需要修改以便进行日常业务的需求，优先处理；3、对当前没有信息系统的项目，需求科室按原来操作很浪费劳动力，可以优先处理；4、对涉及医疗方面的变更需求，优先处理；5、对大型信息系统变更，按医院总体发展的要求安排;6、如能在一天时间内完成的信息系统变更处理。

三、信息系统变更实施流程以做好全院信息化系统工程工作为目标。

系统变更的基本步骤为：论证、建立模拟系统、需求修正、测试、正式运行。

图2 信息系统变更实施流程1、论证：依据医院或上级规划，对系统变更进行必要性和可行性论证。

对使用科室提出的信息系统变更要求，必须以不破坏全院信息系统为原则，充分考虑与医院信息系统的连接。

2、建立模拟系统：寻找一套较为接近的软件，建立模拟系统，在此系统上进行模拟运行，找出不合理的地方。

3、需求修正：对不合理之处提出改正意见，形成新的需求，写成书面报告，提交给开发公司修改。

4、测试：用真实的数据对整个系统进行测试，把计算机运行结果与手工结果进行比较，对不一致的结果再次以书面的形式提交给开发公司修改，再测试直至正确。

软件变更管理制度一、总则为了规范软件变更的管理流程，提高软件变更的质量和效率，减少软件变更给系统带来的风险和影响，制定本制度。

二、适用范围本制度适用于公司内所有涉及软件开发、维护和管理的部门和人员，包括软件开发人员、测试人员、运维人员、管理人员等。

三、定义1. 软件变更：指软件系统中对现有源代码、配置、文档、数据等进行的修改或添加的操作。

2. 软件变更管理：指对软件变更进行计划、评审、实施、验证和记录的过程。

3. 变更请求：指由项目组织或系统用户提交的对现有软件系统进行修改或添加的请求。

4. 变更评审：指对变更请求进行审查和批准的过程。

5. 变更记录：指对软件变更过程中的相关信息进行记录和归档的文件。

四、变更管理流程1. 变更请求（1）变更请求应包括变更的目的、内容、影响分析、风险评估等相关信息。

（2）变更请求应由提交人员填写并提交给变更管理小组。

2. 变更评审（1）变更管理小组应对变更请求进行评审，并决定是否批准。

（2）评审应包括对变更请求的合理性、风险和影响的评估。

3. 变更计划（1）变更请求得到批准后，变更管理小组应制定变更计划，并确定变更的时间、范围和实施方法。

（2）变更计划应包括变更的目标、过程、角色分工、资源调配等相关信息。

4. 变更实施（1）根据变更计划，由变更责任人进行变更的实施。

（2）在实施过程中，应对变更进行跟踪和监控，并做好相关记录。

5. 变更验证（1）变更实施完成后，进行变更的验证和测试。

（2）验证和测试应包括对变更的功能、性能、稳定性等方面的检查和评估。

6. 变更记录（1）对变更的整个过程进行记录和归档。

（2）记录应包括变更的目的、内容、计划、实施、验证等相关信息。

五、责任和义务1. 软件开发人员应对软件变更的需求进行充分的调研和分析，并制定详细的变更方案。

2. 测试人员应对变更进行全面的测试和验证，确保变更后的软件系统能够符合预期的要求。

3. 运维人员应对软件变更的实施过程进行跟踪和监控，确保变更的安全性和稳定性。

信息系统管理制度一、总则1、为加强公司网络管理，明确岗位职责，规范操作流程，维护网络正常运行，确保计算机信息系统的安全，现根据《____计算机信息系统安全保护条例》、等有关规定，结合本公司实际，特制订本制度；2、计算机信息系统是指由计算机及其相关的和配套的设备、设施(含网络)构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统；3、公司由微机科专门负责本公司范围内的计算机信息系统安全管理工作。

二、网络管理1、遵守国家有关法律、法规，严格执行安全保密制度及公司信息保密协议相关条款，不得利用网络从事危害公司安全、泄露公司____等违法犯罪活动，严格控制和防范计算机病毒的侵入；2、禁止未授权用户或外来计算机接入公司计算机网络及访问、拷贝网络中的资源；3、任何员工不得故意输入、传播计算机病毒和其他有害数据，不得利用非法手段复制、截收、篡改计算机信息系统中的数据；4、计算机各终端用户应保管好自己的用户帐号和____。

严禁随意向他人泄露、借用自己的帐号和____；计算机使用者更应以____天为周期更改____、____长度不少于____位。

三、设备管理1、it设备安全管理实行“谁使用谁负责”的原则(公用设备责任落实到部门)。

严禁擅自移动和装拆各类设备及其他辅助设备；严禁擅自请人维修；严禁擅自调整部门内部计算机信息系统的安排；2、设备硬件或重装操作系统等问题由微机科统一管理。

四、数据管理1、计算机终端用户计算机内的资料涉及公司____的，应该为计算机设定开____码或将文件加密；凡涉及公司____的数据或文件，非工作需要不得以任何形式转移，更不得透露给他人。

离开原工作岗位的员工由所在部门经理负责将其所有工作资料收回并保存；2、工作范围内的重要数据(重要程度由各部门负责人核定)由计算机终端用户定期更新、备份，并提交给所在部门负责人，由部门负责人负责保存；3、计算机终端用户务必将有价值的数据存放在除系统盘(操作系统所在的硬盘分区，一般是c盘)外的盘上。

变更管理制度新版第一章总则第一条为了规范和优化公司的变更管理工作，提高变更管理效率，确保变更管理的科学性和稳定性，制定本制度。

第二条本制度适用于公司内所有的变更管理工作，包括但不限于软件系统、硬件设备、网络设备、信息安全等各方面的变更管理。

第三条变更管理是指对公司内涉及到的各项变更进行规范、评估、审批、执行、监控和回顾的工作，以确保变更能够得到有效地管理和控制，不影响公司的正常运营。

第四条公司全体员工应当遵守本制度的规定，严格执行变更管理工作流程和程序。

第二章变更管理工作流程第五条变更管理工作应当按照以下基本流程进行：申请、评估、审批、执行、监控和回顾。

1. 变更申请：任何单位或个人对公司内的任何变更都需要提交变更申请，包括变更的原因、内容、影响范围等相关信息。

2. 变更评估：由专业的变更评估小组对变更申请进行评估，包括变更的合理性、风险分析、实施计划等。

3. 变更审批：经过评估的变更申请需要由相应的主管部门或领导审批通过后才能进入执行阶段。

4. 变更执行：根据审批结果进行变更的实施工作，并严格按照实施计划进行。

5. 变更监控：对已经执行的变更进行监控，确保变更的执行结果符合预期。

6. 变更回顾：对变更执行结果进行回顾，总结经验教训，为今后的变更管理工作提供参考。

第六条公司应当建立健全的变更管理工作流程和相关制度，确保每个环节都得到严格的执行和监督。

第三章变更管理的责任和义务第七条公司应当设立变更管理委员会，负责变更管理工作的整体规划、协调和监督。

第八条各级主管部门应当负责本部门内的变更管理工作，包括但不限于变更申请、评估、审批、执行、监控和回顾。

第九条特定的变更管理人员应当由公司进行专门培训和授权，具有相应的变更管理技能和经验。

第四章变更管理的控制和监督第十条公司应当建立健全的变更管理信息系统，对所有的变更管理工作进行记录和跟踪。

第十一条变更管理信息系统应当具有权限控制、操作日志、审计功能等特性，确保数据的可靠性和安全性。

中国银监会办公厅关于印发《银行业金融机构重要信息系统投产及变更管理办法》的通知文章属性•【制定机关】中国银行业监督管理委员会(已撤销)•【公布日期】2009.12.29•【文号】银监办发[2009]437号•【施行日期】2009.12.29•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】银行业监督管理正文中国银监会办公厅关于印发《银行业金融机构重要信息系统投产及变更管理办法》的通知（银监办发[2009]437号）各银监局，各政策性银行、国有商业银行、股份制商业银行，邮政储蓄银行，各省级农村信用联社：为加强银行业金融机构重要信息系统投产及变更风险管理，保障银行业金融机构重要信息系统安全稳定运行，现将《银行业金融机构重要信息系统投产及变更管理办法》印发给你们，请遵照执行。

请各银监局将本通知转发至辖内各银行业金融机构。

中国银行业监督管理委员会二00九年十二月二十九日银行业金融机构重要信息系统投产及变更管理办法第一章总则第一条为加强银行业金融机构重要信息系统投产及变更风险管理，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》制定本办法。

第二条在中华人民共和国境内设立的政策性银行、国有商业银行、股份制商业银行、邮政储蓄银行、城市商业银行、农村商业银行、农村合作银行、农村信用社、城市信用社、外商独资银行、中外合资银行适用本办法。

中国银行业监督管理委员会（以下简称中国银监会）监管的其他金融机构参照本办法执行。

第三条本办法所称的重要信息系统是指支撑重要业务，其信息安全和服务质量关系公民、法人和其他组织的权益，或关系社会秩序、公共利益乃至国家安全的信息系统。

包括面向客户、涉及账务处理且实时性要求较高的业务处理类、渠道类和涉及客户风险管理等业务的管理类信息系统，以及支撑系统运行的机房和网络等基础设施。

第四条本办法所称的重要信息系统投产及变更主要指：（一）重要信息系统投产。

（二）支撑重要信息系统运行的机房和网络基础设施投产。

信息系统变更管理办法第一章总则第一条为了对信息系统业务需求和优化请求做出快速响应，同时有效控制变更风险，尽可能减少突发事件和变更失效，特制定本管理办法。

第二条变更管理的基本要求:（一）变更申请必须经过评估，确保变更的合理性；（二）变更必须经过周密的计划，确保变更实施和恢复方案的完整性和准确性；（三）保证变更的透明性和各岗位间的有效沟通；（四）确保变更有明确、完整的记录；（五）变更实施后值班人员应加强观察和监控，确保变更达到预期目的。

第三条本管理办法适用于信息科对信息系统所作的变更。

第二章组织机构与职责第四条为确保**县**医院重要信息系统投产及变更工作的顺利开展，**县**医院建立重要信息系统变更领导小组，负责统筹管理**县**医院重要信息系统的建设,听取重大项目变更的风险评估报告和内容的评审、审批,并对风险控制过程进行监督。

由**县**医院最高领导任组长，由信息科分管领导任副组长，并下设技术组、业务组、评审组、保障组等小组，指定信息科相关人员为组员。

（一）技术组职责为：1、对重要信息系统变更业务影响情况进行分析和评估；2、负责重要信息系统变更的具体技术实施工作。

（二）业务组职责为：1、负责组织制定重要信息系统变更测试方案和业务应急处置方案；2、组织**县**医院各业务部门在重要信息系统变更实施过程中进行业务测试和业务应急处置。

（三）评审组职责为：1、对重要信息系统变更方案进行评审；2、负责对整个实施过程进行监督和审计。

（四）保障组职责为：1、提供重要信息系统变更所需人力、财力和物力等资源保障；2、做好对受影响客户的解释和安抚工作；3、组织对外发布公告，同时负责对相关第三方单位做好函告工作；4、负责做好电力、通讯、公安和消防等相关外部机构的应急协调机制和应急联动机制。

第三章变更分类第五条结合变更要求的迫切程度以及变更操作的规范性考虑，分为三类变更：紧急变更、一般变更和标准变更。

第六条根据不同的变更类型共分为以下四种变更：硬件变更、系统变更、网络变更、测试变更。

信息系统管理制度1. 引言信息系统已经深入到各个行业中，成为企业高效运转的必要组成部分。

但是信息系统管理不当会导致企业信息泄露、数据安全问题、业务操作失误等问题。

因此，有必要建立完善的信息系统管理制度，规范信息系统的管理，保证企业信息安全和高效运转。

2. 制定目的制定信息系统管理制度的目的是：•规范信息系统使用流程，确保信息系统操作符合法规要求。

•确立信息系统各个操作流程，避免信息安全风险和业务处理失误。

•提高信息系统的有效性和安全性，避免数据泄露和业务流程中断。

•保证信息系统的使用合规性，降低不必要的法律风险。

•提高信息技术人员的技术能力和管理水平，持续改进信息系统运营效率。

3. 适用范围本制度适用于企业内所有信息系统的管理和操作。

包括但不限于电脑、服务器、数据库、网络等系统。

4. 主要内容4.1 信息系统管理流程1.系统规划•确立信息系统建设目标。

•确定信息系统版本和规格要求。

•确定信息系统建设进度和预算。

2.系统设计•确定系统的结构和数据设计。

•制定系统开发方案和测试计划。

•编写系统源代码。

3.系统开发•完成系统编写和测试。

•编写系统用户操作手册，为操作提供规范指导。

4.系统运行•确保系统正常运行，避免不必要的业务中断。

•维护系统的稳定性，保证数据的完整性和安全性。

•采用技术手段和管理手段追踪信息系统运作效果，提高运营效率和安全性。

4.2 安全性管理1.应设置严格访问控制机制，根据员工工作职责对信息系统进行权限控制。

2.对于敏感信息，应进行加密处理，保证信息在传输和存储过程中的安全性。

3.对于信息的备份和恢复，应定期进行。

备份数据应保存在保密安全的位置，以避免数据丢失或损坏。

4.应定期进行信息系统及设备的安全审计，及时发现潜在安全问题。

4.3 人员管理1.信息系统管理员应根据系统操作需要具备相应的专业技能和工作经验，经过严格认证方可从事相关工作。

2.员工使用信息系统应遵守相关规定，对于涉及到的敏感信息应签署保密协议。