第一條 為了有效規(guī)范單位信息系統(tǒng)的變更,降低因信息系統(tǒng)變更帶來的風(fēng)險�����,特制定本規(guī)范�。
第二條 本規(guī)范適用于天津醫(yī)科大學(xué)網(wǎng)絡(luò)安全和信息化辦公室(以下簡稱“網(wǎng)信辦”)系統(tǒng)變更安全管理工作�����。
第三條 本文件的編制引用了以下的文件:
ISO/IEC 27001:2013《信息技術(shù)-安全技術(shù)-信息安全管理體系要求》���;
GB 22080-2008《信息技術(shù)-安全技術(shù)-信息安全管理體系要求》;
GB 22081-2008《信息技術(shù)-安全技術(shù)-信息安全管理實用規(guī)則》��;
ISMS-01-12《通信和操作安全管理辦法》����。
第四條 信息安全管理小組負責(zé)信息系統(tǒng)變更的安全管理�,負責(zé)制定變更的計劃���、實施����、恢復(fù)�,總體評價變更影響,實施安全變更���。
第五條 管理內(nèi)容
(一)變更分類
對重大變更進行編號以方便識別���,編號規(guī)則如下:
變更設(shè)備類型種類為N、S�,其中N代表Network,S代表Server�;變更日期格式為yyyymmdd-流水號,如20150624-01����。則編號的整體形勢為:N(或S)-yyyymmdd-流水號,如:N-20150624-01。
當(dāng)信息系統(tǒng)需要產(chǎn)生變更時�����,先分析其變更原因��,信息類變更主要有以下幾個方面:
1.IT設(shè)備的維修���、升級或更換�����;
2.操作系統(tǒng)的補丁升級或更換�����;
3.應(yīng)用系統(tǒng)的升級或更換;
4.各類操作流程的變更��;
5.數(shù)據(jù)庫變更����;
6.配置信息變更。
網(wǎng)信辦依據(jù)單位實際情況���,制定變更事項的分類��,變更類別分日常��、一般和重大三種類別����。
(二)變更評估
信息安全管理小組確認并制定《重要設(shè)備和重要信息系統(tǒng)變更管理明細表》。
對于非重要設(shè)備和非重要信息系統(tǒng)的變更��,可不做變更影響評價�����。
對于重要設(shè)備和重要信息系統(tǒng)的重大變更��,如:核心交換機�、服務(wù)器軟硬件變更,應(yīng)對變更影響進行評價��。變更實施前��,由信息系統(tǒng)使用部門提出變更內(nèi)容和預(yù)期目的�����,信息安全管理小組進行審核并預(yù)測影響。變更實施后�,由信息安全領(lǐng)導(dǎo)小組對變更的實際影響進行評估。
(三)變更計劃
在明確變更原因和必要的變更影響評價后��,信息安全管理小組負責(zé)對變更進行策劃���,提出變更意見���,以及變更的具體實施方案計劃。
在制訂變更計劃時�����,需要將失敗恢復(fù)措施作為必要措施寫入計劃�,包括變更(所有的變更,包括IT系統(tǒng)的變更��、操作系統(tǒng)軟件�����、應(yīng)用程序軟件和數(shù)據(jù)庫的升級���、補丁或更新等)不成功的恢復(fù)措施。
(四)變更測試
變更測試是對回退計劃、變更實施計劃和變更預(yù)期進行測試��。變更測試應(yīng)在獨立的測試系統(tǒng)上進行����,不可在正式環(huán)境中進行測試。
信息安全管理小組協(xié)同系統(tǒng)使用方人員和系統(tǒng)建設(shè)方人員對于重要設(shè)備和重要信息系統(tǒng)的重大變更要首先進行測試���,避免變更帶來的風(fēng)險�����。
信息安全管理小組對需要測試的變更�,制定應(yīng)急恢復(fù)計劃���。
(五)變更實施
變更實施前����,信息安全管理小組負責(zé)將變更的信息傳達到所有應(yīng)用部門����,變更應(yīng)按批準的計劃和程序進行。
信息安全執(zhí)行小組協(xié)同使用方人員根據(jù)授權(quán)來執(zhí)行操作系統(tǒng)軟件��、應(yīng)用程序軟件和程序庫的升級、補丁或更新����。
信息安全執(zhí)行小組協(xié)同使用方人員在操作系統(tǒng)軟件、應(yīng)用程序軟件和程序庫的升級�����、補丁或更新前�����,應(yīng)進行數(shù)據(jù)備份���,包括數(shù)據(jù)�����、程序和具體配置�。
在變更實施時�,信息安全管理小組需要時刻注意對應(yīng)用系統(tǒng)造成的影響,如影響超出可控范圍��,需停止變更��,并將系統(tǒng)恢復(fù)到變更前的狀態(tài)�����。
(六)變更驗收
變更實施后����,由信息安全領(lǐng)導(dǎo)小組和各部門及用戶對變更的影響做出測試或評估,確保對業(yè)務(wù)連續(xù)性和安全無不利影響�。
信息安全領(lǐng)導(dǎo)小組和系統(tǒng)使用方負責(zé)人對變更共同進行評估,評估內(nèi)容包括:
1.變更是否達到預(yù)期的目標�;
2.用戶是否滿意變更的結(jié)果;
3.變更是否帶來未預(yù)期的副作用�����;
4.變更的費用和工作量是否超過預(yù)期��。
如果變更成功�,則變更結(jié)束。如果變更失敗�����,則重新開始�����。信息安全領(lǐng)導(dǎo)小組和系統(tǒng)使用方負責(zé)人可根據(jù)情況,建議執(zhí)行回退計劃然后重新申請變更����,因為繼續(xù)在失敗的系統(tǒng)中變更常常會引起更多的問題。
變更不成功的恢復(fù)措施:
1.根據(jù)回退計劃�����,取消所做更改�����,如從備份資料中獲得原始軟件資料�,重新運行,恢復(fù)原始狀態(tài)���;
2.根據(jù)更改操作記錄����,查找更改失敗原因��,以便再次做更改操作時避免同樣的錯誤發(fā)生��。
(七)變更后備份要求:
當(dāng)更改完成后���,需將此次所運行的系統(tǒng)���、軟件和數(shù)據(jù)進行備份,包括其相關(guān)資料���,以便下次的再一次更改以及資料查詢����;如果此次更改涉及到一些資料文件�,則這些資料文件也必須做相應(yīng)的更改并存檔。
天津醫(yī)科大學(xué)網(wǎng)絡(luò)安全和信息化辦公室
2021年 9 月 22 日
附件:
重要設(shè)備和重要信息系統(tǒng)變更管理明細表.docx
