1 目的
为对企业内的硬件与软件的变更进行有效控制，确保系统的各项安全要求得到识别并执行，防止未经及不充分的变更所造成的系统故障与业务中断，保证系统安全，te制定本程序。

2 范围
本程序适用于本企业IT设备（包括传输线路)、软件（操作系统及应用系统)等方面的变更控制的管理。

3 职责
3.1 销售部

负责以下方面的IT设备及软件方面的变更管理：

a)   企业内办公用计算机和网络设备及软件；

b)   负责企业内涉密电脑、网络设备等硬件的变更

3.2销售部

负责本部门负责的项目变更。

4 相关文件
《信息安全管理手册》

《变更管理安全策略》

5 程序
5.1 变更分类

a)   IT设备变更：包括系统中涉密电脑、网络设备、传输线路及计算机终端的新增、减少及其设备本身的变化（包括设备的报废）；

b)   操作系统软件变更：包括新安装、补丁、版本升级及更换（如打补丁）；

c)   自行开发软件变更：包括小型业务变更、版本升级；软件生命周期的软件变更。（此类变更遵循CMMI流程中的变更流程规定）

5.2 IT设备变更控制

软件设备（包括传输线路)的变更需求由变更管理部门根据企业业务发展的需要提出，填写资产申请，经流程完成后予以实施。

5.3 操作系统软件变更

当软件厂商发布操作系统或应用软件的更新补丁或版本时，销售部负责分析更新内容对公司现有业务及工作的影响，网管可以先选一台测试机安装新补丁，在未发现对工作业务产生重要fu面影响的前提下，为使用该操作系统或应用软件的用户安装补丁。

5.4 软件的变更控制

软件变更分为项目开发过程中的变更和产品维护阶段的变更。

项目开发过程中的软件变更依照CMMI体系文件流程执行变更。

 

5.5 变更实施的安全要求

在变更实施之前，必要时，将重要的数据、系统软件进行备份，以便变更不成功之后的huifu。

在变更实施之前，必要时，应和相关部门协商，以便确定适当的变更时间，尽可能的将对业务的影响减至低。

5.6 变更验收与记录

当变更成功提交后，需由用户进行验收，确认其是否已完成用户所提的要求，达到预期的效果，并记录此次变更操作。

5.7 设备报废

设备报废应由填写《设施报废记录》得到销售部批准后实施。报废设备中存有秘密信息，必须予以清除并在《设施报废记录》中予以说明

5.8 变更后软件备份要求

当变更完成后，需将此次所运行的软件进行备份，包括其相关资料，以便再一次变更以及资料查询；如果此次变更涉及到一些资料文件，则这些资料文件也必须做相应的变更并存档。

5.9 变更不成功的huifu措施

取消所做变更，从备份资料中获得原始软件资料，重新运行，huifu原始状态。

根据变更操作记录，查找变更失败原因，以便再次做变更操作时避免同样的错误发生。