ISO27001变更控制程序.doc

ISO27001变更控制程序1目的为了管理和控制公司的信息系统和软件开发的变更活动，以减少因变更活动对公司的业务影响，保持公司业务的持续性，特制定本程序。2适用范围本程序适用于公司的信息系统（公司内部系统、公司外部网站等）的变更（发布信息的变更、程序的变更等）和软件开发的变更。3职责与权限3.1 各部门 a.部门成员在信息系统（公司内部系统、公司外部网站等）使用过程中发现有功能变更需要时，有义务与责任提出变更申请。b.部门负责人在信息系统（公司内部系统、公司外部网站等）使用过程中发现有功能变更需要时，或者因公司的业务需要进行功能变更时，有义务与责任提出变更申请； 对部门成员提出的申请进行审核，决定是否有必要提交申请到管理本部。3.2 管理部门 在信息系统（公司内部系统、公司外部网站等）使用过程中发现有功能变更需要时，或者因公司的业务需要进行功能变更时，有义务与责任提出变更申请； 对各部门提交的申请进行审核；对变更实施完成形成的成果物验证。3.3 高层负责人（副总经理/总经理）提出变更申请；若是公司网站变更，必要时审核变更申请；监督变更情况，若是公司网站变更，必要时对变更进行验证。3.4 技术支持中心接收管理本部批准的变更申请，安排人员策划变更实施；成果物验证通过后，对成果物进行发布。安排专门人员对研发本部完成的变更进行验证。4 程序和工作流程4.1 信息系统的变更4.1.1 变更申请各部门成员、各部门的负责人、管理部门、高层负责人（副总经理/总经理）根据公司外部网站的运行效果或者公司的业务需要，提出变更申请，填写变更申请表，说明变更原因，变更效果和影响分析，实施方案（包括变更失败的应急措施）等内容；申请按照逐级向上层提交的原则进行提交，然后提交到管理本部，公司网站的变更时有必要的话提交到高层负责人（副总经理/总经理）。4.1.2 申请审批在按照逐级向上层提交的原则进行提交的过程中，同时进行变更申请的审核，由管理本部进行审批，公司网站变更时必要的话要经高层负责人（副总经理/总经理）审批，确保变更的必要性，评估对业务的影响，决定是否批准变更。 4.1.3 变更实施细化实施方案，并按照方案对变更项进行测试和变更。实施尽量在非业务时间，减少对公司正常业务的干扰。变更开始时做好系统地备份，要在变更失败时，能顺利切换回原有系统。4.1.4 变更验证.由技术支持部门对变更实施完成形成的成果物进行验证；.再交给管理部门进行验证；.若是公司网站变更，必要时对变更进行验证；.验证通过则变更通过，验证未通过则重新提交变更方案。V.验证应包括对输入数据、输出数据、系统内部处理、信息完整性的确认和验证。4.1.5 变更通知与成果物发布 变更通过后，信息系统时发布时，将变更信息以邮件的形式及时通知给相关部门、人员。另外，内部系统发布时，要提前将系统发布的时间段发邮件通知给全体社员，以免公司社员在此时间段使用时，得到不可靠的信息。4.1.6变更记录对变更项进行变更时，对应的负责人应该把成功的或者不成功的变更以及未预料事件做出记录，形成信息系统变更记录，最后归档。4.1.7信息泄漏防止变更实施过程中，应严格执行上述程序。相关责任人不得将申请、审批、变更、验证等工作移交他人，任何人未经授权亦不得涉及上述工作内容，防止信息泄露。4.2 意外变更发生防止措施4.2.1责任分离严格执行上述申请与变更实施流程，实现责任和负责相分离，以降低未经许可或无意识的修改造成的变更事故。4.2.2开发、测试和运行设施隔离对于测试和运行设施应放置与重点安全区域（如机房），如不能放于重点安全区域的，可以根据项目组的具体情况，由项目负责人同意设立服务器区，并对服务器的访问权限加以限制。防止未经授权的访问和修改。5相关支持性文档6相关记录 变更申请表 信息系统变更记录ISO27001信息安全管理标准理解及内审员培训 培训热线：0755-25936263、25936264 李小姐客服QQ：1484093445、675978375 ISO27001信息安全管理标准理解及内审员培训 下载报名表 内训调查表 【课程描述】ISO/IEC27001:2005信息技术安全管理体系要求用于组织的信息安全管理体系的建立和实施，保障组织的信息安全。本课程将详述ISO 27001:2005/ISO 27002:2005标准的每一个要求，指导如何管理信息安全风险，并附以大量的审核实战案例以作说明。内部审核部分将以ISO 19011:2002为基础，教授学员如何策划和实施信息安全管理体系内部审核活动。掌握该体系的具体执行程序和标准，并了解对该体系进行检查和审核的方法以及制作审核报告的技巧。 【课程帮助】如果你想对本课程有更深入的了解，请参考 德信诚ISO27001内审员相关资料手册【课程对象】信息安全管理人员，欲将ISO27001导入组织的人员，在ISO27001实施过程中承担内部审核工作的人员，有志于从事IT信息安全管理工作的人员。 【课程大纲】第一部分：ISO27001：2005信息安全概述、标准条款讲解 信息安全概述：信息及信息安全，CIA目标，信息安全需求来源，信息安全管理。 风险评估与管理：风险管理要素，过程，定量与定性风险评估方法，风险消减。 ISO/IEC 27001简介：ISO27001标准发展历史、现状和主要内容，ISO27001标准认证。 信息安全管理实施细则：从十个方面介绍ISO27001的各项控制目标和控制措施。 信息安全管理体系规范：ISO/IEC27001-2005标准要求内容，PDCA管理模型，ISMS建设方法和过程。第二部分：ISO27001：2005信息安全管理体系文件建立（ISO27001与ISO9001、ISO14001管理体系如何整合） ISO27001与ISO9001、ISO14001的异同 ISO27001与ISO9001、ISO14001可以共用的程序文件和三级文件 如何将三体系整合降低公司的体系运行成本 ISO9001、ISO14001、ISO27001体系三合一整合案例分析第三部分：信息安全管理体系内部审核技巧和认证应对案例分析 ISO27001：2005标准对内审员的新要求 信息安全管理体系认证现场审核的流程、技巧及沟通方法 如何应对认证公司的认证审核、监督审核、案例分析 考试 考试合格者颁发“ISO27000信息安全管理体系内部审核员培训合格证书”