内部控制-信息系统变更管理制度

1、第13页，共13页Evaluation Warning: The document was created with Spire.Doc for .NET.软件变更管理制度 总 则为规范软件件变更与与维护管管理，提提高软件件管理水水平，优优化软件件变更与与维护管管理流程程，特制制定本制制度。本制度适用用于应用用系统已已开发或或采购完完毕并正正式上线线、且由由软件开开发组织织移交给给应用管管理组织织之后，所所发生的的生产应应用系统统（以下下简称应应用系统统）运行行支持及及系统变变更工作作。 变更流流程系统变更工工作可分分为下面面三类类类型：功功能完善善维护、系系统缺陷陷修改、统统计报表表生成。功

2、功能完善善维护指指根据业业务部门门的需求求，对系系统进行行的功能能完善性性或适应应性维护护；系统统缺陷修修改指对对一些系系统功能能或使用用上的问问题所进进行的修修复，这这些问题题是由于于系统设设计和实实现上的的缺陷而而引发的的；统计计报表生生成指为为了满足足业务部部门统计计报表数数据生成成的需要要，而进进行的不不包含在在应用系系统功能能之内的的数据处处理工作作。系统变更工工作以任任务形式式由需求求方（一一般为业业务部门门）和维维护方（一一般为信信息部门门的应用用维护组组织和软软件开发发组织，还还包括合合作厂商商）协作作完成。系系统变更更过程类类似软件件开发，大大致可分分为四个个阶段：任务提提交

3、和接接受、任任务实现现、任务务验收和和程序下下发上线线。因问题处理理引发的的系统变变更处理理，具体体流程参参见问问题处理理管理制制度。需求部门提提出系统统变更需需求，并并将变更更需求整整理成系系统变更更申请表表（附件件一），由由部门负负责人审审批后提提交给系系统管理理员。系统管理员员负责接接受需求求并上报报给ITT主管。IIT主管管分析需需求，并并提出系系统变更更建议。IT经理根据变更建议审批系统变更申请表。系统管理员员根据自自行开发发、合作作开发和和外包开开发的不不同要求求组织实实现系统统变更需需求，将将需求提提交至内内部开发发人员、合合作开发发商或外外包开发发商，产产生供发发布的程程序。实

4、现过程应应按照软软件开发发过程规规定进行行。系统统变更过过程应遵遵循软件件开发过过程相同同的正式式、统一一的编码码标准，并并经过测测试和正正式验收收才能下下发和上上线。系统管理员员组织业业务部门门的系统统最终用用户对系系统程序序变更进进行测试试，并撰撰写用户测试试报告（附件件二），提提交业务务部门负负责人和和IT主管管领导签签字确认认通过。在系统变更更完成后后，系统统管理员员和业务务部门的的最终用用户共同同撰写程序变变更验收收报告（附件件三），经经业务部部门负责责人签字字验收后后，报送送IT经理理审批。培训管理员员负责对对系统变变更过程程的文档档进行归归档管理理，变更更过程中中涉及的的所有文文

5、档应至至少保存存两年。 紧急变更更流程对于紧急变变更，需需求部门门可以通通过电子子邮件或或传真等等书面形形式提出出申请。信息技术部部根据重重要性和和紧迫性性做判断断，确定定其优先先级和影影响程度度，并进进行相应应处理。紧急变更过过程中应应使用专专设的系系统用户户账号，由由专责部部门或人人员启动动紧急修修改变更更程序。信信息技术术部应对对紧急变变更的处处理进行行规范的的文档记记录。在紧急事件件处理完完成后，必必须在一一周内补补办正式式、完整整的文档档，其中中包括问问题发现现人填写写的紧急急变更申申请、问问题发现现人所在在部门负负责人对对该申请请的审批批、需求求部门/信息技技术部测测试记录录（包括

6、括签字确确认测试试结果）。 系统变更更的权责责分离系统变更过过程中，应应采取各各种措施施保证维维护环境境程序代代码访问问权限受受到良好好控制。这这些措施施包括：1、通过系系统用户户的授权权管理，确确保只有有特定人人员能进进行系统统维护工工作；2、如果使使用专用用程序开开发工具具，只有有授权人人员才能能使用程程序开发发工具（通通过只有有特定开开发人员员拥有程程序开发发工具）；3、通过对对源代码码的访问问控制，限限制只有有授权人人员才能能获得源源代码以以进行系系统维护护；4、在进行行自有系系统的程程序变更更时，应应建立版版本控制制制度确确保每次次在最新新的代码码基础上上进行更更改，当当多名程程序员

7、同同时进行行更改工工作时，能能够进行行适当协协调；5、通过对对系统日日志的审审阅，监监督系统统维护人人员在系系统中的的操作，确确认维护护工作的的授权；6、在进行行自有系系统的程程序变更更时，应应防止源源代码在在完成测测试到正正式上线线之间的的非授权权修改。系统变更过过程中，采采取各种种措施保保证生产产系统应应用程序序访问权权限受到到良好控控制。这这些措施施包括：1、通过生生产环境境的访问问控制，限限制对生生产环境境的访问问；2、通过物物理隔离离的手段段，限制制对生产产环境的的访问；3、通过逻逻辑隔离离的手段段，限制制对生产产环境的的访问；4、对授权权访问生生产环境境的人员员进行详详细记录录，使

8、用用该记录录对生产产环境访访问权限限的检查查，确保保只有经经授权人人员才能能访问生生产环境境；5、普通用用户只能能通过前前台登录录系统，不不能通过过后台（如如使用生生产环境境操作系系统的命命令行）进进行操作作；6、信息技技术人员员不应该该拥有前前台应用用程序的的业务操操作访问问权限，更更不应该该在前台台应用程程序中担担任实际际的业务务操作任任务；7、从技术术角度限限制开发发人员对对生产环环境中应应用程序序文件夹夹的访问问权限，只只有经过过授权的的人员对对程序拥拥有读、写写和执行行的权限限；8、禁止信信息技术术人员共共享操作作系统级级别的账账号。 附则本制度由公公司总部部信息技技术部负负责解释释

9、和修订订。本制度自发发布之日日起开始始执行。附件一 系统变变更申请请表系统变更申申请表 编编号：变更请求类类型用户方变变更 开发方方变更 需求增加加 需求修修改 需求缩缩减其它：请请说明： 变更申请人人申请日期实施人员验证人原需求内容描述变更内容描描述变更的影响响业务部门负负责人意见： 签字字：IT人员意见： 签字字：备注：附件二 用户测测试报告告1. 基本本信息测试依据例如：参照照标准、客客户需求求、需求求规格说说明书、测测试用例例等测试范围测试验收标标准测试环境描描述测试驱动程程序描述述提示：可以以把测试试驱动程程序当作作附件测试人员测试时间须注明每次次回归测测试的时时间测试工具2. 实况

10、况记录模块测试用例编编号期望结果测试结果缺陷密度是否执行了了回归测测试3. 测试试总评价价根据对测试试结果提提出一个个关于软软件能力力的全面面分析，需需标明遗遗留的主主要缺陷陷、局限限性和软软件的约约束限制制等，并并提出软软件测试试过程中中程序中中的不足足。根据测试标标准及测测试结果果，综合合评价软软件的开开发是否否已达到到预定目目标。4. 缺陷陷修改记记录提示：如果果采用了了缺陷管管理工具具，能自自动产生生缺陷报报表的话话，则无无需本表表。缺陷名称缺陷类型严重程度模块原因驻留时间解决方案测试人员签签字/日日期：附件三 程序变变更验收收报告验收报告书书需求部门系统名称系统名称英英文缩写写系统版

11、本任 务 完完 成 情 况况 栏 *由信信息技术术部根据据任务完完成实际际情况填填写*任务名称实际开始时时间实际完成时时间实际工作量量人天，合 人月本次任务实实际税前前开发费费用（含含报酬）*注明小写写金额和和大写金金额*￥ 元元，（大大写） 【任务完成成情况】：*由信信息技术术部简要要概述任任务完成成情况*【提交文档档清单】：*由信息息技术部部提交相相关文档档清单*业务部门接接受人签签字： 信息技技术部提提交人签签字： 日 期： 日 期： 验 收 过过 程 信 息息 栏 *由信信息技术术部根据据验收过过程填写写*验收开始时时间验收完成时时间验收地点需求部门验收人员角色/职责责信息部门协助人员角色/职责责任 务 验验 收 情 况况 栏 *由业业务部门门根据验验收情况况出具*【验收意见见】：*由业务务部门项项目负责责人出具具对实际际验收结结果的意意见*业务部门项项目负责责人签字字： 日期： 任务管理处处室项目目负责人人签字： 日日期： 任务管理处处室负责责人签字字： 日期： 任 务