公司信息系统配置管理办法模版.doc

信息系统配置管理办法第1章 总则第一条 为了规范信息系统生产环境的配置管理，保证生产环境信息资产的完整性、有效性、可追溯性及正确性，防范信息系统运行中配置变更所带来的潜在风险，确保信息系统的安全可靠运行,依据商业银行信息科技风险管理指引、信息系统安全等级保护基本要求、防范操作风险的管理办法等制度规范，同时参照配置管理理论制定本办法。第二条 配置管理是指对保证信息系统业务连续性的配置项进行标识、存储和控制，并维护其完整性、一致性、可追溯性及正确性的工作，是对各个配置项的变更、跟踪、发布和评审的重要管理工作。第三条 配置管理工作是贯穿整个信息系统生命周期的核心基础工作之一,只有利用配置管理的理论把项目条理化、清晰化，才能将如需求、设计、开发、测试、运行、维护等其他工作纳入正确的轨道，保证整个信息系统管理工作的顺利进行。第四条 本办法中所提及的配置项均指信息系统的配置项。第五条 本办法由信息技术部负责解释和修订,自发文之日起开始执行。第2章 角色与职责第六条 配置管理工程师(CME）:负责制定配置管理计划;建立并维护配置库;实施基线建立、基线变更、产品发布；协调和实施配置审计；维护配置管理工作记录；发布配置状态报告；根据配置项目的干系人和影响范围来制定配置计划，提出配置管理的分类和时间。配置管理工程师应当由专职人员担任，其主要工作为配置管理,其他工作量不应影响到配置管理的正常进行。第七条 配置管理委员会（CCB）: 负责批准基线的建立和变更,批准从基线区建立产品。CB的组成可分多级，每级CC负责一种或者多种类型的基线,在信息系统策划时就应当确定CCB成员和职责； C成员可由项目负责人、信息系统管理人员、质量保证人员、测试负责人组成,人数不少于人，必要时可由信息技术部副总经理或总经理以及信息系统业务归口管理部门代表参与决策和评审。评审的结果应该是CB全体人员一致同意通过才能决定。第八条 信息系统管理人员:负责参与识别配置项，向CE提供接受配置管理的工作产品，参与创建基线和产品,负责产品的发布。第九条 项目组/项目成员：负责向CM提供接受配置管理的工作产品，配合配置管理工作的要求完成相应的活动。成员组成可以是各个与配置项相关的技术开发或维护人员，也可以是业务管理人员。第十条 质量保证工程师: 负责审计和评审配置管理活动和工作产品,参与配置管理的变更审批和基线确定。成员应当由信息系统维护技术人员和业务归口管理部门人员组成。第3章 配置库结构第十一条 本办法中的配置项是指信息系统最终实现的功能或物理属性，包含了保证信息系统正常运行所组成的各个要素。第十二条 为标识和保存配置项的信息,应当建立配置库。配置库设置为开发库、受控库、产品库组成。第十三条 开发库：项目成员的工作环境,保存正处于开发或变更中的未上线产品。开发库内的配置信息可能进行频繁的修改。对开发库的配置项变更主要由项目成员、测试人员和项目负责人根据配置管理工程师的要求进行管理。第十四条 受控库:保存信息系统的阶段产品或将上线的产品，即配置项的基准版本。受控库的配置项处于基准控制下，其建立和变更由配置管理工程师负责。第十五条 产品库:保存已经上线的正常运行的信息系统产品,或者上线后处于试运行阶段的产品。产品库的配置项处于基准控制下,其建立和变更由配置管理工程师负责。第2章 配置库的管理第十六条 配置库由配置管理工程师统一管理。第十七条 配置库的建立由配置管理工程师统一进行管理和实施，配置库在建立后由配置管理工程师进行统一标识、识别配置项,并区分配置库结构进行相应的控制和管理。第十八条 配置库的建立应当由信息系统管理人主动向配置管理工程师进行申报,并根据配置管理工程师的要求提供相应的配置项和相关信息,由配置管理工程师统一进行识别和标识后,区分配置项是建立还是变更,并按照配置项处所的不同环节进行分别管理。第十九条 配置库中的产品配置项一经识别和标识,开发库的配置项的变更应当根据配置管理工程师的要求由项目管理人员自行管理。当信息系统进行上线或变更时，项目负责人需提供开发库的配置项并通知配置管理工程师，由配置管理工程师组织和协调配置管理委员会进行基线建立审批。第二十条 受控库的建立需在基线建立并经过评审后才能实施,其中的配置项的新增和变更均由配置管理工程师负责，配置项的变更根据变更管理计划由变更管理人或实施人提供，变更后的配置项需要经过测试和检验，由配置管理工程师组织变更人、质量保证人员、测试人员等确认并对其正确性负责。第二十一条 受控库在信息系统通过终验后,配置管理工程师根据试运行报告和验收报告提交基线建立计划,并负责组织和协调配置管理委员会进行基线建立和变更，通过批准的基线可组成产品并进入产品库。第二十二条 产品库建立后由配置管理工程师负责管理，产品库为重要信息资产,需提供完善的备份和恢复机制以保证其完整和安全。第3章 基线的管理第二十三条 本办法中的基线是指组成信息系统产品库的各个配置项在特定的阶段的最新版本的集合，是信息系统运行过程中阶段成果的体现。第二十四条 基线建立和基线变更控制是配置管理的核心工作。基线必须经过正式的评审过程才能建立和修改,对基线的变更接受最高权限的控制,只有配置管理委员会才能对基线的建立和变更进行评审，只有配置管理工程师才能依据评审结果对基线进行实施和操作，其他人员和职能部门均不得越过配置管理工程师对基线进行变更。第二十五条 对基线的评审工作由配置管理工程师负责组织和协调，并对向配置管理委员会提交的资料和信息负责，需严格依照变更流程对评审结果进行实施。第二十六条 基线的建立应当充分考虑信息系统产品所采用的技术手段和环境，以保证信息系统正常稳定运行为目标，不得盲目追求高新技术。第二十七条 为保证基线的正常建立和更新,信息系统相关管理人员均应积极响应配置管理工程师的要求,对配置管理持积极的态度和方法,主动配合配置管理工程师对配置项进行识别和跟踪。第二十八条 配置管理工程师应严格按照变更流程和质量要求提供配置项的相关信息，测试管理员和质量保证人员应对配置项的有效性和正确性进行测试，经过测试有效并达到管理目标的配置项才可以进入基线或进行变更。第二十九条 对于基线建立和基线变更都需要记录基线建立情况,基线变更需要额外记录变更请求跟踪情况。基线变更的本质是变更请求流程+基线建立流程，两者通过变更请求编号进行关联。第三十条 配置管理工程师应当在基线建立后定期对基线进行发布,并将基线的基本信息提供给信息系统相关管理人员以便跟踪信息系统配置管理状况。第4章 版本管理第三十一条 本办法中的版本是指受控库或产品库中的配置项在不同阶段的变更结果，版本的不同反应了配置项的变化过程。第三十二条 版本的标识由配置管理工程师统一管理，不同版本的标识应当说明与该配置项的什么版本产生了什么变化，以充分体现配置项的要追溯要求。第三十三条 版本的收集、建立和发布由配置管理工程师统一管理,版本的产生原则是对信息系统运行和管理工作有重要变化时发生的变更。第三十四条 对版本的标识应当由配置管理工程师在变更计划中进行说明，版本的标识应当在变更后才能对基线进行提交。第三十五条 CME应每月发布配置状态报告，以便高层管理者及其它受影响的组织个人通过配置状态了解项目状态。配置状态报告应当包括在报告期中发生的基线的建立、基线的变更时间及内容、配置项的版本及变更、使用对象、测试结果等信息，第5章 配置审计第三十六条 配置审计的目的是配置管理工程师要确保配置库中的配置项和基线的完整性、一致性和正确性。在开发库中的配置项是不需要进行审计的。第三十七条 配置审计一般分为功能配置审计和物理配置审计。物理配置审计验证已构建出的配置项符合定义和描述它的技术文档,重点在于配置项的完整性。功能配置审计验证配置项已经达到了性能和功能特性,并且其运行和支持资料是完整的和满意的,重点在于一致性和正确性。第三十八条 物理配置审计的范围是开发配置项和基准配置项,功能配置审计的范围是基准配置项。第三十九条 CM在执行配置管理活动时需进行记录以保证其可追溯性。其内容包括但不限于:配置管理记录维护、基线建立情况、变更请求情况、配置审计情况、配置状态报告。报告内容主要为受控库,报告内容应侧重于报告周期内基准建立、变更、产品发布情况及相应的统计分析。第四十条 物理配置审计可由信息系统管理人员、质量保证人员、测试人员完成,功能配置审计由CB借助评审、测试等活动完成。