信息系统配置管理办法
第1章 总则
为了规范信息系统生产环境的配置管理，保证生产环境信息资产的完整性、有效性、可追溯性及正确性，防范信息系统运行中配置变更所带来的潜在风险，确保信息系统的安全可靠运行，依据《商业银行信息科技风险管理指引》、《信息系统安全等级保护基本要求》、《防范操作风险的管理办法》等制度规范，同时参照配置管理理论制定本办法。
配置管理是指对保证信息系统业务连续性的配置项进行标识、存储和控制，并维护其完整性、一致性、可追溯性及正确性的工作，是对各个配置项的变更、跟踪、发布和评审的重要管理工作。
配置管理工作是贯穿整个信息系统生命周期的核心基础工作之一，只有利用配置管理的理论把项目条理化、清晰化，才能将如需求、设计、开发、测试、运行、维护等其他工作纳入正确的轨道，保证整个信息系统管理工作的顺利进行。
本办法中所提及的配置项均指信息系统的配置项。
本办法由信息技术部负责解释和修订，自发文之日起开始执行。
角色与职责
配置管理工程师（CME）：负责制定配置管理计划；建立并维护配置库；实施基线建立、基线变更、产品发布；协调和实施配置审计；维护配置管理工作记录；发布配置状态报告；根据配置项目的干系人和影响范围来制定配置计划，提出配置管理的分类和时间。配置管理工程师应当由专职人员担任，其主要工作为配置管理，其他工作量不应影响到配置管理的正常进行。
配置管理委员会（CCB）： 负责批准基线的建立和变更，批准从基线区建立产品。CCB的组成可分多级，每级CCB负责一种或者多种类型的基线，在信息系统策划时就应当确定CCB成员和职责； CCB成员可由项目负责人、信息系统管理人员、质量保证人员、测试负责人组成，人数不少于5人，必要时可由信息技术部副总经理或总经理以及信息系统业务归口管理部门代表参与决策和评审。评审的结果应该是CCB全体人员一致同意通过才能决定。
信息系统管理人员：负责参与识别配置项，向CME提供接受配置管理的工作产品，参与创建基线和产品，负责产品的发布。
项目组/项目成员：负责向CME提供接受配置管理的工作产品，配合配置管理工作的要求完成相应的活动。成员组成可以是各个与配置项相关的技术开发或维护人员，也可以是业务管理人员。
质量保证工程师: 负责审计和评审配置管理活动和工作产品，参与配置管理的变更审批和基线确定。成员应当由信息系统维护技术人员和业务归口管理部门人员组成。
配置库结构
本办法中的配置项是指信息系统最终实现的功能或物理属性，包含了保证信息系统正常运行所组成的各个要素。
为标识和保存配置项的信息，应当建立配置库。配置库设置为开发库、受控库、产品库组成。
开发库：项目成员的工作环境，保存正处于开发或变更中的未上线产品。开发库内的配置信息可能进行频繁的修改。对开发库的配置项变更主要由项目成员、测试人员和项目负责人根据配置管理工程师的要求进行管理。
受控库：保存信息系统的阶段产品或将上线的产品，即配置项的基准版本。受控库的配置项处于基准控制下，其建立和变更由配置管理工程师负责。
产品库：保存已经上线的正常运行的信息系统产品，或者上线后处于试运行阶段的产品。产品库的配置项处于基准控制下，其建立和变更由配置管理工程师负责。
配置库的管理
配置库由配置管理工程师统一管理。
配置库的建立由配置管理工程师统一进行管理和实施，配置库在建立后由配置管理工程师进行统一标识、识别配置项，并区分配置库结构进行相应的控制和管理。
配置库的建立应当由信息系统管理人主动向配置管理工程师进行申报，并根据配置管理工程师的要求提供相应的配置项和相关信息，由配置管理工程师统一进行识别和标识后，区分配置项是建立还是变更，并按照配置项处所的不同环节进行分别管理。
配置库中的产品配置项一经识别和标识，开发库的配置项的变更应当根据配置管理工程师的要求由项目管理人员自行管理。当信息系统进行上线或变更时，项目负责人需提供开发库的配置项并通知配置管理工程师，由配置管理工程师组织和协调配置管理委员会进行基线建立审批。
受控库的建立需在基线建立并经过评审后才能实施，其中的