网络变更流程
总则
制定本流程的目标是为了规范DXC网络变更行为，使得网络系统的变更遵循公司信息安全的有关流程。
本流程是指导DXC进行网络系统变更管理工作的基本依据。
本流程适用于DXC拥有、控制和管理的所有网络系统，包括但不限于网络系统、操作/应用系统、项目开发等范畴，涉及属于DXC网络系统范围内的所有部门以及在特殊情况下的其他第三方组织。
本流程的解释和修改权属DXC。
本流程主要依据国际标准ISO17799,并遵照我国信息安全有关法律法规、行业规范和相关标准。
通则
信息系统的变更应当遵循以下原则：
保证系统在变更前后的一致性原则；
保证系统在变更前后的完整性原则；
保证变更的可控性原则；
保证变更的协调性原则；
保证变更的可审计性原则；
信息系统的变更控制包括但不局限于下列情况：
范畴
内容
网络系统
网络系统构架（拓扑）变化
网络系统功能变化
网络设备内嵌操作/应用系统版本升级
网络设备配置变化
网络设备变化（设备更新/调配）
地址分配
… …
信息系统的变更级别应当按照如下的情况进行确认：
变更级别
甲级
乙级
丙级
丁级
变更需求急迫性要求
急迫
急迫
不急迫
不急迫
变更需求重要性要求
重要
不重要
重要
不重要
变更范围
重要业务系统的重要功能
网络割接/升级
重要的安全补丁和升级
重要配置变化
网络系统的重大改变
… …
重要业务系统的一般性功能变化
一般性安全补丁
… …
一般性系统升级
系统配置变化
服务对象变化
网络系统局部（非重要部分）变化
… …
部门内部小范围变化
系统淘汰
… …
变更影响
影响重要业务系统功能
影响网络性能
影响公司整体形象
… …
影响业务系统部分功能
… …
影响业务系统部分功能
… …
对公司整体影响很小
对部门/业务系统影响很小
… …
响应确认时间
24小时之内
48小时之内
48小时之内
无限制
信息系统的变更应当得到上级主管部门明确的授权和支持，任何没有获得上级主管部门明确授权的变更将被视为非法，不会获得任何支持；
任何非法变更的发起者和执行者将受到公司相应管理制度和条例的惩戒，惩戒程度视变更的范围和影响而定；
任何获得上级主管部门授权的变更应当获得公司相应的变更支持，以保证：
公司对变更请求的确认；
公司对变更过程的保护；
信息系统的变更按照变更的级别，由下表确认和授权：
变更级别
甲级
乙级
丙级
丁级
变更确认和授权部门
公司最高决策机构
上级主管部门
上级主管部门
上级主管部门
上级主管部门
信息系统变更请求应当由信息系统的合法拥有者/管理者正式向主管部门提出；
信息系统的变更请求应当向上级主管部门提供包含但不局限于下列内容：
变更请求的发起者；
变更的目的和意义；
变更的紧迫性和重要性（变更级别）;
变更请求需要的答复响应时间；
变更涉及的业务系统范围；
变更对当前系统的影响；
变更请求涉及和需要的各类资源，包括所必需的各类人力资源和物力资源；
变更的必要性与可行性分析；
详细的变更实施计划，包括但不限于变更实施步骤、紧急情况应对措施等内容；
对变更结果的预测与评估；
信息系统的变更请求依据其变更等级由相应的上级主管部门负责审批和授权；
涉及跨部门的变更请求，应当由更上一级主管部门进行协调、审批和授权；
各级变更控制管理机构在审批变更请求时应当：
确认信息系统变更请求者的合法地位；
检查系统/功能的内在/外在风险控制措施在变更过程中不会受到破坏；
检查系统/功能的完整性、可用性、机密性在变更过程中不会受到破坏；
审核确认变更所涉及的范围；
审核评估变更对公司/组织的（潜在的）正面/负面影响；
审核确认变更所需要的各种资源消耗；
审核变更请求中评估结果并对变更做出允许/不允许的决议；
维护变更请求以及变更请求者的审计跟踪记录；
对变更请求进行备案，并报上级主管部门；
下发对于变更请求的决议和通知，确保所有相关人员均已知晓变更；
批准变更执行计划，任命合适的变更执行人员/小组；
对变更执行人员/小组进行必要的授权；
系统变更由相应的变更控制