8.3　變更管理和控制

8.3　變更管理和控制

8.3.1　變更需求和影響分析

活動目標：
本活動的主要目標是通過對運行與維護過程中的變更需求和變更影響的分析，來確定變更的類別，計劃后續的活動內容。
參與角色：運營、使用單位。
活動輸入：變更需求。
活動描述：
本活動主要包括以下子活動內容：
a) 變更需求分析
對運行與維護過程中的變更需求進行分析，確定變更的內容、變更資源需求和變更范圍等，判斷變更的必要性和可行性。
b) 變更影響分析
對運行與維護過程中的變更可能引起的后果進行判斷和分析、確定可能產生的影響大小、確定進行變更的先決條件和后續活動等。
c) 明確變更的類別
確定等級保護對象是局部調整還是重大變更。如果是由等級保護對象類型發生變化、承載的信息資產類型發生變化、等級保護對象服務范圍發生變化和業務處理自動化程度發生變化等原因引起等級保護對象安全保護等級發生變化的重大變更，則需要重新確定等級保護對象安全保護等級，返回到等級保護實施過程的等級保護對象定級階段。如果是局部調整，則確定需要配套進行的其它工作內容。
d) 制定變更方案
根據a）、b）、c）的結果制定變更方案。

8.3.2　變更過程控制

活動目標：
本活動的目標是確保運行與維護過程中的變更實施過程受到控制，各項變化內容進行記錄，保證變更對業務的影響最小。
參與角色：運營、使用單位。
活動輸入：變更方案。
活動描述：
本活動主要包括以下子活動內容：
a) 變更內容審核和審批
對變更目的、內容、影響、時間和地點以及人員權限進行審核，以確保變更合理、科學的實施。按照機構建立的審批流程對變更方案進行審批。
b) 建立變更過程日志
按照批準的變更方案實施變更，對變更過程各類系統狀態、各種操作活動等建立操作記錄或日志。
c) 形成變更結果報告
收集變更過程的各類相關文檔，整理、分析和總結各類數據，形成變更結果報告，并歸檔保存。