管理变更

时间：2023年5月6日 星期六

作者：小王

• 一、变更管理流程
• 二、版本控制
• 三、配置文档

由于组织环境是不断变化的，因此安全也是持续活动，变更管理（change management）确保变更不会导致意外中断。

一、变更管理流程

1.请求变更（request）：组织环境中有变更需求就必须请求变更，禁止非授权进行变更。

2.审核变更（review）：由变更咨询委员会（CAB）/变更审核委员会（CRB）对变更内容进行审核并出具审核报告，委员会成员应来自不同领域，确保委员会具有全面的知识。

3.批准/拒绝变更（approve/reject）：根据审核结果批准或拒绝变更。CRB在某些情况下需要创建回滚或退出计划（rollback or backout plan），确保变更过程中发生异常，可保障系统能够恢复如初。

4.测试变更（test）：变更被批准后，为了保障实际变更不出意外，先在测试环境测试一下变更方案是明智之举。

5.安排并实施变更（schedule and implement）：确定变更时间（非工作时间最合适），按变更方案步骤执行变更，最小化变更影响。

6.记录变更（document）：文档化至关重要，可以帮助相关方了解系统的变更内容，也可以指导系统恢复到变更前的状态。

在需要实施紧急变更的情况下，如病毒感染需要隔离主机，则可先执行变更再补变更记录，即变更记录一定要有，用于审计、知识传递或系统恢复等用途。

二、版本控制

版本控制（versioning）通常指的是软件配置管理所使用的版本控制，如Apache 2.4.39。版本控制可以很好的标识不同版本之间的差异，有助于跟踪软件随时间的变更情况。

三、配置文档

配置文档（Configuration Documentation）用于记录系统当前配置，明确责任人、系统目的以及变更内容。