جامعة الأمير سلطان
نظام إدارة السياسات
سياسة إدارة التغيير
| رمز السياسة | IT009 |
| عنوان السياسة | سياسة إدارة التغيير |
| صاحب السياسة | مركز تقنية المعلومات |
| المكتب المسؤول/القسم | مكتب نائب رئيس الجامعة للشؤون الاكاديمية |
| جهة الاعتماد | مجلس الجامعة، ISO |
| المراجعة الأخيرة | 6 ديسمبر, 2022 |
| تاريخ النفاذ | 2 فبراير, 2017 |
بيان السياسة
تخضع الموارد التقنية لهذه السياسة عند حدوث أي تغيير في شبكة تقنية المعلومات الخاصة بالمؤسسة، ويجب أن يتم تنفيذها وفقًا لإجراءات إدارة التغيير في المؤسسة. كما يجب الإبلاغ عن جميع التغييرات التي تؤثر على المرافق البيئية القائمة على الكمبيوتر لشبكة تقنية المعلومات في المؤسسة، ويشمل ذلك على سبيل المثال لا الحصر التكييف والمياه والتدفئة والسباكة والكهرباء وأجهزة الإنذار أو التنسيق مع قسم خدمات تقنية المعلومات. ويجب أن يقدم طلب التغيير كتابياً وبصيغة رسمية إلى قسم خدمات تقنية المعلومات ويشمل ذلك جميع التغييرات، سواء مجدولة وغير مجدولة.
يجب تقديم جميع طلبات التغيير المجدولة والوثائق الداعمة وفقاً لإجراءات إدارة التغيير. وستراجع اللجنة الطلب بعد ذلك، وسيتم اتخاذ قرار ما إذا كان سيتم السماح بالطلب أو تأجيله. وقد ترفض لجنة الإدارة التغيير المجدول أو غير المجدول لأسباب تشمل، على سبيل المثال لا الحصر، ما يلي: التخطيط غير الكافي، أو خطط تراجعية غير الكافية، أو التأثير السلبي لتوقيت التغيير على عملية تجارية رئيسية، أو عدم كفاية توافر الموارد. يجب إكمال إشعار المستخدم لكل تغيير مجدول أو غير مجدول، وفقاً لوثائق إجراءات إدارة التغيير. كما يجب إكمال عملية مراجعة التغيير لكل تغيير في شبكة تقنية المعلومات للمؤسسة، سواء كانت مجدولة أو غير مجدولة، ناجحة أولا. ويجب الاحتفاظ بسجل إدارة التغيير لكافة التغييرات. كما يجب أن يحتوي السجل على معلومات مفصلة وكافية
الخلفية والمبررات
في محيط تقنية المعلومات النشيط، لا مفر من التغييرات في البنية التحتية لهذه التقنيات والتطبيقات والأنظمة. يمكن أن تتراوح هذه التغييرات من تحديثات البرامج واستبدال الأجهزة وتعديلات على التركيبة إلى تطبيقات جديدة تماما. وعلى الرغم من أن هذه التغييرات ضرورية للتقدم، إلا أنها يمكن أن تؤدي إلى مخاطر، مثل توقف النظام أو الثغرات الأمنية. فتضمن سياسة إدارة التغيير لتقنية المعلومات إدارة جميع التغييرات بشكل منهجي، وتقليل الاضطرابات المحتملة والحفاظ على استقرار النظام وأمانه. وتعزز هذه السياسة الالتزام بالحوكمة المثلى لتقنية المعلومات والتميز التشغيلي.
النطاق والغرض
تنطبق هذه السياسة على جميع المستخدمين المصرح لهم الذين يقومون بتثبيت أو صيانة أو تشغيل موارد تقنية المعلومات الخاصة بالمؤسسة، ويشمل ذلك على سبيل المثال لا الحصر: أجهزة الكمبيوتر والبرامج وأجهزة الشبكات. كما تصف هذه السياسة العملية المنهجية لتوثيق التغييرات التي تطرأ على شبكة تقنية المعلومات للمؤسسة وإدارتها من أجل السماح بالتخطيط الفعال الذي يقوم به مركز خدمات تقنية المعلومات في المؤسسة لخدمة قاعدة المستخدمين فيها.
مبادئ السياسة
- التوحيد القياسي: يجب أن تتبع جميع التغييرات التي تطرأ على أنظمة تقنية المعلومات والبنية التحتية عملية موحدة لضمان الاتساق وإمكانية التتبع والموثوقية.
- إدارة المخاطر: يجب أن يخضع كل تغيير مقترح لتقييم المخاطر لتحديد الآثار المحتملة ووضع استراتيجيات التخفيف.
- مشاركة أصحاب المصلحة: يجب استشارة أصحاب المصلحة المعنيين، بما في ذلك متخصصي تقنية المعلومات والمستخدمين النهائيين ووحدات الأعمال، وإشراكهم في عملية التغيير لضمان التوافق مع احتياجات العمل.
- التوثيق: يجب توثيق جميع التغييرات، من البداية إلى التنفيذ ومرحلة ما بعد الاستعراض توثيقا شاملا، وتوفير سجل واضح وتسهيل عمليات التدقيق المستقبلية.
- التواصل: التواصل الفعال وفي الوقت المناسب أمر ضروري، إذ يجب إبلاغ جميع الأطراف المتأثرة بالتغييرات المخطط لها والآثار المحتملة وأي إجراءات مطلوبة من جانبهم.
- استراتيجية التراجع: يجب وضع خطة تراجع واضحة قبل تنفيذ أي تغيير، مما يضمن التعافي السريع في حالة حدوث مشكلات غير متوقعة.
- التحسين المستمر: يجب مراجعة عملية إدارة التغيير وصقلها بشكل دوري بناء على التعليقات والدروس المستفادة وأفضل الممارسات المتطورة.
- المسؤولية الإدارية: يجب تحديد أدوار ومسؤوليات واضحة في عملية التغيير. ويجب أن يكون الأفراد أو الفرق المسؤولة عن اقتراح التغييرات والموافقة عليها وتنفيذها مسؤولين عن أفعالهم.
- التدريب والتوعية: يجب أن يتلقى الموظفون المشاركون في إدارة التغيير تدريباً منتظماً، مما يضمن بقائهم على اطلاع دائم بأفضل الممارسات والأدوات والفروق الدقيقة في محيط تقنية المعلومات في المؤسسة.
- إجراءات الطوارئ: في حين أن الإجراءات القياسية حاسمة، يجب أن تكون هناك أيضا إرشادات للتعامل مع التغييرات الطارئة، مما يضمن إدارتها بسرعة دون المساس بسلامة النظام.
التعاريف
- التغيير: أي تعديل أو إضافة أو إزالة للأجهزة أو الشبكات أو البرامج أو التطبيقات أو البيئة أو النظام أو بنية سطح المكتب أو الوثائق المرتبطة بها المعتمدة أو المدعومة أو الأساسية.
- إدارة التغيير: الأسلوب المنهجي لاقتراح التغييرات في بيئة تقنية المعلومات وتقييمها وتنفيذها ومراجعتها.
- طلب التغيير: اقتراح رسمي للنظر في تغيير أمر ما.
- المجلس الاستشاري للتغيير: مجموعة من أصحاب المصلحة المسؤولين عن تقييم طلب تغيير أمر ما والموافقة عليه أو رفضه بناءً على الآثار والفوائد المحتملة.
- أصحاب المصلحة: أي فرد أو مجموعة يمكن أن تؤثر على التغيير أو تتأثر به، بما في ذلك فرق التقنيين والمستخدمين النهائيين ووحدات الأعمال والموردين.
- التراجع: عملية إعادة الأنظمة أو المكونات إلى حالتها السابقة في حالة فشل التغيير أو دخول مشاكل غير متوقعة.
- خط الأساس: معيار محدد أو نقطة مرجعية في النظام أو التطبيق، وعادة ما تكون بنية مستقرة ومعروفة.
- تقييم الأثر: تقييم الآثار المحتملة للتغيير المقترح على الجوانب المختلفة لبيئة تقنية المعلومات والأعمال.
- التغيير الطارئ: تغيير يجب تنفيذه في أقرب وقت ممكن، وغالبا ما يتجاوز الإجراءات المعتادة بسبب طبيعته الملحة.
- الإطلاق: إحداث التغيير على البيئة الحية، بعد اختباره اختباراً شاملاً والموافقة عليه.
- عنصر التهيئة: أي مكون أو نظام داخل بيئة تقنية المعلومات قيد إدارة التغيير والتهيئة.
المسؤوليات واستراتيجيات التنفيذ
- تغيير مسؤوليات مقدم الطلب: التأكد من توفر نموذج طلب تغيير شامل، والذي يتضمن أقساما للتبرير وتحليل الأثر وتقييم المخاطر وخطط التراجع. يجب إجراء دورات تدريبية لأولئك الذين قد يطلبون تغييرات لفهم العملية والمتطلبات.
- مسؤوليات المجلس الاستشاري للتغيير (CAB): إنشاء مجلس استشاري متعدد التخصصات مع ممثلين من تقنية المعلومات ووحدات الأعمال وأصحاب المصلحة الآخرين ذوي الصلة. يجب جدولة اجتماعات منتظمة لمراجعة طلبات التغيير وتحديد أولوياتها والموافقة عليها أو رفضها. وينبغي أن تكون عملية صنع القرار واضحة وموثقة توثيقاً جيداً.
- مسؤوليات فرق تقنية المعلومات: تزويد فرق تقنية المعلومات بالأدوات والأنظمة الأساسية المناسبة لتتبع التغييرات واختبارها وتنفيذها. توفير التدريب المستمر على أحدث وأفضل الممارسات وضمان وجود قنوات اتصال واضحة لجميع مراحل عملية التغيير.
- مسؤوليات التواصل مع أصحاب المصلحة: وضع خطة اتصال تحدد من ومتى وكيف يتم الإبلاغ عن التغييرات. استخدم قنوات مختلفة مثل البريد الإلكتروني والبوابات الداخلية واجتماعات الفريق لنشر المعلومات. وينبغي استحداث آليات لتلقي الآراء من أجل مراجعات ما بعد التغيير.
- مسؤوليات الاختبار وضمان الجودة: تعيين بيئات محددة (مثل التدريج أو ضمان الجودة) لاختبار التغييرات. وضع أدوات الاختبار الآلي حيثما أمكن، وإنشاء بروتوكولات اختبار قياسية لضمان تلبية التغييرات للمعايير المطلوبة قبل الإصدار.
- مسؤوليات عملية التراجع والاسترداد: تجهيز خطة استرداد مفصلة قبل تنفيذ أي تغيير. اختبار إجراءات التراجع بانتظام للتأكد من فعاليتها وإمكانية تنفيذها بسرعة إذا لزم الأمر.
- مسؤوليات التوثيق وحفظ السجلات: استخدام منصات التوثيق المركزية أو أدوات إدارة التغيير لتخزين جميع التفاصيل والقرارات والنتائج ذات الصلة المتعلقة بالتغييرات. كما يجب إجراء عمليات تدقيق منتظمة لضمان تحديث الوثائق وشموليتها.
- مسؤوليات التدريب والتوعية: تنفيذ دورات تدريبية منتظمة لجميع الأطراف المعنية. إنشاء موارد يسهل الوصول إليها، مثل أدلة المستخدم والأدلة الإرشادية والأسئلة الشائعة، للمساعدة في فهم التغييرات والتكيف معها.
- مسؤوليات التغيير الطارئ: تعيين فريق استجابة سريعة للتعامل مع التغييرات الطارئة. تطوير عمليات مبسطة لهذه التغييرات، وضمان إدارتها بكفاءة دون التساهل بالتقييمات والموافقات اللازمة.
- مسؤوليات التحسين المستمر: القيام بإجراء مراجعات ما بعد التنفيذ، لتقييم النتائج وجمع التعليقات وتحديد مجالات التحسين بعد كل تغيير كبير. إضافة إلى تعديل الاستراتيجيات والعمليات وفقا للتغييرات المستقبلية.
إجراءات التعامل مع انتهاك السياسة
أي انتهاك لهذه السياسة سيجعل الشخص عرضة لإجراءات تأديبية من خلال قسم التنفيذ لسياسة الاستخدام غير المصرح به لمركز تقنية المعلومات.
https://www.psu.edu.sa/en/IT0002-unauthorized-use-policy