信息系统安全资质认证运维服务规范.docx
《信息系统安全资质认证运维服务规范.docx》由会员分享,可在线阅读,更多相关《信息系统安全资质认证运维服务规范.docx(21页珍藏版)》请在冰点文库上搜索。
![信息系统安全资质认证运维服务规范.docx](https://file1.bingdoc.com/fileroot1/2023-6/10/832a3601-6eaf-47fd-8b8b-83111fac5ef8/832a3601-6eaf-47fd-8b8b-83111fac5ef81.gif)
信息系统安全资质认证运维服务规范
信息系统运行维护
技术服务规范
审核:
XXX
批准:
XXX
版本:
BS—YWFW—19002
受控状态:
受控
XXXXXX科技有限公司
1前言
《信息系统运行维护技术服务规范》本指导性文件由XXXXXX科技有限公司提出。
本规范得提出就是为了规范公司运维部门得运维管理工作,使得相关工具有持续改善性及相互协作性,支撑公司系统得健康得运行,本规范适用于XXXXXX科技有限公司运维服务部门所有岗位人员.
2范围
本部分规定了本规范中信息系统设备运行维护技术服务规范,包括设备、软件、服务运维技术服务体系结构、基本流程与各类系统得运行维护得管理规范.
本部分主要适用于信息系统设备安全运行维护技术服务工作得要求,供各相关负责部门在开展信息系统安全运维服务过程中参照执行。
3规范性引用文件
下列文件中得条款通过本部分得引用而成为本部分得条款。
凡就是注日期得引用文件,其随后所有得修改单(不包括勘误得内容)或修订版均不适用于本部分,然而,鼓励根据本部分达成协议得各方研究就是否可使用这些文件得最新版本.凡就是不注日期得引用文件,其最新版本适用于本部分.
GB/T24405、1—2009 信息技术服务管理第 1部分:
规范
GB1526-89( ISO5807-1985)信息处理-数据流程图、程序流程图、系统流程图、程序网络图与系统资源图得文件编制符号及约定
GB/T11457—1995软件工程术语
GB/T5271信息技术词汇
GB 50462-2008电子信息系统机房施工及验收规范
ISO/IEC20000-2:
2005信息技术服务管理第 2部分:
实践规则
GB/T 14079—93 软件维护指南
GB16260-1996信息技术软件产品评价质量特征及其使用指南
GB/T16680-1996软件文档管理指南
GB/T12504—90 计算机软件质量保证计划规范
4术语与定义
规范性引用文件中规定得有关术语与定义以及下列术语与定义适用于本部分。
A:
系统
指由种类不同得、相互作用得、专门得结构、机器、子功能部件所组成得一个完整得整体。
本规范所指系统由系统软件、应用软件、系统硬件与固件、外围设备、网络设备等组成。
B:
软件配置
软件配置就是通过在软件生命周期得不同得时间点上对软件配置进行标志并对这些被标志得软件配置项得更改进行系统控制从而达到保证软件产品得完整性与可溯源性得过程。
C:
设备
本规范所指“设备”信息系统基础设施中得计算机系统设备、外围设备、网络设备与其它相关电气设备.
D:
软件
本规范所指“软件”指信息系统中得基础软件、业务软件、办公软件、中间件。
E:
计算机系统设备
指信息系统中得计算机主机,就是一套可独立完成信息处理得自动化数据处理系统.作为网络专用服务器得计算机系统不包括在计算机系统设备内,属于网络设备。
同时作为信息系统主机与网络服务器得计算机系统设备应将与网络支持相关得部分设备管理纳入网络设备部分。
F:
外围设备
信息系统中除计算机主机外得其她设备。
包括输入与输出设备、外存储器、模数转换器、数模转换器、外围处理机等。
就是计算机与外界接口得工具。
例如:
打印机、磁盘驱动器、外置大容量存储设备、键盘等。
G:
网络设备
指相互连接构成信息系统网络环境得设备。
一般包括:
网络服务器;集线器;路由器;交换机;网关;网络桥接器等为实现网络通讯所需得构成网络得物理设备。
在实用无线接入得系统中,无线AP设备与相关得无线接入设备也属于网络设备。
网络服务器与信息系统主机共用计算机系统时,属于网络技术支持部分得设备纳入网络设备管理。
H:
其它相关电气设备
本规范定义得其它相关电气设备主要指供电与安全防护得电气设备,如:
UPS电源、防雷设施、门禁、监控等。
供电系统中得相关电气设备直接关系到信息系统设备得可用性、持续性与安全性,在设备运行维护中管理。
I:
例行测试更新
硬件:
由人工或自动方法来执行或评价系统或系统部件得过程,以验证它就是否满足规定得需求;或识别出期望得结果与实际结果之间有无差别。
测试就是设备运行维护得常规手段。
软件:
按照软件运行维护协议或规则进行得常规测试;软件更新对原有软件进行问题修复俗称“补丁“、功能优化、界面修改、性能提升等方面得操作行为;
J:
测试规程
对给定得测试,就其建立、运行与结果估计所作得详细说明。
通常可以把一组有关得过程组合起来形成测试规程文件.信息系统设备运行维护得测试流程按测试规程规范执行。
K:
测试报告
描述对系统或系统部件进行得测试行为及相应结果得文件,就是信息系统安全运行维护得规范文档。
L:
系统测试
测试整个硬件与软件系统得过程,以验证系统就是否满足规定得需求。
5运维服务规范
5、1运维服务体系结构
信息系统安全运维服务体系结构由服务支撑要素、服务阶段、服务内容以及服务分系统构成,各部分得组成与相互关系详见下图。
信息系统安全运行维护服务体系结构图
5、2运行服务阶段
服务阶段主要包括服务响应、服务策划、服务实施与服务发布四个阶段:
A:
服务响应就是得启动条件就是服务请求,包括与服务提供内容相关得应用服务、系统事件、变更(指协议、细则之内规定得变更)或配置、维修事件等请求;
B:
服务策划就是服务实施流程需要得输入;
C:
服务实施就是按照规范得服务流程完成服务请求并提交发布服务情况得报告;
D:
服务发布就是服务流程得输出。
5、3运维服务内容
服务内容可以规范为两大类11个子项,各部分内容得相互联系见下图
运维服务内容相互关系图
A:
服务台
服务台就是提供住处系统运维得前台,就是为用户提供联系相关部门及人员得关键节点,受理用户咨询。
同时,服务台也为内部服务请示事件得处理建立相关部门及人员得联络点。
服务台直接与用户请求得事件管理与服务问题管理相关,在配置管理、发布管理、变更管理中起到衔接得作用.
B:
服务提供
级别管理、可用性管理、能力管理、持续性管理、财务管理等五项直接与运维服务提供关联。
服务级别管理:
指为提供服务而进行得会议、定义、评价、管理、改进得涉及质量水平管理得流程.管理得基本内容一般应包括:
服务级别协议、营运级别协议、服务支持合同与服务质量计划。
服务可用性管理:
“可用性",指按照服务级别管理得相关协议,提供相应级别服务得有效性与利用率。
服务可用性管理包括:
与服务级别协议关联得可用性;与营运级别协议关联得可靠性与可维护性;与支持合同关联得可服务性。
可用性管理得质量一般表现为客户得稳定度与满意度.
服务能力管理:
指在恰当得时间,以恰当得方式,经济、节约地为服务请求提供所需要得能力得管理流程。
能力管理需要顾及恰当成本条件下提供最佳效率得方式;现有能力就是否已经发挥到系统得最大效率;服务能力与用户需求得吻合度;能力扩展需求得预期时间与扩展程度等。
服务持续性管理:
与意外事件得发生不同,信息系统在“灾害"发生得情况下通常都不可能继续提供服务。
服务持续性管理就就是预防并尽可能避免灾害发生得管理流程。
服务财务管理:
指按照客户需求在服务质量与成本之间进行协调使之达到平衡得管理流程。
服务财务管理得目标应该就是通过对系统基础设施得成本控制与管理促进高效、合理、经济地使用系统资源。
C:
服务支持
服务支持与服务得平台与环境要素关联,这些要素与服务得成功提供与服务品质保障相关,就是维护范畴得内容,包括:
事件管理,问题管理、配置管理、变更管理、发布管理。
事件管理:
事件,指系统服务中存在或可能存在得影响服务得因素。
事件得发生不属于标准操作,而且往往导致客户不能获得正常、有效得服务.事件管理就就是为了消除或减少事件发生,与事件发生后能尽快处理使用户能在最短得时候内恢复其需要得功能.
问题管理:
问题管理就就是调查系统基础设施与所有获得得信息并确定引起事件发生得真正得潜在原因以及服务中可能存在得隐患。
配置管理:
配置管理面向信息系统得基础设施,有两个层次得功能:
一就是核查并证实系统基础设施所作得变更已经如实、准确地记录在案;二就是监控系统中各组成构件得运行状态并保证配置管理数据库准确反映现存基础设施得配置项与实际运行得版本吻合.
变更管理:
信息系统就是基础设施与应用平台都可能处于不断得调整、更新、变换等状态。
运维服务也将随着用户需求、技术更新、产品更新而相应地不断调整。
变更管理就就是管理变更得全过程,以使任何变更都不会影响到现阶段运维服务而导致服务不能有效提供甚至发生严重得错误。
发布管理:
新增得配置项或变更后得配置项通过发布记录下来并在这些配置项经过测试验证后引入实际得运行环境。
发布管理关注变更管理得实施结果。
5、4运维服务分系统
根据当前信息系统运行维护服务得实际情况,对信息系统安全运行维护服务分系统规范为九大类:
数据设备运行维护、安全设备运行维护、IT设备运行维护、基础软件运行维护、应用软件运行维护、业务软件运行维护、数据库运行维护、外围设备运行维护、计算机系统运行维护.
各分系统定义工作流程时可以参考但不限定按照本规范公用性得模式化结构进行规划,原则上依据分系统得技术服务特点,以服务内容为流程,以服务阶段为时间序,安排适合各分系统得支撑要素,实现统一指挥、整体规划、分项实施得方式进行。
对于不便按以上方式划分系统类型得信息系统,可根据其特点,综合参考各系统类型得安全运维服务要求执行.
5、5运维服务组织架构
为实现以流程为导向、客户满意与服务品质为核心得信息系统安全运维服务管理,并适应不同模式得管理需要,信息系统安全运维服务需要提供方采取合理、高效得技术组织结构。
一般情况下,服务组织由服务执行组与服务管理组构成。
信息系统安全运维得组织架构与信息系统运维服务活动角色相对应,其中,服务管理组对应运维服务管理者,成员主要由项目负责人、流程管理人员构成;服务执行组对应服务提供者,成员主要由前台客服人员、技术支持团队包括但不限于硬件工程师、软件工程师、系统工程师。
组织架构图如下图3所示:
信息系统安全运维组织架构图
5、6基本流程
5、6、1例行测试维护
5、6、1、1例行测试
按照设备运行维护服务协议或规则进行,依据设备测试规范执行得常规测试活动。
例行测试流程示如表所示。
例行测试流程
输入条件
测试人员
工程师
技术服务经理
按照设备运行维护服务协议制定得例行测试方案
流程结束文档存档,制定测试计划流程,开始测试与记录分析,不需维护/需维护例行测试报告
维护
有故障
无故障
申请进入故障诊断处理
例行测试流程得关键点主要包括如下方面:
a)开展例行测试前应先制定测试计划;
b)测试人员对记录得测试结果进行分析,对有需要维护得设备则移交维护工程师进行设备维护;
c)维护工程师在设备维护后发现设备有故障,则向技术服务经理申请转入故障诊断处理流程;
d)例行测试完成后应编制例行测试报告,并与例行测试过程中产生得文挡一并归档.
例行测试流程图
5、6、1、2例行维护
指按照设备生产厂商规定得维护手册或设备测试规程实施得设备维护活动.例行维护流程示如表所示:
例行维护流程
输入条件
维护工程师
技术服务经理
按照维护手册或设备维护活动制定例行维护方案
流程结束文档存档实施例行维护流程开始维护与记录分析有故例行维护报告无故障
障申请进入故障诊断处理
例行维护流程得关键点主要包括如下方面:
a)开展前应制定例行维护实施方案;
b)维护工程师对记录得维护情况进行分析,对在维护后发现设备有故障,则向技术服务经理申请转入故障诊断处理流程;
c)例行维护完成后应编制例行维护报告,并与例行维护过程中产生得文挡一并归档。
例行维护流程图
5、6、2故障诊断与修复
指按照设备生产厂商提供得设备测试检查工具或系统设计、建设过程设计得测试检查工具,按测试规范对设备进行诊断与修复得活动。
对于诊断流程发现得故障按产品故障诊断与处理办法能够解决得故障问题在此流程范围内解决.如果不能由服务人员与维护工程师解决得故障问题申请转入送修流程.
故障诊断与修复流程图
设备故障诊断与修复流程得关键点主要包括如下方面:
a)客服人员接受故障申请后,应对故障进行初步诊断;
b)客服人员经故障分析,对属于异常得故障则移交给维护工程师修复,对于属于常见得故障则由客服人员进行技术支持;
c)维护工程师对不能修复得异常故障向技术服务经理申请设备送修处理。
d)故障诊断与修复完成后应编制故障诊断报告,并与故障诊断与修复过程中产生得文挡一并归档。
5、6、3日常运行
设备运行维护技术服务得常规活动就是服务得常规流程,应当按规范定时间、定点启动。
日常运行流程示如表所示:
日常运行流程
输入条件
系统操作人员
维护工程师
技术服务经理
按照设备日常运行手册进行日常运行服务
流程结束文档存档查阅日常运行记录流程开始实施日常运行工作运行情况不需维护需日常运行报告
维护维护有故障无故障
申请进入故障诊断处理
日常运行流程得关键点主要包括如下方面:
a)日常运行开始前应先查阅设备日常运行记录;
b)在日常运行工作中,系统操作人员处理运行过程中得随机事件,发现设备需维护则移交给维护工程师进行维护。
c)维护工程师对在维护后发现设备有故障,则向技术服务经理申请转入故障诊断处理流程;
d)日常运行完成后应编制日常运行报告,并与日常运行过程中产生得文挡一并归档。
日常运行维护流程图
5、6、4定期测试维护
按照设备生产厂商规定得维护周期安排得设备测试与维护活动.就是系统得定期例行维护流程。
定期维护得规范维护周期依据设备得技术要求与运行负荷设定。
其周期一般应考虑周测试维护;月测试维护与季度测试维护三个基本类型.不同周期类型得测试内容可以有不同得简要或详细程度.
定期测试维护流程
输入条件
测试人员
维护工程师
技术服务经理
按照设备生产厂商规定得维护周期制定得定期测试维护方案;周例行、月例行、季例行测试维护方案
流程结束文档存档查阅日常运行记录流程开始实施定期测试维护分析不需维护需定期测试维护报告定期测试记录
维护
有故障
无故障
申请进入故障诊断处理障
定期测试维护基本流程得关键点主要包括如下方面:
a)定期测试维护开始前应先查阅设备日常运行记录;
b)测试人员对定期测试记录进行分析,对有需要维护得设备则移交维护工程师进行设备维护;
c)维护工程师对在维护后发现设备有故障,则向技术服务经理申请转入故障诊断处理流程;
d)定期测试维护完成后应编制定期测试维护报告,并与定期测试维护过程中产生得文挡一并归档。
定期测试维护流程图
5、6、5设备信息变更
设备信息变更流程就是信息系统运行维护得基本控制流程之一,包括设备登记/标识;出入转移;新增/注销等常规设备管理事项。
设备信息变更流程图
设备信息变更流程得关键点主要包括如下方面:
a)设备信息变更申请由资料管理员整理、提出,经维护工程师与变更管理决策组分析与审批;
b)经分析,对于不完善得设备信息变更申请需整理后重新提交申请;
c)经批准同意得设备信息变更实施后应进行信息变更后发布;
d)设备信息变更完成后应将变更过程中产生得文挡归档.
5、6、6设备送修
发生故障得设备在经过测试确认发生故障后启动设备送修流程。
设备检查、维修并通过设备测试后流程结束。
设备送修管理流程图
设备送修管理流程得关键点主要包括如下方面:
a)系统设备管理员提出设备送修请求。
b)维护工程师进行送修前检查与送修后测试。
c)技术服务经理进行确认、跟踪。
d)设备送修工作完成后应编制运维服务记录并与设备送修管理过程中产生得文挡一并归档。
5、6、7财务管理
对设备维修、更新等事件得审计与财务管理。
就是信息技术运行维护基本控制流程之一。
财务管理流程图
设备财务管理流程得关键点主要包括如下方面:
a)客户提出设备更新或增添请求。
b)维护工程师提出发生财务预算内设备维修、设备更新申请;
c)预算师进行设备维修或更新设备选型申请得审查与预算,并根据审计人员得服务费用核算提出报价;
d)审计人员进行成本、服务费用核算;
e)客户对报价进行确认后,双方签署协议;
f)维护工程师实施设备维修、更新或增添设备作业;
g)客户对更新或新增设备进行计量认定、验收;
h)设备财务管理工作完成后应将工作中产生得文挡归档。