运维流程和安全制度最新版.docx

运维流程和安全制度最新版.docx

《运维流程和安全制度最新版.docx》由会员分享，可在线阅读，更多相关《运维流程和安全制度最新版.docx（7页珍藏版）》请在冰豆网上搜索。

运维流程和安全制度最新版

安全与维护管理制度

2019年1月

1、总则

第一条为保障公司信息系统软硬件设备的良好运行，使员工的运维工作制度化、流程化、规范化，特制订本制度。

第二条运维工作总体目标：

立足根本促发展，开拓运维新局面。

在企业发展壮大时期，通过网络、桌面、系统等的运维，促进企业稳定可持续性发展。

第三条运维管理制度的适用范围：

技术部全体人员。

2、编制方法

本实施细则包括运维服务全生命周期管理方法、管理标准/规范、管理模式、管理支撑工具、管理对象以及基于流程的管理方法。

本实施细则以ITIL/ISO20000为基础，以信息化项目的运维为目标，以管理支撑工具为手段，以流程化、规范化、标准化管理为方法，以全生命周期的PDCA循环为提升途径，体现了对运维服务全过程的体系化管理。

3、运维工作职责

一、负责网站运维和技术支持

（一）根据网站运营战略和目标，负责网站整体架构、栏目、应用系统等技术开发方案制定和组织开发，保障网站技术的稳定性和先进性。

（二）网站设备和软件购买计划书的拟定，包括采购数量、品牌规格、技术参数。

会同行政部进行采购。

（三）网站设备和软件操作规程和应用管理制度的制定，并负责监督执行。

（五）网站日常运行过程中信息安全和技术问题的协调解决，保障网站24小时安全稳定运行。

（六）负责网站管理系统及设备保密口令的设置和保存，保密口令设定后任何人不得随意更改，保密口令每季度更新一次。

（七）负责网站新程序、新系统和网站改版升级方案技术的设计开发。

二、负责网站信息和技术安全

（一）执行国家和省上有关网络信息技术安全的法律法规，与通信管理和网络安全监管部门联络，及时处理网站信息技术安全方面存在的问题，确保网站安全、稳定、可靠运行。

（二）网站信息技术安全保密制度和工作流程的制定，落实信息技术安全保密责任制，执行“谁主管、谁负责，谁主办、谁负责”的原则，责任到人。

（三）负责网站信息技术安全应急处理预案制定和实施。

（四）建立多机备份网站信息服务系统机制，一旦主系统遇到故障或受到攻击导致不能正常运行，可以在最短的时间内替换主系统提供服务。

（五）建立网站系统集中式权限管理，按照岗位职责设定工作人员操作权限，针对不同应用系统、终端、操作人员，设置共享数据库信息的访问权限，并设置密码。

不同的操作人员设定不同的用户名，且定期更换，严禁操作人员泄漏密码。

4、运维服务管理体系

运维服务管理体系规定了运维活动涉及的各类实体，以及这些实体间的相互关系。

相关的实体按照运维服务管理体系进行有机组织，并协调工作，按照服务协议要求提供不同级别的IT运维服务。

4.1运维服务管理对象

运维服务管理对象包括基础设施、应用系统、用户、供应商、以及IT部门和人员，具体内容如下：

（1）基础设施包括网络、主机系统、存储/备份系统、终端系统、安全系统环境等。

（2）应用系统包括内部办公系统、门户网站、面向公众的应用系统等。

（3）用户包括使用如上应用系统的用户。

（4）供应商包括基础设施和应用系统的供应商以及IT运维服务的供应商。

（5）运维部门和人员包括内部参与运维活动的相关部门和人员，以及提供运维服务的企业和相关人员。

4.2运维服务流程

IT运维服务管理流程涉及问题管理、配置管理、变更管理、发布管理、知识管理及供应商管理等，随着运维活动的不断深入和持续改进，其他流程可能会逐步独立并规范。

4.2.1问题管理

问题管理流程的主要目标是预防问题和事故的再次发生，并将未能解决的事件的影响降低到最小。

问题管理流程包括诊断事件根本原因和确定问题解决方案所需要的活动，通过合适的控制过程，尤其是变更管理和发布管理，负责确保解决方案的实施。

问题管理还将维护有关问题、应急方案和解决方案的信息。

问题管理是针对已处理事件的遗留问题或处理事件的方案只是治标不治本的不能彻底解决问题而考虑的模块。

根据事件、及处理方案，问题处理人经过调查、诊断并提出最终解决方法。

4.2.2变更管理

变更管理实现所有基础设施和应用系统的变更，变更管理应记录并对所有要求的变更进行分类，应评估变更请求的风险、影响和业务收益。

其主要目标是以对服务最小的干扰实现有益的变更。

变更管理是要对重大资源的新增、变更、升级等运维活动进行审核的功能，以免这些活动对现有资源的可用性造成没有必要的影响和破坏。

4.2.3配置管理

配置管理流程负责核实基础设施和应用系统中实施的变更以及配置项之间的关系是否已经被正确记录下来；确保配置管理数据库能够准确地反映现存配置项的实际版本状态。

配置管理实际上是全部资源的统一管理的功能，包括资源整个生命周期的参数或配置的变化记录的管理。

管理信息主要涉及分类、型号、版本、位置，状态、相关资料等基本信息还包括核心参数等。

4.2.4发布流程

软件开发完，开发人员完成自测，然后提交给测试人员测试。

测试人员完成测试后反馈是结果，开发人员根据测试结果修复BUG。

直到测试没有BUG后，软件负责人通知研发、市场、销售、客服各相关部门发布时间，最后由运维人员进行发布。

5、应急服务响应措施

运维项目组制定了详尽的应急处理预案，整个流程严谨而有序。

但在服务维护过程中，意外情况将难以完全避免。

我们将对项目实施的突发风险进行详细分析，并且针对各类突发事件，设计了相应的预防与解决措施，同时提供了完整的应急处理流程。

5.1应急预案实施基本流程

5.2突发事件应急策略

（1）运维人员平时应做好应急事件的监控工作，对于突发事件应认真分析、准确判定故障发生的数据域，负责跟踪该事件直至其结束。

（2）正常情况下，要求运维人员在10分钟内进行事件确认。

如果属于一般事件则按照事件流程进行分派处理，否则应迅速启动《应急预案》，并严格按照《应急预案》所规定的步骤快速实施应急处置，及时汇报上级领导，掌握实时处理情况。

（3）在处理过程中，如需其他部门去现场增援处理，应及时向上级领导部门汇报，协调沟通，尽快联系技术工程师或厂家技术支持赶赴现场援助处理。

6、服务管理制度规范

6.1服务时间

（1）运维人员需要7*24小时接听电话，解决内部的技术问题和系统问题。

（2）服务响应时间：

故障级别

响应时间

故障解决时间

I级：

属于紧急问题；其具体现象为：

系统崩溃导致业务停止、数据丢失。

10分钟，30分钟内提交故障处理方案

3小时以内

II级：

属于严重问题；其具体现象为：

出现部分部件失效、系统性能下降但能正常运行，不影响正常业务运作。

10分钟，30分钟内提交故障处理方案

6小时以内

III级：

属于较严重问题；其具体现象为：

出现系统报错或警告，但业务系统能继续运行且性能不受影响。

10分钟，30分钟内提交故障处理方案

12小时以内

IV级：

属于普通问题；其具体现象为：

系统技术功能、安装或配置咨询，或其他显然不影响业务的预约服务。

10分钟，2小时内提交故障处理方案

24小时以内

6.2行为规范

（1）遵守用户的各项规章制度，严格按照用户相应的规章制度办事。

（2）与用户运行维护体系其他部门和环节协同工作，密切配合，共同开展技术支持工作。

（3）出现疑难技术、业务问题和重大紧急情况时，及时向负责人报告。

（4）现场技术支持时要精神饱满，穿着得体，谈吐文明，举止庄重。

接听电话时要文明礼貌，语言清晰明了，语气和善。

（5）遵守保密原则。

对被支持单位的网络、主机、系统软件、应用软件等的密码、核心参数、业务数据等负有保密责任，不得随意复制和传播。

7、代码管理

为了规范代码库分支管理和版本管理，使代码分支及版本结构清晰，方便维护，并避免由于维护造成的错误的版本发布等问题。

代码统一用gitlab进行管理，各分支使用办法说明如下：

7.1master分支

master分支上存放的应该是随时可供在生产环境中部署的代码。

当开发活动告一段落，产生了一份新的可供部署的代码时，master分支上的代码会被更新。

同时，每一次更新，都有对应的版本号标签（TAG）。

7.2Release分支

Release分支上方的是测试环境和准生产环境部署的代码，每次部署时，将代码从dev合并到release上。

版本发布时release分支通过了所有的测试后，并且代码已经足够稳定时，就可以将所有的开发成果合并master分支。

。

7.3Dev分支

Dev是开发分支，所有人在这个分支上进行开发。

dev分支是保存当前最新开发成果的分支。

7.4紧急BUG、小版本

需要发小版本、修复紧急bug时，拉取最新master的代码，建立新的分支，修改好后由运维将新的分支合并到master上，同时对于master分支上的新提交的代码打上一个新的版本号标签（TAG），供后续代码跟踪使用。

8、安全管理人员

8.1信息安全组织机构涉及的相关角色分配如下

组长：

蒋欣

副组长：

刘雨鑫

组员：

黄羽翔、韩鸿昌

9、安全组织职责

9.1安全组组长、副组长职责

9.1.1贯彻执行国家和上级部门关于信息安全的方针、政策。

9.1.2制定和组织实施信息安全建设和发展的总体规划。

9.1.3负责信息安全的所有工作；

9.1.4领导小组审查并批准的信息安全制度；

9.1.5分配安全管理总体职责；

9.1.6在网络与信息资产暴露于重大威胁时，监督控制可能发生的重大变化；

9.1.6对安全管理的重大更改事项（例如：

组织机构调整、关键人事变动、信息系统更改等）进行决策；

9.1.7指挥、协调、督促并审查重大安全事件的处理；

9.1.8对重大安全项目的可行性进行表决。

9.2安全组组员职责

黄羽翔：

负责执行安全工作组所承担的各项安全职责；

负责协调各部门安全管理员完成日常安全工作；

负责贯彻执行单位网络信息系统（包括网络、主机、应用和终端系统上）的各项具体安全工作要求；

负责执行信息安全工作制度及管理流程的实施，并对其进行监督检查工作；

负责监督各部门信息安全策略的执行情况；

负责完成安全工作组下达的各项任务。

韩鸿昌：

数据库设计系统存储方案，并制定未来的存储需求计划。

创建数据库存储结构，创建数据库对象。

根据开发人员的反馈信息，必要的时候，修改数据库的结构。

登记数据库的用户，维护数据库的安全性。

控制和监控用户对数据库的存取访问。

监控和优化数据库的性能。

保证数据库的使用符合知识产权相关法规。