最新信息系统安全资质认证运维服务规范.docx

1、最新信息系统安全资质认证运维服务规范信息系统安全资质认证运维服务规范信息系统运行维护技术服务规范审核：XXX批准：XXX版本：BS-YWFW-19002受控状态：受控XXXXXX科技有限公司1前言 信息系统运行维护技术服务规范本指导性文件由XXXXXX科技有限公司提出。本规范的提出是为了规范公司运维部门的运维管理工作，使得相关工具有持续改善性及相互协作性，支撑公司系统的健康的运行，本规范适用于XXXXXX科技有限公司运维服务部门所有岗位人员。2范围本部分规定了本规范中信息系统设备运行维护技术服务规范，包括设备、软件、服务运维技术服务体系结构、基本流程和各类系统的运行维护的管理规范。本部分主要适

2、用于信息系统设备安全运行维护技术服务工作的要求，供各相关负责部门在开展信息系统安全运维服务过程中参照执行。 3规范性引用文件下列文件中的条款通过本部分的引用而成为本部分的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本部分，然而，鼓励根据本部分达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本部分。 GB/T 24405.1-2009 信息技术服务管理第 1部分：规范 GB 1526-89 ( ISO 58071985 ) 信息处理数据流程图、程序流程图、系统流程图、程序网络图和系统资源图的文件编制符号及约定 GB/

3、T 11457-1995 软件工程术语 GB/T 5271 信息技术词汇 GB 50462-2008 电子信息系统机房施工及验收规范 ISO/IEC 20000-2:2005 信息技术服务管理第 2部分：实践规则 GB/T 14079-93 软件维护指南GB16260-1996 信息技术 软件产品评价 质量特征及其使用指南GB/T16680-1996 软件文档管理指南GB/T 12504-90 计算机软件质量保证计划规范4术语和定义规范性引用文件中规定的有关术语和定义以及下列术语和定义适用于本部分。 A：系统指由种类不同的、相互作用的、专门的结构、机器、子功能部件所组成的一个完整的整体。本规范

4、所指系统由系统软件、应用软件、系统硬件和固件、外围设备、网络设备等组成。 B：软件配置软件配置是通过在软件生命周期的不同的时间点上对软件配置进行标志并对这些被标志的软件配置项的更改进行系统控制从而达到保证软件产品的完整性和可溯源性的过程。C：设备本规范所指“设备”信息系统基础设施中的计算机系统设备、外围设备、网络设备和其它相关电气设备。 D：软件本规范所指“软件”指信息系统中的基础软件、业务软件、办公软件、中间件。E：计算机系统设备指信息系统中的计算机主机，是一套可独立完成信息处理的自动化数据处理系统。作为网络专用服务器的计算机系统不包括在计算机系统设备内，属于网络设备。同时作为信息系统主机和

5、网络服务器的计算机系统设备应将与网络支持相关的部分设备管理纳入网络设备部分。 F：外围设备信息系统中除计算机主机外的其他设备。包括输入和输出设备、外存储器、模数转换器、数模转换器、外围处理机等。是计算机与外界接口的工具。例如：打印机、磁盘驱动器、外置大容量存储设备、键盘等。 G：网络设备指相互连接构成信息系统网络环境的设备。一般包括：网络服务器；集线器；路由器；交换机；网关；网络桥接器等为实现网络通讯所需的构成网络的物理设备。在实用无线接入的系统中，无线 AP设备与相关的无线接入设备也属于网络设备。网络服务器与信息系统主机共用计算机系统时，属于网络技术支持部分的设备纳入网络设备管理。 H：其它

6、相关电气设备本规范定义的其它相关电气设备主要指供电和安全防护的电气设备，如：UPS电源、防雷设施、门禁、监控等。供电系统中的相关电气设备直接关系到信息系统设备的可用性、持续性和安全性，在设备运行维护中管理。 I：例行测试更新硬件：由人工或自动方法来执行或评价系统或系统部件的过程，以验证它是否满足规定的需求；或识别出期望的结果和实际结果之间有无差别。测试是设备运行维护的常规手段。 软件：按照软件运行维护协议或规则进行的常规测试；软件更新对原有软件进行问题修复俗称“补丁“、功能优化、界面修改、性能提升等方面的操作行为；J：测试规程对给定的测试，就其建立、运行和结果估计所作的详细说明。通常可以把一组

7、有关的过程组合起来形成测试规程文件。信息系统设备运行维护的测试流程按测试规程规范执行。 K：测试报告描述对系统或系统部件进行的测试行为及相应结果的文件，是信息系统安全运行维护的规范文档。 L：系统测试测试整个硬件和软件系统的过程，以验证系统是否满足规定的需求。 5运维服务规范 5.1运维服务体系结构信息系统安全运维服务体系结构由服务支撑要素、服务阶段、服务内容以及服务分系统构成，各部分的组成和相互关系详见下图。信息系统安全运行维护服务体系结构图5.2运行服务阶段服务阶段主要包括服务响应、服务策划、服务实施和服务发布四个阶段：A：服务响应是的启动条件是服务请求，包括与服务提供内容相关的应用服务、

8、系统事件、变更（指协议、细则之内规定的变更）或配置、维修事件等请求；B：服务策划是服务实施流程需要的输入；C：服务实施是按照规范的服务流程完成服务请求并提交发布服务情况的报告；D：服务发布是服务流程的输出。5.3运维服务内容服务内容可以规范为两大类11个子项，各部分内容的相互联系见下图运维服务内容相互关系图A：服务台服务台是提供住处系统运维的前台，是为用户提供联系相关部门及人员的关键节点，受理用户咨询。同时，服务台也为内部服务请示事件的处理建立相关部门及人员的联络点。服务台直接与用户请求的事件管理和服务问题管理相关，在配置管理、发布管理、变更管理中起到衔接的作用。B：服务提供级别管理、可用性管

9、理、能力管理、持续性管理、财务管理等五项直接与运维服务提供关联。服务级别管理：指为提供服务而进行的会议、定义、评价、管理、改进的涉及质量水平管理的流程。管理的基本内容一般应包括：服务级别协议、营运级别协议、服务支持合同和服务质量计划。服务可用性管理：“可用性”，指按照服务级别管理的相关协议，提供相应级别服务的有效性和利用率。服务可用性管理包括：与服务级别协议关联的可用性；与营运级别协议关联的可靠性和可维护性；与支持合同关联的可服务性。可用性管理的质量一般表现为客户的稳定度和满意度。服务能力管理：指在恰当的时间，以恰当的方式，经济、节约地为服务请求提供所需要的能力的管理流程。能力管理需要顾及恰当

10、成本条件下提供最佳效率的方式；现有能力是否已经发挥到系统的最大效率；服务能力与用户需求的吻合度；能力扩展需求的预期时间和扩展程度等。服务持续性管理：与意外事件的发生不同，信息系统在“灾害”发生的情况下通常都不可能继续提供服务。服务持续性管理就是预防并尽可能避免灾害发生的管理流程。服务财务管理：指按照客户需求在服务质量与成本之间进行协调使之达到平衡的管理流程。服务财务管理的目标应该是通过对系统基础设施的成本控制与管理促进高效、合理、经济地使用系统资源。 C：服务支持服务支持与服务的平台和环境要素关联，这些要素与服务的成功提供和服务品质保障相关，是维护范畴的内容，包括：事件管理，问题管理、配置管理

11、、变更管理、发布管理。事件管理：事件，指系统服务中存在或可能存在的影响服务的因素。事件的发生不属于标准操作，而且往往导致客户不能获得正常、有效的服务。事件管理就是为了消除或减少事件发生，和事件发生后能尽快处理使用户能在最短的时候内恢复其需要的功能。问题管理：问题管理就是调查系统基础设施和所有获得的信息并确定引起事件发生的真正的潜在原因以及服务中可能存在的隐患。配置管理：配置管理面向信息系统的基础设施，有两个层次的功能：一是核查并证实系统基础设施所作的变更已经如实、准确地记录在案；二是监控系统中各组成构件的运行状态并保证配置管理数据库准确反映现存基础设施的配置项与实际运行的版本吻合。变更管理：信

12、息系统是基础设施和应用平台都可能处于不断的调整、更新、变换等状态。运维服务也将随着用户需求、技术更新、产品更新而相应地不断调整。变更管理就是管理变更的全过程，以使任何变更都不会影响到现阶段运维服务而导致服务不能有效提供甚至发生严重的错误。发布管理：新增的配置项或变更后的配置项通过发布记录下来并在这些配置项经过测试验证后引入实际的运行环境。发布管理关注变更管理的实施结果。5.4运维服务分系统根据当前信息系统运行维护服务的实际情况，对信息系统安全运行维护服务分系统规范为九大类：数据设备运行维护、安全设备运行维护、IT设备运行维护、基础软件运行维护、应用软件运行维护、业务软件运行维护、数据库运行维护

13、、外围设备运行维护、计算机系统运行维护。各分系统定义工作流程时可以参考但不限定按照本规范公用性的模式化结构进行规划，原则上依据分系统的技术服务特点，以服务内容为流程，以服务阶段为时间序，安排适合各分系统的支撑要素，实现统一指挥、整体规划、分项实施的方式进行。对于不便按以上方式划分系统类型的信息系统，可根据其特点，综合参考各系统类型的安全运维服务要求执行。5.5运维服务组织架构为实现以流程为导向、客户满意和服务品质为核心的信息系统安全运维服务管理，并适应不同模式的管理需要，信息系统安全运维服务需要提供方采取合理、高效的技术组织结构。一般情况下，服务组织由服务执行组和服务管理组构成。信息系统安全运

14、维的组织架构与信息系统运维服务活动角色相对应，其中，服务管理组对应运维服务管理者，成员主要由项目负责人、流程管理人员构成；服务执行组对应服务提供者，成员主要由前台客服人员、技术支持团队包括但不限于硬件工程师、软件工程师、系统工程师。组织架构图如下图3所示：信息系统安全运维组织架构图5.6基本流程 5.6.1例行测试维护 5.6.1.1例行测试按照设备运行维护服务协议或规则进行,依据设备测试规范执行的常规测试活动。例行测试流程示如表所示。例行测试流程输入条件测试人员工程师技术服务经理按照设备运行维护服务协议制定的例行测试方案流程结束文档存档，制定测试计划流程，开始测试和记录分析，不需维护/需维护

15、例行测试报告维护有故障无故障申请进入故障诊断处理例行测试流程的关键点主要包括如下方面： a）开展例行测试前应先制定测试计划； b）测试人员对记录的测试结果进行分析，对有需要维护的设备则移交维护工程师进行设备维护； c）维护工程师在设备维护后发现设备有故障，则向技术服务经理申请转入故障诊断处理流程； d）例行测试完成后应编制例行测试报告，并与例行测试过程中产生的文挡一并归档。例行测试流程图5.6.1.2例行维护指按照设备生产厂商规定的维护手册或设备测试规程实施的设备维护活动。例行维护流程示如表所示：例行维护流程输入条件维护工程师技术服务经理按照维护手册或设备维护活动制定例行维护方案流程结束文档存档实施例行维护流程开始维护和记录分析有故例行维护报告无故障障申请进入故障诊断处理例行维护流程的关键点主要包括如下方面： a）开展前应制定例行维护实施方案； b）维护工程师对记录的维护情况进行分析，对在维护后发现设备有故障，则向技术服务经理申请转入故障诊断处理流程； c）例行维护完成后应编制例行维护报告，并与例行维护过程中产生的文挡一并归档。 例行维护流程图5.6.2故障诊断与修复指按照设备生产厂商提供的设备测试检