1、信息服务管理规范计算机信息系统运营和维护管理规范前言信息服务管理规范依据ISO/IEC20000:2005“信息技术服务管理”标准,及其它国家和行业相关法律、法规制订。本规范为信息服务资费标准的引导性文件。 信息服务管理规范分为 10 部分:第一部分:总则第二部分:计算机信息系统集成管理规范第三部分:计算机信息系统运营和维护管理规范第四部分:软件服务管理规范第五部分:数据加工和处理管理规范第六部分:内容和增值服务管理规范第七部分:数据库服务管理规范第八部分:电子商务服务管理规范第九部分:信息化工程监理规范第十部分:其它专业类服务管理规范目录前言 -2目录 -3第三部分 计算机信息系统运营和维护
2、管理规范 -61 适用范围 -62 规范性引用文件 -63 定义和术语 -63.1 服务台 -63.2 事件 -73.3 问题 -73.4 突发事件 -74 要求 -75 运营和维护服务类型 -75.1 基础服务 -75.2 性能优化服务 -85.3 增值服务 -86. 运营和维护服务内容 -86.1 基础服务内容 -86.2 性能优化服务内容 -137 服务台管理 -147.1 服务台功能 -157.2 服务台流程 -157.3 优先级 -168 运营和维护管理体系 -169. 运营管理 -179.1 运营管理目标 -179.2 需求分析 -179.3 运营计划 -179.4 过程管理 -1
3、79.5 协调与沟通 -179.6 服务交付 -1810 维护管理 -1810.1 维护管理目标 -1810.2 需求分析 -1910.3 维护计划 -1910.4 沟通与协调 -1910.5 问题管理 -1910.6 维护方式 -2010.7 维护确认 -2010.8 维护跟踪 -2111 突发事件管理 -2111.1 评估与分类 -2111.2 突发事件处理 -2112 管理机制 -21第三部分 计算机信息系统运营和维护管理规范 1 适用范围本规范规定了提供计算机信息系统运营和维护服务的各类组织实施计算机信息系统运营和维护服务管理的范围、目的、性质和原则。本规范适用于计算机信息系统运营和维
4、护服务活动涉及的各类组织。2 规范性引用文件下列文件中的条款通过本规范的引用而成为本规范的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本规范,然而,鼓励根据本规范达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本规范。信息服务管理规范 第一部分:总则3 定义和术语信息服务管理规范 第一部分:总则确立的以及下列定义和术语适用于本部分。3.1 服务台信息服务单位设置的与用户之间的接入点,负责记录、分解、监控运营维护中的事件;受理投诉、意见、建议;与用户沟通,提出事件的处理和解决方案及意见反馈等。3.2 事件计算机信息系
5、统运营过程中发生的问题、故障等情况。3.3 问题影响计算机信息系统运营的各种需要解决的疑难、缺陷等。3.4 突发事件突然发生的、未曾预防的、需要立即处理的紧急事件、灾害事故等。4 要求本部分遵循信息服务管理规范 第一部分:总则的一般原则和要求,重点描述计算机信息系统运营和维护服务类型、服务内容以及运营和维护管理等。计算机信息系统运营和维护服务的一般原则和要求,参照信息服务管理规范 第一部分:总则执行。在计算机信息系统运营和维护服务中,应同时使用信息服务管理规范 第一部分:总则和本部分。在计算机信息系统运营和维护服务中,应根据信息服务管理规范 第一部分:总则确立的原则和要求,制订服务等级协议,划
6、分服务等级。5 运营和维护服务类型5.1 基础服务确保计算机信息系统安全稳定运营,必须提供的基础性的保障和维护工作。5.2 性能优化服务计算机信息系统在运营过程中,各项应用(硬件基础平台、系统平台、存储平台、应用系统平台、安全平台等)、各项业务的性能、效能的优化、整合、评估等服务。5.3 增值服务保证计算机信息系统运营的高效能、高效益,最大限度的保护并延长已有投资,在原有基础上实施进一步的应用拓展业务。6. 运营和维护服务内容6.1 基础服务内容6.1.1 物理环境管理和维护.机房管理和维护为保证机房内所有设备的安全、稳定、无故障运行,监控机房的环境、监测并定期检查电源、通风、接地等所有机房设
7、施的工作状态,发现并报告问题和提出变更建议。 a)电源管理:将电源有效分配到系统中不同的设备组件。应考虑电源设备参数对设备的影响,如过压、过流、浪涌、短路等。b)等电位管理:应设置配电系统、各类电子设备及附属设施、防雷等的等电位体,并考虑静电防护、感应雷电可能形成的电磁脉冲和过电压的干扰和毁坏等。c)设备管理:计算机信息系统设备的日常运行和管理、可靠性评价。d)环境管理:应考虑机房内通风、温度、湿度、灰尘、灯光等的配置;考虑机柜放置与冷却效率和制冷单元热点的关系;以及可能因功能扩大引起的冷却效率问题等。 e)灾害预防:应考虑物理和自然灾害发生的可能性,制定应急预案。.其它管理和维护a)布线系统
8、管理和维护:监控、诊断、分析设备间、弱电井等区域配线设备、线缆、信息插座等设施,及网络通信线路的工作状态和可能的故障状态,发现并报告问题,提出维护建议,保证系统运行的高可靠性和维护的高效率。b)监控系统管理和维护:监控、诊断、分析门禁系统、各类监控设备等的运行状态、参数变化、提示信息等,发现并报告问题,及时变更、维护,保证监控系统的可靠性。6.1.2 网络基础设施管理和维护为保证路由设备、网络交换设备等网络基础设施的安全性、可靠性、可用性和可扩展性,保证网络结构的优化,定期评估网络基础平台的性能,制定故障维护预案,及时消除可能的故障隐患,制定应急预案,保证网络基础平台的高可靠性、高可用性。6.
9、1.3 数据存储设施为保证数据存储设施,如服务器设备、集群系统、存储阵列、存储网络等,以及支撑数据存储设施运行的软件平台的安全性、可靠性和可用性,保证存储数据的安全,定期评估存储设施及软件平台的性能,确认数据存储的安全等级,制定故障应急预案,及时消除故障隐患,保障信息系统的安全、稳定、持续运行。6.1.4 系统平台管理为保证操作系统、数据库系统、中间件、其它支撑系统应用的软件系统及网络协议等的安全性、可靠性和可用性;定期评估系统平台的性能,制定系统故障处理应急预案,及时消除故障隐患,保障信息系统的安全、稳定、持续运行。6.1.5 应用系统管理和维护保证在系统平台上运行的各类应用软件系统的安全性
10、、可靠性和可用性,定期评估应用软件系统的性能、功能缺陷、用户满意度等,及时或与开发商沟通消除应用系统可能存在的安全隐患和威胁、根据需求更新或变更系统功能。6.1.6 数据管理和维护数据管理是系统应用的核心。为保证数据存储、数据访问、数据通信、数据交换的安全,定期评估数据的完整性、安全性、可靠性;制定备份、冗灾策略和数据恢复策略,消除可能存在的安全隐患和威胁。.数据安全性管理和维护a)安全评估。应对数据的完整性、可靠性、可用性和保密性等要素进行评估,制定数据管理和数据恢复策略,保证数据的安全。b)数据访问控制:应制定数据访问控制策略、访问权限控制策略、非授权访问处理策略,防止未经授权的数据访问、
11、修改、移动、删除、毁损等。c)数据存储与冗灾:应制定数据存储、数据冗灾策略,评估数据存储的安全性,保证数据存储的完整性、可靠性;制定数据存储事件处理预案;d)数据通信安全:应评估数据通信的安全性,制定数据通信的安全策略,保证数据的完整性、可靠性、保密性和不可抵赖性;制定数据通信应急处理预案;.媒介安全性管理和维护应制定媒介管理、权限策略,制定媒介泄露的处理策略,明确责任,保证数据保管的安全。6.1.7 安全管理和维护保证物理环境和系统运行的安全,物理环境安全包括机房监控、门禁系统、灾害预防、等电位系统、消防系统等等;系统运行安全包括风险评估、安全策略、安全机制、安全级别、病毒防护、补丁管理等等。定期检查和评估可能的安全隐患、缺陷和威胁,制定安全恢复预案。.风险评估应对系统的安全威胁、脆弱性、漏洞进行评估,对安全管理进行评估,制定风险应对策略和风险处理机制,及时消除或弱化风险,并将残余风险控制在可控范围内。 .安全策略应制定物理环境、基础平台、数据、应用软件、事件管理等的信息安全策略,实行信息安全教育,明确责任,采取相应的安全措施,实施安全策略的综合管理。.安全级别应根据 GB17859-1999计算机信息系统安全保护等级划分准则,评估安全等级,定义安全级别。.安全机制