1、信息安全运维服务流程审 核:XXX批 准:XXX版本.修改号:A.0受 控 状 态:受控XXX年XX月XX日发布 XXX年XX月XX日实施XXX 公司1. 安全运维服务流程流程图根据目前安全运维的整体情况,制定了运维服务流程图,具体流程如下图:需 求 调 研 与 分 析报 价 与 成 本 核 算合 同 签 订运 维 方 案 设 计 与 编制运 维 服 务 实 施 阶 段 运 维 服 务 配 置 管 理信 息 安 全 管 理服 务 报 告终 验 和 总 结 报 告1.1 需求调研与分析依据公司自身的运维服务业务定位,业务部负责对客户需要运维的信息系统现状、安全设备设施等内容进行调研,通过会议或者
2、讨论等方式采集客户服务需求和服务目标,明确客户的系统运维服务时间、服务期限、服务内容以及相关服务方式频次等需求,并将调研信息总结整理形成调研分析报告。1.2 报价与成本核算由公司项目组成员结合公司市场部门,对运维项目的服务内容进行工作量和工作成本的预估。成本核算主要根据信息系统的运维服务时间、工作量、服务方式、服务内容、以及相关人日费用进行。将个单项服务的设备费用、和人力成本等费用总和考虑核算出单项和整体项目的成本以及相应的项目报价。1.3 合同签订公司项目部门与客户研讨后制定合同方案,并签订项目合同。合同中应明确运维服务的范围、项目周期、服务内容、运维方式、合同金额、付款方式、保密条款、验收
3、条件等。1.4 运维方案设计与编制根据系统安全运维的实际需求,公司项目部分负责编制安全运维服务方案。服务方案中应明确制定运维服务时间、服务内容、服务方式、服务期限、项目组成员和项目主要沟通联络负责人、服务汇报材料、项目相关的质量管理程序和措施以及运维服务中的风险管理等。其中,运维时间与期限应写明项目运维起止时间和交付验收的时间节点;服务内容应列出运维服务设备清单和系统边界,以及运维服务的安全检查项目和运维服务周期。1.5 运维服务实施阶段根据运维服务的方案进行服务实施。主要根据资产列表对设备和系统进行分类、标识,对系统中的配置信息进行备份和安全检查。对方案中周期性维护的设备和系统,应做好维护记
4、录:巡检、安全查杀、备份、更新、升级、故障排查等。由项目经理负责汇总并整理,最终形成月报、季报和年度总结报告。1.6 运维服务配置管理配置管理的目的是通过将客户组织、信息、关系进行集中、统一管理,为服务过程提供基础的数据支持,以优化服务流程、提高服务效率、确保服务质量。配置管理范围是公司运维合同范围内的客户的生产和运行环境中的硬件、软件、应用系统、信息资源、服务包以及组织人员等。配置管理应使用有效管理工具,以确保在运维服务过程中,能够掌握客户信息系统及时准确的配置信息,更快、更简化、更彻底地识别各个信息基础设施的属性及关系。在事件、问题、变更和发布等流程活动中,通过管理工具,可以随时调取配置管
5、理数据库中的对应数据,为上述过程提供基础信息。同时,在上述过程中,可以即时生成配置信息变更请求,通过变更管理和配置管理流程的有效配合保障配置管理数据库的准确性。配置经理在执行过程中对发现的问题进行改进,过程记录予以保持。1.7 服务报告服务报告管理的目的是为客户提供及时、可靠、准确的服务信息,同时对公司在运维服务过程中的行为有效的管理。服务报告分为主动服务报告和被动服务报告,公司服务报告应对建立、审批、分发和归档进行控制,确保报告产出及时、条理清晰、信息可靠和准确,报告应得到相关各方的认可。服务报告内容应涵盖以下方面:服务级别目标的绩效达成情况;提供服务过程中产生的不符合项和问题;工作量特征和
6、数量特性;重要事件的绩效报告;定期趋势信息;满意度分析等。在服务报告中,对发现的问题,应明确处理意见、制定纠正措施,并与问题的相关方沟通。1.8 信息安全管理信息安全管理的目的是确保公司提供给客户的信息安全技术运行维护服务是安全的,实现客户利益。应制订详细的安全自查和隐患分析计划,定期进行安全自查和隐患分析。在人员、物理、网络、系统、数据、应用、管理等方面进行安全检查,查找安全漏洞,采取有效的措施予以解决。安全自查和隐患分析分为局部自查和全面自查两种方式,局部自查指的是根据信息系统目前的安全状态进行重点自查,全面自查指的是针对整个信息系统进行全面自查。局部自查随时进行,全面自查一年至少要进行一次,相关过程记录予以保持。1.9 终验和总结报告项目完结后,应当由项目组负责人将项目汇报材料整理后,形成符合客户验收条件的验收性文件或总结性报告。报告中将体现运维服务的主要内容和运维情况的统计与分析,并提出相应建设性意见和建议。