DB32T 4448-2023信息系统运行维护体系建设指南

ICS25·040CCSL70江苏省地方标准DB32/T4448一2023信息系统运行维护体系建设指南2023-02-06发布2023-03-06实施江苏省市场监督管理局中国标准出版社发布IDB32/T4448—2023目次前言 Ⅲ1范围 12规范性引用文件 13术语和定义 14运行维护体系框架 25最高管理层职责 36运行维护对象 47运行维护内容 48运行维护过程 59运行维护支撑 7附录A(资料性)信息系统运行维护过程交付参考 11附录B(资料性)信息系统运行维护过程与内容对应关系 12ⅢDB32/T4448—2023前言`本文件按照GB/T1.1—2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由江苏省软件和信息技术服务标准化技术委员会提出并归口。本文件起草单位:江苏省电子信息产品质量监督检验研究院(江苏省信息安全测评中心)、江苏省联合征信有限公司、航天新气象科技有限公司、江苏省财政厅财政信息管理中心、中国烟草总公司江苏省公司、江苏省海洋经济监测评估中心、南京联成科技发展股份有限公司、苏州经贸职业技术学院、江苏省水利信息中心、苏州如意云网络科技有限公司、江苏省食品药品监督信息中心、南京中新赛克科技有限责任公司、江苏中威科技软件系统有限公司。1DB32/T4448—2023信息系统运行维护体系建设指南1范围本文件给出了信息系统运行维护体系框架、最高管理层职责、运行维护对象、运行维护内容、运行维护过程和运行维护支撑的建议:本文件适用于提供信息系统运行维护服务的组织或开展信息系统运行维护的用户单位建立信息系统运行维护体系、评价和改进自身的运行维护服务能力:2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款:其中、注日期的引用文件、仅该日期对应的版本适用于本文件;不注日期的引用文件、其最新版本(包括所有的修改单)适用于本文件:GB/T28827.1信息技术服务运行维护第1部分—通用要求GB/T29264/2012信息技术服务分类与代码GB/T36074.2/2018信息技术服务服务管理第2部分—实施指南3术语和定义GB/T28827.1、GB/T29264/2012和GB/T36074.2/2018界定的以及下列术语和定义适用于本文件:3.1信息系统informationsystem由计算机硬件、网络和通信设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统:3.2运行维护活动operationandmaintenanceactivities为满足业务需求、组织采用信息技术手段及方法、对其所使用的信息系统运行环境、业务系统等提供的各种技术支持和管理的活动:3.3运行维护体系operationandmaintenancesystem为满足运行维护活动(3.2)绩效要求的相互关联或相互作用的一组要素:3.4运行维护对象operationandmaintenanceobiect运行维护活动(3.2)的受体:3.5运行维护内容operationandmaintenancecontent根据信息系统运行维护需求、面向运行维护对象(3.4)开展的调研评估、监控巡检、例行维护、响应支持、优化改善和安全通告等活动:2DB32/T4448一20233.6组织organization职责、权限和相互关系得到安排的一组人员及设施。[来源:GB/T36074.2—2018,3.1,有修改]3.7相关方interestedparty与组织的业绩或成就有利益关系的个人或团体。[来源:GB/T36074.2—2018,3.2,有修改]4运行维护体系框架信息系统运行维护体系框架由最高管理层职责、运行维护对象、运行维护内容、运行维护过程和运行维护支撑五部分构成,其中:a)最高管理层职责涵盖确定运行维护范围内容、制定运行维护方针与目标、职责权限、管理制度、资源保障、合规保证、监视测量和持续改进8个方面;b)运行维护对象包括物理环境、网络系统、主机系统、应用系统、信息数据、虚拟资源和其他7个类别;c)运行维护内容包括调研评估、监控巡检、例行维护、响应支持、优化改善和安全通告6个类别;容量管理、供应商管理、可用性和连续性管理及信息安全管理11个过程;e)运行维护支撑涵盖人员、资源、技术和资金4个方面。在组织最高管理层的指导下,组织宜制定运行维护管理过程规范,对运行维护对象进行管理,在人员、资源、技术和资金的保障下开展运行维护活动,通过实施运行维护管理过程规范运行维护活动内容,持续提升组织的运行维护能力。信息系统运行维护体系框架如图1所示。3DB32/T4448一2023图1信息系统运行维护体系框架5最高管理层职责为确保实现运行维护活动绩效、风险控制和合规性,最高管理层宜依据组织运行维护体系管理目标:a)明确运行维护范围和内容,确保运行维护范围、内容覆盖相关方的需求和期望;b)建立运行维护方针和目标,并确保其与组织环境、战略和业务需求保持一致;c)明确运行维护体系的组织结构、岗位职责和权限,确保其得到沟通、理解和执行;d)建立运行维护所需的制度、策略、程序、规范和实施记录等文件化信息;e)提供并确保运行维护体系建设所需的人员、工具、技术和资金等资源可用;f)确保运行维护活动和过程符合法律法规要求的重要性得到共识;g)基于风险思维管理运行维护体系,评估风险对运行维护成果的影响,明确考核机制和阶段性绩效指标,定期实施运行维护活动绩效的监督、考核和评价;h)推动持续改进,确保运行维护体系的适宜性、充分性和有效性。4DB32/T4448一20236运行维护对象运行维护对象包括物理环境、网络系统、主机系统、应用系统、信息数据、虚拟资源和其他,其中:a)物理环境:包括门禁系统、消防系统、监控系统、电气系统、通风空调系统、建筑弱电/智能楼宇系统等。b)网络系统:包括网络结构、网络边界、网络设备、安全设备和通信线路等。c)主机系统:包括硬件和软件。硬件包括终端/工作站、服务器、存储设备等;软件包括支持实现业务功能的各种软件和应用于自身管理的工具软件,如操作系统、数据库软件、中间件、系统软d)应用系统:包括支持业务运行或完成特定业务功能的应用系统,如电子邮件系统、财务系统、OA系统、ERP系统等。e)信息数据:包括在业务运行和运行维护过程中产生、处理、传输、存储的各类数据,如各类业务信息。f)虚拟资源:包括虚拟化主机、虚拟化存储、虚拟化网络和虚拟化应用等。g)其他:不能归为上述6个基本分类中的运行维护对象。7运行维护内容7.1总则组织根据自身业务需求,策划并确定运行维护内容,开展调研评估、监控巡检、例行维护、响应支持、优化改善和安全通告活动。7.2调研评估组织对运行维护对象的运行状况进行分析和评估,并提出具有针对性和可操作性的方案建议。7.3监控巡检组织根据业务需求制定监控巡检计划,对运行维护对象实施监控巡检,做好监控巡检记录,发现问题或隐患及时按照运行维护过程规范进行处置,包括:a)监控:对运行维护对象的动态指标、静态指标、运行状态、安全状况和发展趋势等进行记录、分析,对异常情况进行告警处理;b)巡检:对运行维护对象的监控记录、运行条件、运行状态和安全状况进行检查和趋势分析,通过病毒查杀、安全扫描等方式发现其脆弱性,以消除或改进。7.4例行维护组织根据业务需求制定例行维护计划,对运行维护对象进行日常维护,包括定期维护、配置备份、数据备份、数据恢复、健康检查和系统更新等活动,做好例行维护记录,发现问题或隐患及时按照运行维护过程规范进行处置。7.5响应支持组织根据业务需求实施响应支持活动,包括:a)用户请求响应:按照用户提出的各类运行维护请求,对运行维护范围、运行维护对象或运行维护内容等进行调整或修改,做好用户请求响应记录;5DB32/T4448一2023b)故障处理响应:在信息系统运行过程中出现软硬件故障,导致运行维护对象整体或部分性能下降、功能丧失时,消除故障影响,将运行维护对象恢复到正常状态,做好故障处理响应记录;c)事件应急响应:针对信息系统运行过程中发生的安全事件,按照应急处理流程对安全事件进行处理,做好事件应急响应记录与总结。7.6优化改善组织根据业务需求实施优化改善活动,包括:a)适应性改进:为保持运行维护对象在新环境中可持续运行,针对当前运行维护对象的运行情况,给出优化改进建议并实施优化改进;b)增强性改进:为增强运行维护对象的安全性、可用性和可靠性,针对当前运行维护对象的运行情况,给出优化改进建议并采取改进措施;c)预防性改进:针对运行维护对象运行过程中存在的潜在问题或缺陷,实施纠正改进。7.7安全通告组织根据业务需求定期分析运行维护过程中产生的各种数据,及时发现信息系统存在的安全隐患,同时跟踪操作系统、应用程序等各种最新的漏洞补丁更新,掌握最新的安全动态,将最新的高风险网络安全问题以最快的速度通告用户。8运行维护过程8.1总则组织识别和设计运行维护实施过程中的相关过程框架,确定各过程间的关系和接口,制定运行维护过程的目标、活动、输人输出等,以确保运行维护过程的规范性和运行维护价值的实现。信息系统运行维护过程关键输出参考见附录A。运行维护过程与内容对应关系见附录B。8.2级别管理组织依据运行维护体系建设要求和业务需求,通过定义、制定和管理运行维护级别,满足运行维护质量的要求,包括:a)建立运行维护级别管理过程,包括识别、约定、监控和评估等活动;b)根据运行维护考核评估要求,建立运行维护级别考核自评估机制,包括运行维护目标完成情况、达成率等;c)定期识别运行维护级别需求并实施调整。8.3事件管理组织建立事件管理过程,确保具有及时响应和解决事件的能力,包括:a)建立与事件管理过程一致的活动,包括事件识别、报告、事件受理、分类分级、调查和诊断、解决、进展监控与跟踪、关闭等,记录事件管理活动信息;b)建立事件分类、分级及升级机制;c)建立事件处理情况回访机制,并形成记录;d)定期统计分析事件数据与管理活动情况,建立事件管理评估及改进机制;e)将未知、无法解决和共性的事件,与问题管理建立必要的关联。6DB32/T4448一20238.4问题管理组织建立问题管理过程,识别和分析引起问题的根本原因并确定解决方案,以预防同类或共性事件的重复发生,包括:a)建立与问题管理过程一致的活动,包括问题识别、分类分级、调查和诊断、解决和关闭等,记录问题管理活动信息;b)建立问题分类、分级机制,包括问题的影响范围、重要程度、紧急程度并确定问题优先级;c)建立问题导人知识库的机制;d)定期统计分析问题数据与解决情况,建立问题解决评估机制;e)识别已知错误和问题,在没有彻底解决前,采取措施以减轻或消除问题对运行维护过程的8.5变更管理组织建立变更管理过程,确保变更有序实施,包括:a)建立与变更管理过程一致的活动,包括变更申请、评估、审核、实施、确认和回顾等;b)明确变更类型和变更范围,建立变更分类分级机制;c)准确、完整记录变更过程、结果和相关信息;d)对变更实施情况进行统计分析,建立变更管理活动评估机制,如变更实施成功率、紧急变更率、变更关联配置数等。8.6发布管理组织建立发布管理过程,确保一个或多个变更的成功导人,包括:a)建立与发布管理过程一致的活动,包括规划、评估、测试、部署和验证等,记录发布管理活动信息;b)建立发布类型和范围的管理机制;c)制定完整的发布方案,包括发布计划、测试方案、回退方案等;d)记录发布部署活动中的主要操作、结果和相关信息;e)对发布实施情况进行统计分析,建立发布管理活动评估机制,如发布成功率、发布及时率、发布回退率等。8.7配置管理组织建立配置管理过程,保证配置数据的完整性、准确性、可靠性和时效性,以对其他运行维护过程进行支持,包括:a)建立与配置管理过程一致的活动,包括配置项识别、收集、记录、更新和审核等,记录配置管理活动信息;b)建立配置管理访问审核机制,通过权限设置对配置管理数据进行访问控制;c)建立统一的配置管理数据库,并及时更新维护;d)建立配置管理数据库审计机制,对配置管理数据的正确性和完整性进行审计。8.8运维报告组织通过及时、准确、可靠的运行维护报告与相关方进行有效的信息沟通,为组织管理层提供决策支持,包括:a)建立与运行维护报告过程一致的活动,包括计划、编制、审批、提交和归档等;7DB32/T4448一2023b)根据运行维护内容建立有效的运行维护报告分类;c)根据报告类别建立运行维护报告模板,包括格式、提纲等;d)编制运行维护报告计划,包括报告接收对象、内容要求、提交方式、时间频次和报告形式等;e)运行维护报告编制完成并经过审批后按照运行维护报告计划进行提交。8.9容量管理为确保运行维护资产的数量和性能可以满足业务需求,组织进行容量管理,包括:a)建立与业务需求相一致的容量管理活动,包括识别、分析和调整等;b)识别出系统容量管理中需考虑的核心要素,如计算、存储、网络等;c)分析容量现状与业务需求的匹配程度;d)依据业务需求变化的趋势判断,有针对性地对资产容量进行调整。8.10供应商管理为确保供应商提供的服务能够满足业务需求,组织进行供应商管理,包括:a)建立与业务需求相一致的供应商管理活动,包括供应商选择、评价、监督和考核等;b)建立供应商分类分级机制,对供应商进行统一的生命周期管理;c)记录供应商合同执行的信息,定期评价供应商,及时对供应商进行调整。8.11可用性和连续性管理组织建立可用性和连续性管理过程,确保业务及运行维护的可用性和连续性,包括:a)建立与可用性和连续性管理过程相一致的活动,包括识别关键运行维护活动与业务应用,确定业务可用性和连续性需求和目标,定义可用性指标及目标值,对可用性进行监控、分析、评估、检查、记录并制定优化改进机制,建立和实施业务连续性计划,定期对业务连续性进行演练等;b)基于业务需求、运行维护目标和已识别的风险,明确业务可用性和连续性要求,制定保障及提高业务可用性的具体措施和计划,根据连续性要求,建立、实施并维护连续性计划,同时明确定义激活连续性计划的条件、程序、职责分工和恢复要求;c)针对连续性计划至少每年演练一次,并根据测试结果完善连续性计划;d)当已经激活了连续性计划,报告原因、影响、恢复活动及改进措施;e)当业务环境发生重大变更时,重新演练连续性计划的有效性。8.12信息安全管理组织建立信息安全管理过程,确保运行维护过程中的信息安全,包括:a)建立符合相关法律法规的信息安全管理制度,满足运行维护过程的信息安全需求,包括信息安全方针、目标和安全策略;b)建立与信息安全管理过程一致的活动,包括识别、评估、处置和改进等。9运行维护支撑9.1人员9.1.1总则为保证运行维护质量和目标达成,组织依据运行维护体系建设要求进行人员规划储备、岗位结构、人员聘用、人员培训、人员考核、人员离岗和能力评价等管理活动,确保人员能力满足运行维护需求。8DB32/T4448一20239.1.2规划储备组织依据运行维护体系建设要求和整体运行维护需求,进行人员规划和储备,包括:a)根据当前或未来运行维护活动需求,识别人员需具备的运行维护活动能力要求;b)根据组织当前人员能力现状,制定未来一段时间内的人员运行维护能力规划;c)按照岗位架构和人员运行维护能力规划,考虑人员储备投人成本及预期效益,建立与运行维护相关的人员储备机制,制定人员储备实施计划,并进行人员储备。9.1.3岗位结构组织依据运行维护体系建设要求和当前组织架构,建立岗位结构,确保人员能力在知识、技能、经验、安全意识等方面满足运行维护活动要求,包括:a)对运行维护活动中的不同岗位进行明确分工和职责定义,一个完整的运行维护团队包括管理岗、技术岗、操作岗等主要岗位:1)管理岗职责:负责管理运行维护活动;与运行维护相关方建立顺畅的沟通渠道,准确地将运行维护需求传递到运行维护团队;规划、检查运行维护的各个过程,对运行维护活动的。2)技术岗职责:负责运行维护中的技术支持,包括与运行维护活动或运行维护对象相关的技术等;对运行维护过程中的请求、事件和问题作出响应,保障信息安全并对处理结果负责。3)操作岗职责:负责运行维护中日常操作的实施,根据规范和手册,执行运行维护各过程,并对其执行结果负责。b)结合新技术、新模式、信息技术应用创新需求,明确各岗位在知识、技能、经验等方面需达到的c)明确运行维护活动对岗位的安全要求。d)对各岗位进行等级划分。e)识别关键岗位,针对关键岗位建立备份机制。9.1.4人员聘用组织根据岗位结构和运行维护人员能力要求,指定或授权专门的部门或人员负责人员聘用,包括:a)严格规范人员聘用过程,对被聘用人的身份、背景、专业资格和资质等进行审查,对其所具有的技术技能进行考核,并签署保密协议;b)从内部人员中选拔从事关键岗位的人员,并签署岗位安全协议。9.1.5人员培训组织按人员能力规划,识别培训需求,制定年度培训实施计划,并进行人员培训,确保人员在知识、技能、经验和安全意识等方面满足运行维护要求,包括:a)建立运行维护活动人员培训机制;b)根据业务需求和运行维护业务场景,在人员培训实施计划中考虑对应的培训内容、培训频次、培训对象等;c)实施人员培训,并对培训效果进行评价。9.1.6绩效考核组织按人员能力规划,进行人员绩效管理,以确保人员能力满足运行维护活动需求及运行维护价值的实现要求,包括:9DB32/T4448—2023a)建立运行维护活动人员绩效管理机制,b)根据绩效管理机制和人员能力规划、实施人员绩效管理:9.1.7人员离岗组织规范人员离岗管理、确保人员离岗信息安全、包括)a)严格规范人员离岗过程、及时终止离岗员工的所有访问权限,b)取回组织提供的各种软硬件设备,c)关键岗位人员离岗须在签订离岗保密承诺书后方可离开:9.1.8能力评价组织按人员能力规划、进行运行维护人员能力评价、包括)a)建立运行维护活动对应岗位的等级评价标准,b)建立运行维护活动团队和人员能力评价机制,c)实施团队和人员能力评价,d)依据评价结果对人员能力进行持续改进、需要时调整人员能力规划:9.2资源9.2.1总则组织具备足够的资源、以确保满足当;和未来的运行维护需求:9.2.2运维工具组织使用运行维护工具支撑运行维护活动、以提高运行维护活动效率与质量、包括)a)监控工具、对运行维护对象进行数据的采集和监控、评估可能导致运行维护对象故障的因素,b)过程管理工具、按照商定的运行维护级别管理运行维护的实施过程、过程管理工具一般包括日常运行维护管理、记录、测量、监督和评估等功能,c)专用工具、根据运行维护要求配备的安全工具和用于特殊要求的工具,d)定期评估运行维护工具的应用效果并改进:9.2.3服务台组织针对运行维护业务场景的特点建立服务台、服务台具备运行维护请求接收、信息交互、资源调度、运行维护过程管控等职能、并结合自身业务特点进行管理、包括)a)设置专门的沟通渠道、沟通渠道可以是热线电话、传真、网站或电子邮箱等,b)设定专人负责运行维护请求的处理,c)建立服务台管理制度、包括运行维护请求的接收、记录、跟踪和反馈等机制、以及服务台人员的监督和考核机制,d)定期评估服务台的运行效果并改进:9.2.4备件库组织依据业务需求建立并管理备件库、以满足恢复设备或系统正常运行的要求、包括)a)规划备件分类、分级和响应方式等,b)制定备件管理策略及备件管理制度、包括计划、采购、出人库、检测和报废等活动,c)规范备件采购过程、定期对备件供应商进行评价,10DB32/T4448—2023d)定期对备件状态进行检测,以确保其满足运行维护需求;e)定期对备件库的使用和管理情况进行评估,持续改进。9.2.5知识库组织对运行维护知识进行全生命周期管理,以支持和提升组织运行维护活动,包括:a)明确定义运行维护知识范围和类型;b)针对常见问题的描述、分析和解决方法建立知识库;c)建立运行维护知识管理制度,管理知识的获取、评审、保存和分享等活动;d)使用适宜的技术手段实现知识的全生命周期管理;e)定期对知识库的使用和管理情况进行评估,持续改进,以促进知识更新。9.3技术9.3.1总则组织依据运行维护体系建设要求进行技术研发、技术应用等活动,确保技术能力满足不同运行维护业务场景下的运行维护需求。9.3.2技术研发组织根据技术需要进行技术研发,确保组织具备预防风险、发现问题、解决问题和优化创新的技术能力,包括:a)根据业务和市场分析,制定研发规划,包括新技术和前沿技术的应用、技术储备等;b)配备与规划相适应的研发环境;c)配备与规划相适应的研发队伍。9.3.3技术应用组织确定技术研发成果在资源、人员和过程中的应用方案,确保技术成果在