XX集团公司IT系统运维管理规范

1、xx集团公司IT运维管理规范（试行）第一章总则第一条 为了保障全集团公司IT系统的安全、稳定、高效运行， 深化信息资源的开发利用，提高集团公司管理和公共服务水平，促进 信息服务产业转型升级，根据2006-2020 年国家信息化发展战略、«xx集团公司信息化促进条例以及信息安全管理相关规定，制定 本规范。第二条本规范所称IT运维管理是指为保障IT系统（包括基础 设施、网络、信息系统、信息资源、机房环境等）的安全、稳定、高 效运行而进行的一系列规划、实施、监控与评估过程。第三条IT运维管理的主要内容包括：运维资产管理、运维人员 管理、运维安全管理和运维绩效管理等。（一）运维资产管理是对已

2、正式投入使用的信息化基础设施、 软件等资产的动态配置管理。（二）运维人员管理是对参与运维工作的人员的资格、能力和 行为的管理。（三）运维安全管理是在IT系统运维过程中为保障信息的机密 性、完整性和可用性而对信息安全的职责、 制度、标准和流程的管理。（四）运维绩效管理是科学评价运维服务过程和服务结果，发 现问题并提出改进措施。第四条 本规范用于指导xx集团公司各单位、部门（以下简称 各 单位”）管理本部门的IT运维工作。各单位可根据本规范明确相应的 组织与职责，制定具体的IT运维制度与流程，对运维的资产、 人员、 方案与经费、外包与合同、绩效等进行管理。第二章组织与制度第五条各单位可根据需要设立

3、IT运维管理委员会，负责IT运 维的领导和协调工作，包括审查批准运维总体规划、管理体系、规章 制度、技术规范、经费方案等，负责重大和紧急事件决策，对运维工 作定期进行风险评估和绩效评估。IT运维管理委员会的负责人由本 单位信息化主管领导兼任，成员包括业务部门、信息化部门以及运维 外包企业代表等。第六条各单位业务部门负责提出对信息系统的运维服务需求， 配合实施运维应急预案，并通过推广、应用 IT系统，创新业务管理 模式。第七条 各单位信息化部门负责IT运维工作的组织和实施，包 括：运维体系建设、运维资产管理、运维经费预算编报、运维外包项 目招标、运维合同管理及绩效评估，运维经费使用、应急响应、运

4、维 外包管理、日常运维的实施与管理，以及业务部门关系管理等。第八条 运维采用外包形式且外包单位超过两家的，应建立外包 管理协调工作机制，要求外包企业设立协调工作组。协调工作组组长 由IT运维管理委员会指定，协调工作组成员由各外包企业代表组成。 协调工作组负责运维总体的统筹协调、重大问题处理、投诉管理、争议管理等，并接受IT运维管理委员会的直接领导。第九条 各单位IT运维团队包含服务台和专业运维人员。其中，服务台负责接受运维服务请求，推进运维知识库建设与完善，跟踪、 监督运维任务执行，向责任单位和主管部门汇报和反馈重大事件的处 理情况；专业运维人员负责执行运维任务。第十条各单位应建立健全IT运维

5、工作管理制度、技术规范、操作规程等（见附件1 ）,建立确保管理制度执行到位的激励和约束机 制。第一条 各单位应建立和完善白上而下的IT运维管理决策流 程和规范。其中：（一）运维管理决策流程和规范应明确决策主体、内容、原则方 法、各决策主体的职责以及决策流程。（二）重点对重要运维项目的保障与安排、重大事故的防范与处置、运维经费的预算与使用以及协调工作组人事任免等的决策流程与 控制措施进行规范。（三）注重决策信息的收集和处理。监督落实服务报告、绩效评 估、重大事故问责、联席会议等制度的执行。第十二条各单位根据本单位管理需求和基础情况，参照运维服 务国际标准，制定统一的运维服务流程，实现运维服务工作

6、的标准化、 规范化。第十三条各单位参照IT运维服务支撑系统规范，结合本单 位运维管理实际需求，制定运维服务技术规范。第十四条 各单位应建立健全运维绩效评估机制，开展运维绩效 评估工作，必要时可引入第三方专业评估机构。第三章运维资产管理第十五条 运维资产的属性包括基本属性、财务属性和运维属性。（一）基本属性：描述信息类资产的固有信息以及运维管理和财 务管理共同关心的资产信息。如资产的名称、编号、类别等。（二）运维属性：描述除基本属性之外运维管理所关心的资产信 息。如资产的技术属性。（三）财务属性：描述除基本属性之外财务部门所关心的资产信 息。如价值、采购组织形式等。对运维资产财务属性的管理应遵守

7、国 有资产管理相关规定。第十六条 各单位按照信息化部门、财务部门和业务部门构成的 三级资产管理体系进行运维资产管理。 信息化部门负责运维资产的运 维属性管理和日常维护，并负责机房内资产的日常保管 .财务部门负 责运维资产的基本属性和财务属性的管理， 业务部门负责本部门运维 资产的日常保管。第十七条各单位信息化部门应根据信息类资产特点，按照IT 运维服务支撑系统规范中信息系统、物理资产、软件资产、信息资 源等分类的规定建立统一的资产分类体系， 对信息类资产进行科学分 类和编码，安排专人负责运维资产档案和运维资产数据库的建立、数据米集、更新和保管，并与集团公司财务部的资广库保持同步。第十八条 在预

8、算编制前，信息化部门会同财务部门和业务部门 对全部运维资产进行盘点，盘点结果作为运维工作方案制定和经费预 算编制的基础依据。第十九条 实行资产委托管理的单位，应与受托部门或企业签订信息类资产保管协议，确保运维资产安全、可用。第四章运维人员管理第二十条各单位信息化部门应明确运维管理职责，定期制定运维服务岗位人力资源需求方案，制定运维人员专业能力评定标准（可 定为高、中、初三级），组织实施运维人员能力培养、考核和准入等 工作。第二一条各单位应加强对运维管理人员的业务和安全管理等 方面的培训，确保其行为符合专业技术服务规范。第二十二条 各单位应评估运维关键岗位人员流失带来的风险，制定人员候补和岗位接

9、替计划，在人员岗位发生变化后及时变更相关 信息。第二十三条运维采用外包形式的单位，应要求外包服务企业加强对服务人员的甄选和培训。并对外包服务人员进行履历备案、 身份 验证、职业技能鉴定、背景调查等，关键岗位服务人员应进行政审并 签署保密协议，实行权限管理。第二十四条各单位应加强外包人员变更的管理。要求外包服务企业在合同期内保持主要负责人员的稳定。 确需更换的，应由外包企 业提供说明材料，提前一个月以书面形式向甲方单位提出人员变更申 请，说明人员的离职原因、离职人员的安全保密措施、变更人员资质 及身份证明材料等。离职人员应做好外包项目未尽任务和工作移交， 经甲方单位同意后方可离开服务现场。第二十

10、五条各单位应加强外包人员现场管理，规范外包服务人 员的在岗、离岗行为。外包人员需要离开服务岗位的，应事先征得甲 方单位同意，重大项目主要负责人员离开岗位，应由其所在企业提供 包含原因、返回现场时间、离岗期间工作安排等内容的书面材料，在 取得甲方单位和有关部门同意后方可离开服务现场， 未经允许不得擅 白离岗。第二十六条运维人员对本单位的业务秘密和系统安全与风险信 息负有保密责任，各单位应与运维相关人员签订保密协议， 防止其擅 白对本单位提供的任何文件进行修改、复制或带离现场。第五章运维方案与经费管理第二十七条各单位应根据业务工作要求、IT建设与应用情况、 白身技术和运维管理能力等实际情况， 编制

11、年度运维工作方案（见附 件2）。第二十八条各单位可按以下步骤编制年度运维工作方案：（一）信息化部门全面梳理在用的IT系统和计划下一年度投入 运行的IT系统的功能和性能要求，以及对基础设施、环境的运行条 件要求。（二）信息化部门根据IT系统功能、性能要求以及同基础设施的 关联关系，明确年度运维工作目标和运维需求。（三）信息化部门会同业务部门协商制定满足业务需要、经济可 行的服务目录、服务质量和服务质量评估标准。（四）信息化部门细化运维需求和任务，明确完成各工作细项的 动作、时间、频次、成果、技能要求、优先级等。（五）估算运维经费并明确经费来源。（六）根据服务质量评估标准，确定运维绩效考核指标。第

12、二十九条年度运维工作方案应对各项运维任务提出质量要求，包括质量目标、过程记录、结果检查方式等内容。第三十条 各单位信息化部门应根据运维目标和任务，确定执行 各项运维任务的工作量，依据经费预算管理有关部门的要求和规定， 对运维经费进行合理测算（见附件 3）。第三一条各单位应遵守财政预算管理相关规定，建立健全IT 运维经费核算制，严格按照经费预算计划执行，项目结束时做出财务 决算，总结、分析资金使用情况，为科学编制运维预算提供依据。第六章运维安全管理第三十二条 各单位可参考国际信息安全管理标准ISO/IEC27001 ,依据信息安全等级保护管理办法（公通字 200743 号）等有关规定，制定并落实

13、符合本单位安全等级保护要 求的运维安全管理制度和工作规范。第三十三条运维采用外包形式的单位，在选择承担运维安全服务工作的外包服务单位时，应选择获得 xx集团公司信息安全服务能 力评估证书的单位。第三十四条 各单位应加强信息系统建设转运维阶段的安全风险 管理。重大建设项目或升级改造项目应按照xx集团公司业务与公 共服务信息化工程建设管理办法和关于印发 <xx集团公司集团 公司级信息系统升级改造项目验收管理办法(试行)> 的通知等有关规定执行项目验收，未经验收通过的重要系统不得投入正式运行。第三十五条运维过程中重大信息安全事件的处置应按照关于 印发<xx集团公司重大信息安全事件报

14、告制度 > 的通知和xx集 团公司重大信息安全事件调查处理办法等文件执行。第三十六条各单位应建立运行监控管理机制，动态掌握网络及 信息系统的运行状况，针对可能出现的重大故障和灾难，制定相关应 急预案，定期组织各相关方进行应急演练，并对各种异常情况做出快 速响应。第三十七条各单位应根据信息系统灾难恢复规范 (GB/T20988-2007)和关于加强我集团公司IT信息系统灾难恢复工作的意见等有关规定，对基础设施、信息系统、数据和内容等进 行风险分析和业务影响分析，衡量确定灾难恢复目标，制定本部门信 息系统灾难恢复相关预案，定期组织演练，保证关键业务持续运行并 减少非计划宕机时间。第三十八条

15、各单位应明确数据管理的目标、职责、质量和安全保障措施，建立有关数据的采集、存储、备份、恢复、加工、访问、 清除和销毁等控制流程。涉及保密的数据，依照国家及xx集团公司有关数据安全的规定执行。第三十九条各单位应加强系统上线环节的风险管理，组织承建 方和运维方的交接工作，要求运维方完成系统的安全风险评估和安全 管理方案。系统上线应遵循变更管理流程，按照承建方移交的文档要 求建立正式运行环境并设置相应的系统与数据库权限，运维方拥有运 行环境权限，承建方需进入运行环境的，应向该单位信息化部门提出 权限申请。第七章 运维外包与合同管理第四十条 除有保密等特别要求的，各单位IT运维工作可采用集 团公司场化

16、机制或授权委托等形式实行运维外包。对于重大项目，需 要协调多家合作单位的，可实行总包制。第四一条 各单位在制定运维外包计划时，应：（一）明确外包范围，做好资产核查，对基础设施、信息系统、 管理服务等进行整合，形成集约化运维项目。（二）针对外包的运维项目，分解并定义运维工作内容和质量要 求，作为外包企业服务质量考核的依据。第四十二条各单位选择运维外包企业应综合评估运维服务企业 的商业信誉、相应的服务安全等级资质、技术能力、管理能力、相关 运维项目经验、财务状况和责任承担能力等。涉密系统外包应遵守相关法规和政策，并报行业主管部门备案第四十三条 各单位应同外包企业签订运维服务合同（见附件 4）。合同

17、内容应包括委托运维的资产、甲乙双方职责、服务内容和 服务质量考核标准、安全保密要求、违约责任、知识产权归属、绩效 考核要求和费用支付等条款。其中：（一）重要运维服务内容以及需要第三方服务的事项应在合同中 明确约定。（二）运维服务价格和服务质量根据项目情况和行业特点，在合 同中具体细化和量化。（三）运维合同周期根据运维工作实际需求确定，并逐年落实到 年度运维预算中。第四十四条 实行运维总包的单位，应要求总包企业对分包企业 资质、分包范围以及分包企业运维关键人员等事项事先申报。总包与分包企业的合同谈判、变更、合作关系变化等均不应影响甲方单位运 维服务质量。第四十五条 各单位应与外包企业建立有效的信息交流机制，及 时发现外包服务中可能出现的重大缺失， 尤其需要考虑外包企业的重 大资源损失、重大财务损失和重要人员变动，以及外包协议的意外终 止，保证外包服务不间断。第四十六条 各单位应建立服务质量管理流程，定期审核和修订 服务水平协议，对运维外包企业的服务质量进行评估（见附件5）。第八章运维绩效管理第四十七条 各单位应建立IT运维绩效评估体系、考核制度和奖 惩管理制度。第四十八条各单位应针对运维体系建设和运行效果开展年度运 维绩效评估工作。评估内容包括：运维组织与规划、管理机制与保障、 服务提供与支持等（见附件6）。第四十九