大型能源集团公司信息化规划(三)基础设施信息安全及组织规划课件

1、XX大型能源集团信息化规划三（基础设施信息安全及组织规划）目录应用系统架构规划2数据架构规划3IT基础设施与信息安全架构规划4第二阶段工作概述1信息化组织与管控架构规划54.2信息安全架构设计4.1IT基础设施架构设计IT基础设施总体架构网络系统基础应用系统计算机机房数据中心资源IT运维管理企业广域网企业局域网无线网络视频会议安防监控服务器存储容灾备份供电系统空调系统消防系统机房环境监测网络管理系统IT设备监控系统IT运维服务系统IT基础设施架构包括五个部分的内容：数据中心资源、网络系统、基础应用系统、计算机机房、IT运维管理数据中心资源-服务器存储资源池异地数据灾备决策支持全面预算管理业务综

2、合决策分析企业绩效管理应用系统经营管理ERP财务合并报表主数据管理客户关系管理业务运作MES设备管理工程项目管理生产应急指挥服务器资源池存储资源池现有服务器现有存储数据中心资源本地数据备份数据中心资源-服务器存储资源池服务器资源池存储资源池将多台服务器组成一个集群，在此集群中根据应用系统需求划分虚拟化资源。提高硬件可靠性和资源使用率。其思路是将几种重要的资源池化：CPU 池、内存池、存储池，池化的模型可以很方便地进行管理和扩展，并降低运行维护成本。业务软件或者OS的视角看到的还是一台传统的服务器，有CPU、内存、硬盘、网卡等。将多台服务器组成一个集群，形成存储资源池。提高可靠性。存储资源池部署

3、以使用共享存储为主，分布式对象存储作为补充。根据XXX集团及下属企业现有基础设施环境，推荐以下部署模式：IPSAN或FCoE（以太网光纤通道）模式，可以利用网络交换机，无需单独建设光纤存储网络，成本适中，性能适中。数据中心资源-服务器存储资源池建设过程服务器A服务器B存储A应用A应用B服务器资源池存储资源池应用C应用D应用E现有服务器存储模式新建服务器存储资源池模式XXX集团现状下，应用系统使用独有服务器模式。存储B对于XXX集团及下属企业新建应用系统，采用资源池模式进行建设。在下一阶段的信息化建设过程中，传统服务器存储模式与新建资源池模式可以同时存在，各自独立运行。数据中心资源-服务器存储资

4、源池建设过程（续）服务器A存储A应用A服务器资源池存储资源池应用A传统模式与资源池模式共存并逐步转化完全资源池化数据中心根据信息化调研情况，由于XXX集团各数据中心服务器与存储硬件使用时间较长，在更新换代过程中逐步从传统服务器向资源池进行迁移。最终实现完全资源池化的数据中心。服务器资源池存储资源池应用B应用C应用D应用E应用B应用C应用D应用E传统服务器与存储逐步淘汰，应用与数据向资源池迁移。服务器与存储资源池随着业务量的增加逐步扩建。随着信息化系统的不断建设，最终实现完全资源池化的云模式数据中心。数据中心资源-数据灾备根据XXX集团的信息化现状和需求可先建设数据级灾备；后续根据信息化发展情况

5、，再逐步实现应用级灾备。数据级灾备通过在异地建立一份数据复制的方式保证数据的安全性，当本地工作系统出现不可恢复的物理故障时，容灾系统提供可用的数据。数据级容灾是容灾的基础形式应用级灾备应用级容灾能保证业务的连续性。在数据级容灾的基础上，建立备份的应用系统环境，当本地工作系统出现不可恢复的物理故障时，容灾系统提供可用的数据和应用系统。 由于只需要考虑数据的复制和存放，不需要考虑备用系统。实现起来相对简单，投资也较少。应用级灾备还需要考虑数据复制的完全性、数据的一致性、数据的完整性、网络的通畅性、容灾切换的性能影响、应用软件的适应性改造等问题，以及为保证业务运行的所需设备、环境、人员及其相应的管理

6、。 实现起来比较复杂，投资较大。数据中心资源-本地备份数据中心XX数据中心无本地备份系统xx数据中心xx数据中心xx数据中心本地备份现状集团云中心有本地数据备份系统无本地备份系统无本地备份系统有本地备份系统下一阶段建设建设本地数据备份系统建设本地数据备份系统建设本地数据备份系统由华为云中心维护异地备份现状无异地备份无异地备份无异地备份华为异地备份无异地备份目前只有纳溪数据中心（XXX公司股份）有本地数据备份系统，下一阶段各数据中心需先建设本地数据备份系统。数据中心资源-异地灾备容灾模式可靠性方案灾备恢复数据备份需求双活集群+负载均衡自动实时同步复制(100KM)热备份集群(cluster)自动

7、实时同步复制(100KM)冷备份人工强干预手动同上1243同步容灾：有距离限制RPO：0s，两个镜像完全相同1324异步容灾：无距离限制RPO：从30min到数小时，定期更新目标根据XXX公司信息系统规划，异地数据灾备采用暖备份方式。实现数据每日定时传输，实现数据的异步备份。数据中心资源-异地灾备华为云中心部署应用系统数据，备份至XXX集团数据中心。异 地 灾 备 方 向下属企业部署应用系统数据， 备份至XXX集团数据中心。集团部署应用系统数据， 备份至华为云中心。123数据中心资源-数据灾备数据中心XX数据中心本地数据备份xx数据中心xx数据中心xx数据中心本地备份集团云中心本地数据备份本地

8、数据备份本地数据备份华为本地备份系统异地备份异地数据备份异地数据备份异地数据备份异地数据备份异地备份地点XXX集团数据中心XXX集团数据中心XXX集团数据中心XXX集团数据中心XXX集团数据中心XXX集团数据中心本地数据备份异地数据备份华为云中心异地数据备份第一步建设本地备份系统第二步建设集团数据中心第三步建设异地备份根据先本地备份，再异地备份的建设顺序，逐步实现XXX集团应用数据备份。网络系统-集团局域网将局域网根据功能不同划分区域各区域网络设备均双机冗余结构部署服务器区建设资源池模式的服务器与存储办公网络区根据楼层及楼层平面结构部署有线与无线网络网络系统-集团局域网XXX集团数据中心局域网

9、建设内容现状下一阶段建设核心区核心交换机无部署双机冗余服务器存储区服务器无部署服务器资源池存储无部署存储资源池数据备份系统无部署本地/异地数据备份系统汇聚交换机无部署双机冗余办公网络区汇聚交换机无部署双机冗余接入交换机无根据楼层部署无线控制器无部署无线AP无部署根据楼层及平面结构互联网区路由器无部署双机冗余外联区路由器无部署双机冗余XXX集团暂无集团层面的数据中心，在下一阶段发展中，需建设集团层面数据中心。网络系统-企业局域网将局域网根据功能不同划分区域各区域网络设备均双机冗余结构部署服务器区建设资源池模式的服务器与存储办公网络区根据楼层及楼层平面结构部署有线与无线网络生产调度区根据楼层及楼层

10、平面结有线网络生产车间区根据车间及车间平面结构有线及无线网络网络系统-XXX公司股份局域网XXX公司股份局域网建设内容现状下一阶段建设核心区核心交换机1台双机冗余服务器存储区服务器传统架构现有架构 + 服务器资源池存储传统架构现有架构 + 存储资源池数据备份系统本地备份本地/异地数据备份系统汇聚交换机1台双机冗余办公网络区汇聚交换机1台双机冗余接入交换机根据楼层部署无线控制器无部署无线AP无根据楼层及平面结构生产调度区汇聚交换机1台双机冗余接入交换机根据楼层部署生产车间区汇聚交换机1台双机冗余接入交换机根据车间部署无线AP无根据车间平面结构部署互联网区路由器1台双机冗余上联区路由器无双机冗余X

11、XX公司股份公司有基础局域网络，但结构与功能性上需进一步完善。网络系统-XX股份中心局域网天华股份局域网建设内容现状下一阶段建设核心区核心交换机1台双机冗余服务器存储区服务器传统架构现有架构 + 服务器资源池存储传统架构现有架构 + 存储资源池数据备份系统无本地/异地数据备份系统汇聚交换机1台双机冗余办公网络区汇聚交换机1台双机冗余接入交换机根据楼层部署无线控制器无部署无线AP无根据楼层及平面结构生产调度区汇聚交换机1台双机冗余接入交换机根据楼层部署生产车间区汇聚交换机1台双机冗余接入交换机根据车间部署无线AP无根据车间平面结构部署互联网区路由器1台双机冗余上联区路由器无双机冗余XX股份公司有

12、基础局域网络，但结构与功能性上需进一步完善。网络系统-XX局域网煤气化公司局域网建设内容现状下一阶段建设核心区核心交换机1台双机冗余服务器存储区服务器传统架构现有架构 + 服务器资源池存储传统架构现有架构 + 存储资源池数据备份系统无本地/异地数据备份系统汇聚交换机1台双机冗余办公网络区汇聚交换机1台双机冗余接入交换机根据楼层部署无线控制器无部署无线AP无根据楼层及平面结构生产调度区汇聚交换机1台双机冗余接入交换机根据楼层部署生产车间区汇聚交换机1台双机冗余接入交换机根据车间部署无线AP无根据车间平面结构部署互联网区路由器无双机冗余上联区路由器无双机冗余ZZ公司有基础局域网络，网络稳定性上有重

13、大缺陷，结构与功能性需进一步完善。网络系统-XX局域网古叙煤田局域网建设内容现状下一阶段建设核心区核心交换机1台双机冗余服务器存储区服务器传统架构现有架构 + 服务器资源池存储传统架构现有架构 + 存储资源池数据备份系统无本地/异地数据备份系统汇聚交换机1台双机冗余办公网络区汇聚交换机1台双机冗余接入交换机根据楼层部署无线控制器有无线AP根据楼层及平面结构部署互联网区路由器1台双机冗余上联区路由器无双机冗余XX基础局域网络，网络较为稳定，结构与功能性需进一步完善。网络系统-XX公司局域网宁夏和宁公司局域网建设内容现状下一阶段建设核心区核心交换机双机冗余服务器存储区服务器服务器资源池存储存储资源

14、池数据备份系统本地/异地数据备份系统汇聚交换机双机冗余办公网络区汇聚交换机双机冗余接入交换机根据楼层部署无线控制器部署无线AP根据楼层及平面结构生产调度区汇聚交换机双机冗余接入交换机根据楼层部署生产车间区汇聚交换机双机冗余接入交换机根据车间部署无线AP根据车间平面结构部署互联网区路由器双机冗余上联区路由器双机冗余XX公司有基础网络，下一阶段需完善企业局域网。网络系统-企业无线网络AC设备PoE交换机 办公楼宇有线无线覆盖网络 工业园区无线覆盖网络PoE交换机接入交换机无线终端接入随地接入，移动性弹性满足实际带宽和用户数需求无线 + 移动访客接入方便、安全访客区域内部用户隔离，限制互访安全 +

15、移动无线AP无线AP根据XXX集团及下属各企业现有有线IP网络，建设覆盖办公楼宇和生产车间的的无线网络。整个网络将全面支撑起办公和生产环境中各种移动化应用。网络系统-企业广域网XXX集团公司自建有四个数据中心，即：1、2、3、4。这四个数据中心均采用传统技术架构，独立部署，分别支持各自的应用系统，相互之间没有直接物理链路，可通过VPN方式进行访问XXX集团及下属企业均通过互联网访问华为云中心。华为云数据中心（泸州市高新园区）1数据中心2数据中心3数据中心4数据中心XXX集团数据中心部分应用迁移用户XXX公司股份公司/集团总部XXX公司绿源醇业公司XX化学公司XX公司XXXXX公司程建设公司XX

16、资产经营公司用户XXXX用户XXX用户集团总部XXXX用户集团总部XXXXX网络系统-企业广域网现状各数据中心之间没有物理链路连接，使用VPN等互联网方式访问。第一阶段建设以集团公司数据中心为中心，下属各企业以及华为云中心均通过一条运营商专线连接到集团数据中心，实现星型互连网络。第二阶段建设待集团及下属各数据中心局域网建设完善后，将第一阶段单条专线连接的模式，升级为双运营商链路的冗余模式。提高链路的带宽和可靠性。基础应用系统-视频会议系统集团公司下属企业 N下属企业 1运营商专线通过高清视频会议系统，建立企业可视化会议系统，“面对面”的交流，良好的沟通，大大提高工作效率。而且可以参与到长城能化

17、总部组织的视频会议中。目标部署MCU、录播系统和视频会议终端等设备；在各个视频会议室部署视频会议终端、高清摄像头、麦克、显示设备等。主要内容视频会议室视频会议室视频会议室会商会议室基础应用系统-视频会议系统 多功能会议系统是可以满足召开各种本地会议、演讲、报告、培训、多媒体会议等活动等需要的平台，集显示系统、会议系统、音频系统、中控系统、摄像系统、录播系统、灯光系统为一体。桌面升降屏显示系统音频系统灯光系统中控系统摄像系统会议系统录播系统基础应用系统-视频会议系统XXX集团视频会议系统建设会议系统摄像系统显示系统中控系统录播系统音频系统会议室装修XXX集团集团集团公司建设建设建设建设建设建设建

18、设二级企业XXX公司股份建设建设建设建设XXX建设建设建设建设XXX建设建设建设建设XXXX建设建设建设建设XXXX建设建设建设建设XXXXXX建设建设建设建设三级企业电脑软件终端集团公司视频会议按照多功能会议系统标准建设，实现视频会议主会场、控制分会场、录音录像等会议功能。下属二级企业按照分会场标准建设，实现参与会议功能。三级企业根据需求安装视频会议电脑端软件参与会议。基础应用系统-安防监控集团层面建设统一视频监控平台系统；统一监控平台实现移动端功能；集团及下属各企业分别建设监控中心；集团及下属企业办公楼宇目前已有监控摄像头部署，对监控死角进行补充，对财务室、档案室等重要区域进行重点监控；下

19、属企业生产区根据需要部署监控摄像头；主要建设内容建设一套性能合理、先进、实用、可靠、稳定和可扩展的视频监控系统。为企业提供对厂区相关区域、场所进行24小时全天候监控，及时发现可疑事件并在造成损失前进行处理；如果事件发生，可以通过回放录像资料回顾事件发生时现场实际情况，尽最大可能挽救损失。目标IP 网 络监控平台移动客户端数据存储监控大屏幕集团公司办公楼宇摄像头下属企业办公楼宇摄像头下属企业生产园区摄像头监控中心监控终端基础应用系统-安防监控移动监控手机客户端PC客户端PAD客户端录像存储大屏幕数字矩阵统一监控平台操作员远程监控监控中心楼层/出入口监控道路监控无线监控生产园区监控IP网络计算机机

20、房视频监控环境监控空调通风消防系统电气系统综合布线门禁系统装饰装修计算机机房A级机房A级为容错型，在系统需要运行期间，其场地设备不应因操作失误、设备故障、外电源中断、维护和检修而导致电子信息系统运行中断。B级机房B级为冗余型，在系统需要运行期间，其场地设备在冗余能力范围内，不应因设备故障而导致电子信息网络系统运行中断。C级机房C级为基本型，在场地设备正常运行情况下，应 保证电子信息网络系统运行不中断。根据行业通用机房国家标准电子信息系统机房设计规范GB50174-2008 XXX集团数据中心，适用于B级机房建设标准XXX公司股份、XXX、XXX适用于 B级机房建设标准2数据中心、三级企业机房，

21、适用于C级机房建设标准根据XXX集团信息化基础现状计算机机房-国家标准及行业通行规定电子计算机机房设计规范 GB50174-93电子计算机机房施工及验收规范 SJ/T30003-93电子计算机房设计规范 GB 50174-93计算站场地技术要求 GB 2887-89计算站场地安全要求 GB 9361-88计算机机房用活动地板技术条件 GB 6650-86电子计算机机房施工及验收规范 SJ/T30003低压配电设计规范 GB50054-95供配电系统设计规范 GB50052-95高层民用建筑设计防火规范 GB50045-95室内装饰工程质量规范 QB 1838-93建筑物综合布线规范 ISO11

22、801电气装置安装工程接地装置施工及验收规范 50169-92通风与空调工程施工与验收规范 GB50243-97建筑物综合布线系统检测验收规范 DB44/114-2000 项目设计、施工符合”电子计算机机房设计规范GB50174-93、电子计算机机房施工及验收规范SJ/T30003-93”中的要求。在进行系统设计时还遵循了这些行业通用标准和规定。IT运维管理运维管理对象（服务器、网络、基础应用等）监控管理综合展现运行监控与呼叫中心（一线支持）运维工单管理（二线支持）用户用户用户服务器网络基础应用运行监控系统运维服务管理系统呼叫中心系统运维门户网站IT运维管理统一运维电话，向用户提供统一的服务窗

23、口，通过语音提示、坐席排队等多种方式拉近与用户的距离，改善用户体验。通过录音，监督坐席的服务质量，提升服务水平。运行监控系统实时监控基础设施各系统的运行状态，有故障或隐患及时报警并通过手机短信通知工程师，快速进行处理；提高故障处理效率。通过监控，实现了运维工作从“救火”到“防患于未然”、“被动运维”到“主动运维”的转变。运维服务管理系统实现了用户申报、监控告警、内部运维等所有运维事件，问题深入分析、系统变更等的全部登记，和对所有工单的跟踪，提高工作效率；通过后续的统计分析，深入挖掘运维存在的问题，优化资源配置，对日常的运维工作安排有很重要的指导意义。呼叫中心系统123运维门户网站提供在线故障申

24、报、工单状态跟踪、知识共享、资料下载等多种服务，丰富了用户服务方式，也可促进用户自我学习，处理简单电脑故障；运维团队内部实现了运维资料、运维知识的共享，促进运维技术人员共同进步。4上述四个平台通过集成，形成一个有机的整体，逐步建立起一套以流程管理（业务流程管理）为线索，将具体的监控（包括网络、主机、存储、系统软件、应用软件的管理），并用服务等级管理（SLA）来考核的IT综合服务支撑系统。IT运维管理运维流程概图(以事件管理为主线)用户监控1、创建事件工单2、尝试解决3、事件分类4、事件定级5、S1S2S3S4开始事件“解决”（服务恢复）关闭事件升级事件通告手机短信危机会议会议记录紧急变更变更通

25、知问题管理问题跟踪记录表PRM会议记录系统变更变更申请表1、S1/S2事件2、重复性的S3/S4事件3、超时未关闭工单一线、二线解决(平滑转移)二线运维申报事件事件工单统计报表回访确认创建工单重大问题处理报告知识库以事件为管理主线，根据问题影响程度将事件分为S1、S2、S3、S4四个级别。目录应用系统架构规划2数据架构规划3IT基础设施与信息安全架构规划4第二阶段工作概述1信息化组织与管控架构规划54.2信息安全架构设计4.1IT基础设施架构设计信息安全总体架构信息安全管理体系信息安全策略信息安全运维组织信息安全运行机制信息安全运营管理信息资产风险管理日常安全运维管理安全监控与事件响应安全检查

26、与审核信息安全技术架构网络安全应用安全数据安全主机安全终端安全物理安全区域划分防火墙远程接入入侵检测准入控制身份认证授权管理日志审计代码安全软件容错数据保密完整性保护备份恢复文档安全安全加固访问控制日志审计系统升级桌面管理病毒防护补丁升级外设安全机房门禁机房监控电磁屏蔽机房环境参照信息安全技术 信息系统安全等级保护基本要求 GB/T 22239的规定，信息安全的总体架构包括：信息安全技术、信息安全管理体系、信息安全运营管理三大部分结合XXX公司的现状情况，信息安全将重点加强网络安全、终端安全和应用安全建设123123网络安全区域划分防火墙远程接入入侵检测准入控制网络安全-准入控制准入控制系统的

27、功能动态授权合格用户不同用户享受不同的网络使用权限你可以做什么？核心网络你安全吗？不合格进入隔离区强制加固安全认证合法用户隔离区你是谁？非法用户拒绝入网身份认证接入请求终端安全-终端安全管理系统1、XXX集团终端安全需建设桌面管理、病毒防护、补丁升级、外设接入等方面的防护功能；2、由集团公司统一采购终端安全管理系统；3、终端安全管理系统自上而下推广，分级部署；桌面管理病毒防护补丁升级外设接入终端安全-终端安全管理系统终端管理系统基本功能结构图资产管理移动介质管理安全检查加固软件管理网络管理行为检测硬件资产登记注册软件资产登记注册资产变更管理介质注册管理介质非法接入检测读写权限控制密码安全性注册

28、表键值非法启动项检查共享目录检查补丁安装情况检查病毒库升级检查软件分发异常进程监控软件黑/白名单进程统计网络异常检测反ARP攻击网站黑名单非法外联监控软件防火墙文件操作审计邮件收/发审计信息浏览、发布审计应用安全通过应用安全网关与堡垒机的协作，实现代码安全、数据安全和日志审计的功能。应用安全1、XXX集团新建数据中心按照应用安全要求建设；2、下属各企业应用安全建设及建设步骤如下；3、XX公司新建网络参照其他下属单位应用安全结构建设；XXX公司股份XX股份XX股份XX股份XX公司第一阶段建设第二阶段建设1、集团建设统一身份认证系统，各企业分级部署，实现身份认证功能；2、各企业数据中心分别部署堡垒

29、机，保障服务器与应用系统安全；3、各企业数据中心分别部署应用安全网关，实现应用日志审计功能；4、扩展统一身份认证系统功能，实现权限划分与管理功能；5、各企业数据中心分别部署数据库防火墙，实现代码安全保障；应用安全-身份认证系统集团统一部署身份认证系统，实现身份的统一认证、单点登录功能，企业所有的信息系统用户账户是一个的有机整体，使得企业信息系统的管理和使用安全、便捷，统一身份管理系统作为企业的一项基础IT资源，为企业将来信息化发展提供强有力的支撑，同时提升企业的IT管理能力应用安全-应用安全网关应用安全网关XXX集团各企业在服务器区部署应用安全网关，保障企业自建应用系统的安全。实现日志审计，行

30、为记录，代码安全，数据库安全的功能。安全管理体系1.信息安全策略2.信息安全组织3.资产管理4.人力资源安全9.信息安全事件管理10.业务连续性管理11.符合性5.物理与环境安全6.通信与操作管理8.信息系统获得、开发与维护7.访问控制提供管理信息安全的方针和支持信息安全基础设施第三方访问的安全外包资产责任信息分类安全在职位责任中的描述用户安全培训对安全事故和故障的反应安全区域设备安全操作程序和操作责任系统计划和可接受范围对病毒的防护日常管理网络管理媒体的处理和安全信息和软件的交换访问控制的商业需求用户访问管理用户责任网络接入控制操作系统接入控制应用接入控制检测系统接入和使用移动计算和远程办公

31、系统的安全需求应用系统的安全密码控制系统文件的安全开发和支持过程的安全报告信息安全事件和弱点信息安全事故的管理和改进灾备中心的建设符合法律要求安全策略和技术实现的检查系统审计的考虑2415638791011信息安全管理体系最核心内容是组织、策略、机制，使用下述11个安全域的37个安全类别来整体管理与控制安全体系目录应用系统架构规划2数据架构规划3IT基础设施与信息安全架构规划4第二阶段工作概述1信息化组织与管控架构规划55.2信息化管控模式5.1规划设计思路及原则5.3信息化组织与人才5.4信息化流程与制度框架5.5信息化绩效评价5.6实现步骤在第一阶段，我们分析了XXX集团信息化组织与管理现

32、状存在的主要不足 IT战略定位评价及审计人员技能流程制度组织职能IT管控分析框架总体现状问题发现信息化对业务转型发展的支持，集团领导已经形成了明确的认识，但尚没有形成清晰、明确的IT战略和定位分散式的管控模式，信息化工作的执行力不足，集团总部对下属企业的信息化管理力度较弱集团信息化组织架构不健全IT管理层面的关键职能不清晰，如业务分析、大型IT项目管理全集团的IT人员在量、质上都有差异，各单位专职管理人员和技术人员严重不足，制约了XXX公司的信息化发展IT管理流程和制度很不完善，造成IT系统投资、项目管理、运维服务等管理不规范，系统无法很好的支撑业务，信息孤岛丛生IT评价体系尚未建立尚未实行I

33、T审计管控模式组织职能人员技能IT战略定位评价审计流程制度IT管控模式针对不足，本阶段我们在明确集团信息化战略愿景及工作原则的基础上从五个方面对信息化管控体系进行整体规划设计流程制度组织职能管控模式人员技能评价审计信息化战略愿景工作原则：统一规划、统一标准、统一建设、统一管理建立IT指导委员会，完善决策机制 设置独立的信息管理部门（大数据中心），通过项目建设逐步明晰、健全IT管理职能建立跨部门协调的关键IT管理流程将与IT流程配套的制度统一贯彻至全集团，以规范执行引入IT专业人才将现有IT人员整合、集中，实现资源共享建立IT人才培训及激励机制，加快人才培养 在集团建立IT绩效评价框架，将IT纳

34、入绩效管理体系进行业绩考核，推动信息化进程采用集中式的IT管控模式，总部统一负责IT系统的规划、建设及管理 下属公司仅留少量的IT运维支撑人员XXX集团的信息化管控体系规划设计需遵循以下原则设 计 原 则说 明信息化作为XXX集团的转型发展时期的核心业务，IT管控体系的建立需符合集团信息化总体战略目标及原则要求信息技术是一种工具，支持XXX公司的业务转型发展，为XXX公司实现转型发展战略提供技术保障，因此IT管控必须与XXX公司组织模式及标准化管理原则相一致IT通过为业务部门提供专业化的IT服务间接为公司创造价值，甚至于通过利用新技术引领XXX公司业务转型的发展而直接创造商业价值。 业务与IT

35、的协同至关重要，IT管控体系的设计需以内、外部客户为中心，IT与业务建立紧密的沟通协作关系，被视为业务的合作伙伴 XXX公司现有IT组织能力需要提升。因此，IT管控体系设计需着眼于配合IT系统建设进程锻炼队伍，循序发展核心IT能力遵循XXX集团IT管 控总体原则与要求IT管控模式从XXX公司 的业务运营模式出发， 与整体管理原则相一致c. 业务驱动/以客户为中心发展核心IT能力，培养、提升IT专业化服务水平业务IT综合管理供应商架构及标准制度战略及规划服务交付服务支持IT综合管理评价及审计 商务协同商务协同运维管理营销业务变革需求IT服务的请求项目及多项目管理解决方案设计、开发、测试运营建设规

36、划如何对IT财务、预算、人力资源等进行综合管理？同时，我们也运用了石化盈科成熟的信息化能力模型（五大领域、十一大能力）：如何将业务变革的需求转化为IT战略？如何进行总体的战略及规划？如何制定统一的架构及标准，并通过制度来加以约束？如何保证标准在整个集团得以遵守？如何对信息化进行评价，及定期的审计？以保证合规性的要求。如何对项目进行管理，并保证多个项目的顺利执行？如何完成解决方案的设计、开发及测试工作？保证解决方案被正确地交付? 如何对用户的服务级别进行管理？如何对生产环境中的服务进行日常的支持？保证用户的服务请求被及时响应。如何对服务进行运维，保证安全性、可用性、性能的要求。如何与供应商进行谈

37、判？如何进行采购？如何对IT服务进行推广，如何进行服务的营销？目录应用系统架构规划2数据架构规划3IT基础设施与信息安全架构规划4第二阶段工作概述1信息化组织与管控架构规划55.2信息化管控模式5.1规划设计思路及原则5.3信息化组织与人才5.4信息化流程与制度框架5.5信息化绩效评价5.6实现步骤IT管控有四种典型的模式，不同方式适用于不同企业。XXX集团目前位于“分散式”和“联合式”之间的宏观管控组织模式，分散管理，分散运维。建议未来35年向“联邦制”管控模式转变，达到集中管理，分级运维联邦式总部与下属单位的IT组织进行适当的分权可以兼顾统一集中管理和不同业务特殊性的需要集中式总部IT部门

38、拥有对所有IT资产和投资的完全决策权，由IT部门来发起，实施并维护业务系统和IT支撑的基础架构。这是一种高度集中的IT管控模式，规模效应成本效应对现有IT资产和系统的充分利用联合式各下属业务单元的IT组织共同对通用的IT问题进行解决，每个IT组织都有否决权总部的IT组织没有太多的决定权力，主要起协调作用可以保证IT管理符合大多数业务单元的需要，但有可能出现意见不一而产生的效率下降分散式 所有的决定权力在作业单元的IT组织总部没有IT组织，如果有的话，也只是为了支持总部机关的信息化应用具有最大的灵活性有可能出现无政府主义的混乱状态根据XXX集团目前的治理结构与业务现状，结合前述“四统一”信息化工

39、作原则，未来集团必须强化IT部门的管控职能，由集团IT管理部门统一对信息化项目的投资、建设和运行维护进行管理，逐步加强集团IT管控力度。集权程度IT数据中心由集团统一规划、建设、管理，各下属单位所有服务器均托管在集团IT数据中心或集团统一云平台优点系统集成度高、扩展性强统一规划、统一管理、协同能力强总体建设管理成本低有效的信息安全保障统一、有效的风险控制数据共享服务程度高缺点集团总部资源投入较大与各下属单位关系协调难度大建设和管理的难度大与共性管理相关的信息系统由集团统一建设由于历史原因，4个IT数据中心由集团与下属单位分别自行规划、建设、管理优点缺点总部建设和管理难度小集团总部资源投入小总体

40、建设管理成本高数据共享服务程度低、协同能力弱系统集成度低、扩展性差对系统整合风险高难以保障信息安全难以进行统一的风险控制对各下属单位的信息化人员要求较高与共性管理相关的信息系统由集团与下属分别自行建设建议模式根据上述分析，我们建议集团的共性系统采用“集团统一建设”的形式现状基于集团整体IT管控模式，未来总部大数据中心与下属各单位之间IT管理职能界面建议如下集团总部IT管理下属单位IT管理生产单元IT管理制定集团总体IT战略、架构及标准规范在集团IT战略及规范指导下制定、并实施本单位IT战略、架构及标准规范执行负责集团共性应用系统及共享基础设施项目立项及预算编制指导、帮助下属单位IT立项及预算编

41、制统一编制、执行个性系统立项及预算 统一编制、执行个性系统相关的基础设施预算审核、汇总各生产单元IT预算提出IT立项需求，编制生产单元IT预算（仅包括基础设施部分）集中或与下属单位协同建设共性系统、共享基础设施为下属单位个性系统及所需基础设施建设提供指导或内部咨询服务统一建设个性系统个性系统相关的基础设施委托集团IT建设配合 集中运维共性系统及共享基础设施为下属单位个性系统及相关基础设施提供运维服务指导个性系统运维支持负责本地基础设施运维（局域网、桌面系统等）集中采购共性系统及共享基础设施大宗IT产品及服务采购（包括PC、笔记本、打印机等）与下属单位协同采购与采购部门协同，统一采购个性系统（软

42、件产品、实施咨询及技术支持）大宗IT产品及服务采购（包括PC、笔记本、打印机等）与集团协同采购提出需求IT战略/架构/标准立项/预算项目建设运维*IT采购*注：基础设施（网络及桌面系统）、个性化系统的运维工作未来可考虑外包或由集团成立IT独立经营机构负责提供服务不同类型的项目将采取不同的IT建设、管理及运维模式信息系统 组织 角色分工集团下属单位生产单元集团共性系统（财务/管理）合并系统、人力资源、审计、ERP系统规划、建设、运维配合、执行、运维配合、执行预算管理、商业智能、知识管理（OA/门户）、主数据管理系统规划、建设、运维建设、运维配合、执行下属单位个性系统 CRM、SRM、设备管理、工

43、程项目管理指导、监理规划、建设、运维配合、执行基础设施*网络 规划、建设、（主干网）运维本地局域网（运维）本地局域网（运维）数据中心 （个性应用系统所需）（下属单位委托）指导规划、建设、运维提出需求提出需求终端设备（PC、笔记本、打印机、视频等 ） 集团规划、统一标准协同采购协同采购、本地维护 本地维护 桌面应用（windows/office/邮件等） 集团规划/统一标准、协同采购协同采购、本地维护 本地维护 举例目录应用系统架构规划2数据架构规划3IT基础设施与信息安全架构规划4第二阶段工作概述1信息化组织与管控架构规划55.2信息化管控模式5.1规划设计思路及原则5.3信息化组织与人才5.

44、4信息化流程与制度框架5.5信息化绩效评价5.6实现步骤IT组织在企业内主要负责IT战略规划及管理、系统实施建设和系统日常维护三个层次的功能IT规划（IT管控、应用架构、基础架构等）IT项目决策和投资评估IT管理制度的设立和执行监督等业务分析、需求定义、流程优化应用系统实施和项目管理IT基础架构建设对现有系统功能和基础架构持续调优跟踪分析业务需求变化并对应用系统和基础架构进行持续调整数据管理网络日常运行和网络管理、维护日常信息系统维护和技术支持服务台、帮助热线管理 应用系统维护等IT运营功能的三个层次主要职能应用系统建设和基础架构建设IT规划和管理系统日常维护 2013年3月6日，国资委下发专

45、项管理提升对标指标（征求意见稿）中对信息化建设的组织方式提出了明确要求信息化是对集团发展战略、业务管控、生产执行等各个方面的支撑，XXX集团首先应理顺信息化组织和主要利益相关者之间关系集团领导作为信息化领导小组成员批准计划决策机构：信息化指导小组集团信息化管理部门（大数据中心）信息技术需求方：集团及下属单位业务部门、职能部门信息技术供给方：IT共享服务中心（未来可成立独立经营机构）或者外包的服务商下属单位信息化管理部门/岗位SLAIT 资产IT 服务级别报告集团治理SLA支付IT服务费用IT 服务级别报告问题报告对IT的业务需求信息化部门形象、内部协议、规定和流程对基础架构的IT需求IT战略规

46、划（如果有）IT 投资项目申请IT 计划架构和标准制度和规定决策请求协调请求IT 决策IT 决策故障 / 事件报告故障 / 事件报告对IT的业务需求故障 / 事件报告让业务部门尽可能有效地参与信息化工作，是先进企业信息化能够取得成功的重要经验之一基于管控模式定位，近期，我们建议XXX公司大数据中心补充目前有限的IT人力资源，搭建完善的IT组织，在集团层面履行信息化统一管理职能XXX集团IT组织近期架构 说明：所有IT应用开发及支持人员集中到集团信息管理部门（虚拟），所有下属单位资源共享考虑到XXX集团经营区域跨度大，在地理上比较分散，建议成立虚拟化的应用开发与支持团队，基于网络进行跨区域协作为

47、保证及时响应，下属单位保留少量硬件维护人员，为本地提供基础设施运维服务，该部分人员直接向所属单位汇报，但在业务上受总部大数据中心基础设施组指导*注：若基础设施运维工作采取进行外包或由未来成立的独立经营机构负责，则基础设施组与综合管理组可进行合并，下属单位无需保留任何IT人员信息管理部门领导（大数据中心）综合管理组基础设施组*总部应用小组 信息化指导小组 分管领导 应用系统建设与支持组(虚拟） （1-2人） （1-2人） 下属单位IT下属各单位应用小组 分级运维 基于我们建议的IT组织架构，XXX集团信息管理部门主要职责描述业务需求分析应用实施与项目管理 上线后系统支持主数据管理变更管理用户培训

48、 开发质量控制IT规划及投资管理IT预算及成本分析PMOIT采购管理变革管理 IT制度/流程绩效评价关键职责综合管理组应用系统建设与支持组基础设施组服务台 网络安全管理终端设备管理（ PC、笔记本、打印机、视频等）桌面应用支持服务系统管理DBA集团总部大数据中心人员近期配置建议（预估需10人）部门岗位人数备注集团IT管理部门（大数据中心）部长（总监）1综合管理组组长1综合管理员2应用系统建设与支持组集团总部小组组长1应用建设工程师3基础设施组组长1技术工程师（系统/数据库/网络/安全管理）1合 计10关键岗位主要职责及关键技能要求角色主要职责技能/资质要求集团信息管理部部长（大数据中心总监）制

49、定与公司经营战略相适应的IT系统滚动发展策略、规划和技术方案，并组织实施IT组织与人才发展，持续优化IT运营管理体系，提高效率及专业服务水平 具备良好的领导力跨部门沟通、团队协作及变革推动能力具备基本的企业运营经验和商业知识，能准确把握关键需求熟悉各类IT技术，深刻理解信息化成功的关键，将业务与IT紧密结合具有IT运营管理知识与技能，5年以上IT部门运营管理经验综合管理组组长在部长（总监）指导下牵头组织制定IT战略规划、年度工作计划与预算，对IT支出进行分析，并提出优化建议与采购部门协同进行IT采购，不断优化IT产品及服务供应商牵头组织制定IT管理制度与流程，并监督执行项目群管理，制定项目规范

50、，跟踪项目状态，提出改进建议知识面广，能从全局进行思考：IT战略规划知识与技能良好的沟通、协调能力基本的财务知识商务谈判知识与技巧项目管理知识与技能书面表达能力角色主要职责技能/资质要求应用系统建设与支持组组长业务需求管理，挖掘、判断业务需求，提出立项申请 组织开展所负责的应用系统领域的架构管理、项目实施及上线后维护支持，持续优化业务流程及IT系统，提高应用系统的可用性、稳定性，改善用户满意度熟悉管理信息系统，具有大型项目建设、应用开发与技术支持经验：内部客户服务意识及关系管理能力熟悉所负责领域的业务流程及相关管理信息系统丰富的项目管理经验，有大型项目的建设管理经历沟通与团队协作能力IT系统开

51、发知识与技能，熟悉软件开发实施过程人员管理技能基础设施组组长与集团下属各单位信息管理部门或岗位接口，负责组织、指导制定企业个性系统基础设施架构，明确技术需求及服务绩效水平，协同下属单位IT提供高质量的基础设施（网络与存储）服务组织制定信息安全标准及措施，并贯彻实施组织开展数据及系统管理工作服务台管理，为最终用户提供一线支持，提供日常的软硬件支持服务熟悉硬件，具有基础设施运营管理经验： 网络、服务器与PC等硬件知识与管理经验 基础设施架构设计能力 信息 安全、数据库及系统管理知识与技能 客户服务导向关键岗位主要职责及关键技能要求（续）建议XXX集团未来建立如下的IT组织架构，并配置相应合理的IT

52、管理与技术人员，建立IT共享服务中心，彻底实现“管运分离”集团信息管理部门统筹集团内部信息化管理和建设，包括:集中管理信息化规划与信息化相关标准由总部建设，下属单位层面主要是执行集团统建或重点项目由集团信息管理部门牵头组织，下属单位建设等其他个性化项目须报备集团信息管理部门集团负责集中部署的核心应用、共享基础设施、骨干网等的建设和运行维护支持在本规划的远期，集团信息管理部门应考虑设立IT共享服务中心或成立独立经营机构提供集团化IT共享服务集团总部下属单位信息管理部领导综合管理应用系统建设与支持分管领导信息化指导小组需求与项目建设管理本地技术支持各下属单位可根据实际需要确定归口管理部门，设置专职

53、/兼职IT岗总部信息化职能管理人员共10人集团总部下属单位信息管理部规划与标准项目管理综合管理IT共享服务中心（或成立独立经营机构）帮助台与桌面支持应用系统支持数据中心支持网络管理支持规划计划需求管理标准管理CIO应用系统基础设施IT行政IT绩效管理服务质量管理需求与项目建设管理本地技术支持总部信息化职能管理人员共10人近期远期基础设施建设与支持各下属单位可根据实际需要确定归口管理部门，设置专职/兼职IT岗IT共享服务的核心思想：“管运分离”保持管理职能的同时，将操作层面的工作转移到共享服务中心，IT基础设施与应用系统的运维工作常常最先纳入共享服务范围。BUSINESS CUSTOMERS A

54、ND END-USERSDELIVERYDEVELOPMENTSTRATEGYMANAGEMENT / ADMINISTRATIONSUPPLIER RELATIONSHIP MANAGEMENTBUSINESS / CUSTOMER RELATIONSHIP MANAGEMENT3rd PARTY SUPPLIERS战略规划管控模式架构与标准管控投资立项审批项目管理软件开发测试开发环境管理服务等级管理运维绩效管理应用系统运维监控与巡检呼叫中心服务定义基础设施运维云与资源管理合同管理IT人员管理知识管理业务连续性管理IT财务管理IT风险管理管理职能非管理职能企业信息部负责纳入共享服务示例内部资

55、源整合/开发对内部现有IT人才进行评估、摸底，集中共享有限的IT人才资源，并加强培训以提高专业技能IT人才激励 建立IT专业人才职级体系，拓宽职业发展通道，并建立完善的IT绩效考核与激励机制建立一支精干高效、专业化的IT团队完善IT组织架构，加快IT人才及团队建设是XXX集团的当务之急外部人才引进适量引进具有大型项目管理及IT运营管理经验的高端人才目录应用系统架构规划2数据架构规划3IT基础设施与信息安全架构规划4第二阶段工作概述1信息化组织与管控架构规划55.2信息化管控模式5.1规划设计思路及原则5.3信息化组织与人才5.4信息化流程与制度框架5.5信息化绩效评价5.6实现步骤为确保信息化

56、建设有章可循，XXX集团需建立完整的IT管理流程与制度5、商务协同 4、IT管理3、服务运营服务运维服务交付服务支持2、解决方案建设3.1服务级别管理3.5事件管理3.6问题管理3.7性能管理3.8可用性管理3.9可持续性管理2.1多项目管理2.3解决方案设计、开发、测试1.2IT架构及标准管理1.3需求及立项管理1.1IT战略/规划4.2 IT资产管理4.1 IT预算管理3.2变更管理3.3发布管理3.4配置管理5.1采购管理5.2 供应商管理2.2项目管理3.10安全管理4.3 IT绩效管理1、规划/架构及标准5.3 费用分摊XXX公司IT流程框架关键流程概要说明流程组流程名称描述流程所有

57、者1、规划/架构及标准IT战略规划流程IT战略滚动计划的制定、发布、管理流程，每年运行一次该流程，回顾进程，展望未来3年信息化建设工作，并制定下年度具体行动计划，战略规划内容纳入XXX公司每年的商业计划书，需要与业务计划相匹配综合管理组IT架构/标准管理流程对应用、数据、技术、基础设施等架构及标准的设计和管理。综合管理组需求及立项管理流程获取生产单元及职能部门等内部客户对IT的需求，确认优先级，进行可行性研究并立项的全过程。 应用系统建设与支持组/综合管理组2、解决方案建设多项目管理流程统筹管理多个项目，监控项目状态，协调不同项目的执行，调配资源。综合管理组项目管理流程对项目启动、规划、执行、

58、监督、收尾的一系列管理。应用系统建设与支持组解决方案设计、开发、测试管理流程方案设计、开发、实施、上线的过程管理。应用系统建设与支持组关键流程概要说明（续）流程组流程名称描述流程所有者3、服务运营服务交付管理流程包括服务级别管理、变更管理、配置管理、发布管理等各流程，可参考ITIL进行制定应用系统建设与开发组服务支持管理流程包括事件管理、问题管理流程，可参考ITIL进行制定基础设施组服务运维管理流程包括性能管理、可用性管理、可持续性管理、安全管理流程，可参考ITIL进行制定基础设施组4、IT管理预算管理流程制定年度IT预算，并进行预算控制与分析综合管理组IT资产管理IT资产购置、部署、维护、报

59、废全生命期管理流程综合管理组IT绩效管理流程设定IT绩效目标 ，对IT绩效进行监控并评价考核综合管理组5、商务协同采购管理流程IT产品及服务采购流程，需要与采购部协同制定综合管理组/采购部供应商管理流程IT产品及服务供应商管理流程，包括供应商准入、筛选及绩效评估等 。综合管理组/采购部费用分摊流程制定IT成本分摊规则，并将相关IT成本与费用分摊到不同的责任中心与核算主体综合管理组/财务部信息化关键管理流程举例需求管理示例信息化关键管理流程举例项目管理示例信息化关键管理流程举例IT服务（系统运维）管理流程示例75建议搭建XXX集团IT管理的相关制度体系加强制度对信息管理部门内部各项工作的全面覆盖

60、加强制度对集团所有部门和下属单位在信息化建设、推进、使用的全面覆盖需要建立一个全面系统化的信息化管理制度体系对于制度执行情况完善有效的监控手段对违反制度的行为完善必要约束手段 需要对信息化管理制度的执行进行必要的约束XXX集团需要在IT流程框架基础上制定信息化相关的管理制度，随着工作和流程的不断完善形成制度体系。XXX集团需要首先制定关键的IT管理的相关制度制度类型制度举例信息化基础管理制度信息化组织管理制度/管制模式、信息化系统使用一般规定等信息化项目管理制度信息化项目立项管理规定、项目实施管理办法、信息化预算管理办法等信息系统基础设施、硬件环境管理制度计算机机房管理制度、计算机设备管理制度