信息系统运维单位考核细则
信息系统运维单位考核细则
1总则
本考核办法是运维合同的重要组成部分,也是对运维工作进行考核的依据,目的是保证**公司信息系统和弱电系统平稳运行,保障合同双方充分行使各自的职责和权益,本考核采用量化打分方式,年终将按照以下方式进行考核。
1.1 考核评价:优秀:100—90分,良好:89—80分,合格:79—70分,一般:
69-60,不合格:60以下。
1.2 月度考评为“一般”,扣0.5-1万元;月度考评为“不合格”,扣1-2万。1.3 月度考评连续两个月为“一般”,或月度考评有一次为“不合格”,年终不再
续签合同。
2 考核细则
2.1 组织保证(10分)
2.1.1 组织机构建设(2分)
乙方必须根据本单位情况在现场成立项目部,建立有效的应急救援体系,建立完善的组织机构,配置合理机构管理人员,保证**公司各信息系统和弱电系统有效运行。无此项扣2分。
2.1.2 安全保证体系建设(4分)
2.1.2.1 乙方必须成立安全管理体系,配备专职安全员。对**公司相关安全要求必须及时传达,并检查落实安全生产措施,保证运维工作安全。无此项扣2分。
2.1.2.2 乙方设置兼职安全员,保证定期进行安全活动和安全教育。无此项扣2分。
2.1.3技术保证体系建设(2分)
乙方必须建立适应运维工作的技术管理体系。除项目经理外,乙方每个专业必须设一名技术负责人(具有中级以上职称),负责运维工作的协调指挥。无此项扣2分。
2.1.4 质量保证体系建设(2分)
乙方必须成立以技术负责人为组长的质量保证体系,各专业设兼职质检员,及时跟踪解决运维工作中出现的各类质量问题,确保运维工作质量。无此项扣2分。
2.2 运维人员岗位技能管理(15分)
2.2.1资质要求(5分)
2.2.1.1所有人员必须取得专业技术等级资格,并且按中级工及以上不少于
80%。其中男职工年龄不大于40岁,女职工不大于35岁,有特长和专
长的人员和技师可适当放宽,但必须报甲方批准。同时,运维人员必
须是乙方的正式职工。如发现不符,当月每人次扣1分,并限期进行
人员调换。
2.2.1.2特种作业人员必须持有效的资格证书,要求持证上岗作业。证件在甲
方备案,不符合要求当月每一人次扣1分。
2.2.1.3运维人员必须是与乙方签有半年以上的劳动合同的正式职工。否则一
人次扣1分。
2.2.1.4技术人员必须在大中型企业从事专业工作3年以上,并具有大专及以
上文凭。否则一人次扣1分。
2.2.1.5项目负责人必须是在大中型企业从事专业工作5年以上,或具有大专
以上文凭并在大中型企业从事专业工作2年以上人员担任。否则一人
次扣1分。
2.2.1.6技术员、项目负责人等岗位人员如发生变更,必须通知甲方,否则一
人次扣1分。
2.2.1.7每年换岗人员应少于职工人数的20%。否则每超一人扣1分。
2.2.2 运维人员实际操作技能评价(10分)
2.2.2.1运维人员应掌握**公司的相关管理制度、规程、规定、工作程序等,
了解相应的标准规范,能够按照制度、规程、标准认真扎实地完成运
维工作任务。否则扣0.5分。
2.2.2.2运维人员应熟悉信息系统和弱电系统业务特点,熟悉相关设备的技术
性能,否则扣0.5分。
2.2.2.3值班人员应能熟练掌握相关专业设备的安装位置,并能准确说出设备
的位号和名称。实际考核中发现一次扣0.5分。
2.2.2.4值班人员应熟练掌握本专业设备图纸及显示信息的含义。实际考核中
发现一次扣0.5分。
2.2.2.5要求运维人员具备一定的应急技能,掌握正确处理突发事故的程序、
技能。实际考核中发现一次不达标扣0.5分。
2.2.2.6每季度进行一次实际技能考试,不及格每人次扣0.2分。
2.2.2.7实际工作中发现因技术能力原因不能完成工作者,每人次扣0.5分。
2.2.2.8每月上报培训计划,个人建立培训笔记,没有上报培训计划或个人没
有培训笔记、笔记内容不全扣0.2分。
2.2.2.9严格执行交接班制度,违反1次扣0.5分。
2.2.2.10维护人员应熟练掌握现场本专业维护设备的位置。实际考核中发现一
次不掌握扣0.5分。
2.3基础资料管理(10分)
2.3.1 图纸和技术资料:(3分)
2.3.1.1值班岗位放置有图纸、说明书和技术书籍,做好目录记录,否则扣0.5
分。
2.3.1.2值班岗位保持公用图纸、说明书和技术书籍干净、齐全、准确,损坏
后及时更换,否则缺1份扣0.5分。
2.3.1.3值班岗位放置有**公司相关管理制度、规程、应急预案等,每缺少一项
扣0.5分。
2.3.2 各类记录:(4分)
2.3.2.1运维人员到现场进行检维修作业时要填写派工单,检维修完成后,运
维人员在派工单上要详细填写故障原因及检维修作业经过,甲方现场
管理人员在派工单上签字,对检维修作业和服务工作进行质量评定,
检维修和现场服务工作完成后,将派工单由部门当班值班人员签字后
交服务热线岗位保存。派工单要按照格式要求详细、工整填写,不得
涂改。每个月月初,由服务热线岗位整理派工单,并上交信息管理部
归档保存。派工单书写不认真、不工整,每份扣0.5分,不按时归档
每次扣0.5分。
2.3.2.2运维值班人员每天按时巡检,并填写巡检记录,每周检查运维单位各
类记录、票证的填写情况,未按要求填写和办理的每次扣2分。
2.3.2.3应根据甲方要求在值班岗位建立完整的记录,每缺失一种扣1分。2.3.3 各类台帐:(3分)
按甲方要求建立各类设备台帐,并要求台帐详细准确,否则发现缺少一
份每月扣1分,不准确的每月扣0.5分。扣完3分为止。
2.4安全生产管理(20分)
2.4.1安全教育:(2分)
2.4.1.1全体员工要求建立安全教育卡片,否则一人次扣0.5分。
2.4.1.2换岗人员要进行换岗安全教育,成绩填入本人安全教育卡片中,否则一
人次扣0.2分。
2.4.1.3上岗人员必须持有特种上岗证上岗,无证上岗,一人次扣0.5分。
2.4.1.4每周按时组织并有领导参加安全学习活动否则一次扣0.5分,记录内容
齐全、干净、整洁,有个人发言、有活动小节,每缺一项扣0.2分。
2.4.2操作票的填写与执行:(6分)
2.4.2.1操作票由技术人员每周检查整理,否则一次扣0.2分,并于每月5日前
上交信息管理部主任助理,迟交1天扣0.2分。
2.4.2.2应填写操作票的操作,而未填写操作票者,一次扣0.5分。
2.4.2.3填写操作票后应该经过审核,操作人和监护人分别签名后方可进行操
作,否则一次扣0.2分,如果发现操作票审核后仍然不合格者,一次扣
0.5分。
2.4.2.4工作票安全措施填写不全者一次扣0.5分。
2.4.2.5工作票上的安全措施未全部落实即开始工作的一次扣0.5分。
2.4.2.6未办理工作票进行工作的一次扣0.5分。
2.4.2.7工作票的签发人、工作负责人、许可人没有签名或未履行确认许可手续
的一次扣0.5分。
2.4.2.8临时用电票未按要求办理者一次扣0.2分。
2.4.2.9临时用电现场未按要求进行接线、拆除者一次扣0.2分。
2.4.2.10办理的票证要求登记,未按时登记者一次扣0.2分。
2.4.2.11各类票证未按照规程要求填写(涂改、字迹不整)、盖章等,发现一
处扣0.2分。
2.4.2.12填写操作票但未按照操作票进行操作者,一次扣0.5分。
2.4.2.13凡发生误操作,未造成事故后果的,一次扣1分。
2.4.2.14票证的签名不能代签,否则扣0.5分。
2.4.2.15监护人没起到监护作用,如监护人不在监护现场,一次扣0.2分。
2.4.2.16工作票过期,不办理延期手续或不进行销票1次扣0.2分。
2.4.2.17临时操作票的监督和检查不到位,每次扣0.5分。
2.4.3事故处理:(3分)
2.4.
3.1发生事故后,2天内组织召开事故分析会,否则扣0.5分。
2.4.
3.2发生事故后,3天内上报事故报告,否则扣0.5分。
2.4.
3.3事故报告的各项附件不齐全的,一次扣0.5分。
2.4.
3.4与事故报告相关的纠正和预防措施单各项内容填写不齐全的,一次扣
0.5分。
2.4.
3.5事故报告中预防措施及纠正和预防措施单中的预防措施落实不到位的,
一次扣0.5分。
2.4.
3.6运维单位所管辖的设备,如果发生重要故障或事故及网络瘫痪,应及时
向有关人员汇报,否则1次扣0.5分。
2.4.4消防(2分)
2.4.4.1运维责任区域的消防设施与器材保持完好、整洁,并按规定摆放,交接
班进行交接,要定期检查,否则一处扣0.2分。
2.4.4.2所有人员必须正确使用消防器材和防护用品,会报火警和急救,发现有
不会使用者一次扣0.5分。
2.4.4.3动火时,应严格按照动火管理标准执行,如有违章动火一次扣0.5分。
2.4.4.4在禁烟区内吸烟,一人次考核5分,严重者交有关部门处理,发现烟头
一处扣1分。
2.4.5隐患治理:(3分)
2.4.5.1值班人员处理故障不及时,延误工作的,或故障处理中发生误操作的,
视情节轻重扣0.5~5分。
2.4.5.2对所管辖设备的隐患、缺陷要积极组织处理,延误消缺的,一次扣0.5
分。
2.4.5.3对所管辖设备的隐患、缺陷要积极组织处理,因管理原因延误消缺的,
一项扣0.5分。
2.4.5.4运维单位所辖区域发现的设备隐患应及时纳入本单位隐患台帐和上报
信息管理部,漏一项扣0.5分。班组应组织人员进行消缺,若组织不力
影响系统安全运行的,一项扣0.5分。
2.4.5.5每月20日前完善隐患风险消减滚动台帐,将评审记录上报信息管理部,
否则每次扣0.5分。
2.4.5.6技术人员对各系统隐患要监控到位,否则每次扣0.5分。
2.4.5.7未按要求制定和上报年度事故预案、隐患预案学习及演练计划,1次扣
0.5分。
2.4.5.8每季度按要求至少进行1次事故预案的实际演练,未按要求进行1次扣
0.5分。
2.4.5.9按要求做好应急演练记录和评审。未按要求进行1次扣0.5分。
2.4.7其他:(4分)
2.4.7.1上班期间必须穿工作服,进入装置区必须戴安全帽,不得穿凉鞋、高跟
鞋、布鞋。发现一人次扣0.2分。
2.4.7.2从事与有毒有害物质接触的作业时,必须配戴相应的防护用具(如服装、
鞋帽、手套、护目镜、防毒面具)等。否则一次扣0.2分。
2.4.7.3按高处作业管理标准严格执行,登高作业必须系好安全带,否则一人次
扣0.2分。
2.4.7.4建立安全台帐:消防器材台帐等;设备缺陷记录;事故、障碍、异常记
录;否则一项扣0.5分,台帐不符合实际的一处扣0.2分。
2.4.7.5要求安全用具完好、齐全,否则一次扣0.5分。
2.4.7.6每年对各系统的季节检查,要及时进行检查、记录和处理,否则一次扣
0.5分。
2.4.7.7配发的特殊劳保用品和个人防护用品在使用期内妥善保管。岗位安技装
备(监测仪、应急灯、气防用品、专用防护服)必须保持完好状态,岗
位人员应会使用,不会使用1人次扣0.2分。
2.4.7.8配发的气防用具设备要完好无损,定期测试,丢失的照价赔偿,并一次
扣0.5分。
2.4.7.9大的检维修和技术服务项目必须进行风险识别与评价,制定相应的检维
修风险控制、消防和应急方案,未执行的一次扣0.5分。
2.4.7.10对动火、登高、有限空间进行作业,不办理相关票证1次扣0.5分。
2.4.7.11各专业设备的运行方式变更严格按照规定要求组织实施,否则每次
扣1分。
2.4.7.12HSE作业指导书未按规定办理的1次扣0.5分。
2.4.7.13管理人员认真负责审核QHSE作业指导书,否则1次扣0.5分。
2.4.7.14甲方安排的安全工作不能按时完成并没有正当理由的1次扣0.5分。
2.4.7.15如果因以上各类违规进行操作、工作引起事故或影响系统运行甚至
影响生产的根据情况扣1-10分。
2.5现场作业管理(20分)
2.5.1 作业现场环境:(5分)
2.5.1.1工作过程中要始终保持作业点整洁;工作结束后要工完料净场地清,否
则每次扣1分,作业完不及时清理现场,每次扣0.5分。
2.5.1.2各类废弃垃圾妥善处理,处理不当每次扣0.5分。
2.5.1.3对管辖的设备卫生要保持干净、照明完好,在检查时,凡发现1处不符
合要求(现场干净、设备清洁零件齐全、设备内部构件无损、地面要整
洁、电缆及保护管恢复原样),否则扣0.5分。
2.5.2 作业过程管理(10分)
2.5.2.1作业过程中如有不文明行为,发现一次,每次扣1分。
2.5.2.2提倡文明作业,如由于自身原因造成设备损坏,除照价赔偿外,视情节
轻重每次扣1-10分。
2.5.2.3加强作业过程的质量控制,如实记录作业过程的相关信息,确保问题的
可追溯性。因检维修和技术服务质量原因造成返修的,一次扣1分。2.5.2.4检维修和技术服务前,要了解各种设备的结构、用途,以及系统软件、
硬件情况,合理解决检维修和技术服务中存在的问题,凡要改变系统结
构、原理的作业,必须经甲方人员同意,否则每次扣1分。
2.5.2.5作业方案的制定和落实不到位,每次扣1分。
2.5.2.6作业过程中技术和质量把关不严,未达到有关规定要求,每次扣0.5分。
2.5.2.7及时解决作业过程中存在的问题,发现问题不处理,每次扣1分。
2.5.2.8作业完成后,确因作业质量发生问题,视情节轻每次扣0.5-5分。
2.5.2.9安全管理人员负责督察运行和作业过程中的安全工作,否则每次扣0.5
分。
2.5.3 日常巡检:(4分)
2.5.
3.1严格执行设备巡检管理规定,不按规定进行正常巡检或填写记录不认真
的扣0.5分。
2.5.
3.2应根据本维护区域特点,统一确定巡检路线,设立巡回检查站,定点定
时。不按要求执行者扣1 分。
2.5.
3.3巡检人员巡检时按规定穿戴好劳保服,携带必要的安全和气防用具及检
测工具(仪器)等。不按要求执行者扣0.5分。
2.5.
3.4对巡检查出的问题处理不及时考核0.5分;拖延影响生产扣1分。
2.5.
3.5运维单位对巡检查出的问题逐级向上级汇报,如未及时汇报造成不同程
度影响发现1次扣0.5-2分。
2.5.
3.6技术人员、项目负责人不按要求进行周检的,1次扣0.5分。
2.5.
3.7项目负责人、技术员定期对设备进行巡检,未按要求进行巡检并填写记
录的,1次扣0.5分。
2.5.
3.8不按要求对特护设备进行监护的,1次扣0.5分。漏项一处扣0.2分。
2.5.
3.9由于巡检不到位、不认真造成系统故障、数据丢失等事故,扣5分。2.5.4 其他:(1分)
2.5.4.1管辖区定期清扫不按规定执行,一处扣0.5分。
2.5.4.2按时完成甲方安排工作任务,未完成又无正当理由每次扣1分。
2.6 工作纪律及服务意识(20分)
2.6.1 乙方必须加强服务意识,积极做好装置运维工作。如乙方员工发生不服从甲方工作安排,扣2分/次。情节严重的扣8分/次,直至清退出厂。(8分)
2.6.2接到现场检维修和技术服务任务指令后,需要办理各类票证,运维人员必须在20分钟内到达现场,接到作业指令后15分钟内作业人员及机具到达作业地点。否则扣1分/次。(2分)
2.6.3乙方人员在现场的人数不低于考勤人数的90%,值班人员出勤率保证100%。每低一个百分点扣1分。(2分)
2.6.4当班人员不得有串岗、脱岗、迟到、早退等违纪行为,每发现一次扣1分,
若因此造成严重后果者,每发现一次扣2分。(4分)
2.6.5乙方人员的轮换表要及时报信息管理部,人员的变动必须经信息管理部批准。违反规定每人次扣1分。(2分)
2.6.6根据信息管理部或其他部门要求按时参加各种工作会议,迟到、早退扣0.5分/人次,无故缺席扣1分/人次。(2分)
2.6.7 严格执行请销假审批手续,否则每一人次;扣1分。
2.7 运维工器具管理(5分)
2.7.1乙方必须按运维合同要求配置运维工具、机具、量具、校验仪器、仪表等;否则扣1分。
2.7.2乙方必须建立工器具台帐,否则扣1分。
2.7.3工器具必须按相关规范要求定期校验、检定,并及时更新工器具台帐,保证工器具完好率100%。完好率每降低1%扣0.2分,扣完1分为止;
2.7.4乙方应妥善保管、维护、使用由甲方提供的专用工具,造成专用工具的丢失、损坏或使用维护不当的,除按价赔偿外扣1分;
2.7.5运维工具、机具未经机动设备处允许,乙方不得随意出厂作业,机具调换必须经甲方同意,由于运维工具、机具不全延误工作的,每次扣1分。
2.8 奖励办法
如乙方运维工作业绩突出,可由所服务区域出具书面材料申请奖励。申请中要详述奖励的原因,报经相关部门和主管领导审批同意后可酌情进行奖励。
宁可累死在路上,也不能闲死在家里!宁可去碰壁,也不能面壁。是狼就要练好牙,是羊就要练好腿。什么是奋斗?奋斗就是每天很难,可一年一年却越来越容易。不奋斗就是每天都很容易,可一年一年越来越难。能干的人,不在情绪上计较,只在做事上认真;无能的人!不在做事上认真,只在情绪上计较。拼一个春夏秋冬!赢一个无悔人生!早安!—————献给所有努力的人
信息安全运维流程模板
信息安全运维 服务流程 审核:XXX 批准:XXX 版本.修改号:A.0 受控状态:受控 XXX年XX月XX日发布XXX年XX月XX日实施 XXX公司
1.安全运维服务流程 流程图 根据目前安全运维的整体情况,制定了运维服务流程图,具体流程如下图:
1.1需求调研与分析 依据公司自身的运维服务业务定位,业务部负责对客户需要运维的信息系统现状、安全设备设施等内容进行调研,通过会议或者讨论等方式采集客户服务需求和服务目标,明确客户的系统运维服务时间、服务期限、服务内容以及相关服务方式频次等需求,并将调研信息总结整理形成调研分析报告。 1.2报价与成本核算 由公司项目组成员结合公司市场部门,对运维项目的服务内容进行工作量和工作成本的预估。成本核算主要根据信息系统的运维服务时间、工作量、服务方式、服务内容、以及相关人日费用进行。将个单项服务的设备费用、和人力成本等费用总和考虑核算出单项和整体项目的成本以及相应的项目报价。 1.3合同签订 公司项目部门与客户研讨后制定合同方案,并签订项目合同。合同中应明确运维服务的范围、项目周期、服务内容、运维方式、合同金额、付款方式、保密条款、验收条件等。 1.4运维方案设计与编制
根据系统安全运维的实际需求,公司项目部分负责编制安全运维服务方案。服务方案中应明确制定运维服务时间、服务内容、服务方式、服务期限、项目组成员和项目主要沟通联络负责人、服务汇报材料、项目相关的质量管理程序和措施以及运维服务中的风险管理等。 其中,运维时间与期限应写明项目运维起止时间和交付验收的时间节点;服务内容应列出运维服务设备清单和系统边界,以及运维服务的安全检查项目和运维服务周期。 1.5运维服务实施阶段 根据运维服务的方案进行服务实施。主要根据资产列表对设备和系统进行分类、标识,对系统中的配置信息进行备份和安全检查。 对方案中周期性维护的设备和系统,应做好维护记录:巡检、安全查杀、备份、更新、升级、故障排查等。由项目经理负责汇总并整理,最终形成月报、季报和年度总结报告。 1.6运维服务配置管理 配置管理的目的是通过将客户组织、信息、关系进行集中、统一管理,为服务过程提供基础的数据支持,以优化服务流程、提高服务效率、确保服务质量。配置管理范围是公司运维合同范围内的客户的生产和运行环境中的硬件、软件、应用系统、信息资源、服务包以及组织人员等。 配置管理应使用有效管理工具,以确保在运维服务过程中,能够
信息系统运行维护管理办法
大唐国际发电股份有限公司内蒙古分公司计算机网络信息系统 运行维护管理办法 第一条为加强内蒙古分公司网络信息系统运行维护管理,明确网络信息系统运行维护管理的内容、目标、管理职责、管理流程,特制定本办法,本办法适用于分公司机关本部。 第二条计算机网络信息系统是指企业计算机网络通讯平台及所有基于企业业务管理的应用系统的总称。总经理工作部是计算机网络信息系统的归口管理部门,统筹负责公司的信息化建设和计算机网络信息系统的运行、维护、检修管理工作;具体负责网络系统的检修维护、网络信息安全管理、网络客户机的日常维护、分公司公用应用系统的维护、信息系统备件及办公耗材管理。各相关业务部门负责专业应用系统的维护。 第三条网络系统的维护。由总经理工作部负责,根据网络系统发生的故障或缺陷,由信息主管确认属于系统供应商服务还是公司专业人员自主处理。属于系统供应商服务的,由信息主管向部门主管领导汇报系统故障情况,并通知和协调系统供应商处理系统故障、缺陷,信息主管组织本专业相关人员进行配合,并组织检修工作的验收和检修文档的提交。对不属于系统供应商服务的,由信息主管向部门主管领导汇报解决方案,然后组织相关人员进行设备检修或系统消缺工作,并对检修或消缺工作进行检查、验收及检修文档填写。网络系统维护报告单见附件1。 第四条应用系统的维护。由各业务主管部门负责,总经理工作部配合进行。应用系统发生故障后,由业务主管部门会同总经理工作部判断故障原因,并向各自主管领导汇报故障情况及解决方案,网络故障由总经理工作部负责解决,应用系统故障由业务主管部门负责解决,必要时请系统服务商解决,业务主管部门及总经理工作部做好配合工作。应用系统维护报告单见附件2。 第五条系统的数据备份。各应用系统的数据备份,由业务主管部门指定专人进行,总经理工作部信息主管负责技术把关。各业务主管部门根据应用系统的性质和实际情况,制定系统备份技术方案,经主管领导审核后,按时进行系统备份。分公司公用应用系统的数据备份由总经理工作部负责。系统数据备份记录表见附件3。 第六条网络信息系统安全管理。由总经理工作部负责,由信息主管根据网络系统的 应用需求和应用现状,制定整体的信息安全保障方案,并提交主管领导确认。根据网络系统功能的扩充以及可能发生的网络信息安全隐患,信息主管要及时采取必要的应对措施,并适时增加或调整网络系统相关的信息安全策略,做好涉及到计算机用户信息安全管理方面的技术指导和安全检查工
医院信息系统运行维护管理制度
中医院 信息系统运行维护管理制度 第一条为规范全院信息系统的运行维护管理工作,确保信息系统的安全可靠运行,切实提高效率和服务质量,使信息系统更好地服务于运营和管理,特制定本管理办法。 第二条运行维护管理的基本任务: 1、进行信息系统的日常运行和维护管理,实时监控系统运行状态,保证系统各类运行指标符合相关规定; 2、迅速而准确地定位和排除各类故障,保证信息系统正常运行,确保所承载的各类应用和业务正常; 3、进行系统安全管理,保证信息系统的运行安全和信息的完整、准确; 4、在保证系统运行质量的情况下,提高维护效率,降低维护成本。 第三条网络中心负责全院范围内信息系统运行维护管理、监督检查和质量考核评定工作,掌握运行质量情况,制定质量指标,并对信息系统各级维护部门进行定期检查考核; 第四条负责全院范围内信息系统的计算机硬件平台、基础软件、应用软件、配套网络和的监控和日常维护工作,制定日常维护作业计划并认真执行,保证信息系统正常运行;对于系统的所有维护(包括日常作业计划、故障处理、系统改进、数据变更、数据的
备份与恢复、功能完善增加)都必须填写维护记录;负责所辖范围内信息系统数据的备份与恢复,负责落实系统安全运行措施;每年至少组织一次全行范围内的信息系统运维管理巡回检查,全面检查各维护作业计划管理、技术档案和资料管理、备份及日志管理、机房管理、安全保密管理等制度的落实情况。 第五条系统出现故障,信息系统维护部门或维护人员首先进行处理,同时判断系统类型和故障级别,根据系统类型和故障级别,故障处理应在要求的时限内完成,并同时向院部报告。对无法解决的故障,应立即向软硬件最终提供商、代理商或维保服务商(以下简称厂商)提出技术支持申请,督促厂商安排技术支持,必要时进行跟踪处理,与厂商一起到现场进行解决。 第六条厂商技术人员现场处理故障时,当地维护人员应全程陪同并积极协助,并在故障解决后进行书面确认。 第七条参与故障处理的各方必须如实、及时填写故障处理单,现场技术支持还须当地维护人员予以签字确认或维护部门盖章。 第八条建立重要紧急信息上报渠道,对于发生的重要紧急情况,应该立即逐级向院部主管领导报告,对业务影响较大的还应及时通知业务部门。 第九条信息系统维护管理部门负责技术档案和资料的管理,应建立健全必要的技术资料和原始记录等。 第十条软件资料管理应包含以下内容: 1、所有软件的介质、许可证、版本资料及补丁资料; 2、所有软件的安装手册、操作使用手册、应用开发手册等技
IT运维信息安全方案
8.3 IT运维信息安全解决方案 8.3.1安全运维的重要性 随着信息安全管理体系和技术体系在企业领域的信息安全建设中不断推进,安全运维占信息系统生命周期70% - 80%的信息,并且安全运维体系的建设已经越来越被广大用户重视。尤其是随着信息系统建设工作从大规模建设阶段逐步转型到“建设和运维”并举的发展阶段,运维人员需要管理越来越庞大的IT系统这样的情况下,信息安全运维体系的建设已经被提到了一个空前的高度上。它不仅单单是一个体系的建设,更是IT系统管理中的夯实基础。 运维服务的发展趋势对于企业的安全运维服务管理的发展,通常可以将其分为混乱阶段、被动阶段、主动阶段、服务阶段和价值阶段这五个阶段。 1、在混乱阶段:运维服务没有建立综合的支持中心,也没有用户通知机制; 2、在被动阶段:运维服务开始关注事件的发生和解决,也开始关注信息资产,拥有了统一的运维控制台和故障记录和备份机制; 3、在主动阶段:运维服务建立了安全运行的定义,并将系统性能,问题管理、可用性管理、自动化与工作调度作为重点; 4、在服务阶段,运维服务工作中已经可以支持任务计划和服务级别管理; 5、在价值阶段,运维服务实现了性能、安全和核心几大应用的
紧密结合,体现其价值所在。 8.3.2信息安全的概念 8.3.2.1信息安全定义 信息安全的概念在二十世纪经历了一个漫长的历史阶段,90年代以来得到了深化。进入21世纪后,随着信息技术的不断发展,信息安全问题也日显突出。如何确保信息系统的安全已经成为了全社会关注的问题。国际上对于信息安全问题的研究起步较早,投入力度大,已取得了许多成果,并得以推广应用。中国目前也已有一批专门从事信息安全基础研究、技术开发与技术服务工作的研究机构与高科技企业,形成了中国信息安全产业的雏形。 关于信息安全的定义也有很多,国学者与国外学者、不同的社会组织也给出了不同的定义。 ?国学者的定义:“信息安全容分为:实体安全、运行安全、数据安全和管理安全四个方面。” ?我国“计算机信息系统安全专用产品分类原则”中的定义是:“涉及实体安全、运行安全和信息安全三个方面。” ?我国相关立法给出的定义是:“保障计算机及其相关的和配套的设备、设施(网络)的安全,运行环境的安全,保障信息安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全”。 这里面涉及了物理安全、运行安全与信息安全三个层面。
信息系统运行维护管理规定
信息系统运行维护管理 规定 内部编号:(YUUT-TBBY-MMUT-URRUY-UOOY-DBUYI-0128)
信息系统运行维护管理制度 第一章总则 一、为规范信息系统的运行维护管理工作,确保信息系统的安全可靠运行,切实提高生产效率和服务质量,使信息系统更好地服务于生产运营和管理,特制订本管理办法。 二、本管理办法适用于及其分支机构的信息系统,各分支机构和各部室可根据本办法制定相应的实施细则。 三、信息系统的维护内容在生产操作层面又分为机房环境维护、计算机硬件平台维护、配套网络维护、基础软件维护、应用软件维护五部分: 1.计算机硬件平台指计算机主机硬件及存储设备; 2.配套网络指保证信息系统相互通信和正常运行的网络组织,包括联网所需的交换机、路由器、防火墙等网络设备和局域网内连接网络设备的网线、传输、光纤线路等。 3.基础软件指运行于计算机主机之上的操作系统、数据库软件、中间件等公共软件; 4.应用软件指运行于计算机系统之上,直接提供服务或业务的专用软件; 5.机房环境指保证计算机系统正常稳定运行的基础设施,包含机房建筑、电力供应、空气调节、灰尘过滤、静电防护、消防设施、网络布线、维护工具等子系统。
四、运行维护管理的基本任务: 1.进行信息系统的日常运行和维护管理,实时监控系统运行状态,保证系统各类运行指标符合相关规定; 2.迅速而准确地定位和排除各类故障,保证信息系统正常运行,确保所承载的各类应用和业务正常; 3.进行系统安全管理,保证信息系统的运行安全和信息的完整、准确; 4.在保证系统运行质量的情况下,提高维护效率,降低维护成本。 5.本办法的解释和修改权属于信息化办公室。 第二章运行维护组织架构 一、运行维护组织 1.信息系统的运行维护管理遵循在统一的领导下,分级管理和维护的模式。作为信息化办公室,牵头组织实施信息系统的维护管理工作。原则上信息系统的维护工作应逐步集中。 2.信息系统的维护管理分两个层面:管理层面和操作层面。在管理层面,信息化办公室,负责全处范围内信息系统的维护管理和考核。在操作层面,信息化办公室就是实体的维护部门(或维护人员)。信息化办公室直接对处信息化党政领导小组负责,并接受信息化党政领导小组的业务指导和日常管理。 3.信息化办公室应对工程处信息化建设制定技术规范、作业计划、应急预案,编制技术方案、培训教材等,各部室应积极配合。 二、信息化办公室运行维护职责 1. 信息化办公室管理职责 (1)贯彻国家、行业及监管部门关于工程处信息系统技术、设备及质量管理等方面的方针、政策和规定,组织制定信息系统的维护规程、维护管理办法和维护责任制度;
系统运维管理制度
系统运维管理制度
运维管理制度 系统运维管理制度(试行) (2018年8月版) 第一章总则 运维以技术为基础,通过技术保障产品提供更高质量的服务。在软件产品的整个生命周期中运维组都需要适时参与并发挥不同得作用,因此运维组工作内容和方向非常多。 运维目标是在服务出现异常时尽可能快速恢复服务,从而保障服务的可用性;同时深入分析故障产生的原因;推动并修复服务存在的问题,同时设计并开发相关的预案以确保服务出现故障是可以高效止损。 第一条为保障信息系统软硬件设备的良好运行,使运维技术人员工作制度化、流程化、规范化,特制订本制度。 第二条运维管理工作总体目标:立足根本促发展,开拓运维新局面。在办公系统运行推广时期,通过网络、桌面、系统等的运维,促进信息系统能够稳定可持续性的发展。 第三条运维管理制度的适用范围:运维全体人员。 第二章编制方法 第一条本实施细则包括运维服务全生命周期管理方法、管理标准/规范、管理模式、管理支撑工具、管理对象以及基于流程的管理方法。
第二条本实施细则以ITIL/ISO20000为基础,以信息化项目的运维为目标,以管理支撑工具为手段,以流程化、规范化、标准化管理为方法,以全生命周期的PDCA循环为提升途径,体现了对运维服务全过程的体系化管理。 第三章运维部工作职责 第一条系统运维和技术支持 (1)根据公司业务的推进和发展目标,负责平台信息系统管理及数据交换策略的整体架构、对应用系统等技术开发方案的基础支撑,保障基础平台的稳定性和先进性。 (2)负责系统基础平台的使用培训和操作使用指南编写,对用户使用过程中出现问题的沟通和解决; (3)会同项目实施,确认系统信息基础设备和软件数量、品牌规格、技术参数,确保项目有效推进实施。 (4)系统信息基础设备和软件操作规程、应用管理制度的制定,并负责监督执行。 (5)系统信息基础设备的软件安装、调试和验收,使用培训和维修保养。 (6)系统信息基础平台日常运行过程中信息安全和技术问题的协调解决,保障平台24小时安全稳定运行。 (7)负责平台系统管理及设备保密口令的设置、更新、保存。 (8)负责系统信息协同管理及协同数据交换策略研究新程序、新系统和软件改版升级工作。
信息安全维护服务方案书~(模板)
信息安全 维护服务方案书
1.概述 (系统概述) 2.维护内容 2.1.硬件系统 硬件维护包括哪些内容 2.2.软件系统 软件维护包括哪些内容 3.维护流程及人员配备3.1.维护流程图
3.2.人员配备 ?网络工程师:2人 ?系统工程师:2人 ?软件工程师:1人 ?现场技术员:4-5人 4.维护原则 ?客户化:用客户的价值观重新定位服务业务和调整经营策略。 ?标准化:引入可衡量的服务标准,改善服务质量。 ?专业化:员化职业化专业化教育和培训大幅提升实际服务水平。 ?规范化:导入规范的服务商业模式,优质服务的保障。 5.维护方式 5.1.咨询服务和技术支持 客户在一卡通系统使用过程中,出现故障或不正常现象随时可通过电话、电子邮件或书面提出问题和咨询。我们将会及时解答。 5.2.硬件故障诊断和维修 根据项目的服务和维护协议、需要服务项目的大小、服务和维护任务的紧急程度、故障的情况等因素对维护工作进行分级处理。不同的维护级别采取不同的反应措施,安排不同技术层次的维护人员解决,解决的时间有不同的要求,坏件的维修或更换周期也不同。对于本项目,公司制定了更加严格的维护反应措施。 5.2.1.响应时间 响应时间将因故障级别而异。故障分级如下:
A级客户系统停机,或对客户系统的业务运作有严重影响。 B级客户系统性能严重下降,使客户系统的业务运作受到重大影响。 C级客户系统操作性能受损,或客户系统(包括业务运作)处于不安全状态,但客户的业务运作仍可正常工作。 D级客户需要在产品功能、安装、配置方面的技术支持,但客户业务运作明显不受影响或根本未受影响。 注:公司提供7*24 小时的应急支持服务,保证重大事故及时响应。 按旅程区域划分(以青岛海尔软件客服中心办公楼为起点) 一级区域0-40 公里当天4 小时内到达现场 二级区域41-80 公里当天4 小时内到达现场 三级区域81-160 公里当天6 小时内到达现场 四级区域161-240 公里当天10 小时内到达现场 五级区域241-320 公里当天12 小时内到达现场 六级区域321-480 公里第二工作日到达现场 七级区域481-750 公里第三工作日到达现场 八级区域751-1500 公里第三工作日到达现场 九级区域1500 公里以上需根据具体情况协商而定 5.2.2.维修服务 诊断出设备故障后,如公司库存有备件即在最短时间(一个工作日)内给予置换;如公司库存无备件,则及时通过设备供应商供货,在收到供应商供货后一个工作日内给予置换。
信息系统运维管理办法
信息系统运维管理办法标准化管理处编码[BBX968T-XBB8968-NNJ668-MM9N]
**信息系统运维管理办法 第一章总则 第一条为加强我行计算机系统的运行维护工作,保障系统安全稳定运行,进一步提高系统的维护质量和效率,制定本管理办法。 第二条本办法所称信息系统,是指我行日常经营和业务办理所使用的计算机软件、硬件及基础IT设施,包括各类业务软件系统、机房设施、网络设施、服务器设施、电脑终端设备等。 第三条本办法中出现的词条解释如下: (一)运行维护手册:针对运行维护人员编写的有关系统日常维护、监控、备份、一般性故障处理、软件安装、操作、配置方法及其他相关信息的文档。 (二)运行维护:由运行维护人员按照运行维护手册的要求,进行日常的运行监控、备份、安全管理、一般故障处理,受理用户维护申请,解答用户疑问的工作。 第四条信息系统运行维护工作的基本任务是:做好系统或设备上线投产、升级、日常监控、备份、安全管理,预防、处理各类系统故障,提高我行计算机系统的整体运行水平,保障我行业务连续性计划的顺利进行。 第二章岗位职责 第五条运营管理部系统运维岗位人员负责我行信息系统的运行维护工作。系统运维岗按运行维护手册的要求进行一级维护,如无法按时解决问题,需第一时间请求主发起行协助,并在主发起行运行维护人员进行技术指导下完成相关维护工作。
第六条系统运维岗应积极接受相关设备厂商或项目组组织的运行维护培训。培训内容应包括系统的体系架构、软硬件安装、配置、日常维护方法、备份和恢复策略、一般性故障的处理方法等。 第七条运营管理部运行维护人员的主要职责包括: (一)做好系统上线投产的环境准备工作,包括网络、不间断电源等。各项技术指标应满足系统软硬件的要求。 (二)在项目组的协助下,完成硬件和操作系统的安装和配置工作。 (三)利用培训和系统上线机会,掌握系统维护技术。 (四)制定系统日志、负载监控、系统备份和恢复策略。 第三章日常管理 第八条系统运维人员应按既定的策略和《运行维护手册》的要求,承担系统的日常运行维护工作。包括运行环境监控、软硬件运行状况监控、系统备份管理、安全管理、一般性故障处理、用户申请受理等。 第九条系统运维人员应做好硬件及网络的定期检测,发现问题及时处理或第一时间报告项目组和运行中心负责人。 第十条系统运维人员需详细记录日常运行维护情况,并定期向项目组提供运行情况汇总和统计数据。 第十一条系统运维人员需根据系统运行情况,及时提出软硬件升级或修改建议。
信息化系统安全运行管理制度.doc
信息化系统安全运行管理制度 第一章:总则 第一条为确保公司信息化系统的正常运行,有效地保护信息资源,最大程度地防范风险,保障公司经营管理信息安全。根据《国家计算机信息系统安全保护条例》等有关法律、法规,结合公司实际,制订本规定。 第二条本规定所称公司信息化系统,是指公司所使用的“集团管理软件”所覆盖的使用单位、使用人、以及计算机及其网络设备所构成的网络系统。具体有财务管理系统、物资供应管理系统、销售管理系统、地磅系统、资产管理系统、人力资源管理系统、OA办公自动化系统。第三条本规定适用于公司及所属单位所有使用信息系统的操作员和系统管理员。 第二章职责描述 第四条公司企管信息部 1、根据国家和行业的发展制定公司信息化工作的发展规划、年度计划和有关规章制度; 2、负责组织实施公司信息化建设; 3、负责公司信息系统的维护及软件管理; 4、负责对各单位信息系统工作的检查、指导和监督。 第五条公司信息化系统负责人 1、协调公司各种资源,及时处理对系统运行过程中的出现的各种异常
情况及突发事件; 2、负责督促检查本制度的执行; 第六条公司系统管理员 1、负责应用系统及相关数据的正常使用和安全保障; 2、负责解答各所属单位人员的问题咨询,处理日常问题; 第七条各单位系统管理员 1、熟悉掌握系统,能够处理系统应用中的问题; 2、要及时建立问题处理情况汇总表,并定期上报给公司系统管理员,由公司系统管理员汇编成册,定期下发给所有操作人员,以做到最大程度的知识共享; 3、负责本单位新进员工的信息系统技能培训;监督本单位操作人员进行规范操作; 第八条操作员 1、严格按照业务流程和系统运行规定进行操作、不越权操作、不做违规业务; 2、保证自己的密码不泄密,定期更换密码; 第三章内部支持体系管理 第九条为了确保操作人员能够熟练掌握信息系统的运行,问题的提交与处理必须按照逐级处理方式,具体如下: 1、各单位操作人员发现问题填写“日常操作问题记录单”先提交给各自所属单位的系统管理员归集与处理; 2、在各单位系统管理员不能处理的情况下再提交到公司系统管理员处理;
企业信息安全运维要点剖析
企业信息安全运维要点剖析
1. 运维工作分类 在甲方工作多年,对甲方运维工作做下总结,主要工作包以下几方面: 1.1. 安全设备运维 包括安全设备的配置、备份、日常巡检等工作。这部分工作很多甲方因为人力的原因很难做起来,如防火墙、入侵检测系统、堡垒机、企业杀毒软件等安全设备的日常配置、日志审计,可能日常的配置因为业务需求的原因能及时做支持,安全设备日志审计因为各种原因很难做成。 1.2. 安全资产管理 通常资产管理属于甲方的IT运维的部分负责,可能有正常的流程支持IP资产上线,大多情况下是研发、测试或运维都有可能部署IP资产,实际上线的IP资产比较混乱,另外,由于上线时间较长,IP设备的业务负责人可能也不清楚,也碰到过只有业务人员知道操作系统的登录密码而运维却不知道的情况。 个人觉得安全资产管理属于安全技术运维里的重要的部分,安全资产资产发现又是安全资产管理的重要部分,另外一部分是IP设备的加固,包括漏洞管理、补丁管理、杀毒软件管理、主机入侵检测管理。涉及到与甲方的各个部门进行沟通,在没有考核的情况下这部分也是很难做好。最后是业务分级、资产分级,不同级别的资产能够采用不同级别的防护。 1.3. 软件安全开发生命周期
安全部门完全参与软件开发的需求阶段、设计阶段、实施阶段、验证阶段、发布阶段、支持和服务阶段。这部分主要工作为培训、代码审计和渗透测试工作。需要适合自己组织的安全开发培训材料和资料(知识库),需要适合自己组织的安全开发流程,在业务上线的早期参与进去。阻碍主要是业务的时间要求,安全人员能力等,这部分也是甲方安全工作的重要部分,做的好和不好对安全的结果影响很大。 1.4. 迎检工作 迎检工作和重大社会活动的安全保障工作,这部分工作占组织安全工作的很大一块比例,这部分跟安全管理工作有比较多的联系,有完善的、适合自己组织的制度和流程,有正常的记录文件可以减轻迎检时的工作量,没有制度、流程或者制度、流程执行不规范,每次迎检都需要提前做好大量工作,效果也不一定好。重大社会活动期间的安全保障工作,结合安全事件响应和应急演练,做好一套完善的流程和规范,可以复用的东西 1.5. 应急响应工作 安全事件演练和应急响应工作,制定标准化的安全事件响应流程,在遇到突发安全事件知道该怎么处理。日常备份工作放到这里,备份频率、备份的有效性检测,相关的实施手册的制定和修订 1.6. 安全管理工作 包括安全策略、安全制度、规范、安全流程、标准、指南、基线等所有安全管理相关的文档制定、版本修改,监督执行情况,这部分参考ISO27000系列、等保标准
信息系统运行维护管理制度
信息系统运行维护管理制度
第一章总则 第一条.为规范信息系统的运行维护管理工作,确保信息系统的 安全可靠运行,切实提高生产效率和服务质量,使信息系统更好地服务于 生产运营和管理,特制订本管理办法。 第二条.本管理办法适用于及其分支机构的信息系统,各分支机 构和各部室可根据本办法制定相应的实施细则。 第三条.信息系统的维护内容在生产操作层面又分为机房环境维 护、计算机硬件平台维护、配套网络维护、基础软件维护、应用软件维护 五部分: 1、计算机硬件平台指计算机主机硬件及存储设备; 2、配套网络指保证信息系统相互通信和正常运行的网络组织,包括联网所需的交换机、路由器、防火墙等网络设备和局域 网内连接网络设备的网线、传输、光纤线路等。 3、基础软件指运行于计算机主机之上的操作系统、数据库软件、中间件等公共软件; 4、应用软件指运行于计算机系统之上,直接提供服务或业务的专用软件; 5、机房环境指保证计算机系统正常稳定运行的基础设施,包含机房建筑、电力供应、空气调节、灰尘过滤、静电防护、消 防设施、网络布线、维护工具等子系统。 第四条.运行维护管理的基本任务: 1、进行信息系统的日常运行和维护管理,实时监控系统运行状态,保证系统各类运行指标符合相关规定;
2、迅速而准确地定位和排除各类故障,保证信息系统正常运行,确保所承载的各类应用和业务正常; 3、进行系统安全管理,保证信息系统的运行安全和信息的完整、准确; 4、在保证系统运行质量的情况下,提高维护效率,降低维护成本。 第五条.本办法的解释和修改权属于。
第二章运行维护组织架构 第一节运行维护组织 第六条.信息系统的运行维护管理遵循在统一的领导下,分级管理和维护的模式。作为信息系统维护管理部门,牵头组织分支机构实施信息系统的维护管理工作。原则上信息系统的维护工作应逐步集中。 第七条.信息系统的维护管理分两个层面:管理层面和生产操作层面。 1、在管理层面,为信息系统维护管理部门,负责全行范围内信息系统的维护管理和考核。 2、在生产操作层面,信息系统维护部门是运行中心和分支机构设置的实体或虚拟的维护部门(或维护人员)。信息系统维护部门直接对信息系统维护管理部门负责,并接受信息系统维护管理部门的业务指导和归口管理。 第八条.分支机构信息系统维护部门(或维护人员)可根据维护工作需要,向申请抽调技术人员和业务人员临时组成虚拟团队,参加分支机构设备巡检,制定技术规范、作业计划、应急预案,编制技术方案、培训教材等,各单位应积极配合。 第二节职责分工 第九条.信息系统维护管理部门职责 1.贯彻国家、行业及监管部门关于银行信息系统技术、设备及质量管理等方面 的方针、政策和规定,组织制定信息系统的维护规程、维护管理办法和维护责任制度;
系统运维管理制度汇编.doc
系统运维管理制度汇编1 运维管理制度 系统运维管理制度(试行) (2018年8月版) 第一章总则 运维以技术为基础,通过技术保障产品提供更高质量的服务。在软件产品的整个生命周期中运维组都需要适时参与并发挥不同得作用,因此运维组工作内容和方向非常多。 运维目标是在服务出现异常时尽可能快速恢复服务,从而保障服务的可用性;同时深入分析故障产生的原因;推动并修复服务存在的问题,同时设计并开发相关的预案以确保服务出现故障是可以高效止损。 第一条为保障信息系统软硬件设备的良好运行,使运维技术人员工作制度化、流程化、规范化,特制订本制度。 第二条运维管理工作总体目标:立足根本促发展,开拓运维新局面。在办公系统运行推广时期,通过网络、桌面、系统等的运维,促进信息系统能够稳定可持续性的发展。 第三条运维管理制度的适用范围:运维全体人员。 第二章编制方法 第一条本实施细则包括运维服务全生命周期管理方法、管理
标准/规范、管理模式、管理支撑工具、管理对象以及基于流程的管理方法。 第二条本实施细则以ITIL/ISO20000为基础,以信息化项目的运维为目标,以管理支撑工具为手段,以流程化、规范化、标准化管理为方法,以全生命周期的PDCA循环为提升途径,体现了对运维服务全过程的体系化管理。 第三章运维部工作职责 第一条系统运维和技术支持 (1)根据公司业务的推进和发展目标,负责平台信息系统管理及数据交换策略的整体架构、对应用系统等技术开发方案的基础支撑,保障基础平台的稳定性和先进性。 (2)负责系统基础平台的使用培训和操作使用指南编写,对用户使用过程中出现问题的沟通和解决; (3)会同项目实施,确认系统信息基础设备和软件数量、品牌规格、技术参数,确保项目有效推进实施。 (4)系统信息基础设备和软件操作规程、应用管理制度的制定,并负责监督执行。 (5)系统信息基础设备的软件安装、调试和验收,使用培训和维修保养。 (6)系统信息基础平台日常运行过程中信息安全和技术问题的协调解决,保障平台24小时安全稳定运行。
信息安全等级保护操作的指南和操作流程图
信息安全等级保护操作流程 1信息系统定级 1.1定级工作实施围 “关于开展全国重要信息系统安全等级保护定级工作的通知”对于重要信息系统的围规定如下: (一)电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。 (二)铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。 (三)市(地)级以上党政机关的重要和办公信息系统。 (四)涉及国家秘密的信息系统(以下简称“涉密信息系统”)。 注:跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。涉密信息系统的等级确定按照国家局的有 关规定和标准执行。
1.2定级依据标准 《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发【2003】27 号文件) 《关于信息安全等级保护工作的实施意见》(公通字【2004】66号文件) 《电子政务信息系统安全等级保护实施指南(试行)》(国信办【2005】25 号文件) 《信息安全等级保护管理办法》(公通字【2007】43 号文件)《计算机信息系统安全保护等级划分准则》 《电子政务信息安全等级保护实施指南》 《信息系统安全等级保护定级指南》 《信息系统安全等级保护基本要求》 《信息系统安全等级保护实施指南》 《信息系统安全等级保护测评指南》
1.3定级工作流程 信息系统调查确定定级对象定级要素分析编写定级报告协助定级备案? 网络拓扑调查? 资产信息调查? 服务信息调查? 系统边界调查? …… ? 管理机构分析? 业务类型分析? 物理位置分析? 运行环境分析? …… ? 业务信息分析? 系统服务分析? 综合分析? 确定等级? …… ? 编写定级报告? …… ? 协助评审审批? 形成最终报告? 协助定级备案 图1-1信息系统定级工作流程 1.3.1信息系统调查 信息系统调查是通过一系列的信息系统情况调查表对信息系统基本情况进行摸底调查,全面掌握信息系统的数量、分布、业务类型、应用、服务围、系统结构、管理组织和管理方式等基本情况。同时,通过信息系统调查还可以明确信息系统存在的资产价值、威胁等级、风险等级以及可能造成的影响客体、影响围等基本情况。 信息系统调查结果将作为信息系统安全等级保护定级工作的主要依据,保证定级结果的客观、合理和准确。
IT运维信息安全方案
8.3I T运维信息安全解决方案 随着信息安全管理体系和技术体系在企业领域的信息安全建设中不断推进,安全运维占信息系统生命周期70% - 80%的信息,并且安全运维体系的建设已经越来越被广大用户重视。尤其是随着信息系统建设工作从大规模建设阶段逐步转型到“建设和运维”并举的发展阶段,运维人员需要管理越来越庞大的IT系统这样的情况下,信息安全运维体系的建设已经被提到了一个空前的高度上。它不仅单单是一个体系的建设,更是IT系统管理中的夯实基础。 运维服务的发展趋势对于企业的安全运维服务管理的发展,通常可以将其分为混乱阶段、被动阶段、主动阶段、服务阶段和价值阶段这五个阶段。 1、在混乱阶段:运维服务没有建立综合的支持中心,也没有用户通知机制; 2、在被动阶段:运维服务开始关注事件的发生和解决,也开始关注信息资产,拥有了统一的运维控制台和故障记录和备份机制; 3、在主动阶段:运维服务建立了安全运行的定义,并将系统性能,问题管理、可用性管理、自动化与工作调度作为重点; 4、在服务阶段,运维服务工作中已经可以支持任务计划和服务级别管理; 5、在价值阶段,运维服务实现了性能、安全和核心几大应用的紧密结合,体现其价值所在。
安全的概念 信息安全的概念在二十世纪经历了一个漫长的历史阶段,90年代以来得到了深化。进入21世纪后,随着信息技术的不断发展,信息安全问题也日显突出。如何确保信息系统的安全已经成为了全社会关注的问题。国际上对于信息安全问题的研究起步较早,投入力度大,已取得了许多成果,并得以推广应用。中国目前也已有一批专门从事信息安全基础研究、技术开发与技术服务工作的研究机构与高科技企业,形成了中国信息安全产业的雏形。 关于信息安全的定义也有很多,国内学者与国外学者、不同的社会组织也给出了不同的定义。 ?国内学者的定义:“信息安全保密内容分为:实体安全、运行安全、数据安全和管理安全四个方面。” ?我国“计算机信息系统安全专用产品分类原则”中的定义是:“涉及实体安全、运行安全和信息安全三个方面。” ?我国相关立法给出的定义是:“保障计算机及其相关的和配套的设备、设施(网络)的安全,运行环境的安全,保障信息安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全”。这里面涉及了物理安全、运行安全与信息安全三个层面。 ?国家信息安全重点实验室给出的定义是:“信息安全涉及到信息的机密性、完整性、可用性、可控性。综合起来说,就是要保障电子信息的有效性。”
信息系统建设与运维管理办法
附件: 煤业集团有限公司 信息系统建设与运维管理办法 第一章总则 第一条为了规范煤业集团有限公司(以下简称“煤业”)信息系统的规划、建设、管理、运行与应用,维护系统的公共安全,保障网络的持续稳定,根据中国集团公司(以下简称“集团公司”)相关规章制度,结合本公司实际,制定本办法。 第二条本办法所称信息系统,是由计算机及其相关配套设备、设施、网络和应用系统、数据和信息平台组成的系统,利用网络信息设备,采用信息化手段,对业务流程与各相关单位的信息进行采集、传输、存储和管理的各种系统。信息系统的建设是指利用国内外成熟、适用的先进信息、通讯技术,以提高管理水平、增加管理效益而进行的各项建设,包含煤业信息网络基础设施建设、应用系统的开发引进等。 第三条煤业本部各部门、各分公司、办事处、子公司(以下统称“各单位”)信息系统的规划、建设、管理和应用,适用本办法。信息中心负责贯彻集团公司信息化建设规划,按照集团公司信息化建设规划,制定本单位信息化建设规划,做好信息化建设的管理、落实和协调工作。信息中心根据煤业信息系统的建设与应用需求与实际情况,进行项目的规划、审批与验收,做好管理、监督和指导工作。其他各单位按照职责做好相关辅助工作,在信息中心的规划部署下,做好相关信息化建设工作。 第四条在建设和应用中,不得泄露煤业信息与商业秘密,不得侵犯员工的个人隐私及其他合法权益,不得利用系统危害国家安全、泄露国家秘密和侵犯国家、社会、集体的利益和公民的合法权益,不得制作、查阅、复制和传播有害
信息,不得从事违法犯罪活动。 第二章建设原则 第五条煤业信息系统坚持以需求为导向、应用为核心、数据为基础的原则,坚持建设与应用并进,遵循统一领导、统一规划、统一标准的构建原则,统筹规划、联合建设、资源共享、分级管理、分步实施、合理使用与开发,实行“统一管理,分级负责”制,以提升安全、效益、发展三大业绩为目标,提高信息化建设、管理和运维水平。 第六条组织机构 (一)煤业本部成立信息化领导小组,是公司信息化工作的最高决策机构,负责公司本部及各单位信息化建设的领导和决策。 (二)煤业本部信息中心是公司信息化建设工作的归口管理部门,负责信息化建设的组织、实施、管理和协调工作。 (三)煤业本部各相关部门参与信息系统建设和管理工作,负责应用系统业务需求、数据字典和业务流程确定,负责制定系统的运行管理办法并提出系统调整需求。 (四)各单位明确信息化管理部门和人员,负责贯彻公司本部信息化建设规划,按照规划做好信息化建设的管理、落实和协调工作。 第七条为了有效预防和避免重复建设,充分利用现有资源,确保信息系统安全、可靠、正常运行,各单位应当在系统建设总体规划基础上,根据现实需求,申报基本需求。按照科学化、简洁化的要求对业务流程重新梳理、整合,并将优化后流程和涉及的政策、法规、业务报表等内容总结为基本业务需求,由信息中心集中统筹、规划、设计、验收各煤业信息系统。 第八条集团信息中心牵头组织各信息系统人员培训工作,从而提高各单位人员理论和技能水平,推动持证上岗和技能考评工作。 第三章开发与管理
IT运维信息安全解决方案
运维信息安全解决方案 安全运维的重要性 随着信息安全管理体系和技术体系在企业领域的信息安全建设中不断推进,安全运维占信息系统生命周期的信息,并且安全运维体系的建设已经越来越被广大用户重视。尤其是随着信息系统建设工作从大规模建设阶段逐步转型到“建设和运维”并举的发展阶段,运维人员需要管理越来越庞大的系统这样的情况下,信息安全运维体系的建设已经被提到了一个空前的高度上。它不仅单单是一个体系的建设,更是系统管理中的夯实基础。 运维服务的发展趋势对于企业的安全运维服务管理的发展,通常可以将其分为混乱阶段、被动阶段、主动阶段、服务阶段和价值阶段这五个阶段。 、在混乱阶段:运维服务没有建立综合的支持中心,也没有用户通知机制; 、在被动阶段:运维服务开始关注事件的发生和解决,也开始关注信息资产,拥有了统一的运维控制台和故障记录和备份机制; 、在主动阶段:运维服务建立了安全运行的定义,并将系统性能,问题管理、可用性管理、自动化与工作调度作为重点; 、在服务阶段,运维服务工作中已经可以支持任务计划和服务级别管理; 、在价值阶段,运维服务实现了性能、安全和核心几大应用的紧
密结合,体现其价值所在。 信息安全的概念 信息安全定义 信息安全的概念在二十世纪经历了一个漫长的历史阶段,年代以来得到了深化。进入世纪后,随着信息技术的不断发展,信息安全问题也日显突出。如何确保信息系统的安全已经成为了全社会关注的问题。国际上对于信息安全问题的研究起步较早,投入力度大,已取得了许多成果,并得以推广应用。中国目前也已有一批专门从事信息安全基础研究、技术开发与技术服务工作的研究机构与高科技企业,形成了中国信息安全产业的雏形。 关于信息安全的定义也有很多,国内学者与国外学者、不同的社会组织也给出了不同的定义。 ?国内学者的定义:“信息安全保密内容分为:实体安全、运行安全、数据安全和管理安全四个方面。” ?我国“计算机信息系统安全专用产品分类原则”中的定义是:“涉及实体安全、运行安全和信息安全三个方面。” ?我国相关立法给出的定义是:“保障计算机及其相关的和配套的设备、设施(网络)的安全,运行环境的安全,保障信息安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全”。这里面涉及了物理安全、运行安全与信息安全三个层面。 ?国家信息安全重点实验室给出的定义是:“信息安全涉及到信息的
信息系统运行维护管理办法(修订稿)
中国银河证券股份有限公司 信息系统运行维护管理办法 (修订版) 第一章总则 第一条为保障公司信息系统的正常稳定、高效运行,依据《证券公司信息技术管理规范》(JR/T 0023—2004)、《证券期货业信息安全保障管理暂行办法》和《证券公司集中交易安全管理技术指引》制定本办法。 第二条信息系统运行维护应遵循以下原则:预防为主,事后处理为辅;运行维护流程化、标准化、规范化;及时发现及时处理;故障损失最小化的原则。 第三条信息系统运行维护管理包括维护人员管理、系统日常维护管理、计算机系统权限管理、计算机系统关键用户密码管理、应用系统交接及灾备系统运行维护管理等。 第四条本办法适用于公司总部及分支机构。 第二章维护人员要求 第五条信息系统维护人员应具有一定技术水平,能胜任系统维护工作,具有良好的职业道德和敬业精神的专业人员。 第六条信息系统维护人员要以积极负责的态度优先对待信息系统的紧急故障维护,要做到不忽视、不推诿、不拖延,以保证证券业务
的正常进行。 第七条信息系统维护部门应针对运行的应用系统安排专人维护,每个应用系统应至少安排两人共同维护,实现维护人员的备份制度,保障人员的后备保证。 第八条信息系统维护部门应确定维护人员在紧急情况下的联系方法,配备必要的通讯工具,确保故障时维护人员及时到位。 第九条在维护人员变更时,应规定明确的交接时间,安排详细的交接工作,确保维护工作的连续性。 第三章日常维护管理 第十条根据各信息系统的具体情况制定日常运维流程。 第十一条在日常运行维护中,根据各信息系统的维护需要,认真填写《中国银河证券股份有限公司系统维护日志表》(附件一)、《中国银河证券股份有限公司特殊业务操作登记表》(附件二)、《中国银河证券股份有限公司系统配置变动登记表》(附件三)、《中国银河证券股份有限公司外部单位维护记录》(附件四)等表格。 第十二条根据各信息系统的具体情况制定相应的故障处理应急计划,并进行演练,保证应急计划的可操作性。 第十三条定期对信息系统设备进行巡检,发现问题及时处理。 第十四条按照系统的运营需要对相关信息系统的操作系统、数据库进行实时或定时监控,发现问题及时调整或启动应急计划。 第十五条根据系统管理员或操作人员提供的运行状况报表、资源分析报表等资料,分析系统当前的运行状况,必要时考虑对系统进行优化。
信息安全维护操作规范流程
信息系统安全管理规程 为保证我司信息系统安全,加强和完善网络与信息安全应急管理措施,层层落实责任,有效预防、及时控制和最大限度地消除信息安全突发事件的危害和影响,保障信息系统设备设施及系统运行环境的安全,其中重点把维护本公司节目传输网络系统、基础数据库服务器安全放在首位,确保信息系统和网络的通畅安全运行,结合实际情况,特制定本应急预案。 第一章总则 一、为保证本公司信息系统的操作系统和数据库系统的安全,根据《中华人民国计算机信息系统安全保护条例》,结合本公司系统建设实际情况,特制定本制度。 二、本制度适用于本公司值班人员使用。 三、带班领导是本公司系统管理的责任主体,负责组织单位系统的维护和管理。 第二章系统安全策略 一、技术负责人分配单位人员的权限,权限设定遵循最小授权原则。 1) 管理员权限:维护系统,对数据库与服务器进行维护。系统管理员、数据库管理员应权限分离,不能由同一人担任。 2) 普通操作权限:对于各个信息系统的使用人员,针对其工作围给予操作权限。
3) 查询权限:对于单位管理人员可以以此权限查询数据,但不能输入、修改数据。 4) 特殊操作权限:严格控制单位管理方面的特殊操作,只将权限赋予相关科室负责人,例如退费操作等。 二、加强密码策略,使得普通用户进行鉴别时,如果输入三次错误口令将被锁定,需要系统管理员对其确认并解锁,此才能够再使用。用户使用的口令应满足以下要求:-8个字符以上;使用以下字符的组合:a-z、A-Z、0-9,以及!#$%^&*()- +;-口令每三个月至少修改一次。 三、定期安装系统的最新补丁程序,在安装前进行安全测试,并对重要文件进行备份。 四、每月对操作系统进行安全漏洞扫描,及时发现最新安全问题,通过升级、打补丁或加固等方式解决。 五、关闭信息系统不必要的服务。 六、做好备份策略,保障系统故障时能快速的恢复系统正常并避免数据的丢失。 第三章系统日志管理 一、对于系统重要数据和服务器配值参数的修改,必须征得带班领导批准,并做好相应记录。 二、对各项操作均应进行日志管理,记录应包括操作人员、操作时间和操作容等详细信息。 第四章个人操作管理