ICS35.020DB21L70遼寧省地方標準DB21/T1799.3—2019代替DB21/T1799.3-2010信息技術信息服務管理規范第3部分：IT系統運維IT-SpecificationofITSM-Part2:ITsystemoperationmaintenance遼寧省市場監督管理局發布DB21/T1799.3—2019目次前言................................................................................IV引言.................................................................................V1范圍..............................................................................1規范性引用文件....................................................................1術語和定義........................................................................1要求..............................................................................2運行和維護服務類型................................................................2通用服務內容......................................................................2服務臺管理........................................................................8運維管理體系......................................................................9運行管理..........................................................................9維護管理........................................................................10突發事件管理....................................................................12管理機制........................................................................1223456789101112參考文獻............................................................................13DB21/T1799.3—2019前言DB21/T1799分為14個部分：——信息技術信息服務管理規范第1部分：總則——信息技術信息服務管理規范第2部分：IT系統集成——信息技術信息服務管理規范第3部分：IT系統運維——信息技術信息服務管理規范第4部分：信息資源規劃——信息技術信息服務管理規范第5部分：軟件服務——信息技術信息服務管理規范第6部分：信息安全——信息技術信息服務管理規范第7部分：信息化工程監理——信息技術信息服務管理規范第8部分：數據管理——信息技術信息服務管理規范第9部分：網絡應用——信息技術信息服務管理規范第10部分：多媒體制作——信息技術信息服務管理規范第11部分：數據處理——信息技術信息服務管理規范第12部分：IT教育與培訓——信息技術信息服務管理規范第13部分：咨詢服務——信息技術信息服務管理規范第14部分：其它專業類本部分為DB21/T1799的第3部分。本部分按照GB/T1.1—2009《標準化工作導則第1部分：標準的結構與編寫》給出的規則起草。本部分代替DB21/T1799.2-2010《信息服務管理規范第3部分：計算機信息系統運營和維護管理》。與DB21/T1799.3-2010相比，本部分除編輯性修改外，主要技術變化如下：——根據DB21/T1799.1，修訂計算機信息系統運營和維護為IT系統運維；——根據DB21/T1799.2，修訂系統運維分類；——修訂部分系統運維服務內容；本部分主要起草單位：大連軟件行業協會、大連軟信咨詢服務有限公司、大連交通大學、大連奧遠電子有限公司、大連高新園區恒新電腦網絡有限公司、大連運邦科技發展有限公司、大連正德信息技術發展有限公司、大連九州網絡科技發展有限公司、大連宏旗計算機網絡技術發展有限公司、大連東方之星信息技術有限公司。本部分主要起草人：郎慶斌、孫鵬、馮宇軍、劉玉貞、王小庚、孫毅、楊莉、尹宏、王鑫。DB21/T1799.3-2010《信息服務管理規范第3部分：計算機信息系統運營和維護管理規范》于2010年5月12日首次發布。本次修訂為第一次修訂。本標準發布實施后，任何單位和個人如有問題和意見建議，均可以通過來電和來函等方式進行反饋，我們將及時答復并認真處理，根據實際情況依法進行評估及復審。遼寧省工業和信息化廳：沈陽市皇姑區北陵大街45-2號大連軟件行業協會：大連市高新區七賢嶺10號人才服務大廈102室DB21/T1799.3—2019引言隨著新一代信息技術的逐漸成熟和應用，網絡已經成為行業、社會、人群須臾不可離開的工具、支撐技術、生活手段等，網絡應用已經成為支撐社會、生活、經濟等運行的基礎平臺。隨著網絡應用的普適化，計算機信息系統運維發生了根本變化，從單一的計算機信息系統（包括支撐信息系統的網絡平臺）運維，延伸至信息網絡平臺的集成，并隨著IT語境的變化、IT內涵的拓展，逐步覆蓋IT系統。信息服務管理規范第3部分：計算機信息系統運營和維護管理，在經歷了逾6年的應用延宕，需要在新的應用形勢下重新修訂。本標準重新劃分IT系統運維，將原標準3類服務歸為一類。由于新技術、新概念、新服務模式的成熟和發展，催生新的系統運維模式，本標準新增2類運維服務類型，由于目前相關因素仍在變化、成熟過程中，因而，本次標準修訂不做專門規范，僅在部分規則條款中融入。DB21/T1799.3—2019信息技術信息服務管理規范第3部分：IT系統運維1范圍信息服務管理規范系列標準的本部分規定了IT系統運維服務的類型、內容、服務臺管理、運維管理體系、運行管理、維護管理、突發事件管理和管理機制的一般要求和規則。本部分適用于IT系統運維服務活動涉及的各類組織。2規范性引用文件下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB17859計算機信息系統安全保護等級劃分準則DB21/T1793.1信息技術信息服務管理規范第1部分:總則DB21/T1793.2信息技術信息服務管理規范第2部分:IT系統集成3術語和定義DB21/T1799.1、DB21/T1799.2確立的以及下列定義和術語適用于本部分。信息服務提供者設置的與用戶之間的接入點，負責記錄、分解、監控運維中的事件；受理投訴、意IT系統運行過程中發生的問題、故障等情況。DB21/T1799.3—20194要求本部分遵循GB21/T1799.1的一般原則和要求，重點描述IT系統運維服務類型、服務內容以及運維管理等。IT系統運維服務的一般原則和要求，參照GB21/T1799.1執行。在IT系統運維服務中，應同時使用GB21/T1799.1和本部分。5運行和維護服務類型內容5.1IT系統運維服務，主要應包括：a）信息網絡系統運維：為保證信息系統、信息網絡系統長期、穩定、持續運行，從技術、管理等各個方面做出的保障。運行和維護的范疇包括系統運行和系統支撐。系統支撐包括運行和維護的組織和人員保障、運行和維護的管理和制度保障、系統運行監測和預警、應急故障處理等；b）新的實體概念運維：新技術衍生出的新的場地、環境等的新的運維模式；c）基于新技術發展的運維：基于新技術發展中，學科、領域融合，邊界模糊等特點衍生出的新的運維需求和運維模式等。（DB21/T1799.24.3.2.2）5.2服務形式5.2.1通用服務通用的系統運維服務主要包括：a）基礎服務：確保計算機信息系統、信息網絡系統安全穩定運行，應提供的基礎性的技術支持和b）性能優化服務：IT系統在運行過程中，各項業務的性能、效能的優化、整合、評估，及支撐各項業務系統運行的IT系統性能、能效、安全性的優化、提升等服務；c）增值服務：保證計算機信息系統、信息網絡系統運行的高效能、高效益，最大限度的保護并延長已有投資，在原有基礎上實施進一步的應用拓展業務。b）融合多學科、多領域、多種能力需求的場地、環境運維等。a）信息資源（包括大數據、云服務、物聯網等形成的資源）的梳理、分析、篩選、整合、優化等；b）整合、統合多學科、多領域知識、技術、能力等，使復合型知識技能規范化、科學化和專業化；c）融合多學科、多領域知識、技術、能力、資源等的復合型IT系統運行維護等。6DB21/T1799.3—20196.16.2綜述通用系統運維服務內容，依據DB21/T1799.1確定。基礎服務內容6.2.1規劃設計為保證系統運維的科學性、有效性和完整性，信息服務提供者應確定規劃設計的合理性、可用性：a）研究、分析規劃設計中所有要素和關聯因素的有效性；b）評估規劃設計的合理性、有效性和可用性，及對運維的影響；c）提出規劃設計中不合理因素和影響運維的因子，提出修正建議；d）在運維過程中嘗試修正等。6.2.2信息資源信息資源是系統的核心和基礎，應依據DB21/T1799.2確定服務內容，主要應包括：a）依據DB21/T1799.2確認信息資源相關需求和實現；b）確認信息資源實現的方法、路徑等的合理性和可行性；c）識別信息資源需求實現的缺陷和改進方法；d）提供信息資源管理和修正管理建議；e）在運維過程中嘗試修正等。6.2.3物理環境管理和維護為保證機房內所有設備的安全、穩定、無故障運行，監控機房的環境、監測并定期檢查電源、通風、接地等所有機房設施的工作狀態，發現并報告問題和提出變更建議。a）電源管理：將電源有效分配到系統中不同的設備組件。應考慮電源設備參數對設備的影響，如過壓、過流、浪涌、短路等；b）等電位管理：設置配電系統、各類電子設備及附屬設施、防雷等的接地等電位體，應考慮靜電防護、感應雷電可能形成的電磁脈沖和過電壓的干擾和毀壞等；c）設備管理：計算機信息系統、信息網絡系統設施的日常運行和管理、可靠性評價；d）環境管理：應考慮機房內通風、溫度、濕度、灰塵、燈光等的配置；考慮機柜放置與冷卻效率和制冷單元熱點的關系；以及可能因功能擴大引起的冷卻效率問題等；e）災害預防：應考慮物理和自然災害發生的可能性，制定應急預案。a）布線系統管理和維護：監控、診斷、分析設備間、弱電井等區域配線設備、線纜、信息插座等設施，及網絡通信線路的工作狀態和可能的故障狀態，發現并報告問題，提出維護建議，保證系統運行的高可靠性和維護的高效率；b）監控系統管理和維護：監控、診斷、分析門禁系統和各類監控設備等的運行狀態、參數變化、提示信息等，發現并報告問題，及時變更、維護，保證監控系統的可靠性。DB21/T1799.3—2019為保證網絡基礎平臺的高可靠性、高可用性，網絡基礎設施管理和維護，主要應包括：a）網絡拓撲結構的診斷、優化；b）基礎設施的診斷、評估：1）設備參數配置、部署的合理性、可靠性、可控性；2）網絡結構的健壯性、安全性、可用性和可擴展性；3）評估設備的安全性、可用性；4）評估網絡性能、性能變化趨勢；c）根據系統規劃目標評估系統承載能力；d）制定網絡基礎設施管理服務計劃；e）制定故障維護預案，及時消除可能的故障隱患；f）制定應急預案等。6.2.5系統平臺管理和維護為保障系統的安全、穩定、持續運行，系統平臺管理主要應包括：a）系統平臺應包括操作系統、數據庫系統、中間件、其它支撐系統應用的軟件系統及各種協議等；b）系統平臺的診斷、評估；c）系統平臺配置、部署的合理性、可靠性、健壯性；d）評估系統平臺安全風險；e）評估系統平臺性能、性能變化，保證系統平臺的可靠性和可用性；f）根據應用規劃評估系統平臺容量、支撐能力；g）制定系統平臺管理服務計劃；應用系統管理和維護，主要應包括：a）應用需求、規劃的充分性、完整性；f）評估應用系統功能完整性、功能缺陷；g）評估應用系統代碼效率、系統運行效率；h）評估應用系統安全風險、安全缺陷，并及時與開發商溝通消除可能存在的安全隱患和威脅；i）提供應用系統更新、升級等，及技術支持方案；j）根據需求變化，更新、變更應用系統功能；k）評估業務融合度等。DB21/T1799.3—2019數據管理是系統應用的核心。為保證數據存儲、數據訪問、數據通信、數據交換的安全，定期評估數據的完整性、安全性、可靠性；制定備份、容災策略和數據恢復策略，消除可能存在的安全隱患和威脅。6.2.7.2數據存儲設施數據存儲設施的管理和維護，主要應包括：a）數據存儲設施應包括服務器設備、集群系統、虛擬系統、存儲陣列、存儲網絡等，以及支撐數據存儲設施運行的軟件平臺等；b）存儲設施的診斷、評估；c）數據存儲設施的參數配置、性能要求、容量設定、軟件平臺的性能等的安全性、可靠性、可用性和可擴展性；d）評估虛擬系統的適用性、支撐能力等；e）評估存儲系統的安全風險，確認數據存儲的安全等級；f）評估虛擬系統的安全風險；g）制定故障應急預案，及時消除故障隱患等。6.2.7.3數據安全性管理和維護數據安全性管理和維護，主要應包括：a）安全評估。評估數據的完整性、可靠性、可用性和保密性等要素，制定數據管理和數據恢復策略，保證數據的安全；b）數據訪問控制：制定數據訪問控制策略、訪問權限控制策略、非授權訪問處理策略，防止未經授權的數據訪問、修改、移動、刪除、毀損等；c）數據存儲與容災：制定數據存儲、數據容災策略，評估數據存儲的安全性，保證數據存儲的完整性、可靠性；制定數據存儲事件處理預案；d）數據通信安全：評估數據通信的安全性，制定數據通信的安全策略，保證數據的完整性、可靠性、保密性和不可抵賴性；制定數據通信應急處理預案。制定媒介管理、權限策略，制定媒介泄露的處理策略，明確責任，保證數據保管的安全。保證物理環境和系統運行的安全，定期檢查和評估可能的安全隱患、缺陷和威脅，制定安全恢復預a）物理環境安全主要包括機房監控、門禁系統、災害預防、接地等電位系統、消防系統等；b）系統運行安全主要包括風險評估、安全策略、安全機制、安全級別、病毒防護、補丁管理等。評估系統的安全威脅、脆弱性、漏洞，評估安全管理，制定風險應對策略和風險處理機制，及時消除或弱化風險，并將殘余風險控制在可控范圍內。DB21/T1799.3—2019制定物理環境、基礎平臺、數據、應用軟件、事件管理等的信息安全策略，實行信息安全教育，明確責任，采取相應的安全措施，實施安全策略的綜合管理。6.2.8.4安全級別根據GB17859評估安全等級，定義安全級別。6.2.8.5安全機制定義不同的安全機制，包括加密機制、訪問控制機制、身份認證機制、數據完整性機制、數字簽名機制等，制定事件處理流程和機制，避免安全威脅和隱患。6.2.8.6數據交換規劃建設數據安全交換平臺，保證網絡（內、外或與公網）之間數據交換的安全。應制定數據安全交換、交換過程，保證數據的完整性、可靠性、安全性策略；制定數據交換事件處理預案，評估數據交換事件的影響。6.2.8.7病毒防護制定病毒防護和恢復策略，定期評估病毒影響，采取相應的病毒防護措施；制定病毒事件處理預案。6.2.9子網管理和維護子網是構成系統的要素。定期評估子網的安全性、可靠性、可用性，消除可能存在的故障和安全隱患及對系統的威脅。DB21/T1799.3—2019d）評估基礎平臺安全風險、殘余風險變化和影響；e）根據評估報告采取相應的改進、優化措施等。6.3.3軟件系統性能評估軟件系統包括支撐軟件、應用軟件及其它應用系統，應建立評估機制，保證軟件系統的安全：a）評估軟件系統架構的適宜性和支撐能力；b）評估軟件系統性能的變化趨勢和影響；c）評估軟件系統功能的完整性、可用性、安全性；d）評估軟件系統關聯因素的變化和安全性；e）評估軟件系統的安全風險、殘余風險變化和影響；f）根據評估報告采取相應的改進、優化措施等。6.3.4數據管理和通信安全評估數據管理和通信安全包括數據存儲、數據管理和數據傳輸等，應建立定期評估機制：a）評估數據存儲能力、容量等；b）評估數據存儲性能變化和存儲平臺的支撐能力；c）評估虛擬系統的安全性、存儲系統的安全風險和殘余風險的影響；d）評估數據管理（數據訪問、交換等）能力變化；e）評估數據管理（數據訪問、交換等）安全風險；f）評估數據接口的風險變化；g）評估數據通信的安全策略、數據傳輸安全風險；h）評估數據交換安全性；i）評估新技術應用對存儲管理的影響；j）根據評估報告采取相應的改進、優化措施等。應定期評估系統整體安全性能，包括風險評估及應對策略、系統脆弱性檢測、非傳統安全隱患評估評估安全防御體系架構的合理性、安全防御體系自身的安全性、可靠性、可用性及存在的風險；安全管理體系的合理性、可用性等。a）對信息資源的識別、認知和前瞻性、可行性；b）對新技術、新概念應用的認知和應用可行性；c）基于技術、應用、知識、業務及社會發展、變革制定系統總體發展規劃、架構；DB21/T1799.3—2019d）基于總體規劃、架構編制系統中長期建設、應用、發展規劃；e）基于信息資源的認知和技術、知識、應用、業務的發展，制定信息資源整合、優化、共享規劃；f）IT治理模式；g）IT服務規劃；h）標準建設等。6.4.2可用性管理優化、設計、提高系統基礎架構的可用性、可靠性，降低系統TCO值。6.4.3核心應用管理系統核心技術、高端技術的應用、部署、管理。6.4.4安全管理系統安全的深層分析；安全防御體系、安全管理體系的優化、設計等。6.4.5投資保護系統建設的投資分析、TCO分析，根據規劃管理，制定投資策略等。6.4.6系統運營策略和應用拓展分析系統需求影響和運營效能，制定獲得最大效能的系統運營策略、分析系統潛在的增值服務的可能性等。7服務臺依據用戶需求、服務水平管理定義、服務能力定義、服務類型等，實施運維的日常管理。主a）響應用戶服務請求；b）事件識別、分類；DB21/T1799.3—2019e）事件處理結果確認；f）用戶滿意度評估；g）意見反饋。7.47.5服務臺評價服務臺的服務水平，應根據以下三項評價：a）可用性（事件響應、事件處理、人員素質等）；b）技術能力（事件處理的服務能力）；c）用戶滿意度（事件處理的服務質量）。優先級根據事件的影響和程度，確定事件處理的順序。7.5.1優先級分類應根據以下二項分類：a）影響：根據事件對業務的影響（一般業務與關鍵業務，一個部門與多個部門等）；b）程度：業務運行與恢復的緊急度。7.5.2優先級確定應根據以下三項確定：a）優先級識別、分類、定義、排隊；b）依據定義、排隊人為判斷；c）不同優先級事件的響應時間定義。8應構建運維管理體系，整合、協調各類資源，提升運維服務能力，保障系統和業務系統的持續、穩b）運維管理計劃；c）運維管理的組織；i）服務滿意度評估等。9DB21/T1799.3—2019應確立優化信息服務成本，分散系統風險，確保跨廠商、跨平臺、異構系統的運行效率，滿足業務需求增長和發展的目標，并易于新技術應用擴展和遷移。9.2需求分析運行管理應明確需求，保證系統運行與業務系統需求的一致：a）識別、整合信息資源和相關資源；b）理解、熟悉系統規劃和設計，明確系統運行目標；c）理解、評估系統建設需求；d）熟悉系統架構、功能、配置、部署等；e）分析、評估系統運行風險；f）分析、檢測系統性能；g）明確信息服務相關因素的需求；h）明確業務系統的需求等。9.3計劃應根據運營管理服務需求、業務需求、服務水平管理、服務能力管理，制定運行管理計劃，確定管理流程，建立運行管理體系，保證系統安全、可靠、高效、合理成本運行。9.4過程管理在運行管理服務中，應采用PDCA過程管理模式，不斷改進和完善服務過程。協調與溝通在運行管理服務中，應經常與用戶溝通和交流，聽取用戶的意見和建議，協調服務過程中的各種矛系統建成并投入運行