ICS25.040CCSL70江蘇省地方標準DB32/T4448—2023信息系統運行維護體系建設指南C2023-02-06發布2023-03-06實施江蘇省市場監督管理局DB32/T4448—2023前言 2規范性引用文件 3術語和定義 4運行維護體系框架 5最高管理層職責 6運行維護對象 7運行維護內容 8運行維護過程 9運行維護支撐 附錄A(資料性)信息系統運行維護過程交付參考 附錄B(資料性)信息系統運行維護過程與內容對應關系 IDB32/T4448—2023、本文件按照GB/T1.1—2020《標準化工作導則第1部分:標準化文件的結構和起草規則》的規定起草。請注意本文件的某些內容可能涉及專利。本文件的發布機構不承擔識別專利的責任。本文件由江蘇省軟件和信息技術服務標準化技術委員會提出并歸口。本文件起草單位:江蘇省電子信息產品質量監督檢驗研究院(江蘇省信息安全測評中心)、江蘇省聯合征信有限公司、航天新氣象科技有限公司、江蘇省財政廳財政信息管理中心、中國煙草總公司江蘇省公司、江蘇省海洋經濟監測評估中心、南京聯成科技發展股份有限公司、蘇州經貿職業技術學院、江蘇省水利信息中心、蘇州如意云網絡科技有限公司、江蘇省食品藥品監督信息中心、南京中新賽克科技有限責任公司、江蘇中威科技軟件系統有限公司。ⅢDB32/T4448—2023信息系統運行維護體系建設指南本文件給出了信息系統運行維護體系框架、最高管理層職責、運行維護對象、運行維護內容、運行維護過程和運行維護支撐的建議。本文件適用于提供信息系統運行維護服務的組織或開展信息系統運行維護的用戶單位建立信息系統運行維護體系,評價和改進自身的運行維護服務能力。2規范性引用文件下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中,注日期的引用文件,僅該日期對應的版本適用于本文件;不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。GB/T28827.1信息技術服務運行維護第1部分:通用要求GB/T29264—2012信息技術服務分類與代碼GB/T36074.2—2018信息技術服務服務管理第2部分:實施指南3術語和定義GB/T28827.1、GB/T29264—2012和GB/T36074.2—2018界定的以及下列術語和定義適用于本文件。3.1信息系統informationsystem由計算機硬件、網絡和通信設備、計算機軟件、信息資源、信息用戶和規章制度組成的以處理信息流為目的的人機一體化系統。3.2運行維護活動operationandmaintenanceactivities為滿足業務需求,組織采用信息技術手段及方法,對其所使用的信息系統運行環境、業務系統等提供的各種技術支持和管理的活動。3.3運行維護體系operationandmaintenancesystem為滿足運行維護活動(3.2)績效要求的相互關聯或相互作用的一組要素。3.4運行維護對象operationandmaintenanceobject運行維護活動(3.2)的受體。3.5運行維護內容operationandmaintenancecontent根據信息系統運行維護需求,面向運行維護對象(3.4)開展的調研評估、監控巡檢、例行維護、響應支持、優化改善和安全通告等活動。1DB32/T4448—20233.6組織organization職責、權限和相互關系得到安排的一組人員及設施。[來源:GB/T36074.2—2018,3.1,有修改]3.7相關方interestedparty與組織的業績或成就有利益關系的個人或團體。[來源:GB/T36074.2—2018,3.2,有修改]4運行維護體系框架信息系統運行維護體系框架由最高管理層職責、運行維護對象、運行維護內容、運行維護過程和運行維護支撐五部分構成,其中:a)最高管理層職責涵蓋確定運行維護范圍內容、制定運行維護方針與目標、職責權限、管理制度、資源保障、合規保證、監視測量和持續改進8個方面;b)運行維護對象包括物理環境、網絡系統、主機系統、應用系統、信息數據、虛擬資源和其他7個類別;c)運行維護內容包括調研評估、監控巡檢、例行維護、響應支持、優化改善和安全通告6個類別;d)運行維護過程包括級別管理、事件管理、問題管理、變更管理、發布管理、配置管理、運維報告、容量管理、供應商管理、可用性和連續性管理及信息安全管理11個過程;e)運行維護支撐涵蓋人員、資源、技術和資金4個方面。在組織最高管理層的指導下,組織宜制定運行維護管理過程規范,對運行維護對象進行管理,在人員、資源、技術和資金的保障下開展運行維護活動,通過實施運行維護管理過程規范運行維護活動內容,持續提升組織的運行維護能力。信息系統運行維護體系框架如圖1所示。2DB32/T4448—2023圖1信息系統運行維護體系框架5最高管理層職責為確保實現運行維護活動績效、風險控制和合規性,最高管理層宜依據組織運行維護體系管理a)明確運行維護范圍和內容,確保運行維護范圍、內容覆蓋相關方的需求和期望;b)建立運行維護方針和目標,并確保其與組織環境、戰略和業務需求保持一致;c)明確運行維護體系的組織結構、崗位職責和權限,確保其得到溝通、理解和執行;d)建立運行維護所需的制度、策略、程序、規范和實施記錄等文件化信息;e)提供并確保運行維護體系建設所需的人員、工具、技術和資金等資源可用;f)確保運行維護活動和過程符合法律法規要求的重要性得到共識;g)基于風險思維管理運行維護體系,評估風險對運行維護成果的影響,明確考核機制和階段性績效指標,定期實施運行維護活動績效的監督、考核和評價;h)推動持續改進,確保運行維護體系的適宜性、充分性和有效性。3DB32/T4448—20236運行維護對象運行維護對象包括物理環境、網絡系統、主機系統、應用系統、信息數據、虛擬資源和其他,其中:a)物理環境:包括門禁系統、消防系統、監控系統、電氣系統、通風空調系統、建筑弱電/智能樓宇系統等。b)網絡系統:包括網絡結構、網絡邊界、網絡設備、安全設備和通信線路等。c)主機系統:包括硬件和軟件。硬件包括終端/工作站、服務器、存儲設備等;軟件包括支持實現業務功能的各種軟件和應用于自身管理的工具軟件,如操作系統、數據庫軟件、中間件、系統軟件等。d)應用系統:包括支持業務運行或完成特定業務功能的應用系統,如電子郵件系統、財務系統、OA系統、ERP系統等。e)信息數據:包括在業務運行和運行維護過程中產生、處理、傳輸、存儲的各類數據,如各類業務系統數據、運行維護信息、運行日志、故障處理文檔等信息。f)虛擬資源:包括虛擬化主機、虛擬化存儲、虛擬化網絡和虛擬化應用等。g)其他:不能歸為上述6個基本分類中的運行維護對象。7運行維護內容組織根據自身業務需求,策劃并確定運行維護內容,開展調研評估、監控巡檢、例行維護、響應支持、優化改善和安全通告活動。組織對運行維護對象的運行狀況進行分析和評估,并提出具有針對性和可操作性的方案建議。組織根據業務需求制定監控巡檢計劃,對運行維護對象實施監控巡檢,做好監控巡檢記錄,發現問題或隱患及時按照運行維護過程規范進行處置,包括:a)監控:對運行維護對象的動態指標、靜態指標、運行狀態、安全狀況和發展趨勢等進行記錄、分析,對異常情況進行告警處理;b)巡檢:對運行維護對象的監控記錄、運行條件、運行狀態和安全狀況進行檢查和趨勢分析,通過病毒查殺、安全掃描等方式發現其脆弱性,以消除或改進。組織根據業務需求制定例行維護計劃,對運行維護對象進行日常維護,包括定期維護、配置備份、數據備份、數據恢復、健康檢查和系統更新等活動,做好例行維護記錄,發現問題或隱患及時按照運行維護過程規范進行處置。組織根據業務需求實施響應支持活動,包括:a)用戶請求響應:按照用戶提出的各類運行維護請求,對運行維護范圍、運行維護對象或運行維護內容等進行調整或修改,做好用戶請求響應記錄;4DB32/T4448—2023b)故障處理響應:在信息系統運行過程中出現軟硬件故障,導致運行維護對象整體或部分性能下降、功能喪失時,消除故障影響,將運行維護對象恢復到正常狀態,做好故障處理響應記錄;c)事件應急響應:針對信息系統運行過程中發生的安全事件,按照應急處理流程對安全事件進行處理,做好事件應急響應記錄與總結。組織根據業務需求實施優化改善活動,包括:a)適應性改進:為保持運行維護對象在新環境中可持續運行,針對當前運行維護對象的運行情況,給出優化改進建議并實施優化改進;b)增強性改進:為增強運行維護對象的安全性、可用性和可靠性,針對當前運行維護對象的運行情況,給出優化改進建議并采取改進措施;c)預防性改進:針對運行維護對象運行過程中存在的潛在問題或缺陷,實施糾正改進。組織根據業務需求定期分析運行維護過程中產生的各種數據,及時發現信息系統存在的安全隱患,同時跟蹤操作系統、應用程序等各種最新的漏洞補丁更新,掌握最新的安全動態,將最新的高風險網絡安全問題以最快的速度通告用戶。8運行維護過程組織識別和設計運行維護實施過程中的相關過程框架,確定各過程間的關系和接口,制定運行維護過程的目標、活動、輸入輸出等,以確保運行維護過程的規范性和運行維護價值的實現。信息系統運行維護過程關鍵輸出參考見附錄A。運行維護過程與內容對應關系見附錄B。組織依據運行維護體系建設要求和業務需求,通過定義、制定和管理運行維護級別,滿足運行維護質量的要求,包括:a)建立運行維護級別管理過程,包括識別、約定、監控和評估等活動;b)根據運行維護考核評估要求,建立運行維護級別考核自評估機制,包括運行維護目標完成情c)定期識別運行維護級別需求并實施調整。組織建立事件管理過程,確保具有及時響應和解決事件的能力,包括:a)建立與事件管理過程一致的活動,包括事件識別、報告、事件受理、分類分級、調查和診斷、解決、進展監控與跟蹤、關閉等,記錄事件管理活動信息;b)建立事件分類、分級及升級機制;c)建立事件處理情況回訪機制,并形成記錄;d)定期統計分析事件數據與管理活動情況,建立事件管理評估及改進機制;e)將未知、無法解決和共性的事件,與問題管理建立必要的關聯。5DB32/T4448—2023組織建立問題管理過程,識別和分析引起問題的根本原因并確定解決方案,以預防同類或共性事件的重復發生,包括:a)建立與問題管理過程一致的活動,包括問題識別、分類分級、調查和診斷、解決和關閉等,記錄問題管理活動信息;b)建立問題分類、分級機制,包括問題的影響范圍、重要程度、緊急程度并確定問題優先級;c)建立問題導入知識庫的機制;d)定期統計分析問題數據與解決情況,建立問題解決評估機制;e)識別已知錯誤和問題,在沒有徹底解決前,采取措施以減輕或消除問題對運行維護過程的影響。組織建立變更管理過程,確保變更有序實施,包括:a)建立與變更管理過程一致的活動,包括變更申請、評估、審核、實施、確認和回顧等;b)明確變更類型和變更范圍,建立變更分類分級機制;c)準確、完整記錄變更過程、結果和相關信息;d)對變更實施情況進行統計分析,建立變更管理活動評估機制,如變更實施成功率、緊急變更率、變更關聯配置數等。組織建立發布管理過程,確保一個或多個變更的成功導入,包括:a)建立與發布管理過程一致的活動,包括規劃、評估、測試、部署和驗證等,記錄發布管理活動信息;b)建立發布類型和范圍的管理機制;c)制定完整的發布方案,包括發布計劃、測試方案、回退方案等;d)記錄發布部署活動中的主要操作、結果和相關信息;e)對發布實施情況進行統計分析,建立發布管理活動評估機制,如發布成功率、發布及時率、發布回退率等。組織建立配置管理過程,保證配置數據的完整性、準確性、可靠性和時效性,以對其他運行維護過程進行支持,包括:a)建立與配置管理過程一致的活動,包括配置項識別、收集、記錄、更新和審核等,記錄配置管理活動信息;b)建立配置管理訪問審核機制,通過權限設置對配置管理數據進行訪問控制;c)建立統一的配置管理數據庫,并及時更新維護;d)建立配置管理數據庫審計機制,對配置管理數據的正確性和完整性進行審計。組織通過及時、準確、可靠的運行維護報告與相關方進行有效的信息溝通,為組織管理層提供決策支持,包括:a)建立與運行維護報告過程一致的活動,包括計劃、編制、審批、提交和歸檔等;6DB32/T4448—2023b)根據運行維護內容建立有效的運行維護報告分類;c)根據報告類別建立運行維護報告模板,包括格式、提綱等;d)編制運行維護報告計劃,包括報告接收對象、內容要求、提交方式、時間頻次和報告形式等;e)運行維護報告編制完成并經過審批后按照運行維護報告計劃進行提交。為確保運行維護資產的數量和性能可以滿足業務需求,組織進行容量管理,包括:a)建立與業務需求相一致的容量管理活動,包括識別、分析和調整等;b)識別出系統容量管理中需考慮的核心要素,如計算、存儲、網絡等;c)分析容量現狀與業務需求的匹配程度;d)依據業務需求變化的趨勢判斷,有針對性地對資產容量進行調整。為確保供應商提供的服務能夠滿足業務需求,組織進行供應商管理,包括:a)建立與業務需求相一致的供應商管理活動,包括供應商選擇、評價、監督和考核等;b)建立供應商分類分級機制,對供應商進行統一的生命周期管理;c)記錄供應商合同執行的信息,定期評價供應商,及時對供應商進行調整。組織建立可用性和連續性管理過程,確保業務及運行維護的可用性和連續性,包括:a)建立與可用性和連續性管理過程相一致的活動,包括識別關鍵運行維護活動與業務應用,確定業務可用性和連續性需求和目標,定義可用性指標及目標值,對可用性進行監控、分析、評估、檢查、記錄并制定優化改進機制,建立和實施業務連續性計劃,定期對業務連續性進行演練等;b)基于業務需求、運行維護目標和已識別的風險,明確業務可用性和連續性要求,制定保障及提高業務可用性的具體措施和計劃,根據連續性要求,建立、實施并維護連續性計劃,同時明確定義激活連續性計劃的條件、程序、職責分工和恢復要求;c)針對連續性計劃至少每年演練一次,并根據測試結果完善連續性計劃;d)當已經激活了連續性計劃,報告原因、影響、恢復活動及改進措施;e)當業務環境發生重大變更時,重新演練連續性計劃的有效性。組織建立信息安全管理過程,確保運行維護過程中的信息安全,包括:a)建立符合相關法律法規的信息安全管理制度,滿足運行維護過程的信息安全需求,包括信息安全方針、目標和安全策略;b)建立與信息安全管理過程一致的活動,包括識別、評估、處置和改進等。9運行維護支撐為保證運行維護質量和目標達成,組織依據運行維護體系建設要求進行人員規劃儲備、崗位結構、人員聘用、人員培訓、人員考核、人員離崗和能力評價等管理活動,確保人員能力滿足運行維護需求。7DB32/T4448—2023組織依據運行維護體系建設要求和整體運行維護需求,進行人員規劃和儲備,包括:a)根據當前或未來運行維護活動需求,識別人員需具備的運行維護活動能力要求;b)根據組織當前人員能力現狀,制定未來一段時間內的人員運行維護能力規劃;c)按照崗位架構和人員運行維護能力規劃,考慮人員儲備投入成本及預期效益,建立與運行維護相關的人員儲備機制,制定人員儲備實施計劃,并進行人員儲備。組織依據運行維護體系建設要求和當前組織架構,建立崗位結構,確保人員能力在知識、技能、經驗、安全意識等方面滿足運行維護活動要求,包括:a)對運行維護活動中的不同崗位進行明確分工和職責定義,一個完整的運行維護團隊包括管理1)管理崗職責:負責管理運行維護活動;與運行維護相關方建立順暢的溝通渠道,準確地將運行維護需求傳遞到運行維護團隊;規劃、檢查運行維護的各個過程,對運行維護活動的范圍、過程和成果負責。2)技術崗職責:負責運行維護中的技術支持,包括與運行維護活動或運行維護對象相關的技術等;對運行維護過程中的請求、事件和問題作出響應,保障信息安全并對處理結果負責。3)操作崗職責:負責運行維護中日常操作的實施,根據規范和手冊,執行運行維護各過程,并對其執行結果負責。b)結合新技術、新模式、信息技術應用創新需求,明確各崗位在知識、技能、經驗等方面需達到的要求。c)明確運行維護活動對崗位的安全要求。d)對各崗位進行等級劃分。e)識別關鍵崗位,針對關鍵崗位建立備份機制。組織根據崗位結構和運行維護人員能力要求,指定或授權專門的部門或人員負責人員聘用,包括:a)嚴格規范人員聘用過程,對被聘用人的身份、背景、專業資格和資質等進行審查,對其所具有的技術技能進行考核,并簽署保密協議;b)從內部人員中選拔從事關鍵崗位的人員,并簽署崗位安全協議。組織按人員能力規劃,識別培訓需求,制定年度培訓實施計劃,并進行人員培訓,確保人員在知識、技能、經驗和安全意識等方面滿足運行維護要求,包括:a)建立運行維護活動人員培訓機制;b)根據業務需求和運行維護業務場景,在人員培訓實施計劃中考慮對應的培訓內容、培訓頻次、培訓對象等;c)實施人員培訓,并對培訓效果進行評價。組織按人員能力規劃,進行人員績效管理,以確保人員能力滿足運行維護活動需求及運行維護價值的實現要求,包括:8DB32/T4448—2023a)建立運行維護活動人員績效管理機制;b)根據績效管理機制和人員能力規劃,實施人員績效管理。組織規范人員離崗管理,確保人員離崗信息安全,包括:a)嚴格規范人員離崗過程,及時終止離崗員工的所有訪問權限;b)取回組織提供的各種軟硬件設備;c)關鍵崗位人員離崗須在簽訂離崗保密承諾書后方可離開。組織按人員能力規劃,進行運行維護人員能力評價,包括:a)建立運行維護活動對應崗位的等級評價標準;b)建立運行維護活動團隊和人員能力評價機制;c)實施團隊和人員能力評價;d)依據評價結果對人員能力進行持續改進,需要時調整人員能力規劃。組織具備足夠的資源,以確保滿足當前和未來的運行維護需求。組織使用運行維護工具支撐運行維護活動,以提高運行維護活動效率與質量,包括:a)監控工具,對運行維護對象進行數據的采集和監控,評估可能導致運行維護對象故障的因素;b)過程管理工具,按照商定的運行維護級別管理運行維護的實施過程,過程管理工具一般包括日常運行維護管理、記錄、測量、監督和評估等c)專用工具,根據運行維護要求配備的安全工具和用于特殊要求的工具;d)定期評估運行維護工具的應用效果并改進。組織針對運行維護業務場景的特點建立服務臺,服務臺具備運行維護請求接收、信息交互、資源調度、運行維護過程管控等職能,并結合自身業務特點進行管理,包括:a)設置專門的溝通渠道,溝通渠道可以是熱線電話、傳真、網站或電子郵箱等;b)設定專人負責運行維護請求的處理;c)建立服務臺管理制度,包括運行維護請求的接收、記錄、跟蹤和反饋等機制,以及服務臺人員的監督和考核機制;d)定期評估服務臺的運行效果并改進。組織依據業務需求建立并管理備件庫,以滿足恢復設備或系統正常運行的要求,包括:a)規劃備件分類、分級和響應方式等;b)制定備件管理策略及備件管理制度,包括計劃、采購、出入庫、檢測和報廢等活動;c)規范備件采購過程,定期對備件供應商進行評價;9DB32/T4448—2023d)定期對備件狀態進行檢測,以確保其滿足運行維護需求;e)定期對備件庫的使用和管理情況進行評估,持續改進。組織對運行維護知識進行全生命周期管理,以支持和提升組織運行維護活動,包括:a)明確定義運行維護知識范圍和類型;b)針對常見問題的描述、分析和解決方法建立知識庫;c)建立運行維護知識管理制度,管理知識的獲取、評審、保存和分享等活動;d)使用適宜的技術手段實現知識的全生命周期管理;e)定期對知識庫的使用和管理情況進行評估,持續改進,以促進知識更新。組織依據運行維護體系建設要求進行技術研發、技術應用等活動,確保技術能力滿足不同運行維護業務場景下的運行維護需求。組織根據技術需要進行技術研發,確保組織具備預防風險、發現問題、解決問題和優化創新的技術能力,包括:a)根據業務和市場分析,制定研發規劃,包括新技術和前沿技術的應用、技術儲備等;b)配備與規劃相適應的研發環境;c)配備與規劃相適應的研發隊伍。組織確定技術研發成果在資源、人員和過程中的應用方案,確保技術成果在運行維護活動中得到應用,包括:a)識別技