标准规范下载简介
DB32/T 4448-2023 信息系统运行维护体系建设指南.pdfICS 25.040 CCS L 70
Construction guidelines for operation and maintenance system ofinformationsystem
江苏省市场监督管理局发布 中国标准出版社出版
荆宜高速公路架梁施工方案范围. 规范性引用文件 术语和定义· 运行维护体系框架 最高管理层职责 运行维护对象 运行维护内容 运行维护过程 9运行维护支撑 附录A(资料性)信息系统运行维护过程交付参考“ 附录B(资料性)信息系统运行维护过程与内容对应关系…
DB32/T 4448—2023
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由江苏省软件和信息技术服务标准化技术委员会提出并归口。 本文件起草单位:江苏省电子信息产品质量监督检验研究院(江苏省信息安全测评中心)、江苏省联 合征信有限公司、航天新气象科技有限公司、江苏省财政厅财政信息管理中心、中国烟草总公司江苏省 公司、江苏省海洋经济监测评估中心、南京联成科技发展股份有限公司、苏州经贸职业技术学院、江苏省 水利信息中心、苏州如意云网络科技有限公司、江苏省食品药品监督信息中心、南京中新赛克科技有限 责任公司、江苏中威科技软件系统有限公司。 本文件主要起草人:张腾标、周云松、李国琴、程恺、王治平、徐雁飞、陈健、衡帅、王坤、黄力、黄佳烨 吴兰、王玉斐、施麟、朱瑞、陈宁、李晓蓉、曹云、凌飞、陈志峰、周建金、杨庆威、崔菲罪。
信息系统运行维护体系建设指南
本文件给出了信息系统运行维护体系框架、最高管理层职责、运行维护对象、运行维护内容、运行维 护过程和运行维护支撑的建议。 本文件适用于提供信息系统运行维护服务的组织或开展信息系统运行维护的用户单位建立信息系 统运行维护体系,评价和改进自身的运行维护服务能力
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文 件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于 本文件。 GB/T28827.1信息技术服务运行维护第1部分:通用要求 GB/T29264—2012信息技术服务分类与代码 GB/T36074.2一2018信息技术服务服务管理第2部分:实施指南
GB/T28827.1、GB/T29264—2012和GB/T36074.2—2018界定的以及下列术语和定义适用于本 文件。 3.1 信息系统informationsystem 由计算机硬件、网络和通信设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流 为目的的人机一体化系统。 3.2 运行维护活动operationandmaintenanceactivities 为满足业务需求,组织采用信息技术手段及方法,对其所使用的信息系统运行环境、业务系统等提 供的各种技术支持和管理的活动。 3.3 运行维护体系operationandmaintenancesystem 为满足运行维护活动(3.2)绩效要求的相互关联或相互作用的一组要素。 3.4 运行维护对象operation andmaintenanceobject 运行维护活动(3.2)的受体。 3.5 运行维护内容operationandmaintenancecontent 根据信息系统运行维护需求,面向运行维护对象(3.4)开展的调研评估、监控巡检、例行维护、响应 支持、优化改善和安全通告等活动。
GB/T28827.1、GB/T29264—2012和GB/T36074.2—2018界定的以及下列术语和定义适用于本 文件。 3.1 信息系统informationsystem 由计算机硬件、网络和通信设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流 为目的的人机一体化系统。 3.2 运行维护活动operationandmaintenanceactivities 为满足业务需求,组织采用信息技术手段及方法,对其所使用的信息系统运行环境、业务系统等提 供的各种技术支持和管理的活动。 3.3 运行维护体系operationandmaintenancesystem 为满足运行维护活动(3.2)绩效要求的相互关联或相互作用的一组要素。 3.4 运行维护对象operation andmaintenanceobject 运行维护活动(3.2)的受体。 3.5 运行维护内容operationandmaintenancecontent 根据信息系统运行维护需求,面向运行维护对象(3.4)开展的调研评估、监控巡检、例行维护、响应 支持、优化改善和安全通告等活动
图1 信息系统运行维护体系框架
为确保实现运行维护活动绩效、风险控制和合规性,最高管理层宜依据组织运行维护体系管理 自标: a)日 明确运行维护范围和内容,确保运行维护范围、内容覆盖相关方的需求和期望; b)资 建立运行维护方针和目标,并确保其与组织环境、战略和业务需求保持一致; c) 2 明确运行维护体系的组织结构、岗位职责和权限,确保其得到沟通、理解和执行; 建立运行维护所需的制度、策略、程序、规范和实施记录等文件化信息; e) 提供并确保运行维护体系建设所需的人员、工具、技术和资金等资源可用; f 1 确保运行维护活动和过程符合法律法规要求的重要性得到共识; g) 基于风险思维管理运行维护体系,评估风险对运行维护成果的影响,明确考核机制和阶段性绩 效指标,定期实施运行维护活动绩效的监督、考核和评价; h)推动持续改进,确保运行维护体系的适宜性、充分性和有效性
为确保实现运行维护活动绩效、风险控制和合规性,最高管理层宜依据组织运行维护体系管理 际: 日a) 明确运行维护范围和内容,确保运行维护范围、内容覆盖相关方的需求和期望; 建立运行维护方针和目标,并确保其与组织环境、战略和业务需求保持一致; C) 明确运行维护体系的组织结构、岗位职责和权限,确保其得到沟通、理解和执行; d) 建立运行维护所需的制度、策略、程序、规范和实施记录等文件化信息; e) 1 提供并确保运行维护体系建设所需的人员、工具、技术和资金等资源可用; f) 确保运行维护活动和过程符合法律法规要求的重要性得到共识; g) 1M 基于风险思维管理运行维护体系,评估风险对运行维护成果的影响,明确考核机制和阶段性绩 效指标,定期实施运行维护活动绩效的监督、考核和评价; h)推动持续改进,确保运行维护体系的适宜性、充分性和有效性
组织根据自身业务需求,策划并确定运行维护内容,开展调研评估、监控巡检、例行维护、响应支持 优化改善和安全通告活动
组织根据业务需求制定监控巡检计划,对运行维护对象实施监控巡检,做好监控巡检记录,发现问 题或隐患及时按照运行维护过程规范进行处置,包括: a)监控:对运行维护对象的动态指标、静态指标、运行状态、安全状况和发展趋势等进行记录、分 析,对异常情况进行告警处理; b)巡检:对运行维护对象的监控记录、运行条件、运行状态和安全状况进行检查和趋势分析,通过 病毒查杀、安全扫描等方式发现其脆弱性,以消除或改进
组织根据业务需求制定例行维护计划,对运行维护对象进行日常维护,包括定期维护、配置备份、 各份、数据恢复、健康检查和系统更新等活动,做好例行维护记录,发现问题或隐患及时按照运行维 星规范进行处置。
组织根据业务需求实施响应支持活动,包括: 1 用户请求响应:按照用户提出的各类运行维护请求,对运行维护范围、运行维护对象或运行 护内容等进行调整或修改,做好用户请求响应记录:
组织根据业务需求实施优化改善活动,包括: a) 12 适应性改进:为保持运行维护对象在新环境中可持续运行,针对当前运行维护对象的运行情 况,给出优化改进建议并实施优化改进; b)增强性改进:为增强运行维护对象的安全性、可用性和可靠性,针对当前运行维护对象的运行 情况,给出优化改进建议并采取改进措施; C) 预防性改进:针对运行维护对象运行过程中存在的潜在问题或缺陷,实施纠正改进。
组织根据业务需求定期分析运行维护过程中产生的各种数据,及时发现信息系统存在的安全隐 时跟踪操作系统、应用程序等各种最新的漏洞补丁更新,掌握最新的安全动态,将最新的高风险内 全问题以最快的速度通告用户
组织依据运行维护体系建设要求和业务需求,通过定义、制定和管理运行维护级别,满足运行维护 质量的要求,包括: a)建立运行维护级别管理过程,包括识别、约定、监控和评估等活动; b) 根据运行维护考核评估要求,建立运行维护级别考核自评估机制,包括运行维护目标完成情 况、达成率等; )定期识别运行维护级别需求并实施调整
组织建立变更管理过程,确保变更有序实施,包括: 日) 1 建立与变更管理过程一致的活动,包括变更申请、评估、审核、实施、确认和回顾等; b) 明确变更类型和变更范围,建立变更分类分级机制; C) 准确、完整记录变更过程、结果和相关信息; d) 对变更实施情况进行统计分析,建立变更管理活动评估机制,如变更实施成功率、紧急变更率 变更关联配置数等。
组织建立发布管理过程,确保一个或多个变更的成功导人,包括: 日) 1 建立与发布管理过程一致的活动,包括规划、评估、测试、部署和验证等,记录发布管理活动 信息; b)处 建立发布类型和范围的管理机制; C) 制定完整的发布方案,包括发布计划、测试方案、回退方案等; d) 记录发布部署活动中的主要操作、结果和相关信息; e) 对发布实施情况进行统计分析,建立发布管理活动评估机制,如发布成功率、发布及时率、发布 回退率等。
组织建立配置管理过程,保证配置数据的完整性、准确性、可靠性和时效性,以对其他运行维护过程 进行支持,包括: a)建立与配置管理过程一致的活动,包括配置项识别、收集、记录、更新和审核等,记录配置管理 活动信息; b)建立配置管理访问审核机制,通过权限设置对配置管理数据进行访问控制; c)建立统一的配置管理数据库,并及时更新维护; d)建立配置管理数据库审计机制·对配置管理数据的正确性和完整性进行审计
组织通过及时、准确、可靠的运行维护报告与相关方进行有效的信息沟通,为组织管理层提供决 导,包括: a) 建立与运行维护报告过程一致的活动,包括计划、编制、审批、提交和归档等;
组织通过及时、准确、可靠的运行维护报告与相关方进行有效的信息沟通,为组织管理层提供决 导,包括: a) 建立与运行维护报告过程一致的活动,包括计划、编制、审批、提交和归档等;
b) 根据运行维护内容建立有效的运行维护报告分类; ) 根据报告类别建立运行维护报告模板,包括格式、提纲等; H) 编制运行维护报告计划,包括报告接收对象、内容要求、提交方式、时间频次和报告形式等 e) 运行维护报告编制完成并经过审批后按照运行维护报告计划进行提交。
为确保运行维护资产的数量和性能可以满足业务需求,组织进行容量管理,包括: E) 2 建立与业务需求相一致的容量管理活动,包括识别、分析和调整等; b) 识别出系统容量管理中需考虑的核心要素,如计算、存储、网络等; C) 1A 分析容量现状与业务需求的匹配程度; d 依据业务需求变化的趋势判断xx厂钢结构、墙面及屋面系统制作与安装施工组织设计(2020),有针对性地对资产容量进行调整
为确保供应商提供的服务能够满足业务需求,组织进行供应商管理,包括: 日) 建立与业务需求相一致的供应商管理活动,包括供应商选择、评价、监督和考核等; b) 1 建立供应商分类分级机制,对供应商进行统一的生命周期管理; C) 记录供应商合同执行的信息,定期评价供应商,及时对供应商进行调整,
8.11可用性和连续性管理
组织建立可用性和连续性管理过程,确保业务及运行维护的可用性和连续性,包括: a)建立与可用性和连续性管理过程相一致的活动,包括识别关键运行维护活动与业务应用,确定 业务可用性和连续性需求和目标,定义可用性指标及目标值,对可用性进行监控、分析、评估 检查、记录并制定优化改进机制,建立和实施业务连续性计划,定期对业务连续性进行演练等; b)基于业务需求、运行维护目标和已识别的风险,明确业务可用性和连续性要求,制定保障及提 高业务可用性的具体措施和计划,根据连续性要求,建立、实施并维护连续性计划,同时明确定 义激活连续性计划的条件、程序、职责分工和恢复要求; c)针对连续性计划至少每年演练一次,并根据测试结果完善连续性计划; d)当已经激活了连续性计划,报告原因、影响、恢复活动及改进措施; e)当业务环境发生重大变更时,重新演练连续性计划的有效性。
组织建立信息安全管理过程,确保运行维护过程中的信息安全,包括: 日a)处 建立符合相关法律法规的信息安全管理制度,满足运行维护过程的信息安全需求,包括信息安 全方针、目标和安全策略; b)建立与信息安全管理过程一致的活动砌筑砂浆施工工艺标准,包括识别、评估、处置和改进等
为保证运行维护质量和目标达成,组织依据运行维护体系建设要求进行人员规划储备、岗位结 员聘用、人员培训、人员考核、人员离岗和能力评价等管理活动,确保人员能力满足运行维护需求
组织依据运行维护体系建设要求和整体运行维护需求,进行人员规划和储备,包括: 日)有 根据当前或未来运行维护活动需求,识别人员需具备的运行维护活动能力要求; b) 根据组织当前人员能力现状,制定未来一段时间内的人员运行维护能力规划; C) 按照岗位架构和人员运行维护能力规划,考虑人员储备投人成本及预期效益,建立与运行维护 相关的人员储备机制·制定人员储备实施计划,并进行人员储备