中聯(lián)公司數據安全體系.doc

此文檔收集于網絡，如有侵權，請聯(lián)系網站刪除中聯(lián)公司數據安全體系第一章 總則一、目的隨公司客戶規(guī)模不斷的增大，以及客戶對于信息系統(tǒng)依賴程度越來越高，如果公司和客戶對于數據安全還沒有引起足夠重視，一旦發(fā)生事故，將給客戶帶來巨大損失。比如一個年收入3億的醫(yī)院，在極端情況下停止營業(yè)一天，那么直接經濟損失在100萬左右，其它損失則無法估量。如果出現(xiàn)這樣的情況，我們不能夠免責，那么有很多可能的情況出現(xiàn)，也許公司將因賠償而倒閉；或者經濟上免于賠償，但在聲譽上肯也會破產。所以為了保護中聯(lián)信息產業(yè)有限責任公司（以下簡稱中聯(lián)公司）所承建醫(yī)院信息系統(tǒng)數據安全，制定了本辦法。二、目標本體系圍繞以下目標進行展開：1、 規(guī)范員工數據安全意識和操作；主要通過管理規(guī)范加強對員工的安全意識教育，并在考核辦法中明確。請參見第三章第二節(jié)。2、 對客戶數據安全進行規(guī)范管理；主要通過對客戶的商務規(guī)范和風險教育來說明，詳見第三章第三節(jié)，第四章。3、 降低客戶數據安全事故給公司帶來的影響；主要通過規(guī)范員工操作行為和管理考核辦法進行約束，這部分是本體系的重要說明部分，請詳見第三章第二節(jié)，第三章第三節(jié)；4、 為有價值的客戶提供數據安全增值服務；在規(guī)范公司和客戶的行為前提下，對標準服務行為進行描述，并對增值服務的操作規(guī)范進行約定，詳見第四章第三節(jié)。三、適用范圍本體系適用范圍為：中聯(lián)公司在醫(yī)院信息系統(tǒng)建設和維護中的所有過程。四、適用對象本辦法適用于：1、 中聯(lián)公司所有從事技術工作員工；2、中聯(lián)公司授權銷售服務商（以下簡稱中聯(lián)渠道）；第二章 數據安全體系及定義一、數據安全體系1、 通過示意圖可以得出要解決數據安全事故，必須從公司和客戶兩個環(huán)節(jié)進行約束和規(guī)范。2、 對于安全事故本身，公司進行分析和歸納，分別從行為規(guī)范，管理考核和執(zhí)行措施等幾方面進行完善。3、 在數據安全體系中，對體系架構和管理措施進行了詳細描述，而行為規(guī)范則是體系的重要支撐，是公司規(guī)范要求的基礎。4、 本體系涉及到的相關管理辦法和執(zhí)行文檔，請參見附錄。二、相關定義1、數據安全通過制度、技術保障、產品和服務等方面的規(guī)范，確保客戶在使用中聯(lián)信息系統(tǒng)中數據的機密性、完整性、可用性。 機密性：確保數據只允許被授權人員訪問。例如數據庫管理員賬號密碼的管理等。 完整性：確保數據及其處理的準確性和完整性。例如財務、藥品數據等。 可用性：確保被客戶能夠在需要時獲取數據。例如信息系統(tǒng)的高可用性。2、數據安全事故 因各種原因造成客戶運行中斷、數據丟失等的事故 因產品問題造成客戶直接或間接經濟損失的（如科室級模塊不可用或使用緩慢）； 因產品問題存在重大安全隱患，需要立即召回、返工的。3、數據安全事故責任劃分指數據安全事故發(fā)生時，根據事故原因進行公司內部責任認定,以是否按數據安全操作規(guī)范為基準，滿足以下任意一條內容為判斷依據：A、 完全責任：1、未按照數據安全操作規(guī)范執(zhí)行引起的事故2、數據無法恢復；或系統(tǒng)停機2小時以上3、已造成經濟損失，損失金額大于5000元B、 主要責任：1、未按照數據安全操作規(guī)范執(zhí)行引起的事故2、雖有數據丟失，但關鍵業(yè)務數據能夠恢復；或系統(tǒng)停機2小時以內3、造成經濟損失，但損失總金額低于5000元C、 次要責任：1、按照數據安全操作規(guī)范執(zhí)行2、數據安全事故由設備等環(huán)境因素造成或非產品功能造成3、雖客戶聲明放棄責任追求，但實際損失額高于1000元4、無法提供對于數據安全隱患已告知客戶并得到確認的資料 D、 責任免除：1、按照數據安全操作規(guī)范執(zhí)行2、數據安全事故由設備等環(huán)境因素造成或非產品功能造成3、特殊使用流程造成數據錯誤，僅限于當前客戶4、客戶聲明放棄責任追究，且實際損失額低于500元5、能提供對于數據安全隱患已告知客戶并得到確認的資料或己方無過失的資料第三章 數據安全規(guī)范-公司級一、內容概括中聯(lián)公司數據安全（公司級）規(guī)范是指公司內部執(zhí)行的，所有員工都需要遵守的規(guī)范。公司級規(guī)范由管理規(guī)范和數據安全操作規(guī)范二部分組成，前者著重描述管理運行體系和方法；后者主要分為不同環(huán)節(jié)的規(guī)范操作，由員工和組織參照執(zhí)行。二、數據安全管理規(guī)范數據安全管理規(guī)范，通過加強員工安全意識，培訓，及管理考核三個方面說明。1、數據安全意識數據安全管理的核心工作在于不斷加強員工安全意識，因此從入職、日常監(jiān)督和事故風險教育各個階段均進行執(zhí)行。I、入職1、員工在2011年01月01日后，新簽或續(xù)簽勞動合同時，必須同時簽訂中聯(lián)公司保密協(xié)議，并取代原來簽訂的保密協(xié)議。2、中聯(lián)公司保密協(xié)議主要描述員工在入職期間對于數據安全和保密工作應承擔的責任和義務。3、此協(xié)議由技術支持部擬定審核，并由行政部負責與員工簽訂執(zhí)行。注：中聯(lián)公司保密協(xié)議為中聯(lián)公司2011年頒布執(zhí)行版本。（詳見-附錄-協(xié)議-中聯(lián)公司保密協(xié)議）II、日常監(jiān)督1、 中聯(lián)公司對于員工執(zhí)行數據安全操作規(guī)范效果的監(jiān)督，分為直管和抽查兩種形式2、 中聯(lián)公司各部門對從事技術工作的員工執(zhí)行數據安全操作規(guī)范效果監(jiān)督，由各公司、部門自行規(guī)定和約束。3、 技術支持部每月對中聯(lián)公司、中聯(lián)渠道進行抽查，對于抽查不合格的當事人和直接部門負責人將進行按照規(guī)定進行考核。III、 通報1、 當渠道用戶發(fā)生數據安全事故，不管用戶大小、是否公司存在責任，都需要郵件發(fā)送技術支持部說明情況，并抄送給所在渠道所有人。反饋格式參見附件。當出現(xiàn)重大安全事故或主要責任安全事故，必須在2小時內進行電話通報。2、 渠道通報反饋流程為：技術人員渠道部門主管渠道數據安全執(zhí)行負責人（技術負責人）通報給技術支持部。3、 技術支持部負責數據安全事故和不規(guī)范行為在中聯(lián)公司內部通報。（詳見第五章第二節(jié)）。2、培訓1、 公司應對所有從事技術工作的員工應進行數據安全操作規(guī)范培訓2、 培訓部負責對中聯(lián)公司渠道技術負責人進行數據安全操作規(guī)范培訓，并組織考試；各部門從事技術工作員工的培訓，由中聯(lián)渠道技術負責人進行，并參加培訓部統(tǒng)一組織的考試。3、 培訓教案由培訓部審定，試題由培訓部不定期更新。4、 隨著數據安全操作規(guī)范的更新，培訓部每年至少組織一次考試。3、數據安全事故恢復規(guī)范3.2.3.1、恢復方案確認A、恢復方案：針對數據安全事故影響程度，而制定的一系列消除影響，恢復系統(tǒng)正常運行的措施和步驟集；B、恢復方案確認：為防止現(xiàn)場工程師對數據安全事故應急處理能力不足給客戶和公司帶來后續(xù)的影響，需要將恢復方案由不同技術層級的專家進行確認的過程。C、恢復方案確認層級：客戶級別恢復方案初審責任人終審責任人二甲及以上技術負責人/服務部經理技術支持部二乙片區(qū)經理/小組負責人/項目經理渠道技術負責人/渠道服務部經理一級及以下片區(qū)經理/小組負責人/項目經理/注：責任人標注為多人的，有一人確認即可。3.2.3.2、恢復過程記錄A、恢復過程記錄：針對數據安全事故進行恢復的處理過程記錄，主要分為處理記錄和處理分析兩個部分；處理記錄：僅對處理步驟和執(zhí)行情況進行準確記錄；處理分析：對問題的原因進行分析，并將處理過程情況進行記錄，以形成可以提交客戶說明和內部總結的正式分析文檔；B、恢復過程記錄要求： 1、對所有客戶的數據安全事故進行恢復，必須在1個工作日內完成數據恢復處理記錄；2、對二甲及以上客戶，或增值服務中包含數據恢復服務的客戶，在數據安全事故處理后3個工作日內，必須完成數據庫恢復技術報告；3、對于二乙及以下客戶，在數據安全事故處理后，是否完成數據庫恢復技術報告由所在渠道自行要求。 （文檔見附錄“ZLDS_O_10數據安全事故恢復過程記錄”）3.2.3.3、公司領導現(xiàn)場負責制A、針對影響較大的數據安全事故，公司領導需及時到現(xiàn)場協(xié)調事故處理的制度；B、是危機公關的組成部分，主要在于客戶情緒舒緩和現(xiàn)場情況的感受；C、現(xiàn)場負責制要求：對于數據安全責任事故中，責任人需按照下表要求執(zhí)行?？蛻艏墑e系統(tǒng)中斷使用時間（及以上）責任人現(xiàn)場回訪時間二甲及以上2小時渠道負責人立刻二乙4小時渠道負責人1個工作日內一級及以下一天渠道片區(qū)經理/項目經理1周內注：責任人到達現(xiàn)場后，可指定其他相關負責人到現(xiàn)場，在此不做約定。4、考核辦法I、考核方式及機構1、 技術支持部是員工遵守數據安全操作規(guī)范的執(zhí)行和監(jiān)督機構。2、 數據安全操作規(guī)范中的商務規(guī)范環(huán)節(jié)，由技術支持支持部統(tǒng)一擬定標準，各單位、部門自行要求、監(jiān)督員工執(zhí)行。技術支持部每季度將對各單位、部門的商務環(huán)節(jié)過程文檔抽查，并進行考核。3、 數據安全操作規(guī)范中的操作規(guī)范環(huán)節(jié)，由培訓部進行定期考試。a) 某些特定操作規(guī)范可由培訓部組織專場統(tǒng)一考試。如10.26升級規(guī)范。b) 日常操作規(guī)范，由培訓部在組織ZLCE考試時進行，每期每級考試的數據安全操作規(guī)范試題為10分。4、 技術支持部每月負責對數據安全事故進行分析，并進行通報與處罰。（詳見第五章-持續(xù)改進與運維）5、 本體系未提及的考核方式可由各單位、部門自行制定內部執(zhí)行。II、處罰與辦法1、 技術支持部每月負責進行數據安全事故通報與處罰。2、 安全事故處考核辦法為：責任認定考核辦法（每次）直接責任人責任單位負責人事故通報級別說明完全責任2000元5000元公司內刊客戶會刊1、責任單位負責人指各分子公司負責人，中聯(lián)渠道總經理，中聯(lián)信息總部各部門負責人。2、完全責任事故如損失巨大，影響惡劣，則由中聯(lián)公司總經理進行追加處罰。主要責任1000元1、1000元2、直接責任人不明確，則處罰2000元公司內刊客戶會刊次要責任500元500元公司內刊責任免除0元0元公司內刊3、 數據安全操作規(guī)范考核辦法為：分類考核要點考核部門被考核人考核頻度考核方式考核措施責任人責任單位負責人商務規(guī)范未按照規(guī)范提交相關文檔，并由客戶確認簽字分子公司服務部部門員工月度檢查每項違規(guī)操作扣罰50元無未按照規(guī)范要求對用戶確認的過程文檔歸檔，或文檔缺失技術支持部中聯(lián)各分子公司季度抽查無每出現(xiàn)一家用戶的管理缺失，扣罰500元操作規(guī)范未按照操作規(guī)范執(zhí)行，或未對需要公司內保存的資料進行歸檔各分子公司服務部、研發(fā)中心、技術中心部門員工月度檢查每項違規(guī)操作扣罰50元無未按照操作規(guī)范執(zhí)行，或未對需要公司內保存的資料進行歸檔技術支持部中聯(lián)各分子公司、研發(fā)中心、技術中心季度抽查無每出現(xiàn)一家用戶的管理缺失，扣罰500元培訓與考試未開展針對技術負責人的數據安全操作規(guī)范培訓和考試技術支持部培訓部每年檢查無扣罰1000元未組織針對所有員工的數據安全操作規(guī)范考試技術支持部培訓部每年檢查無扣罰1000元數據安全操作規(guī)范考試不及格培訓部渠道技術負責人每年檢查扣罰500元無培訓部從事技術工作員工每年檢查扣罰200元無數據安全事故恢復未按照要求對數據恢復方案提出/進行確認技術支持部中聯(lián)各分子公司發(fā)生時檢查扣罰200元扣罰500元缺少恢復過程記錄技術支持部中聯(lián)各分子公司發(fā)生時檢查扣罰200元扣罰500元渠道領導違反現(xiàn)場負責制約定技術支持部中聯(lián)分子公司負責人/相關負責人發(fā)生時檢查扣罰500元扣罰1000元事故通報違反數據安全事故備案規(guī)范技術支持部中聯(lián)各分子公司發(fā)生時抽查無每事故未備案，扣罰應承擔扣罰的5倍，即1000元10000元未對事故進行通報，或要素失真總經理技術支持部月度檢查扣罰200元/每次扣罰500元/每次其他未對操作規(guī)范中需要進行定期技術支持的部分進行處理總經理技術支持部月度檢查扣罰100元/每未處理客戶扣罰500元/每次未對數據安全操作規(guī)范進行抽查總經理技術支持部季度檢查扣罰200元/每次無4、 中聯(lián)各子分公司在各自管理辦法中可以自行規(guī)定針對執(zhí)行數據安全操作規(guī)范的條款，但不得和數據安全體系相違背。5、 各被考核人可以就考核結果向考核部門負責人提出質疑，并可以向中聯(lián)公司總經理提出最終的仲裁。三、數據安全操作規(guī)范從商務操作規(guī)范和技術操作規(guī)范2方面，對常見操作和處理方式進行規(guī)范，是所有從事技術工作員工必須遵守的行為守則。3.3.1、商務規(guī)范3.3.1.1實施階段是指在實施階段，涉及到與用戶確認和告知的數據安全確認文檔。3.3.1.1.1環(huán)境確認和風險告知1、 項目進場5個工作日內，實施人員必須對醫(yī)院生產環(huán)境進行檢查了解，根據檢查情況，對數據安全進行評估，存在風險的，告知院方，并提供改進措施，雙方對進場環(huán)境確認書確認簽字；2、 項目進場5個工作日內，實施人員必須對基本的數據安全風險，進行告知院方，雙方對數據安全風險告知書確認簽字；3、 在實施階段，實施人員臨時發(fā)現(xiàn)存在數據安全隱患的事件，告知院方，并提供改進措施，雙方對臨時數據安全風險告知書確認簽字。3.3.1.1.2數據安全評估與防范在系統(tǒng)驗收時，實施人員必須對生產環(huán)境進行數據安全評估，內容是服務器環(huán)境（系統(tǒng)配置、數據庫配置、數據備份）、其它支持環(huán)境等信息的評估，雙方對數據安全評估確認書確認簽字，并作為驗收報告?zhèn)浒肝臋n。3.3.1.1.3簡易流程簡易流程是相對于規(guī)范流程而言，主要是指項目協(xié)議的簽署。一個完整的項目，從進場到驗收，需要簽署進場環(huán)境確認書，數據安全風險告知書，臨時數據安全風險告知書，信息中心職責和應急預案（二級以上用戶渠道自行判斷是否簽署），用戶日常數據安全檢查表，數據安全評估確認書6個協(xié)議文檔，但對于小用戶（一級及以下用戶），由于本身醫(yī)院規(guī)模小，管理簡單，簽署這么多協(xié)議不太現(xiàn)實，所以綜合考慮，只需要簽署數據安全風險告知書，用戶日常數據安全檢查表，用戶數據安全確認函3個文檔。3.3.1.1.4文件歸檔1、 在實施階段，針對數據安全方面，要求歸檔的文檔有進場環(huán)境確認書、數據安全風險告知書、臨時數據安全風險告知書、數據安全評估確認書；2、 這些文檔必須經公司與醫(yī)院雙方代表簽字加蓋公章，一式兩份、雙方各執(zhí)一份保存；3、 公司保留的這份文檔，在實施期間由項目經理統(tǒng)一保管，實施驗收完成后，統(tǒng)一交回各自渠道分子公司，由渠道服務部技術負責人或實施主管統(tǒng)一歸檔，以備待查；4、 需要考核抽查的文檔見下表。規(guī)范流程：按照體系要求，在項目實施階段需要簽署的數據安全協(xié)議簽署協(xié)議簽署時間適用范圍性質進場環(huán)境確認書如果是項目要求5個進場5個工作日內，售后要求首先簽署二級及以上必選數據安全風險告知書如果是項目要求5個進場5個工作日內，售后要求首先簽署二級及以上必選臨時數據安全風險告知書臨時發(fā)現(xiàn)存在數據安全隱患時二級及以上可選信息中心職責和應急預案系統(tǒng)驗收時二級及以上，渠道根據情況自行判斷是否簽署可選用戶日常數據安全檢查表系統(tǒng)正式運行時二級及以上必選數據安全評估確認書系統(tǒng)驗收時/系統(tǒng)環(huán)境變更時二級及以上必選簡易流程：針對一級及以下的用戶，為簡化協(xié)議簽署而制定的簡易的流程 簽署協(xié)議簽署時間適用范圍性質數據安全風險告知書 如果是項目要求5個進場5個工作日內，售后要求首先簽署一級及以下必選臨時數據安全風險告知書臨時發(fā)現(xiàn)存在數據安全隱患時一級及以下可選用戶日常數據安全檢查表系統(tǒng)正式運行時一級及以下必選用戶數據安全確認函系統(tǒng)驗收時/系統(tǒng)環(huán)境變更時一級及以下必選注：當二級及以上客戶系統(tǒng)環(huán)境變更時（如新購服務器、陣列或安裝DG、RAC等產品），需要重新簽訂數據安全評估確認書，并歸檔。3.3.1.2售后階段在售后階段，技術支持人員臨時發(fā)現(xiàn)存在數據安全隱患的事件，告知院方，并提供改進措施，雙方對臨時數據安全風險告知書確認簽字。相關文檔的保存規(guī)范，參照3.3.1.1.4文件歸檔部分要求完成。3.3.2、操作規(guī)范3.3.2.1實施規(guī)范實施階段，實施人員的數據安全操作規(guī)范。3.3.2.1.1備份與恢復在實施階段進行數據備份/恢復時,必須遵守以下操作規(guī)范（但不限于此）：1、 服務端產品安裝完成時，必須設置有效的本地和異地數據備份；2、 根據客戶業(yè)務規(guī)模，服務器環(huán)境，選擇不同的備份和恢復方式，參照3.3.3.技術操作規(guī)范備份與恢復規(guī)范執(zhí)行；3、 如遇更換服務器的情況，必須先對臨時服務器或者在用服務器進行切換時點的數據備份，再將數據恢復到新服務器上；3.3.2.1.2數據更新主要指批量更新在用數據表字段值、執(zhí)行修正腳本操作，時實施人員必須遵守的操作規(guī)范（但不限于此）：1、 由于實施工作需要，實施人員在執(zhí)行數據修正腳本操作時，如重算藥品庫存表數據，必須遵循修正腳本執(zhí)行規(guī)范執(zhí)行。2、 具體修正腳本執(zhí)行規(guī)范，參照3.3.3.技術操作規(guī)范腳本執(zhí)行規(guī)范執(zhí)行。3.3.2.1.3報表維護報表維護操作規(guī)范，是指為防止實施人員在進行報表維護時，由于誤操作，引起報表無法打印或者打印錯誤，造成窗口業(yè)務受到影響，所制定的操作規(guī)范。在實施階段，實施人員進行報表維護時，必須遵守以下操作規(guī)范（但不限于此）：1、 在對“已發(fā)布”報表進行修改或導入覆蓋操作前，必須先做備份；2、 對于窗口業(yè)務報表，如收費發(fā)票無法打印或金額不正確，導致實際業(yè)務無法繼續(xù)，實施人員應該馬上做出報表調整；3、 對于財務統(tǒng)計報表、藥品單據報表格式或金額不對，應該在業(yè)務不繁忙的情況下修改；4、 涉及到數據更新的報表，如報表數據源內調用了涉及數據更新的函數，必須先在測試環(huán)境中測試，確認無誤后，方能在正式環(huán)境中使用；3.3.2.1.4接口開發(fā)與維護規(guī)范在實施階段，進行接口開發(fā)和維護時，如醫(yī)保接口、LIS、PACS等接口，必須遵守相關規(guī)范，具體內容參照3.3.3.技術操作規(guī)范接口開發(fā)與維護規(guī)范執(zhí)行。3.3.1.1.5用戶授權與角色用戶授權規(guī)范，是指為防止實施人員在進行用戶（角色）授權時，由于授權失誤，引起操作員對不屬于其工作范圍內的數據進行破壞，且造成損失，所制定的操作規(guī)范。實施階段，實施人員進行用戶（角色）授權時，必須遵守以下操作規(guī)范：1、 進行用戶（角色）授權時，必須與院方確認，院方確認用戶授權確認單；2、 系統(tǒng)啟用前，實施人員給院方提交一份系統(tǒng)授權用戶（崗位）清單,經院方簽字認可。3.3.2.2售后規(guī)范售后階段，技術支持人員應遵循的數據安全操作規(guī)范。如無特殊說明請參照3.3.3技術操作規(guī)范執(zhí)行。3.3.3技術操作規(guī)范本章節(jié)所列規(guī)范為所有技術人員，在技術支持的過程中，在執(zhí)行相關對應操作時需要嚴格遵守的規(guī)范。1、ZLDS_O_1快速構建ZLHIS應急環(huán)境；2、ZLDS_O_2獲取AWR報告；3、ZLDS_O_3數據庫定期備份規(guī)范；4、ZLDS_O_4臨時備份規(guī)范；5、ZLDS_O_5數據庫調整；6、ZLDS_O_6腳本執(zhí)行規(guī)范；7、ZLDS_O_7接口開發(fā)與維護規(guī)范；8、ZLDS_O_8ZLHIS升級標準流程；9、ZLDS_O_9用戶授權與角色；（包含用戶授權確認單，崗位授權確認單及生產報表工具）第四章 數據安全規(guī)范-客戶級一、內容概括中聯(lián)公司數據安全（客戶級）規(guī)范主要為了說明公司和客戶在系統(tǒng)運營過程中應承擔的責任和義務。客戶級規(guī)范由客戶應提供的規(guī)范和公司應提供的服務二部分組成，前者著重描述客戶應執(zhí)行的規(guī)范；后者主要將公司提供服務進行分型，提倡為價值客戶提供有價值的服務。二、醫(yī)院客戶規(guī)范1、在與客戶簽訂合同時，需明確告知客戶信息系統(tǒng)的重要性，并要求客戶應建立其相應的應急預案。2、在與客戶簽訂信息系統(tǒng)維護協(xié)議時，需明確告知客戶應指派專人對信息安全情況進行自查，并保存留檔。對于客戶信息管理人員工作疏忽造成的數據安全，中聯(lián)公司將不承擔責任，但有義務配合客戶進行數據安全事故的處理。3、再與客戶簽訂軟件合同或信息系統(tǒng)維護協(xié)議時，均應明確告知客戶，為了配合雙方工作交接，并盡到公司應盡的告知責任，客戶有義務配合中聯(lián)公司對相關文檔進行簽字確認，并存檔。4、技術支持部提供上述合同、協(xié)議中相關描述，以及應急預案模板。（見附錄二、5）5、中聯(lián)各分子公司違反此規(guī)范，參照第三章2.3節(jié)進行考核與處罰。三、公司服務規(guī)范1、服務分型I、標準服務中聯(lián)公司將對所有客戶提供標準基礎服務，基礎服務的包含兩層含義： 售后服務合同中與用戶約定的技術服務項目，不再單獨收取費用； 中聯(lián)體系產品的技術服務，不包括基礎平臺及接口產品的服務；我們認定的標準服務項目包括，渠道可以根據實際情況進行增減：編號項目說明技術服務標準A01產品升級包括中聯(lián)正式發(fā)布產品與SP產品的升級A02數據修正修復因為中聯(lián)產品BUG引起的數據錯誤、不完整等問題A03技術咨詢接受用戶提出的中聯(lián)產品功能、操作方式的咨詢；并有義務提供公司發(fā)布的產品手冊、幫助文檔等。A04報表調整標準和自定義報表的格式、性能、數據源的調整。但不包括新增報表A05用戶巡檢一定周期安排用戶巡訪，系統(tǒng)收集和解決中聯(lián)產品使用過程中的問題，并將新的需求提交總公司相關部門。中聯(lián)公司需向列入重點客戶名錄的用戶，增加提供增值服務-數據安全巡訪服務（詳見第四章3.2節(jié)），并按照規(guī)范執(zhí)行，接受考核。（詳見第三章2.3節(jié)）。II、增值服務中聯(lián)公司可以向客戶銷售已包裝分型完成的增值服務，但需要具備相應的技術服務能力。增值服務包含兩層含義： 超出售后服務合同約定范圍的服務項目，一般情況下需要獨立簽訂銷售合同，并形成獨立的銷售收入； 不屬于中聯(lián)產品的標準產品服務，主要包括支撐環(huán)境、政策適應、應用價值提升三個方面的內容。我們目前可開展的增值服務項目如下：編號項目說明技術服務標準B01Oracle數據庫升級1.Oracle發(fā)行版的升級，如9i到10g的升級；2.Oracle補丁集服務，如果10.2.0.3到10.2.0.4升級B02Oracle災難恢復數據庫無法正常打開，不能繼續(xù)提供服務情況下的數據庫修復服務。B03Oracle性能調整為數據庫系統(tǒng)提供全面的性能調整服務；包括參數調整、SQL調整、硬件調整等內容。B04數據遷移將數據遷移到不同的主機。如indows到Linux環(huán)境的遷移、單實例環(huán)境到RAC環(huán)境的遷移B05Oracle RAC安裝包括安裝、配置Oracle RAC、將數據遷移到RAC環(huán)境、初步的性能調整等內容B06Oracle Data Guard安裝安裝與配置Oracle Data Guard，實現(xiàn)數據庫的實時備份。B07自定義報表制作新增自定義報表，滿足客戶的業(yè)務需要B08產品接口為第三方的程序提供中聯(lián)產品的數據接口B09產品定制服務為了適應新的地方政策要求、行業(yè)規(guī)范提出的特殊需求等原因對產品進行定制修改或新開發(fā)某些功能模塊技術支持部根據渠道技術申請內容對該渠道進行增值服務技術能力評估，如不能達標則取消資格，并由技術支持部進行直管，由此帶來的成本及損益由渠道自行承擔。2、案例通報為不斷培養(yǎng)用戶在信息安全方面的意識和危機感，公司定期以用戶快訊的形式，將客戶數據安全事故向定向客戶進行通報警示。此項工作由中聯(lián)快訊編輯部負責執(zhí)行，并遵循中聯(lián)快訊編輯發(fā)行規(guī)范。（詳見第五章第三節(jié)）第五章 持續(xù)改進與運維一、安全事故分析技術支持部負責每月對中聯(lián)公司客戶的數據安全事故進行分析，并提交分析報告。技術支持部負責分析數據安全事故中，由操作不規(guī)范引起的事件，并將行為規(guī)范到數據安全操作規(guī)范中。技術支持部每月選出有代表性的數據安全事故，整理成安全案例，提交到中聯(lián)快訊編輯部，通過內刊和客戶會刊的形式進行提