信息安全運維流程

1、信息安全運維服務(wù)流程審 核： XXX批 準： XXX版本. 修改號： A.0受 控 狀 態(tài)：受控XX）年XX月 XX日發(fā)布XXX年XX月 XX日實施XXX公司1.安全運維服務(wù)流程流程圖具體流根據(jù)目前安全運維的整體情況，制定了運維服務(wù)流程圖,程如下圖：合同簽訂1.1 需求調(diào)研與分析依據(jù)公司自身的運維服務(wù)業(yè)務(wù)定位， 業(yè)務(wù)部負責(zé)對客戶需要運維 的信息系統(tǒng)現(xiàn)狀、 安全設(shè)備設(shè)施等內(nèi)容進行調(diào)研， 通過會議或者討論 等方式采集客戶服務(wù)需求和服務(wù)目標， 明確客戶的系統(tǒng)運維服務(wù)時間、 服務(wù)期限、 服務(wù)內(nèi)容以及相關(guān)服務(wù)方式頻次等需求， 并將調(diào)研信息總 結(jié)整理形成調(diào)研分析報告。1.2 報價與成本核算由公司項目組成員

2、結(jié)合公司市場部門， 對運維項目的服務(wù)內(nèi)容進 行工作量和工作成本的預(yù)估。 成本核算主要根據(jù)信息系統(tǒng)的運維服務(wù) 時間、工作量、服務(wù)方式、服務(wù)內(nèi)容、以及相關(guān)人日費用進行。將個 單項服務(wù)的設(shè)備費用、 和人力成本等費用總和考慮核算出單項和整體 項目的成本以及相應(yīng)的項目報價。1.3 合同簽訂公司項目部門與客戶研討后制定合同方案， 并簽訂項目合同。 合 同中應(yīng)明確運維服務(wù)的范圍、項目周期、服務(wù)內(nèi)容、運維方式、合同 金額、付款方式、保密條款、驗收條件等。1.4 運維方案設(shè)計與編制根據(jù)系統(tǒng)安全運維的實際需求， 公司項目部分負責(zé)編制安全運維服務(wù)方案。服務(wù)方案中應(yīng)明確制定運維服務(wù)時間、服務(wù)內(nèi)容、服務(wù)方 式、服務(wù)期限

3、、項目組成員和項目主要溝通聯(lián)絡(luò)負責(zé)人、服務(wù)匯報材 料、項目相關(guān)的質(zhì)量管理程序和措施以及運維服務(wù)中的風(fēng)險管理等。其中，運維時間與期限應(yīng)寫明項目運維起止時間和交付驗收的時 間節(jié)點；服務(wù)內(nèi)容應(yīng)列出運維服務(wù)設(shè)備清單和系統(tǒng)邊界， 以及運維服 務(wù)的安全檢查項目和運維服務(wù)周期。1.5 運維服務(wù)實施階段根據(jù)運維服務(wù)的方案進行服務(wù)實施。 主要根據(jù)資產(chǎn)列表對設(shè)備和 系統(tǒng)進行分類、標識，對系統(tǒng)中的配置信息進行備份和安全檢查。對方案中周期性維護的設(shè)備和系統(tǒng)，應(yīng)做好維護記錄：巡檢、安 全查殺、備份、更新、升級、故障排查等。由項目經(jīng)理負責(zé)匯總并整 理，最終形成月報、季報和年度總結(jié)報告。1.6 運維服務(wù)配置管理配置管理的目

4、的是通過將客戶組織、信息、關(guān)系進行集中、統(tǒng)一 管理，為服務(wù)過程提供基礎(chǔ)的數(shù)據(jù)支持，以優(yōu)化服務(wù)流程、提高服務(wù) 效率、確保服務(wù)質(zhì)量。 配置管理范圍是公司運維合同范圍內(nèi)的客戶的 生產(chǎn)和運行環(huán)境中的硬件、軟件、應(yīng)用系統(tǒng)、信息資源、服務(wù)包以及 組織人員等。配置管理應(yīng)使用有效管理工具， 以確保在運維服務(wù)過程中， 能夠掌握客戶信息系統(tǒng)及時準確的配置信息，更快、更簡化、更徹底地識 別各個信息基礎(chǔ)設(shè)施的屬性及關(guān)系。在事件、問題、變更和發(fā)布等流程活動中，通過管理工具，可以 隨時調(diào)取配置管理數(shù)據(jù)庫中的對應(yīng)數(shù)據(jù)，為上述過程提供基礎(chǔ)信息。 同時，在上述過程中，可以即時生成配置信息變更請求，通過變更管 理和配置管理流程的

5、有效配合保障配置管理數(shù)據(jù)庫的準確性。 配置經(jīng) 理在執(zhí)行過程中對發(fā)現(xiàn)的問題進行改進，過程記錄予以保持。1.7 服務(wù)報告服務(wù)報告管理的目的是為客戶提供及時、 可靠、準確的服務(wù)信息， 同時對公司在運維服務(wù)過程中的行為有效的管理。服務(wù)報告分為主動服務(wù)報告和被動服務(wù)報告， 公司服務(wù)報告應(yīng)對 建立、審批、分發(fā)和歸檔進行控制，確保報告產(chǎn)出及時、條理清晰、 信息可靠和準確， 報告應(yīng)得到相關(guān)各方的認可。 服務(wù)報告內(nèi)容應(yīng)涵蓋 以下方面： 服務(wù)級別目標的績效達成情況； 提供服務(wù)過程中產(chǎn)生的不 符合項和問題；工作量特征和數(shù)量特性；重要事件的績效報告；定期 趨勢信息；滿意度分析等。在服務(wù)報告中，對發(fā)現(xiàn)的問題，應(yīng)明確處 理意見、制定糾正措施，并與問題的相關(guān)方溝通。1.8 信息安全管理信息安全管理的目的是確保公司提供給客戶的信息安全技術(shù)運 行維護服務(wù)是安全的，實現(xiàn)客戶利益。應(yīng)制訂詳細的安全自查和隱患分析計劃， 定期進行安全自查和隱 患分析。在人員、物理、網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)、應(yīng)用、管理等方面進行 安全檢查，查找安全漏洞，采取有效的措施予以解決。安全自查和隱患分析分為局部自查和全面自查兩種方式， 局部自 查指的是根據(jù)信息系統(tǒng)目前的安全狀態(tài)進行重點自查， 全面自查指的 是針對整個信息系統(tǒng)進行全面自查。 局部自查隨時進行， 全面自查一 年至少要進行一次，相關(guān)過程記錄予以保持。1.9 終驗和總結(jié)報告項