XX集團(tuán)公司IT系統(tǒng)運(yùn)維管理規(guī)范

1、xx集團(tuán)公司IT運(yùn)維管理規(guī)范（試行）第一章 總則第一條 為了保障全集團(tuán)公司IT系統(tǒng)的安全、穩(wěn)定、高效運(yùn)行，深化信息資源的開發(fā)利用，提高集團(tuán)公司管理和公共服務(wù)水平，促進(jìn)信息服務(wù)產(chǎn)業(yè)轉(zhuǎn)型升級,根據(jù)2006-2020年國家信息化發(fā)展戰(zhàn)略、xx集團(tuán)公司信息化促進(jìn)條例以及信息安全管理相關(guān)規(guī)定，制定本規(guī)范。第二條 本規(guī)范所稱IT運(yùn)維管理是指為保障IT系統(tǒng)（包括基礎(chǔ)設(shè)施、網(wǎng)絡(luò)、信息系統(tǒng)、信息資源、機(jī)房環(huán)境等）的安全、穩(wěn)定、高效運(yùn)行而進(jìn)行的一系列規(guī)劃、實(shí)施、監(jiān)控與評估過程。第三條 IT運(yùn)維管理的主要內(nèi)容包括：運(yùn)維資產(chǎn)管理、運(yùn)維人員管理、運(yùn)維安全管理和運(yùn)維績效管理等。 （一） 運(yùn)維資產(chǎn)管理是對已正式投入使用的信

2、息化基礎(chǔ)設(shè)施、軟件等資產(chǎn)的動態(tài)配置管理。（二） 運(yùn)維人員管理是對參與運(yùn)維工作的人員的資格、能力和行為的管理。（三） 運(yùn)維安全管理是在IT系統(tǒng)運(yùn)維過程中為保障信息的機(jī)密性、完整性和可用性而對信息安全的職責(zé)、制度、標(biāo)準(zhǔn)和流程的管理。（四） 運(yùn)維績效管理是科學(xué)評價(jià)運(yùn)維服務(wù)過程和服務(wù)結(jié)果，發(fā)現(xiàn)問題并提出改進(jìn)措施。第四條 本規(guī)范用于指導(dǎo)xx集團(tuán)公司各單位、部門（以下簡稱“各單位”）管理本部門的IT運(yùn)維工作。各單位可根據(jù)本規(guī)范明確相應(yīng)的組織與職責(zé)，制定具體的IT運(yùn)維制度與流程，對運(yùn)維的資產(chǎn)、人員、方案與經(jīng)費(fèi)、外包與合同、績效等進(jìn)行管理。第二章 組織與制度第五條 各單位可根據(jù)需要設(shè)立IT運(yùn)維管理委員會，負(fù)責(zé)

3、IT運(yùn)維的領(lǐng)導(dǎo)和協(xié)調(diào)工作，包括審查批準(zhǔn)運(yùn)維總體規(guī)劃、管理體系、規(guī)章制度、技術(shù)規(guī)范、經(jīng)費(fèi)方案等，負(fù)責(zé)重大和緊急事件決策，對運(yùn)維工作定期進(jìn)行風(fēng)險(xiǎn)評估和績效評估。IT運(yùn)維管理委員會的負(fù)責(zé)人由本單位信息化主管領(lǐng)導(dǎo)兼任，成員包括業(yè)務(wù)部門、信息化部門以及運(yùn)維外包企業(yè)代表等。第六條 各單位業(yè)務(wù)部門負(fù)責(zé)提出對信息系統(tǒng)的運(yùn)維服務(wù)需求，配合實(shí)施運(yùn)維應(yīng)急預(yù)案，并通過推廣、應(yīng)用IT系統(tǒng)，創(chuàng)新業(yè)務(wù)管理模式。第七條 各單位信息化部門負(fù)責(zé)IT運(yùn)維工作的組織和實(shí)施，包括：運(yùn)維體系建設(shè)、運(yùn)維資產(chǎn)管理、運(yùn)維經(jīng)費(fèi)預(yù)算編報(bào)、運(yùn)維外包項(xiàng)目招標(biāo)、運(yùn)維合同管理及績效評估，運(yùn)維經(jīng)費(fèi)使用、應(yīng)急響應(yīng)、運(yùn)維外包管理、日常運(yùn)維的實(shí)施與管理，以及業(yè)務(wù)

4、部門關(guān)系管理等。第八條 運(yùn)維采用外包形式且外包單位超過兩家的，應(yīng)建立外包管理協(xié)調(diào)工作機(jī)制，要求外包企業(yè)設(shè)立協(xié)調(diào)工作組。協(xié)調(diào)工作組組長由IT運(yùn)維管理委員會指定，協(xié)調(diào)工作組成員由各外包企業(yè)代表組成。協(xié)調(diào)工作組負(fù)責(zé)運(yùn)維總體的統(tǒng)籌協(xié)調(diào)、重大問題處理、投訴管理、爭議管理等，并接受IT運(yùn)維管理委員會的直接領(lǐng)導(dǎo)。第九條 各單位IT運(yùn)維團(tuán)隊(duì)包含服務(wù)臺和專業(yè)運(yùn)維人員。其中，服務(wù)臺負(fù)責(zé)接受運(yùn)維服務(wù)請求，推進(jìn)運(yùn)維知識庫建設(shè)與完善，跟蹤、監(jiān)督運(yùn)維任務(wù)執(zhí)行，向責(zé)任單位和主管部門匯報(bào)和反饋重大事件的處理情況；專業(yè)運(yùn)維人員負(fù)責(zé)執(zhí)行運(yùn)維任務(wù)。第十條 各單位應(yīng)建立健全I(xiàn)T運(yùn)維工作管理制度、技術(shù)規(guī)范、操作規(guī)程等（見附件1），建立

5、確保管理制度執(zhí)行到位的激勵(lì)和約束機(jī)制。第十一條 各單位應(yīng)建立和完善自上而下的IT運(yùn)維管理決策流程和規(guī)范。其中：(一) 運(yùn)維管理決策流程和規(guī)范應(yīng)明確決策主體、內(nèi)容、原則方法、各決策主體的職責(zé)以及決策流程。(二) 重點(diǎn)對重要運(yùn)維項(xiàng)目的保障與安排、重大事故的防范與處置、運(yùn)維經(jīng)費(fèi)的預(yù)算與使用以及協(xié)調(diào)工作組人事任免等的決策流程與控制措施進(jìn)行規(guī)范。(三) 注重決策信息的收集和處理。監(jiān)督落實(shí)服務(wù)報(bào)告、績效評估、重大事故問責(zé)、聯(lián)席會議等制度的執(zhí)行。第十二條 各單位根據(jù)本單位管理需求和基礎(chǔ)情況，參照運(yùn)維服務(wù)國際標(biāo)準(zhǔn)，制定統(tǒng)一的運(yùn)維服務(wù)流程，實(shí)現(xiàn)運(yùn)維服務(wù)工作的標(biāo)準(zhǔn)化、規(guī)范化。第十三條 各單位參照IT運(yùn)維服務(wù)支撐系

6、統(tǒng)規(guī)范，結(jié)合本單位運(yùn)維管理實(shí)際需求，制定運(yùn)維服務(wù)技術(shù)規(guī)范。第十四條 各單位應(yīng)建立健全運(yùn)維績效評估機(jī)制，開展運(yùn)維績效評估工作，必要時(shí)可引入第三方專業(yè)評估機(jī)構(gòu)。第三章 運(yùn)維資產(chǎn)管理第十五條 運(yùn)維資產(chǎn)的屬性包括基本屬性、財(cái)務(wù)屬性和運(yùn)維屬性。(一) 基本屬性：描述信息類資產(chǎn)的固有信息以及運(yùn)維管理和財(cái)務(wù)管理共同關(guān)心的資產(chǎn)信息。如資產(chǎn)的名稱、編號、類別等。(二) 運(yùn)維屬性：描述除基本屬性之外運(yùn)維管理所關(guān)心的資產(chǎn)信息。如資產(chǎn)的技術(shù)屬性。(三) 財(cái)務(wù)屬性：描述除基本屬性之外財(cái)務(wù)部門所關(guān)心的資產(chǎn)信息。如價(jià)值、采購組織形式等。對運(yùn)維資產(chǎn)財(cái)務(wù)屬性的管理應(yīng)遵守國有資產(chǎn)管理相關(guān)規(guī)定。第十六條 各單位按照信息化部門、財(cái)務(wù)

7、部門和業(yè)務(wù)部門構(gòu)成的三級資產(chǎn)管理體系進(jìn)行運(yùn)維資產(chǎn)管理。信息化部門負(fù)責(zé)運(yùn)維資產(chǎn)的運(yùn)維屬性管理和日常維護(hù)，并負(fù)責(zé)機(jī)房內(nèi)資產(chǎn)的日常保管.財(cái)務(wù)部門負(fù)責(zé)運(yùn)維資產(chǎn)的基本屬性和財(cái)務(wù)屬性的管理，業(yè)務(wù)部門負(fù)責(zé)本部門運(yùn)維資產(chǎn)的日常保管。第十七條 各單位信息化部門應(yīng)根據(jù)信息類資產(chǎn)特點(diǎn)，按照IT運(yùn)維服務(wù)支撐系統(tǒng)規(guī)范中信息系統(tǒng)、物理資產(chǎn)、軟件資產(chǎn)、信息資源等分類的規(guī)定建立統(tǒng)一的資產(chǎn)分類體系，對信息類資產(chǎn)進(jìn)行科學(xué)分類和編碼，安排專人負(fù)責(zé)運(yùn)維資產(chǎn)檔案和運(yùn)維資產(chǎn)數(shù)據(jù)庫的建立、數(shù)據(jù)采集、更新和保管，并與集團(tuán)公司財(cái)務(wù)部的資產(chǎn)庫保持同步。第十八條 在預(yù)算編制前，信息化部門會同財(cái)務(wù)部門和業(yè)務(wù)部門對全部運(yùn)維資產(chǎn)進(jìn)行盤點(diǎn)，盤點(diǎn)結(jié)果作為運(yùn)

8、維工作方案制定和經(jīng)費(fèi)預(yù)算編制的基礎(chǔ)依據(jù)。第十九條 實(shí)行資產(chǎn)委托管理的單位，應(yīng)與受托部門或企業(yè)簽訂信息類資產(chǎn)保管協(xié)議，確保運(yùn)維資產(chǎn)安全、可用。第四章 運(yùn)維人員管理第二十條 各單位信息化部門應(yīng)明確運(yùn)維管理職責(zé)，定期制定運(yùn)維服務(wù)崗位人力資源需求方案，制定運(yùn)維人員專業(yè)能力評定標(biāo)準(zhǔn)（可定為高、中、初三級），組織實(shí)施運(yùn)維人員能力培養(yǎng)、考核和準(zhǔn)入等工作。第二十一條 各單位應(yīng)加強(qiáng)對運(yùn)維管理人員的業(yè)務(wù)和安全管理等方面的培訓(xùn)，確保其行為符合專業(yè)技術(shù)服務(wù)規(guī)范。第二十二條 各單位應(yīng)評估運(yùn)維關(guān)鍵崗位人員流失帶來的風(fēng)險(xiǎn)，制定人員候補(bǔ)和崗位接替計(jì)劃，在人員崗位發(fā)生變化后及時(shí)變更相關(guān)信息。第二十三條 運(yùn)維采用外包形式的單位，

9、應(yīng)要求外包服務(wù)企業(yè)加強(qiáng)對服務(wù)人員的甄選和培訓(xùn)。并對外包服務(wù)人員進(jìn)行履歷備案、身份驗(yàn)證、職業(yè)技能鑒定、背景調(diào)查等，關(guān)鍵崗位服務(wù)人員應(yīng)進(jìn)行政審并簽署保密協(xié)議，實(shí)行權(quán)限管理。第二十四條 各單位應(yīng)加強(qiáng)外包人員變更的管理。要求外包服務(wù)企業(yè)在合同期內(nèi)保持主要負(fù)責(zé)人員的穩(wěn)定。確需更換的，應(yīng)由外包企業(yè)提供說明材料，提前一個(gè)月以書面形式向甲方單位提出人員變更申請，說明人員的離職原因、離職人員的安全保密措施、變更人員資質(zhì)及身份證明材料等。離職人員應(yīng)做好外包項(xiàng)目未盡任務(wù)和工作移交，經(jīng)甲方單位同意后方可離開服務(wù)現(xiàn)場。 第二十五條 各單位應(yīng)加強(qiáng)外包人員現(xiàn)場管理，規(guī)范外包服務(wù)人員的在崗、離崗行為。外包人員需要離開服務(wù)崗位

10、的，應(yīng)事先征得甲方單位同意，重大項(xiàng)目主要負(fù)責(zé)人員離開崗位，應(yīng)由其所在企業(yè)提供包含原因、返回現(xiàn)場時(shí)間、離崗期間工作安排等內(nèi)容的書面材料，在取得甲方單位和有關(guān)部門同意后方可離開服務(wù)現(xiàn)場，未經(jīng)允許不得擅自離崗。第二十六條 運(yùn)維人員對本單位的業(yè)務(wù)秘密和系統(tǒng)安全與風(fēng)險(xiǎn)信息負(fù)有保密責(zé)任，各單位應(yīng)與運(yùn)維相關(guān)人員簽訂保密協(xié)議，防止其擅自對本單位提供的任何文件進(jìn)行修改、復(fù)制或帶離現(xiàn)場。第五章 運(yùn)維方案與經(jīng)費(fèi)管理第二十七條 各單位應(yīng)根據(jù)業(yè)務(wù)工作要求、IT建設(shè)與應(yīng)用情況、自身技術(shù)和運(yùn)維管理能力等實(shí)際情況，編制年度運(yùn)維工作方案（見附件2）。第二十八條 各單位可按以下步驟編制年度運(yùn)維工作方案：(一) 信息化部門全面梳理

11、在用的IT系統(tǒng)和計(jì)劃下一年度投入運(yùn)行的IT系統(tǒng)的功能和性能要求，以及對基礎(chǔ)設(shè)施、環(huán)境的運(yùn)行條件要求。(二) 信息化部門根據(jù)IT系統(tǒng)功能、性能要求以及同基礎(chǔ)設(shè)施的關(guān)聯(lián)關(guān)系，明確年度運(yùn)維工作目標(biāo)和運(yùn)維需求。(三) 信息化部門會同業(yè)務(wù)部門協(xié)商制定滿足業(yè)務(wù)需要、經(jīng)濟(jì)可行的服務(wù)目錄、服務(wù)質(zhì)量和服務(wù)質(zhì)量評估標(biāo)準(zhǔn)。(四) 信息化部門細(xì)化運(yùn)維需求和任務(wù)，明確完成各工作細(xì)項(xiàng)的動作、時(shí)間、頻次、成果、技能要求、優(yōu)先級等。(五) 估算運(yùn)維經(jīng)費(fèi)并明確經(jīng)費(fèi)來源。(六) 根據(jù)服務(wù)質(zhì)量評估標(biāo)準(zhǔn)，確定運(yùn)維績效考核指標(biāo)。第二十九條 年度運(yùn)維工作方案應(yīng)對各項(xiàng)運(yùn)維任務(wù)提出質(zhì)量要求，包括質(zhì)量目標(biāo)、過程記錄、結(jié)果檢查方式等內(nèi)容。第三十

12、條 各單位信息化部門應(yīng)根據(jù)運(yùn)維目標(biāo)和任務(wù)，確定執(zhí)行各項(xiàng)運(yùn)維任務(wù)的工作量，依據(jù)經(jīng)費(fèi)預(yù)算管理有關(guān)部門的要求和規(guī)定，對運(yùn)維經(jīng)費(fèi)進(jìn)行合理測算（見附件3）。第三十一條 各單位應(yīng)遵守財(cái)政預(yù)算管理相關(guān)規(guī)定，建立健全I(xiàn)T運(yùn)維經(jīng)費(fèi)核算制，嚴(yán)格按照經(jīng)費(fèi)預(yù)算計(jì)劃執(zhí)行，項(xiàng)目結(jié)束時(shí)做出財(cái)務(wù)決算，總結(jié)、分析資金使用情況，為科學(xué)編制運(yùn)維預(yù)算提供依據(jù)。第六章 運(yùn)維安全管理第三十二條 各單位可參考國際信息安全管理標(biāo)準(zhǔn)ISO/IEC27001，依據(jù)信息安全等級保護(hù)管理辦法（公通字200743號）等有關(guān)規(guī)定，制定并落實(shí)符合本單位安全等級保護(hù)要求的運(yùn)維安全管理制度和工作規(guī)范。第三十三條 運(yùn)維采用外包形式的單位，在選擇承擔(dān)運(yùn)維安全服務(wù)

13、工作的外包服務(wù)單位時(shí)，應(yīng)選擇獲得xx集團(tuán)公司信息安全服務(wù)能力評估證書的單位。第三十四條 各單位應(yīng)加強(qiáng)信息系統(tǒng)建設(shè)轉(zhuǎn)運(yùn)維階段的安全風(fēng)險(xiǎn)管理。重大建設(shè)項(xiàng)目或升級改造項(xiàng)目應(yīng)按照xx集團(tuán)公司業(yè)務(wù)與公共服務(wù)信息化工程建設(shè)管理辦法和關(guān)于印發(fā)的通知等有關(guān)規(guī)定執(zhí)行項(xiàng)目驗(yàn)收，未經(jīng)驗(yàn)收通過的重要系統(tǒng)不得投入正式運(yùn)行。第三十五條 運(yùn)維過程中重大信息安全事件的處置應(yīng)按照關(guān)于印發(fā)的通知和xx集團(tuán)公司重大信息安全事件調(diào)查處理辦法等文件執(zhí)行。第三十六條 各單位應(yīng)建立運(yùn)行監(jiān)控管理機(jī)制，動態(tài)掌握網(wǎng)絡(luò)及信息系統(tǒng)的運(yùn)行狀況，針對可能出現(xiàn)的重大故障和災(zāi)難，制定相關(guān)應(yīng)急預(yù)案，定期組織各相關(guān)方進(jìn)行應(yīng)急演練，并對各種異常情況做出快速響應(yīng)。

14、第三十七條 各單位應(yīng)根據(jù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范(GB/T20988-2007)和關(guān)于加強(qiáng)我集團(tuán)公司IT信息系統(tǒng)災(zāi)難恢復(fù)工作的意見等有關(guān)規(guī)定，對基礎(chǔ)設(shè)施、信息系統(tǒng)、數(shù)據(jù)和內(nèi)容等進(jìn)行風(fēng)險(xiǎn)分析和業(yè)務(wù)影響分析，衡量確定災(zāi)難恢復(fù)目標(biāo)，制定本部門信息系統(tǒng)災(zāi)難恢復(fù)相關(guān)預(yù)案，定期組織演練，保證關(guān)鍵業(yè)務(wù)持續(xù)運(yùn)行并減少非計(jì)劃宕機(jī)時(shí)間。第三十八條 各單位應(yīng)明確數(shù)據(jù)管理的目標(biāo)、職責(zé)、質(zhì)量和安全保障措施，建立有關(guān)數(shù)據(jù)的采集、存儲、備份、恢復(fù)、加工、訪問、清除和銷毀等控制流程。涉及保密的數(shù)據(jù)，依照國家及xx集團(tuán)公司有關(guān)數(shù)據(jù)安全的規(guī)定執(zhí)行。第三十九條 各單位應(yīng)加強(qiáng)系統(tǒng)上線環(huán)節(jié)的風(fēng)險(xiǎn)管理，組織承建方和運(yùn)維方的交接工作，要求運(yùn)維

15、方完成系統(tǒng)的安全風(fēng)險(xiǎn)評估和安全管理方案。系統(tǒng)上線應(yīng)遵循變更管理流程，按照承建方移交的文檔要求建立正式運(yùn)行環(huán)境并設(shè)置相應(yīng)的系統(tǒng)與數(shù)據(jù)庫權(quán)限，運(yùn)維方擁有運(yùn)行環(huán)境權(quán)限，承建方需進(jìn)入運(yùn)行環(huán)境的，應(yīng)向該單位信息化部門提出權(quán)限申請。第七章 運(yùn)維外包與合同管理第四十條 除有保密等特別要求的，各單位IT運(yùn)維工作可采用集團(tuán)公司場化機(jī)制或授權(quán)委托等形式實(shí)行運(yùn)維外包。對于重大項(xiàng)目，需要協(xié)調(diào)多家合作單位的，可實(shí)行總包制。第四十一條 各單位在制定運(yùn)維外包計(jì)劃時(shí)，應(yīng)：(一) 明確外包范圍，做好資產(chǎn)核查，對基礎(chǔ)設(shè)施、信息系統(tǒng)、管理服務(wù)等進(jìn)行整合，形成集約化運(yùn)維項(xiàng)目。(二) 針對外包的運(yùn)維項(xiàng)目，分解并定義運(yùn)維工作內(nèi)容和質(zhì)量要

16、求，作為外包企業(yè)服務(wù)質(zhì)量考核的依據(jù)。第四十二條 各單位選擇運(yùn)維外包企業(yè)應(yīng)綜合評估運(yùn)維服務(wù)企業(yè)的商業(yè)信譽(yù)、相應(yīng)的服務(wù)安全等級資質(zhì)、技術(shù)能力、管理能力、相關(guān)運(yùn)維項(xiàng)目經(jīng)驗(yàn)、財(cái)務(wù)狀況和責(zé)任承擔(dān)能力等。涉密系統(tǒng)外包應(yīng)遵守相關(guān)法規(guī)和政策，并報(bào)行業(yè)主管部門備案。第四十三條 各單位應(yīng)同外包企業(yè)簽訂運(yùn)維服務(wù)合同（見附件4）。合同內(nèi)容應(yīng)包括委托運(yùn)維的資產(chǎn)、甲乙雙方職責(zé)、服務(wù)內(nèi)容和服務(wù)質(zhì)量考核標(biāo)準(zhǔn)、安全保密要求、違約責(zé)任、知識產(chǎn)權(quán)歸屬、績效考核要求和費(fèi)用支付等條款。其中：(一) 重要運(yùn)維服務(wù)內(nèi)容以及需要第三方服務(wù)的事項(xiàng)應(yīng)在合同中明確約定。(二) 運(yùn)維服務(wù)價(jià)格和服務(wù)質(zhì)量根據(jù)項(xiàng)目情況和行業(yè)特點(diǎn)，在合同中具體細(xì)化和量化。

17、(三) 運(yùn)維合同周期根據(jù)運(yùn)維工作實(shí)際需求確定，并逐年落實(shí)到年度運(yùn)維預(yù)算中。第四十四條 實(shí)行運(yùn)維總包的單位，應(yīng)要求總包企業(yè)對分包企業(yè)資質(zhì)、分包范圍以及分包企業(yè)運(yùn)維關(guān)鍵人員等事項(xiàng)事先申報(bào)?？偘c分包企業(yè)的合同談判、變更、合作關(guān)系變化等均不應(yīng)影響甲方單位運(yùn)維服務(wù)質(zhì)量。第四十五條 各單位應(yīng)與外包企業(yè)建立有效的信息交流機(jī)制，及時(shí)發(fā)現(xiàn)外包服務(wù)中可能出現(xiàn)的重大缺失，尤其需要考慮外包企業(yè)的重大資源損失、重大財(cái)務(wù)損失和重要人員變動，以及外包協(xié)議的意外終止，保證外包服務(wù)不間斷。第四十六條 各單位應(yīng)建立服務(wù)質(zhì)量管理流程，定期審核和修訂服務(wù)水平協(xié)議，對運(yùn)維外包企業(yè)的服務(wù)質(zhì)量進(jìn)行評估（見附件5）。第八章 運(yùn)維績效管理第四十七條 各單位應(yīng)建立IT運(yùn)維績效評估體系、考核制度和獎(jiǎng)懲管理制度。第四十八條 各單位應(yīng)針對運(yùn)維體系建設(shè)和運(yùn)行效果開展年度運(yùn)維績效評估工作。評估內(nèi)容包括：運(yùn)維組織與規(guī)劃、管理機(jī)制與保障、服務(wù)提供與支持等（見附件6）。第四十九條