水利工程信息化系统运维考核办法
为切实加强水利工程的运行管理,确保工程效益的发挥,根据国家、省、市有关规定,结合本工程的实际情况,特制定本办法。
一、考核对象
中标的水利工程信息化系统运维公司。
二、考核内容和方式
(一)考核时间:划分为四个季度考核,分别为1月1日-3月31日、4月1日-6月30日、7月1日-9月1日、10月1日-12月31日。
(二)考核内容:主要为运行维护、服务控制指标、组织体系、保障资源等。(详见《水利工程信息化系统运维考核评分表》)。
(三)考核方式:由工管单位成立考核小组,直接考核。
三、考核流程
工程巡查组每月根据日常巡查发现的问题形成巡查简报,其中发现问题严重的事项将对中标公司下达整改通知书,并反馈给考核小组;考核小组每个季度末进行综合考核,其中下达整改通知书的,每次扣1分,扣除后的得分为当季度最终得分。
四、考核结果及奖惩
(一)考核结果:考核采取百分制,划分为A、B、C、D四个等级,以考核小组评定为准。各个等级对应分数如下:
(二)奖惩办法:
考核结果为A级,管护费按照合同价的100%支付;考核结果为B级,管护费按照合同价的90%支付;考核结果为C级,管护费按照合同价的70%支付;考核结果为D 级,管护费按照合同价的50%支付。
当考核等级为D时,解除承包合同,并由中标公司赔付相应损失。
五、其他事项
(一)本办法最终解释权归运行管理单位所有。
(二)本办法自下发之日起。
1
信息安全运维 服务流程 审核:XXX 批准:XXX 版本.修改号:A.0 受控状态:受控 XXX年XX月XX日发布XXX年XX月XX日实施 XXX公司
1.安全运维服务流程 流程图 根据目前安全运维的整体情况,制定了运维服务流程图,具体流程如下图:
1.1需求调研与分析 依据公司自身的运维服务业务定位,业务部负责对客户需要运维的信息系统现状、安全设备设施等内容进行调研,通过会议或者讨论等方式采集客户服务需求和服务目标,明确客户的系统运维服务时间、服务期限、服务内容以及相关服务方式频次等需求,并将调研信息总结整理形成调研分析报告。 1.2报价与成本核算 由公司项目组成员结合公司市场部门,对运维项目的服务内容进行工作量和工作成本的预估。成本核算主要根据信息系统的运维服务时间、工作量、服务方式、服务内容、以及相关人日费用进行。将个单项服务的设备费用、和人力成本等费用总和考虑核算出单项和整体项目的成本以及相应的项目报价。 1.3合同签订 公司项目部门与客户研讨后制定合同方案,并签订项目合同。合同中应明确运维服务的范围、项目周期、服务内容、运维方式、合同金额、付款方式、保密条款、验收条件等。 1.4运维方案设计与编制
根据系统安全运维的实际需求,公司项目部分负责编制安全运维服务方案。服务方案中应明确制定运维服务时间、服务内容、服务方式、服务期限、项目组成员和项目主要沟通联络负责人、服务汇报材料、项目相关的质量管理程序和措施以及运维服务中的风险管理等。 其中,运维时间与期限应写明项目运维起止时间和交付验收的时间节点;服务内容应列出运维服务设备清单和系统边界,以及运维服务的安全检查项目和运维服务周期。 1.5运维服务实施阶段 根据运维服务的方案进行服务实施。主要根据资产列表对设备和系统进行分类、标识,对系统中的配置信息进行备份和安全检查。 对方案中周期性维护的设备和系统,应做好维护记录:巡检、安全查杀、备份、更新、升级、故障排查等。由项目经理负责汇总并整理,最终形成月报、季报和年度总结报告。 1.6运维服务配置管理 配置管理的目的是通过将客户组织、信息、关系进行集中、统一管理,为服务过程提供基础的数据支持,以优化服务流程、提高服务效率、确保服务质量。配置管理范围是公司运维合同范围内的客户的生产和运行环境中的硬件、软件、应用系统、信息资源、服务包以及组织人员等。 配置管理应使用有效管理工具,以确保在运维服务过程中,能够
山西广电网络(集团)有限公司运维系统考核指标附件 北京新华信管理顾问有限公司 2003年04月
目录 一线路维护率 (2) (一)直埋线路 (2) 包括直埋光缆线路标石、路面维护、路由维护及线路加固、护线宣传牌等 (2) (二)架空光缆 (4) 包括检查内容包括杆路设备、光缆、吊线、挂钩、接头盒等 (4) 二技术维护合格率 (6) (一)中继段光纤测试 (6) 包括光缆线路衰减和光纤后向散射曲线测试 (6) (二)直埋线路对地绝缘测试 (7) (三)架空杆路接地电阻测试 (7) (四)测试资料 (8) 三资料管理及制度建设综合评分 (8) (一)资料管理 (8) (二)制度建设 (9)
运维系统绩效考核指标附件 一线路维护率 线路设备维护率=(直埋光缆设备完好率×代维段直埋线路所占比例+架空光缆设备完好率×代维段架空线路所占比例)×100 (一)直埋线路 包括直埋光缆线路标石、路面维护、路由维护及线路加固、护线宣传牌等 1.标石:以每块标石为单位考核 (1)高度 要求:(1)埋设在光缆的正上方,左右偏差不超30cm。 (2)埋设必须正直,倾斜度不得大于3度(即标石上下偏差 小于2cm)。 (3)高度(标石出土)为40±5cm。 以上各小项每有—项不合格,则“高度”项不合格,不累计。 (2)面向 要求:(1)标石面向为编号所在方向,一般面向主要公路。 (2)转弯处标石编号面向内角(即小角),平面垂直于内角的 平分线。 (3)余留处标石设在余留的一端,面向正对余留。 (4)接头处的标石面向接头。 以上各小项每有一项不合格,则“面向”不合格,不累计。 (3)标志 要求:(1)标石油漆不得有明显剥落现象(剥落处不得大于2平方 厘米,剥落数量每块标石不得多于5处), (2)字迹清楚。 (3)编号正确。 (4)标石清洁。 以上各小项每有一项不合格,则“标志”不合格,不累计。 2.路面维护:以每相邻两块标石的路面为单位考核 (1)路面 要求:光缆路由上方左右1米不得有取土坑、冲刷坑、积水坑,(深 30cm、宽约50cm以上) 每有2延长米按一处不合格记。
关于各驻场工作人员考核办法 为加强对我公司派驻各客户单位的工作人员的管理,更好的保障客户单位运维服务工作的稳定开展,制定本管理办法。 一、考核对象 我司派驻各驻场单位的工作人员,及其他因工作需要派往各驻场单位的工作人员。 二、考核办法 1 、各客户单位对我司派驻的工作人员进行日考勤、月评定、年终总评得考核管理办法。每月以100 分为基准分,评定出个人得分。 2 、各客户单位可根据实际情况,对各驻场工作人员遵守制度、文明用语、办件录入等情况进行随机抽检。 三、派驻工作人员考核分级: 一级违规: 1、服务过程中言行不文明、服务态度生硬的。 2、拒绝答复服务对象咨询的。 3、着装不整洁的。 4、不能及时、准确地解答服务对象咨询的。 5、进行服务不填写《服务记录单》的。
6、工作期间迟到、早退的。 7、业务培训、业务协调会等迟到或早退的。 8、办公桌面上物品、资料堆放杂乱及办公区域物品堆放杂乱的。 9、用户评议或回访效果为不满意的。 二级违规: 1、在工作时间内睡觉、在办公场所抽烟、吃零食的。 2、因协调不力、处理问题出现偏差而影响工作开展的。 3、外出服务等未请假的 4、因驻场工作人员请假(包括休假、培训等)需所在驻场单位安排后 备人员顶班而未能及时来人的,对请假人员进行考核。 5、业务培训、业务协调会等无故缺席的。 6、无故不录指纹的。 7、档案管理不规范,资料丢失的。 8、未响应客户服务请求的。 9、需要延时处理或更换配件而未向服务对象说明的。 10、联办人员不积极参与联办件办理而影响办理进度的。 11、办理结果有差错的。 12、办件超过承诺时限的。 13、被服务对象投诉的,经查实视情节严重的。 14、违反《重庆市交通信息中心驻场单位及其派驻工作人员管理办 法》相关规定的。
8.3 IT运维信息安全解决方案 8.3.1安全运维的重要性 随着信息安全管理体系和技术体系在企业领域的信息安全建设中不断推进,安全运维占信息系统生命周期70% - 80%的信息,并且安全运维体系的建设已经越来越被广大用户重视。尤其是随着信息系统建设工作从大规模建设阶段逐步转型到“建设和运维”并举的发展阶段,运维人员需要管理越来越庞大的IT系统这样的情况下,信息安全运维体系的建设已经被提到了一个空前的高度上。它不仅单单是一个体系的建设,更是IT系统管理中的夯实基础。 运维服务的发展趋势对于企业的安全运维服务管理的发展,通常可以将其分为混乱阶段、被动阶段、主动阶段、服务阶段和价值阶段这五个阶段。 1、在混乱阶段:运维服务没有建立综合的支持中心,也没有用户通知机制; 2、在被动阶段:运维服务开始关注事件的发生和解决,也开始关注信息资产,拥有了统一的运维控制台和故障记录和备份机制; 3、在主动阶段:运维服务建立了安全运行的定义,并将系统性能,问题管理、可用性管理、自动化与工作调度作为重点; 4、在服务阶段,运维服务工作中已经可以支持任务计划和服务级别管理; 5、在价值阶段,运维服务实现了性能、安全和核心几大应用的
紧密结合,体现其价值所在。 8.3.2信息安全的概念 8.3.2.1信息安全定义 信息安全的概念在二十世纪经历了一个漫长的历史阶段,90年代以来得到了深化。进入21世纪后,随着信息技术的不断发展,信息安全问题也日显突出。如何确保信息系统的安全已经成为了全社会关注的问题。国际上对于信息安全问题的研究起步较早,投入力度大,已取得了许多成果,并得以推广应用。中国目前也已有一批专门从事信息安全基础研究、技术开发与技术服务工作的研究机构与高科技企业,形成了中国信息安全产业的雏形。 关于信息安全的定义也有很多,国学者与国外学者、不同的社会组织也给出了不同的定义。 ?国学者的定义:“信息安全容分为:实体安全、运行安全、数据安全和管理安全四个方面。” ?我国“计算机信息系统安全专用产品分类原则”中的定义是:“涉及实体安全、运行安全和信息安全三个方面。” ?我国相关立法给出的定义是:“保障计算机及其相关的和配套的设备、设施(网络)的安全,运行环境的安全,保障信息安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全”。 这里面涉及了物理安全、运行安全与信息安全三个层面。
关于驻现场运维人员考 核管理规定 Company number:【WTUT-WT88Y-W8BBGB-BWYTT-19998】
驻现场运维人员考核管理办法 第一章总则 第一条为保证驻现场运维人员工作顺利开展,构建有效激励约束机制,促进运维人员遵守工作纪律、提升技术水平、保证工作质量、积极开展工作,维护公司的良好形象,特制定本办法。 第二条考核管理的目的 1.确保运维工作目标的实现,提升运维人员工作能力,实现运维人员和公司共同提升和发展。 2.加强沟通与协作,建立良好的工作氛围,依托考核管理手段,提高运维人员工作积极性和水平。 3.提高运维人员的规范化和计划性,引导运维人员按照正确的思路做事。 第三条考核管理的原则 1.公开、公正、公平的原则; 2.沟通改善与持续改进的原则; 3.均衡发展与突出重点的原则。 第四条本办法适用于与信通公司签订运维服务合同,并在信通公司进行现场运维服务的所有人员。 第二章考核管理组织体系 第五条考核管理小组 成立考核管理小组,组长由部门经理担任,成员由运维经理、运维组长组成。主要职责是组织制定运维人员考核管理指标和实施细则,健全考核管理制度,实施考核评价,与运维人员进行辅导与沟通,兑现考核结果等。
第六条考核管理负责人 考核管理负责人由运维经理担任,主要负责与运维人员确定考核管理目标,全程跟踪考核目标的执行情况,提出考核评价意见,帮助运维人员研究制定业绩改进和能力提升措施。 第三章考核指标体系 第七条考核指标制定 1. 对于运维组成员,根据信通公司反馈的月度考核结果及本办法的规定进行奖惩; 2. 对于运维经理,部门经理在信通公司打分基础上,根据如下加减分规则评定最终考核结果: 3. 对于未纳入信通公司考核体系的现场运维服务人员,除本办法规定外,月度考核等其他考核按公司现有制度执行。 第八条纳入信通公司考核体系的运维人员的考核 1. 运维工程师月度考核排名前三名的运维人员(包括运维经理,下同)一次性奖励200元,后三名且得分低于90分的扣除当月奖金100元; 2. 运维厂商月度排名前三名,奖励运维经理200元,后三名且评价低于90分的扣除运维经理当月奖金100元,各项奖惩累计计算;
信息安全 维护服务方案书
1.概述 (系统概述) 2.维护内容 2.1.硬件系统 硬件维护包括哪些内容 2.2.软件系统 软件维护包括哪些内容 3.维护流程及人员配备3.1.维护流程图
3.2.人员配备 ?网络工程师:2人 ?系统工程师:2人 ?软件工程师:1人 ?现场技术员:4-5人 4.维护原则 ?客户化:用客户的价值观重新定位服务业务和调整经营策略。 ?标准化:引入可衡量的服务标准,改善服务质量。 ?专业化:员化职业化专业化教育和培训大幅提升实际服务水平。 ?规范化:导入规范的服务商业模式,优质服务的保障。 5.维护方式 5.1.咨询服务和技术支持 客户在一卡通系统使用过程中,出现故障或不正常现象随时可通过电话、电子邮件或书面提出问题和咨询。我们将会及时解答。 5.2.硬件故障诊断和维修 根据项目的服务和维护协议、需要服务项目的大小、服务和维护任务的紧急程度、故障的情况等因素对维护工作进行分级处理。不同的维护级别采取不同的反应措施,安排不同技术层次的维护人员解决,解决的时间有不同的要求,坏件的维修或更换周期也不同。对于本项目,公司制定了更加严格的维护反应措施。 5.2.1.响应时间 响应时间将因故障级别而异。故障分级如下:
A级客户系统停机,或对客户系统的业务运作有严重影响。 B级客户系统性能严重下降,使客户系统的业务运作受到重大影响。 C级客户系统操作性能受损,或客户系统(包括业务运作)处于不安全状态,但客户的业务运作仍可正常工作。 D级客户需要在产品功能、安装、配置方面的技术支持,但客户业务运作明显不受影响或根本未受影响。 注:公司提供7*24 小时的应急支持服务,保证重大事故及时响应。 按旅程区域划分(以青岛海尔软件客服中心办公楼为起点) 一级区域0-40 公里当天4 小时内到达现场 二级区域41-80 公里当天4 小时内到达现场 三级区域81-160 公里当天6 小时内到达现场 四级区域161-240 公里当天10 小时内到达现场 五级区域241-320 公里当天12 小时内到达现场 六级区域321-480 公里第二工作日到达现场 七级区域481-750 公里第三工作日到达现场 八级区域751-1500 公里第三工作日到达现场 九级区域1500 公里以上需根据具体情况协商而定 5.2.2.维修服务 诊断出设备故障后,如公司库存有备件即在最短时间(一个工作日)内给予置换;如公司库存无备件,则及时通过设备供应商供货,在收到供应商供货后一个工作日内给予置换。
企业信息安全运维要点剖析
1. 运维工作分类 在甲方工作多年,对甲方运维工作做下总结,主要工作包以下几方面: 1.1. 安全设备运维 包括安全设备的配置、备份、日常巡检等工作。这部分工作很多甲方因为人力的原因很难做起来,如防火墙、入侵检测系统、堡垒机、企业杀毒软件等安全设备的日常配置、日志审计,可能日常的配置因为业务需求的原因能及时做支持,安全设备日志审计因为各种原因很难做成。 1.2. 安全资产管理 通常资产管理属于甲方的IT运维的部分负责,可能有正常的流程支持IP资产上线,大多情况下是研发、测试或运维都有可能部署IP资产,实际上线的IP资产比较混乱,另外,由于上线时间较长,IP设备的业务负责人可能也不清楚,也碰到过只有业务人员知道操作系统的登录密码而运维却不知道的情况。 个人觉得安全资产管理属于安全技术运维里的重要的部分,安全资产资产发现又是安全资产管理的重要部分,另外一部分是IP设备的加固,包括漏洞管理、补丁管理、杀毒软件管理、主机入侵检测管理。涉及到与甲方的各个部门进行沟通,在没有考核的情况下这部分也是很难做好。最后是业务分级、资产分级,不同级别的资产能够采用不同级别的防护。 1.3. 软件安全开发生命周期
安全部门完全参与软件开发的需求阶段、设计阶段、实施阶段、验证阶段、发布阶段、支持和服务阶段。这部分主要工作为培训、代码审计和渗透测试工作。需要适合自己组织的安全开发培训材料和资料(知识库),需要适合自己组织的安全开发流程,在业务上线的早期参与进去。阻碍主要是业务的时间要求,安全人员能力等,这部分也是甲方安全工作的重要部分,做的好和不好对安全的结果影响很大。 1.4. 迎检工作 迎检工作和重大社会活动的安全保障工作,这部分工作占组织安全工作的很大一块比例,这部分跟安全管理工作有比较多的联系,有完善的、适合自己组织的制度和流程,有正常的记录文件可以减轻迎检时的工作量,没有制度、流程或者制度、流程执行不规范,每次迎检都需要提前做好大量工作,效果也不一定好。重大社会活动期间的安全保障工作,结合安全事件响应和应急演练,做好一套完善的流程和规范,可以复用的东西 1.5. 应急响应工作 安全事件演练和应急响应工作,制定标准化的安全事件响应流程,在遇到突发安全事件知道该怎么处理。日常备份工作放到这里,备份频率、备份的有效性检测,相关的实施手册的制定和修订 1.6. 安全管理工作 包括安全策略、安全制度、规范、安全流程、标准、指南、基线等所有安全管理相关的文档制定、版本修改,监督执行情况,这部分参考ISO27000系列、等保标准
信息系统运维单位考核细则 1总则 本考核办法是运维合同的重要组成部分,也是对运维工作进行考核的依据,目的是保证**公司信息系统和弱电系统平稳运行,保障合同双方充分行使各自的职责和权益,本考核采用量化打分方式,年终将按照以下方式进行考核。 1.1 考核评价:优秀:100—90分,良好:89—80分,合格:79—70分,一般: 69-60,不合格:60以下。 1.2 月度考评为“一般”,扣0.5-1万元;月度考评为“不合格”,扣1-2万。1.3 月度考评连续两个月为“一般”,或月度考评有一次为“不合格”,年终不再 续签合同。 2 考核细则 2.1 组织保证(10分) 2.1.1 组织机构建设(2分) 乙方必须根据本单位情况在现场成立项目部,建立有效的应急救援体系,建立完善的组织机构,配置合理机构管理人员,保证**公司各信息系统和弱电系统有效运行。无此项扣2分。 2.1.2 安全保证体系建设(4分) 2.1.2.1 乙方必须成立安全管理体系,配备专职安全员。对**公司相关安全要求必须及时传达,并检查落实安全生产措施,保证运维工作安全。无此项扣2分。 2.1.2.2 乙方设置兼职安全员,保证定期进行安全活动和安全教育。无此项扣2分。 2.1.3技术保证体系建设(2分) 乙方必须建立适应运维工作的技术管理体系。除项目经理外,乙方每个专业必须设一名技术负责人(具有中级以上职称),负责运维工作的协调指挥。无此项扣2分。 2.1.4 质量保证体系建设(2分)
乙方必须成立以技术负责人为组长的质量保证体系,各专业设兼职质检员,及时跟踪解决运维工作中出现的各类质量问题,确保运维工作质量。无此项扣2分。 2.2 运维人员岗位技能管理(15分) 2.2.1资质要求(5分) 2.2.1.1所有人员必须取得专业技术等级资格,并且按中级工及以上不少于 80%。其中男职工年龄不大于40岁,女职工不大于35岁,有特长和专 长的人员和技师可适当放宽,但必须报甲方批准。同时,运维人员必 须是乙方的正式职工。如发现不符,当月每人次扣1分,并限期进行 人员调换。 2.2.1.2特种作业人员必须持有效的资格证书,要求持证上岗作业。证件在甲 方备案,不符合要求当月每一人次扣1分。 2.2.1.3运维人员必须是与乙方签有半年以上的劳动合同的正式职工。否则一 人次扣1分。 2.2.1.4技术人员必须在大中型企业从事专业工作3年以上,并具有大专及以 上文凭。否则一人次扣1分。 2.2.1.5项目负责人必须是在大中型企业从事专业工作5年以上,或具有大专 以上文凭并在大中型企业从事专业工作2年以上人员担任。否则一人 次扣1分。 2.2.1.6技术员、项目负责人等岗位人员如发生变更,必须通知甲方,否则一 人次扣1分。 2.2.1.7每年换岗人员应少于职工人数的20%。否则每超一人扣1分。 2.2.2 运维人员实际操作技能评价(10分) 2.2.2.1运维人员应掌握**公司的相关管理制度、规程、规定、工作程序等, 了解相应的标准规范,能够按照制度、规程、标准认真扎实地完成运 维工作任务。否则扣0.5分。
信息安全等级保护操作流程 1信息系统定级 1.1定级工作实施围 “关于开展全国重要信息系统安全等级保护定级工作的通知”对于重要信息系统的围规定如下: (一)电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。 (二)铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。 (三)市(地)级以上党政机关的重要和办公信息系统。 (四)涉及国家秘密的信息系统(以下简称“涉密信息系统”)。 注:跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。涉密信息系统的等级确定按照国家局的有 关规定和标准执行。
1.2定级依据标准 《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发【2003】27 号文件) 《关于信息安全等级保护工作的实施意见》(公通字【2004】66号文件) 《电子政务信息系统安全等级保护实施指南(试行)》(国信办【2005】25 号文件) 《信息安全等级保护管理办法》(公通字【2007】43 号文件)《计算机信息系统安全保护等级划分准则》 《电子政务信息安全等级保护实施指南》 《信息系统安全等级保护定级指南》 《信息系统安全等级保护基本要求》 《信息系统安全等级保护实施指南》 《信息系统安全等级保护测评指南》
1.3定级工作流程 信息系统调查确定定级对象定级要素分析编写定级报告协助定级备案? 网络拓扑调查? 资产信息调查? 服务信息调查? 系统边界调查? …… ? 管理机构分析? 业务类型分析? 物理位置分析? 运行环境分析? …… ? 业务信息分析? 系统服务分析? 综合分析? 确定等级? …… ? 编写定级报告? …… ? 协助评审审批? 形成最终报告? 协助定级备案 图1-1信息系统定级工作流程 1.3.1信息系统调查 信息系统调查是通过一系列的信息系统情况调查表对信息系统基本情况进行摸底调查,全面掌握信息系统的数量、分布、业务类型、应用、服务围、系统结构、管理组织和管理方式等基本情况。同时,通过信息系统调查还可以明确信息系统存在的资产价值、威胁等级、风险等级以及可能造成的影响客体、影响围等基本情况。 信息系统调查结果将作为信息系统安全等级保护定级工作的主要依据,保证定级结果的客观、合理和准确。
8.3I T运维信息安全解决方案 随着信息安全管理体系和技术体系在企业领域的信息安全建设中不断推进,安全运维占信息系统生命周期70% - 80%的信息,并且安全运维体系的建设已经越来越被广大用户重视。尤其是随着信息系统建设工作从大规模建设阶段逐步转型到“建设和运维”并举的发展阶段,运维人员需要管理越来越庞大的IT系统这样的情况下,信息安全运维体系的建设已经被提到了一个空前的高度上。它不仅单单是一个体系的建设,更是IT系统管理中的夯实基础。 运维服务的发展趋势对于企业的安全运维服务管理的发展,通常可以将其分为混乱阶段、被动阶段、主动阶段、服务阶段和价值阶段这五个阶段。 1、在混乱阶段:运维服务没有建立综合的支持中心,也没有用户通知机制; 2、在被动阶段:运维服务开始关注事件的发生和解决,也开始关注信息资产,拥有了统一的运维控制台和故障记录和备份机制; 3、在主动阶段:运维服务建立了安全运行的定义,并将系统性能,问题管理、可用性管理、自动化与工作调度作为重点; 4、在服务阶段,运维服务工作中已经可以支持任务计划和服务级别管理; 5、在价值阶段,运维服务实现了性能、安全和核心几大应用的紧密结合,体现其价值所在。
安全的概念 信息安全的概念在二十世纪经历了一个漫长的历史阶段,90年代以来得到了深化。进入21世纪后,随着信息技术的不断发展,信息安全问题也日显突出。如何确保信息系统的安全已经成为了全社会关注的问题。国际上对于信息安全问题的研究起步较早,投入力度大,已取得了许多成果,并得以推广应用。中国目前也已有一批专门从事信息安全基础研究、技术开发与技术服务工作的研究机构与高科技企业,形成了中国信息安全产业的雏形。 关于信息安全的定义也有很多,国内学者与国外学者、不同的社会组织也给出了不同的定义。 ?国内学者的定义:“信息安全保密内容分为:实体安全、运行安全、数据安全和管理安全四个方面。” ?我国“计算机信息系统安全专用产品分类原则”中的定义是:“涉及实体安全、运行安全和信息安全三个方面。” ?我国相关立法给出的定义是:“保障计算机及其相关的和配套的设备、设施(网络)的安全,运行环境的安全,保障信息安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全”。这里面涉及了物理安全、运行安全与信息安全三个层面。 ?国家信息安全重点实验室给出的定义是:“信息安全涉及到信息的机密性、完整性、可用性、可控性。综合起来说,就是要保障电子信息的有效性。”
运维信息安全解决方案 安全运维的重要性 随着信息安全管理体系和技术体系在企业领域的信息安全建设中不断推进,安全运维占信息系统生命周期的信息,并且安全运维体系的建设已经越来越被广大用户重视。尤其是随着信息系统建设工作从大规模建设阶段逐步转型到“建设和运维”并举的发展阶段,运维人员需要管理越来越庞大的系统这样的情况下,信息安全运维体系的建设已经被提到了一个空前的高度上。它不仅单单是一个体系的建设,更是系统管理中的夯实基础。 运维服务的发展趋势对于企业的安全运维服务管理的发展,通常可以将其分为混乱阶段、被动阶段、主动阶段、服务阶段和价值阶段这五个阶段。 、在混乱阶段:运维服务没有建立综合的支持中心,也没有用户通知机制; 、在被动阶段:运维服务开始关注事件的发生和解决,也开始关注信息资产,拥有了统一的运维控制台和故障记录和备份机制; 、在主动阶段:运维服务建立了安全运行的定义,并将系统性能,问题管理、可用性管理、自动化与工作调度作为重点; 、在服务阶段,运维服务工作中已经可以支持任务计划和服务级别管理; 、在价值阶段,运维服务实现了性能、安全和核心几大应用的紧
密结合,体现其价值所在。 信息安全的概念 信息安全定义 信息安全的概念在二十世纪经历了一个漫长的历史阶段,年代以来得到了深化。进入世纪后,随着信息技术的不断发展,信息安全问题也日显突出。如何确保信息系统的安全已经成为了全社会关注的问题。国际上对于信息安全问题的研究起步较早,投入力度大,已取得了许多成果,并得以推广应用。中国目前也已有一批专门从事信息安全基础研究、技术开发与技术服务工作的研究机构与高科技企业,形成了中国信息安全产业的雏形。 关于信息安全的定义也有很多,国内学者与国外学者、不同的社会组织也给出了不同的定义。 ?国内学者的定义:“信息安全保密内容分为:实体安全、运行安全、数据安全和管理安全四个方面。” ?我国“计算机信息系统安全专用产品分类原则”中的定义是:“涉及实体安全、运行安全和信息安全三个方面。” ?我国相关立法给出的定义是:“保障计算机及其相关的和配套的设备、设施(网络)的安全,运行环境的安全,保障信息安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全”。这里面涉及了物理安全、运行安全与信息安全三个层面。 ?国家信息安全重点实验室给出的定义是:“信息安全涉及到信息的
信息系统安全管理规程 为保证我司信息系统安全,加强和完善网络与信息安全应急管理措施,层层落实责任,有效预防、及时控制和最大限度地消除信息安全突发事件的危害和影响,保障信息系统设备设施及系统运行环境的安全,其中重点把维护本公司节目传输网络系统、基础数据库服务器安全放在首位,确保信息系统和网络的通畅安全运行,结合实际情况,特制定本应急预案。 第一章总则 一、为保证本公司信息系统的操作系统和数据库系统的安全,根据《中华人民国计算机信息系统安全保护条例》,结合本公司系统建设实际情况,特制定本制度。 二、本制度适用于本公司值班人员使用。 三、带班领导是本公司系统管理的责任主体,负责组织单位系统的维护和管理。 第二章系统安全策略 一、技术负责人分配单位人员的权限,权限设定遵循最小授权原则。 1) 管理员权限:维护系统,对数据库与服务器进行维护。系统管理员、数据库管理员应权限分离,不能由同一人担任。 2) 普通操作权限:对于各个信息系统的使用人员,针对其工作围给予操作权限。
3) 查询权限:对于单位管理人员可以以此权限查询数据,但不能输入、修改数据。 4) 特殊操作权限:严格控制单位管理方面的特殊操作,只将权限赋予相关科室负责人,例如退费操作等。 二、加强密码策略,使得普通用户进行鉴别时,如果输入三次错误口令将被锁定,需要系统管理员对其确认并解锁,此才能够再使用。用户使用的口令应满足以下要求:-8个字符以上;使用以下字符的组合:a-z、A-Z、0-9,以及!#$%^&*()- +;-口令每三个月至少修改一次。 三、定期安装系统的最新补丁程序,在安装前进行安全测试,并对重要文件进行备份。 四、每月对操作系统进行安全漏洞扫描,及时发现最新安全问题,通过升级、打补丁或加固等方式解决。 五、关闭信息系统不必要的服务。 六、做好备份策略,保障系统故障时能快速的恢复系统正常并避免数据的丢失。 第三章系统日志管理 一、对于系统重要数据和服务器配值参数的修改,必须征得带班领导批准,并做好相应记录。 二、对各项操作均应进行日志管理,记录应包括操作人员、操作时间和操作容等详细信息。 第四章个人操作管理
运维人员考评实施细则 在《鲁能软件绩效管理办法》的指导下,运维人员的考评主要从“工作绩效”及“素质能力”两个维度进行。如下表: 工作绩效考核 人员/考评部门 月度单项奖(10%)月度/季度考核成绩(90%) 部门考核成绩占60% 运维组组长本部门申请客户对项目评价成绩占20%公司运维专员评价成绩占20%部门考评成绩占60% 项目运维人员本部门申请 公司运维专员考评成绩占30%客户对项目评价成绩占10%年底360度考评素质能力评价 一、运维人员绩效考评 1、工作绩效考评方式 主要分为:月度单项奖、月度/季度考评。 (1)月度单项奖 运维人员的月度单项奖归本部门申请; (2)月度/季度考评 运维组组长考评成绩=本部门考评成绩*60%+客户项目评价成绩*20%+公司运维专员评价成绩*20% 项目运维人员考评成绩=本部门考评成绩*60%+公司运维专员考评成绩 *30%+客户项目评价成绩*10%
2、月度/季度工作考评流程 (1)客户填写《运维服务项目评价表》对运维项目进行考评,填写完交公司运维专员保管。 (2)公司运维专员根据运维人员实际工作情况及客户评价情况填写《运维人员考评表》; (3)公司运维专员将汇总的考评成绩以月度/季度报人力资源部; (3)部门考评由运维人员本部门内组织实施,考评成绩以月度/季度为汇总至人力资源部。 (4)人力资源部汇总形成最终成绩。 二、素质能力考评 年底在部门内部通过上级、下级、同事等进行360度考评。 该员工年度素质能力考评成绩=上级领导评分*60%+同事评分*30%+自我评分*10%。 附件1:《运维人员考评表》 附件2:《运维服务项目评价表》 附件一:运维人员考评表 被考人:部门: 分值分值项目指标 工作完成质 量(20分)考核要求 是否能够及时按时完成工作任务,并 保证工作质量分值标准
(十六)宽带用户装移机履约准时率(5分) 1、指标定义及计算公式 宽带用户装移机履约准时率=(履约准时的工单数-新装后 15天内出现障碍的工单数)/宽带用户有预约的用户装移机工单总数。 2、考核评价范围及数据来源 该指标考核评价范围为全省13地市。 履约准时的工单数、宽带用户装移机工单总数等数据从服 务开通系统数据库中提取,新装后15天内有故障申告并派单的工单数从10000号系统中提取。目前无法统计新装后15天内有故障申告并派单的工单,对该部分的考核待系统支持后实施。 3、考核周期及统计方法 数据统计周期以自然月为单位。 宽带用户预约时间以后端人员从系统中收到装移机工单并 与用户确认的最后一次预约时间为准,且竣工时间不超过预约当天24:00的工单认定为履约准时。 装移机初次预约完成之后,预约时间可在用户向10000号等 管控部门提出申请后,或在10000号等管控部门主动联系用户并得到同意后进行更改,以上视为用户原因产生的预约时间更改,不作次数限制。 工单预约时间可由于局端原因(资源不足、实测网速不达 标等)更改最多一次,超过一次的不能列入履约准时工单。 维护人员到达装移机现场的时间以上门后回单时间作为判 别,无论何种原因,竣工时间晚于最后一次预约上门后回单当
天24:00的工单均不能列入履约准时工单。 4、计分方法 考核目标值为:所有宽带用户(包括普通服务等级的城镇 和农村宽带用户)装移机履约准时率≥93%。 该指标由服务开通系统提取数据,按月统计,按月考核。 当月指标每低于目标值1%,在全年得分中扣除1分,扣完为止。(十七)宽带用户障碍修复及时率(6分) 1、指标定义及计算公式 宽带用户(包括采用XDSL AD)、LAN、EPON等各种有线接入方式的宽带用户,不包括无线宽带用户)障碍修复及时率=宽带障碍派单及时修复的工单数/宽带用户申告故障派单总次数×100% 2、考核评价范围及数据来源 该指标考核范围为全省13地市。 宽带用户障碍及时修复完成的工单数,宽带用户申告故障 派单总次数,障碍申告时间、消障回单时间通过服务保障系统中提取。 3、考核周期及统计方法 数据统计周期以自然月为单位。 按照集团全业务服务标准要求,宽带用户障碍起始时间以10000 号系统中用户申告时间记录为准;修复完成时间以服务保障系统中障碍修复完成后的有效回单时间为准。 宽带用户障碍修复时限为:钻石级用户20小时,金、银卡 用户 24小时,普通城镇用户48小时,普通农村用户72小时。障碍历时按照连续的自然历时计算,无论任何原因引起的超时记
浅析构建信息安全运维体系 周晓梅-201071037 2018年11月20日 摘要:交通运输行业经过大规模信息化建设,信息系统数量成倍增加,业务依赖性增强,系统复杂度提高,系统安全问题变得更加突出、严重。建设系统信息安全运维管理体系,对保证交通运输行业信息系统的有效运行具有重要意义。 关键词:信息系统安全运维体系构建 安全不仅仅是一个技术问题,更是一个管理问题。实际上,在整个IT产品的生命周期中,运营阶段占了整个时间和成本的70% - 80% 左右,剩下的时间和成本才是花费在产品开发(或采购)上面。以往我们听说"三分技术、七分管理"是突出管理的重要性,而这个"管理"则是大部分的精力花费在"运营"方面。随着信息安全管理体系和技术体系在政府或企业领域的信息安全建设中不断推进,占信息系统生命周期70% - 80%的信息安全运维体系的建设已经越来越被广大用户重视。尤其是随着信息系统建设工作从大规模建设阶段逐步转型到“建设和运维”并举的发展阶段,政府或企业运维人员需要管理越来越庞大的IT系统这样的情况下,信息安全运维体系建设已经被提到了一个空前的高度上。 任何为了信息安全所采取的任何安全措施,不管是技术方面的还是管理方面的,都是为了保障整个信息资产的安全,安全运维体系就是以全面保障信息资产安全为目的,以信息资产的风险管理为核心,建立起全网统一的安全事件监视和响应体系,以及保障这一体系正确运作的管理体系。 一、面临的问题 “十一五”以来,我国交通运输行业和部级信息化建设工作发展迅猛,取得了长足的进步,而部级信息化建设和管理工作中存在的一些问题和矛盾也日益凸显。当前部级信息化项目来源较多、资金筹措渠道复杂、建设和运行维护单位众多,而信息化标准规范体系不完善,由于缺乏有效的技术管理规范,非基本建设项目的建设实施还存在管控盲区,现有标准规范贯彻执行不足,系统建设实施过程中存在安全和质量风险,并对系统运行维护形成障碍,整体运行安全存在隐
设备运行维护考核办法 为提高公司设备管理的服务品质,,确保公司各项规章制度得到切实的执行,特制订本考核细则。考核原则以甲方签订的《工程责任书》所要求内容为基础,以运维处为单位,每年终考核一次。 考核总分100分,不符合项按标准进行扣分。考核得分与年度绩效挂钩,计算方法为: 年度绩效得分=(备维护考核得分/100)* 年度绩效其它项合计得分 一、资料考核(分值:40分) 1、运行维保计划(分值:10分) 序号检查项分项分值(扣完为止)备注 1 所有要求巡检的在管设 备,运行点检计划齐全 5 检查一年内每月的运行点检计划,计划零星缺失的每缺失一月计划扣1分;计 划连续3月缺失的,扣5分。 所有要求保养的在管设 备,保养计划齐全 5 每检查到一个系统的设备保养计划缺失,扣1分。 2、运行维保记录(分值:30分) 序号检查项分项分值(扣完为止)备注 2 各种运行巡检记录10 检查一年内每月的运行点检记录,记录零星缺失的每缺失一月记录扣1分;记 录连续3月缺失的,扣5分。 各种维护保养记录15 检查一年内每一个设备系统维保记录,每个设备系统每缺失一个计划工单的记 录扣1分;记录连续缺失的,扣5分。 重要设备维护保养记录 5 设备保养对现场有多台设备的(指变压器、发电机、中央空调冷水主机、冷却 塔、水箱(池)、15KW以上的水泵、7.5KW以上的风机等),需每台设备对 应一张记录表;每检查到一项不符合要求扣1分; 注:以上每项检查不少于5个 二、现场考核(分值:60分) 1、运行点检(分值:20分) 序号检查项分项分值(扣完为止)备注 1 查看现场设施设备运行状况, 是否平稳,有无振动、发热、 异响、异味、漏水、漏油等现 象。 10 每发现1处不合格扣1分,(关键设备不合格扣2分)异常已通过有效途径报 告,并持续跟踪改善的,可不扣分 2 查看系统参数(水压、电压、 电流、功率因素)是否在规定 值;(参数规定值根据实际的 设备和环境,由运维处确定并 形成文件) 5 每发现1处不合格扣1分,(关键设备不合格扣2分) 3 查看设备设施的开启状态是 否正确,如阀门的常开、常闭, 风机、水泵、电容、消防控制 主机的手动、自动等。 5 每发现1处不合格扣1分,(关键设备不合格扣2分)异常已通过有效途径报 告,并持续跟踪改善的,可不扣分 注:以上每项检查不少于5个
信息安全维护服务协议安全运维协议精编 Document number:WTT-LKK-GBB-08921-EIGG-22986
信息系统安全年度服务协议 合同编号: 甲方: 地址: 联系人: 电话: 传真: 邮政编码: 乙方:
地址:联系人:电话:传真:邮政编码:
甲方向乙方购买信息系统安全服务。甲乙双方本着相互信任、真诚合作、共同发展的原则,在友好协商的基础上达成如下协议。 1.协议内容 我们为您提供的专业安全服务包括: 1.是否对网络基础平台熟悉:熟悉。 2.是否提供24小时技术支持:提供。 3.是否提供365×7×24热线支持:提供。 4.是否提供工程师到厂安全巡检:提供每月一次的网络 安全巡检,并提交巡检报告。 5.是否提供服务器及网络设置安全策略优化服务:提 供。 6.是否提供24小时热线支持电话:提供。
7.重大事件响应时间:12个小时内到达甲方现场。 8.是否对现有信息安全进行风险评估:在甲方许可的情 况下可提供风险评估,或每季度进行一次风险评估。 9.是否对信息系统安全加固:可按照等级相关要求、标 准进行安全加固 10.是否对互联网网站实时监测:提供实时监测服务。 11.当发生安全事件后是否提供应急响应:提供 12.是否提供等级保护测评服务:由专业测评师提供每年 不少于一次的测评服务。 13.是否提供等级保护安全建设整改:针对甲方现状提供 整改意见。 14.是否第一时间提供重大信息系统安全通告:以邮件、 短信、微信、传真等方式提供。 15.是否提供信息安全管理策略:提供 16.是否提供管理人员安全培训:提供 前期系统评估 在签订合同并且生效后,乙方需按甲方的要求在协商好的时间之内(一般在__个工作日内),对甲方的计算机网络系统设备的安全状况、运行状况进行全面检查,做出详细的报告,记录所有设备清单中关键设备的当前安全状况,并且结合甲方网络的实际运行情况对于可以进行安全
附件 3 徐州市截污导流工程水质自动监测预警系统 维保考核办法《试行》 一、依据 水污染源在线监测系统运行与考核技术规范(HJ/T355—2007试行)、水污染源在线监测系统数据有效性判别技术规范(HJ/356—2007试行)。 二、维保服务范围(设备的范围) 维保服务设备范围:徐州市截污导流工程运行养护处六套水质自动监测预警系统及一套终端显示系统(每套设备主要包括:采水系统、配水系统、反冲洗系统、PLC控制系统、纯水系统、除澡系统、COD、氨氮、PH、五参数、流量计、采样器、数采仪、取水管路、配水管路、栈桥、浮筒、设备柜、空压机等涉及到所有自动水质监测的设备)。 维保时间为合同生效之日起一年。维保期间产生的所有有关费用由维保机构承担。徐州市截污导流养护处根据合同价款及考核结果按期支付相应的服务费用。 三、维保服务要求 (一)维保机构基本要求 1、通过有效年检的营业执照和税务登记证。 2、具有独立承担民事责任的能力,注册资金不小于50万(含
50万)。 3、具有工商部门颁发的维保项目营业执照,其任务范围包括:自动水质监测系统的维修。 4、具备法人资格并有专业技术人员,具有一定的现场工作实践经验,能正确熟练地掌握有关仪器设备的原理、操作和使用,符合相应的技术规范,经有关部门考核取得上岗证,可利用成熟的技术和经验,在各方面保证水质自动监测预警系统运行的稳定性。 5、具备维保服务所需的计量仪器仪表,必要的外围设备和相应的实验条件。 6、在徐州市设立固定办公、维修场所和维修热线,配备固定全职专业维护人员和交通工具,人员必须经过有关单位培训,持证上岗,人员资料复印件交徐州市截污导流工程运行养护处备案,人员变更需提前一个月向市截污导流养护处提出申请,更换人员必须经过有关单位的技术培训,持证上岗。 7、在市截污导流工程运行养护处水质检测所设立一名自动监测系统运行状况巡视员,以便及时发现故障,及时处理故障。 8、维保机构需每季度向市截污导流工程养护处提供一份详细的维保服务费用明细表。 (二)维保服务日常运行和管理要求 1一般要求 水站应保持各仪器干净清洁,内部管路通畅,出水正常。对于各类分析仪器,应防止日光直射,保持环境温度稳定,避免仪器振动。日常应经常检查其供电是否正常、过程温度是否正常、工作时
信息安全运维流程模板-标准化文件发布号:(9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII
信息安全运维 服务流程 审核:XXX 批准:XXX 版本.修改号:A.0 受控状态:受控 XXX年XX月XX日发布 XXX年XX月XX日实施 XXX公司
1.安全运维服务流程 流程图 根据目前安全运维的整体情况,制定了运维服务流程图,具体流程如下图:
1.1需求调研与分析 依据公司自身的运维服务业务定位,业务部负责对客户需要运维的信息系统现状、安全设备设施等内容进行调研,通过会议或者讨论等方式采集客户服务需求和服务目标,明确客户的系统运维服务时间、服务期限、服务内容以及相关服务方式频次等需求,并将调研信息总结整理形成调研分析报告。 1.2报价与成本核算 由公司项目组成员结合公司市场部门,对运维项目的服务内容进行工作量和工作成本的预估。成本核算主要根据信息系统的运维服务时间、工作量、服务方式、服务内容、以及相关人日费用进行。将个单项服务的设备费用、和人力成本等费用总和考虑核算出单项和整体项目的成本以及相应的项目报价。 1.3合同签订 公司项目部门与客户研讨后制定合同方案,并签订项目合同。合同中应明确运维服务的范围、项目周期、服务内容、运维方式、合同金额、付款方式、保密条款、验收条件等。 1.4运维方案设计与编制
根据系统安全运维的实际需求,公司项目部分负责编制安全运维服务方案。服务方案中应明确制定运维服务时间、服务内容、服务方式、服务期限、项目组成员和项目主要沟通联络负责人、服务汇报材料、项目相关的质量管理程序和措施以及运维服务中的风险管理等。 其中,运维时间与期限应写明项目运维起止时间和交付验收的时间节点;服务内容应列出运维服务设备清单和系统边界,以及运维服务的安全检查项目和运维服务周期。 1.5运维服务实施阶段 根据运维服务的方案进行服务实施。主要根据资产列表对设备和系统进行分类、标识,对系统中的配置信息进行备份和安全检查。 对方案中周期性维护的设备和系统,应做好维护记录:巡检、安全查杀、备份、更新、升级、故障排查等。由项目经理负责汇总并整理,最终形成月报、季报和年度总结报告。 1.6运维服务配置管理 配置管理的目的是通过将客户组织、信息、关系进行集中、统一管理,为服务过程提供基础的数据支持,以优化服务流程、提高服务效率、确保服务质量。配置管理范围是公司运维合同范围内的