運(yùn)維流程和安全制度

1、安全與維護(hù)管理制度2019年1月目錄 TOC o 1-5 h z 1、總則-2- HYPERLINK l bookmark20 o Current Document 2、編制方法 -2-3、運(yùn)維工作職責(zé) -3- HYPERLINK l bookmark37 o Current Document 4、運(yùn)維服務(wù)管理體系 -4- HYPERLINK l bookmark40 o Current Document 4.1運(yùn)維服務(wù)管理對(duì)象-4-4.2運(yùn)維服務(wù)流程-5- HYPERLINK l bookmark48 o Current Document 4.2.1問(wèn)題管理-5- HYPERLINK l b

2、ookmark51 o Current Document 4.2.2變更管理-5- HYPERLINK l bookmark54 o Current Document 4.2.3配置管理-6- HYPERLINK l bookmark57 o Current Document 4.2.4發(fā)布流程-6-5、應(yīng)急服務(wù)響應(yīng)措施-6-5.1應(yīng)急預(yù)案實(shí)施基本流程-7-5.2突發(fā)事件應(yīng)急策略-7-6、服務(wù)管理制度規(guī)范-8-6.1月艮務(wù)時(shí)間-8- HYPERLINK l bookmark68 o Current Document 6.2行為規(guī)范-9-7、代碼管理-9- HYPERLINK l bookmar

3、k80 o Current Document MASTER 分支-10- HYPERLINK l bookmark84 o Current Document Release 分支-10-Dev 分支-10- HYPERLINK l bookmark92 o Current Document 7.4緊急BUG、小版本-10-8、安全管理人員-11- HYPERLINK l bookmark96 o Current Document 8.1信息安全組織機(jī)構(gòu)涉及的相關(guān)角色分配如下-11-9、安全組織職責(zé) -11- HYPERLINK l bookmark100 o Current Document

4、9.1安全組組長(zhǎng)、副組長(zhǎng)職責(zé)-11-9.2安全組組員職責(zé)-11-1、總則第一條 為保障公司信息系統(tǒng)軟硬件設(shè)備的良好運(yùn)行，使員工的 運(yùn)維工作制度化、流程化、規(guī)范化，特制訂本制度。第二條 運(yùn)維工作總體目標(biāo)：立足根本促發(fā)展，開(kāi)拓運(yùn)維新局面。 在企業(yè)發(fā)展壯大時(shí)期，通過(guò)網(wǎng)絡(luò)、桌面、系統(tǒng)等的運(yùn)維，促進(jìn)企業(yè)穩(wěn) 定可持續(xù)性發(fā)展。第三條 運(yùn)維管理制度的適用范圍：技術(shù)部全體人員。2、編制方法本實(shí)施細(xì)則包括運(yùn)維服務(wù)全生命周期管理方法、管理標(biāo)準(zhǔn)/規(guī)范、 管理模式、管理支撐工具、管理對(duì)象以及基于流程的管理方法。本實(shí)施細(xì)則以ITIL/ISO20000為基礎(chǔ)，以信息化項(xiàng)目的運(yùn)維為目 標(biāo)，以管理支撐工具為手段，以流程化、規(guī)范

5、化、標(biāo)準(zhǔn)化管理為方法， 以全生命周期的PDCA循環(huán)為提升途徑，體現(xiàn)了對(duì)運(yùn)維服務(wù)全過(guò)程的體 系化管理。3、運(yùn)維工作職責(zé)一、負(fù)責(zé)網(wǎng)站運(yùn)維和技術(shù)支持（一）根據(jù)網(wǎng)站運(yùn)營(yíng)戰(zhàn)略和目標(biāo)，負(fù)責(zé)網(wǎng)站整體架構(gòu)、欄目、應(yīng) 用系統(tǒng)等技術(shù)開(kāi)發(fā)方案制定和組織開(kāi)發(fā)，保障網(wǎng)站技術(shù)的穩(wěn)定性和先 進(jìn)性。（二）網(wǎng)站設(shè)備和軟件購(gòu)買計(jì)劃書的擬定，包括采購(gòu)數(shù)量、品牌 規(guī)格、技術(shù)參數(shù)。會(huì)同行政部進(jìn)行采購(gòu)。（三）網(wǎng)站設(shè)備和軟件操作規(guī)程和應(yīng)用管理制度的制定，并負(fù)責(zé) 監(jiān)督執(zhí)行。（五）網(wǎng)站日常運(yùn)行過(guò)程中信息安全和技術(shù)問(wèn)題的協(xié)調(diào)解決，保 障網(wǎng)站24小時(shí)安全穩(wěn)定運(yùn)行。（六）負(fù)責(zé)網(wǎng)站管理系統(tǒng)及設(shè)備保密口令的設(shè)置和保存，保密口 令設(shè)定后任何人不得隨意更改

6、，保密口令每季度更新一次。（七）負(fù)責(zé)網(wǎng)站新程序、新系統(tǒng)和網(wǎng)站改版升級(jí)方案技術(shù)的設(shè)計(jì) 開(kāi)發(fā)。二、負(fù)責(zé)網(wǎng)站信息和技術(shù)安全（一）執(zhí)行國(guó)家和省上有關(guān)網(wǎng)絡(luò)信息技術(shù)安全的法律法規(guī)，與通 信管理和網(wǎng)絡(luò)安全監(jiān)管部門聯(lián)絡(luò)，及時(shí)處理網(wǎng)站信息技術(shù)安全方面存 在的問(wèn)題，確保網(wǎng)站安全、穩(wěn)定、可靠運(yùn)行。（二）網(wǎng)站信息技術(shù)安全保密制度和工作流程的制定，落實(shí)信息 技術(shù)安全保密責(zé)任制，執(zhí)行“誰(shuí)主管、誰(shuí)負(fù)責(zé)，誰(shuí)主辦、誰(shuí)負(fù)責(zé)”的 原則，責(zé)任到人。負(fù)責(zé)網(wǎng)站信息技術(shù)安全應(yīng)急處理預(yù)案制定和實(shí)施。建立多機(jī)備份網(wǎng)站信息服務(wù)系統(tǒng)機(jī)制，一旦主系統(tǒng)遇到故 障或受到攻擊導(dǎo)致不能正常運(yùn)行，可以在最短的時(shí)間內(nèi)替換主系統(tǒng)提 供服務(wù)。建立網(wǎng)站系統(tǒng)集中式權(quán)限

7、管理，按照崗位職責(zé)設(shè)定工作人 員操作權(quán)限，針對(duì)不同應(yīng)用系統(tǒng)、終端、操作人員，設(shè)置共享數(shù)據(jù)庫(kù) 信息的訪問(wèn)權(quán)限，并設(shè)置密碼。不同的操作人員設(shè)定不同的用戶名， 且定期更換，嚴(yán)禁操作人員泄漏密碼。4、運(yùn)維服務(wù)管理體系運(yùn)維服務(wù)管理體系規(guī)定了運(yùn)維活動(dòng)涉及的各類實(shí)體，以及這些實(shí) 體間的相互關(guān)系。相關(guān)的實(shí)體按照運(yùn)維服務(wù)管理體系進(jìn)行有機(jī)組織， 并協(xié)調(diào)工作，按照服務(wù)協(xié)議要求提供不同級(jí)別的IT運(yùn)維服務(wù)。4.1運(yùn)維服務(wù)管理對(duì)象運(yùn)維服務(wù)管理對(duì)象包括基礎(chǔ)設(shè)施、應(yīng)用系統(tǒng)、用戶、供應(yīng)商、以 及it部門和人員，具體內(nèi)容如下：基礎(chǔ)設(shè)施包括網(wǎng)絡(luò)、主機(jī)系統(tǒng)、存儲(chǔ)/備份系統(tǒng)、終端系統(tǒng)、 安全系統(tǒng)環(huán)境等。應(yīng)用系統(tǒng)包括內(nèi)部辦公系統(tǒng)、門戶網(wǎng)

8、站、面向公眾的應(yīng)用系統(tǒng) 等。用戶包括使用如上應(yīng)用系統(tǒng)的用戶。供應(yīng)商包括基礎(chǔ)設(shè)施和應(yīng)用系統(tǒng)的供應(yīng)商以及IT運(yùn)維服務(wù)的 供應(yīng)商。運(yùn)維部門和人員包括內(nèi)部參與運(yùn)維活動(dòng)的相關(guān)部門和人員，以 及提供運(yùn)維服務(wù)的企業(yè)和相關(guān)人員。4.2運(yùn)維服務(wù)流程IT運(yùn)維服務(wù)管理流程涉及問(wèn)題管理、配置管理、變更管理、發(fā)布 管理、知識(shí)管理及供應(yīng)商管理等，隨著運(yùn)維活動(dòng)的不斷深入和持續(xù)改 進(jìn)，其他流程可能會(huì)逐步獨(dú)立并規(guī)范。4.2.1問(wèn)題管理問(wèn)題管理流程的主要目標(biāo)是預(yù)防問(wèn)題和事故的再次發(fā)生，并將未 能解決的事件的影響降低到最小。問(wèn)題管理流程包括診斷事件根本原 因和確定問(wèn)題解決方案所需要的活動(dòng)，通過(guò)合適的控制過(guò)程，尤其是 變更管理和發(fā)布

9、管理，負(fù)責(zé)確保解決方案的實(shí)施。問(wèn)題管理還將維護(hù) 有關(guān)問(wèn)題、應(yīng)急方案和解決方案的信息。問(wèn)題管理是針對(duì)已處理事件的遺留問(wèn)題或處理事件的方案只是治 標(biāo)不治本的不能徹底解決問(wèn)題而考慮的模塊。根據(jù)事件、及處理方案， 問(wèn)題處理人經(jīng)過(guò)調(diào)查、診斷并提出最終解決方法。4.2.2變更管理變更管理實(shí)現(xiàn)所有基礎(chǔ)設(shè)施和應(yīng)用系統(tǒng)的變更，變更管理應(yīng)記錄 并對(duì)所有要求的變更進(jìn)行分類，應(yīng)評(píng)估變更請(qǐng)求的風(fēng)險(xiǎn)、影響和業(yè)務(wù) 收益。其主要目標(biāo)是以對(duì)服務(wù)最小的干擾實(shí)現(xiàn)有益的變更。變更管理是要對(duì)重大資源的新增、變更、升級(jí)等運(yùn)維活動(dòng)進(jìn)行審 核的功能，以免這些活動(dòng)對(duì)現(xiàn)有資源的可用性造成沒(méi)有必要的影響和 破壞。4.2.3配置管理配置管理流程負(fù)責(zé)

10、核實(shí)基礎(chǔ)設(shè)施和應(yīng)用系統(tǒng)中實(shí)施的變更以及配 置項(xiàng)之間的關(guān)系是否已經(jīng)被正確記錄下來(lái)；確保配置管理數(shù)據(jù)庫(kù)能夠 準(zhǔn)確地反映現(xiàn)存配置項(xiàng)的實(shí)際版本狀態(tài)。配置管理實(shí)際上是全部資源的統(tǒng)一管理的功能，包括資源整個(gè)生 命周期的參數(shù)或配置的變化記錄的管理。管理信息主要涉及分類、型 號(hào)、版本、位置，狀態(tài)、相關(guān)資料等基本信息還包括核心參數(shù)等。4.2.4發(fā)布流程軟件開(kāi)發(fā)完，開(kāi)發(fā)人員完成自測(cè)，然后提交給測(cè)試人員測(cè)試。測(cè) 試人員完成測(cè)試后反饋是結(jié)果，開(kāi)發(fā)人員根據(jù)測(cè)試結(jié)果修復(fù)BUG。直 到測(cè)試沒(méi)有BUG后，軟件負(fù)責(zé)人通知研發(fā)、市場(chǎng)、銷售、客服各相關(guān) 部門發(fā)布時(shí)間，最后由運(yùn)維人員進(jìn)行發(fā)布。5、應(yīng)急服務(wù)響應(yīng)措施運(yùn)維項(xiàng)目組制定了詳盡

11、的應(yīng)急處理預(yù)案，整個(gè)流程嚴(yán)謹(jǐn)而有序。 但在服務(wù)維護(hù)過(guò)程中，意外情況將難以完全避免。我們將對(duì)項(xiàng)目實(shí)施 的突發(fā)風(fēng)險(xiǎn)進(jìn)行詳細(xì)分析，并且針對(duì)各類突發(fā)事件，設(shè)計(jì)了相應(yīng)的預(yù)防與解決措施，同時(shí)提供了完整的應(yīng)急處理流程。5.1應(yīng)急預(yù)案實(shí)施基本流程5.2突發(fā)事件應(yīng)急策略（1）運(yùn)維人員平時(shí)應(yīng)做好應(yīng)急事件的監(jiān)控工作，對(duì)于突發(fā)事件應(yīng) 認(rèn)真分析、準(zhǔn)確判定故障發(fā)生的數(shù)據(jù)域，負(fù)責(zé)跟蹤該事件直至其結(jié)束。（2）正常情況下，要求運(yùn)維人員在10分鐘內(nèi)進(jìn)行事件確認(rèn)。如 果屬于一般事件則按照事件流程進(jìn)行分派處理，否則應(yīng)迅速啟動(dòng)應(yīng) 急預(yù)案，并嚴(yán)格按照應(yīng)急預(yù)案所規(guī)定的步驟快速實(shí)施應(yīng)急處置， 及時(shí)匯報(bào)上級(jí)領(lǐng)導(dǎo)，掌握實(shí)時(shí)處理情況。（3）在處理

12、過(guò)程中，如需其他部門去現(xiàn)場(chǎng)增援處理，應(yīng)及時(shí)向上 級(jí)領(lǐng)導(dǎo)部門匯報(bào)，協(xié)調(diào)溝通，盡快聯(lián)系技術(shù)工程師或廠家技術(shù)支持趕赴現(xiàn)場(chǎng)援助處理。6、服務(wù)管理制度規(guī)范6.1服務(wù)時(shí)間運(yùn)維人員需要7*24小時(shí)接聽(tīng)電話，解決內(nèi)部的技術(shù)問(wèn)題和系 統(tǒng)問(wèn)題。(2)服務(wù)響應(yīng)時(shí)間:故障級(jí)別響應(yīng)時(shí)間故障解決時(shí)間I級(jí)：屬于緊急問(wèn)題；其具體現(xiàn)象 為：系統(tǒng)崩潰導(dǎo)致業(yè)務(wù)停止、數(shù) 據(jù)丟失。10分鐘，30分鐘內(nèi)提交故障處理方案3小時(shí)以內(nèi)II級(jí)：屬于嚴(yán)重問(wèn)題；其具體現(xiàn) 象為：出現(xiàn)部分部件失效、系統(tǒng) 性能下降但能正常運(yùn)行，不影響 正常業(yè)務(wù)運(yùn)作。10分鐘，30分鐘內(nèi)提交故障處理方案6小時(shí)以內(nèi)III級(jí)：屬于較嚴(yán)重問(wèn)題；其具體 現(xiàn)象為：出現(xiàn)系統(tǒng)報(bào)錯(cuò)或警告

13、， 但業(yè)務(wù)系統(tǒng)能繼續(xù)運(yùn)行且性能不 受影響。10分鐘，30分鐘內(nèi)提交故障處理方案12小時(shí)以內(nèi)IV級(jí)：屬于普通問(wèn)題；其具體現(xiàn) 象為：系統(tǒng)技術(shù)功能、安裝或配10分鐘，2小時(shí)內(nèi)提交故障24小時(shí)以內(nèi)置咨詢，或其他顯然不影響業(yè)務(wù)處理方案 的預(yù)約服務(wù)。6.2行為規(guī)范遵守用戶的各項(xiàng)規(guī)章制度，嚴(yán)格按照用戶相應(yīng)的規(guī)章制度辦 事。與用戶運(yùn)行維護(hù)體系其他部門和環(huán)節(jié)協(xié)同工作，密切配合， 共同開(kāi)展技術(shù)支持工作。出現(xiàn)疑難技術(shù)、業(yè)務(wù)問(wèn)題和重大緊急情況時(shí)，及時(shí)向負(fù)責(zé)人 報(bào)告?，F(xiàn)場(chǎng)技術(shù)支持時(shí)要精神飽滿，穿著得體，談吐文明，舉止莊 重。接聽(tīng)電話時(shí)要文明禮貌，語(yǔ)言清晰明了，語(yǔ)氣和善。遵守保密原則。對(duì)被支持單位的網(wǎng)絡(luò)、主機(jī)、系統(tǒng)軟件、

14、應(yīng) 用軟件等的密碼、核心參數(shù)、業(yè)務(wù)數(shù)據(jù)等負(fù)有保密責(zé)任，不 得隨意復(fù)制和傳播。7、代碼管理為了規(guī)范代碼庫(kù)分支管理和版本管理，使代碼分支及版本結(jié)構(gòu)清 晰，方便維護(hù)，并避免由于維護(hù)造成的錯(cuò)誤的版本發(fā)布等問(wèn)題。代碼統(tǒng)一用gitlab進(jìn)行管理，各分支使用辦法說(shuō)明如下：master 分支master分支上存放的應(yīng)該是隨時(shí)可供在生產(chǎn)環(huán)境中部署的代碼。 當(dāng)開(kāi)發(fā)活動(dòng)告一段落，產(chǎn)生了一份新的可供部署的代碼時(shí)，master 分支上的代碼會(huì)被更新。同時(shí)，每一次更新，都有對(duì)應(yīng)的版本號(hào)標(biāo)簽（TAG）。Release 分支Release分支上方的是測(cè)試環(huán)境和準(zhǔn)生產(chǎn)環(huán)境部署的代碼，每次 部署時(shí)，將代碼從dev合并到relea

15、se上。版本發(fā)布時(shí)release分支 通過(guò)了所有的測(cè)試后，并且代碼已經(jīng)足夠穩(wěn)定時(shí)，就可以將所有的開(kāi) 發(fā)成果合并master分支。Dev分支Dev是開(kāi)發(fā)分支，所有人在這個(gè)分支上進(jìn)行開(kāi)發(fā)。dev分支是保存 當(dāng)前最新開(kāi)發(fā)成果的分支。7.4緊急BUG、小版本需要發(fā)小版本、修復(fù)緊急bug時(shí)，拉取最新master的代碼，建立新 的分支，修改好后由運(yùn)維將新的分支合并到master上，同時(shí)對(duì)于 master分支上的新提交的代碼打上一個(gè)新的版本號(hào)標(biāo)簽（TAG），供 后續(xù)代碼跟蹤使用。8、安全管理人員8.1信息安全組織機(jī)構(gòu)涉及的相關(guān)角色分配如下組長(zhǎng)：蔣欣副組長(zhǎng)：劉雨鑫組員：黃羽翔、韓鴻昌9、安全組織職責(zé)9.1安全

16、組組長(zhǎng)、副組長(zhǎng)職責(zé)9.1.1貫徹執(zhí)行國(guó)家和上級(jí)部門關(guān)于信息安全的方針、政策。9.1.2制定和組織實(shí)施信息安全建設(shè)和發(fā)展的總體規(guī)劃。9.1.3負(fù)責(zé)信息安全的所有工作；9.1.4領(lǐng)導(dǎo)小組審查并批準(zhǔn)的信息安全制度；9.1.5分配安全管理總體職責(zé)；9.1.6在網(wǎng)絡(luò)與信息資產(chǎn)暴露于重大威脅時(shí)，監(jiān)督控制可能發(fā)生的重 大變化；9.1.6對(duì)安全管理的重大更改事項(xiàng)（例如：組織機(jī)構(gòu)調(diào)整、關(guān)鍵人事 變動(dòng)、信息系統(tǒng)更改等）進(jìn)行決策；9.1.7指揮、協(xié)調(diào)、督促并審查重大安全事件的處理；9.1.8對(duì)重大安全項(xiàng)目的可行性進(jìn)行表決。9.2安全組組員職責(zé)黃羽翔：負(fù)責(zé)執(zhí)行安全工作組所承擔(dān)的各項(xiàng)安全職責(zé)；負(fù)責(zé)協(xié)調(diào)各部門安全管理員完成日常安全工作；負(fù)