搜索
安全与维护管理制度2019年1月目录1、总则................................................................-2-2、编制方法............................................................-2-3、运维工作职责........................................................-3-4、运维服务管理体系....................................................-4-4.1运维服务管理对象....................................................-4-4.2运维服务流程........................................................-5-4.2.1问题管理......................................................-5-4.2.2变更管理......................................................-5-4.2.3配置管理......................................................-6-4.2.4发布流程......................................................-6-5、应急服务响应措施....................................................-6-5.1应急预案实施基本流程................................................-7-5.2突发事件应急策略....................................................-7-6、服务管理制度规范....................................................-8-6.1服务时间............................................................-8-6.2行为规范............................................................-9-7、代码管理............................................................-9-7.1MASTER分支.........................................................-10-7.2RELEASE分支........................................................-10-7.3DEV分支...........................................................-10-7.4紧急BUG、小版本...................................................-10-8、安全管理人员.......................................................-11-8.1信息安全组织机构涉及的相关角色分配如下.............................-11-9、安全组织职责.......................................................-11-9.1安全组组长、副组长职责.............................................-11-9.2安全组组员职责.....................................................-11-1、总则第一条为保障公司信息系统软硬件设备的良好运行,使员工的运维工作制度化、流程化、规范化,特制订本制度。第二条运维工作总体目标:立足根本促发展,开拓运维新局面。在企业发展壮大时期,通过网络、桌面、系统等的运维,促进企业稳定可持续性发展。第三条运维管理制度的适用范围:技术部全体人员。2、编制方法本实施细则包括运维服务全生命周期管理方法、管理标准/规范、管理模式、管理支撑工具、管理对象以及基于流程的管理方法。本实施细则以ITIL/ISO20000为基础,以信息化项目的运维为目标,以管理支撑工具为手段,以流程化、规范化、标准化管理为方法,以全生命周期的PDCA循环为提升途径,体现了对运维服务全过程的体系化管理。3、运维工作职责一、负责网站运维和技术支持(一)根据网站运营战略和目标,负责网站整体架构、栏目、应用系统等技术开发方案制定和组织开发,保障网站技术的稳定性和先进性。(二)网站设备和软件购买计划书的拟定,包括采购数量、品牌规格、技术参数。会同行政部进行采购。(三)网站设备和软件操作规程和应用管理制度的制定,并负责监督执行。(五)网站日常运行过程中信息安全和技术问题的协调解决,保障网站24小时安全稳定运行。(六)负责网站管理系统及设备保密口令的设置和保存,保密口令设定后任何人不得随意更改,保密口令每季度更新一次。(七)负责网站新程序、新系统和网站改版升级方案技术的设计开发。二、负责网站信息和技术安全(一)执行国家和省上有关网络信息技术安全的法律法规,与通信管理和网络安全监管部门联络,及时处理网站信息技术安全方面存在的问题,确保网站安全、稳定、可靠运行。(二)网站信息技术安全保密制度和工作流程的制定,落实信息技术安全保密责任制,执行“谁主管、谁负责,谁主办、谁负责”的原则,责任到人。(三)负责网站信息技术安全应急处理预案制定和实施。(四)建立多机备份网站信息服务系统机制,一旦主系统遇到故障或受到攻击导致不能正常运行,可以在最短的时间内替换主系统提供服务。(五)建立网站系统集中式权限管理,按照岗位职责设定工作人员操作权限,针对不同应用系统、终端、操作人员,设置共享数据库信息的访问权限,并设置密码。不同的操作人员设定不同的用户名,且定期更换,严禁操作人员泄漏密码。4、运维服务管理体系运维服务管理体系规定了运维活动涉及的各类实体,以及这些实体间的相互关系。相关的实体按照运维服务管理体系进行有机组织,并协调工作,按照服务协议要求提供不同级别的IT运维服务。4.1运维服务管理对象运维服务管理对象包括基础设施、应用系统、用户、供应商、以及IT部门和人员,具体内容如下:(1)基础设施包括网络、主机系统、存储/备份系统、终端系统、安全系统环境等。(2)应用系统包括内部办公系统、门户网站、面向公众的应用系统等。(3)用户包括使用如上应用系统的用户。(4)供应商包括基础设施和应用系统的供应商以及IT运维服务的供应商。(5)运维部门和人员包括内部参与运维活动的相关部门和人员,以及提供运维服务的企业和相关人员。4.2运维服务流程IT运维服务管理流程涉及问题管理、配置管理、变更管理、发布管理、知识管理及供应商管理等,随着运维活动的不断深入和持续改进,其他流程可能会逐步独立并规范。4.2.1问题管理问题管理流程的主要目标是预防问题和事故的再次发生,并将未能解决的事件的影响降低到最小。问题管理流程包括诊断事件根本原因和确定问题解决方案所需要的活动,通过合适的控制过程,尤其是变更管理和发布管理,负责确保解决方案的实施。问题管理还将维护有关问题、应急方案和解决方案的信息。问题管理是针对已处理事件的遗留问题或处理事件的方案只是治标不治本的不能彻底解决问题而考虑的模块。根据事件、及处理方案,问题处理人经过调查、诊断并提出最终解决方法。4.2.2变更管理变更管理实现所有基础设施和应用系统的变更,变更管理应记录并对所有要求的变更进行分类,应评估变更请求的风险、影响和业务收益。其主要目标是以对服务最小的干扰实现有益的变更。变更管理是要对重大资源的新增、变更、升级等运维活动进行审核的功能,以免这些活动对现有资源的可用性造成没有必要的影响和破坏。4.2.3配置管理配置管理流程负责核实基础设施和应用系统中实施的变更以及配置项之间的关系是否已经被正确记录下来;确保配置管理数据库能够准确地反映现存配置项的实际版本状态。配置管理实际上是全部资源的统一管理的功能,包括资源整个生命周期的参数或配置的变化记录的管理。管理信息主要涉及分类、型号、版本、位置,状态、相关资料等基本信息还包括核心参数等。4.2.4发布流程软件开发完,开发人员完成自测,然后提交给测试人员测试。测试人员完成测试后反馈是结果,开发人员根据测试结果修复BUG。直到测试没有BUG后,软件负责人通知研发、市场、销售、客服各相关部门发布时间,最后由运维人员进行发布。5、应急服务响应措施运维项目组制定了详尽的应急处理预案,整个流程严谨而有序。但在服务维护过程中,意外情况将难以完全避免。我们将对项目实施的突发风险进行详细分析,并且针对各类突发事件,设计了相应的预防与解决措施,同时提供了完整的应急处理流程。5.1应急预案实施基本流程5.2突发事件应急策略(1)运维人员平时应做好应急事件的监控工作,对于突发事件应认真分析、准确判定故障发生的数据域,负责跟踪该事件直至其结束。(2)正常情况下,要求运维人员在10分钟内进行事件确认。如果属于一般事件则按照事件流程进行分派处理,否则应迅速启动《应急预案》,并严格按照《应急预案》所规定的步骤快速实施应急处置,及时汇报上级领导,掌握实时处理情况。(3)在处理过程中,如需其他部门去现场增援处理,应及时向上级领导部门汇报,协调沟通,尽快联系技术工程师或厂家技术支持赶已解决扩大应急发现故障启动应急预案,并通知领导按事件流程处理初步判定故障恢复联系技术支持处理联系开发人员或厂家工程师现场处理一般事件突发事件总结,修订应急预案已解决未解决突发事件应急组未解决已解决汇报进度汇报进度汇报增援记录赴现场援助处理。6、服务管理制度规范6.1服务时间(1)运维人员需要7*24小时接听电话,解决内部的技术问题和系统问题。(2)服务响应时间:故障级别响应时间故障解决时间I级:属于紧急问题;其具体现象为:系统崩溃导致业务停止、数据丢失。10分钟,30分钟内提交故障处理方案3小时以内II级:属于严重问题;其具体现象为:出现部分部件失效、系统性能下降但能正常运行,不影响正常业务运作。10分钟,30分钟内提交故障处理方案6小时以内III级:属于较严重问题;其具体现象为:出现系统报错或警告,但业务系统能继续运行且性能不受影响。10分钟,30分钟内提交故障处理方案12小时以内IV级:属于普通问题;其具体现象为:系统技术功能、安装或配10分钟,2小时内提交故障24小时以内置咨询,或其他显然不影响业务的预约服务。处理方案6.2行为规范(1)遵守用户的各项规章制度,严格按照用户相应的规章制度办事。(2)与用户运行维护体系其他部门和环节协同工作,密切配合,共同开展技术支持工作。(3)出现疑难技术、业务问题和重大紧急情况时,及时向负责人报告。(4)现场技术支持时要精神饱满,穿着得体,谈吐文明,举止庄重。接听电话时要文明礼貌,语言清晰明了,语气和善。(5)遵守保密原则。对被支持单位的网络、主机、系统软件、应用软件等的密码、核心参数、业务数据等负有保密责任,不得随意复制和传播。7、代码管理为了规范代码库分支管理和版本管理,使代码分支及版本结构清晰,方便维护,并避免由于维护造成的错误的版本发布等问题。代码统一用gitlab进行管理,各分支使用办法说明如下:7.1master分支master分支上存放的应该是随时可供在生产环境中部署的代码。当开发活动告一段落,产生了一份新的可供部署的