I信息技術服務運行維護通用要求用戶實施規(guī)范UserImplementationSpecificationofGeneralRequirementsforOperationandMaintenanceofInformationTechnologyServices 前言 1.范圍 2.規(guī)范性引用文件 3.術語和定義 3.1運行維護服務operationmaintenanceservice 3.2運行維護服務主責部門Thedepartmentofoperationandmaintenanceservices 3.3服務商Serviceprovider 3.4服務對象serviceobject 3.5最高管理者topmanager 3.6管理者代表managementrepresentative 3.7相關方interestedparties 4.運維組織 4.1概述 4.3原則 5.管理職責 5.1最高管理者 5.2管理者代表 5.3運行維護服務主責部門 5.4服務商 5.5相關部門 5.6溝通協(xié)調 6.策劃 6.1要求 6.2關鍵指標 47.保障 47.1資金保障 47.2人力資源保障 47.3技術保障 7.4工具 7.5備件庫 7.6知識保障 7.7資產(chǎn)管理 7.8服務臺 8.1業(yè)務連續(xù)性 8.2人員 8.3過程 8.4操作 8.5運維交接 8.6數(shù)據(jù)管理 8.7信息安全管理 8.8外包管理 9評測 9.1監(jiān)測與評價 9.2內部審核 9.3合規(guī)自檢 9.4管理評審 10.1不符合項、糾正措施和預防措施 10.2持續(xù)改進 1本標準規(guī)定了用戶單位建立、保持和改進信息技術系統(tǒng)運行維護服務的通用要求。本標準適用于用戶單位信息技術系統(tǒng)運行維護服務能力的建設、管理和評估。下列文件對于本標準的應用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本標準。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本標準。GB/T29264—2012《信息技術服務分類與代碼》下列術語和定義適用于本標準。3.1運行維護服務operationmaintenanceservice采用信息技術手段及方法，依據(jù)信息技術系統(tǒng)使用部門、用戶和運行維護服務管理部門提出的要求，對其所使用的信息技術系統(tǒng)提供的綜合服務。3.2運行維護服務主責部門Thedepartmentofoperationandmaintenanceservices組織、計劃、實施信息技術系統(tǒng)運行維護服務的主責部門。3.3服務商Serviceprovider為用戶單位提供信息技術系統(tǒng)運行維護服務的服務提供商，如備件服務、專家服務、駐場服務等。3.4服務對象serviceobject信息技術系統(tǒng)運行維護對象，包括機房環(huán)境設施、信息系統(tǒng)基礎設施、應用系統(tǒng)、業(yè)務數(shù)據(jù)等。3.5最高管理者topmanager用戶單位對信息技術系統(tǒng)運行維護工作進行決策、指揮和控制的最高級別的個人或組3.6管理者代表managementrepresentative由最高管理者任命，代表最高管理者在信息技術系統(tǒng)運行維護工作中行使管理權的個人或組織。23.7相關方interestedparties與用戶單位信息技術系統(tǒng)運行維護相關的部門或組織，如:人力資源管理部門、計劃財務部門、信息系統(tǒng)用戶部門、外部服務提供商或機構等。4.1概述最高管理者應根據(jù)本單位發(fā)展戰(zhàn)略,構建信息技術系統(tǒng)運行維護服務能力體系，設定信息技術系統(tǒng)運行維護服務目標及原則，設置相關組織架構，識別利益相關方并明確各方責任。用戶單位信息技術系統(tǒng)運行維護服務的目標至少應包括：a)根據(jù)信息技術系統(tǒng)使用部門和用戶對業(yè)務連續(xù)性、安全性以及系統(tǒng)穩(wěn)定性的要求，確保其獲得高質量連續(xù)性的服務；b)滿足上級單位提出的有關信息技術系統(tǒng)運行維護的要求，保障信息技術系統(tǒng)正常運轉，提高信息技術系統(tǒng)運行效率；c)滿足監(jiān)管單位提出的有關信息技術系統(tǒng)運行維護的要求；d)滿足決策層在單位治理方面提出的有關信息技術系統(tǒng)運行維護的要求；e)滿足新技術及應用對信息技術系統(tǒng)運行維護的要求；f)建立持續(xù)改進機制，不斷優(yōu)化運行維護能力體系。4.3原則用戶單位信息技術系統(tǒng)運行維護服務能力體系建設應遵循以下原則：a)與單位發(fā)展戰(zhàn)略保持一致；b)兼顧利益相關方的訴求；c)在組織內及相關方進行宣貫；d)通過持續(xù)改進保持體系的適宜性。5.1最高管理者最高管理者的職責是保障核心業(yè)務連續(xù)性、安全性，提高信息系統(tǒng)運行效率。應通過以下活動予以落實：a)在戰(zhàn)略層面建立并持續(xù)改進信息技術系統(tǒng)運行維護服務能力體系，制定原則，明確b)向全員傳達信息技術系統(tǒng)運行維護服務能力體系的重要性和必要性；c)任命管理者代表，并充分授權，以確保其有效發(fā)揮組織協(xié)調、統(tǒng)籌落實的領導作用；d)構建運行維護服務相關組織，建立協(xié)調機制；e)組織管理評審，推動持續(xù)改進；f)確保資源、資金保障到位。5.2管理者代表最高管理者任命管理者代表，使其具有以下的職責和權限：3a)提出信息技術系統(tǒng)運行維護服務能力體系相關的決策建議；b)確保信息技術系統(tǒng)運行維護服務能力體系得以建立、實施、保持和改進；c)組織信息技術系統(tǒng)運行維護服務能力體系管理評審；d)通過優(yōu)化、創(chuàng)新和變革，持續(xù)提升信息技術系統(tǒng)服務能力。5.3運行維護服務主責部門運行維護服務實施主責部門執(zhí)行日常運行維護工作，其職責至少應滿足：a)對信息技術系統(tǒng)運行維護能力進行具體規(guī)劃；b)與信息技術系統(tǒng)用戶部門簽訂服務級別協(xié)議；c)建立運行維護支撐資源；d)記錄并審查日常運維工作；e)對服務商進行管理。5.4服務商服務商完成運行維護合同規(guī)定的相關內容，至少應滿足：a）按照服務內容和服務級別要求，組織開展運維服務相關活動；b）提供支撐滿足運維活動的運維資源；c）持續(xù)提供具備相關能力的運維人員；d）對所參與的運維活動進行檢查，并持續(xù)改進；e）向用戶單位提供運維報告和運維過程產(chǎn)生的知識。5.5相關部門信息技術系統(tǒng)運行維護服務相關部門的職責至少應包括以下內容：a)運行維護服務管理部門：承擔信息技術系統(tǒng)運行維護工作管理職責，負責運行維護服務能力體系的建設、運轉、優(yōu)化和持續(xù)改進，從整體上保證體系運轉質量與效能，制定管理制度和流程，對運行維護服務效果進行總結和評價；b)人力資源管理部門：負責信息技術系統(tǒng)運行維護人員的績效、崗位、能力管理等；c)計劃財務部門：負責管理信息技術系統(tǒng)運行維護資金保障等。5.6溝通協(xié)調為保證參與信息技術系統(tǒng)運行維護相關方對信息技術系統(tǒng)運行維護工作認識統(tǒng)一，應建立溝通協(xié)調機制：a)建立與信息技術系統(tǒng)運行維護工作直接相關部門以及相關崗位的內部協(xié)調機制；b)與用戶部門建立溝通機制，設立溝通渠道，及時收集用戶及用戶部門意見，并對其關注點及時響應；c)與服務商建立溝通協(xié)調機制，對服務商的服務水平、服務能力定期進行評估；d)制定溝通協(xié)調計劃，并記錄溝通協(xié)調過程，溝通協(xié)調衍生的工作列入日常運行維護計劃。6.1要求根據(jù)信息技術系統(tǒng)用戶、上級部門、監(jiān)管部門和本單位治理等要求，結合運行維護服務實施主責部門自身具備的能力，最高管理者或管理者代表應組織并完成信息技術系統(tǒng)運行維4護服務能力體系整體規(guī)劃，建立與運行維護目標相適應的服務保障體系。至少應滿足：a)根據(jù)本單位運行維護實際需求，組織相關部門和人員進行運行維護體系總體設計；b)結合可提供的服務內容、服務要求，考慮運行維護主責部門（包括外包服務商）的實際服務能力，形成服務目錄，并與用戶部門協(xié)商服務級別；c)策劃并建立相關運行維護團隊或組織，設置相關相關崗位；d)具備相關保障資源，包括運行維護工具、備件庫、知識庫、資產(chǎn)庫等；e)建立網(wǎng)絡安全技術保障和管理體系；f)建立運行維護過程管理機制，協(xié)調各相關方之間的職責和協(xié)作關系；g)定義運行維護體系各要素關鍵指標，運行維護過程可測量、可追蹤、可評估；h)建立內部審核、管理評審機制，保證運行維護質量，并評估運行維護體系的適宜性、合理性；i)建立外包服務管理機制，梳理外包服務邊界、明確外包服務要求、評估外包服務運行維護質量。6.2關鍵指標a）運維計劃的完整性；b）質量管理計劃的完整性；c）資源管理計劃的覆蓋度；d）持續(xù)改進計劃的有效性；e）運維指標體系的合理性。7.1資金保障7.1.1要求保證足夠的資金達成運維目標。組織應圍繞運行維護工作目標和指標的達成、保持、持續(xù)改進，對相關資金投入與使用進行統(tǒng)籌安排和優(yōu)化調整。至少應滿足：a)梳理需要外包的內容，包括備件服務、人員駐場、技術研發(fā)、專家服務、咨詢設計、運維監(jiān)理、評估等，制定項目預算，明確預算出處，并得到相關管理者的批準；b)對項目預算進行有效管理；c)確保資金支付及時、有效。7.1.2關鍵指標a)資金預算覆蓋度；b)資金支付率。7.2人力資源保障7.2.1要求組織應建立與信息技術系統(tǒng)運維工作目標相適應運維組織并設立相關崗位，確保參與運行維護的人員理解其職責和活動。至少應滿足：5a)設立運維管理和主責部門，并將與運維工作相關的職責賦予人力資源、計劃財務等相關部門；b)明確運行維護工作中的崗位職責與所需能力；c)提供培訓或采取其他的措施幫助人員獲得所需的能力；d)基于對人員在運行維護工作中的績效，建立適當?shù)募钪贫?；e)建立針對運維服務商服務人員的考核機制。7.2.2關鍵指標a)崗位職責完整度；b)人員能力評價覆蓋度。7.3技術保障7.3.1技術方案7.3.1.1要求組織應根據(jù)運維業(yè)務需求制定運維技術方案。至少應滿足：a)對所需獲取的技術進行評估，確保所獲取的技術與運維服務工作目標相適宜；b)明確技術實現(xiàn)的主體及相關方的責任和權限；c)明確技術實現(xiàn)的目標，確保目標是具體的、可實現(xiàn)的且有時間要求的；d)確保業(yè)務部門的需求得到有效安排和溝通。7.3.1.2關鍵指標a)技術方案與服務目標的達成率。7.3.2技術實現(xiàn)7.3.2.1要求組織應根據(jù)運維技術方案，有序開展技術實現(xiàn)。至少應滿足：a)依據(jù)技術實現(xiàn)方案選擇實現(xiàn)的方式，實現(xiàn)方式包括自研、外包及合作開發(fā)等；b)識別、評估和管理技術實現(xiàn)的風險；c)管理技術實現(xiàn)活動，監(jiān)控和報告技術實現(xiàn)活動的執(zhí)行情況；d)確保技術知識向應用主體有效轉移。7.3.2.2關鍵指標a)技術實現(xiàn)成果完成率；b)技術實現(xiàn)交付物的完成度。7.3.3技術實現(xiàn)的監(jiān)督和控制7.3.3.1要求組織應在技術實現(xiàn)的過程中對各項活動進行監(jiān)督和控制。至少應滿足：a)依據(jù)技術實現(xiàn)的目標，制定技術實現(xiàn)過程指標，對技術實現(xiàn)過程實施監(jiān)視和測量；6b)對技術實現(xiàn)的成果及目標實現(xiàn)情況進行評價；c)識別技術成果缺陷及應用影響因素，并進行改進。7.3.3.2關鍵指標a)技術成果應用成功的數(shù)量及成功率；b)技術實現(xiàn)目標的達成度。7.4工具7.4.1監(jiān)控管理工具7.4.1.1要求監(jiān)控管理工具應具備及時發(fā)現(xiàn)系統(tǒng)故障和隱患、了解業(yè)務狀態(tài)信息的功能，可以是自有或第三方提供。至少應滿足：a)對IT基礎設施、應用軟件、業(yè)務流程等運行狀況實時監(jiān)控；b)具備監(jiān)控項、報警閾值管理機制，通過分析歷史數(shù)據(jù)確定報警閾值并不斷優(yōu)化；c)具備監(jiān)控數(shù)據(jù)統(tǒng)計分析功能，對信息技術系統(tǒng)優(yōu)化改善和運維服務體系持續(xù)改進等提供參考數(shù)據(jù)；d)與其他運行維護管理工具實現(xiàn)數(shù)據(jù)共享。7.4.1.2關鍵指標衡量監(jiān)控管理工具的關鍵指標至少應滿足：a)監(jiān)控對象的覆蓋度；b)報警閾值的準確性及優(yōu)化記錄的完整性。7.4.2過程管理工具7.4.2.1要求過程管理工具應完成對運行維護過程的管理支撐。至少應滿足：a)實現(xiàn)運行維護服務相關方多專業(yè)、多部門的協(xié)同管理；b)具備對事件、問題、配置、變更、發(fā)布、知識等運行維護流程的管理功能，流程環(huán)節(jié)和權限配置靈活，流程執(zhí)行過程可視化呈現(xiàn)；c)具備流程的新建、執(zhí)行、查詢、轉換及執(zhí)行記錄、評價、數(shù)據(jù)統(tǒng)計等功能；d)與其他運行維護管理工具實現(xiàn)數(shù)據(jù)共享。7.4.2.2關鍵指標過程管理工具的關鍵指標至少應滿足：a)過程管理流程的覆蓋率；b)過程記錄的完整性。77.4.3資產(chǎn)管理工具7.4.3.1要求資產(chǎn)管理工具應實現(xiàn)對信息技術系統(tǒng)軟硬件資產(chǎn)進行有效管理。至少應包括：a)具備資產(chǎn)合同號、型號、序列號、位置、所屬系統(tǒng)等資源屬性的全集庫；b)具備資產(chǎn)的調轉、維修、退庫、報廢、在線盤點等管理功能；c)具備資產(chǎn)使用率、投入產(chǎn)出比統(tǒng)計等功能；d)對資產(chǎn)狀況進行調研評估，并形成調研評估報告；e)與其他運行維護管理工具實現(xiàn)數(shù)據(jù)共享。7.4.3.2關鍵指標資產(chǎn)管理工具的關鍵指標至少應滿足：a)資產(chǎn)庫數(shù)據(jù)的完整性、準確性；b)資產(chǎn)管理活動記錄的完整性、準確性。7.4.4決策支撐工具7.4.4.1要求決策支撐工具應實現(xiàn)對運維服務信息/數(shù)據(jù)能力進行有效的收集、加工、處理和展現(xiàn)。至少應滿足：a)具備收集基礎決策數(shù)據(jù)的功能，包括系統(tǒng)運行狀態(tài)數(shù)據(jù)、業(yè)務統(tǒng)計數(shù)據(jù)、運營統(tǒng)計數(shù)據(jù)、運行維護統(tǒng)計數(shù)據(jù)等；b)具備決策數(shù)據(jù)分析能力，對基礎決策數(shù)據(jù)進行關聯(lián)分析，得出最高管理者和運維主責部門及其他相關組織需要的決策數(shù)據(jù)；c)可對決策數(shù)據(jù)進行可視化展現(xiàn)，使決策數(shù)據(jù)使用者及時、全面、準確地了解組織當前的運維服務能力，并通過趨勢分析對未來的服務能力做出有效地判斷或決策。7.4.4.2關鍵指標決策支撐工具的關鍵指標至少應滿足：d)運維數(shù)據(jù)對決策支撐的有效性；e)運維服務能力趨勢分析的能力。7.5備件庫7.5.1要求備件庫至少應滿足：a)制定備件庫管理規(guī)范，設置備件庫管理崗位。管理規(guī)范包括備件響應方式和級別定義、備品備件的數(shù)量和類型、類別與編碼、存放環(huán)境、出入庫管理等；b)制定備件的檢測、報廢制度，能夠定期對備件進行檢測，以確保滿足運行維護服務需求；c)提出備件采購計劃、庫存策略、緊急采購預案等；d)對備件服務級別達成情況進行定期評估和優(yōu)化改進；e)制定供應商或服務商管理制度，定期對供應商進行評估。87.5.2關鍵指標備件庫管理的關鍵指標至少應滿足：a)備件服務商服務級別達成率；b)備件的覆蓋率、可用性；c)備件庫/軟件庫信息的準確率。7.6知識保障7.6.1知識庫7.6.1.1要求運行維護服務主責部門應收集、共享、使用所積累的知識，并針對常見問題的描述、分析和解決方法建立知識庫，確保整個運行維護組織內知識的可用性和共享性。知識庫管理至少應滿足：a)針對已知錯誤和問題的描述、分析和解決方法，應分權限共享給參與運行維護的相關人，并提供有效訪問方式；b)建立知識和知識庫管理機制，包括來源、識別、分類、整理、共享、更新、傳播等；c)識別主要崗位和業(yè)務的知識需求；d)將知識庫的使用納入事件管理和問題管理過程中；e)具備知識庫管理工具，定期評價知識庫管理工具和知識庫內容的有效性和利用率，并進行知識更新或知識庫管理工具的改進；f）服務商在服務過程產(chǎn)生的知識應納入知識庫。7.6.1.2關鍵指標a)知識數(shù)量；b)知識利用率。7.6.2軟件版本/補丁管理7.6.2.1要求版本軟件/補丁管理至少應滿足：a)建立軟件版本/補丁管理機制和規(guī)范，明確軟件/補丁存儲范圍，制定軟件版本/補丁生命周期管理策略，必要時使用軟件版本/補丁管理工具；b)定期對軟件版本/補丁的適用性、有效性進行評審，查明軟件版本/補丁的使用許可權，說明軟件版本/補丁提供商需要提供的技術指導；c)對軟件版本/補丁的風險進行識別，制定風險防范措施；7.6.2.2關鍵指標a)軟件版本/補丁及時更新率b)軟件版本/補丁可用性97.6.3正版化7.6.3.1要求軟件正版化管理至少應包括如下內容：a)明確正版化工作職責，統(tǒng)籌推進正版化工作，制定正版化工作相關規(guī)定和措施，編制正版化工作年度目標、工作計劃和經(jīng)費預算；b)制定軟件配置標準，推進正版化產(chǎn)品需求評審、采購、安裝、升級、維護和卸載工作；c)將正版化產(chǎn)品管理納入資產(chǎn)管理范疇，建立并維護正版化產(chǎn)品使用管理臺帳，收集和歸檔產(chǎn)品正版證明及授權；d)開展正版化宣傳、培訓和檢查工作，持續(xù)完善正版化工作制度。7.6.3.2關鍵指標a)正版化率。7.7資產(chǎn)管理7.7.1要求組織應建立運維服務資產(chǎn)管理機制。至少應滿足：a)有相關的部門或人員承擔資產(chǎn)管理的職責，并在工作職責中明確該部分工作內容；b)制定資產(chǎn)管理政策與流程，并將資產(chǎn)管理的要求整合到資產(chǎn)生存周期的各個流程c)建立對資產(chǎn)變更的管理流程，防止未經(jīng)授權的變更；d)建立風險評估機制，每次變更前識別變更對資產(chǎn)管理的影響，標識高風險變更。e)對資產(chǎn)管理政策和流程進行定期評估，并持續(xù)改進。7.7.2關鍵指標a)資產(chǎn)可用率；b)賬實相符率。7.8服務臺7.8.1要求服務臺管理至少應滿足：a)設置專門的團隊或崗位負責用戶服務請求處理，以有效的方式接受用戶服務請求和服務評價；b)建立服務臺管理制度，包括服務請求的接收、記錄、跟蹤、反饋和監(jiān)督、考核等，并與過程管理、服務級別管理流程等實現(xiàn)集成；c)制定服務臺的績效考核制度，對服務臺進行定期評估和優(yōu)化改進；d)明確服務臺人員的知識、技能和經(jīng)驗要求，并從知識庫系統(tǒng)獲得必要的支持；e)通過過程管理工具實現(xiàn)服務臺的日常工作管理。7.8.2關鍵指標a)服務臺滿意度；b)服務請求解決率。8.1業(yè)務連續(xù)性8.1.1風險管理8.1.1.1要求組織應對運行維護服務過程中的風險進行管理，至少應滿足：a)建立符合相關法律法規(guī)的風險管理制度，包括制定可接受風險準則和可接受水平，規(guī)定系統(tǒng)的風險評估和處置方法；b)對運行維護風險進行識別并評估對業(yè)務的影響，包括系統(tǒng)風險、操作風險、人員能力風險等；c)通過系統(tǒng)容量的冗余、權限管控、登錄管控、運維流程管控、運維安全管控等措施避免或降低風險的發(fā)生；d)通過監(jiān)控及預警等可視化手段進行風險監(jiān)測；e)對風險發(fā)生所導致的業(yè)務連續(xù)性損害進行預估，并制定應急處置計劃；f)對風險管理過程進行記錄，并總結、優(yōu)化風險管控機制。8.1.1.2關鍵指標：a)風險識別及評估報告的有效性；b)風險處置記錄的完整性。8.1.2系統(tǒng)備份8.1.2.1要求組織應對關鍵信息系統(tǒng)進行備份，至少應滿足：a)根據(jù)信息系統(tǒng)所承載業(yè)務要求不同，建立不同級別的信息系統(tǒng)備份機制；b)影響到國計民生的核心業(yè)務系統(tǒng)應具備與在線運行系統(tǒng)同等規(guī)模的備份系統(tǒng)，其他重要業(yè)務系統(tǒng)應進行具備核心功能的小規(guī)模的備份系統(tǒng)，一般業(yè)務系統(tǒng)應對核心設備進行備份；c)對備份系統(tǒng)或設備進行可用性測試，包括功能可用性、容量可用性、數(shù)據(jù)可用性等，以確保備份系統(tǒng)可切換、可使用；d)制定系統(tǒng)備份恢復演練計劃，進行系統(tǒng)備份恢復演練，并保留相關記錄。8.1.2.2關鍵指標：a)系統(tǒng)備份機制的合理性；b)備份系統(tǒng)的可用性；c)備份處置記錄的完整性。8.1.3應急管理8.1.3.1要求應急管理至少應滿足：a)定義應急管理的相關活動和流程，包括應急準備、監(jiān)測與預警、應急處置、總結改進等，并對應急處理過程進行規(guī)范化的記錄；b)成立應急指揮小組，根據(jù)服務級別協(xié)議、應急預案等相關內容制定應急處置專家團隊協(xié)調機制和工作模式，對應急預案的可用性進行評審和發(fā)布；c)定期組織應急預案演練，并對應急演練過程進行分析和評估，不斷完善應急預案；d)制定應急管理分級、升級機制，針對應急事件與業(yè)務影響范圍及影響程度等因素采取分級、升級處理策略，統(tǒng)一對人員、資金和設備等應急調度；e)應急處置過程中如涉及對應急預案的驗證性操作，應以應急效果為目標，對應急預案的可用性、準確性進行再次評估，評估結果作為應急預案內容更新的依據(jù)，評估結果及經(jīng)驗教訓應及時歸檔并整理后入知識庫。8.2人員8.2.1人員儲備8.2.1.1要求組織應綜合考慮人員儲備投入成本及預期效益進行人員儲備，至少應滿足：a)建立與運行維護服務相關的人員儲備機制；b)制定人員儲備計劃，進行人員儲備。8.2.1.2關鍵指標a)關鍵崗位人員儲備率；b)人員儲備人數(shù)與運行維護服務需求的匹配度。8.2.2人員培訓8.2.2.1要求組織應識別培訓需求，并進行人員培訓，至少應滿足：a)建立運行維護服務人員培訓機制；b)制定人員培訓計劃，實施人員培訓，并保留記錄。8.2.2.2關鍵指標a)人均培訓時長；b)培訓目標的達成率。8.2.3績效管理8.2.3.1要求組織應進行有效的人員績效管理，至少應滿足：a)建立并運行人員績效管理機制；b)依據(jù)人員績效結果，采取相關的績效改進活動，并保留記錄。8.2.3.2關鍵指標a)績效考核覆蓋率；b)績效考核頻度。8.2.4崗位管理8.2.4.1要求組織應建立適宜的崗位結構，至少應滿足：a)明確管理、技術、操作等崗位類型，對運行維護服務中的不同崗位有明確分工和職責定義；b)明確崗位在知識、技能、經(jīng)驗等方面需達到的要求；c)對各崗位人員能力進行評價；d)識別關鍵崗位，針對關鍵崗位建立輪崗制度；e)結合行業(yè)特征，建立優(yōu)化崗位結構的機制。8.2.4.2關鍵指標a)崗位職責說明書的覆蓋率；b)關鍵崗位人員數(shù)量；c)關鍵崗位人員流動率。8.3過程8.3.1服務級別管理8.3.1.1要求組織需要通過定義和管理服務級別，滿足對服務結果的要求，至少應滿足：a)建立與服務級別管理過程相一致的活動，包括識別服務需求、定義服務級別、監(jiān)控服務級別、評估服務級別的達成情況等；b)定期對服務級別進行評審，確保服務級別可滿足對業(yè)務的支撐；c)服務級別的定義須包括服務的目標、范圍、時間、具體內容、達到的服務效果（可量化）、安全要求等；d)建立服務級別考核評估機制，對服務級別達成情況進行統(tǒng)計分析；e)定期識別業(yè)務需求并實施服務級別的改進。8.3.1.2關鍵指標a)服務目錄的完整性；b)服務級別達標率。8.3.2服務報告管理8.3.2.1要求組織需要建立有效的內外部信息溝通策略，形成服務報告，并依據(jù)服務報告中發(fā)現(xiàn)的問題及時采取服務改進措施，至少應滿足：a）建立與服務報告過程管理活動，形成包括服務報告策劃、編制、審批、提交、歸檔、改進等具體的管理措施；b）建立服務報告模板，包括格式、提綱等；c）編制服務報告計劃，包括發(fā)送范圍、發(fā)送對象、內容要求、提交方式、時間頻次和報告形式等；d）服務報告內容應包括服務級別協(xié)議達成情況，內容應對階段服務情況進行具體分析，服務報告編制完成并經(jīng)過審批后按照服務報告計劃進行提交；e）對服務報告中所呈現(xiàn)的問題，應有明確的改進措施。8.3.2.2關鍵指標a）服務報告內容的完整性和準確性；b）服務報告按時提交率。8.3.3事件管理8.3.3.1要求組織需要建立計劃外服務中斷的故障處置過程，包括用戶對服務請求的處理過程，確保各類事件盡快解決，至少應滿足：a）建立與事件管理流程相一致的活動，包括事件識別、報告、受理、調查和診斷、解決、進展監(jiān)控與跟蹤、關閉等；b）明確事件過程中涉及的角色和職責；c）建立事件分級、分類及升級機制，對各類事件進行詳細記錄；d）建立事件處理過程中的升級和通報機制，與實際或潛在受到影響的各方進行溝通；e）建立重大事件的處理過程；f）針對事件的處理過程和結果進行回訪確認；g）將未知、無法解決和共性的事件，與問題管理建立必要的關聯(lián)；h）定期統(tǒng)計分析事件數(shù)據(jù)與執(zhí)行情況，建立事件評估及改進機制。8.3.3.2關鍵指標a)事件服務級別的達成率；b)事件記錄的準確率。8.3.4問題管理8.3.4.1要求組織需要通過分析事件數(shù)據(jù)和趨勢以識別問題，并分析根本原因和確定解決方案，預防同類事件的重復發(fā)生，至少應滿足：a)建立統(tǒng)一的問題管理活動，包括問題識別、分類、調查和診斷、解決、關閉等；b)應明確問題管理活動中的角色和職責；c)建立問題分類、分級機制，詳細記錄問題和問題處理過程；d)識別已知錯誤，建立問題導入知識庫的機制；e)在問題沒有徹底解決前，應采取臨時措施以減輕或消除問題對服務的影響，追蹤問題的進展，并通知相關方；f)建立問題解決評估機制，形成問題管理報告。8.3.4.2關鍵指標a)問題解決率；b)問題平均解決時間。8.3.5配置管理8.3.5.1要求組織需要建立運行維護服務對象的配置信息，并保證配置信息的可靠性、完整性和時效性，對其他服務過程提供支持，至少應滿足：a)建立與配置管理過程相一致的活動，包括配置管理規(guī)劃、配置項識別、收集、記錄、更新和審核等；b)明確配置管理活動中的角色和職責；c)建立滿足服務交付要求的統(tǒng)一的配置管理數(shù)據(jù)庫，配置信息應完整詳實。d)建立配置管理數(shù)據(jù)庫更新策略和審核機制，并保持有效頻度的執(zhí)行；e)對配置審計的結果形成報告，以反映配置項狀態(tài)、位置和版本的變更等。8.3.5.2關鍵指標a)配置數(shù)據(jù)的準確率；b)配置數(shù)據(jù)庫數(shù)據(jù)覆蓋率；8.3.6變更管理8.3.6.1要求組織需要控制變更的過程，確保所有變更得到評估、批準、實施和評審，至少應滿足：a)建立與變更管理過程一致的活動，包括請求、評估、審核、實施、確認和回顧等；b)明確變更中的角色和職責；c)明確變更范圍，建立變更分類、分級機制及相關的管理要求，準確記錄變更過程及內容信息；d)對變更流程的實施情況進行統(tǒng)計分析形成報告；e)定期組織評審變更活動的有效性，形成改進變更管理的機制。8.3.6.2關鍵指標a)變更成功率；b)不同類型的變更數(shù)量及占比；c)未經(jīng)批準和取消的變更數(shù)量及占比。8.3.7發(fā)布管理8.3.7.1要求組織需要建立發(fā)布管理過程，控制部署實施活動，確保發(fā)布成功，至少應滿足：a)建立與發(fā)布管理過程一致的活動，包括設計、測試、部署和驗證等；b)明確發(fā)布策略、發(fā)布類型及相配套的管理機制；c)明確發(fā)布活動的角色和職責；d)制定合適的發(fā)布方案，應包括發(fā)布計劃、測試方案、回退方案等；e)構建測試環(huán)境，對發(fā)布方案和有效性進行驗證；f)記錄部署活動中的主要動作、結果和相關信息；g)組織應依據(jù)成文的驗收準則對發(fā)布進行驗證，并在部署前被授權；h)定期組織進行發(fā)布回顧，形成改進機制。8.3.7.2關鍵指標a)發(fā)布成功率；b)未經(jīng)測試的發(fā)布數(shù)量及占比。8.3.8容量管理8.3.8.1要求組織需要建立容量管理機制，保持有效的能力去滿足當前和未來業(yè)務需求，至少應滿足：a)根據(jù)業(yè)務需要和現(xiàn)狀，預測未來的容量需要，將業(yè)務預測結果和工作量評估轉化為特定的要求并形成文檔；b)分析當前的容量數(shù)據(jù)、過往的資源使用情況來支撐容量管理，形成容量管理報告，為業(yè)務服務提供直接支持；c)定期制定容量管理計劃并實施和監(jiān)督。8.3.8.2關鍵指標a)容量計劃的準確性和完整性；b)容量管理報告提交率。8.4操作8.4.1例行操作8.4.1.1要求組織需要根據(jù)運維服務內容，區(qū)分并保障日常的例行操作服務，至少應滿足：a)根據(jù)運維對象的特點，確定例行操作的目標、內容、范圍、周期和人員；b)編制指導手冊，并指定專人負責更新和完善；c)確保人員、操作、數(shù)據(jù)以及工具等符合安全的要求；d)必要時，創(chuàng)建與響應支持、優(yōu)化改善和咨詢評估服務的接口，以啟動和完善相關服務交付過程；e)完成例行操作所需的協(xié)助工作，如提供訪問權限、工作環(huán)境等。8.4.1.2關鍵指標a)例行操作交付及時率；b)例行操作SOP的數(shù)量。8.4.2響應支持8.4.2.1要求組織需要根據(jù)運維服務內容和業(yè)務要求，建立響應支持服務規(guī)則，如針對故障受理處理和應急等，確保及時有效的消除對業(yè)務的影響，至少應滿足：a)建立響應支持渠道，如電話、郵件或網(wǎng)絡方式等；b)明確響應支持的工作界面，如工作時間、響應時間等；c)就響應級別、處理時間等條件內容詳細說明；d)對支持過程進行記錄，進行分類，并根據(jù)緊急程度、重要程度判斷優(yōu)先級，然后分發(fā)給相關人員；e)明確響應支持服務的相關人員角色和職責；f)在處理過程中設置預警、報警機制以及升級流程：g)在處理過程中的各個關鍵環(huán)節(jié)，將進展信息及時通知供需雙方相關人員；h)流程結束，必須在需方接受支持結果并同意的情況下才能結束；i)確保人員、操作、數(shù)據(jù)以及工具等符合安全的要求；j)相關部門應完成響應支持所需的協(xié)助工作，如提供故障信息、確認支持效果。8.4.2.2關鍵指標a)響應及時率；b)解決及時率。8.4.3調研評估8.4.3.1要求根據(jù)業(yè)務發(fā)展要求或項目需要，組織進行調研評估活動，至少應滿足：a)在調研評估開展前提供調研計劃，包括目標、內容、步驟、時間、人員、預算、進度、交付成果和溝通計劃等；b)詳細記錄調研過程記錄內容；c)編寫調研評估報告，如訪談情況、現(xiàn)狀評估、需求分析、建議等；d)制定報告的評審制度，組織進行評審，并進行記錄；e)跟蹤調研評估結果的應用情況；f)確保人員、操作、數(shù)據(jù)以及工具等符合安全的要求；g)必要時應創(chuàng)建與例行操作、響應支持和優(yōu)化改善服務的接口，以啟動和完善相關服務交付過程。8.4.3.2關鍵指標a)調研評估計劃執(zhí)行情況；b)調研報告內容完整情況；c)調研報告按時提交率。8.4.4優(yōu)化改善8.4.4.1要求組織在進行優(yōu)化改善時至少應滿足：a)編寫優(yōu)化改善方案，方案中應包含目標、內容、步驟、人員、預算、進度、衡量指標、風險預案和回退方案等；b)對方案進行必要的評審，包括內外部評審；c)有試運行觀察期的安排，觀察期應有完整的跟蹤記錄；d)對遺留問題制定改進措施，并跟蹤進展；e)在優(yōu)化改善完成后進行必要的回顧總結；f)確保人員、操作、數(shù)據(jù)以及工具等符合安全的要求。8.4.4.2關鍵指標a)優(yōu)化改善報告完整情況；b)優(yōu)化改善報告執(zhí)行情況。8.5運維交接8.5.1建設轉運維的接入標準8.5.1.1要求組織應對信息系統(tǒng)建設轉入運行維護服務的過程進行管理，至少應滿足：a)建立信息系統(tǒng)運維交接管理機制，包括：設施運營機制、資產(chǎn)管理機制、授權管理機制、運維交接文檔管理機制等；b)運維交接活動之前，各方識別和確立相關方的角色和責任，包括內部相關方和外部相關方；c)編制和確立運維交接計劃，約定運維交接范圍、風險處置方法、責任、標準、流程、時間以及檔案等；d)建立與資產(chǎn)管理一致的活動，并保留相關記錄；e)落實運維交接機制，按照計劃完成運維交接活動，將運維交接檔案記錄移交至接收單位，監(jiān)控相關服務關鍵指標。8.5.1.2關鍵指標：a)相關方識別的完整性；b)運維交接記錄的完整性；c)運維交接計劃的可操作性。8.5.2知識轉讓8.5.2.1要求組織應進行運維知識轉讓管理，至少應滿足：a)建立運維知識轉讓機制，包括：知識轉讓的范圍、轉讓計劃等；b)建立運維交接成果管理機制，成果物包括：需求說明文件、功能說明文件、運行維護技術文件、竣工資料等；c)建立與運維知識轉讓過程一致的活動，并保留相關記錄。8.5.2.2關鍵指標：a)知識轉讓完成度；b)運維交接成果物的覆蓋度。8.6數(shù)據(jù)管理8.6.1數(shù)據(jù)訪問8.6.1.1要求組織需要對數(shù)據(jù)的訪問進行嚴格的控制和管理，至少應滿足：a)形成數(shù)據(jù)訪問管理制度，對數(shù)據(jù)的訪問進行控制；b)應對數(shù)據(jù)的重要性進行分類管理，按照類別建立訪問規(guī)則；c)數(shù)據(jù)訪問需要得到審批，并保留記錄；d)數(shù)據(jù)訪問應有明確的限制條件，如訪問目的、訪問時間等；e)詳細記錄數(shù)據(jù)訪問的情況，并定期形成數(shù)據(jù)訪問報告；f)對數(shù)據(jù)訪問要有審計機制。8.6.1.2關鍵指標a)數(shù)據(jù)訪問記錄完整率。8.6.2數(shù)據(jù)使用8.6.2.1要求組織在數(shù)據(jù)的使用過程中，需要確保數(shù)據(jù)的有效性、可用性和安全性，至少應滿足：a)形成統(tǒng)一的數(shù)據(jù)使用規(guī)則，包括數(shù)據(jù)查詢、數(shù)據(jù)對比、數(shù)據(jù)統(tǒng)計等規(guī)則；b)對數(shù)據(jù)使用的權限進行嚴格控制；c)在申請數(shù)據(jù)使用時應明確數(shù)據(jù)使用的目的和范圍；d)明確數(shù)據(jù)使用的方式方法，必要時對數(shù)據(jù)進行加密；e)對數(shù)據(jù)使用的結果進行統(tǒng)計和跟蹤。8.6.2.2關鍵指標a)數(shù)據(jù)使用記錄完整率；b)數(shù)據(jù)非法使用數(shù)量。8.6.3數(shù)據(jù)備份8.6.3.1要求組織的重要數(shù)據(jù)應及時備份，并確保備份數(shù)據(jù)的安全可用，至少應滿足：a)組織應形成數(shù)據(jù)備份管理策略，提高數(shù)據(jù)的安全性；b)對數(shù)據(jù)的重要性進行分級；c)根據(jù)數(shù)據(jù)的重要性程度明確備份策略，包括但不限于備份方式、備份頻率、備份時間、備份介質、介質的存放管理等；d)制定詳細的數(shù)據(jù)恢復策略；e)對備份恢復策略進行驗證；f)明確數(shù)據(jù)備份和恢復的責任人；g)對數(shù)據(jù)備份的情況和恢復情況進行周期性回顧，形成報告；h)定期改進數(shù)據(jù)備份和恢復策略。8.6.3.2關鍵指標a)數(shù)據(jù)備份及時率；b)數(shù)據(jù)恢復成功率。8.6.4數(shù)據(jù)輸出8.6.4.1要求組織需要有效的管理向外部第三方輸出數(shù)據(jù)的活動，至少應滿足：a)建立數(shù)據(jù)輸出的審批機制；b)明確數(shù)據(jù)輸出的審批人和接受者的職責；c)明確數(shù)據(jù)輸出的介質及介質存放的方式；d)對數(shù)據(jù)輸出儲存介質的訪問應建立控制，確保只有經(jīng)授權的人員才可獲取數(shù)據(jù)輸e)對數(shù)據(jù)輸出有詳細的記錄。8.6.4.2關鍵指標a)數(shù)據(jù)輸出記錄完整率；b)非授權的數(shù)據(jù)輸出數(shù)量。8.7信息安全管理8.7.1安全策略8.7.1.1要求a)組織應建立職責獨立的信息安全管理機構，制定符合實際要求的信息安全管理策略，并確定信息安全負責人；b)組織應識別安全風險，并進行安全風險控制；c)制定內部信息安全管理制度，對執(zhí)行情況進行有效監(jiān)管；d)制定信息安全操作規(guī)程，對信息安全事件處理過程進行規(guī)范化記錄；e)制定信息安全事件應急預案，并定期進行演練，對應急演練過程進行分析和評估，不斷完善應急預案。8.7.1.2關鍵指標a）信息安全管理機構設置的合理性；b）信息安全事件處理過程記錄的完整性、準確性、真實性；c）信息安全應急預案的合理性、有效性及應急預案演練記錄的完整性、準確性；d）信息安全宣貫、培訓、認證、評測、風險評估活動記錄的完整性。8.7.2數(shù)據(jù)中心安全8.7.2.1要求組織應對數(shù)據(jù)中心進行安全管理，包括但不限于：a）制定數(shù)據(jù)中心安全管理規(guī)范，并確定安全管理負責人；b）制度數(shù)據(jù)中心出入管理規(guī)范以及相關記錄文檔；c）制定基礎設施安全管理規(guī)范，包括電源使用安全、空調使用安全、消防安全；d）制度數(shù)據(jù)中心IT設備以及IT系統(tǒng)日常運維管理規(guī)范；e）制定數(shù)據(jù)中心施工管理規(guī)范。8.7.2.2關鍵指標a）數(shù)據(jù)中心安全管理制度的完整性、合理性；b）各類文檔、記錄的完整性。8.8外包管理8.8.1要求組織應根據(jù)自身實際業(yè)務對外包服務進行管理，至少應滿足：a)對外包需求進行分析，明確外包范圍、目的和要求及外包形式；b)對于大型、復雜的外包服務，組織可以考慮聘請第三方進行咨詢服務，以確定外包服務商選擇、評價及風險管理辦法；c)對于大型、復雜的外包服務，組織可以考慮聘請第三方外包監(jiān)理服務，監(jiān)理服務內容包括質量控制、進度控制、投資控制、變更控制、信息安全管理、合同管理等，并對項目進行多維度全程跟蹤、監(jiān)督、協(xié)調等；d)對外包商服務過程過程進行管理，明確外包商的服務范圍、服務內容、服務時間窗口、服務要求等，建立服務報告制度和溝通機制；e)建立以SLA為核心的外包商服務評價體系，包括項目管理能力、技術能力、服務質量、人力資源管理能力等。8.8.2關鍵指標a）外包策略的合理性；b）外包形式的合理性。a）對外包服務商考核指標的完整性、客觀性。9.1監(jiān)測與評價9.1.1要求組織應對運行維護工作進行定期監(jiān)測與評價。至少應包括：a