1、安全與維護管理制度安全與維護管理制度 20192019 年年 1 1 月月 目錄 1 1、總則、總則.- - 1 1 - - 2 2、編制方法、編制方法.- - 1 1 - - 3 3、運維工作職責(zé)、運維工作職責(zé).- - 2 2 - - 4 4、運維服務(wù)管理體系、運維服務(wù)管理體系.- - 3 3 - - 4.1 運維服務(wù)管理對象 .- 3 - 4.2 運維服務(wù)流程 .- 4 - 4.2.1 問題管理 .- 4 - 4.2.2 變更管理 .- 5 - 4.2.3 配置管理 .- 5 - 4.2.4 發(fā)布流程 .- 5 - 5 5、應(yīng)急服務(wù)響應(yīng)措施、應(yīng)急服務(wù)響應(yīng)措施.- - 6 6 - - 5.1

2、 應(yīng)急預(yù)案實施基本流程 .- 6 - 5.2 突發(fā)事件應(yīng)急策略 .- 6 - 6 6、服務(wù)管理制度規(guī)范、服務(wù)管理制度規(guī)范.- - 7 7 - - 6.1 服務(wù)時間 .- 7 - 6.2 行為規(guī)范 .- 8 - 7 7、代碼管理、代碼管理.- - 9 9 - - 7.1 MASTER分支.- 9 - 7.2 RELEASE分支.- 9 - 7.3 DEV分支.- 9 - 7.4 緊急 BUG、小版本.- 10 - 8 8、安全管理人員、安全管理人員.- - 1010 - - 8.1 信息安全組織機構(gòu)涉及的相關(guān)角色分配如下 .- 10 - 9 9、安全組織職責(zé)、安全組織職責(zé).- - 1010 -

3、- 9.1 安全組組長、副組長職責(zé) .- 10 - 9.2 安全組組員職責(zé) .- 11 - 1 1、總則、總則 第一條 為保障公司信息系統(tǒng)軟硬件設(shè)備的良好運行，使員工 的運維工作制度化、流程化、規(guī)范化，特制訂本制度。 第二條 運維工作總體目標(biāo)：立足根本促發(fā)展，開拓運維新局 面。在企業(yè)發(fā)展壯大時期，通過網(wǎng)絡(luò)、桌面、系統(tǒng)等的運維，促進 企業(yè)穩(wěn)定可持續(xù)性發(fā)展。 第三條 運維管理制度的適用范圍：技術(shù)部全體人員。 2 2、編制方法、編制方法 本實施細(xì)則包括運維服務(wù)全生命周期管理方法、管理標(biāo)準(zhǔn)/規(guī)范、 管理模式、管理支撐工具、管理對象以及基于流程的管理方法。 本實施細(xì)則以ITIL/ISO20000為基礎(chǔ)，

4、以信息化項目的運維為目 標(biāo)，以管理支撐工具為手段，以流程化、規(guī)范化、標(biāo)準(zhǔn)化管理為方 法，以全生命周期的PDCA循環(huán)為提升途徑，體現(xiàn)了對運維服務(wù)全過 程的體系化管理。 3 3、運維工作職責(zé)、運維工作職責(zé) 一、負(fù)責(zé)網(wǎng)站運維和技術(shù)支持 （一）根據(jù)網(wǎng)站運營戰(zhàn)略和目標(biāo)，負(fù)責(zé)網(wǎng)站整體架構(gòu)、欄目、 應(yīng)用系統(tǒng)等技術(shù)開發(fā)方案制定和組織開發(fā)，保障網(wǎng)站技術(shù)的穩(wěn)定性 和先進性。 （二）網(wǎng)站設(shè)備和軟件購買計劃書的擬定，包括采購數(shù)量、品 牌規(guī)格、技術(shù)參數(shù)。會同行政部進行采購。 （三）網(wǎng)站設(shè)備和軟件操作規(guī)程和應(yīng)用管理制度的制定，并負(fù) 責(zé)監(jiān)督執(zhí)行。 （五）網(wǎng)站日常運行過程中信息安全和技術(shù)問題的協(xié)調(diào)解決， 保障網(wǎng)站 24 小時

5、安全穩(wěn)定運行。 （六）負(fù)責(zé)網(wǎng)站管理系統(tǒng)及設(shè)備保密口令的設(shè)置和保存，保密 口令設(shè)定后任何人不得隨意更改，保密口令每季度更新一次。 （七）負(fù)責(zé)網(wǎng)站新程序、新系統(tǒng)和網(wǎng)站改版升級方案技術(shù)的設(shè) 計開發(fā)。 二、負(fù)責(zé)網(wǎng)站信息和技術(shù)安全 （一）執(zhí)行國家和省上有關(guān)網(wǎng)絡(luò)信息技術(shù)安全的法律法規(guī)，與 通信管理和網(wǎng)絡(luò)安全監(jiān)管部門聯(lián)絡(luò)，及時處理網(wǎng)站信息技術(shù)安全方 面存在的問題，確保網(wǎng)站安全、穩(wěn)定、可靠運行。 （二）網(wǎng)站信息技術(shù)安全保密制度和工作流程的制定，落實信 息技術(shù)安全保密責(zé)任制，執(zhí)行“誰主管、誰負(fù)責(zé)，誰主辦、誰負(fù)責(zé)” 的原則，責(zé)任到人。 （三）負(fù)責(zé)網(wǎng)站信息技術(shù)安全應(yīng)急處理預(yù)案制定和實施。 （四）建立多機備份網(wǎng)站信息

6、服務(wù)系統(tǒng)機制，一旦主系統(tǒng)遇到 故障或受到攻擊導(dǎo)致不能正常運行，可以在最短的時間內(nèi)替換主系 統(tǒng)提供服務(wù)。 （五）建立網(wǎng)站系統(tǒng)集中式權(quán)限管理，按照崗位職責(zé)設(shè)定工作 人員操作權(quán)限，針對不同應(yīng)用系統(tǒng)、終端、操作人員，設(shè)置共享數(shù) 據(jù)庫信息的訪問權(quán)限，并設(shè)置密碼。不同的操作人員設(shè)定不同的用 戶名，且定期更換，嚴(yán)禁操作人員泄漏密碼。 4 4、運維服務(wù)管理體系、運維服務(wù)管理體系 運維服務(wù)管理體系規(guī)定了運維活動涉及的各類實體，以及這些實 體間的相互關(guān)系。相關(guān)的實體按照運維服務(wù)管理體系進行有機組織， 并協(xié)調(diào)工作，按照服務(wù)協(xié)議要求提供不同級別的IT運維服務(wù)。 4.14.1 運維服務(wù)管理對象運維服務(wù)管理對象 運維服務(wù)

7、管理對象包括基礎(chǔ)設(shè)施、應(yīng)用系統(tǒng)、用戶、供應(yīng)商、以 及IT部門和人員，具體內(nèi)容如下： (1)基礎(chǔ)設(shè)施包括網(wǎng)絡(luò)、主機系統(tǒng)、存儲/備份系統(tǒng)、終端系統(tǒng)、 安全系統(tǒng)環(huán)境等。 (2)應(yīng)用系統(tǒng)包括內(nèi)部辦公系統(tǒng)、門戶網(wǎng)站、面向公眾的應(yīng)用系 統(tǒng)等。 (3)用戶包括使用如上應(yīng)用系統(tǒng)的用戶。 (4)供應(yīng)商包括基礎(chǔ)設(shè)施和應(yīng)用系統(tǒng)的供應(yīng)商以及IT運維服務(wù)的 供應(yīng)商。 (5)運維部門和人員包括內(nèi)部參與運維活動的相關(guān)部門和人員， 以及提供運維服務(wù)的企業(yè)和相關(guān)人員。 4.24.2 運維服務(wù)流程運維服務(wù)流程 IT 運維服務(wù)管理流程涉及問題管理、配置管理、變更管理、發(fā) 布管理、知識管理及供應(yīng)商管理等，隨著運維活動的不斷深入和持

8、續(xù)改進，其他流程可能會逐步獨立并規(guī)范。 4.2.14.2.1 問題管理問題管理 問題管理流程的主要目標(biāo)是預(yù)防問題和事故的再次發(fā)生，并將未 能解決的事件的影響降低到最小。問題管理流程包括診斷事件根本 原因和確定問題解決方案所需要的活動，通過合適的控制過程，尤 其是變更管理和發(fā)布管理，負(fù)責(zé)確保解決方案的實施。問題管理還 將維護有關(guān)問題、應(yīng)急方案和解決方案的信息。 問題管理是針對已處理事件的遺留問題或處理事件的方案只是治 標(biāo)不治本的不能徹底解決問題而考慮的模塊。根據(jù)事件、及處理方 案，問題處理人經(jīng)過調(diào)查、診斷并提出最終解決方法。 4.2.24.2.2 變更管理變更管理 變更管理實現(xiàn)所有基礎(chǔ)設(shè)施和應(yīng)用

9、系統(tǒng)的變更，變更管理應(yīng)記錄 并對所有要求的變更進行分類，應(yīng)評估變更請求的風(fēng)險、影響和業(yè) 務(wù)收益。其主要目標(biāo)是以對服務(wù)最小的干擾實現(xiàn)有益的變更。 變更管理是要對重大資源的新增、變更、升級等運維活動進行審 核的功能，以免這些活動對現(xiàn)有資源的可用性造成沒有必要的影響 和破壞。 4.2.34.2.3 配置管理配置管理 配置管理流程負(fù)責(zé)核實基礎(chǔ)設(shè)施和應(yīng)用系統(tǒng)中實施的變更以及配 置項之間的關(guān)系是否已經(jīng)被正確記錄下來；確保配置管理數(shù)據(jù)庫能 夠準(zhǔn)確地反映現(xiàn)存配置項的實際版本狀態(tài)。 配置管理實際上是全部資源的統(tǒng)一管理的功能，包括資源整個生 命周期的參數(shù)或配置的變化記錄的管理。管理信息主要涉及分類、 型號、版本、

10、位置，狀態(tài)、相關(guān)資料等基本信息還包括核心參數(shù)等。 4.2.4.2.4 4 發(fā)布流程發(fā)布流程 軟件開發(fā)完，開發(fā)人員完成自測，然后提交給測試人員測試。測 試人員完成測試后反饋是結(jié)果，開發(fā)人員根據(jù)測試結(jié)果修復(fù) BUG。 直到測試沒有 BUG 后，軟件負(fù)責(zé)人通知研發(fā)、市場、銷售、客服各 相關(guān)部門發(fā)布時間，最后由運維人員進行發(fā)布。 5 5、應(yīng)急服務(wù)響應(yīng)措施、應(yīng)急服務(wù)響應(yīng)措施 運維項目組制定了詳盡的應(yīng)急處理預(yù)案，整個流程嚴(yán)謹(jǐn)而有序。 但在服務(wù)維護過程中，意外情況將難以完全避免。我們將對項目實 施的突發(fā)風(fēng)險進行詳細(xì)分析，并且針對各類突發(fā)事件，設(shè)計了相應(yīng) 的預(yù)防與解決措施，同時提供了完整的應(yīng)急處理流程。 5.

11、15.1 應(yīng)急預(yù)案實施基本流程應(yīng)急預(yù)案實施基本流程 已解決 擴大應(yīng)急 發(fā)現(xiàn)故障 啟動應(yīng)急預(yù)案，并通知領(lǐng)導(dǎo) 按事件流程處理 初步判定 故障恢復(fù) 聯(lián)系技術(shù)支持處理 聯(lián)系開發(fā)人員或 廠家工程師現(xiàn)場處理 一般事件 突發(fā)事件 總結(jié)，修訂應(yīng)急預(yù)案 已解決 未解決 突發(fā) 事件 應(yīng)急 組 未解決 已解決 匯報進度 匯報進度 匯報 增援 記錄 5.25.2 突發(fā)事件應(yīng)急策略突發(fā)事件應(yīng)急策略 （1）運維人員平時應(yīng)做好應(yīng)急事件的監(jiān)控工作，對于突發(fā)事件 應(yīng)認(rèn)真分析、準(zhǔn)確判定故障發(fā)生的數(shù)據(jù)域，負(fù)責(zé)跟蹤該事件直至其 結(jié)束。 （2）正常情況下，要求運維人員在 10 分鐘內(nèi)進行事件確認(rèn)。如 果屬于一般事件則按照事件流程進行分

12、派處理，否則應(yīng)迅速啟動 應(yīng)急預(yù)案 ，并嚴(yán)格按照應(yīng)急預(yù)案所規(guī)定的步驟快速實施應(yīng)急 處置，及時匯報上級領(lǐng)導(dǎo)，掌握實時處理情況。 （3）在處理過程中，如需其他部門去現(xiàn)場增援處理，應(yīng)及時向 上級領(lǐng)導(dǎo)部門匯報，協(xié)調(diào)溝通，盡快聯(lián)系技術(shù)工程師或廠家技術(shù)支 持趕赴現(xiàn)場援助處理。 6 6、服務(wù)、服務(wù)管理制度規(guī)范管理制度規(guī)范 6.16.1 服務(wù)時間服務(wù)時間 (1)運維人員需要 7*24 小時接聽電話，解決內(nèi)部的技術(shù)問題和 系統(tǒng)問題。 (2)服務(wù)響應(yīng)時間： 故障級別故障級別響應(yīng)時間響應(yīng)時間 故障解決時故障解決時 間間 I I 級：級：屬于緊急問題；其具體現(xiàn) 象為：系統(tǒng)崩潰導(dǎo)致業(yè)務(wù)停止、 數(shù)據(jù)丟失。 10 分鐘，30

13、 分鐘內(nèi)提交故 障處理方案 3 小時以內(nèi) IIII 級：級：屬于嚴(yán)重問題；其具體現(xiàn) 象為：出現(xiàn)部分部件失效、系統(tǒng) 性能下降但能正常運行，不影響 正常業(yè)務(wù)運作。 10 分鐘，30 分鐘內(nèi)提交故 障處理方案 6 小時以內(nèi) IIIIII 級：級：屬于較嚴(yán)重問題；其具 體現(xiàn)象為：出現(xiàn)系統(tǒng)報錯或警告， 但業(yè)務(wù)系統(tǒng)能繼續(xù)運行且性能不 受影響。 10 分鐘，30 分鐘內(nèi)提交故 障處理方案 12 小時以內(nèi) IVIV 級：級：屬于普通問題；其具體現(xiàn) 象為：系統(tǒng)技術(shù)功能、安裝或配 置咨詢，或其他顯然不影響業(yè)務(wù) 的預(yù)約服務(wù)。 10 分鐘，2 小 時內(nèi)提交故障 處理方案 24 小時以內(nèi) 6.26.2 行為規(guī)范行為規(guī)范

14、 (1)遵守用戶的各項規(guī)章制度，嚴(yán)格按照用戶相應(yīng)的規(guī)章制度辦 事。 (2)與用戶運行維護體系其他部門和環(huán)節(jié)協(xié)同工作，密切配合， 共同開展技術(shù)支持工作。 (3)出現(xiàn)疑難技術(shù)、業(yè)務(wù)問題和重大緊急情況時，及時向負(fù)責(zé)人 報告。 (4)現(xiàn)場技術(shù)支持時要精神飽滿，穿著得體，談吐文明，舉止莊 重。接聽電話時要文明禮貌，語言清晰明了，語氣和善。 (5)遵守保密原則。對被支持單位的網(wǎng)絡(luò)、主機、系統(tǒng)軟件、應(yīng) 用軟件等的密碼、核心參數(shù)、業(yè)務(wù)數(shù)據(jù)等負(fù)有保密責(zé)任，不 得隨意復(fù)制和傳播。 7 7、代碼管理、代碼管理 為了規(guī)范代碼庫分支管理和版本管理，使代碼分支及版本結(jié)構(gòu)清 晰，方便維護，并避免由于維護造成的錯誤的版本發(fā)布

15、等問題。 代碼統(tǒng)一用 gitlab 進行管理，各分支使用辦法說明如下： 7.17.1 mastermaster 分支分支 master 分支上存放的應(yīng)該是隨時可供在生產(chǎn)環(huán)境中部署的代碼。 當(dāng)開發(fā)活動告一段落，產(chǎn)生了一份新的可供部署的代碼時，master 分支上的代碼會被更新。同時，每一次更新，都有對應(yīng)的版本號標(biāo) 簽（TAG）。 7.27.2 ReleaseRelease 分支分支 Release 分支上方的是測試環(huán)境和準(zhǔn)生產(chǎn)環(huán)境部署的代碼，每次 部署時，將代碼從 dev 合并到 release 上。版本發(fā)布時 release 分 支通過了所有的測試后，并且代碼已經(jīng)足夠穩(wěn)定時，就可以將所有 的開

16、發(fā)成果合并 master 分支。 7.37.3 DevDev 分支分支 Dev 是開發(fā)分支，所有人在這個分支上進行開發(fā)。dev 分支是保 存當(dāng)前最新開發(fā)成果的分支。 7.47.4 緊急緊急 BUGBUG、小版本、小版本 需要發(fā)小版本、修復(fù)緊急 bug 時，拉取最新 master 的代碼，建立新 的分支，修改好后由運維將新的分支合并到 master 上，同時對于 master 分支上的新提交的代碼打上一個新的版本號標(biāo)簽（TAG）， 供后續(xù)代碼跟蹤使用。 8 8、安全管理人員、安全管理人員 8.18.1 信息安全組織機構(gòu)涉及的相關(guān)角色分配如下信息安全組織機構(gòu)涉及的相關(guān)角色分配如下 組長：蔣欣 副組

17、長：劉雨鑫 組員：黃羽翔、韓鴻昌 9 9、安全組織職責(zé)、安全組織職責(zé) 9.19.1 安全組組長、副組長職責(zé)安全組組長、副組長職責(zé) 9.1.1 貫徹執(zhí)行國家和上級部門關(guān)于信息安全的方針、政策。 9.1.2 制定和組織實施信息安全建設(shè)和發(fā)展的總體規(guī)劃。 9.1.3 負(fù)責(zé)信息安全的所有工作； 9.1.4 領(lǐng)導(dǎo)小組審查并批準(zhǔn)的信息安全制度； 9.1.5 分配安全管理總體職責(zé)； 9.1.6 在網(wǎng)絡(luò)與信息資產(chǎn)暴露于重大威脅時，監(jiān)督控制可能發(fā)生的 重大變化； 9.1.6 對安全管理的重大更改事項（例如：組織機構(gòu)調(diào)整、關(guān)鍵人 事變動、信息系統(tǒng)更改等）進行決策； 9.1.7 指揮、協(xié)調(diào)、督促并審查重大安全事件的處理； 9.1.8 對重大安全項目的可行性進行表決。 9.29.2 安全組組員職責(zé)安全組組員職責(zé) 黃羽翔：黃羽翔： 負(fù)責(zé)執(zhí)行安全工作組所承擔(dān)的各項安全職責(zé)； 負(fù)責(zé)協(xié)調(diào)各部門安全管理員完成日常安全工作