1、XXXXX运维服务能力管理手册审 核:XXX批 准:XXXX版本.修改号:A.0受 控 状 态:受控编 号:XXXXX XX年X月X日发布 XX年X月X日实施XXXXXXXXX有限公司目 录0.1 运维服务能力管理手册发布令60.2任命书70.3 公司简介81.目的122.适用范围123.引用标准和术语定义124.组织架构及相关机构职责134.1运维部职责144.2客户服务部职责144.3质量保证部职责154.4人力资源部职责164.5销售部职责:164.6物资采购部职责174.7质量检验部职责174.8技术管理部职责174.9研发部职责185.质量体系185.1第一层文件:运维服务能力管理手
2、册195.2第二层文件:程序文件205.3第三层文件:指导书205.4第四层文件:记录206.运维服务战略与组织206.1运维服务方针与目标206.2运维服务战略216.3运维服务组织与职责227.运行维护服务能力管理247.1策划247.2实施277.3检查287.4改进308.交付318.1交付策划318.2交付实施328.3交付检查338.4交付改进339.应急349.1应急准备349.2监测与预警389.3应急处置4210.人员4510.1人员管理4510.2岗位结构4610.3知识4710.4技能4710.5经验4711.资源4811.1运行维护工具4811.2服务台4811.3备件
3、库4911.4知识库4912.技术5012.1技术研发5012.2与发现问题的相关技术5012.3与解决问题相关的技术5113.过程5113.1服务级别管理5113.2服务报告5213.3事件管理5313.4问题管理5413.5配置管理5513.6变更管理5513.7发布管理5613.8信息安全管理5714.运维服务能力管理手册目录及其对应的标准要素5815.运维服务能力管理体系程序文件清单5916.运维服务能力管理手册编制人员名单600.1 运维服务能力管理手册发布令为了进一步提升XXXXXXXXXX有限公司信息技术运行维护服务能力,规范公司信息技术运行维护服务的能力管理行为,进而为客户提供
4、更优质的信息技术运行维护服务,依据信息技术服务相关标准的要求,结合公司自身信息技术运行维护服务能力的实际情况,编制了XXXXXXXXXX有限公司信息技术运行维护服务能力管理手册(简称运维服务能力管理手册)。本运维服务能力管理手册阐述了公司信息技术运维护服务能力管理的方针和目标,并对公司信息技术运维护服务能力管理体系提出了具体的要求。本手册适用公司自研和集成产品运维服务(基础环境运维服务、硬件运维服务、软件运维服务)。本手册是公司信息技术运维服务能力管理的法规性文件,是指导公司建立并实施运维服务能力管理体系的纲领和行动准则,也是公司对所有客户的承诺,具有严肃性和权威性。本手册按规定的程序编制、审
5、核、批准完毕,准予2015年4月15日起正式发布,即日起生效运行,本公司全体员工必须遵照执行。总经理:XXXXXX年X月XX日0.2任命书依据ITSS.12015标准要求,兹任命XXXX先生为本公司信息技术运维服务能力管理体系的管理者代表,其职责和权限为: 负责组织建立公司的信息技术运维服务能力管理体系,并保持体系的良好运行; 组织公司信息技术运维服务能力管理体系的评审,推动内部审核活动; 向总裁报告信息技术运维服务能力管理体系的运行效果,并提出持续改进的建议; 在公司范围内推动和提高员工的客户服务意识。总经理:XXXXXXXX年X月XX日0.3 公司简介XXXXXXXXXX有限公司注册于北京
6、中关村科技园区丰台园,是一家集研发、生产、销售、系统集成、信息系统运行维护为一体的高新技术企业。运维服务主要内容有:例行维护、响应支持、调研评估和优化改善。运维服务主要类别有:基础环境运维服务、网络运维服务、主机运维服务、存储运维服务、桌面运维服务、基础软件运维服务、自研硬件运维服务和专用软件系统运维服务。公司运维服务长期立足于铁路通信市场,专业优势明显,同时运维服务业务面向司法、交通,军队、公安等多个领域,范围广阔。公司提供5*9,7*9和7*24的三个运维服务级别的软硬件支持及咨询服务,为客户提供放心、舒心的运维服务。1. 目的为提升信息技术运维服务能力管理的科学化、规范化和专业化,确保公
7、司信息技术运维服务相关部门为各客户提供双方协商一致的、安全稳定的信息技术运行维护优质服务,XXXXXXXXXX有限公司依据信息技术服务相关标准的要求,建立遵照国家标准、适应客户需求和管理要求、持续优化的信息技术运维服务能力管理体系,特制定本手册。2. 适用范围本手册适用于公司为客户提供的基础环境运维服务、硬件运维服务、软件运维服务。3. 引用标准和术语定义本手册引用标准为:1) ITSS.12015 信息技术服务 运行维护服务能力成熟度模型2) GB/T28827.1-2012信息技术服务 运行维护 第一部分:通用要求3) GB/T29264-2012 信息技术服务 分类与代码4) GB/T
8、28827.2-2012 信息技术服务 运行维护 第2部分:交付规范5) GB/T 28827.3-2012 信息技术服务 运行维护 第3部分:应急响应规范6) ISO20000.1:2011信息技术 服务管理 第一部分: 服务管理体系要求7) ISO9000:2005质量管理体系基本原理和术语8) ISO9001:2008质量管理体系要求4. 组织架构及相关机构职责 机构图4.1 运维部职责1) 负责组织公司的运维服务能力管理需求分析和规划工作;2) 负责建立并维护运维服务目录及服务级别协议;3) 负责公司运行维护方面的事件管理、问题管理、配置管理管理、变更管理、发布管理、信息安全管理方面的
9、日常工作,以保证符合对客户的服务级别承诺;4) 负责运维服务项目实施、交付;5) 配合研发部进行运维监控工具、过程管理工具和其它工具的研发;6) 负责与运维相关标准及外来文件的收集;7) 配合其它部门开展相关工作。4.2 客户服务部职责1) 负责服务台的运作管理工作,使用有效手段和方法受理需方的运行维护服务请求,及时跟踪服务请求的处理进展,确保实现SLA要求;2) 负责顾客满意度调查,为改进服务质量提供依据;3) 负责收集客户意见,整理和分析服务过程数据和信息,分别转送公司相关部门;4) 负责根据客户需求,对客户的相关培训进行组织与管理;5) 负责对返厂维修的顾客财产进行防护、对标识和可追溯性
10、进行控制,确保标识清晰,可追溯性符合要求,防护满足质量要求;6) 配合其它部门开展相关工作。4.3 质量保证部职责1) 协助管理者代表,对公司运维服务能力管理体系进行策划、实施、监督、维护;2) 协助管理者代表,组织、协调、检查和完善运维服务能力管理体系,确保相关记录完整、有效;3) 负责组织编写运维服务能力管理手册、程序文件、规范等文件;4) 负责运维服务能力管理体系相关文件OA系统平台的发布、删除、更新等管理工作;5) 负责组织与相关方进行运维服务能力管理体系的信息交流、协商与沟通;6) 负责组织相关部门进行客户投诉处理;7) 负责运维项目过程审核与质量保证工作;8) 负责收集并提供管理评
11、审所需资料,组织各部门编制并提供评审输入材料,参加管理评审会议;负责改进措施的组织实施以及后续的跟踪和验证活动;负责编制管理评审报告,保存管理评审记录;9) 负责组织实施运维服务能力管理体系的内部审核;10) 负责运维服务能力管理体系的运行过程进行监视和控制;确保过程按体系策划要求执行;11) 负责收集、统计、分析适当的数据(包括顾客满意相关信息),证实运维服务能力管理体系适宜性和有效性;4.4 人力资源部职责1) 负责公司人力资源归口管理工作,保证人力资源能满足需求;2) 负责在各部门的协助下进行工作分析,制定公司部门职责及岗位说明书;3) 制订、修改公司各项人力资源管理制度和管理办法;4)
12、 负责公司招聘管理工作;5) 负责公司培训管理工作;6) 负责公司薪酬与绩效管理工作;7) 负责公司员工关系管理工作;8) 配合其它部门开展相关工作。4.5 销售部职责:1) 负责公司的市场开拓和经营销售工作;2) 负责公司项目的招投标工作;3) 负责公司项目的合同签定、项目进度的跟踪;4) 参与制订及维护公司运维服务目录;5) 参与制订并审核公司对客户的所有的服务级别承诺文件(SLA);6) 负责编制生产建议计划; 7) 负责公司的销售回款工作;8) 负责成品库的各项管理工作;9) 配合其它部门开展相关工作。4.6 物资采购部职责1) 依据生产计划、备品备件计划或相关信息,按照产品明细编制采
13、购计划并实施采购(含外协件);2) 负责公司供方管理工作,组织公司物资采购、外协件加工的合格供方的评定和选择,保存评定的相关记录;3) 负责备品备件库的管理;4) 负责组织相关人员对备品备件的可用性进行检测;5) 保存各项采购物资的相关票据和产品合格标识;6) 负责对已采购产品的接收及交检合格后的结算、入库、登账;7) 负责对材料库的标识和可追溯性进行控制,确保标识清晰,可追溯性符合要求;8) 负责采购物资的防护满足质量要求;4.7 质量检验部职责1) 负责采购物资的来料检验工作;2) 负责对备品备件的可用性进行检测,出具检测报告;3) 配合其它部门开展相关工作。4.8 技术管理部职责1) 建
14、立并维护公司知识库;2) 负责公司各类文件与档案的管理工作;3) 配合其它部门开展相关工作。4.9 研发部职责1) 根据运维项目及市场分析,制定研发规划,包括新技术和前沿技术的应用、技术储备等;2) 负责配置与规划相适应的研发环境;3) 负责配置与规划相适宜的研发队伍;4) 负责提供和开发与发现问题相关技术;5) 负责提供和开发与解决问题相关的技术。5. 质量体系本手册是XXXXXXXXXX有限公司信息技术运行维护服务管理体系的具体体现,内容包括运行维护服务能力、人员、资源、技术、过程、交付、应急等内容。各部分内容基于公司战略与管理要求,以客户需求为导向,基于PDCA的管理思想进行持续优化。X
15、XXXXXXXXX有限公司信息技术运行维护服务管理体系如下图所示:图片信息技术运行维护服务管理体系文件分为四层,如下图所示:5.1 第一层文件:运维服务能力管理手册第一层文件即运维服务能力管理手册,也就是本手册,是公司级运维服务能力管理体系的纲领性文件之一,本手册为运维服务能力管理体系的第一层文件。5.2 第二层文件:程序文件根据公司IT服务的特点,结合ITSS.12015的规范要求,将各二级文件归类分为服务级别管理、服务报告管理、事件管理、问题管理、配置管理、变更管理、发布管理、信息安全管理、服务交付规范管理、应急响应规范管理、服务台管理、备件库管理、知识库管理、技术研发管理、人力资源管理等
16、。5.3 第三层文件:指导书三级文件:包括各部门制订的规则、惯例和约定等。5.4 第四层文件:记录四级文件:包括支持一级、二级文件的相关记录模板、文档模板等。支持文件YWB03-0115文件管理控制程序A.0YWBO4-0115记录管理控制程序A.06. 运维服务战略与组织6.1 运维服务方针与目标6.1.1 服务理念公司坚持以“以客户为中心,服务创造价值”的经营服务理念,不断提升自身运维服务能力,从客户利益出发,以客户需求为导向,通过为客户提供优质、专业的运维服务,持续不断的创造和提升客户价值。6.1.2 服务方针公司的服务方针是:“提供一流运维服务,创造客户最大价值”。依靠公司强大的技术服
17、务团队,采用先进的信息技术,基于科学的运维服务能力管理体系和运维平台,为客户提供专业化、规范化、高效率的运维服务。6.1.3 服务目标本公司的服务目标是按年度周期制定,通过管理评审完成。在年度的管理评审中,对上年度的服务目标的完成情况进行考评、总结,在此基础之上进行改进,形成新年度的服务目标。新年度的服务目标是由公司质量保证部组织编制,提交管理评审会议进行评审、进行适度的修改后,经总经理批准,向全公司发文进行公布。本公司郑重承诺:有能力稳定地提供满足客户和适用法律法规要求的信息技术运行维护服务;保持运维服务能力管理体系良好运行,对任何偏离运维服务方针的行为坚决抵制,严肃处理;为客户提供的运维服
18、务,严格按照服务协议(SLA)执行;6.2 运维服务战略依据公司发展战略,公司的运维服务战略是:凭借公司优秀的专业化服务团队和丰富的行业信息技术服务经验,为客户提供专业化、规范化、高效率的运维服务,把XXXXXXXXXX有限公司建设成为国内一流的信息技术运维服务提供商。6.3 运维服务组织与职责根据公司的服务战略和管理要求,结合信息技术服务相关标准,XXXXXXXXXX有限公司将建立统一的信息技术运行维护服务管理体系,负责公司信息技术运行维护服务管理的规划和执行。信息技术运行维护服务管理体系组织结构分为三个层面,分别是:信息技术运维服务能力管理指导组、服务过程组、服务实施组,三者之间的相互关系
19、如下图所示:6.3.1 信息技术运维服务能力管理指导组信息技术运维管理指导组由公司总经理、管理者代表和相关部门负责人组成,负责公司运维服务总体规划,并根据公司总体战略,制定运维服务战略,确定服务方针与目标,构建专业的运维服务团队,引进先进的标准与规范,采取有效手段,实现服务战略目标。主要职责是: 制定公司运维服务能力管理战略、方针、目标; 建立公司运维服务能力管理体系的组织架构,明确岗位和职责,以确保运维服务相关活动得以执行; 建立公司高层与客户的沟通机制,确保公司正确把握客户的需求; 提供公司从事运维服务的人力、技术、工具等资源保障,确保运维服务的策划、实施、检查、改进等过程得以执行,达到提
20、高客户满意度的目的; 管理运维服务相关风险; 定期组织管理评审和内审,以确保运维服务能力管理体系的持续性、适用性和有效性。6.3.2 信息技术运维服务过程组信息技术运维服务过程组由公司各个服务部门内相关岗位组成,负责运维服务能力管理体系各流程的建立、更新和持续优化,并负责管理各流程执行绩效的考核。其主要职责有: 根据公司运维服务业务的实际情况,负责公司运维服务能力管理体系流程的建立、更新、完善和优化; 定期向信息技术运维服务指导组汇报运维服务能力管理体系执行情况; 对信息技术运维服务的实施进行资源调配; 对信息技术运维服务实施组提供技术支持和业务指导; 制定信息技术运维服务年度目标和计划; 负
21、责公司运维服务能力管理体系在公司内部的推广和培训工作; 配合公司定期组织的运维服务能力管理体系内审和外审工作。6.3.3 信息技术运维服务实施组信息技术运维服务实施组由公司运维服务相关实施部门的项目经理、运维服务工程师组成,其主要职责是负责运维服务能力管理体系服务内容的具体实施。运维服务能力管理体系岗位设定及岗位职责见体系三级文件岗位说明书。7. 运行维护服务能力管理7.1 策划运行维护服务策划阶段包括运维服务目录管理、运维服务规划等内容。具体包括: 制定公司运维服务目录,并根据业务发展更新运维服务目录; 依据公司业务需求,建立与运维服务相适应的组织架构和管理制度; 建立公司运维服务的指标体系
22、和保障体系; 识别、评估和管理运维服务能力管理体系各项风险,以确保完成所计划的指标; 策划并获得完成目标所需的相关资源(人员、资源、技术、过程等); 策划运维服务质量改进计划 依据公司运维服务战略,制定公司运维服务年度计划,明确运维服务能力管理的需求及目标。7.1.1 运维服务目录管理公司运维部负责建立、修订、完善运行维护服务目录,并负责服务目录的管理。服务目录主要包含服务项目、服务内容、响应时间、服务频度、交付方式和服务交付成果等相关内容。由公司运维部统一制订和发布运维服务目录,并配合运维服务的宣传推广工作,使公司内外部用户了解运维服务内容和服务产品,在客户需要时可以便捷、准确、及时的获得相
23、关服务。运维部应定期修订、完善服务目录,修订服务内容,根据运维服务的生命周期,定期增加或删除服务内容。7.1.2 公司运维服务能力计划公司运维服务能力计划,在每个年度的年初编制,每年一次。公司运维服务能力计划由公司运维服务能力管理体系管理者代表负责组织编制。公司运维服务能力计划是公司运维服务战略的体现,主要内容包括如下几个方面: 运维服务市场分析和业务展望; 公司运维服务战略规划和战略执行计划; 运维服务团队人力资源计划、储备、培养和培训; 运维服务资源计划;(1) 运维服务工具计划;(2) 运维服务人力资源计划 运维服务技术研发计划; 运维服务能力管理体系改进计划; 运维服务能力管理指标的优
24、化;7.1.3 部门运维服务能力计划部门年度运维服务能力计划在公司服务战略和运维服务规划指导下,分解、细化工作目标,制订相关的措施和行动,确保公司运维服务目标的实现。主要内容包括: 运维服务战略任务分解与计划; 运维服务需求分析; 运维服务业务部门的工作目标; 运维服务业务部门工作指标和任务分解; 运维服务业务部门人力资源计划,包括储备、培养培训计划; 运维服务业务部门的服务工具改进计划; 运维服务能力管理体系改进计划; 运维服务技术研发计划; 重点工作改进计划等。7.1.4 运维服务质量计划 内审 管理评审 内部过程改进 客户满意度 运维服务指标数据分析(会分公司级、部门级、项目级)7.2
25、实施公司运维部及各运维服务相关部门依照运维服务能力管理体系要求,在公司运维服务能力计划的基础上,执行运行维护服务的相关流程,实施、管理与交付服务,以满足与客户协商确定的服务承诺。具体包括: 制定与公司运维服务能力管理体系和公司运维服务能力计划相适宜的部门运维服务实施计划和项目管理制度,保证运维服务策划所要求的服务能力及服务质量; 建立与客户有效沟通协调的制度,以保证客户的需求和反馈得到充分的确认; 运维服务实施过程所有记录需按要求执行并存档,保证服务过程可追溯,结果可计量和评估,便于发现运维服务能力的不足,进而持续改进; 依据运维服务能力计划和SLA对交付物进行验证,保证交付物满足客户要求和公
26、司的目标; QA对交付过程和交付物进行客观审计; 质量保证部对实施结果定期组织总结评估,提出问题改进办法和优化建议。支持文件项目管理控制程序沟通管理控制程序记录管理控制程序过程与产品质量保证控制程序7.3 检查为保证公司运维服务能力管理体系和服务能力的持续性、适用性和有效性,应对实施结果和过程的执行进行检查、计量、评审和分析。具体包括: 公司质量保证部负责每年定期组织一次例行的内审工作,对运维服务体系运行的过程和指标进行检查,对不符合管理要求的过程和指标进行跟踪验证,直至闭合,并编制审核报告报公司运维服务能力管理层决策; 公司管理层每年进行一次例行的管理评审,对运维服务体系的现状和适应性做出评
27、价; 内部过程改进; 公司定期调查客户满意度,并对调查结果进行统计分析; 运维服务指标数据分析。7.3.1 内审为验证运维服务能力管理体系活动和有关结果是否符合信息技术服务相关标准要求和公司运维服务能力管理体系文件,公司质量保证部组织相关服务部门针对运维服务能力管理体系进行内部审查工作。年度内审计划由质量保证部负责编制,根据各部门服务管理体系实施情况、重要性及以往审核结果编制年度内部审核计划,内审计划报管理者代表批准后实施。内部审核每年至少进行一次,审核应覆盖运维服务能力管理体系涉及的所有部门和运维服务能力管理体系全部要求。内审小组的人员构成主要由质量管理人员、运维服务流程负责人等组成。运维服
28、务能力管理体系可与质量管理体系一并审核。具体的审核程序按体系二级程序文件内审控制程序执行。7.3.2 管理评审为确保公司运维服务能力管理体系和服务能力的持续性、适用性和有效性,公司管理层每年进行一次例行的管理评审,对运维服务体系的现状和适应性做出评价。管理评审由公司总经理主持,管理者代表和质量保证部具体组织和实施相关准备工作,就组织机构、人员、资源、技术、过程、交付、应急方面作出决策,以保证体系持续有效的要求。管理评审每年一次,特殊情况下,如:管理方针、目标、组织结构、业务流程出现重大调整,出现重大的质量事故和客户投诉,由运维服务能力管理体系指导组成员提出申请,经管理者代表批准后,管理评审可随
29、时举行。管理评审的具体要求按体系二级程序文件管理评审控制程序执行。7.3.3 客户满意度公司客户服务部负责调查客户满意度信息,将其作为运维服务能力管理体系有效的一种度量,并充分加以利用,关于客户满意度调查按体系二级程序文件客户满意度调查控制程序执行。7.4 改进为了改进公司运行维护服务能力管理过程中的不足,持续提升运行维护服务能力,管理者代表应组织好改进过程的策划工作,由质量管理部负责实施改进过程的管理。具体包括: 制定有效的、全面的服务能力改进机制,确保公司运维服务能力不断提高。有关改进相关要求见体系二级程序文件过程改进控制程序; 对管控过程中发现的不符合策划要求的行为和未达成的指标进行总结
30、、调查分析,质量管理部负责根据分析结果确定改进措施,监控改进计划的落实。有关总结、调查分析见体系二级程序文件度量与分析控制程序; 改进相关过程文件,包括制度文件、分析报告、改进计划和相关记录等应予以存档。8. 交付为了向用户方交付有效、高效和合理的运维服务,使公司和用户方对运维服务交付标准达成一致,为用户方和公司提供运维交付的最佳实践和质量评估。公司对服务交付过程规划、实施、检查和改进以保障运维服务SLA的达成。8.1 交付策划根据用户方需求和公司自身能力,双方协商签署项目级服务级别协议;公司做好必要的交付准备,按照项目管理及服务交付控制程序制定运维项目计划,确保服务正常提供。运维项目计划中内
31、容包括: 依据服务目录与用户方确认服务级别协议; 编制交付实施计划、交付检查计划和交付改进计划; 配备符合能力要求的管理人员和专业人员; 明确职责分工、服务流程和关键技术要求,必要时提供服务手册和技术手册; 准备必要的资源,如备件、工具、服务台和知识库; 明确考核要求、计算办法和奖惩措施; 明确服务交付过程中的安全要求,并采取保障措施,如签署保密协议等; 明确服务交付过程中可能存在的各种风险,制定风险规避计划; 与用户方就必要信息达成共识,如时间计划、人员配备、投诉受理渠道及流程等; 明确供需双方产生异议的处理原则; 明确供需双方在交付过程中产生遗留问题的处理原则; 针对应急事件制定预案,8.
32、2 交付实施按照交付策划向用户方提供运行维护服务,完成服务级别协议规定内容。交付实施过程中公司应按照规定的服务级别、服务报告、事件、问题、配置、变更、发布、信息安全8个过程程序管理要求进行过程实施和记录。实施过程要确定: 按照交付策划的要求实施; 对关键服务信息有记录,如内容、过程、状态、人员和时间等; 保证关键信息及时传递到供需双方相关人员,如项目经理、上级主管、技术主管等; 记录和统计衡量服务级别协议所需信息,如响应时间、现场支持时间等; 按照管理要求和服务承诺提交服务报告; 建立并使用知识库,及时归档文件,分享经验; 确保人员、操作、数据以及工具等符合交付策划中对安全的要求; 根据风险规
33、避计划及时处理实施过程中发现的风险。8.3 交付检查公司质量保证部按服务转换管理程序要求,以项目计划为基准对项目做过程审计和项目质量点检查确保项目的交付过程和果的有效性,通过抽查和定期的客户满意度调查,和用户方确认完成情况和满意度情况,并对发现的问题提出改进建议。通过交付策划与交付实施的对比检查,交付检查过程中公司应: 依据交付策划对交付实施情况进行检查; 向用户方调查满意度; 对服务交付的情况做审计评估; 检查交付过程中遗留问题的处理情况; 检查评估交付各过程中的安全情况和风险规避情况。8.4 交付改进总结和分析不符合的服务交付,项目负责人以及各领域连续性负责人应根据业务影响分析,按照公司顾
34、客满意度调查控制程序和过程改进控制程序对不符合和用户方不满意,以及需要规避改进的内容进行跟踪性改进,以确保服务持续改进。交付改进过程中公司应: 总结分析不符合服务级别协议的服务交付,提出并实施改善建议,跟踪反馈; 调查分析用户方投诉或满意度低分项,与用户方确认不满意的具体内容,提出并实施改善意见,跟踪反馈; 对需要规避的安全问题和风险提出并实施改进措施,跟踪反馈; 按照交付改进计划持续改进; 在必要时协商修订服务级别协议。9. 应急为预防和控制潜在的事故或紧急情况,并对其做出应急准备和响应,最大限度地减少可能产生的事故和可能造成的后果,公司按照应急响应管理控制程序对应急准备、监测与预警、应急处
35、置和总结改进进行管理。9.1 应急准备9.1.1 建立应急响应组织运行维护服务的组织由相关利益方组成,包括服务用户方、服务公司、分包方、供应商等。应在运行维护服务组织基础上建立应急响应组织,要求如下: 应急响应组织的人员应属于运行维护服务组织的人员,也可包括其他机构的专家和人员; 应规定运行维护服务及应急响应所有相关利益方的角色及职责,并为关键角色提供备份人选。 应就应急响应服务的范围、要求等与相关利益方达成一致,确定沟通流程和方式,并形成记录; 运行维护过程中涉及组织和人员的变更应与相关利益方达成一致,并形成记录; 应建立对应急响应组织内人员的考核机制,明确考核指标及方法。考核至少每年进行一
36、次,以确保组织能持续满足应急响应要求。9.1.2 制定应急响应制度公司制定应急响应管理控制程序,明确应急响应的目标、原则、范围,并要求: 与相关利益方就应急响应制度达成一致; 定期对应急响应制度进行评审; 在组织战略、业务流程、客户要求等发生重大变化时对应急响应制度进行调整。9.1.3 风险评估与改进9.1.3.1 风险评估按照确定的方法和流程对重要信息系统实施风险评估,确保了解其在运行维护过程中的关键活动、所需资源、限制条件及信息系统面临的各种风险要素。了解当风险演变为应急事件时所产生的影响和后果,以及信息系统服务中断所带来的损失。企业授权组织内或组织外的服务公司进行风险识别,并将授权通知到
37、所有相关利益方。被授权的服务公司应结合具体的信息系统现状和要求,从技术和管理等方面确定风险要素。应对风险要素进行评估,形成风险评估报告,报告内容应包括: 结论摘要; 背景及现状; 风险要素; 识别出的风险及风险分析; 建议的应对措施。 应在用户方授权范围内对风险评估报告进行评审和沟通,并达成一致。9.1.3.2改进对于识别出的各种风险,制定明确的控制策略,必要时应对信息系统进行升级改造。可供选择的风险控制策略包括:风险规避、风险转移、风险降低、风险接受。根据风险评估报告,组织应该形成改进方案并实施,以利于: 降低风险转变为应急事件的可能性; 缩短应急事件的持续时间; 限制应急事件的影响范围。9
38、.1.4 应急事件级别划分组织按照信息系统的重要程度、信息系统服务时段、信息系统受损程度要素对可能发生的应急事件进行级别划分。组织结合自身的业务要求,对应急事件级别对应的响应时间、处置完成时间等达成一致。组织根据应急事件级别配置响应的保障措施,如人员、资金和设备等。9.1.5 应急响应预案制定9.1.5.1预案制定与评审根据应急事件级别制定应急响应预案。应急响应预案可以分为总体预案和针对某个核心系统的专项预案。应急响应预案的格式应该能够为应急响应组织进行系统恢复操作提供快速明确的指导。应急响应预案应该明确、简洁,易于在紧急情况下执行,并使用检查列表。应急响应预案的内容应包括: 应急响应预案的编
39、制目的、依据和适用范围; 具体的组织体系结构及人员职责; 应急响应的监测和预警机制; 应急响应预案的启动; 应急事件级别及对应的处置流程、方法; 应急响应的保障措施; 应急预案的附则。服务用户方应组织对应急响应预案进行评审,并与相关利益方达成一致。9.1.5.2预案发布 经过评审确认的应急响应预案,应由应急响应责任者负责发布。 应急响应预案应进行版本控制。9.1.6 培训与演练9.1.6.1培训制定应急响应培训计划,并组织相关人员参与。应急响应预案应作为培训的主要内容。培训应使得组织及人员明确其在应急响应过程中的责任范围、接口关系,明确应急处置的操作规范和操作流程。培训应至少每年举办一次。9.
40、1.6.2演练为检验应急响应预案的有效性,同时使相关人员了解运行维护预案的目标和内容,熟悉应急响应的操作规程,组织应进行应急演练,应: 预先制定演练计划、演练脚本; 演练的整个过程应有详细的记录,并形成报告; 演练不能影响业务的正常运行。为提升应急响应能力,组织可采用无脚本演练。必要时,组织可根据演练的效果,对应急响应预案进行完善。9.2 监测与预警9.2.1 日常监测与预警9.2.1.1 范围组织应持续开展日常监测活动,实施有效预警,范围如下:a)组织应该对运行维护服务对象的运行情况进行监测与预警,以跟踪和判别以下对象的容量、可用性和连续性: 应用系统; 支撑应用系统运行的系统软件、工具软件
41、; 网络及网络设备; 安全设备; 主机、存储、外设、终端等设备; 电力、空调、消防等基础环境。b)组织应对信息系统所承载的业务数据进行监测,以跟踪和判别业务数据是否超出了预警条件。 9.2.1.2手段与工具结合运行维护服务级别协议和应急响应预案,开展日常监测与预警活动,包括: 设立服务台并保持运营; 建立知识库并保持更新; 确定监测项、监测时间间隔与阈值; 确定活动中的人员、角色和职责。也可以采用运行维护工具与人工相结合的方式开展日常监测与预警活动。9.2.1.3记录与报告建立监测、预警的记录和报告制度,并按照约定的形式和时间间隔上报现场负责人。发现应急事件时,值班人员提交报告,报告内容应包括
42、: 应急事件发生及发现的时间、位置; 现象描述; 影响的范围; 初步原因分析; 报告人。报告应及时提交给现场负责人。报告方式包括电话、邮件、传真或书面文件等,并确认对方收到报告。值班人员应采取必要措施,开展应急事件的先期处置,以提高应急响应效率,避免次生、衍生事件的发生。对应急事件保持持续性跟踪。9.2.2 核实与评估9.2.2.1 核实现场负责人应对报告内容进行逐项核实。核实确认后的应急事件报告,应提交给应急响应责任者。应急事件报告应作为事件级别评估的输入。重点时段保障需求也应作为事件级别评估的输入。9.2.2.2 事件级别评估现场负责人应根据事件级别定义,初步确定应急事件所对应的事件级别。
43、应将事件级别置于动态调整控制中。9.2.3 应急响应预案启动9.2.3.1预案启动公司建立应急响应管理控制程序,以控制预案启动的授权和实施。公司就应急响应预案启动可能造成的影响进行评估。相关利益方之间就启动何种类型预案达成一致,包括当事件升级时,与之相对应的预案调整的方式。可根据先期处置要求进行应急响应预案的自动启动,或由应急响应责任者或现场负责人启动预案。记录应急响应预案启动的过程和结果。重点时段保障应启动的应急响应预案可参考同级别预案确定。9.2.3.2信息通报项目现场负责人向相关利益方通报应急响应预案启动信息,内容应包括: 预案启动的原因; 事件级别; 事件对应的预案; 要求采取的技术应
44、对措施或处置的目标; 实现目标所应采取的保障措施,如人员、资金和设备等; 对应急处置过程及结果的报告要求,如报告程序、报告内容、报告频率等; 信息通报的范围和接收者。信息通报应选取适当的方式,如电话、邮件、传真、书面文件等。所有相关利益方应对收到的通报信息进行确认和反馈。9.2.3.3 监测与预警状态的调整通报信息应作为监测与预警状态调整的输入,调整内容包括监测范围、监测频率等。监测与预警状态的调整应通知各相关利益方。9.3 应急处置9.3.1 应急调度公司按照预案,开展统一的应急调度,包括人员、资金和设备等。应急调度中要: 获取现场信息; 组织必要人员进行勘察、分析; 下达调度命令并保持跟踪
45、; 保护可追查的相关线索。9.3.2 排查与诊断9.3.2.1基本流程故障排查与诊断的流程应包含以下内容: 现场负责人调度处置人员进行现场故障排查; 现场处置人员进行故障排查和诊断,必要时可寻求组织其他人员以现场或远程方式进行支持,在此过程中可借助各类排查诊断分析工具,如应用软件、电子分析工具、故障排查知识库等; 现场处置人员应随时向现场负责人汇报故障排查情况、诊断信息、故障定位结果等; 将排查与诊断的过程与结果信息进行整理与归档。9.3.2.2问题沟通与确认处置过程中,现场负责人应及时与相关利益方进行沟通,沟通的内容主要包括系统故障点、造成故障的原因、排查诊断状况等。现场负责人应组织相关利益方对问题进行确认。问题确认过程不应延误处理与恢复工作的开展。9.3.3 处理与恢复