网络运维管理制度范文

导语：如何才能写好一篇网络运维管理制度，这就需要搜集整理更多的资料和文献，欢迎阅读由公务员之家整理的十篇范文，供你借鉴。

网络运维管理制度

篇1

作为“宽带网络校校通、优质资源班班通、网络学习空间人人通”三通工程的基础，优质的网络环境是学校信息化建设的基础，学校网络管理涉及教学、管理、服务、宣传、后勤等学校工作的很多方面。笔者结合多年的学校网络管理经验，探讨如何做好新时期学校网络管理的工作，希望能为其他网络管理员提供借鉴。

关键词：学校网络管理工作措施分析

学校网络；网络管理；网络维护；网络管理员

随着我国教育信息化的飞速发展，学校教育信息化水平显著提升。作为“宽带网络校校通、优质资源班班通、网络学习空间人人通”三通工程的基础，优质的网络环境是学校信息化建设的基础，学校网络管理关系到一线教师的教学和学生的学习，网络管理员的工作不仅仅限定在网络技术上，还涉及教学、管理、服务、宣传、后勤等学校工作的很多方面。如何做好新时期学校网络管理的工作是每一位网络管理员必须要认真思考并积极实践、探索的问题。笔者结合多年的学校网络管理经验，探讨如何做好新时期学校网络管理的工作，希望能为其他网络管理员提供借鉴。

1学校网络管理员的定位

网络管理员的工作内容技术性很强，也十分复杂。作为学校教育信息化工作的重要组成部分，网络管理肩负着“铺路搭桥”的重要任务。网络管理员对自己在学校整体工作中的定位决定了其在学校整体工作中发挥作用的大小。学校网络管理员应将自己定位为学校教育信息化建设和管理者，除了从事网络建设、网络管理、网络宣传外，还应承担电脑日常维护工作。

2学校网络管理员的主要工作

学校网络管理员工作的主要内容分为网络建设、网络管理、网络宣传和教师培训四个方面。

2.1学校网络建设

网络建设的主要内容包括以下几个方面。（1）规划网络发展。制定中长期和短期发展规划，以适应不断变化的信息化教学和管理信息化的需求。（2）组建局域网。这是学校网络建设的实践部分，规划学校网络拓扑结构，利用物理硬件实现网络拓扑结构，合理规划并设置网络设备的网络协议。（3）新增或升级网络设备。定期检查老旧设备，根据学校自身情况新增或升级网络设备，不断了解新技术、新设备，并尝试将其应用到学校网络管理中。

2.2学校网络管理

学校网络管理是网络管理员的日常工作，也是最复杂的一项工作，主要包括：网络设备配置；网络实名制管理；无线网络管理；网络故障检测与维修；网络病毒检测与防范；校园平台服务器建设与维护；网络设备台账建立与更新；教师安全上网培训。

2.3学校网络宣传

学校网络宣传侧重校园信息宣传平台的建立与运维。（1）校园信息平台建设与维护。协助规划与建设校园信息平台；负责学校信息平台的日常运行维护，保障网络运行安全、稳定；对学校信息平台的用户进行管理，向用户提供技术咨询及指导服务；负责学校信息平台各种教育资源的建设和管理；定期向上级教育网络中心报告平台运行情况，并收集与反映本单位用户的意见；负责保存平台运行的有关记录，并接受上级教育网络中心和相关部门的检查。（2）新媒体建设与运维。微信、微博等新媒体平台申请与建设；微信、微博等新媒体平台运维；跟踪热点信息和重大事件；学校重要活动报道与宣传；将新媒体平台与信息平台结合，进行立体交互式宣传。

3网络管理员应掌握的知识

网络管理员的岗位对技术的要求很高，网络管理员需要取得国家软考网络管理员的资格证书或者厂商培训考核后的证书。为了能胜任学校网络管理工作，网络管理员需要具备的基本能力包括：熟悉计算机系统基础知识；熟悉数据通信的基本知识；熟悉计算机网络的体系结构，了解TCP/IP协议的基本知识；熟悉常用计算机网络互连设备和通信传输介质的性能、特点；熟悉Internet的基本知识和应用；掌握局域网技术基础；掌握以太网的性能、特点、组网方法及简单管理；掌握主流操作系统的安装、设置和管理方法；熟悉DNS、WWW、MAIL、FTP和服务器的配置和管理；掌握Web网络的建立、管理与维护方法，熟悉网页制作技术；熟悉综合布线基础技术；掌握交换机和路由器的基本配置；熟悉计算机网络安全的相关问题和防范技术；了解计算机网络有关的法律、法规，以及信息化的基础知识；了解计算机网络的新技术、新发展；正确阅读和理解计算机领域的简单英文资料。除了网络管理的基础知识以外，学校网络管理员还应具有利用网站及新媒体宣传的能力，具体包括：程序设计基础知识、算法基础、网站前端页面设计与开发、网站后台设计与开发、网站后台日常管理、网站运行环境搭建与管理、网站服务器日常管理维护、微信公众号申请、微信公众号信息、第三方微信公众号文章编辑平台使用、微信公众号运维、微博申请、微博信息、微博运维、图片及视频处理。

4学校网络管理制度建设

要想将学校网络管理工作的所有内容流程化、标准化，就需要建立一套完备的学校网络管理制度。一套完备的学校网络管理制度一般包括：学校网络管理制度、学校网安全管理制度、计算机病毒防范管理制度、学校网络中心机房管理制度、网络中心机房值班制度、学校网站信息公开审核制度、学校门户网站运维制度、学校微信公众号信息公开审核制度、学校微信公众号运维制度、学校微博信息公开审核制度、学校微博运维制度、学校网络与信息安全类突发事件应急预案、学校网络安全管理协议、文明上网、文明办网协议、网络信息安全保密协议书、员工离职保密协议等。只有具备健全的网络管理制度才能有效提升网络管理水平。学校诸多网络安全制度在建立时要避免应付，很多学校为了应付上级部门和公安部门的检查，从网络上下载全套的网络管理制度，仅仅修改了学校名字就打印装订成册，检查之后就束之高阁，永久存放在档案盒之中。学校网络管理相关制度的建立，要切实遵守相关的法律法规（如《中华人民共和国计算机信息系统安全保护条例》《中华人民共和国计算机信息网络国际联网管理暂行规定》《计算机信息网络国际联网安全保护管理办法》《教育部教育网站和网校暂行管理办法》等）、上级部门的相关规定，还要考虑学校的实际情况（硬件条件、软件条件、管理制度、运行机制等），该建立的建立，需要和每一位教职工签订的协议一定要签订，要避免因人而异，切实建立起一套有作用、有效果、有水平的网络管理制度。制度建设是良好网络管理的一个重要部分。学校网络管理制度建立之后最重要的事情就是执行，好的执行力是好的制度的保障，特别是涉及对外宣传的网站平台的管理、微信公众号的管理、微博的管理、业务爆发期的网络运维及值班的管理、重大事件等敏感时期网络安全、运维及值班的管理等。每一次管理、维护、值班、审核等操作都需要按照制度规定的要求走完所有的流程，不要因为着急漏掉，这样会导致在事件爆发时出现事情难以说清楚的情况。

5结语

篇2

【关键词】变电运维；隐患问题；解决方案

对于电网安全来说，变电运维是其中的重点环节，变电运维质量的好坏关乎整个电网的安全和稳定。所以其中的变电运维岗位就成为了供电企业最重要的生产一线岗位之一，其操作的好坏直接影响到变电运维的安全稳定。因此，要求变电运维人员有很强的责任心，高超的技能水平，宽广的知识面。而由于其设备众多、管理和维护工作繁重等原因，电网系统中会经常突发一些设备安全问题，这些问题都对电网安全运行带来了极大的影响。

1 现代电网的特点及变电运维的必要性

随着整个电网系统信息网络的完善和企业信息化建设，变电运维的效率得到了提升，其流程也趋于规范化，不仅仅实现了变电运维的安全和稳定，同时，也加强了企业的资源整合能力。就变电运维的定义来说，就是在整个电力系统的运行中，对电网进行运行管理、倒闸以及事故处理。在承担这样的重任的前提下，对于变电运维工作人员的要求即是保证电网可靠、安全、稳定以及经济运行。在变电运维工作人员维护电网运行的过程中，任何不规范行为都会直接影响电网运行的安全性、经济性和稳定性，更有甚者会发生重大的安全事故。因此，整个电力系统能否安全运行的关键就在于电力运行中的安全问题，其中变电运维承担电力系统中的骨架作用，一旦发生事故，不仅仅会妨碍用户的正常用电、严重的事故会引发设备损坏，甚至造成整个电力系统瓦解，都严重影响到国民经济的建设和人民的生命、财产安全。

2 变电运维问题的来源

2.1 安全管理制度执行力不强

不仅对于变电运维中的安全事故，各类安全事故的发生大部分原因都是来源于安全管理制度执行力。针对变电运维管理，只有时刻谨记完善安全管理工作，才可能最大程度降低事故发生的可能性。就目前变电运维管理的现状来看，问题主要集中在部分变电运维人员对安全工作认识不够，尽管出台了大量安全管理制度，但作业现场有章不循、违章作业的现象仍然存在。部分变电运维员工安全生产、遵章守纪和标准化作业意识淡薄，在执行安全管理制度时随意性大，破坏规则的现象时有发生。同时员工安全管理培训普遍存在时间短、质量不高、效果不佳的问题，缺乏统一规范的量化考核标准，员工学习积极性没有发掘出来，难以真正发挥提高业务水平的作用。类似这些小问题不能及时纠可能就会导致变电运维过程中出现事故，所以要求重视这类问题。

2.2 设备老化和作业现场设备维护问题

对于变电运维则是需要在电气设备的支撑下进行。所以，变电运维所需的电气设备从出厂到投入使用，随着使用年限的增加，设备也逐渐进入老化状态，需要及时更新，否则就会发生安全事故。对于不需要更新的电气设备则需要在日常使用过程中对其进行维护，对于设备安全隐患，要严格按照时间节点落实整改，一旦维护不够，电气设备在使用过程中就很可能会发生事故。

2.3 操作问题

上文也提到了变电运维特点就是其所需的设备比较多。因此，需要操作如此多的设备的情况下，自然而然地异常和故障的发生几率就会变大。并且工作人员在持续操作众多设备的情形下思想上会松懈，若是此时发生操作不当或者误操作，都会给经济效益造成重大影响，更严重的影响就是会损坏设备、电网以及造成人身安全问题。

3 变电运维事故防范问题分析

3.1 加大安全管理制度的执行力度

变电运维的安全管理制度不仅仅是对整个系统安全运行的一个规章要求，要保证变电运维工作能够安全展开则更多的需要全体工作人员在实际操作过程中的共同配合。但是就目前变电运维中的实际情况来看，很多操作人员只是将那些制度和规范当做了一个形式，安全管理制度上的很多的内容并没有得到切实执行，这才造成操作出现混乱，安全问题也随之而来。不论对于哪个变电运维的机构来说，首要的就是加大安全生产制度的执行力度，加强对安全政策法规、规章制度、规程规定的教育培训，强化《电力安全工作规程》、《电气两票管理规定》、《员工安全生产工作守则》等安全规程学习，不仅仅将这些安全管理制度书面化，更要在操作人员心中形成规范化，并制定各项措施来激励员工自觉遵守条例、自觉去执行，只有操作人员都真正意识到安全制度的重要性，才能够将问题得到妥善解决。

3.2 加强安全运行监督管理工作

对于已经实施变动的变电运维制度，如何检验其成效呢？这时候就要求变电运维管理层充分意识到自己的责任，严格执行领导干部和管理人员到岗到位工作要求，对作业现场进行安全监督，这不仅仅是对自己的工作负责，更是对工作人员的安全负责，以保证变电运维的安全稳定进行。所以要求企业充分利用多渠道、多途径激励员工自觉、主动学习安规的积极性，提升全员依法治企、依规作业的能力。同时企业要加强对变电运维工作的考察，通过考察来保证工作人员完成的力度和积极性，并且通过这种方法也能够方便企业及时进行监督和考核。

3.3 增加事故应急处理措施

不光是对于变电运维工作，对于其他不同的工作来说。即使该工作是严格按照标准化制度完成的工作，并且操作人员的活动都要求规范化，但是不可避免地还是会在工作中出现这样或者那样的突发事故，当这些突发事故发生的时候就要求工作人员能够及时应对。所以这就要求企业加强应急管理工作，及时对员工进行事故应急处理知识培训，确保在突况下及时安全地解决现场问题，以降低事故带来的影响，争取将变电运维过程的经济损失减少到最小。

4 结束语

针对我国特有的情况，所以电网的分布情况比较复杂，且其整个电网系统的正常运行有着重大的作用，所以变电运维的安全问题就显得尤为重要，不仅仅要注重日常安全管理问题，更是需要专业人员加强安全事故的防范对策的研究，从而从根本上解决变电运维的安全问题。

参考文献：

[1]汤卫荣.变电运维中的隐患问题与解决方法探讨[J].中国新技术新产品，2010（14）.

篇3

1.1项目管理过程中，应当提高全员管理意识

通信网络中的项目管理，不仅要注入全新的管理理念，而且还体现了公司（企业）的文化。对于在建现代公司而言，这是不断探索和实践的过程，项目管理的实施，要求全员尤其是要做好决策层支持工作。同时，还要加快项目管理人才培养，公司之间的竞争说到底就是人才之间的竞争，如果没有人才和培训，则任何机制和发展战略都将无从谈起。项目管理在通信生产中的管理中的应用实施，还要不断创新，做好分包管理中的项目管理，这是非常重要的。

1.2项目管理过程中，应当与时俱进、注重效果

（1）加强组织结构管理。对于移动公司而言，其运维过程中的基本组织结构形式主体即为职能制式，采取集中化项目管理以后，运维工作从原来的地市逐渐转移到省公司，业务也随之发生了较大的变化，因此组织结构必须与时俱进，即随着业务的不断拓展，进行优化创新。比如，某公司采取集中化管理模式以后，运维管理由原来的省网络部、网管中心，转化成了网络部作为主要职能管理部门的模式，其主要负责各项规章机制的制定、严格检查和考核；同时，以网管中心作为生产调度层，下属维护、监控中心。同时，通过对工作结构进行分解，在充分考虑业务发展势头以及传统语音业务基础上，由相同部门对其进行维护，并且有效提高人员专业性，做好各项工作的安排工作。

（2）优化流程。项目管理，实际就是对与成功达成目标活动的整体，同时也是在多个人的协作下共同完成的，其运维工作需多人之间相互配合，并且严格按照岗位职责和要求才能做好。在岗位职责定义过程在，流程标准化是工作质量的保障。从资源管理系统在集客业务开通中的应用实践来看，互联网专线开通：专线开通流程主要分为开通方案设计、工程施工、资源调度、设备安装配置、业务开通等几个环节。其中方案设计、工程施工、资源调度、业务开通等都与资源管理系统有密切的联系。仍是由客户经理从CRM系统发起专线开通工单，在开通方案设计完成后，如果不需要施工的，直接进入光路、电路等调度流程，否则派单进行放纤芯等工程施工。在施工完成后，最重要的是对工程中新增或变更的物理、逻辑资源进行资源录入，才能保证资源管理系统的数据完整性和准确性。这是相关资源流程得以顺利执行的根本性保证。实践中，通过对重要工作采用WBS或者OBS等工具进行细化，

（3）加强风险管理。通信网络中的项目管理过程中，对于风险识别、分析以及应对和监控而言，其采用的方法也存在着一定的差异性；结合通信网络运维的情况、SOX法案之要求，应当制定集中、完善的网络运维风险管理制度，如图2所示。管理人员、员工对通信网络企业风险因素未进行清晰明确；在对风险进行分析过程中，需要对其进行定量、定性分析，其中的风险管理从原来的杂乱无章模式走向标准化，持续不断地加强科学管理模式改进，进而使整个风险管理水平提高。

1.3加强企业文化建设，提高项目小组凝聚力

实践中，为了能够有效确保通信网络企业的快速发展，我们应当立足实际，建立强大的精神动力源泉，以此来有效激励广大员工积极参与，与企业荣辱与共，这就是企业文化。在当前市场竞争环境下，企业之间的竞争说到底就是人才之间的竞争，最高层次的竞争即企业文化之间的竞争。随着现代通信网络市场的不断开放，对手实力不断增强，加强企业文化建设势在必行。对于通信网络中的项目小组而言，需要统一思想，在市场竞争环境下，也必须接受市场经济体制下的全新观念，以客户为中心，只有接受和创新思想观念，才能保持与时俱进。同时，还要构建文化管理制度，靠制度推动项目管理和发展。在现代管理制度规范过程中，文化建设是项目管理的基础，必须做到有法可依。同时，还要营造良好人际环境氛围，根据实际情况，不断创新文化活动内容和形式，并且有意识地培养广大职工参与企业文化建设的积极性和主动性，以此来培养高尚情操和情感，企业文化是协调组织、个人以及个人之间关系的粘合剂、催化剂。

2项目管理在通信网络中的创新思路

2.1以强大的技术为依托，为客户提供高附加值通信服务

在当前的形势下，依靠雄厚的人才积淀以及行业口碑。选择符合自身的发展之路，并且尝试着开发移动领域其他高附加值服务业务，引导客户需求，并且为广大客户提供有效的整体解决方案。

2.2基于项目管理理论，建立适用广泛的管理体系

实践中，项目运作过程中，杜绝生搬硬套管理理论；基于项目管理理论，不断创新和改进，在实际项目建设过程中，灵活应用项目管理理论。针对具体的问题进行具体分析，并且根据实际情况对其进行优化调整与适当修正。

2.3采用系统性思维，全局考量项目

通信设备建网具有周期长、专业性强等特点，电信运营商在选择设备商过程中，经常会从全局部署上进行考察，因此从长远上考虑持续合作的可能性。一阶段项目完成后，并非整个项目就已经结束，或许只是其他项目的幵始。基于此，项目团队在作决策时，需充分考虑后期项目运作影响问题。

3结束语

篇4

【关键词】等级保护电力调度管理制度

引言

我单位开展了信息安全等级保护安全建设整改、等级测评等工作。然而，随着整改进程的深入，建立规范、高效、安全的信息系统运行维护和管理体系，如何将等级保护中的管理制度与本单位自身的安全生产、班组文化等制度结合，给管理工作带来了新的挑战，通过建立等级保护管理制度体系能够更全面的提高电力调度系统运维管理层次，实现信息系统、数据资源集成整合和综合高效利用，支撑实现电力调度的信息化发展目标。本文结合笔者在信息安全管理中的实践和理解，对等级保护管理体系在工作中的应用提出一些个人的想法，供读者借鉴。

一、建立等级保护制度体系目的和意义

为更好的提高信息安全保障能力和水平，依据《信息安全等级保护管理办法》（公通字[2007]43号）、国家电网公司《信息系统安全等级保护建设的实施指导意见》（信息运安[2009]27号）、《SG186工程信息系统安全等级保护验收标准（试行）》（信息运安[2009]44号）、《关于加强电力二次系统安全防护和等级保护工作的通知》（调自〔2012〕65号）等要求。进一步加强电力调度系统重要信息系统的安全保护，落实国网公司关于信息安全等级保护和安全防护体系建设的总体要求，我单位开展了信息安全等级测评和整改工作。

二、等级保护管理制度体系分析

等级保护管理制度体系提供了对组织机构中信息系统全生存周期过程实施符合安全等级责任要求的管理，包括落实安全管理机构及人员，明确角色与职责，制定安全规划、开发安全策略、实施风险管理、进行监控、检查，处理安全事件等，具体落实在要求则体现在等级保护测评指标中，等级保护管理要求如图1所示。

三、等级保护管理体系建设实践

在具体落实管理体系过程中，应结合原有的信息化管理制度，贯彻建立管理制度文件层级化和流程化管理概念，将方针策略、管理制度、操作规程和记录表单等文件科学的管理运作；将信息化安全管理方针策略定义为一层策略文件；将沟通管理、信息化人员管理、授权与审批管理、文件规范性管理、介质管理、资产管理、网络管理、系统管理、安全事件与应急管理、备份与恢复管理等方面定义为二层制度文件，落实一层文件中涉及的各方面运维和安全管理内容；将信息化运维管理的操作指导规范等定义为三层流程文件，支撑二层制度文件的具体操作；将所有信息化运维相关的表格定义为四层表格文件，落实并规范化所有运维操作，融合和动态的管理当前使用的管理制度体系结构，如图2所示。

3.1安全管理的原则

1）基于安全需求原则：组织机构应根据其信息系统担负的使命，积累的信息资产的重要性，可能受到的威胁及面临的风险分析安全需求，遵从相应等级的规范要求，从全局上恰当地平衡安全投入与效果；

2）主要领导负责原则：主要领导应确立其组织统一的信息安全保障的宗旨和政策，负责提高员工的安全意识，组织有效安全保障队伍，调动并优化配置必要的资源，协调安全管理工作与各部门工作的关系，并确保其落实、有效；

3）全员参与原则：信息系统所有相关人员应普遍参与信息系统的安全管理，并与相关方面协同、协调，共同保障信息系统安全；

4）持续改进原则：安全管理是一种动态反馈过程，贯穿整个安全管理的生存周期，随着安全需求和系统脆弱性的分布变化，应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级，维护和持续改进信息安全管理体系；

5）分权和授权原则：对特定职能或责任领域的管理功能实施分离、独立审计等实行分权，避免权力过分集中所带来的隐患，以减小未授权的修改或滥用系统资源的机会。

3.2管理制度体系框架构建

3.2.1工作目标

建立安全管理组织并落实各个部门信息安全责任人，明确组织内各机构人员责任和工作职能，确定信息安全管理体系方针策略，编制形成信息安全方针策略文件。

3.2.2建立信息安全管理组织

（1）建立信息安全管理组织架构

信息安全领导机构：供电公司信息化领导小组，主要负责对单位信息安全制定总体安全策略、监督和协调各项安全措施在单位的执行情况、设立落实信息安全责任。由供电公司分管领导担任组长，小组成员为各个部门负责人组成。

（2）明确各相关机构和岗位角色的责任和职能

建立相应的职责文件，明确各相应领导、部门、岗位的职责。调度通信中心应设立信息安全工作的各关键岗位，如安全管理员、网络管理员、操作系统管理员和数据库管理员等，并将之与班组人员结合，并重视信息化人员的培养。

3.2.3确定安全管理总体方针策略

安全管理方针策略是为组织的每一个人提供基本的规则、指南、定义，从而在组织中建立一套信息资源保护标准，防止员工的不安全行为引入风险。同时，还是进一步制定控制规则、安全程序的必要基础。应当目的明确、内容清楚，能广泛地被组织成员接受与遵守，且要有足够灵活性、适应性，能涵盖较大范围内的各种数据、活动和资源。可以使员工了解与自己相关的信息安全保护责任，强调安全对组织业务目标的实现、业务活动持续运营的重要性。

安全方针策略属于高层管理文件，简要陈述信息安全宏观需求及管理承诺，应该篇幅短小，内容明确。信息安全方针应当简明、扼要，便于理解，至少应包括以下内容：

（1）信息安全的定义，总体目标、范围，安全对信息共享的重要性；

（2）管理层意图、支持目标和信息安全原则的阐述；

（3）信息安全控制的简要说明，以及依从法律、法规要求对组织的重要性；

（4）信息安全管理的一般和具体责任定义，包括报告安全事故；

（5）信息安全策略的主要功能就是要建立一套安全需求、控制措施及执行程序，定义安全角色赋予管理职责，陈述组织的安全目标，为安全措施在组织的强制执行建立相关舆论与规则的基础。

3.3管理制度体系策略建立

3.3.1工作目标

建立覆盖信息工作的全部文件，包含安全策略、制度、规定规范、表单，完善所有活动流程管理。

3.3.2建立体系策略制度文件

信息安全策略是组织信息安全活动的最高方针，需要根据信息工作的实际情况，分别制订不同的信息安全策略。应该简单明了、通俗易懂，并形成书面文件，发给单位内的所有成员。同时要对所有相关员工进行信息安全策略的培训，以使信息安全方针真正植根于单位内所有员工的脑海并落实到实际工作中。根据本单位实际情况，建立的策略文件，所有文件均需进行论证和评审。

（1）信息安全管理策略

作为所有系统的指导性方针文件，提供信息安全的基本规则、指南、定义。依据本策略应制定各管理制度、操作和使用规范。

（2）系统运维安全管理策略

作为所有系统运行维护的指导性方针文件，提供系统安全运行维护的基本规则、指南、定义。依据本策略应制定系统运行维护中相关的各种管理制度和规定，以及控制各项活动的记录表单和审批流程。应覆盖机房、网络、系统、资产、备份、日常运维等所有运行维护工作的范围。

（3）系统建设安全管理策略

作为所有信息化工作建设的指导性方针文件，提供信息工作相关的建设安全管理的基本规则、指南、定义。依据本策略应形成项目管理、采购管理、工程实施管理、测试及验收管理等建设管理的全过程管理制度，相应的控制表单和审批规定。

（4）人员安全管理策略

由于在系统、运维、建设方面已经对人员在该活动中的行为做了要求，人员安全管理主要需要考虑的问题是录用、离岗、保密、教育培训、考核及外来人员方面的管理，也可以直接制定比较详细的人员安全管理制度。

（5）管理流程

梳理并完善各种活动的详细流程图，任何针对信息系统的活动均有流程可依据进行控制管理。如事件管理流程、变更管理流程等。

（6）其他辅助制度

建立辅助文件，如对以上策略、制度、表单等进行管理的文件管理制度、保密制度、信息规定等。

3.4管理制度体系运作落实

3.4.1工作目标

逐项实施，直至体系全面运行，监督落实安全策略制度，找出体系中的不适用和缺陷。

3.4.2实施

经过第一和第二阶段的工作，理论上单位已初步形成完整的信息安全管理体系，但体系是否能正常运作发挥作用，需要对体系进行验证，验证的方法就是运行体系。

体系的运行分几步进行：

对通过论证评审的文件，通过正规渠道正式发文的方式进行，的文件根据情况决定是否采取“征求意见稿”或“暂行”；

文件前召集相关部门的负责人学习文件，并要求确保落实力度；

的文件要求相关部门组织学习，并依照实施；

各相关部门对运行的文件制度运行情况进行收集，存在实际困难无法落实的报评审组织评审适用性；

对“征求意见稿”的文件，必须从实施的相关部门采集意见。

体系实施阶段可以在体系建立阶段同步开展，建立部门策略制度后，通过论证评审即可进行试运行，不需等全套文件完成。

3.4.3监督

指定或成立跨部门监督机构、人员，对文件实施的过程进行监督管理，制定相应的惩戒措施，对落实情况进行监督检查，对违反文件实施和实施不力的部门或人员进行惩戒，切实落实文件的有效实施。收集监督过程中发现的文件问题、人员实施问题方面资料，反馈到编制组织。

本阶段是系统建立的关键阶段，是信息安全管理体系要分析运行效果，寻求改进机会的阶段。如果发现一个控制措施不合理、不充分，就要采取纠正措施，以防止信息系统处于不可接受风险状态。必须强调相关领导应重视本阶段工作，并且从实际上支持和推动实施工作。且应加大学习培训和监督力度，落实惩戒措施。让文件涉及的相关部门和相关人员熟知该文件并能按要求准确执行。

3.5管理制度体系细化调整

3.5.1工作目标

总结体系运行情况，调整不适用和无法落实的部分，完善体系，使之能高效、有序的运作。

3.5.2评审

评审有两个环节，第一个环节是针对出现的问题进行审核，论证其原因，进行改正完善。第二个环节是在大部分问题解决后、体系正常的情况下全面评审体系文件、组织、活动是否达到预期目标。

首先，信息安全领导小组组织相关部门人员，对体系实施中发现的问题进行审核，对落实不力的部门责成落实；对实际存在的问题进行论证，提出解决办法；对不适用的文件或部分进行论证评审，确实存在不适用的文件则组织相关人员进行修订，转入修订环节，对于不适用且没必要存在的文件进行废止。

而后，对于本阶段计划时间内反馈没发现问题的文件，组织相关部门评审试行效果，达到预期要求则作为正式版运行，并采用持续优化阶段的方式进行管理，未达预期目的则转入重新编制程序。

3.5.3修订

对于存在问题的策略文件，组织该策略文件涉及最多的主体部门和其他相关部门人员成立临时修订机构，针对文件存在问题进行修订。修订后进行新版本的颁布，同时该文件转入落实阶段。

3.5.4测评

经过细化调整，不断地审核修订后，体系应已基本完善，此时转入评审的第二环节。按照符合等级保护要求的预期目标，委托等级保护测评机构进行等级保护测评，在保证客观、合规、公正的前提下，对单位信息安全体系进行全面评审。整体测评后，对不满足要求的部分进行整改，整改完成后转入实施阶段，直至符合要求。

3.6管理制度体系持续优化

通过前四个阶段的工作，信息安全管理体系应基本稳定、成熟，后期的工作在于保持并进行不断地优化。把经过检验的文件作为常态的管理遵循依据，在日常工作中保持，不因试行结束而松懈。部门和人员应把试行期间依照文件要求形成的工作模式进一步完善保持，在未发生异常情况之前，始终按照正式版本执行。定期进行评审，找出不适用部分进行优化调整；结合工作实际，寻求更高效安全的方法优化体系，提高效能。

篇5

尊敬的领导：

2018年，xx严格按照集团公司“稳中提质、改革创新”总要求，围绕安全生产、经营管控、风险防控等工作重点，从信息化管控、系统建设、应用推广、运行维护等方面开展信息化工作，较好的发挥了信息系统在生产监控、过程管理和辅助决策方面的作用。现将主要工作情况汇报如下：

第一部分信息化管控

一、信息化管理制度建设情况

公司共制定有《xx信息化管理办法》、《xx网络安全管理制度》、《xx计算机管理办法》、《xx软件正版化管理办法》、《xx办公自动化系统使用管理办法》、《xx应用系统数据管理办法》等有关规划、项目、基础设施、应用系统和运行维护的信息化管理制度18项，较好的指导和规范了公司信息化建设。

2018年重新修订完善了硬件资产管理办法、应用系统运维管理办法、信息化管理办法、微信、QQ群组管理办法、报废计算机和计算机耗材废旧污染物品管理办法、网络信息安全管理办法等6项信息化管理制度。

二、信息化资本支出计划情况

（一）2018年信息化资本支出计划完成情况。

按《xx关于下达2018年度资本支出计划（信息化专项）的通知》要求，严格监控审核各类信息化资本支出项目的执行情况，督导各单位资本支出计划按进度完成。2018年各类信息化计划资本支出费用为537.2万元，截至10月底，完成了346.43万元，预计11-12月份完成122.13万元，全年总计完成468.56万元，计划完成率为87.22%。

1、审核类项目

xx审核类项目共计8项，分别为工艺动画展示软件、SaaS门户网站防护软件、龙软地测空间信息管理系统、病案管理系统、生化检验血库管理软件、预防保健数字化门诊系统、远程控制软件、综合管理系统（二期）。

（1）综合管理系统（二期），合同额120万，2018年计划完成80万元，按合同约定，已完成第一阶段付款36万元，按照开发进度及合同约定，12月份将完成第二阶段付款36万元，完成了预算目标。

（2）山不拉煤矿龙软地测空间信息管理系统，预算金额为30万元，实际支出30万元，完成了预算目标。

（3）职工医院病案管理系统预算金额为15万元，计划12底前购置完成。

（4）职工医院生化检验血库管理软件预算金额4万元，实际支出4万元，完成了软件的购置。

（5）职工医院预防保健数字化门诊系统软件预算金额为8万元，实际支出为7.51万元，完成了系统软件的购置。

（6）特凿公司工艺动画展示软件预算金额为15万元，实际支出15万元，完成了软件的购置。

（7）特凿公司SaaS门户网站防护软件预算金额为8万元，计划12月底前购置完成。

（8）培训中心远程控制软件预算金额为2万元，计划12月底前购置完成。

2、备案类项目

备案类重点项目有3项，分别为笔记本电脑购置38台，24.58万元，台式机购置116台，74.89万元，打印机购置71台，23.43万元，合计占备案总预算的62.48%。

3、费用类项目

重点费用类项目有1项，为线路租赁费用，公司共有广域网专线9条，互联网线路13条，年租赁费用为87.64万元。

（二）2019年信息化资本支出计划情况。

1、基本情况。2019年各类信息化资本支出费用预计为1261.9419万元，其中审核类费用预计773.15万元，备案类费用预计320.78万元，费用类预计168.0119万元。

审核类中，BIM分中心建设项目318.55万元，BIM分中心配套机房及网络改造项目139.6万元，山不拉煤矿安全监控系统升级改造项目186万元（说明：地方政府要求在2018年底完成，专项请示在2018年增列计划，由于时间太紧，只能将计划在2019年列支）。

第二部分信息系统建设应用

三、综合管理系统（二期）建设应用

（一）建设目标：流程固化、数据共享、全程追溯。

（二）建设原则：围绕资金、业务主导、横向到边、纵向到底。

（三）保障措施：

1、成立了综合管理系统应用推进领导小组，公司主要领导亲自抓。明晰系统应用推进中的职责、责任到人。

2、定期不定期的召开项目协调例会，及时协调解决系统开发、应用过程中的各类问题。

3、全员培训。已开展用户培训12场次，培训用户2200余人次，涵盖公司领导、部门负责人、关键用户和业务人员。

4、日常指导。通过电话、QQ群、远程桌面、面对面交流等方式解答系统使用中的各类问题，平均日处理各类解答300余人次。

5、督导考核。从组织机构、用户培训、系统操作、数据质量四方面对各单位、各项目部已上线业务开展督导考核。通过督导考核来看，数据质量基本可靠。

（四）开发进度：

自7月份正式开发以来，完成了物资、技术质量、科技、安全、党建、市场开发、法律事务和监察审计业务的开发上线，完成了财务、人力、经营、机电业务部分功能（资金、税务、人事、薪酬、结算、分包、租赁等）的开发上线，完成了整体开发计划的80%。

（五）应用效果

1、用户可通过手机APP，企业微信处理系统业务。

2、用户日平均登录2000余人次，7日上线率为54.7%（系统注册用户数2558人）。

3、打通了从业务到财务的各个环节，财务核算与业务过程互相约束、互相校验，实现了业务过程可控、资金流向可控。

4、提高了工作效率、提升了管理水平。流程平均审批效率29小时，较之前的以周计算或以月计算，工作效率成倍提高。管理模式逐渐从结果导向转变为过程控制，建筑行业的粗放型管理得到明显改观。

四、云视频会议系统建设应用

云视频会议系统采用SaaS模式建设，省却了基础设施、网络安全、系统运维等方面的工作。

系统可以通过PC、手机、硬件终端召开会议。系统有三个会议室，一个100账号和两个25账号，一个账号在一台设备中使用，一台设备可以在实体会议室供多人参会。

系统上线以来，平均月召开云视频会议10余次，平均参会人数200余人/次，年节省差旅费、油费、会议费约120万元（按每项目部每次节省1000元计算，10x12x1000x10=1200000）。

系统的成功应用，不但提高了会议效率,降低了费用，还减少了路途中的安全风险。

五、BIM技术应用情况

在建设集团、集团公司的领导和统一部署下，xx有条不紊的开展了BIM系统的应用和推广工作。完成了与建设集团BIM云平台对接和公司BIM平台建设；完成了各专业族库的建立、施工工艺视频的制作及BIM5D平台学习与试用。截至目前，公司BIM平台已经具备了质量、安全和进度管理、匹配成本信息和施工进度模拟等功能，能够实现数据和信息的有效共享。

六、安全监控监测系统

按照国家煤矿安监局及内蒙古煤矿安监局相关文件要求，配合山不拉煤矿完成了瓦斯监控系统升级改造方案制定、预算编制和前期筹备工作，协调完成了专项费用计划增列的申报工作。

按照集团公司要求，配合山不拉煤矿完成了工业视频监控高清改造方案的调研、方案制定、预算编制工作。

完成了小回沟项目部瓦斯监控系统升级改造后的数据联网上传工作。

七、推进各应用系统的使用

（一）年度考核系统应用。开展考核系统的配置、值守等工作，协助人力资源部完成年度考核工作。

（二）OA系统应用。继续优化涉及办公、财务、经营、人力、机电等各方面各类电子签章审批工作流，指导各单位梳理建立使用OA签章审批工作流。截至目前，优化、修改工作流程50个，制作电子签章100余人次。

（三）视频会议系统的应用。截至目前，公司召开视频会议121次，参会人数12000多人次；召开云视频会议100余次，参会人数20000余人次。保障了会议精神实时、全面、有效的传达，节约了大量交通、住宿、会议等费用。

（四）安全培训系统的应用。协助公司职工教育培训中心开展特种作业人员和项目部安管人员的取证培训、岗位复训，使用系统进行培训、考核10场次，参培人员800余人次。

（五）推进集团公司ERP等系统的应用。定期跟踪各部门对集团财务、采购、库存、人力资源、合同管理、安全管理等系统的应用情况。定期收集相关部门对系统的使用意见和建议，督促系统实施进度和培训。

第三部分基础设施建设应用

八、数据中心机房建设情况

公司数据中心机房建于2009年，安装有门禁、供电、UPS、制冷、新风、消防、监测等机房系统，其中UPS按照供电8小时设计，现由于电池组老化，仅能满足供电2小时。机房内有服务器14台，分别承载OA、综合项目管理、档案管理、安管培训模拟、视频会议、用友财务等使用中的应用系统；有存储设备1台，承担综合项目管理系统的数据存储任务；有核心交换机、IDS、防火墙、路由器、网络行为管理、VPN等网络设备14台，分别承载公司局域网和广域网的数据传输和网络安全任务。

九、广域网建设情况

公司广域网连接的单位有10处、31处、49处、特凿处、南阳坡分公司、内蒙古分公司、山不拉煤矿和两级集团公司。到南阳坡分公司和内蒙古分公司广域网带宽为2Mbps，到集团公司的广域网带宽为8Mbps，其余为4Mbps。广域网主要承载视频会议系统、ERP系统等需要专线连接的应用系统。

十、局域网建设情况

局域网采用星型拓扑，接入交换机到电脑终端为百兆带宽，接入交换机汇聚到核心交换机为千兆带宽。

公司局域网包括公司办公楼、培训中心和物业管理公司丛台基地，共有电脑终端200余台。电脑按楼层、部门划分为10个VLAN，起到疏导流量、隔离广播风暴和防止病毒大范围扩散的作用。

根据具体实际，对各单位机房和局域网的建设提出了最基本的标准，并指导各单位信息专业人员逐步完善。

十一、互联网建设

公司机关及各单位均有互联网接入线路。公司机关接入带宽为中国电信的50Mbps互联网专线，31处、49处、特凿公司和山不拉矿今年均变更为100Mbps，其他各单位互联网接入带宽为50Mbps。

十二、BIM分中心基础设施建设情况

配合建设集团完成了BIM中心建设总体方案的制定工作和xxBIM分中心建设方案的制定工作，围绕BIM分中心建设方案，结合公司机房及网络现状，制定了BIM分中心机房、网络配套设施改造方案。

第四部分信息化运维

开展桌面运维，定期对用户计算机安装的软件进行维护，监督正版软件的使用。定期维护计算机硬件，保障计算机正常工作。

开展网络运维，定期检查网络设备的配置、日志，保障设备运行正常。定期对网络线路巡检，及时排除断网隐患。不定期开展用户网络排错培训，提高用户常见网络故障的自我解决能力。

开展应用系统运维，督促或组织制定应用系统管理办法，从系统用户、系统运行、系统安全等方面加强日常检查，保障各系统安全运行。

开展机房运维，严格执行每日巡检制度，明确了机房温度、湿度、供电等环境要素标准。加强运维人员操作系统、服务器组成等软硬件知识学习，每日必须登录服务器分析运行日志，及时发现问题、解决问题。

第五部分信息安全

网络与信息安全方面管控主要从安全制度、安全技术、安全教育和安全评测等方面进行，力保信息的可信性、可用性和完整性。

安全制度方面。公司成立有保密与网络安全委员会，领导公司的网络安全工作。下发了《党委网络安全责任制实施细则》、《网络安全管理制度》、《信息安全岗位职责管理办法》等制度，明确了安全职责、任务、措施等内容，经常性的在用户中宣传网络安全的重用性、必要性，指导用户使用常用网络安全技术措施。

安全技术方面。遵照ISO七层网络模型，针对每层容易暴露的安全问题，采取有针对的防护措施。在网络边界部署了防火墙、入侵检测、上网行为管理等安全设备。在服务器区部署了防火墙，并在服务器中安装了杀毒软件和终端防护软件。在用户端按楼层划分了VLAN、IP地址和MAC地址进行了登记并绑定，用户计算机也安装了杀毒软件、软件防火墙。

安全教育方面。通过专题讲座、发放宣传资料、安全事件案例等多种形式开展信息安全知识普及工作，提高员工的安全防范意识，减少安全事件的发生。要求用户口令长度不小于8位，且必须由大写、小写字母与数字共同组成，并定期提醒用户更换密码，必要时强制更改密码。要求用户不得将账号密码转借他人。

安全评测方面。定期开展应用系统和基础网络自评，加强了计算机终端、局域网络、服务器主机、服务器操作系统、应用系统等安全制度、安全策略和安全行为管理，进一步提高了公司信息系统的安全水平。定期委托专业公司开展安全评测，按照评测整改报告及时完成整改。对新开发的应用系统，需通过安全测评后才允许验收。

第六部分对外网站

制定了《xx门户网站管理办法》，明确了网站管理的权利、责任。

要求各单位对外网站需完成备案工作、安装政府网站防护软件、在国家重大活动期间强化安全监控，必要时关闭网站。

公司网站采用PaaS模式建设，采用的阿里云平台的专有云，并采购了安骑士云盾、WAF防火墙和态势感知安全服务，还安装了公安部网防G01 V3.0防护软件。专有云提供安全风险短信预警功能，能动态提醒操作系统、网站系统、恶意攻击等安全风险事件。

第七部分存在的问题和不足

一、专业人才短缺。软件、网络、安全和数据库等方面相关专业人才短缺，制约了应用系统自主运维和开发。

二、系统集成难度大。系统种类多、功能重合多，系统间数据集成共享难度大，造成了业务和数据的割裂，形成了实际上的信息孤岛，有违信息化建设的初衷。建议能有系统建设和系统集成的顶层设计，形成标准规范。

第八部分 2019年重点工作

篇6

关键词：运维管理体系运维外包运维费建设转运维电子政务绩效

20世纪80年代以来，我国政府投入了近万亿元的巨资进行电子政务建设。通过近20年来的持续建设，特别是“两网、一站、四库、十二金”等大型项目的阶段化建设，我国电子政务建设已经取得了初步成效。政府内部公文流转、行政审批、费税征缴、信息公开、信息统计与分析等大量政府核心业务越来越依赖信息化。城市管理和政府公共服务对信息化的依存度大幅增加，公众对政府的信息服务需求日趋迫切。到目前为止，投资建设的大量信息系统已进入应用维护阶段，持续可靠提供应用服务的风险已经凸显。长期以来，我国各级政府电子政务投入主要用于解决从无到有的基础设施和系统的建设，忽视了系统建设完成以后的运行维护。电子政务工作沿用建设方式的管理思路与目前发展阶段已不相适应，粗放型的外包管理与政府业务风险防范要求不相适应。这将对城市管理和公共服务构成严峻挑战。

结合对多家国家部委和省市级政府单位电子政务运维管理体系的研究和咨询实践经验，就我国电子政务运维的现状和发展趋势总结如下。

一、中国电子政务运维现状

⒈电子政务发展正处在由建设向运维转型的时期

我国电子政务建设的历史可以追溯到20世纪80年代中期，至今大体上经历了3个重要的发展阶段，即20世纪80年代的起步阶段、90年代的重点推进阶段和进入21世纪后的加速发展阶段。90年代后期，特别是进入21世纪后，在2002年17号文件的指引下，各级政府围绕“两网、一站、四库、十二金”的发展重点有序展开工作，我国电子政务建设进入了全面规划、整体发展的新阶段，并取得了阶段性的成果。到目前为止，投资建设的大量信息系统已进入应用维护阶段，电子政务发展正处在由建设向运维转型的时期。

以2007年对北京市电子政务的调研为例，北京市基本完成覆盖全市的电子政务网络建设、政府门户网站建设和主要应用系统的开发。截至目前，有线网和无线网覆盖全市各区（县）、街（乡）、社区和大部分村；统一建立了169个网站群，实现60%的行政许可事项在线办理；共建设完成应用系统590余个，其中重要系统170余个，覆盖80%的政府管理和公共服务业务。从2006年开始，北京市新增项目逐年减少，每年仅有10余个，升级改造项目40余个。伴随新增项目的减少，信息化资产增速也明显放缓（2004年同比增长50％，2005年同比增长90％，2006年同比增长19％）。

⒉关键电子政务系统实行集中运维

目前，已经建设完成的国家重点“金字”工程普遍实行了全国和省级的数据和应用集中，数据和应用的集中带来了风险的集中。集中管理之后，运维工作逐渐从分布式的技术支持转向集中式、专业化的技术支持。

以海关的H2000系统为例，H2000通关业务管理系统是全国海关的大集中系统，在2002年海关H2000系统在全国范围上线前，海关的通关业务实时数据主要分布在各关，全国海关信息中心主要负责通关后的数据汇总和部分联网数据的传输工作。随着H2000系统的上线，全国海关通关系统从分布式运维转变为集中式运维，所有实时数据都汇总到全国海关信息中心，海关信息中心必须要确保应用、系统、网络各个层面的资产能够正常运转，才能保障通关业务的畅通无阻，否则将会产生重大影响。一旦该系统出现问题，其影响将波及全国范围。

⒊运维覆盖终端设备、网络、系统及业务应用

目前，运维工作涵盖了终端设备、网络、系统及应用的运维。据笔者的调研，主机、数据库、存储备份、网络设备等多数都是由原生产商负责，且多以国外厂商为主。应用系统软件、网络运维多数采用“谁建设，谁运维”的方式。应用服务与安全服务所占比例较小。引入咨询服务，建立规范化的运维管理体系的单位依旧是少数。

二、电子政务运维面临的挑战

电子政务运维工作的重要程度日益显现，但大量政府单位在运行维护方面依旧面临诸多挑战，笔者将其研究总结如下：

⒈对运维工作的定位不准

根据调研发现，我国电子政务工作依旧存在“重建设、轻维护”、“重技术、轻管理”等现象，很多领导对运维工作重视程度依旧不够。同时运维的概念模糊，依旧存在建设与运维的边界划分不清晰，运维与升级改造的关系不明确等。

⒉运维管理“摸着石头过河”依旧盛行

调研还发现，很多政府单位在运维工作中，普遍采用经验法则，“摸着石头过河”，日常工作中常处于“救火”状态，非常被动地处理各种故障；对运维外包商的管理缺乏有效的手段，处于粗放管理的状态。针对运维中面临的日益凸显的风险，各政府单位急需建立运维管理体系，使运维工作更加科学化、规范化和专业化。

⒊普遍存在运维管理规范和运维资金预算制度的缺失

2006年国家印发的《2006－2020年信息化发展战略》明确提出，未来电子政务行动计划要建立运行、维护管理制度，从国家层面规划了电子政务运维工作的方向。但各省（市）结合本地特点，出台具有全省（市）指导意义的运维管理规范的实践依旧不多。北京市2007年出台了《北京市电子政务（甲方）运维管理规范》，走在了全国的前列。

此外，运维费预算制度目前依旧缺失，电子政务运维资金的保障是很多政府单位迫切需要解决的问题。

三、国内外的最佳实践

⒈国外最佳实践

从20世纪80年代开始，国外部分政府便开始探寻电子政务运维中的最佳实践，逐渐形成了成体系的一系列方法论。下面重点介绍IT运维（服务）管理全球最佳实践ITIL和国际标准ISO20000。

⑴ITIL

IT运维（服务）管理全球最佳实践ITIL（Information Technology Infrastructure Library，IT基础设施库），是20世纪80年代由英国政府为提升政府IT运维管理水平和解决“IT服务质量不佳”总结各政府单位和先进企业IT运维管理的最佳实践而形成的。ITIL为政府单位和企业提供了一个客观、严谨、可量化的标准和规范，组织的IT部门和最终用户可以根据自己的能力、需求定义以及所要求的不同服务水平，参考ITIL来规划和制定其IT基础架构及服务管理，从而确保IT运维管理能为组织的业务运作提供更好的支持。

ITIL是管理科学在信息技术中的应用，是一种基于流程的方法。它把英国各个行业在IT管理方面的最佳实践归纳起来变成规范，旨在提高IT资源的利用率和服务质量。它的开发并不是基于理论，而是根据“最佳实践”，即“被用户广泛认可的、有效的做事方式”。ITIL从复杂的IT管理活动中梳理出各组织所共有的最佳实践（如事件管理、问题管理、变更管理、配置管理、服务水平管理、可用性管理等），然后将这些流程规范化、标准化；明确定义各个流程的目标、范围、职能和责任、成本和效益、规划和实施过程、主要活动、主要角色、关键成功因素、绩效评价指标以及其他流程的相互关系等。ITIL描述了创建相关规范所需考虑的事项、计划和措施。

英国政府是ITIL的制订者（推出了基于ITIL的IT服务管理英国国家标准BS15000，并成为后来ISO20000的蓝本），也是应用ITIL最广泛、最富有成效的政府。就世界范围来看，英联邦国家，如澳大利亚、加拿大、新西兰等国家，以及其他的欧洲国家，对ITIL应用得比较早，也比较普遍。在这些国家，ITIL不仅作为政府机构自己进行大型数据中心运行管理的实践标准，还在电子政务运维外包合同谈判时，被作为评价服务提供商资格和服务能力的强制准入标准。2004年7月，澳大利亚采用ITIL作为国家ICT（Infrastructure Communication Technology）服务管理标准AS8018，是继英国以后第二个采用ITIL作为标准的国家。2005年8月，澳大利亚的维多利亚州税务局（State Revenue Office of Victoria）获得了BS15000/AS8018的认证证书，成为世界上第一个获得ITIL认证的政府机构。

在美国，ITIL的应用起步比较晚，在2000年以后才被广泛关注和认可，并得到了快速的推广。2005年8月，美国州政府CIO协会（NASCIO: National Association of State Chief Information Officers）了针对本国政府机构IT治理和管理的指导框架――《成功之道：IT管理框架》（IT Management Frameworks: A Foundation for Success），将ITIL作为IT运行维护管理领域的唯一推荐标准。

⑵ISO20000

ISO20000由国际标准化组织（ISO）和国际电工委员会（IEC）于2005年12月共同，成为第一个IT运维（服务）管理领域的国际标准体系。它源自英国国家标准BS15000。2001年，英国标准协会（BSI）在国际IT服务管理论坛（it SMF）年会上正式了以ITIL为基础的IT服务管理英国国家标准BS15000。BS15000是世界上第一个针对IT服务管理的国家标准。它提出了一系列相对独立又彼此相互关联的服务管理所需要的管理流程。

2002年BS15000被提交给ISO，申请成为IT服务管理国际标准。2005年5月，ISO通过快速通道的方式批准通过了ISO20000的标准决议，并于2005年12月15日正式ISO/IEC20000。

ISO/IEC 20000适用于提供IT服务的各类型组织，不限于其所在行业和规模大小。目前全球有近200家组织通过了认证，商务部中国国际电子商务中心成为国内第一家通过该认证的政府机构。通过ISO/IEC 20000认证，表明组织已经建立IT运维管理体系，能够系统化地为业务提供高质量的IT服务。

⒉国内最佳实践

部分国内具有先进管理理念的政府单位在运维工作中通过借鉴ITIL和ISO20000，结合自身实际，构建了具有中国特色的IT运维管理体系，取得了不错的成效。以下为部分典型政府单位的实践案例。

⑴财政部

财政部信息网络中心负责制订财政系统信息化建设的中长期规划，是财政部信息化工作的总体负责和执行单位，肩负着“金财工程”的建设、推广、运维的使命。近年来，随着财政信息化建设的深入，从预算管理、国库支付、非税收入、工资统发、财政经济景气预测与分析等财政核心业务，到抗震救灾等应急资金的拨付等都离不开信息化的支撑。财政信息化应用范围覆盖了部内各司局、各地专员办、各省市财政厅（局）、中央预算单位、执收单位、银行等，用户数量大、分布地域广、情况复杂、计算机应用水平参差不齐。确保财政信息系统的安全稳定运行已关系到财政业务的顺利开展。运行和维护好财政信息系统，保证各个信息系统安全稳定运行，为用户提供良好的应用服务，及时解决出现的问题和故障，做到网络和用户之所及，管理和服务之所及，是财政业务正常开展的重要保障，也是财政信息化效益的重要体现。财政部迫切需要在借鉴业界先进经验的基础上建立满足财政信息化发展要求的IT服务管理体系。

财政部非常重视IT运维管理体系的建立，在“金财工程”规划和立项报告中就明确提出了IT运维管理体系的建立，这也是“十二金工程”中唯一一个在建设之初便系统考虑运维管理的工程。在IT运维管理体系的具体建设过程中，财政部非常重视从管理体系入手规范运维管理。运维管理体系从IT运维的中长期目标入手，包括运维模式、运维制度规范体系（含制度、流程、绩效、资金预算等）、技术支撑体系等内容，构建了“目标-管理模式-制度规范-技术支撑”闭环一体的管理体系。

在体系建立过程中，财政部还引入第三方外部专家咨询，并创新性地采用咨询、实施和产品三者独立的运维模式，从而降低了项目的风险。外部专家作为独立第三方，负责梳理IT运维管理体系建设需求，从管理、流程、制度、组织与人员、技术选型等方面规划IT运维管理体系。在实施阶段，实施厂商在规划的基础上，具体结合产品实施IT运维管理体系。外部专家顾问将全程参与后期运维管理体系实施的全过程，为集成实施提供管理服务和考核服务，设定实施里程碑和基线；定期对项目计划和阶段目标进行核查，保证项目的顺利如期完成，降低实施风险。咨询、实施和产品三者独立，有助于降低IT运维管理体系建设项目的风险，最大效益地发挥IT运维管理体系的作用，开创适合财政业务需求的创新型IT运维管理之路。

⑵商务部

商务部中国国际电子商务中心（以下简称“商务中心”）是隶属于商务部并实行完全企业化管理的事业单位，主要承担商务部的信息化建设、管理与技术支撑等职责。商务中心负责国家信息化建设重点工程金关工程主干网（中国国际电子商务网）的建设、运营、维护，负责中国国际电子商务权威、稳定、安全的第三方服务平台的运营,承担商务部全国网络、系统、容灾、安全、应用系统维护、应用软件测试等IT服务工作；同时，还向社会提供IT服务管理的咨询、培训与建设服务。

为了适应业务发展对信息技术支撑手段提出的要求，确保IT基础设施和业务应用系统的安全、可靠运行，商务中心于2004年开始引入IT服务管理（ITSM）理念和IT运维（服务）管理国际最佳实践（ITIL），开展IT运维管理体系的建设工作。商务部IT运维管理体系建设具有以下特点：高标准，严要求，以IT运维（服务）管理国际标准ISO20000为指导，实现了事业单位企业化管理的IT运维管理创新模式。

通过IT运维管理体系的建设，商务中心在IT运行维护方面都取得了显著的成效，实现了集中统一的运维管理模式，建立了人员共享（A、B角）、资源互备（主中心、同城、异地三地互为容灾备份的中心）、管理复用（符合ISO20000国际标准且持续优化）的IT运维管理体系。

⑶北京市政府

北京市信息化工作办公室（以下简称北京市信息办）是北京市信息化工作领导小组的办事机构，具有对全市各委办局信息化工作的指导和管理职能。随着北京市电子政务大规模建设的完成，信息化工作的重心逐渐转向以“深化应用、惠及全民”的运行维护阶段，各委办局迫切希望北京市信息办从全市的角度出台运维管理规范，用以规范和指导各委办局的运维管理工作。

北京市2007年出台的《北京市电子政务（甲方）运维管理规范》，是国内根据自身特色出台的第1个真正意义上的运维管理规范。该规范从各委办局作为甲方运维管理单位的角度，规范了运维组织与职责，运维执行各阶段委办局单位作为甲方关注的关键控制点（“运维规划与准备阶段”的运维规划、运维费预算、招标管理；“运维实施阶段”的服务台管理、重大故障管理、重大和紧急变更管理、合同执行管理、人员管理、资产管理；“运维绩效评估和持续改进阶段”的绩效评估的组织、绩效评估形式和内容、评估报告和结果应用、绩效跟踪和改进），以及全市通用的管理表单和模板（如运维现状分析报告、运维年度规划报告、运维外包合同模板等）。

⑷北京市高级人民法院

北京法院信息化建设工作始于1996年，经过十几年的探索和实践，形成了以高级法院为中心覆盖全市三级22个法院、55个派出人民法庭、3个异地节点之间的百兆带宽综合信息共享与交换系统，实现了与最高法院专网、市电子政务网、市政法委、市公安局、检察院等网络接入。随着信息化建设的日益深入，信息系统的规模庞大，涉及到的应用项目繁多，各业务应用模块之间关联程度非常紧密，这给信息化运维工作带来很大的挑战；而上述这种“集群联动”系统运行又大大提高了运行维护的复杂度。全市审判工作与信息化技术之间的耦合关系越来越密切，对信息系统不间断运行的要求越来越高，因此信息系统能否安全、稳定、高效地运行对全市法院各项工作能否顺利进行产生重要影响。

随着系统规模的扩大和业务要求的提高，系统构建的复杂度越来越大，系统应用与审判业务之间的密切性越来越大，系统的故障和潜在隐患也越来越多，这给系统的安全、稳定运行带来了很大的压力和挑战。北京市高级人民法院技术处在提升自身运维管理水平的情况下，果断引入专业化的运维外包机构承担日常运维工作，并建立了涵盖运维外包商在内的运维管理体系。

在这种运维管理体系构建过程中，北京市高级人民法院技术处首先根据各个系统提炼运维目标和业务目标。运维目标主要针对系统运维人员，业务目标主要针对业务应用人员。运维目标的对象是后端支撑的各个系统，包括网络基础环境和应用系统软件；业务目标的对象是具体的各项审判业务。在此基础上，技术处构建服务体系，搭建服务平台，规范服务流程和制定服务配套制度并持续改进服务体系。例如在构建服务体系过程中，根据运维要求，与运维外包公司一起构建了组织体系，后者包括运维管理委员会、服务台和服务组。运维管理委员会承担运维决策职能，由技术处和各个运维外包单位的项目负责人组成，为运维外包提供战略决策。服务台和服务组承担运维执行层职能，由各个运维外包单位的管理人员和技术人员构成。此外，还将相关的设备厂商、系统软件提供商一起纳入服务体系中。

在运维工作中，北京市高级人民法院还特别注重提高信息化运维人员的综合素质。根据法院信息化运维特点，结合项目管理的基础知识，聘请外部专家，组织了全体运维工作人员进行基于ITIL的方法论和最佳实践的培训活动，收到了显著效果。

四、中国电子政务运维发展趋势和应重点考虑的因素

随着电子政务运维工作重要性的日益凸显，中国电子政务运维管理必然从粗放管理走向科学管理，从“重建设、轻维护，重技术、轻管理”走向“建设与维护并重，技术与管理并重”。下面结合研究和实践经验，就电子政务运维中需要重点考虑的因素进行总结。

⒈首先需要转变理念

“运维工作体现不出业绩，领导很难重视”,一位负责运维工作的处长无奈地如是说。有此类烦恼的运维人员不在少数。笔者综合国内外的研究认为，当前，我国电子政务工作的重点已从大规模网络、平台、业务系统的建设转向以深化应用、提升应用效益为主要特征的“运行维护”阶段。运行维护的重要性一点不亚于建设的重要性，甚至重要性更高，沿用建设时期的管理思路和管理方法与现阶段的管理需求已不相适应。为了更好地发挥电子政务的效益，“用好”电子政务非常关键，而电子政务运维管理是“用好”电子政务的重要保障。

从IT生命周期来看，建设和运维呈现了3个“二八现象”（参见图1）。

首先，从时间周期看，在整个信息化的生命周期中，以应用为特点的运维阶段占了80%的时间。其次，从电子政务效益看，只有“用好”，效益才能体现，信息化工作真正体现价值和效益，离不开运维阶段，如何用好，这是我们必须关注的。第三，从资金投入看，过去我国电子政务建设投入了大量的资金，2007年中国电子政务市场投资额为657.34亿元，同比增长19.6%。但这些资金中的80%都投入到了电子政务的建设，而运维资金的投入相对较少，且没有配套的制度保障，运维费预算口径和标准在全国依旧处于摸索阶段。相比电子政务成熟的国家，运维与建设资金的投入比正好与中国相反，运维资金一般占到了75%以上。

因此，运维阶段的科学管理非常重要，这个阶段如果管理不好，不仅关系到电子政务效益的发挥，而且电子政务的总体拥有成本（TCO）将会非常巨大。但如何规范运维工作，为业务提供高质量的IT服务？一位信息中心主任苦恼地感叹到，“投入了几百万元，买了监控、流程管理软件，聘请了国际咨询公司以提供咨询和软件的实施。其结果是：刚实施时，大家觉得好奇而使用了一段时间，后来软件基本上就没人再用了”。这类现象在很多政府部门都曾碰到过。笔者研究认为，在正确定位电子政务运维工作重要性的同时，需要转变理念，需要从单纯的技术思维转向管理思维来考虑运维工作；仅仅靠购买监控、流程软件是解决不了问题的，需要综合人、流程、技术等方面的因素，建立综合运维管理体系。“认识到是管理问题，你就成功了一半”，一位省级单位信息中心主任实施IT运维管理体系后深有感触地说。

正确认识运维管理，还需要从“单纯的运行维护工作”转变为“为业务提供高质量的IT服务”的服务视角上来，需要从运维管理上升到服务管理（具体转变如图2所示）。

⒉建立电子政务运维管理体系

《2006－2020年信息化发展战略》明确提出，未来电子政务行动计划要建立运行、维护管理制度，从国家层面规划了电子政务运维工作的方向。但如何确保运维工作安全、稳定、快捷，是很多政府部门信息化领导所关心的。要提升运维工作的科学化、规范化、专业化水平，需要系统地建立电子政务运维管理体系。基于对大量电子政务实践的研究，笔者提出IT运维管理体系的4层架构模型。IT运维管理体系4层架构模型涵盖管理目标、组织管理模式、制度规范体系、技术支撑体系等4个层面的内容（参见图3）。

①管理目标层。IT运维管理体系的建立要面向业务，以业务需求和目标为出发点，制定IT运维管理的愿景、目标（长期和短期目标）和策略。在目标层面，确保IT与业务的融合。

②组织模式层。基于IT运维管理目标，建立科学的IT运维管理机制。结合组织的实际，将IT服务相关的全部活动进行统一决策与规划，确定和规范IT运维管理体系运行的管理方式和与之相配套的组织机构设置，形成集中统一的IT运维管理机制，合理配置IT运维管理资源，实现对客户的端到端服务。

③制度规范层。依据管理模式，从管理角度制定用来规范IT运维和服务工作的准则，建立IT运维管理过程中各个参与要素（人、流程、工具）的管理制度与工作流程，建立考核评价体系，规范运维费用，实现精细化管理。

④技术支撑层。技术支撑体系是IT运维管理的实现手段，制度规范体系的具体落实有赖于技术支撑体系的技术支持。需要建立面向业务客户的IT服务请求响应窗口和面向技术支持人员的体系运行管理窗口；建立负责IT运维管理流程运行的流程管理平台和负责IT基础设施和业务应用系统运行监控的集中监控管理平台；根据不同类型IT基础设施和业务应用系统的管理职能，建立技术管理子系统，建立知识库、配置库、报表及日常操作等共享支持子系统和为业务管理提供服务的业务运维管理子系统。

⒊打开“建设转运维”的黑箱

关于建设转运维管理，现在存在很多挑战和矛盾。首先，建设和运维之间本身有一个模糊地带，对这个地带我们必须要有效地管理和控制。以前，这个模糊地带对于我们来说是一个黑箱，大家只是去摸索地做。现在我们要把这个黑箱打开，需要在立项、需求分析、设计、测试、上线等环节加以管控（参见图4）。

运维工作始于设计，在立项的时候就要考虑运维的主体、要求等。接着是需求分析阶段，在此阶段，既要考虑功

能层面的需求，也要考虑非功能层面的需求，如可用性指标、内控指标等；对于运维的特殊要求，都必须在需求分析阶段考虑清楚。在上线阶段，管控更重要，从测试到上线的过程要有规范化的步骤和文档，要做到“通过文档能够再现”的程度，确保真正能够对系统进行运维。上线稳定运行之后，开发人员仍然需要扮演二线支持的角色，解决应用系统疑难的问题。真正上线之后，运维工作必须由运维部门来负责，不能让开发人员随便改变生产环境。现在，很多政府单位采用“谁建设谁运维”的方式，在建设转运维过程做得不是太好，存在系统性的风险。

⒋科学进行运维费预算

“有钱了，不一定能管理好；但没有钱，一定管理不好”。目前大部分单位都面临运维费用预算方面的难题，普遍面临费用无法单独列支或经费不足的情况，且存在制度上的缺失。

运维费用是IT服务管理体系持续运行的资金保障。随着信息化建设的逐渐深入，信息化工作将逐渐由建设转向以应用为主的运行维护阶段。为保障应用系统的有效运行和IT服务质量的提高，实现IT服务精细化管理的目标，为业务提供信息化支撑，科学进行运维费用管理显得非常重要。

运维费用管理需要清晰定义运维目标、运维费用的构成要素，规范运维费用预算的口径和标准，使其与信息化建设费用、日常办公经费相区分。否则，对要花多少钱、钱花在什么地方，就无法实现标准化和科学化。

除了大项之外，还要细分，要弄清楚每一项钱花在了什么地方。若没有精细化管理，对每项工作怎么开展，开展的时间、周期等等，就很难分析，整个成本就会是模糊的。运维费用通常有两种计算方式：一种是比例系数法，另一种是工作量法。第一种方式的好处是容易计算，只要将资产乘以系数；其劣势是太过粗放。这种方式比较适合于硬件的维护，但是对应用系统的维护费用却很难计算。第二种方式的好处是比较精细化，但要求管理成熟度较高。

除负责具体运维工作的政府单位需要清楚自己运维中的经费支出情况外，作为运维费的拨付单位（如财政局），也需要携手信息化管理部门（如信息办）制定运维预算的制度和标准，以弥补制度方面的缺失。

⒌管控运维外包

随着运维专业化程度的提高和政府职能的转变，聘请专业的运维公司提供运维外包服务将是电子政务发展的必然趋势。2007年，ITGov中国IT治理研究中心就北京市电子政务运维外包市场的调查显示，59%的政府部门都采用了运维外包的方式。“通过IT运维外包有助于我们聚焦于本身的核心业务，专注于履行政府的行政职能，提高政府的工作效率。但如何有效管理外包商，对运维外包商提供的服务进行量化考核一直是我们关心的难题”，某市委和市政府信息中心主任对IT运维外包管理非常困惑。

笔者研究认为，运维外包管理将涵盖运维外包决策、外包商选择、运维外包合同签订、运维外包过程中的控制和运维外包评价等环节。以运维外包决策为例，需要梳理运维业务需求、明确服务级别、确定运维外包模式、风险管理等。运维外包模式的选择，可从业务重要性、安全性、管理成熟度、外包市场成熟度等指标进行综合评价。

⒍将国际最佳实践与政府部门的实际相结合

据笔者初步统计，ITIL在中国应用的成功率在50%之下，失败的原因除对ITIL定位为技术项目外，还主要包括ITIL没能很好地和组织的实际情况相结合。笔者研究认为，ITIL、ISO20000和组织的实践三者之间存在如图5所示的关系。

政府部门可以借鉴ISO20000和ITIL，并结合组织的实际来建立IT运维管理体系。但运维体系的建立需要考虑以下几个关键成功因素：将IT运维管理体系项目作为管理项目，培训先行，要将ITIL变成一种文化，全员参与；在实施过程中要重管理、重效果；要结合现有管理成熟度，推广过程中要考虑与现行管理制度的兼容性，做到“管理的科学性”和“管理的艺术性”相结合。以某政府部门IT运维管理体系项目为例，考虑到该单位需要在一个过程中转变流程管理的理念和服务的文化，项目开始并没有引入绩效考核制度，直到该单位已适应流程管理，并在工作中主动应用运维管理体系时，才逐渐引入绩效考核制度，做到了管理体系的平滑过渡。

⒎不同类型的政府部门应在运维管理工作中发挥不同的作用

从横向来看，与电子政务相关的政府部门大体上可以分为两种类型：一类为具体负责电子政务运维工作的信息中心，另一类为在一定区域内对相关政府部门信息化工作具有宏观指导和管理职能的信息办。不同性质的政府部门在运维管理工作中应发挥不同的作用。信息中心作为具体承担运维工作的单位，应建立涵盖运维需求、运维服务级别、组织结构和人员职责分工、管理流程、管理制度、运维费预算、绩效评估、技术工具的运维管理体系。信息办作为对各委办局单位信息化工作具有指导和管理职能的机构，可以结合各委办局单位的情况，从全省（市）的角度出台运维管理规范，用以规范和指导各委办局的运维管理工作。

从纵向来看，与电子政务运维相关的政府部门可以分为3个层面：第1个层面，部委单位，这个层面开展运维工作需要总体规划，分步实施，可以考虑制定供全国参考的管理规范；第2个层面，省厅政府单位，需要具体建立科学的IT运维管理体系；第3个层面，地、市单位（其信息化人数不多），需要借鉴科学的运维管理思想，结合当地需要，建立基础的运维流程（如事件管理流程），积累知识库，并制定供全体人员参考的信息化手册等。

参考文献：

1.孟秀转，孙强．电子政务综合绩效评估体系研究[J]．中国行政管理，2008（8）

2.中国推出服务型政府电子政务综合绩效评估体系[EB/OL]．(2008-11-11)[2008-11-23]．

4.中国IT治理研究中心. ITGov：信息化全面管理[M]. 北京：清华大学出版社，2008

5.孙强,左天祖，刘伟．IT服务管理：概念、理解与实施[M].北京：机械工业出版社，2004

6.刘颖．我国电子政务建设发展现状与预测[J]．当代通信，2005(9)

作者简介：

篇7

【关键词】大型央企 IT运维服务管理 ITIL

当前是一个信息文化时代，大型央企的发展要与时俱进，跟上时代前进的脚步。因此，央企必须不断优化企业IT部门的服务模式以及管理体制，完善IT运维流程管理，建立健全的管理机制，从而不断的提高央企的IT运维服务管理水平，最大化满足企业的服务需求。央企的IT运维模式要打破传统模式的弊端，要建立以服务为中心的运维模式，加强主动服务，不断去创新IT技术以及服务方式。

一、IT服务管理与ITIL

1、IT服务管理。IT服务管理又称ITSM，它作为一套辅助企业对IT系统的规划、开发、实施以及运营进行科学管理的方法[1]。ITSM为IT管理提供了有效的实施框架，用户可以随心所欲的享受到任何服务，不会局限于一个单独服务提供商，同时ITSM作为一种以用户为中心、流程为导向的方法，高度重视使用过程的灵活性以及实用性。

2、ITIL。ITIL作为一套IT服务管理标准库，1980年被英国国家电脑局开发出来，ITIL的开发出现使英国的IT管理服务形成一套标准规范，有效的提高企业IT部门的运维服务管理。ITIL为广大企业的IT服务管理实践提供了一个严谨、科学、客观以及可量化的标准和规范[2]。

二、开展IT运维管理的关键

2.1完善运维流程管理

央企要想不断完善运维管理，就要高度重视变更管理、事件管理、配置管理以及问题管理等核心管理流程工作[3]，与此同时还要严格遵守ITIL规范，落实数据管理、设别备管理以及机房管理的制度建立和执行。央企要想有效的控制管理流程，建立健全的信息数据交互机制，从而产生闭环管理，企业就必须重在第一时间确定事件分级办法，通过科学的方法建立健全的事件响应以及升级机制，提高企业事件后期的处理和分析能力，从而持续的优化管理流程；在变更管理流程上，央企要建立起完整的变更分级审批以及变更分类标准流程，不断的完善变更窗口管理制度，从而最大程度的减少变更给企业生产运行带来的负面影响；在数据管理的流程上，企业要高度重视各项数据的运用、储存、备份、传输以及最后的销毁管理，对于重点客户的信息以及企业的机密数据信息，企业要加强对其的管理和使用。

2.2加大集中化监控与一体化管理力度

央企在集中化监控与一体化管理上，必须先制定出生产系统中软硬件、应用系统以及网络环境性能监测的指标体系与监控策略[4]，企业在完成对各项网络设备以及应用系统的有效监控后，就可把主要关注重心放在企业的核心应用系统以及对外营销客服系统的监控上，从而保证企业系统的安全稳定运行，不会受到外来因素的破坏造成严重的经济损失。为了实现运维管理一体化的管理制度，企业要不断加强上级部门对各个基层单位生产经营情况的监管能力，利用有效的监控措施不断去完善企业各个运维管理流程的运行机制，保证央企完成随企业内部所有基础设备以及核心应用系统运行状况的整体监控，不断提高央企的IT运维管理自动化水平。

2.3加强应急处理，提升跨部门协作能力

企业必须不断加强IT运维管理的应急处理，应急管理的主要内容包括以下几点：一是基础设施故障的应急处理；二是灾难恢复计划；三是业务连续性计划。央企在面对突发的重大事件时，要想沉着冷静的解决此事件带来的负面影响，就要在日常运维管理过程中，建立起健全的应急处理机制，只有这样企业在发生重大突发事件时，才能在第一时间进行预警、报告、决策以及指挥等应急措施。企业要做好跨部门协作工作，建立起完善清晰的报告路线以及流程，严格执行应急指挥和跨部门统筹协调机制，保证各部门、各个岗位工作人员的工作效率和质量。企业要建立起健全的应急一体化管理体系，不断加强灾备体系的建设，按照企业的业务性连续目标以及风险战略，科学合理的制定出有效的灾备体系实施流程以及建设策略。

三、结束语

综上所述，大型央企在IT运维服务管理实践过程中，要不断完善运维流程管理，高度重视每一个重要流程的管理工作，制定完善的管理制度，同时要加大对企业集中化监控以及一体化的管理力度，实现大型央企的自动化运维管理，还要加强企业的应急管理，在突发事件发生时，能及时采取有效措施解决。

参考文献

[1]许宏彬.面向业务服务的供电企IT运维管理研究[J].电力信息化，2010，8（10）：30-37.

[2]杨先杰.ITSM运维体系在电力企业的研究与应用[J].电力信息化，2010，8（2）：78-81.

篇8

【关键词】信息系统身份鉴别漏洞扫描信息安全管理体系（ISMS）

近年来，“Locky勒索软件变种”、““水牢漏洞””、“支付宝实名认证信息漏洞”、“京东12G用户数据泄露”、“700元买他人隐私信息”等信息安全事件层出不穷，引起各国领导的重视和社会关注。为提高网络安全和互联网治理，2014年，我国成立了以主席为最高领导的信息安全管理机构-中央网信办；2016年11月，在中国乌镇举行了《第三届世界互联网大会》。通过一系列的行为，为求现有的网络系统能够提高安全能力，为广大社会群众提供服务的同时，能够保证人民的利益。

信息系统是由硬件、软件、信息、规章制度等组成，主要以处理信息流为主，信息系统的网络安全备受关注。企业在应对外部攻击，安全风险的同时，当务之急是建立一套完整的信息安全管理体系。在统一的体系管控下，分布实施，开展各项安全工作。

目前，大多数企业的信息安全工作比较单一，主要是部署安全防护设备，进行简单的配置。信息安全工作不全面，安全管理相对薄弱，不足以抵抗来自外部的威胁。

1 信息安全问题

1.1 身份鉴别不严格

考虑到方便记忆和频繁的登录操作，企业普遍存在管理员账号简单或者直接采用系统的默认账号现象，并且基本不设定管理员的权限，默认使用最大权限。一旦攻击者通过猜测或其他手段获得管理员账号，攻击者如入无人之境，可以任意妄为。最终可造成数据泄露，系统瘫痪等不可估量的严重后果。注重信息安全的企业会修改默认管理员账号，设定较为复杂的口令，并定期进行口令更换。但是也仅仅使用一种身份鉴别技术，不足以抵抗外部攻击。

1.2 外部攻击，层出不穷

随着计算机技术的发展，信息系统的外部攻簦层出不穷。攻击者利用网络系统的漏洞和缺陷，攻击系统软件、硬件和数据，进行非法操作，造成系统瘫痪或者数据丢失。目前主要存在的攻击手段包括扫描技术、邮件

攻击、拒绝服务攻击、口令攻击、恶意程序等等；入侵常用的步骤包括采用漏洞扫描工具进行扫描、选择合适的方式入侵、获取系统的一定权限、提升为系统最高权限、安装系统后门、获取敏感信息或者其他攻击目的。攻击者会根据系统特性和网络结构采取不同的手段对网络进行攻击，如果不采取相应的防御手段，很容易被黑客攻击，造成损失。

1.3 员工安全意识薄弱

很多互联网企业的员工缺乏信息安全意识，存在离开办公电脑时不锁屏现象；将重要客户信息、合同等敏感材料放在办公桌上或者不及时取走打印机房内的材料；优盘未经杀毒直接连接公司电脑；随意点击不明邮件的链接；更有员工将系统账号、密码粘贴在办公桌上；在系统建设阶段，大到管理者，小到开发人员、测试人员，均注重技术实现和业务要求，而忽略了系统的安全和管理。由于员工的信息安全意识较为薄弱，很容易造成公司信息泄露，进而导致公司的损失。

1.4 内部管理制度不完善

俗话说，“不以规矩，不能成方圆”。未形成全面的信息安全管理制度体系，缺失部分安全策略、管理制度、操作规程，可能导致信息安全管理制度体系存在疏漏，部分管理内容无法有效实施。使相关工作过程缺乏规范依据和质量保障，进而影响到信息系统的安全建设和安全运维。比如在软件开发过程中，开发人员会因为各种原因而忽略安全开发（存在开发人员没有意识到代码安全开发的问题；有些开发人员不愿意使用边界检查，怕影响系统的效率和性能；当然也存在许多遗留代码存在问题的现象，从而导致二次开发同样产生问题），可能导致系统存在后门，被黑客攻击。

2 防范措施

企业需依据《信息安全等级保护管理办法（公通字[2007]43号）》、《中华人民共和国网络安全法》》、《ISO/IEC 27001》等标准和法律法规进行信息系统安全建设工作。测评机构在网安的要求下，对企业信息系统的安全进行测评，并出具相应测评结果。根据测评结果和整改建议，采用相应的技术手段（安全认证、入侵检测、漏洞扫描、监控管理、数据备份与加密等）和管理措施（安全团队、教育与培训、管理体系等）对信息系统进行整改。如图1所示。

2.1 技术手段

2.1.1 安全认证

身份鉴别是指在计算机系统中确认执行者身份的过程，以确定该用户是否具有访问某种资源的权限，防止非法用户访问系统资源，保障合法用户访问授权的信息系统。凡登录系统的用户，均需进行身份鉴别和标识，且标识需具有唯一性。用户身份鉴别机制一般分为用户知道的信息、用户持有的信息、用户生物特征信息三种。针对不同鉴别机制，常用的鉴别技术（认证技术）如表1所示。

不同的认证技术，在安全性、便捷性方面存在不同的特性。比如USB-Key的安全等级较高，但会遇到各种问题，导致便捷性较差（比如存在软硬件适配性问题，移动终端无USB口等）。一般认为在相同的便捷性前提下，选择安全等级较高的认证技术。针对重要系统应采用双因子认证技术。

2.1.2 入侵检测

入侵检测能够依据安全策略，对网络和系统进行监视，发现各种攻击行为，能够实时保护内部攻击、外部攻击和误操作的情况，保证信息系统网络资源的安全。入侵检测系统（IDS）是一个旁路监听设备，需要部署在网络内部。如果信息系统中包含了多个逻辑隔离的子网，则需要在整个信息系统中实施分布部署，从而掌控整个信息系统安全状况。

2.1.3 漏洞扫描

漏洞扫描是指基于漏洞数据库，通过扫描等手段对目标系统的安全脆弱性进行检测，发现可利用的漏洞的一种安全检测行为。常见的漏洞扫描类型主要包括系统安全隐患扫描、应用安全隐患扫描、数据库安全配置隐患扫描等。系统安全隐患扫描根据扫描方式的不同，分为基于网络的和基于主机的系统安全扫描，可以发现系统存在的安全漏洞、安全配置隐患、弱口令、服务和端口等。应用安全隐患扫描可以扫描出Web应用中的SQL注入、Cookie注入、XPath注入、LDAP注入、跨站脚本、第三方软件等大部分漏洞。数据库安全配置隐患扫描可以检测出数据库的DBMS漏洞、缺省配置、权限提升漏洞、缓冲区溢出、补丁未升级等自身漏洞。

漏洞扫描主要用于评估主机操作系统、网络和安全设备操作系统、数据库以及应用平台软件的安全情况，它能有效避免黑客攻击行为，做到防患于未然。

2.1.4 监控管理

网络监控主要包括上网监控和内网监控两部分。目前市场上已做的完整监控软件已包含上述功能。网络监控需结合网络拓扑，在网络关键点接入监控工具监测当前网络数据流量，分析可疑信息流，通过截包解码分析的方式验证系统数据传输的安全。例如Solarwinds网络监控平台，它包括Network Performance Monitoring、Network Traffic Analysis、WAN Performance （IP SLA）、IP Address Management、Network Configuration Management、Application Performance Monitoring等。可以执行全面的带宽性能监控和故障管理；可以分析网络流量；可以对服务器上运行的服务和进程进行自动监控，并在故障发生时及时告警；可对VOIP的相关参数进行监控；可以通过直观的网络控制台管理整个IP架构；可快速检测、诊断及解决虚拟化环境的网络性能；强大的应用程序监视、告警、报告功能等。

2.1.5 数据备份与加密

企业高度重视业务信息、系统数据和软件系统。数据在存储时应加密存储，防止黑客攻击系统，轻易获得敏感数据，造成公司的重大经济损失。常用的加密算法包括对称加密（DES、AES）和不对称加密算法（RSA）。密码技术不仅可以防止信息泄露，同时可以保证信息的完整性和不可抵赖性。例如现在比较成熟的哈希算法、数字签名、数字证书等。

除了对数据进行加密存储外，由于存在数据丢失、系统断电、机房着火等意外，需对系统数据进行备份。按照备份环境，备份分为本地备份和异地备份；按照备份数据量的多少，备份分为全备、增备、差分备份和按需备份。各企业需根据自己的业务要求和实际情况，选取合适的备份方式进行备份。理想的备份是综合了软件数据备份和硬件冗余设计。

2.2 管理措施

2.2.1 安全团队

企业应设立能够统一指挥、协调有序、组织有力的专业的安全管理团队负责信息安全工作，该团队包括信息安全委员会，信息安全部门及其成员。安全部门负责人除了具备极强的业务处理能力，还需要有管理能力、沟通能力、应变能力。目前安全团队的从业人员数量在逐渐增加，话语权在增多，肩上的担子也越来越大。安全团队需要定好自己的位，多检查少运维，多帮企业解决问题。即安全团队修路，各部门在上面跑自己的需求。

2.2.2 教育c培训

保护企业信息安全，未雨绸缪比亡羊补牢要强。培养企业信息安全意识文化，树立员工信息安全责任心，是解决企业信息安全的关键手段之一。企业的竞争实际上是人才的竞争，除了定期进行技能培训外，还需对员工的安全意识进行教育和培训。信息安全团队应制定信息安全意识教育和培训计划，包括但不限于在线、邮件、海报（标语）、视频、专场、外培等形式。通过对员工的安全意识教育，能从内部预防企业安全事件的发生，提高企业的安全保障能力。

2.2.3 管理体系

随着计算机攻击技术的不断提高，攻击事件越来越多，且存在部分攻击来自公司组织内部。单靠个人的力量已无法保障信息系统的安全。因此，企业需建立自上而下的信息安全管理体系（ISMS， Information Security Management System），以达到分工明确，职责清晰，安全开发，可靠运维。安全管理制度作为安全管理体系的纲领性文件，在信息系统的整个生命周期中起着至关重要的作用。不同机构在建立与完善信息安全管理体系时，可根据自身情况，采取不同的方法，一般经过PDCA四个基本阶段（Plan：策划与准备；Do文件的编制；Check运行；Action审核、评审和持续改进）。可依据ISO27000，信息安全等级保护等，从制度、安全机构、人员、系统建设和系统运维5个方面去制定信息安全管理体系。通常，信息安全管理体系主要由总体方针和政策、安全管理制度、日常操作规程和记录文档组成，如图2所示。

3 结语

国家不断加强对各个互联网企业、金融、银行等的信息安全工作监督，通过ISO27000、信息安全等级保护测评、电子银行评估、互联网网站专项安全测评等方式，规范企业的信息安全建设工作。同样，信息安全工作长期面临挑战，不能一蹴而就，需要相关安全工作人员戮力同心、同舟共济、相互扶持、携手共建信息安全的共同体。

参考文献

[1]沈昌祥，张焕国，冯登国等.信息安全综述[J].中国科学杂志社，2007（37）：129-150.

[2]李嘉，蔡立志，张春柳等.信息系统安全等级保护测评实践[M].哈尔滨工程大学出版社，2016（01）.

[3]蒋欣.计算机网络战防御技术分析[J].指挥控制与仿真，2006（08），28-4.

作者简介

康玉婷（1988-），女，上海市人。硕士学位。现为信息安全等级测评师、初级工程师。主要研究方向为信息安全。

作者单位

篇9

作为政府部门的对外服务窗口，政府网站随着电子政务的不断发展，正在扮演着愈来愈重要的角色。同时，网站作为组织信息系统的一种边界，与生俱来就是外部攻击的首选，其面临的安全形势在智慧城市建设阶段更为复杂严峻。2011年底，国务院办公厅和工信部分别了《关于进一步加强政府网站管理工作的通知》（国办函［2011］40号）和《委托开展政府网站安全管理试点工作的通知》（工信厅协函［2011］416号），要求提高政府网站的安全保障水平。据此，上海三零卫士信息安全有限公司在上海市网安办的指导下，在前期参与信安标委《政府网站系统安全指南》国家标准和长期从事信息安全服务的基础上，提出了“三位一体”的政府网站安全保障体系。

所谓“三位一体”，就是从“技术”、“管理”和“运维”三个方面来构建完整的政府网站安全保障体系，主要遵循信息安全“技术与管理并重”、“建设与运维并重”两大原则。从现有的国家《信息系统安全等级保护基本要求》来看，也是分为技术和管理两大类，技术类按信息系统的层次结构再细分，管理类则强调管理体系、建设管理和运维管理。因此，一个有效的信息安全保障体系不是安全产品的堆砌，而是需要建立完善的安全管理体系，并通过专业的安全服务来实现的。就目前政府网站的安全保障而言，管理体系主要应由政府网站主管部门负责，安全服务可以采用可控可信的服务外包的方式实现。

篇10

[关键词]信息技术基本构架库（ITIL） ERP

中图分类号：TK228 文献标识码：A 文章编号：1009-914X（2014）21-0374-01

前言

当前，公司在信息系统运维方面虽有一定的经验，但是此项工作具有一定的特殊性，且起步较晚，在调研中发现实际运维存在着如下问题：整体工作基本处于被动状态，主动发现、解决的问题少，为了进一步研究ERP系统运行维护经验，提高整体工作质量，减少各类故障带来的影响，已成为此项工作急待研究的新课题。

一、信息技术基本构架库（ITIL）简介

ERP是管理信息系统，其核心价值在于系统流程化和集成化管理，这也是与其他信息系统最显著的区别；系统应用中业务面广，实时性强，重要程度高；技术平台配置复杂，网络硬件设备多，维护内容广。与其他系统运维相比，ERP系统运维总体要求更高，日常具体工作一定要能可控.在控和能控，因此，借鉴ITIL方法论构建ERP运维体系是可行之举。

所谓ITIL即IT基础设施知识库，目的是为了指导国内公共行政机构高效使用IT资源。其中位于中心的服务管理流程是整个ITIL 框架的心脏。

二、运用ITIL构建ERP运维体系

在具体构建中，应以服务支持为中心，具体从组织机构，制度标准、流程和系统管理等方面人手，快速建立起具有公司特色的ERP运维管理体系，实现运维的主动性和及时性，提高服务保障的质量。

2.1 组织架构的建立

公司ERP系统运维纵向可分为公司本部和各供电局两层，系统所有应用数据采用大集中存放管理，公司本部是应用运维的核心，负责日常指导应用配置、技术运维和开发；供电局是应用操作层面，进行问题整理收集、系统网络配置等具体工作。同时ERP系统横向应用涉及人力资源、财务、物资、项目、设备和信息等多项业务，因此，无论是省公司，还是供电局都要有专门的组织机构来管理日常维护工作，其中不仅有技术人员，而且也要有业务骨干。工作中明确关系、人员职责，尤其是工作的衔接，相互配合等，遇到问题，各尽其职，快速响应，使系统正常运行。公司在ERP试点建设阶段，投入了大量的骨干人员参与全过程，他们已成为自己运行维护团队的中坚力量。

2.2 运维平台的建设

ERP系统运维体系要通过建立中心内部服务台和相关流程，落实运维人员的责任和工作内容，保证日常各项维护工作落到实处。

（1）建立服务台。建成的服务台应是ERP系统最终用户与运维中心的联络点和报修台。服务台日常工作是每日监控公司系统运行，登记反馈的各种故障，收集整理问题，按既定流程落实安排处理并协调解决各类问题。具体服务方式可通过网站进行自助服务：热线服务、远程支持和现场服务等。在上线初期，由于使用者对系统有一个适应过程，大量的服务可能来自操作层面，但随着应用的不断深入，服务台接受的更多会是系统功能方面的问题，那时其作用就凸现出来。

（2）制定、优化流程，提高运维效率。目前，系统运维初期亟待建立的主要流程有ERP配置管理、变更管理、问题和故障管理等。

首先配置管理汇集了ERP系统涉及的所有软件、应用和设备的配置、权限、传输管理等信息，具体存放在配置管理数据库（CMDB）中，所以，CMDB是配置和变更的基础，是系统运维的参数档案。ERP配置管理建设最重要的是建立、更新和应用CMDB，日常维护就是完全以此为依据维护用户及其权限、传输管理.系统监控和配置等；其次变更管理涉及ERP任何功能的增加、减少和修改等，由于变更管理直接影响着系统的配置、应用等管理，也关系着系统的正常运行，因此，变更管理必须要有一定的管理流程和实现方法，运维中变更管理应涉及范围、内容、级别，且均要采用表单机制，总体遵循申请一测试一审批一实施一评估这样的流程。目前，急需制定传输申请流程、权限变更流程、用户申请流程等规章制度，保证系统集中管理有序进行，另外，主动预防可能发生的故障，通过每日每周的巡检制度，在日常工作中主动发现“问题”。故障管理可通过受理、分派、处理、回访等流程和标准，解决系统故障，达到运维服务级别的要求；最后可实现系统中各种版本、业务流程、故障处理方法、参考文献的变更等，保证系统能及时更新，从而提高运维质量。

2.3 运维指标体系的制定

当前信息系统运维指标多侧重于服务器、网络维护，且定性设计的指标多，量化的少，粗略的多，分解细化的少。在考核方面，围绕指标工作要求和责任不够明确，实际操作性不强，监督考核也常常流于形式。其结果是运维工作不易落实，不能防患未然，运维人员成了灭火队员，出了问题后才想办法解决。在建立基于ITIL 的ERP运维指标体系中，首先是制定日常管理的分类运维指标，细化具体内容；其次是在运维工作中根据运行情况，对指标汇总，主动地发现问题，找出原因，分析制定措施解决和改进，提高运维指标，如此反复不断地提高运维质量。目前先期要制定的基本指标除了服务器、网络运行率、各个环节处理时间，还应在运维平台中制定更多的指标，如服务台中接线量、解答率、成功解决反馈率、用户满意率，配置管理中CMDB覆盖率、准确率、更新率；变更管理中失败率、被拒绝率、准确完成率；安全管理中访问控制、设备加固，审计和风险评估；事故管理中解决事故率、平均响应时间.平均解决时间、主动解决率等，以上指标不是完全孤立的。如CMDB覆盖率可能影响着服务台的解答率、变更管理中的准确完成率，所以，加强CMDB的管理，不仅提高以上2个指标，又可以减少事件数量和时间，提高了用户满意度。

2.4 综合管理、监督、保障体系的建立

（1）建立综合网管系统。通过目前建立的信息网管系统采集到各类设备、网络基本指标，实现对运行系统的集中监控，保证技术层面的问题和隐患能及时发现，同时也解决运维人员大量重复性的工作。

（2）建设ERP管理信息系统。建议建设ERP管理系统，利用统一的信息平台，将系统运维工作中各种资源。如CMDB、工作流程、管理制度和人员等集成应用，实现日常工作管理的及时、准确管理；

（3）建立巡检机制，明确内容。不仅明确巡检人员日常检查的设备、网络、应用等方面是否有异常，而且分析运维各环节中是否存在管理和技术问题，主动向服务台反应，保证运维人员能对问题和故障快速跟踪和消除隐患，保证问题及时解决；

（4）严格变更管理。ERP系统配置，程序开发变化都会引起变更，而且各类变更参数多，影响范围广，因此，变更一定要严格按流程执行，需要维护人员、业务人员甚至专家团队等制定方案。评估、测试和审批，批准后严格按流程执行变更，最后启动配置管理，更新管理数据库并关闭。详细流程见

网络运维管理制度范文

篇1

篇2

篇3

篇4

篇5

篇6

篇7

篇8

篇9

篇10

热门标签

相关文章

相关期刊

网络财富

网络财富

网络财富

卫星与网络

精品范文