CFDAB
国 家 食 品 药 品 监 管 信 息 化 标 准
CFDAB/T
0702-2014 食品药品监管信息系统 运行维护管理规范
China Food and Drug Administration Information System Operations and Maintenance Requirements
2014-06-09 发布
2014-06-09 实施
国家食品药品监督管理总局
发 布
目 次 前
言 ..................................................................................................................................... 错误! 未定义书签。
引
言 ..................................................................................................................................... 错误! 未定义书签。
1 范围 ............................................................................................................................... 错误! 未定义书签。
2 规范性引用文件 ........................................................................................................... 错误! 未定义书签。
3 术语和定义 ................................................................................................................... 错误! 未定义书签。
4 运行维护服务管理框架 ............................................................................................... 错误! 未定义书签。
4.1 概述 ......................................................................................................................... 错误! 未定义书签。
5 运行维护服务能力管理 ............................................................................................... 错误! 未定义书签。
5.1 概述 ......................................................................................................................... 错误! 未定义书签。
5.2 策划 ......................................................................................................................... 错误! 未定义书签。
5.3 实施 ......................................................................................................................... 错误! 未定义书签。
5.4 检查 ......................................................................................................................... 错误! 未定义书签。
5.5 改进 ......................................................................................................................... 错误! 未定义书签。
6 人员 ............................................................................................................................... 错误! 未定义书签。
6.1 目的 ......................................................................................................................... 错误! 未定义书签。
6.2 要求 ......................................................................................................................... 错误! 未定义书签。
6.3 关键指标 ................................................................................................................. 错误! 未定义书签。
7 资源 ............................................................................................................................... 错误! 未定义书签。
7.1 目的 ......................................................................................................................... 错误! 未定义书签。
7.2 运行维护工具 ......................................................................................................... 错误! 未定义书签。
7.3 服务台 ..................................................................................................................... 错误! 未定义书签。
7.4 备件库 ..................................................................................................................... 错误! 未定义书签。
7.5 知识库 ..................................................................................................................... 错误! 未定义书签。
7.6 测试环境 ................................................................................................................. 错误! 未定义书签。
8 技术 ............................................................................................................................... 错误! 未定义书签。
8.1 目的 ......................................................................................................................... 错误! 未定义书签。
8.2 运行维护技术研发、技术发现、技术解决 .......................................................... 错误! 未定义书签。
9 过程 ............................................................................................................................... 错误! 未定义书签。
9.1 概述 ......................................................................................................................... 错误! 未定义书签。
9.2 服务级别管理 .................................................................................................... 错误! 未定义书签。
9.3
服务报告 ............................................................................................................ 错误! 未定义书签。
9.4 事件管理 ............................................................................................................ 错误! 未定义书签。
9.5 问题管理 ............................................................................................................ 错误! 未定义书签。
9.6 配置管理 ............................................................................................................ 错误! 未定义书签。
9.7 变更管理 ............................................................................................................ 错误! 未定义书签。
9.8 发布管理 ............................................................................................................ 错误! 未定义书签。
9.9 信息安全管理 .................................................................................................... 错误! 未定义书签。
9.10
外包方管理 ....................................................................................................... 错误! 未定义书签。
9.11
应急响应 ........................................................................................................... 错误! 未定义书签。
附录 A
(资料性附录)运行维护服务对象和内容 ........................................................... 错误! 未定义书签。
A.1 概述 .......................................................................................................................... 错误! 未定义书签。
A.2 运行维护服务对象 .................................................................................................. 错误! 未定义书签。
A.3 运行维护服务内容 .................................................................................................. 错误! 未定义书签。
附录 B (资料性附录)运行维护服务目录 ...................................................................... 错误! 未定义书签。
附录 C (资料性附录)运行维护服务级别协议框架 ...................................................... 错误! 未定义书签。
附录 D (资料性附录)应急事件级别划分指南 .............................................................. 错误! 未定义书签。
参考文献 ............................................................................................................................... 错误! 未定义书签。
前 言 本规范依据 GB/T
1.1—2009 给出的规则起草。
本规范由国家食品药品监督管理总局信息中心提出。
本规范由国家食品药品监督管理总局信息化工作领导小组办公室归口。
本规范主要起草单位:国家食品药品监督管理总局信息中心。
引 言
近些年来,食品药品监管信息化建设工作取得重大成效,各系统逐步进入运行维护阶段。然而,各级食品药品监管部门的运行维护水平参差不齐,运行维护管理的规范化程度仍然薄弱,同时,缺少选择或评价运行维护服务的外包方的方法、依据。本规范梳理了食品药品监管信息系统运行维护服务的对象和内容,并基于此归纳总结运行维护服务的要素和能力要求,提出关键指标对服务能力进行评价。
本规范的第 4 章提出了运行维护服务能力模型,解释了模型中四个关键要素,并明确运行维护服务能力管理原则。
本规范的第 5 章对运行维护服务能力的策划、实施、检查和改进提出管理要求。
本规范的第 6 章规定了岗位职责、人员备份和人员培训要求及关键指标。
本规范的第 7 章规定了运行维护工具、服务台、备件库、知识库和测试环境要求及关键指标。
本规范的第 8 章规定了技术研发、技术发现和技术解决要求及关键指标。
本规范的第 9 章规定了服务级别管理、服务报告、事件管理、问题管理、配置管理、变更管理、发布管理、信息安全管理、外包方管理、应急管理要求及关键指标。
本规范的附录 A 给出了运行维护服务对象和内容。
本规范的附录 B 给出了运行维护服务目录的参考。
本规范的附录 C 给出了运行维护服务级别协议框架的参考。
本规范的附录 D 给出了应急事件级别划分指南。
食品药品监管信息系统 运行维护管理规范 1
范围 本规范提出了食品药品监管信息系统运行维护服务单位应具备的基本能力,规定了运行维护服务的对象与内容、管理框架以及管理要求。
本规范除了为运行维护服务单位提供参考依据外,还可以为运行维护服务质量的评估、审计人员提供指南。
本规范适用于:
a) 运行维护服务单位按照此规范建立运行维护管理体系,具备运行维护服务的基本能力; b) 为运行维护服务单位选择外包方提供参考; c) 为运行维护服务单位提供运行维护服务的最佳实践和质量评估依据。
2
规范性引用文件 下列文件对于本文件的应用是必不可少的,凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T
19000-2008 质量管理体系基础和术语 GB/T
24405.1-2009 信息技术 服务管理 第 1 部分:规范 3
术语和定义 下列术语和定义适用于本文件。
3.1 运行维护服务 operation maintenance service 采用信息技术手段及方法,依据需方提出的服务级别要求,对其所使用的信息系统运行环境、业务系统等提供的综合服务。
3.2 运行维护服务对象 operation and maintenance service object 运行维护服务的受体。
注:运行维护服务对象通常指机房环境、网络通讯、硬件、软件、数据和应用等。
3.3 运行维护服务内容 operation and maintenance service content 根据需方需求和服务级别协议承诺,向需方提供的例行操作、响应支持、优化改善和调研评估等服务。
3.4 关键指标 key index 用于评估、衡量运行维护服务单位服务能力的关键参数。
3.5 人员 people 运行维护服务单位从事运行维护服务的人。
3.6 资源 resource 为了保证运行维护服务的正常交付所依存和产生的有形及无形资产。
注:主要包括运行维护工具、服务台、知识库和备件库等。
3.7 技术 technology 运行维护服务单位为了保证运行维护服务的正常交付应具备的关键能力。
3.8 运行维护工具 operation and maintenance tool 为完成特定运行维护服务所必备的工具。
注:可以是专用软件,也可以是专业设备。
3.9 服务台 service desk 面向用户的、完成大部分支持工作的支持组。
[GB/T 24405.1-2009,定义 2.12] 3.10 备件 spare parts 为保证失效部件或设备得到替换,所预先准备的,能够提供正常功能的部件或设备。
3.11 服务级别协议 service level agreement SLA(缩略语)
运行维护服务单位与需方之间签署的描述符合和约定服务级别的协议。
[GB/T 24405.1-2009,定义 2.13] 3.12 例行操作 routine operation 运行维护服务单位日常提供的预定服务,如巡检、监控、备份和应急测试等。
3.13 响应支持 response support 运行维护服务单位对服务请求或故障申报提供的即时服务,如突发事件处理等。
3.14 优化改善 optimization and improvement 运行维护服务单位对运行维护服务对象提供功能和性能的调优服务,如数据库优化、网络优化等。
3.15 咨询评估 consultation and evaluation 运行维护服务单位通过对运行维护服务对象的调研和分析,提出规划方案或建议,如备份规划等。
3.16 应急事件 emergency event 导致或即将导致运行维护服务对象运行中断、运行质量降低,以及需要实施重点时段保障的事件。
3.17 应急响应 emergency response 运行维护服务单位为预防、监控、处置和管理应急事件所采取的措施和活动。
3.18 重点时段保障 important period assurance 提升运行维护服务级别以确保某一时间段内重要活动或重点业务的开展所采取的措施和活动。
3.19 需方 delivery 需要运行维护服务的组织或机构。
4
运行维护服务管理框架 4.1 概述 运行维护服务是运行维护服务单位依据需方提出的服务级别要求,采用相关的方法、手段、技术、制度、过程和文档等,针对运行维护服务对象(运行维护服务对象参见附录A)提供的综合服务。
为确保提供的运行维护服务符合与需方约定的质量要求,运行维护服务单位应具备提供服务的条件和能力。
本规范提出食品药品监管信息系统运行维护服务管理的框架,如图1所示。
图 1 运行维护服务能力模型 模型给出运行维护服务能力的四个关键要素:人员、资源、技术和过程,每个要素通过关键指标反映应具备的条件和能力。
模型的各组成要素反映了人员利用资源、运用技术,通过规定的过程为需方提供运行维护服务。
要素可用于评价或选择运行维护服务单位。
过程 服务级别管理 服务报告 事件管理 问题管理 配置管理 变更管理 发布管理 信息安全管理 外包方管理 应急管理 技术 技术研发 技术发现 技术解决 人员 岗位职责 人员备份 人员培训 资源 运行维护管理工具 服务台 备件库 知识库 测试环境
关键指标 策划 实施 改进 检查
关键指标是运行维护服务所涉及到的核心能力参数,在本规范中主要体现在人员、资源、技术、过程四个方面,并应用于运行维护服务单位的运行维护服务能力评价。
在运行维护服务提供过程中,运行维护服务单位通过策划、实施、检查和改进实现运行维护服务能力的持续提升。
5
运行维护服务能力管理 5.1 概述 运行维护服务单位应对运行维护服务能力进行整体策划,为实施运行维护服务能力管理和按 SLA规定交付服务内容(运行维护服务内容参见附录 A)提供必要的资源支持,保证交付质量满足 SLA 要求,对运行维护服务结果、服务交付过程以及相关管理体系进行监督、测量、分析和评审,并实施改进。
5.2 策划 目的:对运行维护服务能力进行整体策划并提供必要的资源支持,以确保运行维护服务单位有能力提供运行维护服务。
运行维护服务单位应对运行维护服务能力进行策划,至少应:
a) 根据自身业务定位和能力,策划运行维护服务对象的服务内容与要求,并形成服务目录。
b) 明确运行维护服务管理的管理角色和职责,信息中心是当地食品药品监督管理部门运行维护工作主管单位,统一负责运行维护管理与组织实施工作;无信息中心的由各地食品药品监督管理部门指定专门机构或专职人员具体负责运行维护管理工作。
c) 对人员、资源、技术和过程进行规划,建立相适应的指标体系。
d) 策划如何管理、审核并改进服务质量,建立管理评审、内部审核评估和改进机制。
5.3 实施 目的:按照运行维护服务能力的整体策划进行实施,以确保运行维护服务单位具备运行维护服务的能力。
运行维护服务单位在实施运行维护服务能力管理过程中,至少应:
a) 制定满足整体规划的实施计划,并按计划实施; b) 按照服务能力要求实施管理活动并记录,确保服务能力管理和服务过程实施可追溯,服务结果可计量或可评估。
5.4 检查 目的:检查运行维护服务能力管理活动符合计划要求和质量目标。
运行维护服务单位应对运行维护服务能力管理过程和实施结果进行监控、测量、分析和评审。至少应:
a) 定期评审服务过程及相关管理体系,以确保服务能力的适宜性和有效性; b) 调查用户满意度,并对服务能力策划实施的结果进行统计分析;
c) 检查四要素各项指标达成情况。
5.5 改进 目的:改进运行维护服务能力管理过程中的不足,持续提升运行维护服务能力。
运行维护服务单位应不断总结经验和教训,修改和优化运行维护服务能力管理计划和规程。至少应:
a) 对不符合策划要求的行为进行总结分析; b) 对未达成的指标进行调查分析; c) 根据分析结果确定改进措施,制定服务能力改进计划,纠正和预防不符合情况。
6
人员 6.1 目的 确保提供运行维护服务的人员职责清晰并具备应有的能力。
6.2 要求 运行维护服务单位应从以下方面着手人员的管理:
a) 岗位职责 应制定运行维护人员的岗位职责,包括管理岗位与操作岗位,职责分工应清晰明确。
b) 人员备份 运行维护服务单位应建立与运行维护服务相关的人员备份机制和计划,确保有足够的人员,以满足与需方约定的运行维护服务需求。
c) 人员培训 运行维护服务单位应识别培训需求,建立与运行维护服务相关的培训机制及计划,及时提供有效的运行维护管理及运行维护技术等培训,使运行维护人员具备适应的能力。
6.3 关键指标 衡量人员管理的关键指标至少应包括:
a) 人员岗位职责要求; b) 人员备份计划; c) 培训计划和培训实施记录。
7
资源 7.1 目的 确保运行维护服务单位具备提供足够资源的能力,以满足现在及未来的运行维护服务需求。
7.2 运行维护工具 7.2.1 要求 运行维护服务单位应使用有效工具实施和管理运行维护服务,包括:
a) 监控工具,对运行维护服务对象(包括硬件、软件等,运行维护服务对象见附录A)进行数据的采集和监控,评估可能导致运行维护服务对象故障的因素。
b) 过程管理工具,对运行维护服务的交付过程进行控制和记录,过程管理工具宜包括日常运行维护管理、记录、测量、监督和评估等功能,至少覆盖事件、问题、配置、变更、发布等过程。
注:过程管理工具可以是excel、word、纸质等形式。
c) 安全工具,根据服务要求配备必要的安全工具或软件。
7.2.2 关键指标 衡量运行维护工具的关键指标至少应包括:
a) 与工具功能匹配的使用手册; b) 工具使用日志记录等; c) 工具的使用效果自评估报告。
7.3 服务台 7.3.1 要求 运行维护服务单位应使用有效手段和方法受理需方的运行维护服务请求,及时跟踪服务请求的处理进展,确保实现 SLA 要求,包括:
a) 设置专门的沟通渠道作为与用户的联络点,沟通渠道可以是热线电话、传真、网站、电子邮箱等; b) 设定专人负责服务请求的处理; c) 针对沟通渠道整合服务过程,建立管理制度,包括服务请求的接收、记录、跟踪和反馈等机制,以及日常工作的监督。
7.3.2 关键指标 衡量服务台的关键指标至少应包括:
a) 服务台管理制度; b) 日常工作记录的完整性。
7.4 备件库 7.4.1 要求 运行维护服务单位应具备并有效管理运行维护服务活动所需的备件资源,为所运行维护的设备或系统提供备件服务,按照 SLA 要求恢复设备或系统的正常运行。
对备件库的管理要求包括:
a) 备件供应商管理:能够规范备件的采购过程,对供应商进行选择和评价; b) 备件出入库管理:能够对入库备件进行标识,规范备件的使用和核销,备件物品的账务管理; c) 备件可用性管理:能够定期对备件状态进行检测,以确保其功能满足运行维护需求。
7.4.2 关键指标 衡量备件库的关键指标至少应包括:
a) 备件库信息真实有效; b) 备件运作管理规范; c) 备件库出入库账务管理制度; d) 备件可用情况。
7.5 知识库 7.5.1 要求 运行维护服务单位应具备运行维护服务活动相关的知识积累,以保证在整个运行维护服务单位内收集、共享、重复使用所积累的知识和信息,包括:
a) 针对常见问题的描述、分析和解决方法建立知识库; b) 确保整个运行维护服务单位内的知识是可用的、可共享的; c) 针对知识管理要求制定相关管理制度,并进行知识生命周期管理。
7.5.2 关键指标 衡量知识库的关键指标至少应包括:
a) 知识库的覆盖范围; b) 入库管理和审批记录。
7.6 测试环境 7.6.1 要求 应建立与发布、解决问题等相关的测试环境,保证在进入生产环境之前能够得到充分验证。测试环境应具备测试记录 7.6.2 关键指标 衡量测试环境的关键指标至少应包括:
a) 测试标准和方法的有效性; b) 测试环境与需方运行维护环境的匹配度。
8
技术 8.1 目的 确保运行维护服务单位具备与运行维护服务策划相适应的技术和手段。
在运行维护服务实施过程中,可能面临各种问题(如硬件故障)、风险(如安全漏洞)以及新技术和前沿技术应用所提出的新要求,运行维护服务单位应根据运行维护要求或技术发展趋势,具备发现和解决问题、风险控制、技术储备以及研发、应用新技术和前沿技术的能力。
8.2 运行维护技术研发、技术发现、技术解决 8.2.1 要求 运行维护服务单位应:
a) 根据运行维护业务和市场分析,进行运行维护相关的研发规划,包括技术的应用、技术储备等; b) 具有诊断和分析问题的方法; c) 具有解决问题的技术指标或标准; d) 具有解决问题的方案或手册。
8.2.2 关键指标 与解决问题相关技术的关键指标至少应包括:
a) 解决问题的技术指标或标准的有效性; b) 解决问题方案或手册的可用性; c) 测试环境与需方运行维护环境的匹配度; d) 测试标准和方法的有效性。
9
过程 9.1 概述 本章描述了运行维护服务管理的过程要求。为了确保运行维护服务单位具备相应的服务管理能力并发挥其效能,至少应建立以下过程:
a) 服务级别管理; b) 服务报告; c) 事件管理; d) 问题管理; e) 配置管理; f) 变更管理; g) 发布管理; h) 信息安全管理; i) 外包方管理;
j) 应急响应。
9.2 服务级别管理 9.2.1 要求 确保运行维护服务单位通过定义、签订和管理SLA,满足需方对服务质量的要求。运行维护服务单位应:
a) 建立服务目录; b) 定期对服务级别进行改进; c) 定期评估服务指标的完成情况。
9.2.2 关键指标 服务级别的关键指标至少应包括:
a) 服务级别的定期沟通。
9.3 服务报告 9.3.1 要求 运行维护服务单位应通过及时、准确、可靠的报告与需方建立有效的信息沟通,为双方管理层提供决策支持。
运行维护服务单位应:
a) 定期提供服务报告; b) 建立服务报告计划,包括提交方式、时间; c) 建立服务报告模板,包括格式、提纲等; d) 建立服务报告的审批、分发、归档等。
9.3.2 关键指标 服务报告的关键指标至少应包括:
a) 服务报告过程的完整性; b) 服务报告的及时性、准确性。
9.4 事件管理 9.4.1 要求 确保运行维护服务单位具有检测事件、尽快解决事件的能力。运行维护服务单位应根据事件管理的过程要求建立:
a) 与事件管理过程一致的活动,包括事件受理、分类和初步支持、调查和诊断、解决、进展监控与跟踪、关闭等; b) 事件分类、分级机制;
c) 事件升级机制; d) 满意度调查机制; e) 事件解决评估机制,包括事件解决率、事件平均解决时间等。
9.4.2 关键指标 事件管理的关键指标至少应包括:
a) 事件管理过程的完整性、有效性; b) 事件解决评估机制的有效性。
9.5 问题管理 9.5.1 要求 运行维护服务单位通过识别引起事件的原因并解决问题,预防同类事件重复发生。运行维护服务单位应根据问题管理的过程要求建立:
a) 与问题管理过程一致的活动,包括问题建立、分类、调查和诊断、解决、关闭等; b) 问题分类管理机制,包括问题的影响范围、重要程度、紧急程度并确定优先级; c) 问题导入知识库机制; d) 问题解决评估机制,包括问题解决率、问题平均解决时间等。
9.5.2 关键指标 问题管理的关键指标至少应包括:
a) 问题管理过程的完整性; b) 问题解决评估机制的有效性。
9.6 配置管理 9.6.1 要求 运行维护服务单位负责维护运行维护服务对象的必要记录,并保证配置数据的可靠性和时效性,关联支持其他服务过程。运行维护服务单位应根据配置管理的过程要求建立:
a) 与配置管理过程一致的活动,包括识别、记录、更新和审核等; b) 配置数据库管理机制; c) 定期进行配置项审核。
9.6.2 关键指标 配置管理的关键指标至少应包括:
a) 配置管理过程的完整性; b) 配置数据的准确、完整、有效、可用、可追溯; c) 配置项审核机制的有效性。
9.7 变更管理 9.7.1 要求 运行维护服务单位通过管理、控制变更的过程,确保变更有序实施。运行维护服务单位应根据变更管理的过程,要求:
a) 建立与变更管理过程一致的活动,包括请求、评估、审核、实施、确认和回顾等; b) 建立变更类型和范围的管理机制; c) 对变更完成情况进行统计分析,包括未经批准变更数量及占比、不同类型的变更数量及占比、不成功的变更数量及占比、取消的变更数量及占比、变更关联的配置数。
9.7.2 关键指标 变更管理的关键指标至少应包括:
a) 变更管理过程的完整性; b) 变更记录的完整性。
9.8 发布管理 9.8.1 要求 为确保新的服务或变更(包括硬件、软件等)的成功导入,运行维护服务单位应根据发布管理的过程,要求:
a) 建立与发布管理过程一致的活动,包括规划、设计、建设、配置和测试等; b) 制定完整的方案,包括发布计划、回退方案、发布记录等; c) 对发布完成情况进行统计分析,包括发布成功率、发布及时率、是否更新配置管理数据库等。
9.8.2 关键指标 发布管理的关键指标至少应包括:
a) 发布管理过程的完整性; b) 发布过程记录的完整性、准确性。
9.9 信息安全管理 9.9.1 要求 信息安全管理依据GB/T 22239-2008《信息安全技术 信息系统安全等级保护基本要求》。
9.9.2 关键指标 信息安全管理的关键指标至少应包括:
a) 运行维护服务过程中信息的保密性; b) 运行维护服务过程中信息的可用性; c) 运行维护服务过程中信息的完整性。
9.10 外包方管理 9.10.1 要求 a) 合同管理 运行维护服务单位应与外包方签署文件化的合同。合同应具有或包括以下参考内容:
——外包方所交付服务的范围; ——外包方所需满足的要求; ——服务目标; ——合同例外及其如何处理; ——运行维护服务单位和外包方的权利和职责; ——外包方所需提供的报告和交流信息; ——收费依据; ——合同预期结束或提前结束并向其他方转移服务的活动和职责; ——应具备管理运行维护服务单位和外包方之间合同纠纷的文件化程序。
b) 外包方服务级别管理 运行维护服务单位应要求外包方提供必要的服务目录,与外包方就服务级别达成一致,定期评估服务级别的完成情况,对服务级别不满足的情况,要求外包方进行改进。
c) 外包方交付管理 外包方应依据服务级别协议,进行服务交付的规划,包括人员配备、交付实施计划等,并能够按照计划进行实施。在服务交付过程中,运行维护服务单位应提供外包方必要的信息等。
外包方应至少提供以下交付内容:
——例行操作记录与报告; ——响应支持的关键交付过程的记录; ——优化改善方案与实施、改进记录; ——调研评估报告,如现状评估、访谈调研、需求分析、后续建议等。
运行维护服务单位应要求外包方定期提交服务报告,汇报服务完成情况,服务报告内容应至少包括:
——服务目标/级别的完成情况; ——重大事件发生及解决的情况; ——事件、问题、变更、发布等的情况与趋势。
运行维护服务单位应定期对服务交付情况进行检查,如策划的执行情况、服务交付的规范程度、交付过程信息的记录情况等。外包方应定期向运行维护服务单位进行满意度调查。
运行维护服务单位应要求外包方对交付过程中的问题进行持续改进,并确认改进措施,必要时应协商修订服务级别协议。
d) 外包方安全管理 运行维护服务单位应与外包方就数据安全、访问权限、操作权限等与信息安全相关的事项进行要求。
e) 外包方应提供的资源 ——运行维护服务单位应要求外包方具备专门的渠道,受理服务请求以及投诉等; ——运行维护服务单位应针对备件的可用性和响应时间,与外包方进行约定,保证备件按质量及时提供。
9.10.2 关键指标 外包方管理的关键指标至少应包括:
a) 外包合同的合规性; b) 外包方服务级别的达成程度; c) 外包服务交付内容的完整性; d) 外包方服务报告的完整性、及时性; e) 外包服务信息安全的满足程度。
9.11 应急响应 9.11.1 要求 a) 应急准备 1)
建立应急响应运行维护服务单位 应建立专门的应急响应组织,定义应急响应的人员角色,并就运行维护响应服务的范围、要求等与相关利益方达成一致,确定沟通流程和方式。运行维护应急响应人员包括:应急响应责任人、现场负责人、分组责任人、值班人员等。
2)
制定应急响应制度 运行维护服务单位应制定应急响应制度,明确应急响应的目标、原则、范围以及各项管理制度。
3)
风险评估与改进 运行维护服务单位应对重要信息系统实施风险评估,确保运行维护服务单位了解其在运行维护过程中的关键活动、所需资源、限制条件及信息系统面临的各种风险要素。运行维护服务单位应了解当风险演变为应急事件时所产生的影响和后果,以及信息系统服务中断所带来的损失。风险评估的实施者可以是组织内或组织外的服务组织。应形成风险评估报告,报告内容应包括:结论摘要、背景及现状、风险要素、识别出的风险及风险分析、建议的应对措施等。
对于识别出的各种风险,运行维护服务单位应该制定明确的控制策略,必要时应对信息系统进行升级改造。可供选择的风险控制策略包括:风险规避、风险转移、风险降低、风险接受。根据风险评估报告,运行维护服务单位应该形成改进方案并实施。
4)
划分应急事件级别 运行维护服务单位应定义应急事件的级别,对应急事件级别对应的响应时间、处置完成时间等达成一致。
5)
应急响应预案制定
运行维护服务单位应根据应急事件级别制定应急响应预案。应急响应预案的内容应包括:
——应急响应预案的编制目的、依据和适用范围; ——具体的组织体系结构及人员职责; ——应急响应的监测和预警机制; ——应急响应预案的启动; ——应急事件级别及对应的处置流程、方法; ——应急响应的保障措施; ——应急预案的附则。
运行维护服务单位应对应急响应预案进行评审,并与相关利益方达成一致。
6)
应急培训与演练 运行维护服务单位应制定应急响应培训计划,并组织相关人员参与。应急响应预案应作为培训的主要内容。培训应至少每年举办一次。
为检验应急响应预案的有效性,同时使相关人员了解运行维护预案的目标和内容,熟悉应急响应的操作规程,运行维护服务单位应进行应急演练,应:
——预先制定演练计划、演练脚本; ——演练的整个过程应有详细的记录,并形成报告; ——演练不能影响业务的正常运行。
必要时,运行维护服务单位可根据演练的效果,对应急响应预案进行完善。
b) 监测与预警 1)
日常监测与预警 运行维护服务单位应该对运行维护服务对象运行情况以及信息系统所承载的业务数据进行监测与预警。
运行维护服务单位应建立监测、预警的记录和报告制度,并按照约定的形式和时间间隔上报现场负责人。发现应急事件时,值班人员应提交报告给现场负责人。
值班人员应采取必要措施,开展应急事件的先期处置,以提高应急响应效率,避免次生、衍生事件的发生。
2)
核实与评估 现场负责人应对报告内容进行逐项核实。并在核实确认后提交给应急响应责任者。
现场负责人应根据事件级别定义,初步确定应急事件所对应的事件级别。
应将事件级别置于动态调整控制中。
3)
应急响应预案启动 运行维护服务单位应建立、审议应急响应预案启动的策略和程序,以控制预案启动的授权和实施。
运行维护服务单位应就应急响应预案启动可能造成的影响进行评估。
相关利益方之间应就启动何种类型预案达成一致,包括事件升级时,与之相对应的预案调整的方式。
可根据先期处置要求进行应急响应预案的自动启动,或由应急响应责任者或现场负责人启动预案。
应记录应急响应预案启动的过程和结果。
重点时段保障应启动的应急响应预案可参考同级别预案确定。
现场负责人应向相关利益方通报应急响应预案启动信息。
c) 应急处置 1)
应急调度 按照预案,开展统一的应急调度,包括人员、资金和设备等。
2)
排查与诊断、处理与恢复 现场负责人调度处置人员进行现场故障排查,并进行故障处理和系统恢复。
现场处置人员应随时向现场负责人汇报故障排查情况、诊断信息、故障定位结果等。
3)
事件升级 运行维护服务单位应建立、审议应急事件升级的策略和程序,升级内容应包含预案调整、人员调整、资金调整以及设备调整。
d) 总结 运行维护服务单位应定期对应急响应工作进行分析和回顾,总结经验教训,并采取适当的后续措施。
对应急响应工作的分析和回顾应考虑以下方面:
——应急响应工作的绩效; ——应急准备工作的充分性和有针对性; ——应急事件发生原因、数量及频率; ——应急事件处置的经验得失; ——应急事件的趋势信息; ——信息系统中潜在的类似隐患。
对应急响应工作的分析和回顾应形成总结报告,并将总结报告作为改进应急响应工作及信息系统的重要依据。
9.11.2 关键指标 应急响应管理的关键指标应至少包括:
——应急响应组织的健全; ——应急响应制度的完备; ——风险评估的完整性; ——应急演练与培训的充分; ——日常监测的充分; ——应急预案的完整性。
附录 A (资料性附录)
运行维护服务对象和内容 A.1 概述 运行维护服务是运行维护服务单位按照运行维护服务的要求,在相关信息技术资产上进行的服务活动,构成运行维护服务对象和内容,如图 A.1 所示。
图 A.1 运行维护服务对象和内容 A.2 运行维护服务对象 运行维护服务对象是运行维护服务的受体,是运行维护服务单位按服务需求所提供的运行维护服务相关的信息技术资产,运行维护服务可以以应用系统为对象,也可以以信息技术基础设施的组成要素为对象来组织。运行维护服务对象包括应用系统、基础环境、网络平台、硬件平台、软件平台、数据等。
a) 应用系统,是指由相关信息技术基础设施组成的,完成特定业务功能的系统,如邮件系统、文件分发系统等。
b) 基础环境,是指为应用系统运行提供基础运行环境的相关设施,如安防系统、弱电智能系统等。
c) 网络平台,是指为应用系统提供安全网络环境相关的网络设备、电信设施,如路由器、交换机、防火墙、入侵检测器、负载均衡器、电信线路等。
d) 硬件平台,是指构成应用系统的计算机设备,如服务器、存储设备等。
e) 软件平台,是指安装运行在计算机硬件中,构成应用系统的软件程序,如系统软件、支持性软件、应用软件等。
f) 数据,是指应用系统支持业务运行过程中产生的数据和信息,如账务数据、交易记录等。
运行维护服务对象
网络平台 基础环境 硬件平台 软件平台 数据 应用系统 1 应用系统 n 信息技术基础设施 运行维护服务内容(交付内容)
例行操作 服务 优化改善 服务 响应支持 服务 调研评估 服务
A.3 运行维护服务内容 运行维护服务根据其工作目标、工作内容、交付结果分为四大类,包括:
a) 例行操作服务,是运行维护服务单位提供的预定的例行服务,以及时获得运行维护服务对象状态,发现并处理潜在的故障隐患。
b) 响应支持服务,是运行维护服务单位接到服务请求或故障申告后,在SLA的承诺内尽快降低和消除对业务的影响。
c) 优化改善服务,是运行维护服务单位为适应业务要求,通过提供调优改进服务,达到提高运行维护服务对象性能或管理能力的目的。
d) 调研评估服务,是运行维护服务单位结合业务需求,通过对运行维护服务对象的调查研究或分析评价,给出报告或建议。
附录 B (资料性附录)
运行维护服务目录
本附录提供了运行维护服务目录示例。
运行维护服务目录一般由两部分组成,分别是运行维护服务目录列表和运行维护服务详述,如表B.1 和表 B.2 所示。
表 B.1 运行维护服务目录列表示例 运行维护服务对象 运行维护 服务分类 运行维护服务代码 运行维护 服务名称 运行维护 服务简介 应用系统 例行操作 001-01 应用软件巡检服务 按约定周期定期对应用软件运行状态进行检查和分析,完成巡检报告 响应支持 001-02 应用软件远程排障服务 对客户申报的应用软件故障提供远程支持,尽快修复故障,提供报告 优化改善 001-03 应用软件调优服务 针对客户当前应用软件运行情况,给出优化建议并实施,提升性能 调研评估 001-04 应用软件性能评估服务 根据客户业务发展趋势,评估应用当前及应有性能,提出性能建议 基础环境 例行操作 002-01 机房巡检服务 按约定周期定期对机房运行状态进行检查和分析,完成巡检报告 响应支持 002-02 机房远程排障服务 对客户申报的机房故障提供远程支持,尽快修复故障,提供报告 优化改善 002-03 机房调优服务 针对客户当前机房运行情况,给出优化建议并实施,提升性能 调研评估 002-04 机房性能评估服务 根据客户业务发展趋势,评估机房当前及应有性能,提出性能建议 网络平台 例行操作 003-01 网络设备巡检服务 按约定周期定期对网络设备运行状态进行检查和分析,完成巡检报告 响应支持 003-02 网络设备远程排障服务 对客户申报的网络设备故障提供远程支持,尽快修复故障,提供报告 优化改善 003-03 网络设备调优服务 针对客户当前网络设备运行情况,给出优化建议并实施,提升性能 调研评估 003-04 网络设备性能评估服务 根据客户业务发展趋势,评估网络设备当前及应有性能,提出建议 硬件平台 例行操作 004-01 服务器巡检服务 按约定周期定期对服务器运行状态进
运行维护服务对象 运行维护 服务分类 运行维护服务代码 运行维护 服务名称 运行维护 服务简介 行检查和分析,完成巡检报告 响应支持 004-02 服务器远程排障服务 对客户申报的服务器故障提供远程支持,尽快修复故障,提供报告 优化改善 004-03 服务器调优服务 针对客户当前服务器运行情况,给出优化建议并实施,提升性能 调研评估 004-04 服务器性能评估服务 根据客户业务发展趋势,评估服务器当前及应有性能,提出性能建议 软件平台 例行操作 005-01 数据库巡检服务 按约定周期定期对数据库运行状态进行检查和分析,完成巡检报告 响应支持 005-02 数据库远程排障服务 对客户申报的数据库故障提供远程支持,尽快修复故障,提供报告 优化改善 005-03 数据库调优服务 针对客户当前数据库运行情况,给出优化建议并实施,提升性能 调研评估 005-04 数据库性能评估服务 根据客户业务发展趋势,评估数据库当前及应有性能,提出性能建议
表 B.2 运行维护服务详述示例 服务对象:软件平台 服务分类:例行操作 服务代码:
XXXXXX
服务名称:数据库巡检服务 服务简介:
按约定周期定期对数据库运行状态进行检查和分析,完成巡检报告。
服务目标/价值:
确保数据库运行正常,及时发现隐患并改进。
服务描述:
运行维护服务对象 数据库 运行维护服务内容 检查和分析数据库运行状态,如表空间状态、碎片状态、错误日志等信息,并完成检查和分析报告 频度 1 次/月 运行维护服务时间 每月第一周周五或双方协商 交付方式 现场/远程 交付成果 《数据库巡检报告》
附录 C (资料性附录)
运行维护服务级别协议框架 本附录提供的运行维护服务级别协议包含关键内容、示例和说明,如表C.1所示。
表 C.1 运行维护服务级别协议框架表 要素 说明和示例 需方 需方单位名称 组织 组织单位名称 第三方 第三方单位名称 项目名称 运行维护服务项目全称 生效时间 协议生效时间 终止时间 协议终止时间 运行维护服务简介 提供项目的背景,项目的目标和项目的重要性等 运行维护服务范围 如设备清单等 运行维护服务时间 约定可提供服务的时间,需明确例外时间段以及对例外时间段提供服务的协商方式,如 5d×8h 或 7d×24h 等 运行维护服务受理渠道 客服热线电话,客服邮箱、网上问题提交地址等;如有必要可增加非工作时间服务通道及方式等 投诉渠道 投诉热线等 运行维护服务交付计划 启动会时间、巡检时间、总结时间等 运行维护服务交付方式 现场交付要求,远程交付要求等 运行维护服务交付内容 例行操作、响应支持、优化完善、调研评估等具体服务交付内容 组织人员 需明确参与服务的人员岗位、职责、姓名和联系方式等,如客户经理、项目经理、服务工程师等 需方接口 需明确接口服务的人员岗位、职责、姓名和联系方式等,如项目经理、责任工程师等 第三方接口 需明确接口服务的人员岗位、职责、姓名和联系方式等,如项目经理、责任工程师等 组织运行维护服务流程 故障申报流程、巡检流程、升级上报流程等 第三方服务流程 第三方支持流程等 运行维护服务交付成果 需明确服务阶段中需要提交的各类交付成果等,如故障报告、总结报告、巡检记录等 保密要求 相关信息严禁透露,服务人员应签署保密协议等要求 运行维护服务考核要求 服务质量考核的时间周期、考核的关键要素、考核好坏对应的奖惩条款等 协议变更控制 协议内容变更的流程和要求等 各方代表签字 供需双方代表签字,如需要第三方签字,可增加签字方;需提供姓名、职务和签署时间...