一键复制
无论是身处学校还是步入社会,大家都尝试过写作吧,借助写作也可以提高我们的语言组织能力。大家想知道怎么样才能写一篇比较优质的范文吗?接下来小编就给大家介绍一下优秀的范文该怎么写,我们一起来看一看吧。
系统运维管理篇一
;摘要:文章介绍了it运维管理的发展历程,针对电力企业营销系统的运维管理体系的构建等问题进行了探讨。
关键词:供电企业;营销系统;运维管理;体系构建
供电企业在使用信息化的营销系统时,面临着一系列的问题。为了满足供电企业发展对电力营销提出的集中化要求,供电企业在发展的过程中就必须理清各主体之间的关系,并从建设技术、業务流程、应急管理、安全运维以及队伍建设等方面,建立一套高效、科学的运维管理体系。
1.1 网络服务管理(即nsm) 在nsm阶段,it运维管理的主要作用就是对供电设备以及电网的可用性以及连贯性提供保障。从而让供电企业在电网运转过程中,由传统的“事后处理”转变为“主动管理”。在此阶段中it运维管理的主要目的就是确保供电企业的相关业务的顺利完成,并以此来产生相应的间接价值。
1.2 it服务管理(即itsm) 在此阶段中,it运维管理的主要作用就是将电网运行过程中的各项流程、人员以及技术紧密的结合在一起,其中电网流程是该阶段的核心内容。itsm在某种程度上,推动了供电企业由主动管理向服务导向的方向发展,同时它还对供电企业的it组织工作的主要内容做出了相应的规定,即为供电企业的生产经营提供高质量、低成本的it服务,从而实现供电企业的业务与it之间的转换与融合。
1.3 业务服务管理(即bsm) 在此阶段中,it运维管理主要是以强调企业的业务目标为导向的,同时,它还是企业业务动态与it资源之间的动态映射。bsm在电力营销过程中的应用,让供电企业的营销系统由服务管理转变为了业务价值,它还将企业的业务成果与it基础设施有机的联系在一起,为it部门的相关业务决策提供了一系列的帮助。
2.电力企业营销系统it运维管理现状及对其提出的新要求
目前,电力企业it技术正处于智能化、自动化高速发展阶段,电力营销、人力资源等重要业务系统也逐步走上系统化、技术化道路,为电力企业业务拓展与发展带来了重大源动力。当前,一部分电力企业所建设的营销系统大多采用常规的面向设备服务的it运维管理方式,基本没有采用面向服务对象的运维管理模式,满足不了“以服务对象为导向”的发展趋势。如果电力企业营销系统仍然采用传统的运维模式,将难以对整个营销系统的可用性、可行性进行客观的动态分析,也就很难贯彻与落实“以服务对象为导向”的发展战略,人性化服务也就无从谈起,使得以人性化服务为宗旨的营销运维工作得不到进一步发展,始终处于被动局面。为了满足电力企业营销业务发展的需求,应结合其工作现状从系统化、网络化、人性化角度进行较为全面的分析,探索出一套适合电力企业营销业务发展的运维管理模式,以满足客户各个方面的要求。
在电力企业营销系统运维管理模式从“以技术为导向”向“以服务为导向”转变的重要时期,为了实施人性化、系统化、网络化管理,对营销系统运维管理提出了新的要求:第一,要确立“以服务对象为导向,以业务价值为核心”的管理思想;第二,由于电力企业电网覆盖面比较广,为了加强各级之间的业务沟通,应树立集中统一的层次化管理思想,使资源得到优化配置;第三,使核心业务得到长足发展,为了增强电力企业经济效益,应竭尽全力促使其核心业务得到发展,降低it事故对关键业务正常运行的破坏性影响;第四,实现资源共享,以便提高数据传递效率,提高数据监控系统效率。
3.电力营销运维管理模式构建
3.1 优化营销业务服务流程
通过营销业务运维管理流程的优化改进,可以使日常的运维管理工作更加流程化、系统化,使运维管理人员角色更加清晰化,从而有效提高营销业务问题的解决速度和质量,使整个运维管理体系中信息数据的相关技术和信息资料更加畅通和透明,使实际营销服务信息更为完整化、灵活化。营销业务运维服务流程,涉及到整个营销业务的事件管理、问题管理、配置管理、变更管理、以及发布管理等五个核心运维管理业务流程。在“主动式”营销运维管理模式建立过程中,要充分结合国家电网公司“两级三线”的可靠运维体系模式,根据营销业务实际功能需求,通过梳理优化运维业务、工作票、操作票等与营销业务服务相关的运维管理流程,确保整个营销服务业务运维流程能够按照国家电网公司相关技术标准进行建设运行。
3.2 建设高质优质营销业务技术支撑平台
随着“sg186”工程,电力营销业务应用、营销智能分析与辅助决策系统、用电信息远程集中采集系统、以及营销动态稽查监控系统在电力营销领域中的建设和普及,同时考虑智能电网建设营销服务功能系统等需求,建设高质优质营销业务技术支撑平台,已成为“主动式”营销运维管理模式构建需要考虑的重要内容。因此,电力营销相关部门在进行营销运维管理模式建立过程中,面对越来越艰巨的运维管理任务和服务功能需求,应充分借助现代电力信息技术,从精细化、精益化、科学化、网络化、系统化等运维管理方面,建设高质优质的营销业务技术支撑平台,具备对各类运维事件信息的全面采集、动态运算分析处理能力,实现营销运维管理系统运行维护工作的智能化、自动化、高效率目标,有效提高整体营销业务运维系统的运行维护管理水平。
3.3 安全体系建设方案
要加强运维人员的综合操作技能和素质水平培训,让系统运维人员知晓安全运维操作规范、顺序、以及故障或事故处理流程,减少由于人为失误给整个营销运维管理系统带来严重安全问题。借助自动化监控技术,对常规营销系统监控系统进行升级改造,有利保障制度规范按相关技术规范严格执行,确保整个系统具有较高安全性能。同时,建议营销系统运维人员每周两次持续对营销业务高级应用系统、需求侧用电客户电能采集系统、营销动态稽查监控系统等进行性能的巡视监测,重点关注体系制度流程的具体实施效果,并对存在安全隐患的内容进行及时修正,确保整个营销运维管理系统具有较高安全质量水平。
3.4明确企业发展过程中各系统之间的发展关系
3.4.1明确外部系统开发商(即服务商)与营销系统之间的关系。服务商作为系统运维管理过程中的支持者,同时它也是专业的运维管理,它可以对运维管理的对象进行有效地整合,以便于为电力用户提供较为专业的服务,这也是服务商的核心价值。由于运维管理过程中所涉及到的设备种类繁多,工作人员不可能对所有管理以及技术工作进行独自处理,所以,工作人员在对营销系统进行运维管理的过程中,一定要与开发商进行及时的沟通。
3.4.2 理清各级电力部门之间的关系。我国的电力部门一般是下级服从上级的调度以及管理,上级电力部门必须对下级电力部门的需求进行仔细的审核,并协助其对相关的管理制度进行贯彻落实。下级电力部门必须服从上级主管部门的行政领导。
3.5建立相应的运维队伍。为了保证电力系统运行过程中的维护效率以及维护质量,就必须对供电企业的营销系统建立相应的运维队伍。在建立运维队伍的过程中,可以从以下三个方面着手:①建立相应的人才引进体制,提高运维队伍的综合素质。②为运维人才的培养建立相应的培训机制。③完善企业对员工的激励机制以及人才使用制度。
参考文献:
相关热词搜索:;系统运维管理篇二
运维管理是电信运营商主要的生产和管理活动之一。运维管理系统建设和运营的好坏直接影响到电信运营的整体成本、管理水平和服务水平。因此,近两年来,各大电信运营商纷纷对现有的运维系统进行改造。
中国在电信领域的增长速度超过了其gdp增长的速度。正是电信快速的增长,推动了运维系统的发展。如何更有效地利用现有的资源,提高运营维护的工作效率,提高整体服务质量是目前各大运营商面临的普遍问题。毫无疑问,中国电信在运营维护方面,也面临相同的问题。建设新一代中国电信运维管理系统,成为解决目前运维管理问题的唯一方案。
根据我们长期在电信领域的实践,下面的几点经验,值得我们在中国电信运维系统的建设中更加关注。
一、采用itil作为运维系统的方法论
it基础架构库(itil-itinfrastructurelibrary),被誉为it服务管理的圣经,其中包含了总结国际大公司在it服务管理中的经验并得到证明的it服务计划和运营的最佳实践框架。
itil已经为《财富》500强的一些企业所采用,并取得了预期的效果。加特纳(gartner)和国际数据集团(idc)等世界权威研究机构的调查研究表明,企业通过在it部门实施最佳服务管理实践,将因重复呼叫、不当的变更等引起的延误时间减少了79%,每年每个终端用户平均节约800美元的成本,同时每项新服务推出的时间也缩短一半。
要成为国际一流的企业,就要吸取国际一流企业的成功管理经验,借鉴其管理手段。因此,中国电信在运维管理系统的建设,也应确立itil在系统建设过程中的方法论地位,吸取itil中的成功经验。
1)itil是从实践中得来的精髓,不是僵化的教条,应该结合实际情况去运用itil,建立更加适合中国电信的流程规范,而不是照抄照搬。
2)由于itil理论博大精深,不可能在短期内在企业中全面实施。应该根据实际情况,选取实施重点,逐步实施,逐步完善。
在中国电信运维系统建设中,应该深入理解itil的核心理念,结合电信运维的现状,解决核心和关键问题,逐步实现对运维的科学管理。
理顺工作流程、提高服务效率是新运维系统建设的主要内容之一。
在工作流程的制定过程中,容易陷入以下两个极端。
1.盲目照搬流程。作为方法论的itil,本身含有大量的成功实践框架。但是,正如前面所说的,itil是从实践中得来的精髓,不是僵化的教条,盲目照搬,只能使得工作流程不切合实际,并流于形式,对系统的贯彻和执行产生不好的影响。
2.完全遵照现有流程,实现其电子化。虽然这样更符合目前的工作习惯,可能容易为运维人员所接受,但是,仍然解决不了目前运维所存在的一些问题。例如,我们在项目实施中曾遇到“工单在部门之间的重派”的问题。在当前手工作业的工作模式中,各单位将不属于本单位处理范围的工单,或部门需要其他部门配合的工单,均提交给故障处理的负责人,由该负责人向其他单位进行转派和重派。这种处理方式,主要便于手工作业条件下负责人及时了解项目处理状况。在建立运维系统后,负责人可以通过运维系统随时了解到故障的处理状况,每次重派和转派之前,对负责人的回复变成了一种无效的工作,大大降低了事件的处理效率。如果仅仅将目前的手工作业电子化,那么故障处理的效率仍然没有得到有效的提高。
因此,将itil理论与实际情况相结合,注重工作流程细节的设计和优化,是系统建设的关键。
三、树立主动服务观念
在现行的运维工作中,我们经常遇到这样的情况:一方面是运维部门疲于应付各种突发事件,加班加点处理各种重复事件,工作繁重,身心疲惫;一方面是客户代表不断抱怨和投诉“技术人员服务水平太低”。二者不可调和的矛盾,是新运维系统要解决的重要问题。
传统的运维方式给人的印象是:故障发生前,维护人员似乎无所事事;故障发生后,则是手忙脚乱。这就是被动服务给人们留下的印象,运维人员是在被动地等待故障的发生。在新的运维系统中,我们必须改变原有的运维方式,变被动服务为主动服务。
在主动服务模式下,运维人员主动地监控系统的变化,对日常工作及故障处理完成后主动进行问题分析,对系统的变更风险进行评估。在新系统中,可以通过种种技术措施,使得运维工作从被动服务转移到主动服务,如:增加变更管理流程以防范变更风险。
在日常运维工作中,变更工作是在所难免的。例如,新的系统安全漏洞被公布,为了保证系统安全,就需要安全系统补丁,而这种变更给系统带来的风险则是难以估计的。例如在安装补丁后,有时会产生大量莫名其妙的问题。这么一个简单的例子已经可以说明,如果没有很好的风险防范手段,系统变更将给我们的日常运维工作带来大量的问题,后果往往是难以想象的。在新系统中,我们可增加变更管理流程。在变更管理流程中,变更方案需提交变更经理,由变更经理组织由专家组成的变更顾问委员会(cab)对变更进行风险评估,在评估通过后才能够进入变更的实施过程。变更管理是防范变更风险的最好办法。
当然,主动服务是一种理念,在这种理念下,我们可以定义更多的流程,如问题管理流程,对系统中存在的隐患问题进行挖掘,防患于未然。总之,我们应该树立这样一个理念,在各流程的定义中进行运用,主动地提早发现系统存在的风险和隐患,减少突发事件的发生。
四、从平台到业务的全面管理
网络管理是运维系统的组成部分。对系统的监控也是运维的主要业务之一。以往网管系统实现了对平台的监控,可是在实际运维工作中,平台往往只有少数的几个系统管理员负责,大多数业务人员更多地是面对业务系统。对于业务的监控和管理,是业务人员更加关心的问题。因此,在网管系统中,应加入业务监控的内容。
需要注意的是,业务是建立在平台的基础之上的,而不是孤立存在的。因此,监控中,应强调业务监控与平台监控密不可分的联系,从业务的角度出发,建立平台与业务的关联关系。在故障发生时,应能够即时描述对业务的影响程度,能够描述故障的影响范围。
例如:采集源的某台交换机产生异常,除了可以看到交换机告警外,我们还应该能够在业务拓扑图中直观看到,采集系统受到影响,同时采集、预处理、分拣等相关业务也不同程度受到影响。其影响程度,能够通过不同的颜色直观地展示出来。
只有这样才能够更加直观而全面地反映系统的运行状态,反映业务的运行情况。能够帮助运维人员在故障发生时,快速修复关键部件,减少故障带来的损失。
五、建立科学的激励与监督机制
多年来,系统的使用和推广问题成为系统能否得到良好运用的一个重要问题。
假设:我们制定了变更管理流程,但是,变更管理没有被很好地执行,而只是流于形式,则风险的防范也只能是停留在理论上的空谈。
在运维系统建设过程中,建立了一整套科学的考核制度,以激励运维人员更有效地提高服务质量和服务水平,是至关重要的。
对运维人员的考核,并不能就管理论管理,应该从客户服务的角度出发,以客户满意为前提,进行考核。例如,根据每个部门的服务水平,制定了服务时限。假设,某个用户投诉,需要多个部门协同进行处理。在处理过程中,各部门互相推托,虽然工单在各部门的停留时间没有超过部门承诺的时限,而整体处理时间已经超过了运营商对该用户承诺的处理时间。为了杜绝这种现象的出现,我们应该从用户的角度出发,进行各部门处理时间的分段计算。计算结果将反映在每月故障处理情况的统计报告中,而这些报告直接与各部门、各单位的绩效考核挂钩。
通过这样的考核机制,形成对员工日常工作的科学评价,既调动了员工积极性,又提高了工作效率和服务质量。
系统运维管理篇三
;摘 要:新时期中国市场经济的发展,促使了企业之间的竞争日益激烈。为了保证企业在对外销售的营销质量、促进企业的发展,电力企业要不断加强企业的营销系统运维管理。新形势下,电力企业在营销方面信息化的提升,使企业面临了许多营销系统运维管理问题。就目前情况来看,对运维管理的研究十分有必要。本文主要结合了现时期运维管理的需求,对营销系统的特点以及新形势下运维管理的新要求进行阐述,并分析在新形势下电力企业如何建立营销系统运维管理体系。
关键词:新形势 营销系统 运维管理
1 电力企业营销系统的特点
新形势下,我国科技与经济的发展带动了电力企业的大幅度改革,企业营销管理体系的改革,对促进我国经济发展,提高人民的生活质量有着重要的意义。了解企业营销系统的特点是改革的前提,只有了解了系统的特点才能使改革更切合实际。
1.1 广泛的营销影响范围
营销系统所涉及的工作面很广泛,其中包括有关企业的生产、企业的正常运营、对客户的服务等。由此可知,营销系统对于企业而言是相当重要的。倘若企业的营销系统无法正常运行,企业的整体系统容易奔溃,从而导致企业的经济流失。营销系统的广泛性包括以下两点:(1)服务范围广,营销系统运维管理的服务范围特别广泛,并且对企业内部以及相关部门都有很大的影响。于企业而言,营销业务量的多少直接关系到企业的正常经营和企业最终所获得的利润。如果出现营销业务的中断或减少,都会直接影响到电力企业的最终经营效益。(2)应用范围广。很多用户都很依赖电力企业的营销业务。但这些客户太过分散,难以掌控,毫无疑问这会使电力企业的工作量增多且工作难度增大。
1.2 保证和维护企业营销系统的工作难度大
电力企业的营销系统本身就是一个很复杂的系统,其中包括用户终端和信息设备等相关资料。因而,要保证电力营销系统的正常运行,工作强度特别大。营销系统正常运维中对技术、设备等涉及的都比较多,比较容易出现系统故障,在对营销系统进行维护时,工作难度也在一定程度上加大了。
1.3 对运营管理系统的工作要求较高
企业生产产品最终目的是为了销售,顾客就是上帝。营销系统最终都是要给客户提供服务的,因此电力营销系统要进行高强度的运转,工作也不得停歇。如果中斷或停止都会造成很大的损失。所以说企业对系统的工作要求高。
2 新形势下电力企业运维新要求
2.1 确立了运维管理体系的核心思想
电力企业的营销业务的开展与企业本身的经营模式和生产运营密不可分,也会影响到企业的最终利益。企业可以从管理部门和销售部门下手,把业务价值当作运维管理体系的核心,达到企业的最终目标。
2.2 统一的层次化管理
我国电力事业迅速发展,自然电的覆盖面就很广。因而电力企业机构之间所处的位置并不集中,如果出现问题时反馈并不能很及时,降低了企业的办事效率。由此可见统一的层次化管理对于企业来讲是多么的重要。层次化管理使企业能够对系统进行实时监控,及时发现问题并处理故障,提高企业的办事效率,同时也优化了资源的配置。
2.3 着手于电力企业中心业务
企业的中心业务就是对企业营销业务的级别要准确的辨别出来,给核心业务提供相应的系统服务,创建出与之前不同的业务模式,以此来满足电力企业的发展要求。在发展电力企业中心业务时不但要知道运维管理与营销业务之间的关系还要将他们的关系理顺,以便达到企业运维管理的目的。
2.4 集中管理和数据共享
现在的电力企业大部分的监控系统都已经建好了。监控系统的完整性能帮助企业在系统运作出现故障时,迅速发现问题并在故障出现之前就有提示。但企业机构和系统都不集中,数据共享变成了一个很大的问题。因此,建立集中管理体系至关重要。
3 新形势下如何建立营销系统运维管理体系
3.1 理清关系
(1)要把处于外部的服务商与企业营销系统两者间的关系理清。系统运维管理必须要服务商的支持才能运行。保证运维管理的专业化并服务给用户是运维管理制造者最大的价值。多种技术设备都在运维管理中体现出来了,而运维人员并无法一力承担。因此,运维管理要同发明商和使用者达成共识,共同合作。
(2)理清企业间的关系。运维体系中包含了各级电力企业,国家电网、省级或地市级的电力企业等都包含在内。要理清各级之间的关系相当重要。省级电力企业的相关要求要向国家电网申请并批准并要在国家电网的监督下进行运营。省级企业要接受国家电网的指导并要求地市级企业进行配合。
(3)理清营销业务与技术部门间的关系并查看两者衔接是否完整。负责业务的销售部门与技术部门工作的性质与内容根本不一样,工作人员的相关理念和专业背景也存在差异,沟通自然会有所阻碍。因此理清他们之间的关系,可以在营销建设过程中,减少错误,各自发挥自己的作用,以此给信息化的运维系统的建设过程提供保障。
3.2 建设专业化的运维队伍
将分散的营销系统集合一起后,依然没有解决企业在运维时缺少力量的问题。所以企业可以在有条件的情况下,多加组建省级电力企业。其中运维人员可以从地市级企业中选择,或者对相同级别的企业技术人员进行调动。这样能够提高系统的稳定性,优化系统的工作质量以及提升系统的运行效率,有利于企业的长期发展。也可以先培训专业技术人员,技术人员达到一定的专业技术后再激励以及后续的再培训的方式进行管理,在保证技术与时俱进的前提下,创建一个高质量的运维队伍。
3.3 重视运维管理的安全
运维管理是否安全直接影响了企业的正常运行。管理安全性操作主要有:(1)运维管理时对系统保护,主要通过定位、防护等手段抵制外界不良得入侵保证系统的正常运行。(2)相关的安全事件,包括主机、网络、基础环境等导致运维管理不当的影响事件以及体统运行过程中发生的事件。我们无法知道运维管理是否安全,所以就要对系统运维的风险进行相应的评估。其中包括对风险的识别、程度、控制措施等都要进行评估。要随时查看运维管理系统的运行状况,定期检查,定期对风险进行评估,并对评估后的数据进行分析得出解决方案,不断地完善运维管理系统。
4 结语
为了顺应时代的要求,企业在电力系统营销过程慢慢都实现了自动化。自动化对企业营销业务的增大和系统运维管理的完善都有很大的作用。为了实现企业的最终目标且保证系统的运行,加强运维管理十分重要。本文通过对营销系统业务特点以及新形势下企业运维的新要求进行分析,指出在新形势下运维管理体系建立的相关策略。营销系统对于电力企业而言,是企业发展的动力源泉。营销系统运维是否安全,则是企业在正常运营中影响经济效益的重要因素之一。因此营销系统运维管理工作的有效执行,能保证系统运维的质量,促进电力企业的发展,对我国电力事业也具有一定的推动性。
参考文献
相关热词搜索:;系统运维管理篇四
版本历史 编制人: 审批人:
目录
1.目的
建立信息安全漏洞管理流程的目的是为了加强公司信息安全保障能力,建立健全公司的安全管理体系,提高整体的网络与信息安全水平,保证业务系统的正常运营,提高网络服务质量,在公司安全体系框架下,本策略为规范公司信息资产的漏洞管理(主要包含it设备的弱点评估及安全加固),将公司信息资产的风险置于可控环境之下。
2.范围
本策略适用于公司所有在生产环境和办公环境中使用的网络系统、服务器、应用系统以及安全设备。
3.定义
3.1 isms 基于业务风险方法,建立、实施、运行、监控、评审、保持和改进信息安全的体系,是公司整个管理体系的一部分。
3.2 安全弱点
能够利用安全弱点非法访问系统或者破坏系统的正常使用。
3.3 弱点评估
弱点评估是通过风险调查,获取与系统硬件、软件在设计实现时或者是在安全策略的制定配置的威胁和弱点相关的信息,并对收集到的信息进行相应分析,在此基础上,识别、分析、评估风险,综合评判给出安全弱点被利用造成不良事件发生的可能性及损失/影响程度的观点,最终形成弱点评估报告。
4.职责和权限
阐述本制度/流程涉及的部门(角色)职责与权限。
4.1 安全管理员的职责和权限
1、制定安全弱点评估方案,报信息安全经理和it相关经理进行审批;
2、进行信息系统的安全弱点评估;
3、生成弱点分析报告并提交给信息安全经理和it相关经理备案;
4、根据安全弱点分析报告提供安全加固建议。
4.2 系统管理员的职责和权限
2、实施信息系统安全加固测试;
3、实施信息系统的安全加固;
5、向信息安全审核员报告业务系统的安全加固情况。
4.3 信息安全经理、it相关经理的职责和权限
1、信息安全经理和it相关经理负责审核安全弱点评估方案、弱点分析报告、安全加固方案以及加固报告。
4.4 安全审计员的职责和权限
1、安全审计员负责安全加固后的检查和验证,以及定期的审核和汇报。
5.内容
5.1 弱点管理要求
通过定期的信息资产(主要是it设备和系统)弱点评估可以及时知道公司安全威胁状况,这对及时掌握公司主要it设备和系统弱点的状况是极为有重要的;通过评估后的安全加固,可以及时弥补发现的安全弱点,降低公司的信息安全风险。
5.1.1 评估及加固对象
i.网络设备:路由器、交换机、及其他网络设备的操作系统及配置安全性。
ii.服务器:操作系统的安全补丁、账号号口令、安全配置、网络服务、权限设置等。
iii.应用系统:数据库及通用应用软件(如:web、mail、dns等)的安全补丁及安全配置,需应用部门在测试环境测试通过后方可在正式环境中进行安全补丁加载。
安全性。
5.1.2 评估及加固过程中的安全要求
a)在对信息资产进行弱点评估前应制定详细的弱点评估方案,充分考虑评估中出现的风险,同时制定对应的详细回退方案。
b)在对信息资产进行安全加固前应制定详细的安全加固方案,明确实施对象和实施步骤,如涉及到其他系统,应分析可能存在的风险以及应对措施,并与关联部门和厂商沟通。
c)对于重要信息资产的弱点评估及安全加固,在操作前要进行测试。需经本部门经理的确认,同时上报信息安全经理和it相关经理进行审批。
d)对信息资产进行弱点评估和加固的时间应选择在业务闲时段,并保留充裕的回退时间。
e)对信息资产进行安全加固后,应进行总结并生成报告,进行弱点及加固措施的跟踪。
f)对信息资产进行安全加固完成后,应进行业务测试以确保系统的正常运行。加固实施期间业务系统支持人员应保证手机开机,确保出现问题时能及时处理。
g)安全加固完成后次日,系统管理员及业务系统支持人员应对加固后的系统进行监控,确保系统的正常运行。
h)弱点评估由it相关经理和安全管理员协助进行,安全加固由系统管理员执行。如由供应商或服务提供商协助实施安全加固,则应由系统管理员确保评估和加固的有效性并提交信息it信息安全经理和it相关经理进行评定。
5.2 安全弱点评估
5.2.1 公司每季度进行一次弱点评估工作,信息资产的弱点评估由安全管理员负责。
5.2.2 在进行信息资产弱点评估时应采用公司认可的扫描工具及检查列表,弱点评估计划需由 it信息安全经理和it相关经理进行确认和审批。
5.2.3 信息安全经理和it相关经理弱点评估完成后,相关it人员参考弱点评估报告编写安全加固方案,并进行系统安全加固工作。
5.2.4 安全管理员在各系统完成安全加固后,组织弱点评估复查,验证加固后的效果。
5.2.5 所有安全弱点评估文档应交付信息安全经理和it相关经理备案。
5.3 系统安全加固
5.3.1 安全加固
a)公司每次完成安全弱点评估后,各系统管理员应根据弱点评估结果确定需要加固的资产,针对发现的安全弱点制定加固方案。
b)安全加固前,加固人员应制定详细的加固测试方案及加固实施方案(包括回退方案)
并在测试环境中进行加固测试,确认无重大不良影响后才可实施正式加固。
c)在完成安全加固后,加固人员应根据加固过程中弱点的处理情况编制加固报告。安全管理员应对加固后的信息资产进行弱点评估复查,评估复查结果作为加固的措施验证。
a)当安全管理部发现高危漏洞时,提出紧急加固建议,通知相关it人员进行测试后进行紧急变更实施加固并事后给出评估报告。
5.4 监督和检查
5.4.1 安全审计员负责对信息安全弱点管理的执行情况进行检查,可通过安全漏洞扫描和现场人工抽查进行审计和检查,检查的内容包括弱点评估和安全加固的执行情况及相关文档记录。
6.参考文件
无
7.更改历史记录
it-007-v01
新版本发布
8.附则
本制度由信息技术部每年复审一次,根据复审结果进行修订并颁布执行。本制度的解释权归信息技术部。本规定自签发之日起生效,凡有与该规定冲突的,以此规定为准。
9.附件
无
