1、 ICS 01.040.03 CCS A 12 DB52 贵州省地方标准 DB52/T 1542.32021 政务服务平台 第 3 部分:运维管理规范 Governmental service platformPart 3: Op erations maintenance specification 2021 - 08 - 18 发布 2021 - 12 - 01 实施 贵州省市场监督管理局 发布 DB52/T 1542.32021 I 目 次 前言 . . II 1 范围 . . 1 2 规范性引用文件 . . 1 3 术语和定义 . . 1 4 总体要求 . . 2 5 运维管理内容 .
2、. 3 6 运维管理 . . 5 7 运维管理保障 . . 8 参考文献 . . 10 DB52/T 1542.32021 II 前 言 本文件按照GB/T 1.1-2020标准化工作导则 第1部分:标准化文件的结构和起草规则的规定起 草。 本文件是DB52/T 1542的第3部分。 DB52/T 1542已经发布了以下部分: 第2部分:应用技术规范。 第3部分:运维管理规范。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由贵州省大数据发展管理局提出。 本文件由贵州省大数据标准化技术委员会归口。 本文件起草单位:贵州省机械电子产品质量检验检测院、贵州省新技
3、术研究所、云上贵州大数据产 业发展有限公司、贵州省政务服务中心。 本文件主要起草人:刘彦嘉、宿睿智、曾家顺、秦廷凤、徐明春、柏清晔、王应栋、杨露、唐昶、 张洋、邵建平、姚茂峰、赵景龙、蔡非飞、申晓鸾、陈驰、陆莹、雷伟、王珂。 DB52/T 1542.32021 1 政务服务平台 第 3 部分:运维管理规范 1 范围 本文件规定了政务服务平台运维管理的总体要求、运维管理内容、运维管理流程、运维管理保障等。 本文件适用于政务服务平台的运维管理。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件, 仅该日期对应的版本适用于本文件;不注日期的引
4、用文件,其最新版本(包括所有的修改单)适用于本 文件。 GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求 GB/T 24405.1-2009 信息技术 服务管理 第1部分规范 YD/T 1821-2018 通信局(站)机房环境条件要求与检测方法 3 术语和定义 下列术语和定义适用于本文件。 3.1 运维服务 operating and maintenance service 运维服务提供方综合利用各种运维手段和方法为政务服务平台提供确保基础设施和应用系统正常、 安全、高效的综合服务。 3.2 运维对象 operating and maintenance object 运维
5、服务的受体。包括但不限于基础环境、主机系统、应用系统、业务系统、网络系统、安全系统 等。 3.3 运维服务提供方 operating an d maintenance service provider 提供政务服务平台运维服务的内部组织或外部组织。 3.4 服务级别 service level 政务服务部门向运维服务提供方提出服务级别要求。 DB52/T 1542.32021 2 3.5 配置管理数据库 configurat ion management database 包含每个配置项所有相关的详细信息和配置项之间重要关系的详细信息的数据库。 来源:GB/T 24405.1-2009,2.5
6、 3.6 应急事件 emergenc y incident 导致或者即将导致运维服务对象运行中断、运行质量降低,以及需要实施重点时段保障的事件。 来源:GB/T 2882 7.3-2012信息技术服务 运行维护 第3部分:应急响应规范 3.7 应急响应 emergency response 组织为预防、监控、处置和管理应急事件所采取的措施和活动。 来源:GB/T 2882 7.3-2012信息技术服务 运行维护 第3部分:应急响应规范 3.8 事件 incident 不属于某项服务的标准操作、导致或可能导致IT服务中断或服务质量降低的任一事态。事件也可能 包括请求的问题。 来源:GB/T 24
7、405.1-2009,2.7 3.9 问题 problem 一个或多个事件未知的潜在原因。 来源:GB/T 24405.1-2009,2.8 3.10 流程 process 被设计完成特定目标的一套结构化活动。 4 总体要求 4.1 运维服务对象 运维服务对象包括以下内容: a) 基础环境,包括安全监控系统、消防系统以及机房动力和环境等; b) 主机系统,包括应用服务器、数据库服务器、存储备份系统等; c) 应用系统,包括操作系统、数据库系统、中间件等; DB52/T 1542.32021 3 d) 业务系统,包括协同办公类、资产管理类、统计分析类、业务综合管理类、大数据处理分析类 及评价考核
8、类等; e) 网络系统,包括连接互联网、政务专网的网络基础设施和软件,如核心交换、路由器、防火墙、 入侵检测系统等; f) 安全系统包括入侵检测(或防御)系统、防火墙、漏洞扫描、杀毒软件等在内的设施和软件。 4.2 运维模式 运维管理分为以下模式: a) 第三方运维模式:由第三方运维服务机构通过协议承担政务服务平台的运维管理; b) 混合运维模式:政务服务部门与第三方运维服务机构共同承担政务服务平台的运维管理。 4.3 第三方运维服务机构 第三方运维服务机构要求包括以下内容: a) 应具有独立法人资格; b) 应获得政务服务平台运维管理的相关授权; c) 应具有组织架构、专业运维服务团队且有明
9、确的分工和职责定义、运维设备设施和服务能力; d) 应建立运维管理机制,制定运维管理的相关制度;制定标准化运维服务工作流程; e) 应建立与培训服务相关的培训体系,制定培训策略,明确培训计划。 4.4 运维人员 运维人员要求包括以下内容: a) 应具有良好职业道德、行为规范、语言文明、服务信誉高; b) 应具备一定的运维服务相关知识和工作技能,能遵守安全和保密的规定; c) 应经过与运维服务相关的培训(建立培训体系,制定培训计划); d) 人员绩效考核体系或机制。 5 运维管理内容 5.1 机房基础环境运维 机房基础环境运维包括但不限于以下内容 a) 机房安防监控系统监控、诊断、分析门禁系统和
10、其他各类监控设备等的运行状态、参数变化、 提示信息等,发现并报告问题,及时进行变更、维护; b) 机房动力及环境电源、等电位、环境(如温度、湿度)、消防系统、灾害预防等方面的维护 和管理; c) 机房基础环境最低要求需满足 YD/T 1821-2018。 5.2 应用软件系统及业务系统运维 运维内容包括但不限于以下内容: a) 监控:对应用系统及业务系统的动态指标、静态指标、运行状况和发展趋势等进行记录、分析 和告警; b) 常规作业:应用系统及业务系统日常维护,包括定期维护、配置备份、数据备份、数据恢复等 活动; DB52/T 1542.32021 4 c) 定期巡检,监控各应用系统及业务系
11、统的运行状况,评估应用软件系统的性能和功能; d) 定期检查分析用户反馈情况及程序错误日志、清除系统运行中发生的故障和错误等; e) 消除应用系统及业务系统可能存在的隐患和威胁,将系统恢复正常活动状态,系统配置优化, 处理系统异常事件; f) 根据需求升级、更新系统功能等; g) 制定应急响应制度以保障应急响应服务; h) 构建数据管理体系,建立数据管理机制、流程和策略,提升数据管理能力,以保证数据的完整 性、可靠性、可用性和机密性等要素; i) 制定数据备份与恢复的机制、策略、规范、流程和应急保障措施,对数据存储的安全进行保护。 5.3 硬件设备维护 硬件设备维护包括但不限于以下内容: a)
12、 例行检查及状态监控:制定服务周期对运维服务对象进行巡检、监控、备份、测试; b) 响应支持及故障处理 :及时进行故障处理、备机更换,尽快排除故障并形成故障报告; c) 主机运行情况监控:使用云上贵州系统平台主机监控系统,定期对应用系统所使用主机各指标 进行监控,并统计云资源指标利用率,包括:CPU、内存、网络、磁盘等的峰值及平均值等。 迁云单位根据监控情况, 制定云资源的升配或降配方案, 完成上云应用系统优化资源配置工作。 5.4 网络运维 网络运维包括以下内容: a) 网络建设规划; b) 监控网络设备状态、网络连通性等运行状态; c) 监控网络链路流量、核心交换机端口流量; d) 检查网
13、络设备运行日志; e) 备份网络、防火墙、入侵检测等设备的配置参数; f) 网络性能改进、网络配置优化;控制网络配置的变更; g) 制定网络系统的应急预案,及时处理网络中断、网络设备故障等; h) 建立并执行针对设备安全事件的应急响应机制和流程,并为应急处置配备相应的资源; i) 在对设备进行远程维护时,明示维修内容、风险以及应对措施,应留存不可更改的远程维护日 志记录; j) 例行检查及状态监控:根据制定服务周期对运维服务对象进行巡检、监控、备份、测试; k) 响应支持及故障处理 :及时进行故障处理、备机更换,尽快排除故障并形成故障报告。 5.5 信息安全 5.5.1 基本要求 信息安全应符
14、合信息安全技术网络安全等级保护基本要求GB/T 22239-2019的相关规定。 5.5.2 数据安全运维 数据安全运维包括但不限于以下内容: a) 提供快照服务、快照保护,防止快照中的数据被非法访问; b) 应具备多副本备份机制,并且各副本间的数据保持一致; c) 提供数据迁移技术支持,保证用户数据迁移的安全、可靠。 DB52/T 1542.32021 5 5.5.3 安全产品及安全服务 为政务服务平台提供安全保障所需租用的网络及数据安全防护产品及配套服务。网络及数据安全防 护产品服务包括:堡垒机、安全审计、防火墙、防病毒、 漏洞扫描、数据脱敏、数据加密、WAF、云密 码等。安全服务包括基线
15、核查服务、基线加固服务、代码审计服务、应急响应服务、安全预警通告服务、 渗透测算服务、重要保障服务、安全测评等。 5.6 数据服务 数据服务需遵循以下标准规范:DB 52/T 11232016政府数据 数据分类分级指南、DB 52/T 1124 2016政府数据资源目录第1 部分:元数据描述规范、DB 52/T 11252016政府数据资源目录 第 2 部分:编制工作指南、DB 52/T 11 262016政府数据 数据脱敏工作指南等。 数据服务包括但不限于以下内容: a) 评估数据的完整性、可靠性、可用性和机密性等要素; b) 评估数据存储、数据通信的安全性; c) 制定数据存储、数据备份、
16、数据恢复等的策略,必要时可提供灾备服务(本地或异地); d) 对用户数据、流程数据、业务数据、模型数据等数据的采集、整理(包含元数据梳理)、加工、 建库、共享、统计分析。 6 运维管理 6.1 服务级别管理 6.1.1 应协商并记录政务服务平台运维服务提供方所提供的服务、相应的服务级别目标,服务级别协 议、供方合同及相应的规程。 6.1.2 应监控并报告政务服务平台运维服务级别,并进行定期评审,以确保服务级别协议的更新和持 续有效。 6.1.3 服务级别管理应包括以下内容: a) 对政务管理部门的系统现状进行调研,掌握电子政务系统的现状,明确政务管理部门的运维需 求; b) 向政务管理部门提供
17、服务目录,介绍服务类别、服务内容和服务目标,通过与政务管理部门协 商,完成服务级别的定义并记录; c) 对服务级别内容进行评审,确保有能力向政务服务部门提供服务级别中所列内容; d) 与政务管理部门以书面的形式签订服务级别协议,服务级别的内容应包含但不限于:服务简述、 服务有效期、服务范围、服务内容、服务目标、服务支持方式和响应级别、双方的责任和义务、 沟通机制、服务级别变更过程约定、规定条款的例外说明等; e) 定期对政务服务平台运维服务级别进行监控、评估、改进,并进行记录; f) 政务服务平台运维服务级别发生变更时,应与政务管理部门重新协商、修订; g) 服务过程中涉及第三方支持时,应与第
18、三方签订协议,并确保协议中的内容满足与政务管理部 门签订的服务级别要求。 6.2 服务报告管理 6.2.1 应根据运维服务产生和交付的结果,制定和提交服务报告。服务报告格式、标识应满足政务管 理部门的要求,服务报告应包括以下内容 DB52/T 1542.32021 6 a) 制定服务报告策略,针对报告不同的受体,确定服务报告的层次、交付时间或频度、报告陈述 的内容等; b) 记录有关过程质量的信息,有关改进措施的总结、报告和建议,变更和变更请求的相关信息和 报告包括记录变更产生原因、变更实施信息、回退计划; c) 统计、分析运维服务过程中的各类数据; d) 服务等级协议目标相关绩效表现(事件量
19、、问题数、变更实施、故障时间/次数、影响业务的 时间/次数等),达成及未达成情况、安全违规及考核实施情况; e) 政务服务平台资源使用情况分析、隐患及相关的纠正和预防措施或建议; f) 重大事件(故障)的分析、纠正和预防措施及落实跟踪情况,相关变更和发布的绩效; g) 趋势分析及可能导致违背服务等级协议相关活动的预警; h) 计划完成情况及未来工作计划; i) 满意度分析。 6.2.2 应规定服务报告提交的时间、方式,编制、审核、发布、归档等管理要求,确保服务报告的有 效性和权威性。 6.3 服务连续性管理 6.3.1 应确保在任何条件下,能满足向政务管理部门承诺的协商一致的服务持续性,管理可
20、能严重影 响服务的风险,如灾难性或特别重大的事件。 6.3.2 服务连续性管理应包括以下内容 a) 定期对运维对象进行评估,根据评估结果编制服务连续性计划; b) 定期对系统连续性计划进行检查和演练,并形成检查报告; c) 根据检查报告,结合现状,识别服务等级协议内服务连续性条款存在的隐患,通过变更管理过 程采取合理的调整措施; d) 定期对运维服务过程中的事件数量、事件类型与连续性计划需求目标进行对照并统计与分析, 为制定合理的连续性计划提供基础分析数据。 6.4 供方管理 6.4.1 应对供方进行管理,以确保服务提供方无缝的,高质量的运维服务。 6.4.2 供方管理应包括以下内容 a) 指
21、定专门的人员负责每个供方; b) 与供方签订服务级别协议或其他文件,并进行合同评审,确保供方了解服务的需求、范围、级 别等; c) 清楚记录主供方和分包方之间的职责和关系,并确保分包方提供的服务满足需求; d) 具备合同评审过程,并至少每年评审一次; e) 确保任何变更都服从变更管理过程; f) 具备解决合同纠纷的正式过程。 6.5 事件管理 6.5.1 应尽快恢复电子政务服务并减少服务中断对业务的不利影响,保证服务质量和可用性等级。 6.5.2 事件管理应包括以下内容 a) 受理服务请求或错误报告,并进行记录; b) 对事件进行初步支持,并进行分类和定级; c) 对事件进行调查和诊断,根据承
22、诺的服务级别协议要求进行解决; DB52/T 1542.32021 7 d) 具备重大突发事件应急处置规范或应急预案; e) 跟踪和监控事件进度,必要时进行事件升级,直至事件解决并关闭。 6.6 问题管理 6.6.1 应预防电子政务运行过程中问题和事件的再次发生,并将未能解决的事件的影响降至最低。 6.6.2 问题管理应包括以下内容 a) 根据问题涉及的领域、影响度、紧迫度及优先级对问题进行归类,并记录; b) 对问题进行分析测试,确定根本原因,提出预防措施或解决方案; c) 在解决方案实施完成后,进行评估,确认解决效果; d) 对解决问题过程中所需的变更提出变更请求。 6.7 配置管理 6.
23、7.1 应定义和控制电子政务基础设施、应用系统和桌面系统中的部件,并在配置管理数据库中保持 准确的配置信息、配置项之间的关系及配置项的实际版本状态。 6.7.2 配置管理应包括以下内容 a) 规划、识别、控制、验证及审计、状态跟踪等活动; b) 创建与变更管理、发布管理的接口,共同确定配置管理过程的战略和目标; c) 确定所需的工具、资源、配置项定义、配置项标识等; d) 建立配置管理数据库(OMDB); e) 保证配置项信息的可追溯性; f) 定期进行配置审计。 6.8 变更管理 6.8.1 应以受控的方式,确保所有电子政务有关的变更得到评估、批准、实施和评审,使变更对运维 服务干扰最小,并
24、实现相应的业务利益。 6.8.2 变更的项目应包括基础设施、网络系统、桌面系统、应用系统和运维服务等。 6.8.3 变更管理应包括以下内容 a) 确保所有的变更资源可提交给变更请求,并进行完整地记录; b) 对变更请求进行过滤、分类; c) 对变更进行审批; d) 规划开发和实现过程,并确保变更所要求的资源可用; e) 有效协调变更的构建、测试和实施过程; f) 对变更(无论成功与否)进行评价、分析、改进; g) 对紧急变更进行管理。 6.9 发布管理 6.9.1 应对硬件、软件、文档、流程等进行规划、设计、构建、配置和测试,为实际运行环境提供一 系列的发布部件,并将新的或变更的部件迁移到运行
25、环境中,确保电子政务运行环境的完整性及发布正 确的部件。 6.9.2 发布管理应包括以下内容 a) 提前与相关人员共同协商制定发布策略、发布规划; b) 设计、构建和配置发布版本; c) 制定回退计划,确保发布失败时可回退到原状态; DB52/T 1542.32021 8 d) 根据既定的过程来管理紧急发布; e) 发布之前,在测试环境中测试所有的计划发布; f) 进行发布验收; g) 发布成功之后,更新配置管理数据库中的信息; h) 对发布(无论成功与否)进行测量、分析、改进。 6.9.3 电子政务运维服务提供方应建立发布管理和变更管理的接口,确保发布管理和变更管理紧密结 合、协调一致。 7
26、 运维管理保障 7.1 人员管理 人员管理包括以下内容: a) 明确运维团队中的角色和责任、定义和分配; b) 运维人员应提供合法信誉证明方可上岗; c) 获得平台技术提供商对应技术能力认证,按照获取技术能力认证等级合理分工,满足平台运维 业务需求; d) 定期参与平台技术提供商培训,确保运维管理人员技术能力与平台技术迭代同步; e) 建立专职团队,设置对应服务岗位,按照业务要求配置具备对应能力的运维人员; f) 建立内部培训、岗位考核机制,运维人员应参加必要的技术、业务、安全等培训; g) 运维人员和客户保持良好的沟通机制,快速响应客户的需求,及时解决各类使用问题和故障问 题。 7.2 制度
27、管理 制度管理包括以下内容: a) 应对机房管理活动建立完整的管理制度,包括对外部施工人员进入机房的审批流程等; b) 应对平台维护的运维活动制定日常运维管理制度,建立运维人员日常管理操作规范; c) 应制定运维工作各个环节的运维管理制度和操作流程; d) 应建立运维管理制度和操作流程的制定、发布、维护和更新的机制,定期制修订运维管理制度 和操作流程。 7.3 值班管理 应建立24小时值班制度,明确值班的开始时间、结束时间、交接班时间,并设立值班紧急联络人, 联络人保持联系电话24小时畅通。 7.4 应急管理 7.4.1 应急准备 应急准备包括以下内容: a) 应建立应急处置机制和措施,明确应
28、急处置部门、人员职责,制定应急管理制度,应急处置流 程; b) 应建立预防预警机制,制定应急事件报告和通报制度,编制应急响应计划文档等; c) 应定期针对应急响应计划进行测试、培训和演练。 DB52/T 1542.32021 9 7.4.2 应急处置 应急处置包括以下内容: a) 发生突发事件时,立即启动应急响应计划,采取相关措施抑制事件影响,尽快恢复平台正常运 行; b) 在事件处置结束前,对应急处置人力、物质、技术进行保障,保证事件能够快速有效的按应急 响应计划执行; c) 按应急事件报告和通报制度及时向组织内外有关方面通报事件处置进展情况; d) 在处置工作结束后,分析总结,并形成处置记
29、录。 DB52/T 1542.32021 10 参 考 文 献 1 GB/T 22081-2008 信息技术 安全技术 信息安全管理实用规则 2 GB/T 28827.1-2012 信息技术服务 运行维护 第1部分:通用要求 3 GB/T 28827.2-2012 信息技术服务 运行维护 第2部分:交付规范 4 GB/T 28827.3-2012 信息技术服务 运行维护 第3部分:应急响应规范 5 GB/T 28827.4-2019 信息技术服务 运行维护 第4部分:数据中心服务要求 6 GB/T 28827.6-2019 信息技术服务 运行维护 第6部分:应用系统服务要求 7 GB/T 37738-2019 信息技术云计算云服务质量评价指标 8 ISO/IEC 2000-22005 Information technology - Service mana gement - Part 2: Code of practice 信息技术 服务管理 第2部分实用规则 _ DB52/T 1542.3-2021