第25章运行维护监理
随着数字技术日益普及以及企业对于信息化的需求不断提高,保持信息系统的稳定运行、安全和高效显得尤为重要。本章对运行维护监理服务过程的具体内容予以解读,分小节、分重点地提出分析、指导建议,重点讲述监理服务过程中的关键监理活动、监理内容、重点运行维护服务的监理要点,以及监理主要输出文档等,帮助监理人员开展运行维护监理工作。同时对监理机构在实践过程中编制监理大纲、监理规划和监理实施细则,以及项目的作业指导书或监理文档起到必要的指导作用。由于运行维护监理相较工程建设监理具有一定的独立性和特殊性,本章将对运行维护监理的控制活动、管理要点和必要的工作约束等进行重点说明。
25.1概述
我国信息化经过长期的规划、建设,取得了丰硕的成果,大量信息系统进入全面应用及维护阶段,各级、各部门信息系统大多处在信息化更新建设、升级改造和运行维护同步进行的新时期。
信息系统运行维护,特指新建或升级改造类信息化项目实施完成后的系统,在结束其试运行周期后,完成必要的项目验收手续、正式进入生产环境交付使用阶段的维护和保养工作。
信息系统运行维护服务对象通常分为基础设施、应用软件、数据、信息安全四类,具体包括如下内容:
(1)基础设施。具体包括:
•为软件运行提供基础运行环境的设施,例如综合布线系统、电子设备机房等;
•为软件提供安全网络环境的设备设施,例如路由器、交换机、防火墙、入侵检测器、负载均衡器、电信线路等;
•计算机设备,例如服务器、存储设备等;
•安装运行在计算机硬件中、支撑应用软件运行的系统软件,例如操作系统软件、数据库软件、中间件等。
(2)应用软件。具体包括:
•通用软件,例如企业管理软件、辅助设计与辅助制造软件等;
•行业应用软件,例如通信软件、金融财税软件、工业控制软件等。
(3)数据。具体包括:
•在数据库管理系统中存储和操作,与业务、配置和日志相关的结构化数据;
•以计算机文件形式存储和操作,与业务、配置和日志相关的非结构化数据。
(4)信息安全。具体包括:
•信息安全咨询,例如信息安全规划、信息安全管理体系优化、信息安全风险评估;
•信息安全实施,例如信息安全加固和优化、信息安全检查和测试、信息安全监控;
•信息安全管理及培训。
25.1.1基本概念
1.运行维护监理
监理单位受业主单位委托,依据国家有关法律法规、标准规范和监理合同,对信息系统完成建设并投入使用后的运行维护工作实施的监督管理。
2.例行操作监理
对于运行维护中的日常预定工作,监理机构实施的监理。
3.响应支持监理
对于运行维护服务请求或故障申报的即时处理工作,监理机构实施的监理。
4.优化改善监理
对于运行维护对象的功能和性能调优工作,监理机构实施的监理。
5.调研评估监理
对于运行维护对象的调查研究或分析评价工作,监理机构实施的监理。
25.1.2运行维护监理与建设监理的对比
信息系统运行维护监理作为一种新型的信息化监理服务,越来越受到大型信息系统工程建设项目业主单位的重视,尤其是“政务信息化”“智慧城市”等建设取得的阶段性成果正逐步进入应用及维护阶段,其管理者希望引入运行维护监理。
对信息系统运行维护服务的需求主要有以下几方面原因:
(1)在实施过程中,管理细节上尚不清楚运行维护绩效考核该如何实施,或者没有足够的人力资源(符合能力要求的人员)从事运行维护绩效考核工作。
(2)在年度运维工作结束或某项目运维结束时,尚不清楚运行维护服务该如何验收。信息系统建设工程验收多是针对实物的验收,方法较多,包括测试、评审、专家论证等。但是运行维护服务的验收大多是非实物验收,上述方法效果有限。
(3)运行维护过程中,当出现合同纠纷、任务落实是否到位等“扯皮”事件时,大多数用户没有经验和能力判断,分不清事件的原因和责任,难以有效促进问题的解决。
(4)需要有一个第三方服务机构,为业主单位提供必要的观察、检验、验证、监督和审定等管理服务。
针对以上问题,信息系统工程运行维护的监理服务应运而生,可以为用户解决运行维护过程中因人力不足、能力不足、经验不足带来的问题。
通过研究和实践,在信息化建设监理规范约定的“三控、两管、一协调”的基础上,结合运行维护监理服务的实际工作,总结出了“四控、五管、一协调”的运行维护监理方法论,具体包括:质量控制、进度控制、投资控制、安全控制、合同管理、文档资料管理、配置管理、应急管理、效能管理和组织协调。信息系统工程的运行维护监理与建设监理既有一致性,也有差异性,如表25-1所示。
25.1.3运行维护监理的阶段及要求
运行维护监理工作按照服务阶段划分,分为招标阶段监理、实施阶段监理、评估阶段监理,每个阶段都有相应的监理要求。如表25-2所示。
下面将结合案例重点介绍信息系统运行维护招标、实施、评估三个阶段的重点监理活动及监理内容,并对基础设施、软件、数据、信息安全四类重点运行维护服务的监理要点进行分析和阐述。
25.2招标阶段监理工作
通常情况下,引入信息系统运行维护监理的项目,会由信息系统的业主单位、运行维护服务的提供单位(简称“运维服务提供方”)、监理单位等多方组织,执行招标、实施、评估等多个工作环节。选择运行维护服务的服务提供商是一个严谨和复杂的过程。
选择合适的运维服务提供方是高质量运行维护服务的必要条件。运用体系化方法执行筛选活动,能够有效筛选出优质、合适的运维服务提供方。
选择适宜的运维服务提供方的关键点在于将业主单位的管理要求和服务要求整合到一起,作为招标、评标以及合同中的重要内容,包括服务内容、服务级别、绩效考核、奖惩制度、服务成本等。
【案例1】以国家某行政管理部门的业务系统运维需求分析为例,其业务系统是全国大集中系统,业务系统在全国范围上线前,业务实时数据主要分别在各地方机构的信息部门,国家级的信息中心主要负责数据汇总和部分联网数据的传输工作。随着大集中式业务系统的上线,使全国系统从分布式运行维护转变为集中式运行维护,实时数据都汇总到国家级信息中心,信息中心必须要保证应用、系统、网络各个层面的资产能够正常运转,才能保障业务的畅通无阻,否则将会产生重大影响。一旦出现问题,影响将波及全国范围。这就对国家级信息中心的集中式运行维护全过程管理及供应商的选择提出了更高的要求,监理机构应在招标阶段提供高质量的服务,以确保运维服务提供方的质量及运行维护服务的效果。在此案例中,运维服务内容的需求基本一致,即系统运行维护。但在地方机构与国家级机构的服务对象、服务级别、服务要求、服务响应和服务成本方面,以及对应服务的绩效考核、服务奖惩等方面可能都有差异,需要结合实践认真分析、确定。
25.2.1监理活动
运行维护招标阶段的主要监理活动如下:
(1)明确运行维护需求:协助业主单位明确运行维护的主要任务和服务标准;
(2)招标:协助业主单位编制招标文件,满足运行维护需求;
(3)签署合同及SLA协助业主单位与运维服务提供方签署运行维护服务合同和运行维护服务级别协议(SLA)。
25.2.2监理内容
1.明确运行维护需求
监理单位应明确运行维护需求,具体如下:
(1)根据运维招标特点编制监理规划,经业主单位签认后,作为监理工作的指导文件;
(2)协助业主单位进行招标策划工作,根据业主单位需求及相关法律法规、政策和标准,确定运行维护任务和服务标准,作为后续监理工作的依据之一;
(3)明确运行维护需求,包括运行维护对象、运行维护流程、运行维护组织及管理模式等,形成合法合规的、有针对性的、符合实际运行维护需要的招标要求。
2.协助业主单位招标
监理机构应协助业主单位进行招标工作,具体如下:
(1)在业主单位许可及授意下,可参与招标文件的编制工作,对招标文件中的技术和质量要求、服务级别、投标单位资质要求、应急响应、交付、评估方法等提出监理意见。重点审核招标文件以下内容:
•投标单位能力证明文件的要求是否合理,与业主单位需求是否一致,招标文件中所附运行维护服务合同模板的通用条款和专项条款是否合理;
•运行维护服务要求是否满足业主单位需求、关键技术标准和服务标准;
•评标标准是否合理。
(2)在业主单位的授权下,可参与招标答疑工作,协助业主单位对运行维护服务所涉及的服务要求、技术指标向投标单位解释,并保存会议纪要和相关文件。
(3)在业主单位的授权下,可协助业主单位参与评标活动,对于投标文件与招标文件的符合性及投标文件的合理性提出监理意见。
表25-3展示了服务级别目标和测量的示例,服务目标应尽量量化。
3.合同及SLA监理
完成招标工作后,监理机构需要协助业主单位推进合同谈判及签订工作。运行维护合同的主要附件是运维服务级别协议CSLA)。
合同及SLA相关的监理内容如下:
1.协助业主单位审核合同条款和SLA内容,重点审核:
•合同条款中运行维护服务期限、服务范围、服务内容、服务级别SLA)、人员投入、运行维护评估、付款节点、服务变更控制及奖惩条款等内容;
•SLA中服务目录定义完整性、文件规范性、考核评估机制有效性和完整性;
•SLA是否明确了服务项目、服务内容、服务时间、服务频度、交付方式及交付结果等。
可参考下面的运维服务级别协议(SLA)的示例,定义有关SLA的约束要求,如表25-4所示。
(2)管理运行维护招标阶段所产生的与监理相关的文档资料,包括需求说明、招标文件、运行维护合同、运行维护SLA等。
(3)可从运行维护人员、资源、技术和过程,以及运行维护预算的分析论证等方面向业主单位提供咨询服务。
(4)签订的运维服务合同中,应明确要求运维服务提供方接受监理单位的监理。
25.2.3主要输出文档
运行维护招标阶段的主要输出文档如下:
(1)监理规划;
(2)服务需求研讨会会议纪要;
(3)招标需求文件评审的监理意见;
(4)招标答疑纪要或备忘录;
(5)合同评审的监理意见;
(6)SLA评审的监理意见。
25.3实施阶段监理工作
在运行维护实施阶段,监理机构结合信息系统运行维护监理“四控、五管、一协调”的工作方法论,依据服务目录及SLA,协助业主单位对运维服务提供方的运行维护活动进行质量、进度、投资和安全控制,协助业主单位对运维服务提供方的运行维护活动涉及的合同、文档资料、配置、应急和效能进行管理,同时在服务过程中,开展必要的业主单位、运维服务提供方等各方面工作关系的协调与处理。运行维护实施阶段的监理活动如图25-1所示。
25.3.1质量控制
1.质量控制的特点
信息系统运行维护的质量是运行维护监理工作的核心,是决定整个信息系统运行维护成败的关键,也是一个运行维护项目是否成功的最根本标志。质量控制贯穿运行维护监理工作的始终,也是运行维护服务实践活动的出发点、核心点。
信息系统运行维护的质量控制与信息系统工程建设的质量控制思路基本相似,但在质量控制点、控制措施等方面又有区别,主要体现在以下两点:
(1)质量目标有区别。信息系统工程建设的质量目标聚焦在最终成果上,在项目进度和成本范围内,成果物的质量达成就意味着工程质量目标的达成。而运行维护工作的质量目标除了有成果性的(如升级、改造等),还有过程性的,它要求在执行过程中都要保证某种要求的实现或不可突破。
(2)质量控制方法有区别。除常规的监理质量控制方法外,运行维护监理工作还有另一项重要的质量控制方法,即绩效考核。通过客观、量化的绩效考核,评价运维服务提供方的工作质量,实时发现问题,督促运维服务提供方持续不断地改进、完善,直至问题得到彻底解决。
同时,信息系统运行维护的质量控制和其他运行维护的质量控制相比有其特殊性,只有对信息系统运行维护的特点以及质量影响要素有比较清楚的认识,对其质量的控制才能有针对性。
2.质量影响要素
质量影响要素具体如下:
(1)要控制质量,首先要控制运维服务人员的工作能力、水平和效果。信息系统运行维护的实施过程是人的智力劳动过程,个人能力影响较大,人员跳槽现象也比较普遍。监理机构对运维服务提供方的人员控制并不是人事权的控制,而主要是通过审查运行维护项目的主要人员是否满足投标文件中的人员要求(例如人员资格证书、运行维护经验等),以保证其运维服务能力和水平;通过审查运维服务提供方的过程质量控制体系,以保证运行维护工作能够在有序的状态下进行,最大可能减少个人的随意性;通过督促运维服务提供方建立有效的版本控制体系和文档管理体系,最大程度减少人员流动带来的损失。
(2)定位故障比较困难。例如,信息系统的性能问题可能是由网络性能、主机性能、数据库性能、中间件性能和应用软件性能共同决定的,其中一项出现故障,就会影响整体性能,因此在进行质量控制时既要切实控制单体的质量,又要有全局的观念。
(3)改正错误的代价往往较大,并且可能引发其他质量问题。例如,在应用系统运行维护过程中,即使发现了软件的错误,也不能随时随意修改。在质量控制时要做好质量改进评估,否则修改一个问题可能会引起更多、更大的问题。
(4)质量认定的范围较大。在信息系统运行维护过程的质量认定中,除了类似系统建设过程的质量要求,运维服务提供方的服务态度和服务效率也可以成为质量认定的内容。
3.质量控制活动及内容
质量控制活动及内容具体如下:
(1)督促运维服务提供方建立运行维护质量保证体系,主要包括:
•运行维护质量保证计划;
•运行维护质量控制活动及相关规范流程;
•运行维护质量控制机构及人员的职责权限、工作衔接关系、协调措施等;
•满足运行维护质量要求的资源条件,如运行维护实施工具及设备等;
•满足运行维护质量要求的人员条件,如人员数量、人员资质、技能经验要求、所需的培训等;
•运行维护质量信息的反馈机制。
(2)以运行维护合同、SLA为依据,监督运行维护质量保证体系的落实及其日常运行情况,主要包括:
•运行维护服务流程执行情况;
•运行维护服务过程与运行维护质量保证计划的相符性;
•运行维护服务成果和相关运行维护文档资料;
•重大运行维护事件的处置过程;
•运行维护项目的交付过程。
(3)针对运行维护过程中的关键事件进行重点控制,主要包括:
•由总监理工程师审核,并协助业主单位组织相关专家进行论证;
•跟踪关键操作和事件解决过程,发现质量问题并及时纠正,消除质量隐患。
(4)督促运维服务提供方开展巡检,并抽查巡检相关记录,检查内容主要包括:
•日常巡检安排及落实情况;
•业务高峰期和特殊业务保障时期人员安排、巡检安排及落实情况;
•巡检内容与业务系统匹配的完整性,以及阈值设定的合理性;
•运维服务提供方提交的故障报告、巡检报告、运维日志等信息;
•对故障发生过程、原因、处理等方面进行讨论和分析,评定巡检工作成效及是否存在疏漏。
(5)检查备品、备件的准备情况,主要包括:
•检查需要预先采购的备品备件型号、数量等是否符合合同要求;
•重要设备的备品备件是否为正品;
•合同中明确的替代设备、应急设备是否准备齐全;
•不定期抽查备品备件库。
(6)宜定期对运行维护服务质量进行考核、评估。
(7)可对运行维护过程中的测试实施质量进行审查,主要包括:
•评审运维服务提供方提交的测试计划、测试方案、测试报告等;
•执行重要环节的监理抽测,或对测试过程进行旁站。
(8)对运行维护文档质量进行评审,主要包括:
•运行维护需求分析报告、运行维护实施方案;
•运维服务提供方提供的质量保证体系;
•运维服务提供方提交的运行维护过程文档;
•运行维护验收方案。
25.3.2进度控制
运行维护实施阶段的进度控制也有别于信息系统工程建设的进度控制,其核心目标是控制运行维护工作任务按时保质完成,包括常规既定任务、时间约束范围内的处置任务等。运行维护实施阶段的进度控制更多关注整体工作计划性、各项安排的合理性、计划或者任务达成的时效性等。
进度控制相关的监理工作包括如下内容:
(1)对运维服务提供方的整体运行维护计划进行审核,内容包括:
•进度计划的科学性和可执行性;
•进度计划的合理性,包括时间计划合理性,任务安排合理性,工具、人员投入合理性。
(2)根据进度计划设置关键进度检查点。
(3)针对进度检查点进行审核,发现偏差时可以组织多方会议会商,修正进度计划。
25.3.3投资控制
1.投资控制概述
信息系统运行维护的投资控制是对运行维护费用预算的实际执行情况进行监督、控制和评价的过程。投资控制的目的就是根据运行维护服务进展的实际情况,结合运维服务提供方的绩效考核结果,对运行维护费用的支付进行调整和控制,从而节省用户费用、控制服务效果。
运行维护投资控制要在保证服务质量的前提下不断降低运行维护费用,从而实现目标费用最优化的要求。基于运行维护工作的特点,在实施过程中需要进行全过程、动态的投资控制。随着运行维护各项工作的连续进行,应该开展全覆盖式的投资控制,覆盖所有运维服务提供方及人员,覆盖所有服务对象,覆盖所有服务类型(包括运行支撑、日常巡检、故障处理、应急演练等)。信息系统运行维护的实际费用理论上是不可预控的,尤其是基础设施的运行维护工作,突发性、偶然性比较大,所以要在实施过程中进行动态控制。投资控制与质量控制是同时进行的,在实现投资控制的同时需要兼顾质量目标。
2.投资控制的要点
投资控制的要点具体如下:
(1)投资控制与绩效考核的结果是息息相关的,通过对绩效考核结果的分析,可以找到运维服务中的不足,通过控制费用促进运维服务提供方完善改进;
(2)在没有突发意外的情况下,项目实际费用不应超过项目计划费用;
(3)应重视预算阶段的工作,考虑周全,尽量把有限的预算合理化分配;
(4)以动态控制原则为指导进行费用计划值与实际值的比较;
(5)有必要使用信息化手段辅助控制费用,尤其是对绩效考核的奖惩,功过不能相抵。
3.投资控制的方法
投资控制的主要方法是要求运维服务提供方定期上报费用报告或阶段支付申请,由监理机构对其进行费用审核,以保证各种支出的合法性,同时将已经发生的费用与预算进行比对,分析是否超支,并采取相应的措施加以弥补。
对固定运行维护费和不固定运行维护费一般采用不同的控制方法。
1)固定运行维护费的控制方法
如果运行维护合同签订的是固定运行维护费,监理机构应跟踪合同执行全部过程,分块评价运行维护服务商对每部分合同内容的执行情况。根据合同条款判断是否应该支付运维服务提供方的阶段费用。如果出现不建议支付的情况,应向业主单位提交专题监理报告,说明原因。同时约请用户与运维服务提供方面谈,指出问题,要求整改,整改完成后再评价该阶段运行维护费可否支付。
2)不固定运行维护费的控制方法
不固定运行维护费是指在运行维护合同中约定发生某种运行维护事件或工作时,运维服务提供方应按什么标准进行服务、服务单价是多少、用户按什么标准计算工时、如何支付该项费用。在合同签订过程中,监理机构应公平、合理、合规地提出核算过程与建议。不固定运行维护费的计算方法一般是服务单价乘以数量(或工作量)。监理应掌握运维服务提供方为此运行维护事件或工作实际付出的工作量,可以通过全过程的质量控制、效能管理等方式,记录运维服务提供方的实际有效工时,为不固定运行维护费的计算提供依据。同时,监理机构还应该严格进行绩效考核工作,如果发现运维服务提供方未能整改或绩效考核结果较差,应该根据绩效考核相关规定进行惩罚。因此,运行维护费的总值应该是不固定运行维护费计算值与绩效考核奖惩结果的和。
4.投资控制活动及内容
投资控制活动及内容具体如下:
(1)协助业主单位对运维服务提供方的技术方案、实施方法、管理方案、所采用的运维设施及设备等方面做出必要的经济可行性评审,并提出有效建议。
(2)在运行维护实施过程中,按阶段提交运行维护费用支付情况的监理报告,协助业主单位掌握运行维护预算执行情况。重点关注:
•以年、季度等为周期,审核运维服务提供方的预算执行情况和支付申请,结合绩效考核签发支付意见;
•针对非固定运行维护费,依据服务标准、工时、付费方式和计费标准等内容进行审核,对运维服务提供方的实际有效工时进行记录,并提出核算过程与结论,结合绩效考核提出监理意见。
(3)针对运行维护过程中的索赔事项,审核各项索赔金额。
(4)审核运行维护各阶段付款申请,核算运维过程的实际工作量,出具支付意见。重点关注:
•由总监理工程师依据运行维护合同、SLA及相关补充协议,审核运维服务提供方提交的阶段性运行维护总结报告和付款申请,满足付款条件时,总监理工程师签发支付意见,报送业主单位;
•如果不具备支付条件,或总监理工程师不建议支付,应提出监理意见,对问题进行说明,并要求整改,整改完成后再进行审核。
25.3.4安全控制
1.安全控制概述
信息系统运行维护安全的定义,是确保在信息网络系统进行通信、处理和使用的信息内容,在各个物理位置、逻辑区域、存储和传输介质传输过程中处于动态和静态过程中的保密性、完整性和可用性,以及与人、网络、环境有关的技术安全、结构安全和管理安全的总和。
在定义中,人是指信息系统应用的主体,包括各类用户、支持人员、技术管理人员、行政管理人员等。网络是指由计算机、网络互连设备、传输介质以及操作系统、通信协议和应用程序所构成的物理的和逻辑的完整体系。环境是指系统稳定和可靠运行所需要的保障体系,包括建筑物、机房、电力、保障与备份、应急与恢复体系等。
信息系统运行维护安全涵盖了人工和自动信息处理的安全、网络化和非网络化的信息系统运行维护安全,泛指一切以声、光、电信号、磁信号、语音以及约定形式为载体的信息的安全。总体来说,信息系统运行维护安全就是要保证信息系统的用户在允许的时间内,从允许的地点通过允许的方法对允许范围内的信息进行所允许的处理。
信息系统运行维护安全的具体含义和侧重点会随着观察者的角度而不断变化。
(1)从用户的角度看,个人用户最关心的是如何保证个人隐私,企业用户最关心的是如何保证涉及商业利益的数据安全。个人数据或企业信息在传输过程中要保证其受到保密性、完整性和可用性的保护,避免其他人利用窃听、冒充、篡改、抵赖等手段,对其利益和隐私造成损害和侵犯。同时用户也希望自己保存在某个网络信息系统中的数据不会被其他非授权用户访问和破坏。
(2)从网络运行和管理者的角度看,最关心的是如何保护和控制其他人对本地网络信息的访问、读写等操作。例如,避免出现漏洞陷阱、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等现象,制止和防御网络“黑客”的攻击。
(3)从安全保密部门和国家行政部门的角度看,最关心的是如何对非法的、有害的或涉及国家机密的信息进行有效过滤和防堵,避免非法泄露。机密敏感的信息被泄露将会对社会的安定产生危害,对国家造成巨大的经济损失和政治损失。
(4)从社会教育和意识形态角度看,最关心的是如何杜绝和控制网络上不健康的内容,避免其对社会的稳定和人类的发展造成不良影响。
目前,信息系统运行维护在企业和政府组织中得到了真正的广泛应用。许多组织对其信息系统不断增长的依赖性,加上在信息系统上运作业务的风险、收益和机会,使得信息和信息系统运行维护安全成为各个组织管理中越来越关键的部分。同时也要注意,对于信息化的不同应用,安全的策略和安全管理的目的也有所不同。
2.安全控制活动及内容
安全控制活动及内容具体如下:
(1)协助业主单位根据系统的可用性、保密性、完整性及可维护性等方面,评审安全运行保障方案,避免引起技术及管理方面的冲突。
(2)协助业主单位进行运行维护安全规划。主要包括:
•人员安全管理;
•物理与环境保护;
•输入输出控制;
•突发事件应急计划;
•数据完整性与有效性;
•文档安全管理;
•安全教育与培训。
(3)督促运维服务提供方提高安全意识,建立安全操作规范,严格执行安全操作规范,检查运维服务提供方是否存在安全隐患行为,并进行安全绩效考核。安全操作规范主要包括:
•运行维护操作环境出入管理制度;
•运行维护工作操作规程;
•运行维护升级、维护制度;
•运行维护工作人员人事管理制度;
•运行维护安全检查制度;
•运行维护应急制度;
•运行维护信息资料管理制度;
•运行维护工作人员安全教育、培训制度;
•运行维护工作人员任职、休假制度。
(4)督促运行维护服务商进行信息系统运维安全管理教育。主要包括:
•运行维护相关法律法规教育;
•运行维护安全基础知识教育;
•运行维护职业道德教育。
25.3.5合同管理
合同管理的主要监理内容具体如下:
(1)监督运行维护合同执行情况,主要包括:
•促使项目各方对运行维护合同条款达成一致认识和意见;
•对运行维护成果质量和文档进行检查和验收;
•对运行维护费用支付申请进行审核,并签发支付意见。
(2)在发生合同变更或索赔事件时,促使项目各方提交变更或索赔材料,审查变更或索赔材料,做好协调工作并提出监理意见,主要包括:
•积极控制合同变更或索赔事件的发生,审查其必要性、合法性、有效性;
•积极做好合同变更或索赔协调,协助收集变更或索赔依据,计算相关费用,提出监理意见。
(3)协调项目各方共同建立运行维护合同档案的归档、保存、借阅等合同管理制度,并监督其落实。
25.3.6文档资料管理
文档资料管理的主要监理内容如下:
(1)协助业主单位、运维服务提供方建立运行维护过程的文档管理体系和管理计划,主要包括:
•明确监理机构对运行维护文档的管理范围;
•设置监理机构文档管理组织机构及专员;
•协助运维服务提供方制定运行维护文档管理相关的制度、规范、流程;
•协助运维服务提供方制定文档分类归档保存管理机制;
•监督运维服务提供方进行文档管理体系培训。
(2)按照运行维护服务过程中统一的表格模板要求,督促各方编制运维文档。
(3)检查和评审运维服务提供方在运行维护服务过程提交的各类文档和单据。主要包括:
•运行维护总控类文档,例如运维合同、运维实施方案、运维技术方案、运维质量保证计划等;
•运行维护过程文档,例如方案/计划报审表、运行维护日志、巡检日志等;
•总结类文档,例如项目周报、项目月报、项目总结报告等;
•验收文档,如验收方案、验收材料等;
•监理机构编制运行维护服务评估报告等。
(4)督促项目各方落实运行维护文档资料的归档、保存、借阅等的管理要求。
25.3.7配置管理
1.配置管理概述
配置管理是运行维护实施阶段重要的管理内容,监理单位通过配置管理过程,监督并核实IT配置项记录的准确性,并维护准确的信息,使其能够为其他的服务管理过程提供支持(如事件管理、问题管理、变更管理和发布管理)。
配置管理流程一般包括配置管理规划、配置识别、配置状态记录、配置控制和维护、配置审计和验证,如图25-2所示。
2.配置管理活动及内容
配置管理活动及内容具体如下:
(1)协助运维服务提供方建立配置管理岗位体系,明确配置经理、配置管理员、配置审核员、变更经理、变更控制委员会等的岗位职责。部分岗位职责可参考以下内容开展具体工作:
①配置经理。具体职责包括:
•确定配置管理过程的计划;
•对配置项进行识别和控制;
•判断配置项的修改与更换,并与变更管理委员会保持紧密沟通;
•确保配置管理过程在整个组织内得到良好的传达和沟通;
•组织配置审计工作。
②配置管理员。具体职责包括:
•收集和记录配置信息;
•维护配置项信息,确保配置项信息是最新的。
③配置审核员。具体职责为:定期对配置项的一致性和准确性进行核查。
(2)审核运维服务提供方提交的运行维护配置管理计划、配置方法、技术方案、使用工具等,并提出监理意见。
(3)跟踪和检查运维服务提供方对于配置项的规划、识别、实施和管理工作,主要包括:
•配置项规划和管理数据库;
•对配置项的识别、收集、分析等过程;
•配置项基线管理机制;
•配置项校验、审计机制。
(4)检查运行维护过程中配置项的变更及发布管理过程,重点包括:
•审核运维服务提供方建立的配置项变更及发布相关管理制度、流程;
•检查运维服务提供方变更和发布流程的执行情况;
•审核变更发起人提交的变更申请及相关技术方案和实施方案,分析变更影响和风险,提出监理意见;
•跟踪变更和发布的实施过程和实施结果。
(5)对配置管理进行抽检。主要包括:
•定期对配置项的一致性和准确性进行抽检和核查;
•定期对配置基线关联情况进行监督,并对配置项属性和状态进行审查。
25.3.8应急管理
1.应急管理概述
信息系统运行维护应急管理是指运维服务提供方为预防、监控、处置和管理运行维护服务应急事件所采取的措施和行为。监理单位应协助运维服务提供方建立应急预案,督促做好监测预警以及跟踪应急事件处置过程。
信息系统运行维护应急事件是指导致或即将导致信息系统设施运行中断、运行质量降低、应用系统或数据库系统发生重大破坏或需要实施重点时段保障的事件。
应急事件主要包括以下情况:
•大范围系统中断;
•区域性系统崩溃;
•关键业务中断;
•大范围病毒暴发;
•系统严重破坏;
•数据严重破坏等。
应急响应是指针对应急事件采取的解决行动,是信息系统运行维护的重要组成部分,也是典型的活动之一。当出现超出预定的应急响应阈值的重大事件,或由于政府部门发出行政指令对运行维护对象提出要求时,应当启动应急处理程序。针对突发公共事件,国家和地方政府出台了各项总体预案和专项预案,从整体或专业的角度,对预防与应急准备、监测与预警、应急处置与救援、事后恢复与重建等方面进行了规定。但在信息系统运行维护领域,相应的应急响应规范刚刚建立起来。
2.应急事件的处理流程
当运维服务提供方收到应急事件信息,并判断该问题属于应急范围时,应启动应急处理流程。运行维护应急事件的处理流程如图25-3所示。
应急事件处理流程主要包括以下步骤。
1)应急事件分析
当应急事件发生时,监理机构与运维服务提供方首先要进行事件分析,确定故障的范围和影响程度,分析判定风险级别。确认为紧急故障或高级别应急事件时,在查找、分析原因和解决问题的同时,应在SLA约定的范围内第一时间及时将信息通报到业主单位信息系统运维管理部门的主管领导,并向具体承担信息系统运行维护管理责任的总控中心或总服务台等关键岗位报告、说明事件状况。如需其他部门或其他服务商提供协助的,请求相关部门共同解决故障。
2)成立应急工作组
启动应急流程的申请获批后(包括口头批准),由业主单位的信息系统主管部门负责组建应急工作组。应急工作组可能由多方人员组成,包括业主单位代表、监理机构人员、相关运维服务提供方及总服务台负责人等。应急工作组对发生的重大事故进行讨论分析,并制定应急处理方案。必要的应急方案应开展应急演练,检验应急处理方案的可行性。
3)应急处理过程
监理机构根据应急工作组制定的应急处理方案监督具体实施,涉及客户现场服务的应取得客户的签字确认。所有应急处理活动均应予以全面、完整、真实的记录。
4)应急处理结果评估
应急事件处理过程完成后,各相关单位向应急小组提交应急处理过程相关记录,包括启动应急流程申请、应急处理过程记录、资源申请、变更请求、变更日志等。应急工作组对应急处理结果进行评估和确认。如果应急工作组评估意见为达到要求(即问题得到解决并恢复服务),则应急流程结束。
5)统计和报告
监理机构定期(每月或每季度)对应急事件及处理情况进行统计,编制应急事件管理报告,提交给业主单位。应急事件管理报告的内容包括:启动应急流程次数(不同类别的次数)、原因分析、影响分析、完成情况、所需时间、各项资源利用情况、费用情况、意见和建议等。
3.应急管理活动及内容
应急管理活动及内容具体如下:
(1)督促运维服务提供方建立应急预案,主要包括:
•应急组织结构;
•应急管理制度;
•风险识别评估;
•应急响应预案;
•应急培训;
•应急演练;
•检验分析;
•完善和改进。
(2)评审应急管理方案,重点包括:
•风险识别和分析;
•应急资源;
•组织结构和人员;
•检测和预警机制;
•应急响应流程、操作规范;
•保障措施等。
(3)督促运维服务提供方做好针对各类运行维护对象的日常监测预警,主要包括:
•检查运维服务提供方制定的日常监测和预警机制和制度;
•检查运维服务提供方提交的日常监测和预警记录和报告;
•协助运维服务提供方优化日常监测和预警方案和制度。
(4)检查运维服务提供方对应急管理方案的培训和演练工作。
(5)在应急事件发生时,督促项目各方做好应急调度和应急处置工作,主要包括:
•跟踪应急事件的诊断、排查、处置、恢复等过程;
•跟踪因应急事件发展程度超出原定事件级别后,升级的诊断、排查、处置、恢复等过程。
(6)在应急事件关闭后,督促各方完成应急事件的索赔、总结、评价和改进工作,主要包括:
•协助优化和改进应急方案;
•做好因应急事件带来的索赔等相关工作;
•评估和总结应急事件处置结果。
25.3.9效能管理
1.效能管理概述
运行维护的效能管理是指对运维服务提供方进行绩效考核与能力管理。绩效考核是对运维服务提供方服务态度、服务质量、服务效率的综合性客观评价,能够促进运维服务提供方提升服务能力,同时可以作为运行维护服务验收、运行维护费用支付的重要参考依据。能力管理是对运维服务提供方整体能力和其运维服务人员个人能力的管理手段,通过能力管理促使运维服务提供方及其人员能够始终保持足够的能力来开展运行维护服务工作。落实效能管理的具体措施包括如下内容:
(1)制定绩效考核管理办法。绩效考核管理办法是运行维护管理体系的重要部分,用于规范考核工作,保证考核质量。绩效考核管理办法的执行应参考各运维服务提供方的招投标文件、合同、承诺书、补充协议等文件,并遵从运行维护管理体系的其他规定,全面科学地对被考核对象的各项工作表现进行综合考评。
(2)明确绩效考核内容。具体包括:
•日常管理:考核各运维服务提供方是否按合同要求执行运行维护工作;考核其驻场维护人员的资质和能力;考察人员出勤情况,保证现场有足够的技术支持,保证各种特殊情况的发生都能配备充足合理的人员。考核重点在于合同审查、人员资质审查和考勤管理。
•巡检情况:考核巡检计划和内容,评估巡检计划完成情况;检查巡检文档编制情况、巡检过程中发现的问题记录情况,确保巡检工作按计划执行、结果信息正确。
•故障/问题处理:考核每月发生故障次数和解决故障次数;发生故障/问题后是否按合同规定时间响应和解决;故障处理过程中投入人员情况和文档管理情况。
•派工服务:考核派工完成情况,投入工作量等。考核重点在于派工工作完成时间、完成率和用户评价。
•电话服务考核:分为话务部分考察、业务部分考察、总服务商考察。话务部分考察服务次数、服务及时率、问题解答率等;业务部分考察需要对座席员处理的问题进行分类,分析原因,更新知识库;总服务商考察的是总服务台座席员的工作质量。
•文档考核:考核运行维护过程中产生的技术文档。考核内容包括:运行维护管理制度、规范、流程和表单的完整性;过程文档的准确性、详细程度、格式和构成等。
•合同执行情况考核:运维服务提供方是否完全满足了合同条款中明确的服务要求,所提供服务的团队及人员的资质水平、所采用的运行维护服务辅助工具的功能、所引入的第三方服务的能力等,是否与运维合同中的要求相一致。
•用户满意度与特殊事件考核:用户满意度考核是指最终用户对运维服务提供方的工作效率、能力、沟通、培训、解决方式等的评价。特殊事件考核是指在运行维护过程中,运维服务提供方的行为或表现使最终用户在业务进行中或事件解决中感到满意或不满意,据此对该运维服务提供方的考核结果进行调整,以资鼓励或警示。
(3)明确考核执行的组织结构。
绩效考核组织结构由考核管理机构、考核执行机构、被考核对象组成。一般情况下,绩效考核管理机构是业主单位,负责监督、指导考核执行机构的日常绩效考核工作。考核执行机构为用户聘请的第三方服务商,即监理单位,监理单位本着公正、公开、公平的原则,定期(周、月、半年、年度)将考核结果向考核管理机构汇报。被考核对象包括所有参与信息系统运行维护工作的安全、基础设施、应用系统、代码运维服务分包商、总服务商及进入准运行维护期的服务商。被考核对象应配合监理单位,及时提供考核需要的真实信息。
(4)明确考核方法。
绩效考核可以采用日常考核、过程考核和事后考核三种考核方法。
•日常考核:是指各运维服务提供方在日常运行维护工作中的表现,包括人员资质、行为规范、考勤管理等。
•过程考核:重点是派工考核和故障/问题处理考核,对于一级以上的系统故障/问题处理过程进行全程跟踪考核,包括响应时间是否及时、处理方式是否得当等。
•事后考核:是指单项运行维护工作结束后,考核执行机构对该运行维护工作总体完成情况进行统计,并根据考核指标进行绩效考核。在必要的情况下考核执行机构可对工作服务对象进行回访,采集其对运维过程和成果的评价信息。回访是考核执行机构的独立行为,不受任何外界因素的影响,其结果将以参考信息的形式汇报给用户。
(5)绩效考核指标。
绩效考核指标是考核的基本点,所有绩效考核指标均应量化,建议根据历年统计信息制定量化的参考值。考核指标如有特殊情况应予以说明,例如,绩效考核指标中有部分指标仅针对特定运行维护服务商,巡检考核仅针对基础环境运行维护服务商和安全运行维护服务商。绩效考核的指标和权重可以根据不同运行维护时期用户需求的变化而调整。被调整的指标或权重应在经过讨论并公布后应用。
(6)考核结果的利用。
监理机构定期向业主单位提供被考核对象的绩效考核结果。对业主单位来说,绩效考核结果提供了运维服务提供方服务质量、服务水平和合同履行情况的客观信息,为评价运维服务提供方工作提供了可靠依据,为下一年运维合同签订提供了有效参考,为运维工作量统计及运维服务费支付提供了有力支撑。对于考核结果不合格的运维服务提供方,业主单位可以依据签订的运维合同进行处罚甚至索赔;对于考核结果优秀的运维服务提供方,业主单位可以给予相应的奖励。
2.效能管理活动及内容
效能管理活动及内容具体如下:
(1)协助业主单位建立运维绩效考核管理体系,主要包括:
•绩效考核原则;
•考核范围;
•绩效考核指标;
•绩效考核内容;
•绩效考核流程;
•绩效考核制度;
•绩效考核办法;
•绩效考核组织结构,包括考核管理部门、考核执行部门、考核对象等;
•绩效考核指标项,包括考核周期、考核指标项内容和量化依据、考核指标项权重、奖惩措施等。
(2)协助业主单位做好运维项目绩效考核管理体系的执行工作,重点关注:
•收集绩效考核指标项量化数值、数据或记录等,进行绩效考核打分;
•提交绩效考核报告和监理意见。
(3)结合阶段绩效考核结果和实际运维情况,协助业主单位优化和完善运维绩效考核管理体系。
25.3.10沟通协调
运行维护实施阶段涉及的主要沟通协调工作如下:
(1)建立运行维护管理组织架构、工作协调组织结构;
(2)建立三方的信息传递机制,包括信息沟通、汇报、审批等流程;
(3)建立三方的协调机制,定期召开运行维护工作监理例会,并形成会议纪要;
(4)协调业主单位与运维服务提供方之间的关系,并通过运行维护管理制度约束各方;
(5)如需要,召开运行维护工作监理专题会议,并形成会议纪要。
25.3.11主要输出文档
运行维护实施阶段的主要输出文档如下:
(1)监理实施细则;
(2)监理会议纪要;
(3)监理专题会议纪要;
(4)监理周报、监理月报;
(5)文档评审意见;
(6)针对各种事项提出的监理意见;
(7)监理联系单和监理通知单;
(8)绩效考核记录和报告等。
25.4评估阶段监理工作
在信息系统运行维护过程中,为了持续提高服务质量,保证系统平稳运行,加强对日常运行维护工作的管理,进而优化系统运行维护成本与服务效果,需要进行运行维护绩效评估,包括运行维护对象效果评估和运行维护服务评估,并根据绩效评估结果开展运行维护服务验收工作。评估阶段的监理目标如图25-4所示。
在运行维护评估阶段,监理机构应协助业主单位做好相关评估和验收工作。
25.4.1监理活动
运行维护评估阶段的主要监理活动如下:
(1)协助业主单位对运行维护对象的实际运行效果进行评估,主要包括对基础设施、软件、数据和信息安全等各类运行维护对象的性能状况进行调查和评价;
(2)对运维服务提供方提交的服务验收申请、计划及其方案等进行审核;
(3)协助业主单位制定绩效考核办法、方案和指标体系;
(4)根据绩效考核办法和方案进行绩效考核,对运行维护服务进行评估,形成运行维护服务评估报告;
(5)协助业主单位完成服务验收。
25.4.2监理内容
1.运行维护服务评估报告的监理
监理机构在进行运行维护服务评估报告的监理时要重点关注以下几点:
(1)根据绩效考核办法和方案对运维服务提供方进行综合评估,评估内容包括:日常管理、总服务台、派工服务、巡检服务、故障/问题处理、运行维护文档、合同执行情况、用户满意度、应急处置等方面;
(2)根据考核结果完成书面的评估报告,并提出改进意见。
2.服务验收方案的监理
监理机构在进行服务验收方案的监理时要重点关注以下几点:
(1)明确验收目标、各方责任、验收内容、验收标准、验收方式和验收结果等内容;
(2)确认验收标准是否与运行维护合同一致;
(3)审查运行维护服务成果、文档等是否与合同、SLA、运行维护方案一致;
(4)确认验收方式、结论是否可行。
3.服务验收过程的监理
监理机构在进行服务验收过程的监理时要重点关注以下几点:
(1)审查服务商提交的验收申请;
(2)检查服务商提交的验收文档,并输出监理意见;
(3)协助业主单位组织验收会议,并签订验收报告;
(4)协助业主单位做好服务移交工作;
(5)根据运行维护合同,签发运行维护费用支付意见。
25.4.3主要输出文档
运行维护评估阶段的主要输出文档如下:
(1)监理意见;
(2)运行维护服务验收记录;
(3)监理会议纪要;
(4)运行维护服务评估报告;
(5)运行维护费用支付意见;
(6)监理工作总结报告、监理费申请等。
25.5运行维护服务的监理要点
本节对基础设施、软件、数据、信息安全四类运行维护服务,分别从例行操作、响应支持、优化改善、调研评估四个方面对其监理要点进行分析和阐述。
25.5.1基础设施类运行维护服务的监理要点
基础设施类运行维护服务的监理要点具体如下:
(1)例行操作监理要点。主要包括:
①监督检查例行操作的计划性和完整性;
②对设施监控的不间断性、问题汇报和分析的及时性进行监督;
③监督检查定期保养、配置备份等常规操作的计划性、准确性、记录的完整性及可追溯性;
④宜要求运维服务提供方利用运行维护系统和工具,对基础设施开展运行维护活动,系统和工具应包括资源管理、监测与分析、阈值预警、监控管理和过程管理等功能。
(2)响应支持监理要点。主要包括:
①检查运维服务提供方的响应支持服务与运行维护SLA的符合性;
②依据运行维护SLA、维护手册或维护规程,监督、检查运维服务提供方的响应支持服务,包括处理的及时性、处理过程的严谨性及准确性、文档提交的准确性等;
③宜要求运维服务提供方建立故障诊断知识库,应包括常见故障的原因与现象、故障排除步骤、故障诊断方法、故障诊断与修复原则等;
④对服务商响应支持服务中存在的问题及时提出纠正和改进建议。
(3)优化改善监理要点。主要包括:
①对优化改善方案进行审核,方案应明确优化改善的目标、内容、步骤、人员、预算、进度、衡量指标、风险预案和回退方案等内容;
②宜对优化改善建议报告进行审核,报告应区分不同的优化改善类型(适应性改进、纠正性改进、改善性改进、预防性改进),评估报告内容的合理性并向用户提出合理建议。
(4)调研评估监理要点。主要包括:
①对评估计划进行审核,应明确调研评估的目标、内容、步骤、人员、进度、交付成果和沟通计划等内容;
②持续跟踪调研评估的执行和评估结果的改进情况;
③对调研报告进行审核,应包括现状评估、访谈调研、需求分析和评估建议等内容。
25.5.2软件类运行维护服务的监理要点
软件类运行维护服务的监理要点具体如下:
(1)例行操作监理要点。主要包括:
①督促运维服务提供方根据软件运行维护对象的特点,确定例行操作的周期、范围、人员、内容、目标,并编制运行维护指导手册;
②对软件例行巡检、缺陷管理、变更管理、补丁程序管理、发布管理、版本管理、文档管理等运行维护活动实施监督管理;
③对系统恢复过程进行跟踪和监督,重点审核系统恢复申请信息、数据备份情况、故障原因分析结果、恢复方案等文档;
④依据维护计划、维护手册或维护规程,监督运维服务提供方的例行维护活动,审核运维服务提供方提供的例行维护实施方案、维护记录、维护报告等文档;
⑤跟踪系统变更过程,监督变更过程的规范性;
⑥督促运维服务提供方在运行维护过程中记录运行状态、异常处理记录,提供趋势分析及可能的风险消除建议,以及例行操作交付过程中的其他报告;
⑦督促运维服务提供方对软件缺陷实施统一管理,形成缺陷管理表,并定期对缺陷状态进行确认;
⑧可要求运维服务提供方利用运行维护管理平台自动实现对软件各类资源的数据采集、状态监控和性能分析、更新软件分发。
(2)响应支持监理要点。主要包括:
①检查运维服务提供方的响应支持服务与运行维护SLA的符合性;
②依据运行维护SLA、维护手册或维护规程,监督、检查运维服务提供方的响应支持服务,包括处理的及时性、处理过程的严谨性及准确性、文档提交的准确性等;
③对运维服务提供方响应支持服务中存在的问题及时提出纠正和改进建议;
④宜要求运维服务提供方建立故障诊断知识库,应包括常见故障的原因与现象、故障排除步骤、故障诊断方法、故障诊断与修复原则等。
(3)优化改善监理要点。主要包括:
①跟踪系统缺陷诊断分析和修复过程,督促运维服务提供方及时进行缺陷修复;
②跟踪软件优化过程,评估优化效果;
③对软件优化方案的合理性、可行性进行审核;
④监督运维服务提供方将例行操作、响应支持服务过程中发现的问题和解决过程进行分类汇总,形成运行维护常见问题集与知识库。
(4)调研评估监理要点。同基础设施类调研评估监理要点类似,实践中可参考应用。
25.5.3数据类运行维护服务的监理要点
数据类运行维护服务的监理要点具体如下:
(1)例行操作监理要点。主要包括:
①督促运维服务提供方建立数据运行维护各项管理制度;
②督促运维服务提供方根据监控记录、运行条件和状况进行预防性检查及趋势分析;
③监督运维服务提供方的数据类日常运行维护操作行为,包括数据采集、存储、变更、迁移、转移、备份、分发和销毁等;
④针对运维服务提供方提交的数据备份计划,审核其在备份方式、备份技术及安全方面的合理性,并监督其实施过程;
⑤要求运维服务提供方采用工具化管理模块或第三方的各类数据监测工具,对数据的存储与传输状态进行记录和监控。
(2)响应支持监理要点。主要包括:
①要求运维服务提供方基于用户对应用系统可持续性运行的基本需求和目标,配置各类数据资源保障措施;
②依据响应支持服务的服务计划和指导手册,监督运维服务提供方在数据变更、数据恢复、故障排查、疑难解答等方面的响应支持服务,审核确认各类响应支持服务的工作记录;
③督促运维服务提供方对数据问题实施统一管理,形成问题管理表,并定期对问题状态进行确认;
④对运维服务提供方响应支持服务中存在的问题及时提出纠正和改进建议;
⑤跟踪并确认运维服务提供方响应支持服务结果和改进措施的执行结果。
(3)优化改善监理要点。主要包括:
①应协调业主单位和运维服务提供方确定优化改善服务的原则与方向,对数据资源优化方案的合理性、可行性进行评审;
②跟踪数据资源优化活动,督促运维服务提供方及时对数据资源问题进行修复;
③督促运维服务提供方将例行操作服务、响应支持服务过程中发现的问题和解决过程进行分类汇总,形成运行维护常见问题集与知识库,提高服务能力和服务效率;
④跟踪数据资源优化结果,评估优化效果。
(4)调研评估监理要点。同基础设施类调研评估监理要点类似,实践中可参考应用。
25.5.4信息安全类运行维护服务的监理要点
信息安全类运行维护服务的监理要点具体如下:
(1)例行操作监理要点。主要包括:
①督促运维服务提供方按照基础设施、应用系统和数据等对象安全属性的不同,采用不同的运行维护方法,设计详细的安全运行维护方案,并对方案进行审核;
②依据安全运行维护相关管理制度和系统安全定级情况,督促服务商对基础设施、应用系统和数据定期开展安全巡检、安全加固、脆弱性检查、渗透性测试、安全风险评估等服务,以评估其是否能符合业主单位的安全要求。
(2)响应支持监理要点。主要包括:
①督促运维服务提供方提交安全事件应急响应支持方案,并对方案进行审核;
②对影响核心应用系统和数据安全的事件进行全程跟踪检查,审核事件处理过程的合规性、技术处理手段的正确性,并记录处理过程;
③督促运维服务提供方及时纠正响应支持过程中的问题,如安全功能、安全性能等,监理单位对问题进行审核;
④督促运维服务提供方在安全事件处理后提交分析报告,对报告中的风险判定、分析、解决方案、预防或整改措施等内容进行审核。
(3)优化改善监理要点。主要包括:
①依据安全运行维护相关管理制度和系统安全定级情况,督促运维服务提供方对安全运行维护方案进行调整和适应性改进,包括但不限于安全巡检、安全加固、脆弱性检查、渗透性测试、安全风险评估、应急保障等方案和措施;
②建议运维服务提供方在安全运行维护过程中,优化完善安全运行维护方案,并对优化完善后的方案进行评审;
③可根据对安全运行维护记录、趋势的分析,结合安全运行的需求,发现安全运行过程的脆弱点,督促服务商有针对性地进行改进性作业和预防性改进。
(4)调研评估监理要点。
同基础设施类调研评估监理要点类似,实践中可参考应用
307
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
