IT運維管理制度完整篇

IT運維管理制度1IT運維管理制度 作者： 日期：第一章運維管理服務(wù)保障制度為完成運維任務(wù)必須建立相應(yīng)的技術(shù)支持管理制度，使維護工作做到有章可循，有據(jù)可查。同時對制定的各個制度的執(zhí)行情況進行質(zhì)量考核，對運維團隊的工作績效進行評估，促進制度的更好落實，確保高質(zhì)量地完成各項維護支持任務(wù)。機房運維管理制度數(shù)據(jù)中心環(huán)境安全管理數(shù)據(jù)中心進出安全管理的重點在于對不同的訪問區(qū)域制定不同的安全管控和出入原則。將數(shù)據(jù)中心劃分3類不同類別的管控區(qū)域和安全區(qū)域。公共區(qū)域、辦公區(qū)域、機房區(qū)域。(1)公共區(qū)域:這些區(qū)域通常用于數(shù)據(jù)中心生活與展示的配套區(qū)域。該區(qū)域經(jīng)授權(quán)并在遵守相關(guān)制度的前提下來訪者可自由進出。(2)辦公區(qū)域：數(shù)據(jù)中心日常工作區(qū)域。這類區(qū)域的進入通常為數(shù)據(jù)中心內(nèi)部

員工及運維人員。需經(jīng)授權(quán)訪問。(3)機房區(qū)域：機房區(qū)域是數(shù)據(jù)中心的核心區(qū)域。該區(qū)域應(yīng)有嚴格的進出管控，外來人員進出需提前提出申請，來訪者進出機房區(qū)域需經(jīng)授權(quán)，進出需登記。除了數(shù)據(jù)中心人員進出管理外，還應(yīng)考慮設(shè)備和物品進出的流程。設(shè)備和物品的進出也應(yīng)得到正式的審批，特別是對于機房區(qū)域的設(shè)備應(yīng)重點管控。應(yīng)通過機房人員/設(shè)備登記表詳細記錄。設(shè)備出門需開具出門憑據(jù)等。機房安全管理制度(1)機房應(yīng)防塵、防靜電，保持清潔、整齊，設(shè)備無塵、排列正規(guī)、工具就位、資料齊全。(2)機房門內(nèi)外、通道、設(shè)備前后和窗口附近，均不得堆放物品和雜物，做第3頁/到無垃圾、無污水，以免妨礙通行和工作。(3)嚴格遵照《消防管理制度》規(guī)定，機房內(nèi)嚴禁煙火，嚴禁存放和使用易燃易爆物品，嚴禁使用大功率電器、嚴禁從事危險性高的工作。

如需施工，必須取得領(lǐng)導(dǎo)、消防、安保等相關(guān)部門的許可方可施工。(4)外來人員進入機房應(yīng)嚴格遵照機房進出管理制度規(guī)定，填寫人員進出機房登記表，在相關(guān)部門及領(lǐng)導(dǎo)核準后，在值班人員陪同下進出，機房進出應(yīng)換穿拖鞋或鞋套。(5)進入機房人員服裝必須整潔，保持機房設(shè)備和環(huán)境清潔。外來人員不得隨意進行拍照，嚴禁將水及食物帶入機房。(6)進入機房人員只能在授權(quán)區(qū)域與其工作內(nèi)容相關(guān)的設(shè)備上工作，不得隨意進入和觸動未經(jīng)授權(quán)以外的區(qū)域及設(shè)備。(7)任何設(shè)備出入機房，經(jīng)辦人必須填寫設(shè)備出入機房登記表，經(jīng)相關(guān)部門及領(lǐng)導(dǎo)批準后方可進入或搬出。服務(wù)人員安全及保密管理制度1、維護工程師必須熟悉并嚴格執(zhí)行安全保密準則。2、外部人員因公需進入機房，應(yīng)經(jīng)上級批準并指定專人帶領(lǐng)方可入內(nèi)。3、有關(guān)通信設(shè)備、網(wǎng)絡(luò)組織電路開放等資料不得任意抄錄、

復(fù)制，防止失密。需要監(jiān)聽電路時，應(yīng)按保密規(guī)則進行。4、機房內(nèi)消防器材應(yīng)定期檢查，每個維護人員應(yīng)熟悉一般消防和安全操作方法。5、機房內(nèi)嚴禁吸煙和存放、使用易燃、易爆物品。6、搞好安全保密教育，建立定期檢查制度，加強節(jié)假日的安全保密工作。7、未經(jīng)有關(guān)領(lǐng)導(dǎo)批準，非機房管理人員嚴禁入機房。8、機房內(nèi)嚴禁煙火，不準存放易燃易爆物品。9、注重電氣安全，嚴禁違章使用電器設(shè)備，不準超負荷使用電器。10、按規(guī)定配備消防器材，并定期更新。第4頁/11、定期檢查接地設(shè)施、配電設(shè)備、避雷裝置，防止雷擊、觸電事故發(fā)生。12、發(fā)現(xiàn)事故苗頭，應(yīng)盡快采取有效措施，并及時報告領(lǐng)導(dǎo)。13、進行維修時，嚴格按照程序進行，杜絕人為事故發(fā)生。14、嚴禁違規(guī)接入大功率無線發(fā)射設(shè)備。網(wǎng)絡(luò)安全管理制度

.運行維護部門必須制定相應(yīng)的體系確保網(wǎng)絡(luò)安全，維護人員必須確立網(wǎng)絡(luò)安全第一的意識。.在網(wǎng)絡(luò)建設(shè)期必須考慮工程和現(xiàn)網(wǎng)的關(guān)系，加強施工安全管理和網(wǎng)絡(luò)割接準備工作，確?，F(xiàn)網(wǎng)的安全，嚴禁人為事故發(fā)生。.網(wǎng)絡(luò)運行維護期應(yīng)確保維護工作、設(shè)備運行、系統(tǒng)數(shù)據(jù)的安全。.客戶數(shù)據(jù)的制作以及對設(shè)備的指令操作要嚴格按照客戶數(shù)據(jù)制作規(guī)范和設(shè)備技術(shù)手冊的要求根據(jù)工單執(zhí)行；對設(shè)備的所有操作要有詳細記錄，操作時要一人操作一人核對，準確無誤方可執(zhí)行，操作人員要在工單上簽字確認。.網(wǎng)絡(luò)運行維護期的安全可以通過三種控制方法保證，操作控制包括對操作流程、客戶分級、權(quán)限分級、操作記錄、遠程管理、密碼管理、防火墻技術(shù)、數(shù)據(jù)備份的安全保證；運行控制包括對告警處理、測試、性能分析、應(yīng)急預(yù)案的

安全保證；操作設(shè)備控制包括防病毒、殺毒軟件、非生產(chǎn)應(yīng)用軟件的安全控制。.未經(jīng)許可，嚴禁設(shè)備廠商通過遠程控制技術(shù)對設(shè)備進行修改維護，運行維護部門應(yīng)有可靠的防范措施。.為保證遠程技術(shù)支持的可靠性，需定期對遠程維護設(shè)備、端口進行檢查，在確保安全保密的同時確保其可用性。.磁盤、磁帶等必須進行檢查確認無病毒后，方可使用。.為保證網(wǎng)絡(luò)安全，遠程維護設(shè)備在一般情況下要處于關(guān)閉狀態(tài)，只有在需要的時候才開通使用。頁/IT運維管理制度1第2頁1.1.5數(shù)據(jù)中心值班制度(1)值班人員應(yīng)嚴守崗位，按照規(guī)定時間上下班，無法按時

到崗應(yīng)提前向上級領(lǐng)導(dǎo)匯報，由上級領(lǐng)導(dǎo)負責調(diào)換班。(2)值班時間要盡職盡責，禁止從事與值班無關(guān)的事情。(3)參照《機房日常監(jiān)控及巡檢內(nèi)容》按時巡檢機房環(huán)境設(shè)施，密切注意電源、溫度、濕度等機房環(huán)境情況；隨時監(jiān)控IT系統(tǒng)、網(wǎng)絡(luò)工作狀態(tài)，詳細記錄異常情況。(4)發(fā)生任何異常情況時，應(yīng)嚴格執(zhí)行故障應(yīng)急處理流程及時處理，并向上級領(lǐng)導(dǎo)及相關(guān)部門及時報告。做好一線技術(shù)支持工作。(5)對業(yè)務(wù)部門提出的服務(wù)請求，要快速、準確、耐心地做出解答。并做好事件的記錄、跟蹤及回饋的服務(wù)臺支持工作。(6)隨時監(jiān)督機房環(huán)境衛(wèi)生和無關(guān)的物品帶入，妥善管理設(shè)備工具。(7)遵照機房安全管理制度規(guī)定，制止任何違規(guī)進入機房人員及其他不當行為。(8)監(jiān)督維保廠家對機器設(shè)備進行定期巡檢和維護，對巡檢單據(jù)簽字確認，

留檔備案。(9)遵照《人員/設(shè)備進出機房登記表》做好值班期間的人員、設(shè)備進出記錄。1.2網(wǎng)絡(luò)安全管理制度防火墻安全管理職責說明.防火墻的邏輯管理，涉及用戶、防火墻管理員、IT經(jīng)理三個角色。.用戶包括公司業(yè)務(wù)部門工作人員、公司業(yè)務(wù)合作伙伴、公司外部系統(tǒng)服務(wù)商以及來訪客戶。.防火墻管理員負責受理解決用戶提出的防火墻相關(guān)需求，評估防火墻的配置措施和變更風險，并將分析結(jié)果報告給IT經(jīng)理。T經(jīng)理負責審批防火墻相關(guān)的配置變更措施，確認防火墻管理員對此配置第6頁/變更的評估結(jié)果符合公司安全策略和規(guī)范要求。申請防火墻權(quán)限流程及創(chuàng)建策略公司業(yè)務(wù)部門工作人員因工作需要申請開通防火墻端口通

信權(quán)限時，需要填寫“網(wǎng)絡(luò)服務(wù)訪問申請/變更表”。經(jīng)用戶所在業(yè)務(wù)部門經(jīng)理審批通過后，由防火墻管理員受理需求。防火墻管理員按照最小授權(quán)原則來評估此權(quán)限是否與業(yè)務(wù)處理需求相符，寫出配置措施和風險分析，并將分析結(jié)果提交IT經(jīng)理審批。經(jīng)IT經(jīng)理審批通過后，防火墻管理員為員工在防火墻上實施配置變更創(chuàng)建相應(yīng)權(quán)限策略。如果用戶需要臨時在防火墻上開通端口訪問權(quán)限，則應(yīng)在“網(wǎng)絡(luò)服務(wù)訪問申請/變更表”備注中注明使用時限。其它步驟按照創(chuàng)建防火墻權(quán)限策略流程執(zhí)行。超過使用時限后，由防火墻管理員通知用戶并得到用戶確認后，撤銷此權(quán)限策略。防火墻管理員應(yīng)明確告知用戶應(yīng)對由其所具有的防火墻端口權(quán)限對生產(chǎn)系統(tǒng)產(chǎn)生的影響負責。用戶應(yīng)保證開通的端口權(quán)限只用于生產(chǎn)業(yè)務(wù)數(shù)據(jù)傳輸，不可供生產(chǎn)業(yè)務(wù)以外的應(yīng)用服務(wù)使用。公司業(yè)務(wù)合作伙伴與公司進行通信需要在防火墻上開通訪問權(quán)限時，應(yīng)有公司相應(yīng)業(yè)務(wù)部門工作人員來提出開通防火墻端口權(quán)限請求，并填寫“網(wǎng)絡(luò)服務(wù)訪問申請表”。其余審批步驟與創(chuàng)建公司內(nèi)部員工權(quán)限策略相同。如因公司系統(tǒng)服務(wù)商與公司進行通信，需要在防火墻上開通端口權(quán)限時，應(yīng)由防火墻管理員自行填寫“網(wǎng)絡(luò)服務(wù)訪問申請/變更表”，經(jīng)IT經(jīng)理審批通過后方可創(chuàng)建相應(yīng)權(quán)限策略。在系統(tǒng)服務(wù)商服務(wù)結(jié)束后，必須及時撤銷防火墻相應(yīng)策略。防火墻管理員應(yīng)根據(jù)最小授權(quán)原則，為來訪客戶IP地址統(tǒng)一在防火墻上配置相應(yīng)權(quán)限策略，并禁止來訪客戶IP地址訪問

公司內(nèi)部網(wǎng)絡(luò)。變更防火墻權(quán)限流程及變更策略由于業(yè)務(wù)或技術(shù)變動需要變更公司與外部站點之間的通信方式時，涉及到防火墻相關(guān)權(quán)限策略的變動，應(yīng)該由業(yè)務(wù)部門員工向防火墻管理員提交“網(wǎng)絡(luò)服務(wù)訪問申請/變更表”。經(jīng)業(yè)務(wù)部門經(jīng)理審批通過后防火墻管理員受理需求，分析變第7頁/更實施過程和相關(guān)風險，提交IT經(jīng)理審批。經(jīng)IT經(jīng)理審批通過后，防火墻管理員在防火墻上實施配置變更，撤銷原有權(quán)限策略并創(chuàng)建新權(quán)限策略。撤銷防火墻權(quán)限策略公司業(yè)務(wù)部門工作人員進行部門調(diào)動、離職時，需要撤銷其原IP地址在防火墻上配置的相應(yīng)的權(quán)限策略。員工所在業(yè)務(wù)部門通知IT經(jīng)理，由IT經(jīng)理指定防火墻管理員在防火墻上實施配置變更，撤銷員工IP地址所具有的權(quán)限。公司系統(tǒng)服務(wù)商的服務(wù)到期后，相關(guān)部門應(yīng)通知IT經(jīng)理，由IT經(jīng)理指定防火墻管理員在防火墻上實施配置變更撤銷系統(tǒng)服務(wù)商IP地址所具有的權(quán)限。內(nèi)審和復(fù)核根據(jù)職責分離原則，防火墻管理員備份崗位工作人員每6個

月應(yīng)負責檢查一次防火墻的設(shè)置是否符合防火墻配置規(guī)范，并填寫檢查記錄。IT經(jīng)理每6個月負責檢查一次“防火墻的配置規(guī)范”是否符合公司安全策略要求，并填寫檢查記錄。1.3賬號和權(quán)限管理制度網(wǎng)絡(luò)設(shè)備賬號權(quán)限審批制度賬號權(quán)限管理職責說明賬號權(quán)限的管理，包括用戶賬號的添加、修改和注銷操作。涉及用戶、業(yè)務(wù)部門接口人、網(wǎng)絡(luò)管理員和IT經(jīng)理四個角色。用戶包括公司業(yè)務(wù)部門工作人員、公司業(yè)務(wù)合作伙伴、公司外部系統(tǒng)服務(wù)商以及來訪客戶。業(yè)務(wù)部門接口人負責本公司與業(yè)務(wù)合作伙伴之間的業(yè)務(wù)協(xié)調(diào)工作。網(wǎng)絡(luò)管理員負責受理解決用戶提出的賬號權(quán)限相關(guān)需求，按照最小授權(quán)原則，評估賬號權(quán)限是否與業(yè)務(wù)需求相符，是否會對生產(chǎn)業(yè)務(wù)產(chǎn)生潛在風險。并將評估結(jié)果報告給IT經(jīng)理。IT經(jīng)理負責審批用戶賬號、權(quán)限相關(guān)配置變更是否滿足公司相應(yīng)的安全策第8頁/略，對網(wǎng)絡(luò)管理員對配置變更的評估結(jié)果進行確認。賬號申請流程及創(chuàng)建規(guī)則

.公司業(yè)務(wù)部門工作人員因工作需要新建賬號時，需填寫“系統(tǒng)賬號申請表”。經(jīng)用戶所在業(yè)務(wù)部門經(jīng)理審批通過后，由網(wǎng)絡(luò)管理員受理需求。網(wǎng)絡(luò)管理員按照最小授權(quán)原則評估用戶賬號權(quán)限是否與業(yè)務(wù)處理需求相符，并將分析結(jié)果提交IT經(jīng)理審批。經(jīng)IT經(jīng)理審批通過后，網(wǎng)絡(luò)管理員為員工創(chuàng)建賬號、授予權(quán)限并通知員工。如果，用戶需要建立臨時帳號，應(yīng)在“系統(tǒng)賬號申請表”備注中寫明使用時限。其它步驟按照新創(chuàng)建賬號的管理制度執(zhí)行。超過使用時限后，由網(wǎng)絡(luò)管理員通知用戶后，將此賬號注銷。網(wǎng)絡(luò)管理員應(yīng)明確告知用戶對其所分配的賬號的行為負責。用戶要妥善使用和保管好自己的賬號和密碼，不得將帳號提供給他人使用。.公司業(yè)務(wù)合作伙伴需要創(chuàng)建賬號時，可以向業(yè)務(wù)部門接口人提出請求。由業(yè)務(wù)部門接口人向網(wǎng)絡(luò)管理員提出創(chuàng)建賬號請求，并填寫

“系統(tǒng)賬號申請表”。其余審批步驟與新建公司內(nèi)部員工賬號步驟相同。.如因工作需要為公司系統(tǒng)服務(wù)商創(chuàng)建賬號時，由網(wǎng)絡(luò)管理員根據(jù)最小授權(quán)原則自行填寫“系統(tǒng)賬號申請表”，經(jīng)IT經(jīng)理審批通過方可后創(chuàng)建賬號。待系統(tǒng)服務(wù)商服務(wù)到期結(jié)束后，必須及時給予注銷。.網(wǎng)絡(luò)管理員為來訪客戶統(tǒng)一分配IP地址網(wǎng)段，并實施身份驗證。只允許客戶具有普通訪問外網(wǎng)權(quán)限，并禁止客戶賬號訪問公司內(nèi)部網(wǎng)絡(luò)系統(tǒng)。一旦客戶離開則立即撤銷其賬號。.網(wǎng)絡(luò)管理員對用戶賬號授權(quán)時，應(yīng)檢查授予的訪問等級是否適應(yīng)業(yè)務(wù)訪問控制策略，是否符合網(wǎng)絡(luò)的信息安全策略。此外，網(wǎng)絡(luò)管理員應(yīng)對照網(wǎng)絡(luò)設(shè)備相關(guān)定義，檢查對賬號的授權(quán)中是否有高權(quán)限。如有高權(quán)限，必須將此用戶賬號的操作納入安全審計日志中。.按照責任分離的原則，網(wǎng)絡(luò)管理員為經(jīng)過批準用戶設(shè)立賬

號，一個賬號對應(yīng)唯一的用戶。網(wǎng)絡(luò)管理員在建立用戶賬號時，要在賬號說明中詳細標注用戶名稱、部門和賬號所關(guān)聯(lián)的業(yè)務(wù)等必要信息。.對于默認系統(tǒng)賬號、商業(yè)軟件自建賬號，在正式投產(chǎn)前應(yīng)刪除或禁用此類9頁/賬號。網(wǎng)絡(luò)管理員應(yīng)嚴加控制。如根據(jù)具體運行環(huán)境情況，確實需要使用些賬號，應(yīng)在投入生產(chǎn)前更改缺省賬號密碼。賬號權(quán)限變更當遇到用戶崗位變動或者業(yè)務(wù)變更，需要修改原有賬號訪問權(quán)限時。網(wǎng)絡(luò)管理員應(yīng)要求用戶重新填寫“系統(tǒng)賬號申請表”，說明賬號權(quán)限變更理由，提出賬號權(quán)限變更請求。經(jīng)用戶所在部門經(jīng)理審批通過后由網(wǎng)絡(luò)管理員受理。網(wǎng)絡(luò)管理員按照最小授權(quán)原則評估用戶賬號權(quán)限是否與業(yè)務(wù)處理需求相符，并將分析結(jié)果提交IT經(jīng)理審批。經(jīng)IT經(jīng)理審批通過后，網(wǎng)絡(luò)管理員修改用戶賬號權(quán)限并通知員工。賬號注銷.公司內(nèi)部員工調(diào)動、離職或終止使用網(wǎng)絡(luò)設(shè)備時，需要撤銷其使用的賬

號。用戶所在部門應(yīng)按流程，通知IT經(jīng)理，由IT經(jīng)理指定網(wǎng)絡(luò)管理員撤銷員工所使用的賬號。網(wǎng)絡(luò)管理員在確認沒有和此賬號相關(guān)聯(lián)的系統(tǒng)配置和數(shù)據(jù)（如使用此賬號加密的數(shù)據(jù)）后，撤銷用戶賬號的訪問權(quán)限并注銷用戶賬號。如果存在賬號直接關(guān)聯(lián)的系統(tǒng)配置或數(shù)據(jù)時，應(yīng)首先解除此關(guān)聯(lián)，再撤銷用戶賬號的訪問權(quán)限并注銷用戶賬號。.公