18配置管理程序

浙江安迅電子科技有限公司信息安全和IT服務(wù)管理體系文件配置管理程序AX-0018-2022受控狀態(tài)受控分發(fā)號版本A/0持有人7檢查與考核管理者代表每季度抽檢配置、變更、發(fā)布相關(guān)記錄，并對相關(guān)人員的工作情況進(jìn)行考核，考核情況與當(dāng)事人季度績效工資掛鉤。8記錄《配置管理計(jì)劃》《配置管理數(shù)據(jù)庫》《配置狀況季度報(bào)告》《配置狀況年度報(bào)告》目錄TOC\o"1-5"\h\z\o"CurrentDocument"1合用3\o"CurrentDocument"2目的3\o"CurrentDocument"3 職責(zé)3\o"CurrentDocument"4定義與縮寫4\o"CurrentDocument"5相關(guān)文件4\o"CurrentDocument"6程序46.1配置管理規(guī)劃46.2配置管理數(shù)據(jù)庫(CMDB) 56.3配置的變更、發(fā)布66.4配置狀況和報(bào)告66.5配置驗(yàn)證和審計(jì)76.6績效指標(biāo)8\o"CurrentDocument"7檢查與考核9\o"CurrentDocument"8 記錄9配置管理程序1合用本程序合用于服務(wù)組織所提供服務(wù)的IT服務(wù)項(xiàng)目的配置管理，包括用于構(gòu)建、發(fā)布、驗(yàn)證、安裝、分發(fā)、維護(hù)、恢復(fù)和移除的硬件、軟件和相關(guān)文檔。其中文檔包括：服務(wù)級別協(xié)議(SLA)、規(guī)程、操作手冊、技術(shù)規(guī)范、組織結(jié)構(gòu)圖和許可證等。根據(jù)SLA,文檔可能存放在不同地點(diǎn)，但其版本號、發(fā)布日期、存放地點(diǎn)等信息應(yīng)保存在配置管理數(shù)據(jù)庫中。2目的本程序提供有關(guān)基礎(chǔ)架構(gòu)的配置信息，為其他服務(wù)管理流程提供支持，如：事件管理和問題管理需要利用配置管理進(jìn)行事件和問題的調(diào)查和分析；能力管理和可用性管理需要根據(jù)有關(guān)配置情況的信息分析和評價基礎(chǔ)架構(gòu)的服務(wù)能力和可能達(dá)到的可用性；發(fā)布管理的對象為基于配置庫的生產(chǎn)環(huán)境；3職責(zé)配置流程經(jīng)理負(fù)責(zé)評審和批準(zhǔn)所有情況下的IT配置管理所涉及的相關(guān)活動。在合適時,流程經(jīng)理可以委派此責(zé)任給IT支持人員。配置流程經(jīng)理或者其代表負(fù)責(zé)此流程的符合性。編號角色職責(zé)1配置流程經(jīng)理負(fù)責(zé)所有配置計(jì)劃的制定和分析；負(fù)責(zé)配置庫的準(zhǔn)確性、一致性并保持變更紀(jì)錄；2管理者代表負(fù)責(zé)組織對配置管理報(bào)告的評審；3評審組負(fù)責(zé)評審配置管理的報(bào)告與總結(jié)；4定義與縮寫1、配置管理(CM)指識別和確認(rèn)系統(tǒng)的配置項(xiàng)、記錄和報(bào)告配置項(xiàng)狀態(tài)和變更請求、檢驗(yàn)配置項(xiàng)的正確和完整性等活動構(gòu)成的管理流程。2、配置項(xiàng)(Q)配置管理中最基本的信息單元，用于滿足最終使用功能并被置于配置管理之下的一種軟件或者硬件的集合物。所有軟件、硬件和各種文檔、服務(wù)、服務(wù)器、環(huán)境、設(shè)備、網(wǎng)絡(luò)設(shè)施、臺式電腦、筆記本、應(yīng)用系統(tǒng)、電信服務(wù)等都可以是配置項(xiàng)。3、配置基線(BL)指一個產(chǎn)品或者系統(tǒng)在某一特定時刻的配置狀況，惟獨(dú)通過正式的變更控制過程才可以變更。4、配置庫(CMDB)保存所有配置項(xiàng)的相關(guān)信息，包括配置項(xiàng)之間的相互關(guān)系的空間。5相關(guān)文件《信息安全和IT服務(wù)管理手冊》6程序配置管理規(guī)劃在IT服務(wù)正式實(shí)施和運(yùn)作前，要對配置管理進(jìn)行充分的計(jì)劃和安排。配置管理流程經(jīng)理為技術(shù)服務(wù)部的配置管理員，配置管理員負(fù)責(zé)自己管理的IT服務(wù)項(xiàng)目的《配置管理計(jì)劃》的編寫，并包括以下內(nèi)容：配置管理的目標(biāo)和范圍與特定的服務(wù)支持小組相關(guān)的政策、標(biāo)準(zhǔn)和程序配置管理角色和責(zé)任安排配置項(xiàng)命名規(guī)則實(shí)施配置管理活動的日程安排和程序與第三方（如變更管理、供應(yīng)商等）的接口控制配置管理數(shù)據(jù)庫的要求、存放、配置項(xiàng)運(yùn)行的受控環(huán)境等配置管理的內(nèi)務(wù)工作，例如：許可證控制、配置項(xiàng)的存檔等等計(jì)劃的配置基線、重大發(fā)布、里程碑，以及針對以后每一個期間的工作量計(jì)劃和資源計(jì)劃2配置管理數(shù)據(jù)庫（CMDB）配置管理保障服務(wù)基礎(chǔ)數(shù)據(jù)的完整性，表現(xiàn)為維護(hù)一個CMDB（配置管理數(shù)據(jù)庫）。CMDB里面的內(nèi)容主要包括：文檔信息，包括服務(wù)SLA信息；服務(wù)設(shè)備信息，包括設(shè)備序列號、維保服務(wù)期限等；軟件信息；設(shè)備技術(shù)連接關(guān)系等；1、配置管理數(shù)據(jù)庫建立的主要來源包括：1）資產(chǎn)清單，明確組織的主要資產(chǎn)及其配置；2）配置需求，明確需要進(jìn)行配置管理的對象及要求。2、配置庫的識別、建立、維護(hù)1）配置流程經(jīng)理負(fù)責(zé)識別由各部門提交的軟件產(chǎn)品，規(guī)劃配置庫目錄，討論通過后建立；2）由各部門和配置流程經(jīng)理共同負(fù)責(zé)更新、維護(hù)組織配置庫相關(guān)內(nèi)容；3）配置流程經(jīng)理負(fù)責(zé)對配置庫每月備份，將備份數(shù)據(jù)或者光盤交行政部存檔；3、配置庫權(quán)限管理1）配置流程經(jīng)理負(fù)責(zé)按《配置管理計(jì)劃》分配、管理組織產(chǎn)品庫的權(quán)限；2）配置流程經(jīng)理組織各相關(guān)部門討論、確定組織配置庫的權(quán)限分配并實(shí)施。4、識別并標(biāo)識配置項(xiàng)1）配置流程經(jīng)理負(fù)責(zé)識別各部門提交的軟件工具/產(chǎn)品并對其進(jìn)行標(biāo)識，納入組織軟件庫；2）各部門及其客戶服務(wù)工程師負(fù)責(zé)分別識別本部門或者客戶的配置項(xiàng)，提交配置項(xiàng)清單給配置經(jīng)理，統(tǒng)一標(biāo)識并納入組織配置庫。3）配置項(xiàng)的基本信息應(yīng)包括：a）配置項(xiàng)的描述；b）配置項(xiàng)的類型：P-服務(wù)：服務(wù)或者服務(wù)組件；II設(shè)備：硬件設(shè)備；S-軟件：計(jì)算機(jī)軟件，包括操作系統(tǒng)、防病毒軟件等；D-文檔：電子或者紙質(zhì)文件、存儲的數(shù)據(jù)等；E-人員：提供服務(wù)的人員；c）配置項(xiàng)和其他配置項(xiàng)之間的關(guān)系；d）配置項(xiàng)和服務(wù)組件之間的關(guān)系；e）狀態(tài)；f）版本；g）位置；h）相關(guān)的變更請求；D相關(guān)的問題和已知錯誤。5、配置庫的安全CMDB應(yīng)當(dāng)存放于安全的設(shè)施環(huán)境中，應(yīng)當(dāng)采取必要安全措施防止未授權(quán)的訪問，包括病毒、蠕蟲等威脅的侵害；2）應(yīng)當(dāng)建立合用于CMDB的備份與恢復(fù)策略，并制定相關(guān)災(zāi)難恢復(fù)的應(yīng)急機(jī)制，每半年演練一次；6.3配置的變更、發(fā)布配置項(xiàng)的增加、修改、替換和刪除應(yīng)當(dāng)遵循變更和發(fā)布流程，由相關(guān)人員提交配置變更申請，技術(shù)服務(wù)部負(fù)責(zé)人予以批準(zhǔn)后方可執(zhí)行，并予以正式發(fā)布；配置的變更、發(fā)布尊從相應(yīng)的《變更管理程序》和《發(fā)布管理程序》。4配置狀況和報(bào)告1、配置狀況和報(bào)告的基本內(nèi)容配置管理按照配置管理計(jì)劃來開展配置管理工作，確保當(dāng)前配置記錄的正確和更新，以反應(yīng)配置項(xiàng)在狀態(tài)、地點(diǎn)和版本方面的變化信息可以事實(shí)追溯，并當(dāng)在對既定配置項(xiàng)進(jìn)行策劃、制定決策和管理變化是可用。配置項(xiàng)的狀態(tài)記錄包含了其生命周期內(nèi)完整的歷史、實(shí)時現(xiàn)狀信息。通過狀態(tài)記錄，配置管理員能夠追溯配置項(xiàng)的變化，如：指令、接收、接收測試、真實(shí)環(huán)境、撤銷和銷毀。需要時，用戶、顧客、供方和合作火伴通過向該項(xiàng)目的配置管理員提出配置信息的訪問請求，配置管理員按照其訪問權(quán)限和需求提供相應(yīng)配置項(xiàng)信息。所有相關(guān)方都可以向配置管理員請求配置管理報(bào)告，配置管理報(bào)告涵蓋了該項(xiàng)目的配置項(xiàng)的標(biāo)識和狀態(tài)，以及版本和相關(guān)文件。包括但不限于：1）配置項(xiàng)名稱2）配置項(xiàng)標(biāo)識3）配置項(xiàng)物理位置4）配置項(xiàng)版本5）配置項(xiàng)構(gòu)成2、配置狀況和報(bào)告的基本要求配置經(jīng)理負(fù)責(zé)每季提交配置管理狀態(tài)報(bào)告給高層和相關(guān)部門經(jīng)理，報(bào)告配置項(xiàng)狀況。配置經(jīng)理必須每季檢查CMDB中相關(guān)項(xiàng)目的配置項(xiàng)信息，確認(rèn)CMDB中的數(shù)據(jù)處于更新狀態(tài)，并且沒有錯誤。配置經(jīng)理應(yīng)當(dāng)每季對CMDB中相關(guān)項(xiàng)目的配置項(xiàng)信息進(jìn)行分析，并提交分析報(bào)告，初始分析報(bào)告中應(yīng)當(dāng)包括所有IT基礎(chǔ)架構(gòu)相關(guān)軟硬件設(shè)備的用途、型號、版本信息、授權(quán)信息等內(nèi)容，還應(yīng)該包含需求參數(shù)、設(shè)計(jì)、測試報(bào)告和發(fā)布文檔等信息，建立配置基線（包括適應(yīng)于相關(guān)環(huán)境的標(biāo)準(zhǔn)軟硬件配置、配置項(xiàng)之間的關(guān)系與依賴情況等），之后的每季報(bào)告重點(diǎn)在于描述相關(guān)軟硬件設(shè)備的工作情況，預(yù)測這些設(shè)備與需求之間的匹配趨勢，確定是否需要啟動變更與發(fā)布流程；6.5配置驗(yàn)證和審計(jì)1、配置驗(yàn)證與審計(jì)的內(nèi)容與要求配置經(jīng)理承擔(dān)配置驗(yàn)證和審計(jì)的職責(zé)，在IT服務(wù)項(xiàng)目管理中安排工作項(xiàng)對配置管理工作進(jìn)行檢查和審計(jì)，確保配置工作的落實(shí)。驗(yàn)審的重點(diǎn)包括：④抽查的硬件配置項(xiàng)與真實(shí)記錄對應(yīng)的實(shí)體皿抽查的軟件配置項(xiàng)介質(zhì)、許可證和密鑰管理是否受控也抽查的文檔配置項(xiàng)記錄是否正確、清晰和在受控日期內(nèi)他抽查變更、發(fā)布、系統(tǒng)和環(huán)境符合管理流程的要求，檢查配置記錄是否正確3、配置驗(yàn)證與審計(jì)的時機(jī)與方式配置經(jīng)理在項(xiàng)目計(jì)劃中安排周期性的配置審計(jì)（每半年1次），并在重大變更發(fā)生之前和之后、災(zāi)難發(fā)生之后或者服務(wù)偶然中斷之后都進(jìn)行追加審計(jì)。每次驗(yàn)審都在《配置狀況年度報(bào)告》中記錄下評審差異及不符合項(xiàng)，配置管理員在《配置狀況報(bào)告》中寫出糾正措施并實(shí)施，實(shí)施后配置經(jīng)理安排再次驗(yàn)審直至差異消除，不符合項(xiàng)均得以