涉密信息系统运维质量管理服务是涉密运维监理对涉密信息系统运维的质量、投资(费用)、安全进行控制,对运维过程中涉及的合同、文档资料、配置环境、应急能力、服务效能进行管理,协调有关各方面的工作关系。
本文以北京赛迪工业和信息化工程监理中心有限公司(以下简称赛迪监理)为例,结合“三控、五管、一协调”的工作方法论,对涉密信息系统运维监理过程中 “三控”(质量控制、费用控制、安全控制)进行描述并相应提出实操重点。
一、涉密信息系统运维质量控制
1.概念
涉密信息系统运维质量控制是为实现涉密信息系统运维总体目标,涉密运维监理通过采取有效的措施,对运维事件过程、实施结果以及运维服务进行监督管理的系统过程。
2.控制要点
(1)赛迪运维监理将督导运维服务商建立运维质量保证体系。
有效的运维质量保证体系是由组织结构、职责、程序、活动、能力和资源构成的有机整体。涉密运维监理作为质量控制重要把关人,应主要从以下几个要点进行控制:
①建议用户根据涉密运维项目的具体情况设置综合质量管理部门,进行质量活动的组织、计划、检查和监督等工作。
②督导运维服务商设置独立的质量控制部门,制定运维质量保证计划、质量控制规范流程、人员职责、工作衔接关系和协调措施等。
③督导运维服务商提供满足运维质量要求的资源条件(如运维实施工具)和人员条件(人员资质、技能水平、安全培训教育等)。
(2)赛迪运维监理将监督运维质量保证体系的落实及其日常运行情况。
赛迪监理将以运维合同和SLA等为依据,定期审查控制运维服务商在运维工作过程中产生的成果物。如对派工单中的用户评价进行跟踪,关注重大事件的处置过程及其文档记录情况等。
(3)赛迪运维监理将针对运维过程中的关键事件进行重点控制。
①在运维过程中的发生重大事件,应由总监理工程师审核并组织相关专家进行论证;
②运维监理要及时跟踪关键操作和事件解决过程,发现质量问题并及时纠正,消除质量隐患,降低风险。
(4)赛迪运维监理将对运维服务商的巡检执行情况进行控制。
①运维服务商每月底应提交下月巡检计划,运维监理根据巡检计划监督其日常巡检的落实情况。
②运维监理根据服务商提供的巡检报告,结合日常管理,审查巡检发现故障次数、疏漏故障次数以此作为评判巡检质量的重要标准。
(5)赛迪运维监理将督导运维服务商备品备件的准备。
①运维监理将依据合同检查需要采购的备品备件及其数量、型号是否符合要求。
②运维监理将不定期抽查备品备件库,对缺失和损坏的备品备件要求服务商及时进行补齐。
③运维监理将督导运维服务商定期对备品备件进行测试,做好测试记录。
(6)赛迪运维监理将对运维服务商的测试实施情况进行审查。
①监督评审运维服务供方的测试计划、测试方案、测试实施过程及测试结果。
②现场运维监理工程师发现质量疑点时,要进行现场抽查测试。
③协助运维服务商选择权威的第三方测试机构,并对测试问题和结果进行评估。
(7)赛迪运维监理要实施运维质量评审。
在重要的运维事件解决或重要运维工作接近完成时,运维监理依据国家和行业标准、技术规范等信息,对运维服务商的实施方案、质量保证体系验收方案等重要文档进行评审。
二、涉密信息系统运维投资(费用)控制
1.概念
涉密信息系统运维投资(费用)控制是指运维监理根据涉密信息系统项目的实际情况,结合运维服务商的绩效考核结果,对运维费用进行科学地监督、调整和控制的过程。
2.控制要点
(1)赛迪运维监理将全程督导运维预算执行情况。
①运维监理将审核招投标文件、合同文件、SLA中有关运维预算条款。
②运维监理将对运维服务商提供的技术方案、预购运维设备的型号、性能等进行必要经济可行性评审。
③当发生某种运维事项或者工作时,运维监理作为独立第三方机构,应对这种非固定服务工时、服务标准和计费方式等进行审核,记录运维服务商的实际有效工时,结合绩效考核情况,出具付款意见。
(2)赛迪运维监理将督导运维各阶段付款流程并出具付款意见。
①由总监理工程师依据运维合同、SLA及相关补充协议,审核运维服务供方提交的阶段性运维总结报告和付款申请,核定运维服务商的实际工作量,满足付款条件时,总监理工程师签发付款意见,报送用户单位。
②如果监理单位认为该运维服务商未达到运维服务要求或绩效考核存在严重问题,应给
用户单位提交专题监理报告,说明原因,同时组织三方会谈(用户、服务商和监理单位),指出问题,要求整改,在整改完成后再行评价该阶段运维费可否支付。
三、涉密信息系统运维安全控制
1.概念
涉密信息系统安全控制是指运维监理采取安全防范措施督导运维服务商加强涉密信息系统运维安全的管理,确保涉密信息系统的物理安全、网络安全、数据安全和信息内容安全,实现用户、社会和国家对信息资源的控制。
2.控制要点
(1)赛迪运维监理将督导运维服务商进行涉密信息系统安全保密教育。
作为涉密信息系统运维工作中的重中之重,涉密信息系统运维安全工作需要从技术、法律、管理和教育等几方面着手,培养运维人员安全保密意识,加强运维人员职业道德教育和安全技术教育。
(2)赛迪监理有义务督导服务商进行涉密信息系统运维的安全规划。
①运维监理要对重要的岗位进行审查,对人员授权进行严格控制管理。
②运维监理要督导运维服务商做好物理与环境保护。如在重要区域限制人员进出,对敏感数据进行加密等。
③运维监理要提醒并督导运维服务商做好输入、输出控制。
④运维监理要提醒并督导运维服务供方针对不同的系统故障或灾难制定应急计划,编写紧急故障恢复操作指南,并对每个岗位的工作人员按照所担任角色进行培训和演练。
⑤运维监理要提醒并督导运维服务商对数据完整性和有效性进行控制。如及时做好数据备份、实时监控系统日志文件等。
⑥运维监理要督导运维服务商做好安全文档的记录、归档,严格审核文档记录是否与实际运维操作过程的一致性、可追溯性。
⑦运维监理要督导运维服务商定期进行涉密信息系统的安全教育与培训。
(3)赛迪运维监理要协助并督导运维服务商建立严格的安全管理制度。
涉密信息系统承载的是国家各种秘密信息,一旦泄露,必将直接危害国家政治安全、经济安全、国防安全、科技安全和文化安全。运维监理有责任协助运维服务商制定安全管理制度,并促使其得到有效的实施,确保运维过程中信息的安全。运维服务商需要建立的安全管理的有关制度包括但不限于:涉密信息系统运维人员安全教育、培训制度;涉密信息系统运维操作环境出入管理制度;涉密信息系统运维安全检查制度;涉密信息系统运维各工作岗位的岗位职责、操作规范、技术安全管理制度;涉密信息系统运维信息资料处理制度;涉密信息系统运维应急制度等。
第四十一届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:chenjian
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。
抢沙发
