IT 运维体系现状评估与规划设计表

IT运维体系统现状评估与规划设计表类别子类项目评估点权重计划和组织组织与人员部门是否成立了独立的IT运维管理部门1人员是否设立IT运维主管职位1制度每年有IT运维专项预算1工作计划制定每年制定IT运维管理计划1主管领导参与制定IT运维管理计划2是否采用一套正式的流程来制定IT运维管理计划3评审是否定期评估和修订IT运维管理计划2质量管理质量标准IT运维部门是否通过了ISO90002IT运维部门是否通过了BS15000/ISO200003是否要求供应商采用质量标准3运行管理监控网络监控是否对网络运行进行监控1是否有专门监控岗位1是否有网络事件自动分级报警2是否有网络监控系统2对网络和线路运行参数是否每天进行统计和汇报3监控数据采集频率是否小于每10分钟一次3主机/服务器监控是否对主机/服务器运行进行监控1是否有专门的监控岗位1是否有主机/服务器监控系统2是否有主机/服务器事件自动分级报警2对主机/服务器运行参数是否每天进行统计和汇报3监控数据采集频率小于每10分钟一次3数据库监控是否对数据库运行进行监控1是否有专门的监控岗位1是否有数据库监控系统2数据库是否事件自动分级报警2对数据库运行参数是否每天进行统计与汇报3监控数据采集频率小于每10分钟一次3中间件监控是否对中间件运行进行监控1是否有专门的监控岗位1是否有中间件监控系统2中间件是否事件自动分级报警2对数据库运行参数是否每天进行统计与汇报3监控数据采集频率小于每10分钟一次3应用监控是否对应用运行进行监控1是否有专门的监控岗位1是否有应用监控系统2应用是否事件自动分级报警2对应用运行参数是否每天进行统计与汇报3监控数据采集频率小于每10分钟一次3业务应用业务应用系统是否提供维护操作手册1是否提供用户使用手册1是否提供用户使用培训1是否提供安装介质1超级用户口令是否上收1是否提供测试问题和处理清单1开发测试环境与生产环境是否隔离2是否提供应用系统缺陷常见问题库2是否提供应用系统缺陷修复更新2应用系统是否经过功能和性能测试并签署上线测试验收通过的报告2应用系统是否经过试运行检验3应用系统供应商是否提供保修服务2应用系统开发团队、测试团队与运维团队是否分离3业务应用基础设施是否有维护操作手册1是否有用户使用手册1是否有用户使用培训1是否有安装介质1超级用户口令是否上收1是否有常见问题处理手册1测试环境是否与生产运行环境隔离2是否定期提供缺陷修复更新2系统是否经过功能和性能测试并签署测试验收报告2系统是否经过试运行检验3是否有基础设施系统保护服务1日常操作系统检查是否定期进行系统检查（如系统日志等）1是否有检查记录1是否有专用的系统检查账户1是否对检查结果进行分析2检查发现问题是否立即处理2备份和恢复是否定期进行备份操作1是否有备份操作记录1是否有备份和恢复操作手册1备份价质是否有专用存放地点2备份介质是否异地存放2是否对备份内容有验证性恢复3是否定期进行恢复演练3任务调度是否有专职任务调度岗位1任务是否按紧急程度和重要性分级2是否有任务跟踪和工作量统计3任务调度是否有专职任务调度岗位1任务是否按紧急程度和重要性分级2是否有任务跟踪和工作量统计3系统维护是否有日常维护操作手册1是否有日常维护工作记录1是否有专用维护工作账户2是否建立日常维护岗位A/B角2是否对日常维护操作进行审计3故障处理故障响应是否建立专门的故障响应和受理岗位1是否对故障现象进行记录1对故障响应是否有时间要求2是否有自动通知故障处理的技术团队2故障分类和升级是否对故障进行分类1是否对故障进行升级汇报1是否有故障分类和分级标准2是否有故障升级汇报流程2是否自动对故障升级时间提醒3故障是否自动升级3故障处理是否有故障处理流程1是否有专职岗位负责故障处理1是否有分级的故障处理队伍1是否有故障处理结果进行验证2是否有故障应急恢复手册2是否定期进行应急操作演练2是否自动对故障处理时间提醒3故障跟踪和记录是否有故障处理跟踪机制1是否对处理记录的合规性进行审核2故障统计和分析是否定期进行故障统计报告1是否对故障统计结果进行趋势分析2变理管理变更启动和记录是否有书面变更申请1是否有紧急变更申请程序2变更评估和审批是否有变更审批流程对变更进行审批1变更排程是否有统一的变更调度岗位1是否有统一的变更窗口时间2变更实施是否预先提出变更内容、操作步骤1是否对变更进行风险分析2是否测试变更内容，建立回退预案3变更验证关闭是否对变更进行验证1是否审核变更过程合规性1资产和配置管理IT资产基本信息记录是否对IT资产基本信息进行记录1IT资产配置信息记录是否对IT资产配置信息进行整理和记录1是否建立资产配置管理数据库3IT资产信息跟踪和维护是否建立资产配置基线1是否定期进行资产配置信息的核查2是否能够准备查询资产配置的详细信息和关联信息3服务水平管理设立系统运行目标是否设定系统运行原则性目标1是否建立系统可用性量化指标2是否分解量化指标到每个分系统3监控系统运行目标是否定期统计运行指标1评估系统运行目标是否年度评估运行指标，总结服务水平1运行指标是否与岗位考核挂钩2改进系统运行目标是否根据已有运行数据改进运行目标2用户服务服务申告和响应是否有统一的服务台响应申告1是否有响应时间要求2服务响应阶段是否可查询用户相关信息和以往申告3服务处理是否专职用户服务岗位1是否服务过程跟踪记录1是否有用户服务时限要求2服务跟踪反馈是否定期对用户服务进行统计汇报1是否调查用户反馈意见2桌面管理是否对桌面计算机软件进行统一定制和安装1是否对桌面计算机进行统一的策略配置2是否对桌面操作系统补丁进行统一更新3是否对桌面系统配置情况软件安装情况进行定期收集和统计1是否对打印机进行统一的管理和监控1桌面设备在领用和回收时是否进行配置检查2桌面设置专门的桌面支持维护岗位1是否设置桌面问题的处理时限2机房管理UPS是否有UPS对设备进行供电1是否定期检查、维护UPS状况2电源机房接地、防雷设施是否符合要求1机房是否双路供电2空调是否监控机房环境参数（温度、湿度、洁净度）1是否定期维护空调设备1门禁机房门是否有门禁系统1是否有出入机房人员明确记录2安防机房内是否有三防系统（防火、防盗、防有害生物）1是否对机房实行7*24小时监控并录像2装饰装修机房建设是否符合国家标准1灾备灾备设施是否有冗余设备实施灾备1是否建立专用灾备系统2是否建立异地灾备中心3灾备策略是否有灾备策略1是否有应对多种情况多种级别事件的灾备策略2是否实现实时异地容灾3灾备演练是否定期进行灾备演练1供应商与外包管理供应商日常管理供应商基本信息记录是否对供应商进行了分类1是否记录了潜在供应商的信息1是否定期对供应商的基本信息进行确认更新2供应商信息是否严格遵守了保密制度1是否有系统支持供应商信息的检索3供应商评价记录是否记录供应商产品验收评价信息2是否跟踪记录寻求供应商服务的次数2是否统计供应商的响应时间2是否统计供应商的服务级别执行情况3是否定期组织对供应商的评价会议3是否对供应商进行了分级管理3供应商选择采购方式供应商选择是否有不同的采购方式1商务谈判是否在采购过程中有供应商谈判计划1是否谈判过程中参照了供应商历史评价记录1供应商谈判价格是否遵从了项目预算的控制1合同管理合同基本信息记录是否对合同进行了分类1是否有固定的合同模板1合同执行情况跟踪是否记录了合同的付款信息1文档管理文档分类、分级和标识文档分类有简单、实用的文档分类规则1有全面、完善的文档分类体系2文档密级有简单、实用的文档密级规则1有全面、完善的文档密级访问体系2归档时间和版本是否明确记录文档归档时间和版本信息1编号是否给文档制定并执行文档编号规则1文档借阅及归还借阅申请是否对文档借阅留下借阅记录1授权使用根据文档的密级和类别，由相应级别领导对文档使用申请进行授权1根据文档的密级和类别，由相应级别领导对文档使用申请进行授权，并在授权的范围，以授权的方式使用2借阅期限是否根据文档的密级、类别定义借阅期限1归还是否约定文档归还期限1是否对文档的使用按照借阅期限的约定及时归还，定期催缴2资料损坏、遗失处理遗失补救是否文档遗失、损坏需要进行补救，并根据文档的密级评估潜在风险/损失1损坏和赔偿是否对文档遗失、损坏需要进行赔偿，并根据文档的密级评估潜在风险/损失1考核和报告考核对象内部IT运维人员是否给IT运维人员制定了明确的考核目标1IT运维人员考核目标是否量化2IT运维人员的考核结果与其收入直接挂钩3外包商和供应商是否给外包商和供应商制定了明确的、量化的考核指标2是否将外包商和供应商考核结果与合同付款直接挂钩2考核指标技术类是否定义网络系统可用性目标1是否定义主机/服务器可用性目标1是否定义数据库可用性目标1是否定义应用系统可用性目标2是否达到网络系统可用性目标2是否达到主机/服务器可用性目标2是否达到数据库可用性目标2是否达到应用系统可用性目标2人员类是否统计和评估故障处理员每月平均故障处理时间2是否统计和评估故障处理员每月平均客户服务满意度流程类是否统计故障按时处理完成的比例1是否统计服务请求按时完成的比例1是否统计变更按时处理完成的比例1服务类是否统计和评估故障受理的首次解决率3是否统计和评估用户对每次故障处理情况的满意度3是否统计和评估每月业务部门对IT部门的满意度2是否统计和评估每年业务部门对IT部门的满意度1报告面向主管领导每月向主管领导汇报IT运维管理状况2每年向主管领导提交IT运维管理年终总结报告1及时向主管领导报告重大IT运维事故1面向业务部门每月向业务部门报告针对该部门的IT运维状况3安全管理安全体系安全管理组织是否有专门岗位并明确职责负责信息安全管理1是否设立高级管理层牵头的信息安全管理机构2高级管理层是否建立明确的信息安全管理部门或专门岗位并明确职责，负责实施和管理包括识别、计量、监测和控制相关信息科技风险的规程2安全规范制度是否制定了信息安全相关的制度规章，技术规范，操作规程2是否对IT相关信息依照敏感度进行分类，并实行分级保护3是否了解和执行国家信息安全标准，实施信息安全标准化1是否实施信息科技安全的持续性教育培训，包括法规教育，安全知识教育和职业道德教育计算机实体和环境安全计算机实体安全是否对信息系统的计算机资源和定位状况进行逐项编号登记和跟踪建档，设专人管理，未经批准不得随意改变1是否对信息系统的相关计算机和数据通信设备及其连接关系编制与实际相符的物理连接图和逻辑结构图，并归档保存2是否对生产运行系统和网络的关键设备及通信线路建立备份策略1是否对生产运行系统设备和通信线路进行定期的检测和维护，确保随时处于可用状态2是否对重要系统场地建立有严格的人员出入规定，并配备有效的身份验证机制和门禁装置是否对计算同和数据通信设备的停用、维修、重用和作废环节建立安全机制，有效清除或销毁敏感信息，防止泄漏3计算机环境安全信息系统数据中心机房建设是否符合国家有关计算机场地，环境，供配电技术标准1重要的信息处理设施是否放置在安全地域，是否具备充分的环境控制设施和规章可以避免火灾，爆炸，烟尘，温度，停电，漏水和垃圾等引起的中断风险，以及人员和设备安全2人员安全内部人员安全是否对信息科技相关人员制定明确的职责权限，明确安全责任，建立严格的访问授权机制3是否对重要和关键岗位设立备份和监督角色3是否定期（或不定期）对员工进行安全教育和培训，以提高员工的安全意识和安全技能2长期工作外来人员安全是否进行资格审查1是否签署安全协议（明确安全责任和义务）1是否报上一级信息安全管理部门审批1临时来访人员安全是否严格实施出入管理办法1是否实行全程陪同2网络安全内部网络安全是否依据信息系统安全级别划分相对独立的安全域，通过安全域的边界防护和安全域内的统一安全管理实现安全域内的网络安全3是否按照安全技术标准实施网络安全配置，并定期检查网络安全配置与标准的符合性2在新建网络，网络改造或变更在投入使用前，是否制订相应的网络安全防范措施1是否对新建网络或改造后网络实施安全检验，对未通过检验的网络不允许投产使用1是否严格控制对远程诊断管理端口的访问，使用前是否经过安全管理部门审批并限制只可以从安全的网络进行访问，如严格管理TELNET,FTP和TFTP远程访问生产系统方式的使用2是否远程诊断管理端口的访问使用SSH（SecureShell）方式3是否实施网络通信数据加密3是否建立了完整的访问日志记录和管理规程，紧急情况下的用户使用流程，定期检查机制；对网络设备用户访问网络资源是否经过安全认证，合理授权，日志记录，对日志的调阅是否有严格的授权手续，是否建立有完善可靠的日志保存机制2是否建立了网络系统口令密码等重要身份凭证的使用和管理机制2是否应用了访问控制软件或使用访问控制技术2是否使用了完善的网管系统对网络系统状态进行实时监控，故障报警，性能分析，容量趋势等3对重要数据和关键设备是否应用安全技术和工具（包括防病毒，防火墙，漏洞扫描，入侵监测等）实施重点防护3是否全网实施统一的防病毒管理，使用统一的防病毒软件，及时进行防病毒软件的升级。是否及时开展防病毒管理工作的监督和检查，对病毒感染事件，及时处理并上报1针对安全事件（利用防火墙，防病毒，安全漏洞扫描，网络非法外联，网络入侵监测软件和工具等获得的信息）是否进行及时分析，及时处理，及时上报并开展检查，防范类似事件再次发生2是否对IP地址进行统一规划和管理1外联接入网络安全是否制定严格的内部网络与外网连接规定1是否严禁与外网直接连接，连接方案是否报总公司网络安全管理部门审批，确保网络安全的下实施1是否使用安全技术对外联网络边界实施安全控制（包括在网络边界部署防火墙，代理服务器，网络入侵检测等）1是否严禁从内部网络进行拨号网络外联3是否指定专门部门或岗位负责拨号网络外联实施监测，并使用了有效的技术监控工具进行监测管理3是否统一管理和严格控制对通过INTERNET建立VPN进行移动办公2无线网络安全无线网络接入是否通过审批1无线网络区域是否经过隔离以防止信号溢出3无线数据传输是否经过加密1系统安全访问控制用户对系统资源的访问，是否进行身份认证和授权1用户的权限分配是否遵循最小授权原则2系统用户是否角色分离2是否严格控制对远程登录系统的访问，使用前是否经过安全管理部门审批，严格管理TELNET，PCANYWHERE和WINDOWS终端服务等远程访问生产系统方式的使用，使用前是否经过审批并限制只可以从安全的网络进行访问3是否对系统主机\服务器的远程登录访问使用SSH（SecureShell）方式3用户管理超级用户使用前是否需审批2是否定期对超级用户的使用进行检查2是否开启系统超级用户密码复杂度功能3是否设置安全的用户密码1用户密码是否定期修改1是否定期对用户进行核对，清理冗余用户1安全配置与维护是否正确配置系统时间