文档介绍：信息服务管理规范
计算机信息系统运营和维护管理规范
刖言
〈信息服务管理规范》依据《SO/IEC20000 : 2005信息技术一一服务管理”》 标准，及其它国家和行业相关法律、法规制订。本规范为〈信息服务资费标准》
的引导性文件。电位管理：应设置配电系统、各类电子设备及附属设施、防雷等的等电位 体，并考虑静电防护、感应雷电可能形成的电磁脉冲和过电压的干扰和毁坏等。
c） 设备管理：计算机信息系统设备的日常运行和管理、可靠性评价。
d） 环境管理：应考虑机房内通风、温度、湿度、灰尘、灯光等的配置；考 虑机柜放置与冷却效率和制冷单元热点的关系；以及可能因功能扩大引起的冷 却效率问题等。e）灾害预防：应考虑物理和自然灾害发生的可能性，制定应急预 案。
n .其它管理和维护
a） 布线系统管理和维护：监控、诊断、分析设备间、弱电井等区域配线设
备、线缆、信息插座等设施，及网络通信线路的工作状态和可能的故障状态 ，
发现并报告问题，提出维护建议，保证系统运行的高可靠性和维护的高效率。
b） 监控系统管理和维护：监控、诊断、分析门禁系统、各类监控设备等的运 行状态、参数变化、提示信息等，发现并报告问题，及时变更、维护，保证监控系统 的可靠性。

为保证路由设备、网络交换设备等网络基础设施的安全性、可靠性、可用性和 可扩展性，保证网络结构的优化，定期评估网络基础平台的性能，制定故障维护预 案，及时消除可能的故障隐患，制定应急预案，保证网络基础平台的局可靠性、局可 用性。

为保证数据存储设施，如服务器设备、集群系统、存储阵列、存储网络等，以 及支撑数据存储设施运行的软件平台的安全性、可靠性和可用性，保证存储数据的安 全，定期评估存储设施及软件平台的性能 ，确认数据存储的安全等级，
制定故障应急预案，及时消
除故障隐患，保障信息系统的安全、稳定、持续运行。

为保证操作系统、数据库系统、中间件、其它支撑系统应用的软件系统及网络 协议等的安全性、可靠性和可用性；定期评估系统平台的性能，制定系统故障处理应 急预案，及时消除故障隐患，保障信息系统的安全、稳定、持续运行。

保证在系统平台上运行的各类应用软件系统的安全性、可靠性和可用性，定期 评估应用软件系统的性能、功能缺陷、用户满意度等，及时或与开发商沟通消除应用 系统可能存在的安全隐患和威胁、根据需求更新或变更系统功能。

数据管理是系统应用的核心。为保证数据存储、数据访问、数据通信、数据交 换的安全，定期评估数据的完整性、安全性、可靠性；制定备份、冗灾策略和数据恢 复策略，消除可能存在的安全隐患和威胁。
I .数据安全性管理和维护
a） 安全评估。应对数据的完整性、可靠性、可用性和保密性等要素进行评 估，制定数据管理和数据恢复策略，保证数据的安全。
b） 数据访问控制：应制定数据访问控制策略、访问权限控制策略、非授权访 问处理策略，防止未经授权的数据访问、修改、移动、删除、毁损等。
C）数据存储与冗灾：应制定数据存储、数据冗灾策略，评估数据存储的安全 性，保证数据存储的完整性、可靠性；制定数据存储事件处理预案；
d）数据通信安全：应评估数据通信的安全性，制定数据通信的安全策略，保证 数据的完整性、可靠性、保密性和不可抵赖性；制定数据通信应急处理预案；
n .媒介安全性管理和维护
应制定媒介管理、权限策略，制定媒介泄露的处理策略，明确责任，保证数据 保管的安全。

保证物理环境和系统运行的安全，物理环境安全包括机房监控、门禁系统、灾 害预防、等电位系统、消防系统等等；系统运行安全包括风险评估、安全策略、安全 机制、安全级别、病毒防护、补丁管理等等。定期检查和评估可能的安全隐患、缺陷 和威胁，制定安全恢复预案。
I .风险评估
应对系统的安全威胁、脆弱性、漏洞进行评估，对安全管理进行评估，制定风 险应对策略和风险处理机制，及时消除或弱化风险，并将残余风险控制在可控范围 内。
应制定物理环境、基础平台、数据、应用软件、事件管理等的信息安全策略， 实行信息安全教育，明确责任，采取相应的安全措施，实施安全策略的综合管理。
川・安全级别
应根据GB17859-1999〈计算机信息系统安全保护等级划分准则》，评估安全 等级，定义安全级别。

定义不同的安全机制，包括加密机制、访问控制机制、身份认证机制、数据完 整性机制、
数字签名机制等，制定事件处理流程和机制，避免安全威胁和隐患。
V •数据交换
应规划建设数据安全交换平台，保证内、外网络之间数据