全国数据中心专业人才网
全国数据中心专业人才网详情页背景图
全国数据中心专业人才网详情页icon最新动态 全国数据中心专业人才网所在位置icon 您所在的位置:首页 > 最新动态
ISO27001管理体系在数据中心的实践(八)
 
 

前文回顾:

ISO27001管理体系在数据中心的实践(七)

今天分享内容:

防病毒管理、测试任务管理、内部信息系统工具管理三个小章节。

 
 

防病毒管理

一、概述

1.防病毒管理的定义和目标

(1)定义

防病毒管理是管理者为评价防病毒体系运行的适应性、有效性和充分性所进行的活动。

防病毒管理的主要内容是建立健全A银行计算机病毒防治工作的各类制度、规范和流程,完善A银行现有防病毒安全体系,实现终端防病毒全覆盖,建立和制订A银行计算机病毒防治的应急处理计划、预案并定期演练,以应对各类突发事件,同时,明确有关人员的岗位职责和责任要求,建立考核及事故责任追究机制。

(2)目标

防病毒管理的目标是加强数据中心计算机病毒的预防和治理理,确保计算机体系、网络和数据免遭入侵和破坏,保障系统安全、可靠运行。

防病毒管理的管理范围包括A银行内部网络及信息系统,所涉及设备包括服务器、生产终端、虚拟终端、自助设备、移动终端、办公终端等。

2.建设背景及发展历程

(1)建设背景:根据ISO20000ISO27001国际标准要求,建立防病毒管理流程。

(2)发展历程

·2013,根据ISO27001国际标准要求,完善防病毒管理流程。

·2014年至今,根据实际运行经验,优化完善流程部分数据指标,例如修改适用范围。

二、流程及运作

1.角色和职责

角色包括防病毒管理员、防病毒协管员和计算机用户。其具体职责包括以下内容。

(1)系统管理三部防病毒管理员的主要职责如下。负责组织部门所辖生产及其关联环境防病毒管理服务器的安装、配置和维护;负责部门所辖X86服务器病毒防护,对被病毒感染和被侵害的计算机系统采取有效措施,包括隔离终端、查找病毒源、清除病毒、持续跟踪病毒发展情况,并及时向数据中心系统管理三部主管报告;负责收集新病毒样本,将其发送给防病毒软件供应商并对供应商反馈的额外病毒库进行查杀测试;负责定期对规范的执行合规情况进行检查,向技术管理部报告防病毒工作落实、整改、进展情况以及存在的问题;负责落实有关病毒防护的各项工作和要求。

(2)桌面支持部门防病毒管理员主要职责是负责数据中心本部办公防病毒管理服务器的安装、配置和维护;负责A银行总行大楼生产、A银行总行办公环境病毒防护,以及对被病毒感染和被侵害的计算机系统采取有效措施,包隔离终端、查找病毒源、清除病毒、持续跟踪病毒发展情况,并及时向系统管理三部报告;负责收集新病毒样本,将其报送给系统管理三部,并对系统管理三部反馈的额外病毒库进行查杀测试;负责定期组织防病毒协管员的技术培训,系统管理三部配合这些培训;负责落实有关病毒防护的各项工作和要求。

(3)异地灾备中心系统管理三部防病毒管理员主要负责异地灾备中心防病毒管理服务器的安装、配置和和维护;负责异地灾备中心终端和服务器病毒防护,对被病毒感染和被侵害的计算机系统采取有效措施,包括隔离终端、查找病毒源、清除病毒、持续跟踪病毒发展情况,并及时向系统管理三部报告;负责收集新病毒样本,将其报送给系统管理三部,并对系统管理三部反馈的额外病毒库进行查杀测试;负责落实有关病毒防护的各项工作和要求。

(4)防病毒协管员主要职责是负责本部门除桌面支持部门所辖范围之外的终端及系统管理三部所辖范围之外的X86服务器病毒防护,并指导或帮助计算机用户在终端安装、配置、更新、升级防病毒软件;负责督促终端防病毒软件病毒库及时更新;负责协助防病毒管理员对计算机用户进行防病毒等有关知识的普及教育;负责协助防病毒管理员对其所在部门管理范围内的被病毒感染和被侵害的计算机系统采取有效措施,包括隔离终端、查找病毒源、清除病毒、持续跟踪病毒发展情况,并及时将有关情况报告防病毒管理员;负责协助防病毒管理员收集新病毒样本并及时将其上报给防病毒管理员;负责协助防病毒管理员处理疑似协查处理表中终端的定位、处理、反馈等。

2.防病毒管理规范的流程环节和关键活动介绍(流程的触发、输入和输出)

(1)防病毒系统主要包括如下几方面内容:防病毒服务器管理、防病毒软件管理、病毒事件跟踪、防病毒应急与演练、防病毒技术培训与交流。

(2)流程触发:事件触发,即辖内感染重大病毒事件时,启动病毒事件应急处理流程;时间触发,即在规定时间统计防病毒系统软件覆盖率和病毒库更新率。

(3)输入包括以下内容:

·服务级别协议指标达成情况,以及新增服务的运行情况;

·相关方(如分行、业务部门和监管部门等)对管理体系的改进建议;

·运营管理体系的一致性情况,包括相关流程设计与标准的一致性、执行情况与对应规范的一致性等;

·上年度内审、外部审核、自查整改等持续改进要求的落实情况;

·流程绩效结果;

·上年度信息安全风险评估结果;

·信息安全方针调整的需求;

·上年度有效性测量结果;

·其他同业组织的安全经验与教训等;

·可能影响防病毒系统的外部要求变化,如法律法规、行业监管要求的变化,对当前和未来防病毒体系在人员、技术、信息等方面的资源需求的评估。

·数据中心组织架构或职能的变动情况。

(4)输出包括《数据中心规范/流程执行情况报告》。

3.管理流程与其他流程的接口

管理体系内的各流程,主要包括以下内容:

·服务级别管理流程:将服务级别协议指标达成情况输出至防病毒系统;

·内部审核管理流程:将内审发现的持续改进落实情况输出至防病毒管理;

·信息安全风险评估:将上年度信息安全风险评估结果输出至防病毒管理;

·信息安全策略:将信息安全方针输出至防病毒管理,评估次年是否需要调整安全方针;

·有效性测量:依据上年度有效性测量结果,评估是否需要调整测量的方法、频度和指标。

4.本管理流程的运作机制

防病毒管理规范是由本流程负责人负责该流程的策划、监督、执行及改进,根据每季度对防病毒托管情况及威胁数据的汇总统计,由流程负责人牵头完成防病毒管理的数据整理、报告、改进等活动。

5.本管理流程管理工具的介绍

目前通过防病毒集中管理服务器的数据汇总查询功能,能够查询已托管终端的防病毒软件运行情况,且能够汇总终端病毒的查杀情况。

三、绩效管理

1.指标设置

(1)指标名称: Windows终端防病毒安装率、 Windows终端病毒库版本符合率、生产环境3A级、办公环境4B级病毒事件。

(2)指标定义: Windows终端防病毒安装率=已安装防病毒软件的Windows终端数/对应环境 Windows终端总数×100%。 Windows终端病毒库版本符合率=保持最新版本病毒库的终端数/对应环境应更新病毒库版本的终端总数×100%。生产环境3A级、办公环境4B级病毒事件是指新型病毒突破防病毒系统的出现,导致全辖病毒预警级别生产环境达到3A或办公环境达到4B

2.考核

(1)考核方式:量化考核。

(2)考核频率:定期执行。

(3)考核阈值:根据数据中心实际情况设置。

3.本管理流程的文化建设

建立防病毒管理流程,并通过定期的数据统计、优化整改及宣传等活动,数据中心在内部及全辖范围内对其进行普及,协助用户提升终端安全意识。

四、持续改进

1.近三年的持续改进简述

修改完善本规范相关定义,修改本规范适用范围,明确各角色职责范围围。

2.遇到的问题风险和处置措施

无。

3.未来展望

持续提升全辖防病毒KPI指标,实现年度KPI分值高于A银行数据中心制订的标准值的目标。

 

 

测试任务管理

 

一、概述

1.测试任务管理的定义和目标

(1)测试任务管理是运用知识和资源,通过总体控制和协调,对测试项目群进行全流程管理,以优化资源利用、提升整体产能。

测试任务管理的主要内容是对数据中心受理并实施的性能、硬件选型、技术测试等各类测试需求,进行测前、测中、测后的全流程管理,包括需求排期、任务分派、测试实施与监控、变更管理、任务结束等过程管理理。

(2)测试任务管理的主要目标是建立职责清晰、分工协作、科学高效的测试工作流程,客观、有序地开展测试工作,保证测试过程中的信息安全,为数据中心涉及的测试工作的各个部门提供有章可循的规范依据。

2.建设背景及发展历程

(1)建设背景:根据ISO27001国际标准要求,建立测试任务管理流程。

(2)发展历程:

·2015,根据测试管理需要,建立测试任务管理流程。

·2016,根据ISO27001国际标准要求,完善测试任务管理流程。

二、流程及运作

1.角色和职责

角色包括需求提出人、需求管理人和测试实施人。

需求提出人负责提交测试需求、提供相关信息及文档。需求提出人包括开发经理、职能经理、运营经理、运维工程师等。

需求管理人负责测试前的需求收集、审核、排期以及任务受理分派,以及测试中的实施进度监控与公示、测试任务变更管理、问题管理、风险管理。需求管理人由测试管理人员担任。

测试实施人负责各项目的具体测试实施、过程监控、问题报告、向需求管理人报送测试任务执行情况、提交变更申请、解决测试问题、应对测试风险,以及在测试完成后形成测试报告、组织测试报告评审、发布测试报告。测试实施人由测试经理担任。

2.测试任务管理流程的流程环节和关键活动介绍(流程的触发、输入和输出)

(1)测试任务管理包括如下主要内容:需求收集、需求审核、需求排期、任务受理与分派、测试变更提出、测试变更审核、测试计划更新和任务结束,其具体流程如图6-6所示。

图6-6 测试任务管理流程

(2)流程触发:事件触发,有测试需求被提出时,即启动该流程。

(3)输入包括以下内容:

·测试需求申请;

·应用投产批次计划;

·测试任务函件;

·排期会会议纪要。

(4)输出包括以下内容:

·测试任务通知;

·项目测试计划;

·项目变更申请单;

·项目测试报告;

·项目群测试工作简报;

·项目群风险与问题登记册;

·测试任务管理流程报告。

3.测试任务管理流程与其他流程的接口或集成

(1)管理体系范围内的各流程,主要包括以下内容:

服务报告管理,即每季度对测试任务管理流程运行情况进行总结,并将形成的《测试任务管理流程报告》输入至服务报告管理流程。

(2)持续改进管理流程:将测试任务管理的持续改进要求输入至持续改进流程。

4.测试任务管理流程的运作机制

测试任务管理流程是由本流程负责人负责该流程的策划、监督、执行及改进。根据年度各批次时间计划启动测试任务管理流程,或因为紧急需求的提交而立即触发启动测试任务管理流程,测试管理人员负责各批次测试任务的整体进度、问题、风险、变更管理,测试经理负责单体项目的实施与过程管理。

5.测试任务管理流程管理工具的介绍

目前使用的项目管理集成化工具的主要功能有:测试需求收集、审核意见反馈、排期结果公示、任务自动分派、测试实施信息自动收集、测试任务变更流程处理、问题报送处理、风险报送处理、项目收尾活动记录、项目群报告生成等。

 

 

内部信息系统工具管理

 

一、概述

1.内部信息系统工具管理的定义和目标

内部信息系统工具是指通过自主开发(含联合开发)外部部引引进和客户化改造等方式建设的支持数据中心内部运营管理和支持运维服务的信息系统和工具。内部信息系统工具可以分为为以下两种:

(1)办公管理类系统工具,指与生产系统无关,支撑办公活动的系统工具,例如内部培训管理系统。

(2)运维管理类系统工具,指与生产系统相关,对生产系统具有运维和管理功能的系统工具,例如运维流程管理平台。

内部信息系统工具管理是数据中心为统一规范管理内部信息系统工具的需求、设计、开发发、测试、投产和运维等流程,保障开发过程中的信息安全所进行的活动。

内部信息系统工具管理的目标是实现内部信息系统工具全生命周期的规范化管理,确保ISO27001信息安全要求在内部信息系统生命周期中被考虑和实施。

2.建设背景及发展历程

(1)建设背景:数据中心内部信息系统工具管理规范的制订依赖于数据中心内部信息系统工具管理需要,并参照ISO27001关于系统开发和维护的安全性要求。

(2)发展历程

·201610,制订并发布了内部信息系统工具管理规范。

·201610月至今,按照内部信息系统工具管理规范的要求量化指标,指导数据中心内部信息系统工具的开发工作。

二、流程及运作

1.角色和职责

角色主要包括内部信息系统工具管理规范负责人、需求部门、业务归口部门、开发部门、项目管理委员会、技术管理委员会、生产变更管理委员会、合同主管部门、资源分配部门、资源配置部门和测试部门。其具体职责如下。

(1)内部信息系统工具管理规范负责人:负责本管理领域规章制度的设计、推广、监督和改进。

(2)需求部部门:负责提出需求,参与需求与技术方案评审,参与验收测试、投产验证工作,协助解决生产问题。

(3)业务归口部门:负责牵头组织需求提出、验收测试、投产验证,业务使用培训及推广,业务应用层面的管理和维护,并协助解决生产问题。

(4)开发部门:负责需求接收、需求分析、技术方案编写,开发实施过程管理,组织投产实施,技术运维管理及技术培训。

(5)项目管理委员会:负责评审内部信息系统工具的开发、改造、引进和客户化需求。

(6)技术管理委员会:负责组织评审开发、改造、引进、客户化项目的技术方案。

(7)生产变更管理委员会:负责组织评审投产方案和变更方案。

(8)合同主管部门:负责内部信息系统工具有关合同签订及费用等相关工作。

(9)资源分配部门:负责审核内部信息系统工具建设各环节所需资源,下发资源分配指令。

(10)资源配置部门:负责配置与落实内部信息系统工具建设各个环节所需的环境等资源。

(11)测试部门:负责根据内部信息系统工具的测试需求,安排并实施测试任务,并出具测试报告。

2.内部信息系统工具管理流程的流程环节和关键活动介绍(流程的触发输入和输出)

(1)内部信息系统工具管理规范包括如下主要活动。

·需求提交。当需求涉及多个部门时,需协商确定一个业务归口部门,由业务归口部门牵头组织形成最终需求,确保需求的合规性、合理性、明确性、清晰性、可审计性,并将审批后的《用户需求说明书》《需求变更单》提交至开发部门。

·需求接收与分析。内部信息系统工具开发部门对需求内容、影响范围、方案、所需资源、涉及工作量、平台或工具的信息安全需求进行分析,形成《需求分析报告》,并初步确定开发方式(自主开发、引进开发、合作开发)资源和费用预算。

·需求评审。对涉及资金预算的项目,开发部门将最终需求、《需求分析报告》以及其他相关材料提请项目管理委员会进行需求及预算可行性评审。自主开发类项目由开发部门组织评审。

·技术方案评审。开发部门根据用户需求组织编写技术方案,涉及产品重大调整、新技术应用、灾备建设等的方案需提交技术管理委员会技术评审通过。

·开发实施。开发部门负责开发项目的计划管理、进度管理、质量管理、问题管理,开发过程中应严格遵守编码规则以规范、安全地编码,并通过代码审核或走査的方式减少代码可能存在的缺陷或问题,提高代码质量。

·测试实施。内部信息系统工具开发完成后,开发部门组织内部交又测试,测试通过后再提交业务归口部门进行验收测试,业务归口部门组织各需求部门出具《验收测试报告》。

·投产准备。版本投产前,开发部门检査投产版本、资源环境,编写变更实施方案、操作说明书,组织技术及业务操作培训。重要变更需提交变更管理委员会评审通过。

·投产实施。开发部门按照投产方案组织实施投产,业务归口部门组织各需求部门进行投产验证工作。

·运行维护。开发部门、业务归口部门及资源配置部门按照各自部门职责开展内部信息系统工具的运行维护工作。

(2)流程的触发:业务归口部门牵头组织,促进需求部门形成最终需求并签字确认最终需求。

(3)输入包括以下内容

·需求部门根据内部信息系统工具的功能需求、非功能需求、信息安全要求等,形成《需求说明书》,并将其作为流程的输入

·需求部门根据内部信息系统工具的需求变更,形成《需求变更单》,并将其作为流程的输入。

·数据中心相关制度及管理规范。

(4)输出包括以下内容:

·需求分析报告;

·项目评审报告;

·技术评审报告;

·软件版本;

·验收测试报告;

·变更方案;

·用户操作说明书。

3.内部信息系统工具管理流程与其他流程的接口或集成

4.内部信息系统工具管理流程的运作机制

内部信息系统工具管理规范是由内部信息系统工具管理规范负责人协助完成本管理领域规章制度的设计、推广、监督和改进,同时,每季度向运营体系管理控制组反馈规范执行情况报告。

5.内部信息系统工具管理流程管理工具的介绍

需求开发管理工具的开发,可实现内部信息系统工具开发生命周期的线上管理,可对需求提交、需求接收与分析、需求评审、技术方案评审、开发实施、验收测试、确认及交付等流程节点实现工具化管理和控制,推进需求开发过程的信息化、规范化和可视化,提升内部信息系统工具的开发管理效率和水平。

三、绩效管理

1.指标设置

(1)指标名称:需求评审完成率、验收测试通过率。

(2)指标定义:

·需求评审完成率=已完成的需求评审个数/接收的总需求个数×100%

·验收测试通过率=验收测试通过的任务数/提交用户验收测试的任务数×100%

2.考核

(1)考核方式:量化考核。

(2)考核频率:定期执行。

(3)考核阈值:根据数据中心实际情况设置。

3.内部信息系统工具管理流程的文化建设

内部信息系统工具管理规范自建立起,数据中心按照《数据中心有效性测量管理规范》要求,定期对本规范及其执行情况进行回顾,分析执行的有效性和存在的问题,识别出改进事项,并按照《数据中心持续改进管理规范》对内部信息系统工具的开发和管理工作进行改进。

四、持续改进

1.近三年的持续改进简述

该规范目前尚处于试行期。

2.遇到的问题风险和处置措施

风险:规范发布时间较短,存在部分人员对规范尚不了解的问题。

处置措施:加强规范的学习和培训,持续跟进规范落地,监督相关人员遵循规范开展工作。

3.未来展望

需要对规范的执行情况进行定期回顾,分析存在的问题并进行改进,保障规范的有效执行,并结合数据中心的管理和工作实际,对规范进行及时的补充和调整。同时,进一步完善需求开发管理工具,借助工具推进内部信息系统工具开发过程的标准化、流程化,更好地将工具用于数据中心内部信息系统的建设。

文章摘自:管理体系在银行业数据中心的创新与实践