18配置管理程序

浙江安迅電子科技有限公司信息安全和IT服務管理體系文件配置管理程序AX-0018-2022受控狀態(tài)受控分發(fā)號版本A/0持有人7檢查與考核管理者代表每季度抽檢配置、變更、發(fā)布相關(guān)記錄，并對相關(guān)人員的工作情況進行考核，考核情況與當事人季度績效工資掛鉤。8記錄《配置管理計劃》《配置管理數(shù)據(jù)庫》《配置狀況季度報告》《配置狀況年度報告》目錄TOC\o"1-5"\h\z\o"CurrentDocument"1合用3\o"CurrentDocument"2目的3\o"CurrentDocument"3 職責3\o"CurrentDocument"4定義與縮寫4\o"CurrentDocument"5相關(guān)文件4\o"CurrentDocument"6程序46.1配置管理規(guī)劃46.2配置管理數(shù)據(jù)庫(CMDB) 56.3配置的變更、發(fā)布66.4配置狀況和報告66.5配置驗證和審計76.6績效指標8\o"CurrentDocument"7檢查與考核9\o"CurrentDocument"8 記錄9配置管理程序1合用本程序合用于服務組織所提供服務的IT服務項目的配置管理，包括用于構(gòu)建、發(fā)布、驗證、安裝、分發(fā)、維護、恢復和移除的硬件、軟件和相關(guān)文檔。其中文檔包括：服務級別協(xié)議(SLA)、規(guī)程、操作手冊、技術(shù)規(guī)范、組織結(jié)構(gòu)圖和許可證等。根據(jù)SLA,文檔可能存放在不同地點，但其版本號、發(fā)布日期、存放地點等信息應保存在配置管理數(shù)據(jù)庫中。2目的本程序提供有關(guān)基礎(chǔ)架構(gòu)的配置信息，為其他服務管理流程提供支持，如：事件管理和問題管理需要利用配置管理進行事件和問題的調(diào)查和分析；能力管理和可用性管理需要根據(jù)有關(guān)配置情況的信息分析和評價基礎(chǔ)架構(gòu)的服務能力和可能達到的可用性；發(fā)布管理的對象為基于配置庫的生產(chǎn)環(huán)境；3職責配置流程經(jīng)理負責評審和批準所有情況下的IT配置管理所涉及的相關(guān)活動。在合適時,流程經(jīng)理可以委派此責任給IT支持人員。配置流程經(jīng)理或者其代表負責此流程的符合性。編號角色職責1配置流程經(jīng)理負責所有配置計劃的制定和分析；負責配置庫的準確性、一致性并保持變更紀錄；2管理者代表負責組織對配置管理報告的評審；3評審組負責評審配置管理的報告與總結(jié)；4定義與縮寫1、配置管理(CM)指識別和確認系統(tǒng)的配置項、記錄和報告配置項狀態(tài)和變更請求、檢驗配置項的正確和完整性等活動構(gòu)成的管理流程。2、配置項(Q)配置管理中最基本的信息單元，用于滿足最終使用功能并被置于配置管理之下的一種軟件或者硬件的集合物。所有軟件、硬件和各種文檔、服務、服務器、環(huán)境、設(shè)備、網(wǎng)絡(luò)設(shè)施、臺式電腦、筆記本、應用系統(tǒng)、電信服務等都可以是配置項。3、配置基線(BL)指一個產(chǎn)品或者系統(tǒng)在某一特定時刻的配置狀況，惟獨通過正式的變更控制過程才可以變更。4、配置庫(CMDB)保存所有配置項的相關(guān)信息，包括配置項之間的相互關(guān)系的空間。5相關(guān)文件《信息安全和IT服務管理手冊》6程序配置管理規(guī)劃在IT服務正式實施和運作前，要對配置管理進行充分的計劃和安排。配置管理流程經(jīng)理為技術(shù)服務部的配置管理員，配置管理員負責自己管理的IT服務項目的《配置管理計劃》的編寫，并包括以下內(nèi)容：配置管理的目標和范圍與特定的服務支持小組相關(guān)的政策、標準和程序配置管理角色和責任安排配置項命名規(guī)則實施配置管理活動的日程安排和程序與第三方（如變更管理、供應商等）的接口控制配置管理數(shù)據(jù)庫的要求、存放、配置項運行的受控環(huán)境等配置管理的內(nèi)務工作，例如：許可證控制、配置項的存檔等等計劃的配置基線、重大發(fā)布、里程碑，以及針對以后每一個期間的工作量計劃和資源計劃2配置管理數(shù)據(jù)庫（CMDB）配置管理保障服務基礎(chǔ)數(shù)據(jù)的完整性，表現(xiàn)為維護一個CMDB（配置管理數(shù)據(jù)庫）。CMDB里面的內(nèi)容主要包括：文檔信息，包括服務SLA信息；服務設(shè)備信息，包括設(shè)備序列號、維保服務期限等；軟件信息；設(shè)備技術(shù)連接關(guān)系等；1、配置管理數(shù)據(jù)庫建立的主要來源包括：1）資產(chǎn)清單，明確組織的主要資產(chǎn)及其配置；2）配置需求，明確需要進行配置管理的對象及要求。2、配置庫的識別、建立、維護1）配置流程經(jīng)理負責識別由各部門提交的軟件產(chǎn)品，規(guī)劃配置庫目錄，討論通過后建立；2）由各部門和配置流程經(jīng)理共同負責更新、維護組織配置庫相關(guān)內(nèi)容；3）配置流程經(jīng)理負責對配置庫每月備份，將備份數(shù)據(jù)或者光盤交行政部存檔；3、配置庫權(quán)限管理1）配置流程經(jīng)理負責按《配置管理計劃》分配、管理組織產(chǎn)品庫的權(quán)限；2）配置流程經(jīng)理組織各相關(guān)部門討論、確定組織配置庫的權(quán)限分配并實施。4、識別并標識配置項1）配置流程經(jīng)理負責識別各部門提交的軟件工具/產(chǎn)品并對其進行標識，納入組織軟件庫；2）各部門及其客戶服務工程師負責分別識別本部門或者客戶的配置項，提交配置項清單給配置經(jīng)理，統(tǒng)一標識并納入組織配置庫。3）配置項的基本信息應包括：a）配置項的描述；b）配置項的類型：P-服務：服務或者服務組件；II設(shè)備：硬件設(shè)備；S-軟件：計算機軟件，包括操作系統(tǒng)、防病毒軟件等；D-文檔：電子或者紙質(zhì)文件、存儲的數(shù)據(jù)等；E-人員：提供服務的人員；c）配置項和其他配置項之間的關(guān)系；d）配置項和服務組件之間的關(guān)系；e）狀態(tài)；f）版本；g）位置；h）相關(guān)的變更請求；D相關(guān)的問題和已知錯誤。5、配置庫的安全CMDB應當存放于安全的設(shè)施環(huán)境中，應當采取必要安全措施防止未授權(quán)的訪問，包括病毒、蠕蟲等威脅的侵害；2）應當建立合用于CMDB的備份與恢復策略，并制定相關(guān)災難恢復的應急機制，每半年演練一次；6.3配置的變更、發(fā)布配置項的增加、修改、替換和刪除應當遵循變更和發(fā)布流程，由相關(guān)人員提交配置變更申請，技術(shù)服務部負責人予以批準后方可執(zhí)行，并予以正式發(fā)布；配置的變更、發(fā)布尊從相應的《變更管理程序》和《發(fā)布管理程序》。4配置狀況和報告1、配置狀況和報告的基本內(nèi)容配置管理按照配置管理計劃來開展配置管理工作，確保當前配置記錄的正確和更新，以反應配置項在狀態(tài)、地點和版本方面的變化信息可以事實追溯，并當在對既定配置項進行策劃、制定決策和管理變化是可用。配置項的狀態(tài)記錄包含了其生命周期內(nèi)完整的歷史、實時現(xiàn)狀信息。通過狀態(tài)記錄，配置管理員能夠追溯配置項的變化，如：指令、接收、接收測試、真實環(huán)境、撤銷和銷毀。需要時，用戶、顧客、供方和合作火伴通過向該項目的配置管理員提出配置信息的訪問請求，配置管理員按照其訪問權(quán)限和需求提供相應配置項信息。所有相關(guān)方都可以向配置管理員請求配置管理報告，配置管理報告涵蓋了該項目的配置項的標識和狀態(tài)，以及版本和相關(guān)文件。包括但不限于：1）配置項名稱2）配置項標識3）配置項物理位置4）配置項版本5）配置項構(gòu)成2、配置狀況和報告的基本要求配置經(jīng)理負責每季提交配置管理狀態(tài)報告給高層和相關(guān)部門經(jīng)理，報告配置項狀況。配置經(jīng)理必須每季檢查CMDB中相關(guān)項目的配置項信息，確認CMDB中的數(shù)據(jù)處于更新狀態(tài)，并且沒有錯誤。配置經(jīng)理應當每季對CMDB中相關(guān)項目的配置項信息進行分析，并提交分析報告，初始分析報告中應當包括所有IT基礎(chǔ)架構(gòu)相關(guān)軟硬件設(shè)備的用途、型號、版本信息、授權(quán)信息等內(nèi)容，還應該包含需求參數(shù)、設(shè)計、測試報告和發(fā)布文檔等信息，建立配置基線（包括適應于相關(guān)環(huán)境的標準軟硬件配置、配置項之間的關(guān)系與依賴情況等），之后的每季報告重點在于描述相關(guān)軟硬件設(shè)備的工作情況，預測這些設(shè)備與需求之間的匹配趨勢，確定是否需要啟動變更與發(fā)布流程；6.5配置驗證和審計1、配置驗證與審計的內(nèi)容與要求配置經(jīng)理承擔配置驗證和審計的職責，在IT服務項目管理中安排工作項對配置管理工作進行檢查和審計，確保配置工作的落實。驗審的重點包括：④抽查的硬件配置項與真實記錄對應的實體皿抽查的軟件配置項介質(zhì)、許可證和密鑰管理是否受控也抽查的文檔配置項記錄是否正確、清晰和在受控日期內(nèi)他抽查變更、發(fā)布、系統(tǒng)和環(huán)境符合管理流程的要求，檢查配置記錄是否正確3、配置驗證與審計的時機與方式配置經(jīng)理在項目計劃中安排周期性的配置審計（每半年1次），并在重大變更發(fā)生之前和之后、災難發(fā)生之后或者服務偶然中斷之后都進行追加審計。每次驗審都在《配置狀況年度報告》中記錄下評審差異及不符合項，配置管理員在《配置狀況報告》中寫出糾正措施并實施，實施后配置經(jīng)理安排再次驗審直至差異消除，不符合項均得以