it安全管理规范

2024-09-08

it安全管理规范（通用6篇）

it安全管理规范篇1

3.1 IT: Information Technology，意为信息技术，是主要用于管理和处理信息所采用的各种技术的总称。

3.2 IT设备：泛指由信息管理部IT组管理的用于办公及信息技术服务支持相关的电子设备，包含：个人台式电脑、手提电脑、打印机、服务器、路由器、交换机、多媒体、一卡通终端、摄像机等电子设备。

3.3 公司级信息系统: 应用于多个部门，或直接影响公司核心业务的信息系统。包含：ERP系统、MES系统、一卡通等信息系统。

3.4 IT安全：IT安全是指IT相关系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，服务不中断，对于可能发生的各种隐患防范于未然。4 职责

4.1 本文件由信息管理部IT组归口管理与组织实施，并负责编拟、修改和完善；

4.2 制定集团整体的IT安全策略，并具体负责防火墙管理、网络流量监视与控制、以及域策略实施；

4.2信息管理部负责依据集团的IT安全策略，按照要求进行具体的相关实施及运维。5 具体内容与工作程序 5.1网络安全管理

5.1.1 信息管理部负责信息网络的规划、建设、维护、管理和控制； 5.1.2 信息管理部应绘制公司信息网络之网络拓扑结构，并及时更新维护；

5.1.3 信息网络接入internet网之出/入口应配置硬件防火墙，并制定适合安全规则；（当前为香港IT负责此工作）

5.1.4 公司信息网络划分VLAN管理，各交换机之VLAN配置应保有文档，如有变化应及时更

新。

5.1.5 应对网络流量进行监视与控制,此工作由中国区IT协助香港IT施行。5.1.6 定期检查网络硬件设备状态，若巡检中发现问题需在OA中保存检查记录

5.1.7公司网络内应安装正版网络版杀毒软件，杀毒软件的安装与卸载应由IT运维人员操作。5.2 域安全管理

5.2.1 公司对PC/LAPTOP的入网施行域控管理，实施域控服务后，可进行访问人员的身份认证并可有效控制病毒扩散产生的影响。域控服务器的相关配置由香港IT实施，域策略的制定亦由香港IT实施。

5.2.2 信息管理部/IT负责中国端域控服务器之硬件状态及软件状态监视，如有问题应及时通知香港IT；

5.2.3 信息管理部/IT根据相关策略及时将中国端PC/LAPTOP入域，并对域帐户进行管理 5.3 密码安全管理

5.3.1 应根据信息安全需求，准确确定密码管理之对象。应根据安全需求级别，对密码进行分级管理。高机密密码应限制知晓人数，并有专人进行定期密码更改并存档；

5.3.2 密码设置策略应符合信息安全通用规范,由不低于6位的大小写字符及数字和特殊字符组成。

5.3.3 用户需按照附录A《用户密码设置及使用标准》设置及使用密码； 5.3.4系统管理人员不允许在密码没有通过身份验证的情况下覆盖或重置密码。5.3.5系统管理人员不允许将密码存放在公开可读的文件中。

5.3.6系统管理人员不允许将密码发送给用户，特别是通过未加密的电子邮件。5.3.7系统管理人员应根据信息安全需求,密码应定期进行强制更新。5.4数据安全管理

5.4.1数据必须定期、完整、真实、准确地备份转储到永久性介质上。

5.4.2应定时检查备份文件中是否存在备份失败的记录，如发现有备份任务失败的记录，需要检查故障原因，并进行排除。

5.4.3备份人员必须认真、如实检查服务器的数据记录项，以备后查。

5.4.4备份周期：各信息系统每个工作日进行数据本地备份，所有系统至少每月在异地留有数据备份。5.4.5备份介质

a)备份介质要由专人负责保管工作，备份介质要严格管理、妥善保存。

b)备份介质应在指定的数据保险室或指定的场所保管，保存地点应有防火、防热、防潮、防尘、防磁、防盗设施。

c)备份介质应按照各系统规定的最短保存期限存放。

d)不再使用的备份介质应在要销毁时，超过规定存放周期的可直接进行销毁或删除，未达存放期限的应先经过部门领导审批，然后消磁、销毁。5.4.6数据恢复

a)一旦发生系统故障或数据破坏等情况，要由信息管理部相关的管理员进行备份数据的恢复，迅速恢复系统，确保系统正常运行。

b)每年进行备份数据恢复测试演练，测试应在测试环境中进行，严禁在正式使用的系统中进行恢复测试。

c)恢复测试内容包括备份数据恢复、系统恢复、故障排除等内容。如果发现不能恢复的数据，则需要及时进行检查，确保备份数据的有效性。

d)数据恢复测试结束后，应记录测试的真实步骤、结果及改进措施等。e)恢复确认不存在问题后，要及时清理测试环境数据。5.5 机房安全管理

5.5.1机房建筑符合GBJ45-1987中规定的二级耐火等级防火，并配置火灾自动报警和灭火系统。按面积和设备数量配备适合计算机设备使用的灭火器（严禁使用干粉、泡沫灭火器）。5.5.2独立机房必须有避雷针等避雷设备，非独立机房应当具有符合要求的接地条件，确保接地体良好的接地。严格独立设置信号地与直流电源地和避雷地。

5.5.3应有较完备的空调系统，保证机房温度/湿度的变化在计算机运行所允许的范围。防止空调冷凝水漏水、加湿器漏水等事故造成网络系统、供电系统和服务器设备损坏。对工作人员进行教育，充分了解机房各水管开关阀门的准确位置，会处理应急事件。

5.5.4应采用接地的方法防止外界电磁干扰和设备寄生耦合干扰，采用屏蔽方法，对信号线、电源线进行电屏蔽，减少外部电器设备和机房内部强电干扰源对计算机系统的瞬间干扰 5.5.5机房供电必须保障双回路供电并安装保障机房最大负荷断电后不小于60分钟正常供电的不间断电源。供电系统应照明用电与网络系统供电线路分开，并配备应急照明装置.5.5.6所有的人员必须在信息管理部IT人员的带领下进入机房。短期工作人员、维修人员、参观人员必须有专人陪同进入机房。没有管理人员的明确准许，磁铁、私人电子计算机或电子设备、食品及饮料等与工作无关的物品均不准带入机房。任何记录介质、文件材料均不准带出机房。

5.5.7 设备的电源和通信线路应该铺设在机房地板下，或者采取足够的保护设施保护网络电缆以防未经授权的窃听或损坏，并保护电力电缆不受损坏。电力电缆应该与通信电缆隔离，以防干扰。除维修设备外，不得在机房内接插与设备运行无关的电器。用户密码设置及使用标准 1.用户密码设置及使用注意事项

 第一次登录系统时的初始密码/默认密码必须第一时间更改；

 密码设置策略应符合信息安全通用规范,由不低于6位的大小写字符及数字和特殊字符组成；

 定期更改密码（每六个月）；

 如果发觉系统密码已泄露需立即更改密码并通知系统管理员；  不能在没有保护的情况下将密码记录在任何地方（例，贴在桌面）；  不能将密码存储在任何设备上（例，便携硬盘、U盘）；

 不能在网络或浏览器设置“记住密码”的功能；  域用户密码在连续登陆5次失败后则会立即锁定账号；

 每一位用户应有保护账号密码的责任。严禁将个人账号及密码告知他人代使用！2.系统密码及账号注意事项

 系统预先设置了无效登陆密码次数，如果超过登陆次数则自动锁定该用户，如要再开通账户需联系IT系统管理员进行处理。

 用户设定的密码长度短于系统设定长度或重复使用密码超过三次，系统账号将禁止登录使用。

 所有系统账号每三个月进行账号检查，如无部门负责人特殊解释说明，将统一锁定/删除账号。

it安全管理规范篇2

中国矿山井下低压配电系统广泛采用IT系统接地型式[1]。从人身触电防护的角度来看,该系统相比TN系统和TT系统更为安全。然而,长期以来人们对IT系统接地技术在理解和应用上还存在些许偏差。本文首先从IT系统的第一次接地故障原理着手,讨论接地故障电流及其与接触电压的关系,以期纠正GB 50070—2009《矿山电力设计规范》中的错误概念;其次通过比较IT系统与TN系统发生触电时的情况,定量分析井下采用IT接地系统的优势。

1 IT系统第一次接地故障原理

IT系统的配电源中性点不接地或经高阻抗接地,而电气设备外露可导电部分接地。图1为经高阻抗接地的IT系统典型原理,其中点划线表示IT系统内发生第一次接地故障时故障电流的路径。假设电源中性点的接地阻抗Zct=1 500Ω,外露可导电部分的接地极与保护导体PE线电阻之和RnA=5Ω。当发生第一次某一相接地故障时,经过接地故障点存在2个接地电流:Id1,它是与故障相电压同相的电阻性电流,由故障相经接地故障点及外壳接地线,再经过Zct构成回路,该电流不流过RnA;Id2, 它是超前相电压90°的电容电流,由故障相经接地故障点及外壳接地线,再经过RnA、非故障相电缆和大地之间的电容构成回路,该电流不流过Zct。接触电压Uf=Id2RnA,正常环境下Uf≤50V是安全的, 在井下则规定为Uf≤36V。线路越长,线路电容越大,Id2越大,Uf越高;RnA越小,Uf越低。因此,Zct对Uf 实际上没有影响,误把Id1当成Id2与RnA相乘求得Uf是不恰当的。如果Id1=0,该系统便转换为中性点绝缘系统。

图1 经高阻抗接地的IT 系统典型原理

2 GB 50070—2009第4.1.3条探讨

GB 50070—2009第4.1.3条规定:井下低压配电系统接地型式应采用IT系统,配电系统电源端的带电部分应不接地或经高阻抗接地,且配电系统相导体和外露可导电部分之间第一次出现阻抗可忽略的故障时,故障电流不应大于5A。

其中“故障电流不应大于5A”的依据最早来自YS 5030—1996《有色金属矿山电力设计规范》第3.1.3条规定的条文说明。该条文解释大概含义:低压配电网在采用不接地方式时有2种情况发生,一是当采用常规检漏继电器进行接地保护时,由于井下潮湿,继电器经常处于动作状态,所以现场常装而不用,造成无接地保护状态;二是新的绝缘监测装置处于试用阶段且成本高,不利于推广。因此,考虑借鉴国外的经电阻接地方式。低压配电网中性点经电阻接地是在配电变压器的中性点接入适当的电阻器,限制其发生单相接地的接地电流为一较小值(如可不超过5A)。将单相故障电流限制到5A,是为了保证井下的人身安全。因为即使井下接地电阻增大到4Ω时,对地电压为接地故障电流5A与接地电阻4Ω的乘积,其数值等于20V,也是相当安全的[2]。从上述条文解释中可看出,YS 5030—1996是用电阻性电流Id1与变压器中性点接地电阻的乘积来考量接触电压Uf的大小,从而判断影响人体安全的程度。

根据GB 16895.21—2011/IEC 60364-4-41: 2005《低压电气装置第4-41部分:安全防护电击防护》的规定,IT系统带电部分必须是对地绝缘或通过高阻抗接地,即变压器中性点不接地或经大于1 000Ω以上的高阻抗接地;外露可导电部分的接地电阻无论采用何种接地型式,都应满足RnAId2≤50V的条件[3]。按照GB 50070—2009的规定,在井下接触电压小于等于36V,井下接地电阻不应大于2Ω。若取RnA=2Ω,RnAId2≤36 V,则Id2≤18A,完全符合IEC 60364-4-41:2005规定,但该取值范围却大于GB 50070—2009第4.1.3条规定的“故障电流不应大于5A”,很显然“故障电流不应大于5A”的规定不是依据IEC 60364-4-41:2005而来的。

若要求故障电流不大于5 A,对于井下380/220V低压电网中性点所连接的接地电阻为46Ω即可,但中性点接46Ω的电阻则不能称之为IT系统,只能叫做小电阻接地系统。采用小电阻接地系统的目的是为了保证漏电保护装置的可靠动作,而与接触电压Uf无关。IT系统应满足的2个条件:一是电源中性点不接地或经高阻抗接地;二是保证接地电容电流与保护阻抗的乘积不大于接触电压。而对于IT系统中保护阻抗和电容电流的大小不做规定。实际在井下IT系统中,电容电流Id2达不到18A,即使是5A也很难达到。因此,“故障电流不应大于5A”的规定是没有必要的。

3 基于IT和 TN 系统的触电计算与分析

3.1 IT 系统泄漏阻抗计算

在IT系统中每相对地都存在泄漏电阻和泄漏电容,一般1km长的电缆每相泄漏电阻R1=R2= R3=10MΩ,每相泄漏电容C1=C2=C3=0.6μF。当电源频率f =50 Hz时,角频率ω =2πf≈314rad/s。由1/Req=1/R1+1/R2+1/R3可得1km长电缆的等效电阻Req≈3.33 MΩ,等效电容C=C1=C2=C3=0.6μF,等效容抗Xeq=1/3Cω≈1 769Ω,等效阻抗Zeq为等效电阻与等效容抗的并联,由于等效电阻远远大于等效容抗,所以工程计算时可忽略等效电阻,即等效阻抗Zeq= Xeq = 1 769Ω。

3.2 IT 系统触电分析

利用戴维南定理对IT系统单相接地故障进行等效处理,如图2所示。其中U0为相电压;RN为保护接地电阻;RU为PE保护线电阻;Rf为故障点电阻。故障电流If=U0/(Zeq+RN+RU+Rf)≈U0/ Zeq,接触电压Uf=IfRU,其中U0=220 V,RU= 2Ω。当线路长度为1km时,If=U0/Zeq=220 V/ 1 769Ω≈0.12 A,Uf=IfRU =0.12 A×2Ω= 0.24V;当线路长度为30km时,If=30U0/Zeq= 30×220V/1 769Ω≈3.73 A,Uf=IfRU= 3.73A×2Ω=7.46V。

图2 IT 系统单相接地故障

人体电阻变动范围很大,IEEE Std80—2000《交流变电站接地安全导则》选用人体电阻Rb= 1 000Ω。IT系统出现第一次接地故障时,当人触摸带电金属外壳,加到人体上的接触电压Uf=7.46V (线路长度为30km),远远小于安全电压36V,且流过人体内的电流Ir=Uf/Rb=7.46mA,也远远小于安全电流30 mA,所以当井下采用IT系统发生间接触电时,不会给人身带来伤害,IT系统发生接地故障时仍可持续供电。

一般带电导体都有防护和隔离措施,然而,当防护失效或隔离不当时,不排除直接触电的可能性。当IT系统发生直接触电,线路长度为1km时,加在人体上的电压为[4]

则人体所承受的电流Ib=Ub/Rb=108.3 V/ 1 000Ω≈108mA。

当线路长度为30km时,等效电容C=30×0.6μF=18μF,代入式(1)可得Ub≈219.6V,Ib≈220mA。由此看来IT系统发生直接触电时也是非常危险的。

3.3 TN 系统触电分析

图3为TN系统单相接地故障[5]。当考虑标称相电压U0=220V、线路上有20% 的压降时,间接接触电压Uf=0.8U0/2=88V,间接接触电流Ir= Uf/Rb=88V/1 000Ω=88mA。当发生直接触电事故时,加在人体上的电压Ub=U0=220V,此时人体所承受的电流Ib=Ub/Rb=220V/1 000Ω= 220mA。计算结果表明,TN系统中无论是发生直接触电还是间接触电,其加于人体上的电压和电流均大于安全值。

图3 TN 系统单相接地故障

4 结语

it安全管理规范篇3

7月26日北京奥组委宣布，北京2008奥运会特许商品计划为期一年的试运行阶段正式启动。据悉，北京将有10家特许经营商（即特许商品的生产企业）和7家特许零售店(特许商品的销售企业)在8月初正式开业，生产和销售北京2008奥运会的特许商品，主要包括体育用品、文化用品、休闲服饰、带有2008年奥运会系列标识的工艺品和旅游纪念品等。这些特许企业将以向北京奥组委交纳特许权费的方式获取生产或销售特许商品的权利。而除了统一特许商品的市场零售价格和产品形象外，该计划最有特色的莫过于统一的销售渠道：特许零售店将采用统一的店面形象，零售店内部也将统一悬挂由北京奥组委颁发的特许零售店标识。

此次特许商品计划正式启动后，北京奥组委将根据市场需求，逐步扩大特许零售店的规模和数量，并将批准北京以外的地区开设特许零售店，而特许商品的销售收入将以特许权费的形式划归到北京奥组委专项资金，用于北京2008奥运会的筹办。（徐亚岚）

联想IT服务置换亚信股权

7月28日，联想集团与亚信科技在京签署协议，联想以其IT服务业务主体部分作价3亿元，置换亚信15%的股权。这意味着双方通过业务资产和股权置换的方式，实现了亚信公司与联想集团IT服务业务的合并。

双方合作后，联想将成为亚信公司单一最大股东，原亚信控股有限公司将更名为“亚信联想控股有限公司”，下辖两块业务：一块是以原亚信科技主营业务通信软件与专业服务为主体的亚信科技（中国）有限公司，另一块是以原联想IT服务业务为主体的非电信IT服务业务的新公司——联想亚信科技有限公司。新成立的“联想亚信”公司将在两年内独立运作，并由联想副总裁俞兵担任直接领导。杨元庆对此信心百倍：“此次与亚信的合作，是联想以全新机制长期投资IT服务思路的体现，我认为这种方式将会促使IT服务业务得到更好的发展。”亚信总裁张醒生对合作也寄予极大期望：“亚信和联想新的融合、新的合作将非常便于把两个优势集合在一起，共同打造一个IT航母。”（陈亮）

电力线宽带规范2006年完成

多年来，电力线宽带技术在全球范围都被认为尚不成熟，一直没有得到广泛应用。最近情况发生了改变，美国电气电子工程师学会（IEEE）日前开始制定电力线宽带（BPL：Broadband overPowerLine）硬件规格“IEEE P1675”，并将在2006年中期完成规格的制定。IEEEP1675规格旨在对地上及地下使用的BPL基础设施硬件制定一揽子标准，另外还提供对BPL设备进行安全设置的指南。

BPL使用融合计算机与路由器的设备与耦合器，将来自变电所的信号导入光纤，然后加载到中压线的电流信号上发送出去，实现宽带网接入。BPL工作组指出，电力线宽带提供互联网接入的新选择，还能够解决“最后一公里”问题，大多数电力公司都在考虑提供BPL。

IT服务台规范篇4

第一条、服务台作为客户的唯一接口，是用户的感受重要感知窗口，为加强对服务台的管理，规范服务台工作人员的服务，使客户享受到标准、热情、负责、耐心的服务，提高客户满意度，树立一汽启明良好服务形象，更好的服务广大 IT 客户，特制订本制度。

第二条、本制度主要定义服务台人员在为 IT 客户服务时的服务规范，特别是语言和礼仪行为规范，并规定了对客户投诉、故障上报的处理规范和一些工作纪律。第三条、本制度的适用范围为一汽启明服务台人员。

第四条、本管理制度如有与其他制度有冲突之处，在适用范围外以启明公司的《内部管理规章制度汇编》及《服务体系总体规范》为准，在适用范围内以本制度为准。本制度的所有权和解释权属于技术服务部。细则

第五条、提前做好各种服务准备工作

1)时间准备：至少提前 5 分钟到岗做准备

2)资料准备：登录 IT 服务业务系统，准备好各种服务政策和产品技术资料以及各种表格。3)情绪准备：保持良好的心态，稳定情绪，接听电话前应面带微笑；不要将生活中的情绪带到工作中来。

第六条、服务台的所有人员在为客户提供支持服务时，必须礼貌、真诚的提供服务，对待客户应耐心，仔细倾听客户的描述，提出积极的建议，体现服务台支持人员专业的精神面貌。

第七条、在服务台，由支持人员负责所有与客户的电话交流，包括处理客户的咨询、事件、投诉和回访客户等。在电话交流中，必须以规范的语言与客户进行交流。1)及时接听：电话铃响3声内必须接起

2)主动问候：使用标准问候语“您好！启明公司，我是 XXX（或**号），请问有什么可以帮助您？”，吐字清晰、明快。

3)积极沟通：聆听客户陈述，积极引导客户解决问题。在与客户的交谈中，必须以礼貌的方式向客户提出问题，必须使用以下语句：“我可以了解一下您 XX（计算机/网络/应用软件等）的情况吗？”，“您能否详细描述一下您的问题？”，“您机器的问题（或这种现象）持续多久了？”，“我能可以使用 XX 工具来帮您解决问题吗？”。支持人员在处理客户相同问题的再次来电时，必须使用下列标准的语言：“您是否可以告诉我您的事件 ID 号？”，“您还需要什么进一步的帮助？”，“您对上次处理的结果是否有疑问？”。

4)如果在线可以解决的，要向非专业 IT 的客户解释清楚，直到明白你所帮助做的工作及处理的方法。5)界面亲和：语言清晰严谨，态度耐心亲切。在处理客户对处理情况的询问时，如果事件已经处理完毕，应回答“您在 XX 时间提交的事件已经解决。”并说明解决方式、解决时间如果事件没有关闭应回答“对不起您在XX时间提交的事件还在处理中我们将在解决后的第一时间通知您。”同时必须尽可能告知事件预计解决的时间。

6)保修判断判断客户的机器是否属于维修或是保修范围。

7)维修服务若问题无法通过电话解决首先处理好客户界面详细记录客户信息按相应的服务流程处理。传达事情应重复重点对数字、日期、时间等应再次确定以免出错。

8)不忘承诺如果需要回复承诺回复时间。如果是上门服务先承诺回复时间与站内相关岗位确认备件、人员安排等情况后再打电话告诉客户上门时间。

9)结束有礼必须以下列语言结束与客户的电话“谢谢您给启明服务台的来电再见”。挂电话前确定对方已挂断电话才能放下听筒。

10)传递及时将客户信息及时传递给相应的人员或部门。

第八条、热线电话不应该

1)不该对客户说“不”——直接拒绝客户的合理要求。2)不该在接听电话时吃、喝或嚼东西。3)不该对客户承诺没有把握的事情。

4)不该泄漏公司内部秘密向客户陈述公司运作细节。5)不该在热线工作环境内大声喧哗、嬉戏。6)不该使用热线电话作其他非工作的事情。

第九条、接听投诉电话应注意

1)注意态度保持良好的心态态度和蔼不急不燥。注意语音、语调及语速的灵活掌握。

2)注意记录投诉处理坐席对于客户的投诉电话必须准确记录投诉信息并依照投诉反馈流程对投诉进行处理并跟踪处理情况。

3)注意安抚处理好客户界面耐心安抚平息客户的怨气避免与客户纠缠以往的不快严禁与客户争执。

4)注意道歉对客户的不满表示歉意。

5)解决时限对于一般的投诉应在3个工作日内予以解决。

6)投诉处理对于客户投诉的对象如查实违反相关规定应按照规定予以严肃处理并将处理结果反馈给投诉的客户。

7)投诉反馈对于投诉的处理结果必须及时通报客户。

第十条、服务台支持人员处理客户报告的事件时必须严格遵循服务台与突发事件管理流程的规定来执行。

第十一条、服务台支持人员必须尽可能的将事件信息详细的按流程管理平台的格式录入流程管理平台录入时间可以是接听客户的电话时或挂断后对于关键字段的录入要求准确。服务台将把事件录入率作为服务台支持人员业绩考核指标之一。

第十二条、服务台支持人员在需要时可以使用远程访问工具对客户的计算机进行诊断但是使用工具前必须告知客户并得到客户的同意使用远程工具时不得在客户计算机上进行与诊断无关的任何操作。

第十三条、每个客户电话的处理时间不应超过10分钟如果超过10分钟还不能解决除非客户愿意继续否则应礼貌的告知客户将安排其他人员处理这个事件并将电话根据事件类别派给现场或是二线支持团队。

第十四条、对于不是服务台支持人员解决的事件或者服务台支持人员无法解决的事件应及时指派给其他支持团队。

1)对于需要现场支持人员解决的事件应及时分配任务给现场支持团队并跟踪事件的状态。2)在分配任务给其他支持团队时除了通过流程管理平台分配外应电话与相关人员沟通确保后续处理人在第一时间处理该事件。

第十五条、服务台支持人员在处理客户提出的支持范围外的询问或者求助时应耐心予以帮助给予必要的解释并尽可能告知正确的处理部门和联系方式。

IT服务管理篇5

——ITSM的企业应用浅析

IT服务管理（IT Service Management，ITSM），是一套面向过程、以客户为中心的规范的管理方法，它通过集成IT服务和业务，协助企业提高其IT服务提供和支持能力。ITSM的本质是一套方法论，即帮助企业对IT系统的规划、研发、实施和运营进行有效管理的高质量方法论。IT服务管理结合了高质量服务不可缺少的流程、人员和技术三大要素——标准流程负责监控IT服务的运行状况，人员素质关系到服务质量的高低，技术则保证服务的质量和效率。这三大关键性要素的整合使ITSM 成为企业IT管理人员管理企业IT系统的法宝和利器。

IT服务管理的国标标准是ITIL，ITIL是英国政府中央计算机与电信管理中心（CCTA）于1980年开发的一套IT服务管理标准库，旨在解决IT服务质量不佳的情况。ITIL所强调的核心思想是应该从客户（业务）而不是IT 服务提供方（技术）的角度理解IT 服务需求。ITIL标准独立于任何厂商，且基本与组织性质和业务性质无关，另外其只总结IT服务管理领域最重要的实践部分。可以说ITIL只是IT服务管理实践的合理抽象，它仅明确指出应该做什么，但不讲如何做。当企业或其它组织具体实施ITIL时，就可以把标准具体化，建立自己的方法论。企业在运用含有质量管理思想的ITIL所提供的流程和最佳实践进行内部IT服务管理时，不仅可以提供用户满意的服务从而改善客户体验，还可以确保这个过程在符合成本效益规则的基础上位企业创造价值和利润。

IT服务管理不同于传统IT管理的最重要的特征在于，ITSM强调IT和业务需求有效融合的同时注重IT投入的成本和效益。从信息系统建设前来看，IT服务管理需要针对组织业务和客户的可用性需求对IT基础架构配置进行合理的安排和设计，避免盲目的IT投资和重复建设；从信息系统运作以后来看，IT服务管理需要通过事件管理、问题管理等流程支持IT基础架构和组织业务的持续运作，保证IT资源的有效利用和业务运作的高可用性、高持续性和高安全性。IT服务管理将所有IT投入纳入统一核算，为考核IT服务的成本和效益提供了可靠的评价依据。

“三分技术，七分管理”是技术与管理策略在整个IT行业中各自重要性的体现，没有完善的管理，技术就是再先进，也是无济于事的。而作为IT效能管理的ITSM，是一种提高IT管理效能的工具。对于管理者来说，ISO9000是一个很熟知的质量管理标准；从通俗意义上讲，ITSM就是一个把企业规范的运作体系利用IT系统进行管理的一种标准体系。它是一个整和了全世界很多成功企业信息管理经验的知识库，通过对前人经验与企业自身业务需求的分析，帮助企业把纯粹的IT投资，成功转化成有序的信息管理模式。对于公司的管理阶层来说，ITSM是一种提高管理效能的工具。

ITSM作为一个高效管理工具，其具有以下三个特点：

① 共性——ITSM是一种基于ITIL标准的信息化建设的国际管理规范。ITIL体系提供了“通用的语言”，为从事ITSM的相关人员提供了共同的模式、方法和同样的术语，使用户和服务提供者通过有共性的工具深入讨论用户的需求，很容易达成共识。

② 中立——ITSM为IT管理提供了实施框架，这样可以让用户不会受制于任何单独的服务提供商。ITSM不针对任何特殊的平台或技术，也不会因下一代操作系统的发布而改变。

③ 实用——ITSM是一种以流程为导向、以客户为中心的方法，它在兼顾理论和学术的同时，非常注重实用和灵活。

正是由于这些显著的特点，ITSM得到了越来越多企业的认可和青睐。对一个企业来说，不管其IT架构多大，都需要ITSM。近几年来，随着IT系统和技术的不断复杂化，现代企业面临着巨大的危机和挑战。因而企业需要对整个IT系统进行全面有效的管理，保持IT基础架构的可靠性和可用性，以便支撑业务的正常运作，扭转被动的局面。IT部门在满足企业业务需求的同时，还要承受来自内部和外部的压力，因此必须控制IT系统的预算，降低IT成本。总之，企业的竞争压力是不允许企业有丝毫的动作迟缓，所以IT部门必须提高运作变化的灵活性和反应速度。基于以上各种因素给企业运营带来的高风险威胁，企业需要进行分析和回避，以免造成毁灭性的打击。

企业为了增强竞争优势确立了以客户为中心，对外开拓市场，对内降低成本的服务理念，IT服务管理必须能够紧扣客户需求和业务流程，从而确保IT作为一种服务模式帮助企业实现目标。同时，由于IT投入巨大，组织为了降低成本必须评估和控制IT投资。这都促使传统的以技术为中心的IT管理模式向以服务为中心的IT管理模式的转变。IT服务管理以流程为导向、以客户为中心，通过整合IT服务与组织业务，提高了组织提供IT服务和对IT服务进行支持的能力和水准。

IT服务管理的核心思想是：IT组织，不管它是组织内部的还是外部的，都是IT服务提供者。IT组织的主要工作就是提供低成本、高质量的IT服务。而IT服务的质量和成本则需由IT服务的客户(购买服务的人或组织)和用户(使用服务的人或组织)加以判断。IT服务管理是以服务为中心的IT管理，与传统以技术为中心的IT管理有着根本的区别。IT服务管理将传统管理的重点如各种技术管理工作等进行规范整合，形成典型的流程。当用户需要IT服务时，IT组织根据用户的需求将流程组合成用户特定的IT服务，然后灵活、及时、有效地提供给用户，这样有利于保证服务质量，准确计算有关成本。

另外，IT服务管理不能等同于ERP、CRM和SCM等业务信息系统，ERP、CRM和SPM等面向业务管理，而IT服务管理面向IT管理，重点是IT系统的运营和管理，是确保组织战略得到有效执行的战术性和运营性活动。IT服务管理主要任务是管理客户和用户的IT需求。技术管理如系统管理和网络管理是IT服务管理的重要组成部分。IT服务管理的主要目标不是管理技术, 而是如何有效地利用IT资源恰当地满足业务部门的需求。

IT服务管理作为一种新的IT管理方法和理念，目前正处于方兴未艾的发展期。全球已有超过1万家公司和多个政府部门成功实施了基于ITIL的IT服务管理。相比较而言，我国IT服务管理还处于发展初期。从事IT服务管理及相关领域研究、咨询和培训的公司的数量相对较少，相关出版物严重缺乏，还没有成立相关的行业协会或论坛，尚处于概念推广的阶段。另外，我们对基本的IT服务管理理念宣传和推广还不够，同时存在成功案例少且有部分“伪案例”的问题，因而国内企业在ITSM领域扮演的只是一个追随者的角色。在“三流企业做产品，二流企业卖服务，一流企业定标准”这个IT行业的规律面前，我国企业在国际环境中处于一个极为不利的位置。总体上来说，在IT服务管理领域，我国与国外存在着10年以上的差距，所以形势并不容乐观。

但是，中国作为发展中的大国，如何利用好国外IT服务管理的经验，是我国企业和政府正在探索中的问题。就目前我国企业信息化应用状况来看，越来越多的企业已经认识到IT服务的价值，并进行了多方面的探索和实践，可是其效果并不是很理想。造成这种状况的一个重要原因，是因为大部分企业提供IT服务的过程还停留在“粗放式”的阶段，缺少成熟有效的方法的指导。而ITSM作为一个在国际上发展多年并取得很大成功的领域，其所倡导的标准化方法和流程，为我们提供了一种较好的思路。我们应当充分发挥后发优势，在吸收国际的先进管理理念和方法的基础上，进一步开发符合我国企业情况的、有中国特色的IT服务管理体系。

目前，IT服务管理已经走出了传统的电信和银行两大行业，开始在各个行业得到推进，政府部门、能源、制造业、IT行业的客户，不断得到增加。

然而，对于ITSM的实施，很多企业还是局限在事件监控的阶段，谈不上真正意义上的IT 服务管理。这种局限，与企业对ITSM 的认识有关，它们常常身陷在ITSM 实施的误区中。总的来讲，企业实施ITSM存在两种误区：

一是按照ITIL 流程，规划公司整体系统、设定流程。虽然ITIL是基于实际应用得出的最佳实践，但是企业不结合自身的业务状况，盲目照搬，可能会使流程与业务不符。另外，高额的实施费用、较长的实施周期，容易让企业失去信心，这也是ITSM 推广的难点之一。

二是企业片面注重了ITSM 方案下“所见即所得”式的实施效果，却往往忽略了实施之后，是否真的解决了IT 运维方面的实际问题。因此，企业应在实施ITSM与企业风险之间找到一个平衡点，才能更好地发挥ITSM 作为IT运维部门的管理平台，联系IT 系统与业务流程的纽带，保证业务系统可靠地运行，提高IT系统的效率，让IT更好地服务于业务的作用。

经过前几年IT服务管理市场的培育，越来越多的组织和人员了解IT服务管理，知道ITIL 和ISO20000，不少组织开始尝试将IT服务管理相关理念、标准和方法运用到组织的IT 管理当中。开展ITIL、ISO20000 培训和咨询的组织日益增多，这将带来IT服务管理培训咨询市场一定程度的增长。

展望2011年，中国IT服务管理整个领域（包括标准、应用实施、软件、咨询培训和产品实施等）将欲发活跃，充满商机，同时，整个市场也是竞争激烈。

此外，在IT 服务管理系统市场，一方面新的业务需求甚至公司战略对I T提出新要求，例如法律法规遵从等；另一方面目前I T所运营的环境还是相当脆弱，IT环境越来越复杂，业务对技术发展的依赖性越来越高，频繁的业务需求变化，必须要求IT能够充分了解业务需求以适应业务的变化。因此，各个公司都在寻求通过I T服务管理的最佳实践降低成本并改善服务水平。

国内外各厂商都看到了中国I T服务管理市场的发展潜力，许多原来做网络监控软件厂商都欲进入该领域，而且纷纷宣称自己的产品符合ITIL标准，属于IT服务管理产品，因此，未来中国I T服务管理市场竞争者将会日益增加，市场也会更加活跃。

面对中国的I T服务管理市场庞大的市场空间，如何能够迅速进驻并占据一定的市场份额，对于提供解决方案的厂商来说，需要在研究客户需求、提高产品技术水平的同时，还要针对中国企业的特点，增强以下几个方面的能力：一是支持I T管理提升和变革的能力。IT 服务管理产品要支持先进的管理模式和标准，厂商应具有一定的管理咨询服务能力，支持用户的管理变革和提升。同时，产品要具有一定的可扩展性和定制性，结合用户根据本企业的特点，支持定制化应用。二是实施服务能力。在系统实施上，厂商要具有实施服务能力，指导客户顺利实施系统。三是后期连续性的服务。IT 服务管理的实施和应用是一个分阶段的过程，需要不断更新和扩展，客户需要产品提供商能够提供后期连续性的服务。

IT管理制度篇6

根据公司质量管理体系，以及计算机应用的需要，由IT部制定本管理制度，并负责本管理制度的具体执行。

一、计算机硬件管理：

1、公司的所有计算机及外围设备是公司的固定资产，根据实际工作需要配备给各部门人员使用，各部门使用人员必须加以爱护、保持整洁，并保证良好的使用环境。

2、由IT部对公司所有计算机设备进行统一编号，建立计算机硬件明细台帐，并定期对硬件进行维护、检查各部门使用情况。

3、设备添置、更换、升级：由各部门根据实际工作需要提申请，IT部确定具体配置，书面申请经总经理、财务供应副总批准后由IT部进行采购。

4、硬件故障：各部门使用人员发现硬件故障时，应及时向IT部说明情况，由IT部进行确定并及时处理，各部门人员不得擅自拆装更换硬件设备。

5、部门如需领取耗材，需到IT部填写耗材申请单。申请单须清晰注明耗材申请原因。申请经财务副总经理批准后，由IT部进行发放。

6、计算机的使用人即为该设备的责任人，使用部门为责任部门。未经责任部门经理批准，任何人不得使用其他部门或他人计算机。

7、IT部负责对公司所有电脑硬件使用情况的督查和监控。

二、计算机软件管理

1、软件的使用：各部门及人员所使用的软件，由各部门会同IT部共同确定，由IT部进行登记。

2、公司需用的软件，由IT部统一购买、保管，并登记造册。各部门的专用软件，由部门经理安排使用，IT部保管备案。

3、软件的安装、删除和升级：由各部门根据工作需要，提出书面需求申请，经总经理批准后，由IT部进行安装、删除和升级。未经IT部批准，各部门和人员不得自行进行上述操作。

4、软件故障：各部门使用人员发现软件故障时，应及时向IT部说明情况，由IT部进行确定并及时处理，各部门人员不得擅自处理。

5、员工不得私自在工作机上安装与工作无关的程序，mp3、影音文件播放程序、聊天工具、游戏等。

6、工作时间（包括加班时间）公司员工不得使用工作用机玩游戏，听音乐观看电影。

7、移动存储设备使用管理：为了防止公司资料非法外流以及病毒入侵公司内部网络，严格限制员工使用外来软盘、光盘、移动硬盘等移动存储设备。

8、网络下载管理：为了防止病毒侵入公司内部网络，不得随意下载文件、信件。

9、使用外网邮件：员工在打开外网邮件时必须激活防火墙或“金山毒霸邮件监控”程序。

10、软件安装和使用过程中病毒的预防：员工不得在工作机上安装来历不明的软件；安装软件前，应对该安装盘进行杀毒。安装软件时应打开防火墙，防止病毒入侵。

11、软件的版本管理和控制：为了防止公司内的软件版本混乱和文件格式不兼容，由IT部控制公司内工作用软件的版本升级。做到统一版本、统一升级。由于员工个人升级软件版本造成的文件格式不兼容问题一律由该员工负责。

12、IT部负责对公司所有电脑软件使用情况的督查和监控。

三、公司局域网管理：

1、部门新进员工在服务器文件目录下个人专用目录的创建，应由员工所在部门经理签字或主管副总到IT部签写局域网员工权限变更登记表，并签字生效，IT部凭单设定用户名、密码，创建目录及分配访问权限。

2、由于员工工作的调动等情况需更改目录访问权限者，应由员工所在部门经理签字或主管副总到IT部签写局域网员工权限变更登记表，并签字生效（特殊情况须总经理审批签字），IT部凭单重置用户密码、目录及访问权限。

3、对于离职人员目录访问权限的删除及相关数据的备份，应由员工所在部门经理签字或主管副总到IT部签写局域网员工权限变更登记表，并签字生效，IT部凭单删除目录访问权限并对相关数据进行备份。

4、每位使用公司文件服务器的员工，其对应个人专用目录下均有如下目录： “部门”、“领导”、“公有”。目录的操作权限分别如下：公有a、本人有完全控制的读写权限 b、公司其他人员均仅有读取权限部门a、本人有完全控制的读写权限

b、所在部门内所有其他人员均仅有读取权限 c、所在部门以外所有人员均无任何访问权限

领导a、本人有完全控制的读写权限 b、仅公司领导有读取权限

c、除以上人员外公司其他人员均无任何访问权限说明：

a、如部门内部员工间进行数据交换，可在本人专用目录下的“部门”中进行； b、如部门以外员工间进行数据交换，可在本人专用目录下的“公有”中进行； c、数据交换执行完毕请务必及时清理。

5、各部门使用人员，必须将本地计算机和文件服务器相关目录中的工作数据定期进行备份，以防止因硬、软故障造成数据资料损失，备份由IT部执行，备份资料统一存入公司资料室。

6、为推进公司无纸化办公、提高工作效率、降低办公成本。IT部使用NOTES软件，设置内部局域网邮箱，并为每人设置内部电子邮件地址，各部门使用人必须定时进行查看、回复、整理，所有邮件数量不得超过10条。

7、禁止将与工作无关的图片、音频、视频等文件存放于工作所用电脑或公司文件服务器，绝对禁止将含有淫秽、色情、暴力的文字、图片、音频、视频等文件存放于工作所用电脑或公司文件服务器。如违反上述规定，公司将追究责任并严肃处理，因此导致的电脑故障或损坏，则由本人承担一切责任。

四、Internet（互联网）使用管理：

1、公司注册域名为：http://

凡有访问Internet的权限的用户电脑，IE默认主页地址必须设为两者之一，公司员工有责任熟记公司域名及邮箱域名。

2、任何时间公司员工不得使用公司的电脑浏览淫秽、色情、暴力、违反国家安全的网站。

3、工作时间（包括加班时间）公司员工不得浏览与工作无关的网站，不得下载与工作无关的文件，包括mp3、Flash、影音文件、游戏等。

4、公司员工不得使用ＢＴ等可给公司网络造成严重带宽压力的软件进行下载，一经发现，IT部即刻查封IP，截止时间以总经理批示可重新接入公司网络为准，其间造成的不能正常访问公司局域网及互联网等故障及损失，由本人承担一切责任。

5、工作时间（包括加班时间）公司员工不得通过网络玩在线游戏，听音乐观看电影。

6、工作时间（包括加班时间）公司员工不得使用任何网络聊天工具，包括QICQ、ICQ、MSN、网易泡泡等，不得进入聊天室聊天。

7、公司员工上网时必须激活病毒防火墙，不得随意下载文件、信件，防止病毒侵入公司内部网络，如违反该规定，一切后果由本人承担。

8、各部门上报的因工作需要的上网名单，经公司领导批准后，由IT部统一调配公司员工上网权限。对于私自盗用他人上网权限的用户，按有关规定处理。

9、公司为工作需要员工统一分配Email地址，各使用人员必须定时进行查看、回复、整理。

10、公司员工不得私自更改本机IP、DNS、网关地址。对于因私自更改造成的一切后果由本人承担。

11、公司员工不得使用他人电脑上网，不得将外人带入公司使用公司电脑和通过公司内网上网。

12、无上网权限的员工因工作需要，经部门经理批准后，统一到IT部上网。

五、信息安全管理：

一）、目的

制定信息安全制度的目的是：确保欧伏公司的网络系统运行在一种合理的安全状态下，同时不影响公司员工使用网络。具体目标包括：保障数据安全和系统安全。

1、数据安全

1)防止未经授权修改数据； 2)防止未经发觉的遗漏或重复数据； 3)防止未经授权泄露数据； 4)确保数据发送者的身份正确无误； 5)确保数据接受者的身份正确无误；

6)数据的发送者、接受者以及数据的交换仅对发送者与接受者是可见的； 7)在取得明确的可访问系统的授权后，才能与该系统通信。

2、系统安全

1)防止未经授权或越权使用系统；

2)控制网络流量，防止过量的访问使系统资源过载导致的系统崩溃。内部网络流量超负荷，保障外网服务(Internet)、内网邮件服务（Notes）的安全。

二）、适用范围

信息安全制度适用于：

1.任何与欧伏公司网络设备相连的IP网络，所有连接到上述网络上的设备； 2.任何欧伏公司所属数据传输经过的网络，所有上述网络上传输的数据；

3.对数据进行管理的人员，如果要将新的设备增加到欧伏公司的网络中，适用于该项目的负责人；

4.所有连接到欧伏网络中的设备，以及欧伏公司职员在该网络中使用的任何设备。三）、责任

在信息安全制度的涉及范围内，每个部门的信息安全由部门负责人或由其指定专人来负责。四）、内容

1.内部人员的攻击，包括有意和无意两种。主要表现为：

1)保密观念不强，或不懂遵守保密守则，随便泄漏机密；打印复制机密文件；随便打印出系统保密字或向无关人员泄露有关机密信息； 2)由于业务不熟练、操作失误，导致文件丢失或者误发，或因未遵守操作规则而造成泄密； 3)因规章制度不健全造成人为泄露事故，如对机密文件管理不善，各种文件存放混乱，违章操作等造成不良后果； 4)素质差，缺乏责任心，没有良好的工作态度，明知故犯，或有意破坏网络系统和设备；

5)利用窃取系统的磁盘、磁带或纸带等记录载体或利用被废弃的打印文件、复写纸来窃取系统用户信息； 6)通过非法窃取他人的用户名和口令来进入他人的计算机，拷贝文件或进行破坏； 7)使用带有病毒的外来介质，带毒的磁盘、存储设备； 8)浏览具有恶意代码的互联网网页。

2.外部人员的攻击或非法访问

1)外来设备企图联入本企业的局域网；

2)通过物理连接试图窃取管理员身份、或窃取重要文件； 3)通过发送病毒邮件、蠕虫攻击；

4)外部人员非法在本企业局域网中安装、使用木马、嗅探器等程序。

3.技术故障所带来的威胁。通常指突发事故

1)由于硬件原因造成系统的故障；

2)人为删除系统重要文件：BOOT.INI、NTDETECT.COM、NTLDR、IO.SYS、MSDOS.SYS、D:WINNT目录及其中的文件等；

3)新软件、硬件的不当安装引起系统无法正常使用；

4)内部人员擅自使用其他软件或更改网络配置(如IP地址)导致服务器不能正常工作； 5)由于不可抗拒的因素导致硬件损坏。

4.数据的意外丢失

1)由于硬件的损坏导致数据丢失； 2)由于系统的不稳定导致数据丢失； 3)电力系统故障造成的数据丢失；五）、解决方案

1、软件资源的安全和管理方案

主要规范软盘、光盘、移动存储设备使用、网络下载、使用外网邮件、软件安装和使用过程中病毒的预防及使用控制。

2、数据资源的安全和管理方案 1.数据存储的安全管理

1)存放有业务数据或程序的磁盘、磁带或光盘，应视同文字记录妥善保管。必须注意放磁、防潮、防火、防盗，必须垂直放置； 2)对硬盘上的数据，要根据安全分级建立有效的权限，并严格管理，对于内部访问级和机密级的数据要进行严格的NTFS权限设置和必要的加密，以确保硬盘数据的安全； 3)存放有业务数据或程序的磁盘、磁带或光盘，管理必须落实到人，并分类建立登记薄，记录编号、名称、用途、规格、制作日期、有效期、使用者、批准者等； 4)对存放有重要数据的磁盘、磁带、光盘，至少要备份两份并分两处妥善保管； 5)日常工作数据不存放于引导分区及操作系统所在的磁盘分区（如：我的文档、桌面、C盘）； 6)打印有业务数据的打印纸，要视同档案进行管理；

7)凡超过数据保存期磁盘、磁带、光盘，必须经过特殊的数据清除处理，否则不能视同空白磁盘、磁带、光盘； 8)凡不能正常记录数据的磁盘、磁带、光盘，须经测试确认后由IT部进行销毁，并做好登记； 9)对需要长期保存的有效数据，应在磁盘、磁带、光盘的质量保证期内进行转储，转储时应确保内容正确。2.数据的使用管理

10)数据必须严格保密，未经上级主管部门同意，一律不准对外提供任何数据和程序； 11)数据按规定进行拷贝以外，任何人不得以任何借口和形式进行拷贝。六）、密码安全和管理方案

1.培养良好的安全操作习惯，在指定的计算机或终端上操作，不要把密码写在记事本或电脑上，有事离开计算机时应将其锁定；

2.防止电脑缓存、Cookies记录重要密码，特别是办公室的电脑里； 3.做到口令专管专用，定期更改并在失密后立即报告；

4.人员调离时，应采取相应的安全管理措施。例如：人员调离的同时马上移交工作、更换口令、取消帐号。

六、网络机房管理：一）、机房管理

1、要有安全防范意识。早进入、晚离开时要检查设备情况；离开时察看灯、门、窗、锁是否关闭好。

2、路由器、交换机和服务器以及通信设备是网络的关键设备，不得自行配置或更换，更不能挪作它用。

3、非工作人员进入机房，要事先征得同意；未经许可一律不准触碰开关和设备。

4、机房工作人员要掌握防火技能，定期检查消防设施是否正常。出现异常情况应立即报警，切断电源，用灭火设备扑救。

5、计算机房要保持清洁、卫生，并由专人负责管理和维护(包括温度、湿度、电力系统、网络设备等)，无关人员未经管理人员批准严禁进入机房。

6、严禁易燃易爆和强磁物品及其它与机房工作无关的物品进入机房。不能明火作业。机房一律禁止吸烟，凡不听劝告者，一律逐出机房。

7、建立机房登记制度，对本地局域网络、广域网的运行，建立档案。未发生故障或故障隐患时当班人员不可对中继、网线及各种设备进行任何调试，对所发生的故障、处理过程和结果等做好详细登记。