国家电网有限公司信息系统运维运营服务外包管理规范 PDF

Summary

这份文档是中国国家电网有限公司的信息系统运维运营服务外包管理规范，详细阐述了外包管理的各项规定，包括职责分工、服务外包范围、外包计划管理等。 该规范旨在加强对信息系统运维的标准化管理，保障信息系统安全稳定运行。

Full Transcript

Here is the document converted into a markdown format:

# 国家电网有限公司信息系统运维运营服务外包管理规范（试行）

## 第一章 总则

第一条 为进一步规范和加强国家电网有限公司（以下简称“公司”）信息系统运维运营服务外包管理，依据国家有关法律法规及公司管理制度，结合信息系统运维运营工作实际，制定本规范。

第二条 本规范所称信息系统运维是指以保障业务系统的安全稳定运行为目标，针对业务系统所开展的运行保障、合规审查、 检修作业、服务支撑等工作。平台软件、基础设施、硬件设备的运维服务参照执行。
信息系统运营是指以有效发挥和提升系统价值为目标，针对业务系统所开展的需求分析、深化应用、数据治理、用户服务等工作，不包括基于系统功能开展的具体业务工作。

第三条 本规范所称信息系统运维运营服务外包，指的是公司信息系统运维、运营责任单位（以下简称“运维运营单位”） 将其所承担的运维、运营业务的部分工作以合同方式委托给满足条件的信息系统运维运营服务承接单位（以下简称“承接单位”）完成的活动。

第四条 本规范所称信息系统运维运营服务分包，指的是承接单位将其所承担的信息系统运维运营服务的部分工作委托给其他单位完成的活动。

第五条 信息系统运维运营工作应坚持自主运维运营优先、服务外包辅助的原则，从严从紧控制外包服务范围和内容，规范信息系统运维运营服务全过程管控，强化外包服务人员同质化管理，确保信息系统运维运营工作的安全和质量。

第六条 运维运营单位应不断优化检修方式，分类归并检修作业，推行检修作业标准化，加强自动化运维工具应用，强化主业人员自主能力，切实减少外包规模，提升运维运营自主化水平。

第七条 公司信息系统运维运营服务外包必须依据国家法律法规和公司相关规范、规定开展。运维运营单位与承接单位应严格依法依规签订合同，明确双方权利、义务、责任。

第八条 本规范适用于国网总部、公司各单位（以下简称“各单位”）的信息系统运维运营服务外包管理工作。公司控股、参股单位参照执行。

## 第二章 职责分工

第九条 国网数字化部是信息系统运维运营服务外包工作的归口管理部门，主要职责：

(一) 建立健全公司信息系统运维运营服务外包管理制度并组织落实。

(二) 负责对公司信息系统运维运营服务外包工作进行督导和检查。

(三) 负责公司信息系统运维运营服务外包工作的考核与评价。

第十条 公司各单位数字化职能管理部门是本单位信息系统运维运营服务外包工作的归口管理部门，主要职责：

(一) 负责贯彻公司信息系统运维运营服务外包管理制度，制定本单位信息系统运维运营服务外包管理细则，建立健全本单位信息系统运维运营服务外包管理机制。

(二) 负责本单位信息系统运维运营服务外包工作的督导和检查。

(三) 负责本单位信息系统运维运营服务外包工作的考核与评价。

第十一条 公司各级运维运营单位具体负责信息系统运维运营服务外包工作，主要职责：

(一) 负责落实公司信息系统运维运营服务外包管理制度，开展本单位运维运营职责范围内服务外包管理工作。

(二) 负责对本单位信息系统运维运营服务进行全过程管控，对外包人员（含分包人员）开展同质化管理。

(三) 负责对承接单位提交的人员资质材料、分包情况进行备案。

(四) 负责对承接单位的服务分包情况进行检查、评价，对违规分包行为按照合同约定进行处罚。

第十二条 承接单位按照合同内容具体承担信息系统运维运营工作，主要职责：

(一) 负责落实公司信息系统运维运营服务外包管理制度。

(二) 配合落实运维运营单位对外包人员（含分包人员）的管理要求。

(三) 负责建立健全本单位信息系统运维运营服务分包管理体系，建立分包单位资质审查、分包单位选择、现场准入、教育培训、考核评价等分包管理制度并组织落实。

(四) 负责定期开展信息系统运维运营服务分包工作自查、整改。

(五) 负责分包项目的信息安全、数据安全和保密管理。

第十三条 公司各级财务、物资、法律等部门按照公司规定的职责，负责在预算管理、招标采购、合规审核等过程中落实信息系统运维运营服务外包的专业管理要求。

(一) 财务部: 负责公司信息系统运维运营服务外包预算下达。

(二) 物资部: 负责在公司信息系统运维运营服务采购中落实外包专业管理要求。

(三) 法律部: 负责公司信息系统运维运营服务外包管理相关规定的合法合规性审核; 组织开展信息系统运维运营服务外包合同法律审核。

## 第三章 服务外包范围

第十四条 公司信息系统运维运营服务外包应严格落实公司业务外包管理相关要求，直接影响关键核心业务系统稳定运行、数据安全、发展方向和应用价值的核心操作不得外包。

(一) 信息系统运维核心操作的范围: 业务系统的数据导入导出、配置变更、资源分配、账号权限管理、合规性评估等。

(二) 信息系统运营核心操作的范围：业务系统的需求统筹、数据治理、配置管理等，企业中台的需求统筹、数据治理、架构管控等。

第十五条 对关键核心业务系统的稳定运行、数据安全、发展方向、应用价值有一定影响的重要操作应落实主业主导目标，必须由运维运营单位长期职工担任工作负责人，可由相关产业单位承接，服务人员应为承接单位长期稳定用工。承接单位承接后不得分包。

(一) 信息系统运维重要操作的范围： 业务系统的系统部署、缺陷处置、系统备份、数据集成、数据操作、预防性维护、系统调优、异常处置、应急演练、全链路监测、运行方式维护、特殊时段保障、系统安全支撑、运维分析、信息发布等。

(二) 信息系统运营重要操作的范围： 业务系统的运营监测、应用分析、深化应用治理提升等，企业中台的服务目录管理、服务开放共享、应用监测分析、数据模型管控、标准规范等。

信息系统及中台运维运营核心操作、重要操作清单详见附件1,2,3。

第十六条 除关键核心业务系统的核心操作、重要操作外，其他的信息系统运维运营操作，可由符合条件的公司相关产业单位和外部单位承接，但应落实主业管控目标，必须由各级运维运营责任主体单位的长期职工担任工作许可人和签发人，承接单位可根据需求进行分包，分包金额不得超过可分包服务合同总金额的60%，严禁分包单位再次分包。

(一) 承接单位发生运维、运营服务分包行为，须在分包合同签订后、分包服务开始前将信息系统运维运营服务分包备案表（附件4）、分包合同、分包人员信息、分包单位资质等资料提交至运维运营单位备案。

(二) 承接单位须对分包单位的服务安全、质量、合规负责，必须遵照《国家电网有限公司网络与信息系统安全管理办法》、《国家电网有限公司保密工作管理办法》与分包单位及所有相关人员签订信息安全与保密协议。

(三) 承接单位须及时跟踪分包服务进度、质量等内容，对分包单位服务执行情况进行监督，严防出现以包代管的违规现象。

(四) 承接单位应严格按照合同条款结算分包单位费用，严防出现超合同结算、虚假结算、重复结算以及违规拖欠等不当行为。

第十七条 服务开始前，运维运营单位须对服务参与人员进行审查，重点对人员资质、用工性质、工作分工、劳务关系、分包合同（如涉及）进行核查，严防违规分包项目启动实施。

## 第四章 外包计划管理

第十八条 各级运维运营单位提出本单位运维运营范围内的年度运维运营服务外包需求，编制运维运营服务外包计划。

第十九条 各级数字化职能管理部门对上报的信息系统运维运营服务外包计划进行审核，重点对外包服务范围以及外包的必要性、合理性、规范性进行审查。

第二十条 各级数字化职能管理部门对审核通过的服务外包计划组织开展评审，依据评审结果下达本单位信息系统运维运营服务外包计划。

## 第五章 外包采购管理

第二十一条 各级运维运营单位严格按照下达计划的内容、资金安排组织运维运营服务采购，禁止无计划或超计划采购。

第二十二条 信息系统运维运营服务采购文件应标明不可分包的服务内容，并明确要求投标人须在中标后的服务过程中严格遵守本规范的各项要求。

第二十三条 投标人在参与投标时，须根据招标文件要求，在投标文件中标明拟分包的内容。

## 第六章 外包合同管理

第二十四条 各级运维运营单位按照采购结果及时签订运维运营服务合同，合同内容中应包括技术协议书、安全协议条款、保密协议条款、服务考核条款、质量监督控制要求、违规纠正机制等。

第二十五条 各级运维运营单位与中标人签订的服务合同必须严格遵循并全面落实本规范的各项要求，并在合同中明确：

(一) 承接单位须满足的外包人员工作能力、工作稳定性等要求。

(二) 承接单位须承担配合运维运营单位开展服务分包检查的责任。

(三) 若发生违规分包，承接单位须承担的违约责任。

## 第七章 外包人员管理

第二十六条 运维运营单位应加强外包人员(含分包人员，以下同) 管理，落实外包人员管理主体责任，对重要操作涉及的外包人员按照主业运维人员管理要求在安全准入、保密教育、作业管控和日常管理等方面进行同质化管理。

第二十七条 运维运营单位应建立外包人员备案机制，做好外包人员身份信息、人员学历、专业技能及工作经验等材料审查和备案。

第二十八条 运维运营单位应与外包人员签订保密承诺书、安全承诺书，明确相关安全责任。外包人员开展运维工作前要通过信息安规考试，履行安全准入手续。

第二十九条 运维运营单位应加强外包人员权限管理，在场地出入、系统操作等方面严格按最小化原则开放访问权限，防止外包人员超范围接触和操作公司信息系统、数据。

第三十条 运维运营单位应加强外包人员日常管理，组织开展安全培训、理论学习、廉洁从业等教育培训活动，发现廉洁、保密等隐患应当及时采取措施。

第三十一条 运维运营单位应制定外包人员离岗要求，包括但不限于签订离岗承诺书，注销相关工作账号，清退文件资料、 存储介质、出入证、门禁卡等。

第三十二条 承接单位须加强贯穿服务全过程的分包人员管理工作，建立分包人员台账，严格审查分包人员资质。

第三十三条 各单位应加强支撑系统应用，满足对外包服务人员行为、权限、档案等的严格管理。

## 第八章 服务验收管理

第三十四条 信息系统运维运营服务合同期满后三个月内，由承接单位向运维运营单位提出验收申请，经运维运营单位确认后，上报数字化职能管理部门。各级数字化职能管理部门可根据运维运营服务等级及规模，组织或委托运维运营单位，对符合验收条件的运维运营服务开展验收工作。

第三十五条 负责验收的部门或单位应对运维运营服务质量、过程完整性、运维运营效果、文档资料规范性、分包规范性等进行全面总结和评价。验收通过后，及时完成运维运营服务资料存档。

第三十六条 若运维运营服务验收未通过，由承接单位对照存在的问题进行整改，整改完成后重新提出验收申请。

## 第九章 评价与考核

第三十七条 各级数字化职能管理部门建立对服务外包的考核评价机制，组织运维运营单位，会同系统应用部门或单位对承接单位进行综合评价，评价内容包括运维服务质量、安全评价、分包规范性等情况，评价结果作为后续招标采购的重要依据。

第三十八条 承接单位建立对分包单位的评价机制，对分包单位进行综合评价，评价内容包括分包服务质量等情况，作为本单位分包服务采购的重要依据。

第三十九条 检查

(一) 国网数字化部建立运维运营服务外包专项督导检查机制，组织中国电科院开展常态化检查与不定期抽查，重点检查各级数字化职能管理部门履行归口管理职责情况，各级运维运营单位落实对承接单位、外包人员的管理要求情况，承接单位分包行为规范性等内容。

(二) 各级数字化职能管理部门每年至少组织开展一次外包管理情况检查。运维运营单位定期开展服务分包情况检查，承接单位定期开展自查。

第四十条 考核

(一) 检查发现运维运营单位违规外包的情况，应督促整改并闭环检查，检查相关结果纳入对各单位的考核体系。

(二) 检查发现承接单位、分包单位发生违规分包的情况，应依据合同督促整改并闭环检查，同时追究其违约责任; 违反国家法律法规的，按照国家有关法律法规处罚规定执行。

## 第十章 附则

第四十一条 本规范由国网数字化部负责解释并监督执行。

第四十二条 本规范自通知印发之日起施行。

附件： 1.信息系统运维核心、重要操作清单
2.中台运营核心、重要操作清单
3.信息系统运营核心、重要操作清单
4.信息系统运维运营服务分包备案表

The following is a detailed description of **附件1**
It is a table detailing information system maintenance core and key operations. The table consists of the columns:
- Number (序号)
- Operation type (操作分类)
- Operation item (操作项)
- Operation description (操作描述)
The table shows the following information:

| 序号 | 操作分类 | 操作项 | 操作描述 |
|---|---|---|---|
| 1 | 检修作业 | 数据导入导出操作 | 1. 业务数据的批量导入、导出、变更和删除. 2. 数据共享负面清单的数据向公司内部共享和向外部企业、政府开放。 |
| 2 | 检修作业 | 配置变更 | 影响系统运行安全的关键参数配置、策略变更。 |
| 3 | 运行保障 | 资源分配 | 分配系统资源，并按照资源使用情况，对系统资源进行调配优化、安全策略调整等工作。 |
| 4 | 合规审查 | 账号权限管理 | 系统管理员权限账号的操作；2.数据库管理员权限账号的操作；3.中间件管理员权限账号的操作；4. 运维堡垒机和用户账号权限操作管理和受控资源对象维护. |
| 5 | 合规审查 | 合规性评估 | 系统安全策略的评估优化；2. 系统下线合规性检查及红蓝线指标验证。|
| 6 | 检修作业 | 系统部署 | 1. 系统部署、版本升级; 2. 系统重大技术架构调整操作。|
| 7 | 检修作业 | 缺陷处置 | 系统缺陷消缺与隐患整治. |
| 8 | 检修作业 | 系统备份 | 1. 系统备份及恢复策略的制定、核查和优化；2. 系统数据备份恢复及演练。|
| 9 | 检修作业 | 数据集成 | 与关联系统的接口配置、数据传输。 |
| 10 | 检修作业 | 数据操作 | 数据库导入、导出、变更等数据操作。|
| 11 | 检修作业 | 预防性维护 | 更新、更新重量号。|

The following is a detailed description of **附件2**
It is a table detailing key operations for mid-stage operation. The table consists of the columns:
- Number (序号)
- Level (等级)
- Operation item (操作项)
- Operation description (操作描述)
| Order number | Level | Operation item | Operation description |
|---|---|---|---|
| 1 | | Demand analysis and overall planning | 1. Carry out requirements identification and analysis of enterprise-level common capabilities of business systems, and refine enterprise-level commonness; 2. Jointly carry out identification and analysis of recurring requirements and non-compliant requirements of business systems and mid-stage services, eliminate recurring and invalid requirements; 3. Carry out hierarchical management of demand classification, and supervise the implementation of demand. |
| 2 | The core operation | Data governance | Data Check and Governance 1. Improve the evaluation method for mid-stage data quality of enterprises; 2. Establish a normal-state quality monitoring and inspection mechanism to carry out data quality assessment and governance work on a regular basis, conduct data quality measurement and release; 3. Promote the implementation of data owner system. |
| 3 | | Design Control | 1. Carry out the unified design control of core business systems involved in summary design and detailed design review 2. Strengthen the standardization control of mid-stage service design links. |
| 4 | Architecture Control | Architecture Supervision and Inspection | Check enterprise compliance with corporate and business system architecture, technology roadmap, standards, and specifications. |
| 5 | Important operation | Service registration and management | 1. Build and maintain a two-level standardized service catalogue 2. Carry out registration and management of the headquarters and provinces in the mid-range services to ensure effective governance and rectification. |

The following is a detailed description of **附件3**
It is a table detailing operation, maintenance, and core operations. The table consists of the columns:
- Number (序号)
- Level (等级)
- Operation item (操作项)
- Operation description (操作描述)
| Order number | Level | Operation item | Operation description |
|---|---|---|---|
| 1 | | Analysis of the overall situation | Around the "accurate requirements", establish a clear business goal and effectively connect with demand management; Around "Enterprise Linkage" to effectively connect to Business Capabilities and Business Collaboration; 3. Develop system functional analysis reports based on business needs. |
| 2 | The core operation | Data Governance | Implement a "data master"; 2. Promote data standardization; 3. carry out data verification, and implement data governance. |
| 3 | | Data maintenance | Is committed to strengthening data standards in a coordinated, efficient, and cost-conscious manner." |
| 4 | | Distribution configuration management | 1. The main operations include: system development tasks; 2. Maintenance development and upgrade management |
| 5 | Important operation | Operation monitoring | The main operations include: system maintenance, disaster recovery and emergency response. |
| 6 | | Application analysis | The main operations include: planning and data analysis. |

Description of **附件4**

The image shows a table that looks like a form called "Information System Operation and Maintenance Service Subcontracting Record Form (Example)"
It includes such columns as serial number, project name, contract amount, subcontracting content, planned subcontracting amount, subcontracting ratio, subcontracting unit, time to sign the subcontract, sub-contracting situation to units like level 2. It is also accompanied by remarks.