ICS 03.060
CCS A 11 JR
中华人民共和国金融行业标准
JR/T 0320—2024
证券基金经营机构运维自动化能力
成熟度规范
Maturity specification for operation and maintenance automation
capability of securities fund management institutions
2024-11-20 发布2024-11-20 实施
中国证券监督管理委员会发布
JR/T 0320—2024
I
目 次
前言................................................................................. III
引言.................................................................................. IV
1 范围................................................................................ 1
2 规范性引用文件...................................................................... 1
3 术语和定义.......................................................................... 1
4 缩略语.............................................................................. 2
5 运维自动化能力框架.................................................................. 2
6 运维自动化能力成熟度等级划分与评估.................................................. 5
6.1 技术管理能力成熟度.............................................................. 5
6.2 技术应用能力成熟度.............................................................. 5
6.3 能力成熟度评估与要求............................................................ 7
7 安全与风险管理...................................................................... 7
7.1 风险防范........................................................................ 7
7.2 风险控制........................................................................ 8
7.3 安全审计....................................................................... 16
8 工具与平台建设..................................................................... 18
8.1 功能设计....................................................................... 18
8.2 非功能设计..................................................................... 19
8.3 安全设计及可控性............................................................... 22
9 组织管理........................................................................... 25
9.1 组织管理....................................................................... 25
10 过程管理.......................................................................... 28
10.1 入库管理...................................................................... 28
10.2 上架管理...................................................................... 29
10.3 基础资源交付.................................................................. 31
10.4 平台资源交付.................................................................. 35
10.5 云资源管理.................................................................... 38
10.6 环境管理...................................................................... 41
10.7 制品及物料管理................................................................ 42
10.8 数据管理...................................................................... 44
10.9 部署与发布管理................................................................ 45
JR/T 0320—2024
II
10.10 监控管理..................................................................... 48
10.11 故障管理..................................................................... 58
10.12 连续性管理................................................................... 64
10.13 调度与保障................................................................... 69
10.14 配置管理..................................................................... 74
参考文献.............................................................................. 80
JR/T 0320—2024
III
前 言
本文件按照GB/T 1.1—2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规
定起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
本文件由全国金融标准化技术委员会证券分技术委员会(SAC/TC 180/SC4)提出。
本文件由全国金融标准化技术委员会(SAC/TC 180)归口。
本文件起草单位:国信证券股份有限公司、广发证券股份有限公司、华泰证券股份有限公司、海
通证券股份有限公司、中证信息技术服务有限责任公司、国泰君安证券股份有限公司、中国银河证券
股份有限公司、博时基金管理有限公司、鹏华基金管理有限公司、上海艾芒信息科技有限公司、北京
华佑科技有限公司、优维科技(深圳)有限公司、珠海金智维信息科技有限公司。
本文件主要起草人:杨阳、刘汉西、彭华盛、邱朋、刘博、路一、张帆、萧田国、吕斌、王逸、
詹子曦、王厦、蔡志刚、王玉彬、祝芝、邓廷勋、黄炎韬、王金银、何鎏。
JR/T 0320—2024
IV
引 言
证券基金经营机构应用运维自动化程度和范围逐步扩大,制定具有全局视角和统一规范性的指导
文件,为经营机构的运维自动化建设提供明确的思路和方法,指引经营机构开展运维自动化建设工
作。通过管理和技术手段,有效控制和降低运维自动化所带来的潜在风险,增强对运维工具的自主掌
控能力,进而推动和提升行业运维自动化的建设水平。
本文件结合了金融行业特点,基于实践经验,指导和规范经营机构通过定期全面评估运维自动化
的能力成熟度,持续进行对标提升,提高运维自动化风险管控与防范能力,确保信息系统稳定、安
全、可靠运行。
JR/T 0320—2024
1
证券基金经营机构运维自动化能力成熟度规范
1 范围
本文件规定了证券基金经营机构的运维自动化能力框架和等级划分、能力成熟度评估方法与要
求,以及安全与风险管理、工具与平台建设、组织管理以及过程管理等能力成熟度评估的具体要求。
本文件适用于证券基金经营机构信息技术运维服务自动化组织实施和服务过程的能力建设,以及
能力成熟度评估。
2 规范性引用文件
本文件没有规范性引用文件。
3 术语和定义
下列术语和定义适用于本文件。
3.1
环境隔离environment isolation
在互不影响的IT 环境中部署相同功能的服务系统,用于不同使用目的。
注:环境是逻辑上或物理上独立的一整套系统,包含了处理用户请求的全部组件。
3.2
重要信息系统important information system
为支持证券基金经营机构和证券基金专项业务服务机构关键业务功能的系统。
注1:重要信息系统包括集中交易系统、投资交易系统、金融产品销售系统、估值核算系统、投资监督系统、份
额登记系统、第三方存管系统、融资融券业务系统、网上交易系统、电话委托系统、移动终端交易系统、
法人清算系统、具备开户交易或者客户资料修改功能的门户网站、承载投资咨询业务的系统、存放承销保
荐业务工作底稿相关数据的系统、专业即时通信软件以及与上述信息系统具备类似功能的信息系统。
注2:如果重要信息系统出现异常,将对证券期货市场和投资者产生重大影响。
3.3
稳态信息系统steady-state information system
业务需求和负载在相对稳定与可预测的环境下运行的系统,倾向使用成熟的技术和架构,变更和
升级频率相对较低,主要包括承载证券买卖、委托撤单、交易报盘、统一清算等证券基金公司核心业
务的系统。
3.4
敏态信息系统agile information system
JR/T 0320—2024
2
应对快速变化的市场和业务需求而设计的系统,倾向使用弹性可扩展的云计算资源,具有快速迭
代和频繁的软件发布周期,主要包括满足证券基金业务多样化和创新需求,承载智能选股决策分析等
新生业务系统。
3.5
配置项configuration item
为交付一项或多项服务所需要控制的元素。
注:配置项在复杂性、规模和类型方面变化可能很大,配置项可以是整个系统包括所有的硬件、软件和文档,也
可以是单个模块或很小的硬件部件。
3.6
制品artifact
构建过程输出物。
注:包括软件包、脚本、应用配置等。
3.7
部署流水线deployment pipeline
软件从版本控制库到用户手中这一过程的自动化表现形式。
4 缩略语
下列缩略语适用于本文件。
CMDB:管理配置数据库(Configuration Management Database)
ETL:抽取转换加载(Extract-Transform-Load)
CPU:中央处理器(Central Processing Unit)
WebUI:网页用户界面(Web User Interface)
IT:信息技术(Information Technology)
IaaS:基础设施即服务(Infrastructure as a Service)
PaaS:平台即服务(Platform as a Service)
API:应用程序编程接口(Application Programming Interface)
SQL:结构化查询语言(Structured Query Language)
DBA:数据库管理员(Database Administrator)
AI:人工智能(Artificial Intelligence)
int:整数数据类型(计算机语言关键字,integer 的缩写)
QPS:每秒查询率(Query Per Second)
ITIL:IT 基础架构库(Information Technology Infrastructure Library)
SDK:软件开发工具包(Software Development Kit)
KPI:关键绩效指标(Key Performance Indicators)
ECC:应急指挥中心(Emergency Command Center)
RPO:恢复点目标(Recovery Point Objective)
RTO:恢复时间目标(Recovery Time Objective)
5 运维自动化能力框架
JR/T 0320—2024
3
运维自动化能力包括安全与风险管理、工具与平台建设、组织管理三类技术管理能力,以及过程
管理中的技术应用能力,具体包括21 个能力域,46 个能力项。运维自动化能力框架见表1。
表1 运维自动化能力框架
能力类能力域能力项
安全与风险管理
风险防范管理流程与规范
风险控制
风险控制策略
研发管理
运行管理
应急管理
外包风险管理
安全审计安全合规审计
工具与平台建设
功能设计功能设计
非功能设计
可维护性
可用性
开放性
安全设计及可控性
安全设计
安全可控性
组织管理组织管理
组织架构设计
组织目标管理
人员能力管理
文化管理
JR/T 0320—2024
4
表1 运维自动化能力框架(续)
能力类能力域能力项
过程管理
入库管理资产入库
上架管理裸机交付
基础资源交付
计算资源交付
存储资源交付
网络资源交付
平台资源交付
中间件交付
数据库交付
云资源管理多云与混合云管理
环境管理环境管理
制品及物料管理制品及物料管理
数据管理数据变更管理
部署与发布管理
部署与发布模式
部署流水线
监控管理
监控数据采集
监控数据处理
监控数据应用
服务巡检
故障管理
故障发现
故障定位
故障处置
连续性管理
备份恢复
应急演练
容灾切换
调度与保障
流程自动化
资源调度
性能容量管理
配置管理
资源模型管理
配置项管理
资源数据运营
JR/T 0320—2024
5
6 运维自动化能力成熟度等级划分与评估
6.1 技术管理能力成熟度
技术管理能力成熟度体现了证券基金经营机构对于开展运维自动化所产生的系统性风险的管控能
力,适用于安全与风险管理、工具与平台建设、组织管理三个能力类及下属的7个能力域,17个能力
项。技术管理能力成熟度等级自低到高划分为G1至G3三级,等级划分与要求见表2。
表2 技术管理能力成熟度等级划分与要求
等级代号等级名称等级要求
G1 基础级
a) 具备完整的制度规范体系且组织内部正式发文,风险防范措施覆盖全面并
得到有效落实;
b) 运维活动实现了自动化和工具化,运维自动化工具安全可靠;
c) 具备基本、必要的安全风险控制组织,以及基本的运维自动化安全风险防
范能力。
G2 全面级
a) 具备完整的制度规范体系和全面的风险防范措施,并通过运维自动化工具
平台实现固化和落地,运维自动化的效率、质量和风险可量化;
b) 运维工具平台互联互通,实现局部运维场景化;
c) 具备完善、专业化的安全风险控制组织,支持运维自动化的规模化建设;
d) 具备全面的安全风险防范能力,可全面和有效应对运维自动化所带来的安
全风险。
G3 持续优化级
a) 运维自动化的效率、质量和风险防范全面实现数字化度量,具备持续分
析、运营、智能化诊断与决策的能力;
b) 运维自动化工具建设全面平台化场景化;
c) 运维自动化组织支持中长期创新能力的实施和落地,通过技术创新、业务
赋能,全面形成持续改进的文化,可随着业务、技术和组织的变化,不断
优化、迭代和提升运维自动化的安全风险防范能力,实现运维自动化技
术、安全风险防范与业务的深度融合。
6.2 技术应用能力成熟度
技术应用能力成熟度体现了证券基金经营机构通过广泛应用运维自动化技术,降低整体运维风险
的能力,适用于过程管理能力类及下属的14个能力域,29个能力项。技术应用能力等级自低到高划分
为Y1至Y5五级,等级划分与要求见表3。
JR/T 0320—2024
6
表3 技术应用能力成熟度等级划分与要求
等级代号等级名称等级要求
Y1
初始级
(脚本化运维)
a) 基于脚本方式实现针对例行操作的初级自动化运维;
b) 实际工作过程中以非系统性的文档步骤来描述和定义日常运维操作;
c) 自动化运维能力的沉淀和积累主要基于运维个体;
d) 自动化运维脚本零散、不成体系,具备基本的安全防范意识及技术手
段。
Y2
基础级
(工具化运维)
a) 基于IT 服务管理要求建立了相关运维工作流程,可将运维工作流程及自
动化脚本固化在相关工具中,以完成常见的运维工作;
b) 自动化运维能力局限在相关流程和工具内部,工具间未实现横向打通且
不成体系;
c) 自动化运维能力的沉淀和积累基于小型运维团队;
d) 具备较好的自动化运维安全意识并具备相关预防及解决方案。
Y3
先进级
(流程工具化运维)
a) 基于运维场景实现了流程和操作的标准化、自动化,并在部分IT 系统实
现了技术落地;
b) 实现了常见操作的标准化并可以作业的方式调度运行;
c) 各运维工具的能力实现横向打通,工具化和脚本化能力进一步被系统/平
台所封装,提供基于WebUI 的操作能力;
d) 自动化运维能力在部分流程间实现了联动和打通;
e) 自动化运维能力的沉淀和积累基于IT 系统,并实现了内部协同;
f) 可以从技术上规避常见自动化运维安全问题并具备较好的故障自愈能
力。
Y4
领先级
(场景平台化运维)
a) 运维场景面向组织级的全过程域,落地全局标准化和自动化;
b) 基于运维场景驱动运维服务目录的构建,可以提供自助式/租户式的服务
能力;
c) 基于运维数据化能力,提供精细化运营能力;
d) 实现了部分智能运维如告警收敛,并可借助智能运维能力缩短故障时
间,关键场景故障自愈及缩扩容,快速恢复业务,及时止损。
Y5
顶尖级
(智能化运维)
a) 基于数据化全面实现组织级的智能化能力,实现运维能力闭环,实现运
维核心场景无人化运维的能力;
b) 提供持续运营和改进的能力,主动服务业务,赋能业务;
c) 具备单场景智能运维模块串联协同及流程化编排的能力,实现了智能交
付、智能变更及智能发布,大部分场景实现了故障自愈及缩扩容,可以
提前预判运维操作带来的风险,并给出可操作的改进建议。
JR/T 0320—2024
7
6.3 能力成熟度评估与要求
6.3.1 运维自动化能力成熟度评估方法
运维自动化能力成熟度可以综合运用下述方法对能力项、能力域、能力类进行定性评估,并给出
相应成熟度等级:
——问卷调查:通过编制并组织填写问卷形式,对运维自动化状况等情况进行统计和调查;
——人员访谈:通过与被评估方进行交流、讨论方式,了解有关信息;
——文档查验:通过查验运维自动化相关文档材料,了解材料的完备情况;
——配置核查:登录相关信息系统工具平台,检查配置与前述文档材料的一致情况;
——工具测试:利用技术工具对信息系统、应用软件等进行实操测试,验证相关能力项的符合情
况;
——旁站验证:通过对承载数据的信息系统、设备、网络等进行现场操作和演示,实地观察技术
设施和环境状况,判断运维相关工作人员的安全意识、业务操作、管理程序等方面的安全情
况。
6.3.2 运维自动化能力成熟度要求
重要信息系统的技术管理能力成熟度达到全面级(G2),非重要信息系统成熟度达到基础级
(G1)。
对于稳态信息系统的技术应用能力成熟度达到基础级(Y2),敏态信息系统成熟度达到(Y3)。
7 安全与风险管理
7.1 风险防范
7.1.1 管理流程与规范
管理流程与规范成熟度从信息安全管理、风险控制管理、安全审计管理三个方面进行评估:
——信息安全管理:在自动化运维过程中,采取一系列措施和策略来满足生产运行的安全性和合
规性;
——风险控制管理:在自动化运维过程中,采取一系列措施来识别、评估、监控和缓解可能对系
统稳定性、安全性和业务连续性造成影响的风险;
——安全审计管理:对运维活动进行系统的记录、监控、分析和评估,以确保运维操作的合规
性、透明度和安全性。
管理流程与规范成熟度等级要求见表4。
表4 管理流程与规范成熟度等级要求
等级管理制度风险控制管理安全审计管理
G1
a) 具备完善的运维自动化管理
制度;
b) 运维自动化管理制度符合行
业监管规范,满足生产运行
需求。
a) 具备完善的风险控制制度与流程,
通过定期和专项等方式开展风险控
制工作;
b) 风险控制应包括风险控制策略、研
发管理、运行管理、应急管理、外
包风险管理等方面。
a) 具备完善的安全审计制度与流
程,按照制度与流程要求通过
定期和专项等方式开展安全合
规审计工作;
b) 安全审计应覆盖运维自动化活
动的全流程。
JR/T 0320—2024
8
表4 管理流程与规范成熟度等级要求(续)
等级管理制度风险控制管理安全审计管理
G2
a) 具备完善的运维自动化管理制
度;
b) 运维自动化管理制度符合行业监
管规范,满足生产运行需求;
c) 通过平台方式实现运维自动化管
理制度流程相关活动的线上化管
理;
d) 初步建立运维自动化指标体系。
a) 具备完善的风险控制制度与流
程,通过定期和专项等方式开
展风险控制工作;
b) 风险控制应包括风险控制策
略、研发管理、运行管理、应
急管理、外包风险管理等方
面;
c) 通过平台方式实现风险控制制
度与流程相关活动的线上化管
理。
a) 具备完善的安全审计制度与流
程,通过定期和专项等方式开
展工作;
b) 安全审计应覆盖运维自动化活
动的全流程;
c) 通过平台方式实现安全审计制
度与流程相关活动的线上化管
理。
G3
a) 具备完善的运维自动化管理制
度;
b) 运维自动化管理制度符合行业监
管规范,满足生产运行需求;
c) 通过平台方式实现运维自动化管
理制度流程相关活动的线上化管
理;
d) 依据监管要求和实际生产情况进
行定期回顾,并对相关流程规范
及配套流程平台进行持续优化;
e) 依据运维自动化指标体系对能力
成熟度进行数字化度量,不断完
善指标体系,实现闭环管理。
a) 具备完善的风险控制制度与流
程,通过定期和专项等方式开
展风险控制工作;
b) 风险控制应包括风险控制策
略、研发管理、运行管理、应
急管理、外包风险管理等方
面;
c) 通过平台方式实现风险控制制
度与流程相关活动的线上化管
理;
d) 对风险控制流程的执行情况具
备智能化分析和风险识别能
力,可持续优化。
a) 具备完善的安全审计制度与流
程,按照制度与流程要求通过
定期和专项等方式开展安全合
规审计工作;
b) 安全审计应覆盖运维自动化活
动的全流程;
c) 通过平台方式实现安全审计制
度与流程相关活动的线上化管
理;
d) 安全合规审计具备智能化分析
能力,可持续优化。
7.2 风险控制
7.2.1 风险控制策略
风险控制策略成熟度从环境部署管理、角色权限管理、操作控制管理三个方面进行评估:
——环境部署管理:建立研发、测试、生产等环境隔离机制,以及有效的访问控制措施,以防止
运维自动化工具在非预期的环境操作导致生产环境发生故障,并降低外部攻击者入侵的风
险;
——角色权限管理:通过对运维自动化工具平台的开发人员、运维人员和平台用户在角色上进行
分类和安全管理,授予不同角色适当的操作权限,以降低不同人员超越权限范围进行运维自
动化活动所导致的风险;
——操作管控管理:运维自动化工具平台应在生产环境部署前通过充分的测试,以确保平台的可
靠性,且在生产环境中进行运维自动化活动时,需区分操作时间窗口和操作地点进行操作管
控。特别在开市期间,非常规的运维自动化活动需经过谨慎的决策和审批方可执行。
风险控制策略成熟度等级要求见表5。
JR/T 0320—2024
9
表5 风险控制策略成熟度等级要求
等级环境部署管理角色权限管理操作管控管理
G1
a) 操作不同业务环境的运维自动
化工具平台应分别部署,形成
环境隔离;
b) 运维自动化工具平台的部署应
与互联网隔离,从互联网访问
运维自动化工具平台应严格受
控,满足信息安全要求。
a) 依据参与的运维自动化工作职责
设置合理的角色定义,具有互斥
要求的角色需要授予不同人员;
b) 依据实际业务需求和角色,按需
分配运维自动化工具平台的权
限,实现不同角色的权限隔离。
a) 运维自动化工具平台应经过完
备测试,确认无误之后再在生
产环境投产;
b) 运维自动化工具平台的操作应
根据业务需求对操作时间、操
作地点等方面进行有效控制,
确保操作准确有效。
G2
a) 操作不同业务环境的运维自动
化工具平台应分别部署,形成
环境隔离;
b) 运维自动化工具平台的部署应
与互联网隔离,从互联网访问
运维自动化工具平台应严格受
控,满足信息安全要求;
c) 针对生产应划分不同安全区
域,具备适当的隔离和线上化
管理能力,防止跨安全区域访
问导致的风险。
a) 依据参与的运维自动化工作职责
设置合理的角色定义,具有互斥
要求的角色应授予不同人员;
b) 依据实际业务需求和角色,按需
分配运维自动化工具平台的权
限,实现不同角色的权限隔离;
c) 通过运维自动化工具平台,实现
角色和权限的线上化管理。
a) 运维自动化工具平台应经过完
备测试,确认无误之后再在生
产环境投产;
b) 运维自动化工具平台的操作应
根据业务需求对操作时间、操
作地点等方面进行有效控制,
确保操作准确有效;
c) 运维自动化工具平台具备判
断、提示和阻断机制,防止操
作时机不当带来的业务影响。
G3
a) 操作不同业务环境的运维自动
化工具平台应分别部署,形成
环境隔离;
b) 运维自动化工具平台的部署应
与互联网隔离,从互联网访问
运维自动化工具平台应严格受
控,满足信息安全要求;
c) 针对生产应划分不同安全区
域,具备适当的隔离和线上化
管理能力,防止跨安全区域访
问导致的风险;
d) 通过数据分析和智能运维等技
术,对运维自动化工具平台的
环境访问情况和部署情况进行
定期回顾, 持续优化环境部
署。
a) 依据参与的运维自动化的工作职
责设置合理的角色定义,具有互
斥要求的角色应授予不同人员;
b) 依据实际业务需求和角色,按需
分配运维自动化工具平台的权
限,实现不同角色的权限隔离;
c) 通过运维自动化工具平台,实现
角色和权限的线上化管理;
d) 通过数据分析和智能运维等技
术,对角色适配情况和权限适配
情况进行定期回顾,并根据业务
进行动态调整。
a) 运维自动化工具平台应经过完
备测试,确认无误之后再在生
产环境投产;
b) 运维自动化工具平台的操作应
根据业务需求对操作时间、操
作地点等方面进行有效控制,
确保操作准确有效;
c) 运维自动化工具平台具备判
断、提示和阻断机制,防止操
作时机不当带来的业务影响;
d) 通过数据分析和智能运维等技
术,对操作情况进行定期回
顾,持续优化操作的风险预
测、提示和阻断能力。
7.2.2 研发管理
研发管理成熟度从需求管理、开发管理、测试管理三个方面进行评估:
——需求管理:对运维自动化工具平台开发需求的申请、受理、评审、验收等环节的全流程管控
工作机制;
JR/T 0320—2024
10
——开发管理:制定运维自动化工具平台开发规范,实现开发过程中的代码编写、单元测试、代
码评审、调试排错等环节的全流程管控工作机制;
——测试管理:制定运维自动化工具平台测试管理规范,测试人员根据需求规格说明对功能进行
测试,并持续优化测试质量。
研发管理成熟度等级要求见表6。
表6 研发管理成熟度等级要求
等级需求管理开发管理测试管理
G1
a) 制定运维自动化工具平台需求管理
规范,并纳入组织需求管理体系,
统一管理,确保需求可得到及时的
响应和处理;
b) 制定运维自动化工具平台需求评审
规范,科学处理各类自动化需求,
防范系统风险。
制定运维自动化工具平台开发管
理规范,防范系统风险。
a) 制定运维自动化工具平台测试
管理规范(包含安全测试),
对测试流程及结果进行管控,
确保测试过程的完整性;
b) 建立独立的测试环境,避免风
险传导。
G2
a) 制定运维自动化工具平台需求管理
规范,并纳入组织需求管理体系,
统一管理,确保需求可得到及时的
响应和处理;
b) 制定运维自动化工具平台需求评审
规范,科学处理各类自动化需求,
防范系统风险;
c) 实现需求的线上化全流程管理,确
保需求申请、受理、评审、验收等
各环节可视可控。
a) 制定运维自动化工具平台开发
管理规范,防范系统风险;
b) 通过工具自动实现对开发代码
的安全审核,审核包括依赖包
来源可信度、漏洞检测以及开
源协议许可风险等,并对发现
的问题进行追踪管理,保障开
发工具的安全稳定运行。
a) 制定运维自动化工具平台测试
管理规范(包含安全测试),
对测试流程及结果进行管控,
确保测试过程的完整性;
b) 建立独立的测试环境,避免风
险传导;
c) 实现测试过程的线上化管理,
确保测试过程的正确性、完备
性,有效防范测试风险;
d) 具备完备的运维自动化工具平
台测试方案和自动化回归测试
能力,以提高自动化测试效率
和测试覆盖度。
G3
a) 制定运维自动化工具平台需求管理
规范,并纳入组织需求管理体系,
统一管理,确保需求可得到及时的
响应和处理;
b) 制定运维自动化工具平台需求评审
规范,科学处理各类自动化需求,
防范系统风险;
c) 实现需求的线上化全流程管理,确
保需求申请、受理、评审、验收等
各环节可视可控;
d) 对需求实现后的使用效果、频率等
指标进行量化跟踪,定期对需求实
施的效果进行评估反馈,持续优化
需求管理细则;
a) 制定运维自动化工具平台开发
管理规范,防范系统风险;
b) 通过工具自动实现对开发代码
的安全审核,审核包括依赖包
来源可信度、漏洞检测以及开
源协议许可风险等,并对发现
的问题进行追踪管理,保障开
发工具的安全稳定运行;
c) 实现运维自动化工具平台开发
过程的线上化管理,满足合规
及风险管理的要求;
a) 制定运维自动化工具平台测试
管理规范(包含安全测试),
对测试流程及结果进行管控,
确保测试过程的完整性;
b) 建立独立的测试环境,避免风
险传导;
c) 实现测试过程的线上化管理,
确保测试过程的正确性、完备
性,有效防范测试风险;
d) 具备完备的运维自动化工具测
试方案和自动化回归测试能
力,以提高自动化测试效率和
测试覆盖度;
JR/T 0320—2024
11
表6 研发管理成熟度等级要求(续)
等级需求管理开发管理测试管理
e) 制定运维自动化工具平台需求
管理规范,并纳入组织需求管
理体系,统一管理,确保需求
可得到及时的响应和处理;
f) 制定运维自动化工具平台需求
评审规范,科学处理各类自动
化需求,防范系统风险;
g) 实现需求的线上化全流程管
理,确保需求提出、受理、评
审、验收等各环节可视可控;
h) 对需求实现后的使用效果、频
率等指标进行量化跟踪,定期
对需求实施的效果进行评估反
馈,持续优化需求管理细则。
d) 制定运维自动化工具平台开发管
理规范,防范系统风险;
e) 实现运维自动化工具平台开发过
程的线上化管理,满足合规及风
险管理的要求;
f) 通过工具自动实现对开发代码的
安全审核,审核包括依赖包来源
可信度、漏洞检测以及开源协议
许可风险等,并对发现的问题进
行追踪管理,保障开发工具的安
全稳定运行;
g) 对运维自动化工具平台的研发效
能和质量实施工程化管理,通过
建立指标体系,进行数字化度量
和分析,及时发现开发流程管理
中存在的问题并持续优化,提高
开发效率和质量。
e) 制定运维自动化工具平台测试
管理规范(包含安全测试),
对测试流程及结果进行管控,
确保测试过程的完整性;
f) 建立独立的测试环境,避免风
险传导;
g) 实现测试过程的线上化管理,
确保测试过程的正确性、完备
性,有效防范测试风险;
h) 具备完备的自动化工具测试方
案和自动化回归测试能力,以
提高自动化测试效率和测试覆
盖度;
i) 对运维自动化工具平台的测试
能力实施工程化管理,通过建
立指标体系,进行数字化度量
和分析,对测试方案及过程的
合理性进行评估,持续优化测
试过程。
7.2.3 运行管理
运行管理成熟度从变更发布管理、监控管理、容量管理、高可用及备份管理四个方面进行评估:
——变更发布管理:落实变更发布工作机制,包括对运维自动化工具平台的变更审核、发布实
施、发布验证、异常处理等过程进行管理,并持续优化变更发布管理能力;
——监控管理:落实监控相关的工作要求,包括对运维自动化工具平台运行的主机资源、服务可
用性、功能、性能、自动化任务调度状态、作业运行状态等事项进行多维度的监控,对监控
报警进行集中汇总并落实报警处理的行为;
——容量管理:落实容量管理的工作机制,包括对运维自动化工具平台的组件容量、服务容量、
业务容量进行跟踪、分析和预测,提前发现容量瓶颈,实施容量管控,确保运维自动化工具
平台的处理容量满足需求并稳定运行;
——高可用及备份管理:落实平台架构高可用与数据备份相关的工作要求,包括对运维自动化工
具平台的部署架构、逻辑架构、数据备份、程序备份等进行管理,持续优化平台的高可用和
备份能力。
运行管理成熟度等级要求见表7。
JR/T 0320—2024
12
表7 运行管理成熟度等级要求
等级变更发布管理监控管理容量管理高可用及备份
G1
a) 制定运维自动化工具平台变
更管理规范,防范因系统变
更造成的运行安全故障;
b) 制定运维自动化工具平台变
更实施方案,并对系统变更
操作行为进行记录、审查、
确认和跟踪。
制定运维自动化工具平台
的监控规范,及时发现平
台运行过程中出现的异常
并及时处理。
制定运维自动化工具平
台容量评估规范,定期
开展容量评估,及时发
现平台运行的容量问题
并进行容量调整。
a) 实施运维自动化工具
平台高可用建设,具
备应急预案和切换机
制;
b) 具备数据备份和恢复
机制,定期进行数据
备份、恢复验证工
作,具备完善的数据
维护措施,保障运行
数据的安全、完整。
G2
a) 制定运维自动化工具平台变
更管理规范,防范因系统变
更造成的运行安全故障;
b) 制定运维自动化工具平台变
更实施方案,并对系统变更
操作行为进行记录、审查、
确认和跟踪;
c) 运维自动化工具平台的变更
发布统一纳入线上化管理,
确保变更风险可控;
d) 对运维自动化工具平台软件
和配置信息实施版本化管
理,异常情况下具备快速回
退功能,以确保其可靠性,
保障服务的连续性。
a) 制定运维自动化工具
平台的监控规范,及
时发现平台运行过程
中出现的异常并及时
处理;
b) 运维自动化工具平台
纳入统一的监控系统
进行监控,对平台涉
及的基础设施、操作
系统、服务、客户终
端等多个维度进行实
时监控,并确保所有
的告警信息都得到及
时有效的处理,保障
工具平台的正常运
行。
a) 制定运维自动化工
具平台容量评估规
范,定期开展容量
评估,及时发现平
台运行的容量问题
并进行容量调整;
b) 容量分析可通过线
上化工具实现统一
管理、留痕,定期
实施容量评估,容
量事件及时得到有
效的跟踪闭环。
a) 实施运维自动化工具
平台高可用建设,实
现多数据中心部署,
具备应急预案和快速
切换机制;
b) 具备数据备份和恢复
机制,采用线上备份
工具,定期进行数据
备份、恢复验证工
作;备份执行的正确
性通过线上工具实施
监控,确保数据备份
的完整性、有效性。
G3
a) 制定运维自动化工具平台变
更管理规范,防范因系统变
更造成的运行安全故障;
b) 制定运维自动化工具平台变
更实施方案,并对系统变更
操作行为进行记录、审查、
确认和跟踪;
a) 制定运维自动化工具
平台的监控规范,及
时发现平台运行过程
中出现的异常并及时
处理;
a) 制定运维自动化工
具平台容量评估规
范,定期开展容量
评估,及时发现平
台运行的容量问题
并进行容量调整;
a) 实施运维自动化工
具平台高可用建
设,实现多数据中
心部署,具备应急
预案和自动化切换
机制,确保出现灾
难事件时,服务不
受影响;
JR/T 0320—2024
13
表7 运行管理成熟度等级要求(续)
等级变更发布管理监控管理容量管理高可用及备份
c) 运维自动化工具平台的变更
发布统一纳入线上化管理,
确保变更风险可控;
d) 对运维自动化工具平台软件
和配置信息实施版本化管
理,异常情况下具备快速回
退功能,以确保其可靠性,
保障服务的连续性;
e) 采用数字化智能分析,对变
更前后的关键指标进行分
析,能提前预测变更对系统
功能、性能等维度的影响,
及时发现存在的安全隐患,
降低变更风险。
b) 运维自动化工具平台
纳入统一的监控系统
进行监控,对平台涉
及的基础设施、操作
系统、服务、客户终
端等多个维度进行实
时监控,并确保所有
的告警信息都得到及
时有效的处理,保障
工具平台的正常运
行;
c) 对运维自动化工具平
台的性能数据、告警
数据等进行运营分
析,结合算法,实现
对潜在风险的洞察与
预测,可快速定位已
知故障;
d) 基于运行监控数据,
结合自动化系统,实
现告警自愈能力。
b) 容量分析可通过线
上化工具实现统一
管理、留痕,定期
实施容量评估,容
量事件及时得到有
效的跟踪闭环;
c) 对运维自动化工具
平台的容量数据进
行实时的、自动化
和智能化分析,预
测容量或性能瓶
颈;
d) 根据运维自动化工
具平台容量分析发
现的问题,实现自
动扩缩容,防范出
现系统容量风险。
b) 具备数据备份和恢复
机制,采用线上备份
工具,定期进行数据
备份、恢复验证工
作;备份执行的正确
性通过线上工具实施
监控,确保数据备份
的完整性、有效性;
c) 运维自动化工具平台
运行过程中的备份数
据需在同城及异地备
份中心实时同步,保
持备份数据与原始数
据的一致性,确保出
现灾难时,服务不中
断。
7.2.4 应急管理
应急管理成熟度从应急预案、应急演练、应急处置、应急复盘四个方面进行评估:
——应急预案:运维人员根据运维自动化活动可能触发故障的场景,制定具体的可操作的应对措
施。应急预案的场景宜尽可能贴合实际、全面覆盖;
——应急演练:运维人员组织运维自动化应急人员根据应急预案,模拟预案场景的发生,并进行
应急处置的活动;
——应急处置:在生产环境中,因运维自动化活动触发故障时,运维人员及相关方对故障积极响
应与处置,尽可能快速恢复故障的活动;
——应急复盘:通过组织事后总结分析工作,剖析应急处置的过程,改进应急预案、应急演练环
节,持续提高应急处置水平的活动。
应急管理成熟度等级要求见表8。
JR/T 0320—2024
14
表8 应急管理成熟度等级要求
等级应急预案应急演练应急处置应急复盘
G1
具备完善的运维自动
化应急预案,定期对
应急预案进行评审与
修订,保障预案内容
的有效性。
a) 根据应急演练要求,定期按
照运维自动化应急预案场
景,组织应急小组成员模拟
故障,进行故障诊断、故障
恢复的真实演练;
b) 准确、完整记录演练过程中
关键的时点、步骤,及与应
急预案中不一致的情形,进
行优化完善。
具备明确的应急处置机
制,包括但不限于故障发
现、响应、通报、定位、
恢复,定期对应急处置机
制进行评审与修订。
具备完善的应急复盘
机制,包括但不限于
过程回顾、技术分
析、经验总结、优化
改进。
G2
a) 具备完善的运维
自动化应急预
案,定期对应急
预案进行评审与
修订,保障预案
内容的有效性;
b) 通过运维自动化
工具平台进行应
急预案的线上化
管理。
a) 根据应急演练要求,定期按
照运维自动化应急预案场
景,组织应急小组成员模拟
故障,进行故障诊断、故障
恢复的真实演练;
b) 通过线上化管理工具辅助运
维自动化应急演练,量化演
练指标,准确、完整记录演
练过程中关键的时点、步
骤,及时发现与应急预案中
不一致的情形,进行优化完
善。
a) 具备明确的应急处置
机制,包括但不限于
故障发现、响应、通
报、定位、恢复,定
期对应急处置机制进
行评审与修订;
b) 通过平台实现应急处
置过程的协同和操作
的线上化管理。
a) 具备完善的应急
复盘机制,包括
但不限于过程回
顾、技术分析、
经验总结、优化
改进;
b) 通过平台实现应
急复盘的线上化
管理。
G3
a) 具备完善的运维
自动化应急预
案,定期对应急
预案进行评审与
修订,保障预案
内容的有效性;
b) 通过运维自动化
工具平台进行应
急预案的线上化
管理;
c) 通过智能化手
段,主动关联事
件、变更等运维
活动,触发应急
预案的修订和持
续优化。
a) 根据应急演练要求,定期按
照运维自动化应急预案场景
组织应急小组成员模拟故
障,进行故障诊断、故障恢
复的真实演练;
b) 通过线上化管理工具辅助运
维自动化应急演练,量化演
练指标,准确、完整记录演
练过程中关键的时点、步
骤,及时发现与应急预案中
不一致的情形,进行优化完
善;
c) 结合演练场景和演练数据分
析,利用混沌工程能力,智
能推荐应急演练场景,及时
发现演练薄弱环节,持续提
升应急演练的水平。
a) 具备明确的应急处置
机制,包括但不限于
故障发现、响应、通
报、定位、恢复,定
期对应急处置机制,
进行评审与修订;
b) 通过平台实现应急处
置过程的协同和操作
的线上化管理;
c) 利用智能化手段,按
应急预案实施自动化
处置, 实现故障自
愈。
a) 具备完善的应急
复盘机制,包括
但不限于过程回
顾、技术分析、
经验总结、优化
改进;
b) 通过平台实现应
急复盘的线上化
管理。
JR/T 0320—2024
15
7.2.5 外包风险管理
外包风险管理成熟度从入场前管理、驻场管理、离场管理三个方面进行评估:
——入场前管理:对于外包人员驻场前的风险管控措施,主要包括外包服务权责管理、外包服务
及外包人员需求管理等;
——驻场管理:对于外包人员驻场工作期间的风险管控措施,主要包括外包服务安全管理、人员
信息管理、外包服务绩效考核与评价、资源管理工作等;
——离场管理:对于外包人员离场过程的风险管控措施,主要包括服务终止原因及材料交接、设
备归还和账号权限注销。
外包风险管理成熟度等级要求见表9。
表9 外包风险管理成熟度等级要求
等级入场前管理驻场管理离场管理
G1
a) 外包服务厂商应完成行业信息技
术服务机构备案手续,在相应的
领域具有国家要求的服务资质,
具有较高的知名度和良好的公司
声誉;
b) 外包人员应进行严格信息安全管
控,在数据层面区分敏感数据与
一般数据的使用权限;
c) 具有明确的外包项目建议书,包
括所需的硬件、软件、服务、成
本与时间等要求;
d) 外包服务协议应明确约定双方权
利、义务、服务厂商考核和评价
指标及安全保密协议。
a) 具备公司级外包人员安全管理制度,对外
包人员进行宣导,并严格按照规定实施;
b) 为外包人员申请资源时,应严格规定其使
用权限,并做好记录和定时更新等管理工
作;
c) 建立配置备份和应急措施,以应对外包人
员因操作失误导致数据丢失、程序丢失、
文档丢失或系统异常故障等风险;
d) 定期对外包厂商所提供的外包服务质量
(工作进度控制、项目成果等)进行监督
和考核,对服务质量进行评价,形成评价
报告,并留档备查;
e) 通过有效的技术手段,对外包人员在生产
环境的操作行为进行审计,且符合实名制
原则,防范数据泄露。外包人员终端接入
网络应做访问控制。
a) 在外包服务合同到期
时,应要求外包厂商
提供完整的工作交接
清单及有关交接材
料;
b) 具备外包人员资源回
收和权限注销流程。
G2
a) 外包服务厂商应完成行业信息技
术服务机构备案手续,在相应的
领域具有国家要求的服务资质,
具有较高的知名度和良好的公司
声誉;
b) 外包人员应进行严格信息安全管
控,在数据层面区分敏感数据与
一般数据的使用权限;
c) 具有明确的外包项目建议书,包
括所需的硬件、软件、服务、成
本与时间等要求;
a) 具备公司级外包人员安全管理制度,对外
包人员进行宣导,并严格按照规定实施;
b) 为外包人员申请资源时,应严格规定其使
用权限,并做好记录和定时更新等管理工
作;
c) 建立配置备份和应急措施,以应对外包人
员因操作失误导致数据丢失、程序丢失、
文档丢失或系统异常故障等风险;
d) 定期对外包厂商所提供的外包服务质量
(工作进度控制、项目成果等)进行监督
和考核,对服务质量进行评价,形成评价
报告,并留档备查;
a) 在外包服务合同到期
时,应要求外包厂商
提供完整的工作交接
清单及有关交接材
料;
b) 具备外包人员资源回
收和权限注销流程;
c) 外包人员离场申请过
程应通过线上流程系
统进行管理;
JR/T 0320—2024
16
表9 外包风险管理成熟度等级要求(续)
等级入场前管理驻场管理离场管理
d) 外包服务协议应明确约定双方权
利、义务、服务厂商考核和评价
指标及安全保密协议;
e) 通过平台实现入场前的线上化管
理。
e) 通过有效的技术手段,对外包人员在生产
环境的操作行为进行审计,且符合实名制
原则,防范数据泄露。外包人员终端接入
网络需做访问控制;
f) 外包人员的安全权限(如系统资源访问权
限等)分配通过模板自动化生成,并具备
校验机制;
g) 外包商服务和外包人员管理应纳入线上化
管理,定期对外包人员自动生成考勤、工
作量报表,方便管理人员进行考核评价。
d) 外包人员资源的回收
通过运维自动化工具
平台实现,在经过审
批后,自动完成外包
人员资源的回收。
G3
a) 外包服务厂商应完成行业信息技
术服务机构备案手续,在相应的
领域具有国家要求的服务资质,
具有较高的知名度和良好的公司
声誉;
b) 外包人员应进行严格信息安全管
控,在数据层面区分敏感数据与
一般数据的使用权限,外包提供
的服务范围参照重要信息系统的
要求执行;
c) 具有明确的外包项目建议书,包
括对所需的硬件、软件、服务、
成本与时间等要求;
d) 外包服务协议应明确约定双方权
利、义务、服务商考核和评价指
标及安全保密协议;
e) 通过平台实现入场前的线上化管
理。
a) 具备公司级外包人员安全管理制度,对外
包人员进行宣导,并严格按照规定实施;
b) 为外包人员申请资源时,应严格规定其使
用权限,并做好记录和定时更新等管理工
作;
c) 建立配置备份和应急措施,以应对外包人
员因操作失误导致数据丢失、程序丢失、
文档丢失或系统异常故障等风险;
d) 定期对外包厂商所提供的外包服务质量
(工作进度控制、项目成果等)进行监督
和考核,对服务质量进行评价,形成评价
报告,并留档备查;
e) 通过有效的技术手段,对外包人员在生产
环境的操作行为进行审计,且符合实名制
原则,防范数据泄露,同时外包人员终端
接入网络需做访问控制;
f) 外包人员的安全权限(如系统资源访问权
限等)分配通过模板自动化生成,并具备
校验机制;
g) 外包商服务和外包人员管理应纳入信息化
管理,定期对外包人员自动生成考勤、工
作量报表,方便管理人员进行考核评价;
h) 通过智能化手段和大数据分析技术,对外
包人员的操作记录和权限使用情况等运营
数据进行智能化的风险评估。
a) 在外包服务合同到期
时,应要求外包厂商
提供完整的工作交接
清单及有关交接材
料;
b) 具备外包人员资源回
收和权限注销流程;
c) 外包人员离场申请过
程应通过线上流程系
统进行管理;
d) 外包人员资源的回收
通过运维自动化工具
平台实现,在经过审
批后,自动完成外包
人员资源的回收;
e) 通过智能化手段隔离
风险,确保敏感信息
的安全。
7.3 安全审计
7.3.1 安全合规审计
安全合规审计成熟度从审计机制、审计范围、留痕管理、审计应对四个方面进行评估:
——审计机制:外部或内部审计人员在进行具体审计实施时的管理要求;
JR/T 0320—2024
17
——审计范围:审计内容的使用范围和适用范围;
——留痕管理:运维自动化活动中所涉及的流程文档、交付文档、评审文档和平台层面所形成的
事件记录的留痕管理;
——审计应对:在审计实施后对审计结果及审计发现的处理流程,包括审计结果的评审确认、问
题发现的通报处理、缺陷不足的追踪改进。
安全合规审计成熟度等级要求见表10。
表10 安全合规审计成熟度等级要求
等级审计机制审计范围留痕管理审计应对
G1
具备完善的运维自动
化审计制度,并开展
审计活动。
a) 定期开展全面审计:
依据本文件管理成熟
度所有能力项进行运
维成熟度的定期审
计;
b) 按需开展专项审计:
当组织发生运维自动
化相关的网络安全事
件后,应在事件处理
后立即组织执行专项
审计及调查或自主进
行运维自动化的专项
分析,并对潜藏的问
题进行改进。
a) 组织应在内部管理制
度规范中,涵盖运维
自动化的留痕管理要
求,并开展留痕管理
工作;
b) 重要文档和日志留痕
信息应满足保存时限
的相关要求,以备审
计需要;
c) 审计材料应满足行业
监管要求和保存期
限。
a) 具备完善的运维自动
化审计应对机制,针
对审计结果进行审议
及后续整改,跟踪审
计的整改进展,形成
审计闭环;
b) 对于审计发现但未能
按期解决的问题,应
及时提供合理说明并
经相关审批确认。
G2
a) 具备完善的运维自
动化审计制度,并
开展审计活动;
b) 通过运维自动化审
计平台实现运维自
动化审计流程的线
上化管理。
a) 定期开展全面审计:
依据本文件管理成熟
度所有能力项进行运
维成熟度的定期审
计;
b) 按需开展专项审计:
当组织发生运维自动
化相关的网络安全事
件后,应在事件处理
后立即组织执行专项
审计及调查或自主进
行运维自动化的专项
分析,并对潜藏的问
题进行改进;
c) 在运维自动化审计平
台中应包含上述各审
计项,组织应在平台
中对自动化审计工作
予以落实。
a) 组织应在内部管理制
度规范中,涵盖运维
自动化的留痕管理要
求,并开展留痕管理
工作;
b) 重要文档和日志留痕
信息应满足保存时限
的相关要求,以备审
计需要;
c) 审计材料应满足行业
监管要求和保存期
限;
d) 通过运维自动化审计
平台实现留痕的线上
化管理。
a) 具备完善的运维自动
化审计应对机制,针
对审计结果进行审议
及后续整改,跟踪审
计的整改进展,形成
审计闭环;
b) 对于审计发现但未能
按期解决的问题,应
及时提供合理说明并
经相关审批确认;
c) 通过运维自动化审计
平台实现审计的整
改、优化等活动的线
上化管理。
JR/T 0320—2024
18
表10 安全合规审计成熟度等级要求(续)
等级审计机制审计范围留痕管理审计应对
G3
a) 具备完善的运维
自动化审计制
度,并开展审计
活动;
b) 通过自动化平台
实现运维审计流
程的线上化管
理;
c) 持续完善并改进
运维自动化审计
平台线上审计功
能,具备智能化
审计决策功能。
a) 定期开展全面审计:依
据本文件管理成熟度所
有能力项进行运维成熟
度的定期审计;
b) 按需开展专项审计:当
组织发生运维自动化相
关的网络安全事件后,
应在事件处理后立即组
织执行专项审计及调查
或自主进行运维自动化
的分析,并对潜藏的问
题进行改进,同时在运
维自动化审计平台中应
包含上述各审计项,组
织应在平台中对自动化
审计工作予以落实;
c) 应根据运维自动化的发
展情况,依据运维自动
化流程及平台的发展进
程, 同步更新审计范
围,并持续优化。
a) 组织应在内部管理制
度规范中,涵盖运维
自动化的留痕管理要
求,并开展留痕管理
工作;
b) 重要文档和日志留痕
信息应满足保存时限
的相关要求,以备审
计需要;
c) 审计材料应满足行业
监管要求和保存期
限;
d) 通过运维自动化审计
平台实现留痕的线上
化管理;
e) 通过智能化手段,持
续优化留痕管理。
a) 具备完善的运维自动化
审计应对机制,针对审
计结果进行审议及后续
整改,跟踪审计的整改
进展,形成审计闭环;
b) 对于审计发现但未能按
期解决的问题,应及时
提供合理说明并经相关
审批确认;
c) 通过运维自动化审计平
台实现审计的整改、优
化等活动的线上化管
理;
d) 通过智能化手段,定期
对运维自动化审计的应
对处理作出有效性评
估, 发现审计中的问
题,持续优化审计应对
能力。
8 工具与平台建设
8.1 功能设计
功能设计成熟度从监控管理、流程管理、操作自动化、运维分析四个方面进行评估:
——运维自动化工具平台宜具备多层次的监控能力,包括对硬件设备(计算、存储、网络等),
系统软件(虚拟化、容器、操作系统等),应用可用性(架构高可用、应用服务可用性
等),业务功能(安全、性能、体验、应用功能等)等维度的监控,并针对监控告警进行统
一管理;
——运维自动化工具平台宜具备运维流程管理能力,证券基金经营机构可结合自身情况,从组
织、规程、资源、工具等方面落地相应的流程管理措施;
——运维自动化工具平台宜具备操作自动化能力,将规律性、重复性的运维操作通过自动化方式
实现;
——运维自动化工具平台宜具备运维数据分析能力,对监控性能指标、监控告警、系统日志、应
用日志、流程管理、配置管理等数据进行深度分析。
功能设计成熟度等级要求见表11。
JR/T 0320—2024
19
表11 功能设计成熟度等级要求
等级监控管理流程管理操作自动化运维分析
G1
a) 具备对硬件设备、系统软
件、应用可用性、业务功
能、客户终端等层次的监
控能力;
b) 监控告警可及时送达处
理。
具备关键运维流程管理功
能,全面实现流程管理留
痕。
具备部分运维场景的自动
化操作功能与操作留痕,
实现基本的风险防范能
力。
具备对部分生产运行数据进
行采集、存储、加工、消费
的基本能力。
G2
a) 具备对硬件设备、系统软
件、应用可用性、业务功
能、客户终端等层次的监
控能力;
b) 监控告警可及时送达处
理;
c) 对各层次监控覆盖能力进
行整合, 实现指标、日
志、调用追踪数据与监控
告警数据的汇总,以及监
控告警事件的统一管理。
a) 具备运维流程管理功
能,全面覆盖运维流
程,实现流程管理留
痕;
b) 运维流程管理工具实
现与监控、自动化操
作等工具平台的互联
互通。
a) 具备主要运维场景的
自动化操作与操作留
痕,实现全面的风险
防范能力;
b) 具备脚本编写、脚本
编排、任务调度等工
具平台能力,支持根
据不同的运维应用场
景进行相应的自动化
操作。
a) 具备对生产运行数据进
行全面采集、存储、加
工、消费的能力;
b) 提供运维数据分析服
务,具备对生产运行数
据进行集中处理、分析
挖掘、场景化应用的能
力;
c) 运维数据分析服务可对
外提供多层面的服务能
力。
G3
a) 具备对硬件设备、系统软
件、应用可用性、业务功
能、客户终端等层次的监
控能力;
b) 监控告警可及时送达处
理;
c) 对各层次监控覆盖能力进
行整合, 实现指标、日
志、调用追踪数据与监控
告警数据的汇总,以及监
控告警事件的统一管理;
d) 利用智能算法,对监控数
据进行全面深入的挖掘与
分析,具备智能化的异常
检测、故障定位、根因分
析等能力。
a) 具备运维流程管理功
能,全面覆盖运维流
程,实现流程管理留
痕;
b) 运维流程管理工具实
现与监控、自动化操
作等工具平台的互联
互通;
c) 可对运维流程实施数
字化度量,支持从效
能、风险等方面对相
关流程进行专项分
析,支持运维工作流
程的持续优化与运
营。
a) 具备主要运维场景的
自动化操作与操作留
痕,实现具备全面的
风险防范能力;
b) 具备脚本编写、脚本
编排、任务调度等工
具平台能力,支持根
据不同的运维应用场
景进行相应的自动化
操作;
c) 结合智能算法,对生
产运行数据、自动化
操作数据进行分析,
实现人机协同的自动
化操作。
a) 具备对生产运行数据进
行全面采集、存储、加
工、消费的能力;
b) 提供运维数据分析服
务,具备对生产运行数
据进行集中处理、分析
挖掘、场景化应用的能
力;
c) 运维数据分析服务可对
外提供多层面的服务能
力;
d) 结合智能算法,建立运
维指标体系、规则引
擎,具备可预测的数据
感知能力和辅助决策能
力。
8.2 非功能设计
8.2.1 可维护性
可维护性成熟度从状态监测、故障隔离、故障恢复三个方面进行评估:
——运维自动化工具平台宜具备对自身运行健康状态的可监测能力,包括性能、指标、日志、链
路、容量、功能和体验等数据,同时具备运行状态的可观察性,可及时发现自身运行故障;
JR/T 0320—2024
20
——运维自动化工具平台宜具备故障隔离能力,根据故障应对措施将异常模块隔离,提升运维自
动化工具平台主要功能的连续性;
——运维自动化工具平台宜具备自身的故障恢复能力,根据故障恢复措施快速实现故障恢复,确
保出现异常状况后功能连续性的恢复。
可维护性成熟度等级要求见表12。
表12 可维护性成熟度等级要求
等级状态监测故障隔离故障恢复
G1
具备基础设备层、操作系统层、应用层等
运行状态的监测能力,平台及任务的运行
状态具备可观察性。
具备已知场景的故障隔离机制
与方案,在故障发生后,可根
据预案完成故障隔离操作。
具备已知场景的故障恢复机
制与方案,在故障发生后,
可根据预案完成故障恢复。
G2
a) 具备基础设备层、操作系统层、应用
层、功能层、体验层等运行状态的监
测能力,平台及任务的运行状态具备
可观察性;
b) 可输出资源、可用性状态、性能、指
标、日志、链路、容量、功能和体验
等运行数据,并实现数据的平台化管
控。
具备已知场景的故障隔离机制
与方案,在故障发生后,可采
用工具辅助完成故障隔离,确
保平台主要功能的可用性。
具备已知场景的故障恢复机
制与方案,在故障发生后,
可采用工具辅助完成故障恢
复,确保平台业务连续性。
G3
a) 具备基础设备层、操作系统层、应用
层、功能层、体验层等运行状态的监
测能力,平台及任务的运行状态具备
可观察性;
b) 可输出资源、可用性状态、性能、指
标、日志、链路、容量、功能和体验
等运行数据,并实现数据的平台化管
控;
c) 具备平台运行状态的实时分析能力,
通过智能化手段,可预测平台潜在运
行风险;
d) 可全面收集用户行为数据,供平台运
营分析,持续优化用户体验。
a) 具备已知场景的故障隔离
机制与方案,在故障发生
后,可实施自动化故障隔
离,确保平台主要功能的
可用性;
b) 对运行数据进行智能分
析,建立故障隔离的专家
知识图谱;具备未知和复
杂场景下的故障快速隔离
能力。
a) 具备已知场景的故障恢
复机制与方案,在故障
发生后,可实施自动化
故障恢复,确保平台业
务连续性;
b) 对运行数据进行智能分
析,建立故障定位、故
障恢复的专家知识图
谱;具备未知和复杂场
景下, 故障的快速诊
断、定位以及快速恢复
能力。
8.2.2 可用性
可用性成熟度从架构高可用、可扩展性、资源管控三个方面进行评估:
——运维自动化工具平台宜具备架构高可用,包括基础设施架构、数据库架构和平台应用架构高
可用;
——运维自动化工具平台宜具备在同一逻辑单元增加容量或技术组件,实现整体或逻辑能力扩展
的垂直扩展能力,同时具备增加多个逻辑单元,提升整体能力的水平扩展能力;
——运维自动化工具平台宜具备对自身资源消耗的管控能力,控制系统资源消耗,避免对业务系
统产生影响。
可用性成熟度等级要求见表13。
JR/T 0320—2024
21
表13 可用性成熟度等级要求
等级架构高可用可扩展性资源管控
G1
基础设施架构、数据库架构和平
台应用架构满足高可用要求,可
实现应急预案的高可用切换。
a) 平台应用及数据库模块具备垂直扩展能
力,解决性能或容量不足等问题;
b) 支持对现有工具功能模块的扩展与升级。
可人工管控平台资源,限
制自动化作业对业务系统
资源的消耗。
G2
a) 基础设施架构、数据库架构
和平台应用架构满足高可用
要求,可根据高可用策略实
现自动化切换;
b) 支持多中心容灾,无单点风
险,且RPO、RTO 符合行业重
要信息系统备份能力要求。
a) 数据库模块具备垂直扩展能力,平台应用
架构具备垂直、横向扩展能力,解决性能
或容量不足等问题;
b) 可根据工作场景需求,快速构建场景化应
用,满足灵活、可扩展的运维场景化需
求;
c) 具备与