|
★ITSS认证知识★---★ITSS技术体系化的必要性★
技术体系化的必要性
提高IT服务质量、降低IT服务成本;
减少人员流失带来的损失;
及时应用和推广成熟技术;
做好新技术研发和储备;
在提供IT服务中使用一致的技术标准。
资源
资源是指提供IT服务所依存和产生的有形及无形资产,如咨询服务供方为满足需方的需求,提供咨询服务所必须具备的知识、经验和工具等。资源要素确保IT服务提供商能“保障做事”,主要由人员、过程和技术要素中被固化的成果和能力转化而成,同时又对人员、过程和技术要素提供有力的支撑和保障。
根据所提供的IT服务类型的不同,所需要的资源也不尽相同,但可以对其进行汇总。例如,咨询设计服务和运行维护服务所使用的资源包括知识库、工具库、专家库、备件库和服务台。
资源要素所面临的挑战
忽略资源的价值,投入不够,导致资源不足;
对资源的使用不重视,重复投资现象严重;
缺乏利用资源的统一规划,资源的利用率不高;
资源的更新不及时,与市场需求、技术研发脱节。
资源系统化的必要性
统筹资源开发利用,确保与业务运营、技术研发协调一致;
确保提供满足质量和成本要求的IT服务;
明确各类资源管理的要点,提高资源使用率;
结合市场和业务发展需求,确保能及时更新资源,提高资源的使用率和使用质量。 [1]
ITSS供需方
ITSS既是一套成体系和综合配套的标准库,又是一套选择和提供IT服务的方法学。我国境内需要IT服务、提供IT服务或从事IT服务相关的理论研究和技术研发的单位或个人都需要ITSS,包括:
行业主管部门:
用于培育内需市场,鼓励服务外包,规范和引导信息技术服务业的发展。
IT服务需方:
用于实施标准化的IT服务,或选择合格的IT服务提供商,包括:
中央及地方各级政府部门信息中心;
金融、电信、电力、石化等全国性或区域性行业企业的IT部门;
全国各省市各类大中型企业的IT部门;
其它有IT服务需求的组织。
IT服务供方
用于提供标准化的IT服务,提升服务质量并确保服务可信。这样的供方主要包括:
以IT咨询为主营业务的企业;
以设计开发为主营业务的企业;
以信息系统集成为主营业务的企业;
以数据处理和运营为主营业务的企业;
其它提供IT服务的组织。
高校和科研院所:
用于指导IT服务相关的理论研究、技术研发和学科设置。
个人:
主要通过研究和学习ITSS,全面理解和掌握IT服务相关的标准化和技术理论知识,以及实施IT服务的方法,从而提升个人技能。
ITSS的好处
使用ITSS,对IT服务供需双方来讲,将带来以下潜在收益:
对IT服务需方:
提升IT服务质量:通过量化和监控最终用户满意度,IT服务需方可以更好地控制和提升用户满意度,从而有助于全面提升服务质量。
优化IT服务成本:不可预测的支出往往导致服务成本频繁变动,同时也意味着难以持续控制并降低IT服务成本,通过使用ITSS,将有助于量化服务成本,从而达到优化成本的目的。
强化IT服务效能:通过ITSS实施标准化的IT服务,有助于更合理地分配和使用IT服务,让所采购的IT服务能够得到最充分、最合理的使用。
降低IT服务风险:通过ITSS实施标准化的IT服务,也就意味着更稳定、更可靠的IT服务,降低业务中断风险,并可以有效避免被单一IT服务厂商绑定。
对IT服务供方:
提升IT服务质量:IT服务供需双方基于同一标准衡量IT服务质量,可使IT服务供方一方面通过ITSS来提升IT服务质量,另一方面可使提升的IT服务质量被IT服务需方认可,直接转换为经济效益。
优化IT服务成本:ITSS使IT服务供方可以将多项IT服务成本从企业内成本转换成社会成本,比如初级IT服务工程师培养、客户IT服务教育等。这种转变一方面直接降低了IT服务供方的成本,另一方面为IT服务供方的业务快速发展提供了可能。
强化IT服务效能:服务标准化是服务产品化的前提,服务产品化是服务产业化的前提。ITSS让IT服务供方实现IT服务的规模化成为可能。
降低IT服务风险:通过依据ITSS引入监理、服务质量评价等第三方服务,可降低IT服务项目实施风险;部分IT服务成本从企业内转换到企业外,可降低IT服务企业运营风险。
★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★重庆CCRC认证★重庆ITSS认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★四川CCRC认证★四川ITSS认证★
★CCRC认证知识★---★安全运维服务资质认证简介★
安全运维服务资质认证简介
通过技术设施安全评估,技术设施安全加固,安全漏洞补丁通告、安全事件响应以及信息安全运维咨询,协助组织的信息系统管理人员进行信息系统的安全运维工作,以发现并修复信息系统中所存在的安全隐患,降低安全隐患被非法利用的可能性,并在安全隐患被利用后及时加以响应。
安全运维资质认证是对安全运维服务方的基本资格、管理能力、技术能力和安全运维过程能力等方面进行评价。安全运维服务资质级别是衡量服务提供方的安全运维服务资格和能力的尺度。
资质级别分为一级、二级、三级共三个级别,其中一级最高,三级最低。
★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★
信息安全服务资质认证自评估表-公共管理
填表说明:
1、申请三级信息安全服务资质认证时,仅需填写该自评估表。
2、申请一、二级服务资质认证时,该自评估表与申报具体的服务类别自评估一并使用,单个文档不作为自评估支撑材料。申报多个服务类别且级别不同时,按照申请的最高级别服务资质认证的管理要求填写。
3、表中要求的所有程序文件均已发布实施。
组织名称 服务类别/级别 如有工控安全请注明行业。
评估时间 评估部门/人员
序号 要点 条款 需提供证明材料 自评估结论 证明材料清单
符合 不符合
1. 法律地位要求 仅适用于初次认证:
在中华人民共和国境内注册的独立法人组织,发展历程清晰,产权关系明确。
监督审核:
如有变化则重新提供。 营业执照/事业单位登记证,核对注册号、法定代表人、注册资本、注册地址、公司类型、经营范围、成立日期、营业期限等。
如独立法人实体的一个部门或部分,经法人批准成立,法人实体能为申请人开展的活动承担相关的法律责任的文件(法人签字盖章)。
(提供企业在国家企业信用信息公示系统http://www.gsxt.gov.cn中的基础信息截图)
2. 法律地位要求 遵循国家相关法律法规、标准要求,无违法违规记录,资信状况良好。 提供企业在国家企业信用信息公示系统(http://www.gsxt.gov.cn)上的企业信用信息。 需要截图
3. 财务资信要求 仅适用于初次认证:
组织经营状况正常,建立财务管理制度,可为安全服务提供必要的财务支持。 提供财务管理制度,包括财务风险管控制度,必要时年度审计报告作为支撑文件。
4. 办公场所要求 拥有长期固定办公场所和相适应的办公条件,能够满足机构设置及其业务需要。
监督审核:
有变化则提供,无变化则不提供。 房屋产权证或租房屋赁合同;
产权人/出租人、地址、面积、租期。
5. 人员能力要求 三级/二级/一级分别要求:组织负责人拥有2/3/4年以上信息技术领域管理经历。 组织负责人简历及资质证书,包括姓名、年龄、职务、职称、学历、工作经历、信息技术领域管理年限、资质证书。
XX市社保部门出具的公司员工社保缴费证明,单据号:XXXX,出具时间XX年XX月XX日。
三级/二级/一级的负责人社保证明至少(3个月)。
需提供社保部门提供的社保缴费证明或社保系统查询截图。
6. 三级/二级/一级分别要求:技术负责人具备信息安全服务(与申报类别一致)管理能力,经评价合格(与申报类别一致),评价要求见附录G。 技术负责人简历及资质证书,包括姓名、年龄、职务、职称、学历、工作经历、信息技术领域工作年限、资质证书。
提供技术负责人的信息安全服务管理能力证明,包括能力考核结果(与申报类别一致)。三级/二级/一级的技术负责人社保证明至少3个月。
需提供社保部门提供的社保缴费证明或社保系统查询截图。
7. 三级/二级/一级分别要求:项目负责人、项目工程师具备信息安全服务(与申报类别一致)技术能力,经评价合格,评价要求见附录G。
提供项目负责人、项目工程师的技术能力证明,包括能力考核结果。如,对应岗位职责、能力自评价、能力评价、项目经历等证明材料。
三级/二级/一级的服务人社保证明至少3个月。
需提供社保部门提供的社保缴费证明或社保系统查询截图。
8. 业绩要求 仅适用初次审核:
三级/二级/一级分别要求:从事信息安全服务(与申报类别一致)至少4个月/3年或取得三级资质1年以上/ 5年或取得二级资质1年以上。 提供首个信息安全服务(与申报类别一致)项目合同原件,核对项目名称、合同签订时间、项目验收时间等。
(公开招标项目需提供中标通知书原件或招标网站公示截图,非公开招标项目需提供财务收款凭证)。 监督审核不适用。
三级初次申报填写公司成立时间/或项目开始时间。
9. 仅适用初次审核:
二级/一级分别要求:近3年内签订并完成至少6/10个信息安全服务(与申报类别一致)项目。一二级现场随机抽查1个项目。
监督审核:
三级/二级/一级监督审核:近1年内签订并完成至少1个/2个/2个信息安全服务(与申报类别一致)项目。 提供信息安全服务项目(与申报类别一致)合同及验收报告原件,核对项目清单,确认项目名称、合同金额、签订时间、验收时间、项目数量、服务内容与申报一致。
(公开招标项目需提供中标通知书原件或招标网站公示截图,非公开招标项目需提供财务收款凭证)。 三级初次申报不填此项
★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★
10. 服务管理要求 建立并运行人员管理程序,识别安全服务人员的服务能力要求,明确安全服务人员的岗位职责、技术能力要求,并通过评价证明其能够胜任其承担的职责。 提供服务人员管理程序,及安全服务人员的岗位职责、技术能力要求,并提供评价证明其能够胜任其承担的职责。
11. 制定服务人员能力培养计划,包括网络与信息安全相关的技术、技能、管理、意识等内容,并执行计划,确保服务人员持续胜任其承担的职责。 提供服务人员能力培养计划,包括网络与信息安全相关的技术、技能、管理、意识等内容,并执行计划,确保服务人员持续胜任其承担的职责。
12. 建立文档管理程序,包括组织管理、服务过程管理、质量管理等内容,明确项目产生、发布、保存、传输、使用(包括交付和内部使用)、废弃等环节的文档控制。 文档管理程序建立及实施情况,提供与申报类型一致的安全服务项目过程文档,核实是否存在遗失或信息泄露等问题。
13. 二级:4.2.6 c)配备档案室及高安全性的文件服务器。 提供配备档案室及高安全性的文件服务器的证据。
14. 一级:4.3.6 c)配备档案室及高安全性的文件服务器,至少近两年的项目在文件管理系统中进行管理。 提供配备档案室及高安全性的文件服务器,至少近两年的项目在文件管理系统中进行管理的证据。
15. 建立并运行项目管理程序,明确服务项目的组织、计划、实施、风险控制、交付等环节的操作规程。 提供项目管理程序建立及实施情况的证据,明确服务项目的组织、计划、实施、风险控制、交付等环节的操作规程,提供项目风险管理记录。
16. 建立并运行保密管理程序,明确岗位保密责任,签订保密协议,并能够适时对相关人员进行保密教育。 保密管理程序建立及落实情况,包括保密范围、保密方式、保密时效、保密责任主体、罚则。提供组织与管理层、技术负责人及项目实施人员签订的保密协议。关键岗位离职人员签订离职保密协议。提供保密教育培训记录。
17. (三级要求)建立与运行供应商管理程序,确保其供应商满足服务安全要求(仅适用于安全集成、安全运维、灾难备份与恢复、、工业控制系统安全)。 提供供应商名录、供应商管理制度的实施情况,包括供应商选择、考核与管理等(仅适用于安全集成、安全运维、灾难备份与恢复方向、工业控制系统安全)
18. (一、二级要求)建立并运行供应商管理程序,明确供应或外包过程中的风险,对供应商或承包方的服务基本资格、服务过程控制、服务质量、服务交付等进行识别,确保其供应商或承包方满足服务安全要求(仅适用于安全集成、安全运维、灾难备份与恢复方向、工业控制系统安全)。 提供供应商管理程序,明确供应或外包过程中的风险,对供应商或承包方的服务基本资格、服务过程控制、服务质量、服务交付等进行识别,确保其供应商或承包方满足服务安全要求(仅适用于安全集成、安全运维、灾难备份与恢复方向、工业控制系统安全)
19. 建立合同管理程序,制定统一合同模板,按照合同约定实施信息安全服务项目。按照客户要求,对于接触到的客户敏感信息和知识产权信息予以保护,并确保服务方人员了解客户的相关要求。 提供合同管理程序、合同统一模板。提供服务项目(与申报类别一致)合同/协议中对敏感信息和知识产权信息保护要求的相关条款。
20. 一/二级要求:参照国际或国内标准,建立业务范围覆盖信息安全服务的质量管理体系,并有效运行半/一年以上。 结合质量管理体系文件,查阅体系运行记录,验证体系运行情况,至少包括质量管理体系手册、文件控制程序、记录控制程序、纠正与预防控制程序、内审与管评控制程序、安全服务工作控制程序;内审、管评、外审报告(有则提供);验证质量管理体系范围覆盖与申报类别一致的信息安全服务。
21. 一/二级要求:参照国际或国内标准,建立业务范围覆盖信息安全服务的信息安全管理体系或信息技术服务管理体系,并有效运行半/一年以上。 结合信息安全管理体系文件,查阅体系运行记录,验证体系运行情况,至少包括范围方针文件、事件管理、问题管理、介质管理、业务连续性管理、数据安全管理、内审与管评控制程序、内审、管评、外审报告(有则提供) [风险管理程序、适用性声明及相应的控制措施文件](适用于27001)(适用于20000);业务范围覆盖与申报类别一致的信息安全服务。
22. 一级要求:建立信息安全服务目录(与类别相对应),签订服务级别协议。 信息安全服务目录(与类别相对应)、服务级别协议。
23. 技术工具要求 二级/一级要求:具备独立的测试环境及必要的软、硬件设备,用于技术培训和模拟测试。 信息安全服务的测试环境,提供设备清单、建设时间、规模、主要承担工作等。
24. 二级/一级要求:具备承担信息安全服务(与申报类别一致)项目所需的安全工具,并对工具进行管理和版本控制。 信息安全服务的软、硬件工具清单,工具管理程序和要求;针对在安全服务项目中应用自主开发工具和产品进行现场演示,提供产品销售许可证或软件著作权证书。
25. 服务技术 仅适用于三级初次
建立信息安全服务(与申报类别一致)要求的流程,并按照流程实施。 按照相关标准建立申报的服务类别流程(申报多类需要制定相对应的服务流程)。流程图中应包括每个阶段对应的职责、输入输出等。 如工控安全请注明行业。
26. 仅适用于三级初次
制定信息安全服务(与申报类别一致)要求的规范标准,并按照规范实施。 制定与申报的信息安全服务类别规范并按照规范实施(申报多类需要制定相对应的服务规范)。 如工控安全请注明行业。
★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★
27. 服务过程文档模板
仅适用于三级初次
制定信息系统安全集成服务过程的文档模板 安全集成:
(1) 集成准备阶段:至少包括需求调研报告、技术方案、实施方案(技术方案内容应至少包含项目背景、设计依据、总体设计架构、信息安全设计等方面内容,实施方案应至少包含项目组织架构及人员安排、进度安排、实施内容、项目风险管理、项目沟通管理、项目质量管理等方面内容);
(2) 建设实施阶段:至少包括日报/周报;
(3) 安全保障阶段:至少包括测试方案、验收申请、验收报告;
28. 仅适用于三级初次
制定信息系统风险评估服务过程的文档模板 风险评估:
(1) 准备阶段:至少包括信息系统基本情况调研表、风险评估方案(方案中应至少包含被评估对象描述、评估依据、评估范围、评估内容、项目组成员、评估计划安排、评估工具、评估过程、评估方法、风险评价原则、风险评估模型、风险分析与计算方法等方面内容);
(2) 风险识别阶段:至少包括管理脆弱性检查表、技术脆弱性检查表(包含主机、数据库、网络设备、安全设备、中间件、应用系统等)、威胁调查表;
(3) 风险分析阶段:风险评估报告(至少包括评估过程、评估方法、评估结果、处置建议等内容);
29. 仅适用于三级初次
制定信息安全应急处理服务过程的文档模板 应急处理:
(1) 准备阶段:至少包含工具包、服务承诺书;
(2) 检测阶段:至少包含授权书、应急处理方案;
(3) 抑制阶段:至少包含抑制方案;
(4) 根除阶段:至少包含根除方案;
(5) 恢复阶段:至少包含恢复方案、重建系统规范、数据备份规范、安全配置核查表(可以包含windows类操作系统安全配置核查表、linux类操作系统安全配置核查表、数据库安全配置核查表、中间件安全配置核查表);
(6) 总结阶段:至少包含总结报告;
备注:应急处理方案中可以总体涵盖检测、抑制、根除、恢复方面的内容。
仅适用于三级初次
制定信息系统安全运维服务过程的文档模板 安全运维:
(1) 准备阶段:至少包含需求调研报告;
(2) 方案设计阶段:至少包含安全运维服务方案;
(3) 运维服务实施阶段:至少包含安全信息(包含安全配置、流量信息、安全策略等)巡检记录表、状态巡检记录表、健康性检查记录表、病毒查杀记录表、安全加固规范等;
(4) 运维服务报告阶段:至少包含运维服务月报/季报、年度服务总结报告、验收报告;
仅适用于三级初次
制定信息系统软件安全开发服务过程的文档模板 软件安全开发:
(1) 准备阶段:至少包含开发计划、配置管理计划、变更记录单;
(2) 需求阶段:至少包含需求分析报告;
(3) 设计阶段:至少包含概要设计说明书、详细设计说明书;
(4) 编码阶段:至少包含编码规范;
(5) 测试阶段:至少包含测试方案、测试用例、测试报告;
(6) 验收阶段:至少包含验收申请、验收报告;
(7) 维保阶段:至少包含故障记录、升级记录;
仅适用于三级初次
制定信息系统灾难恢复与备份服务过程的文档模板 灾难恢复与备份(B类):
(1) 方案设计要求:至少包含需求分析报告、技术方案、实施方案;
(2) 系统建设与管理要求:至少包含项目周/日报;
(3) 预案制定与演练要求:至少包含灾难恢复预案、桌面演练记录、桌面演练总结报告;
30. 仅适用于三级初次
制定网络安全审计网络安全审计服务过程的文档模板 网络安全审计网络安全审计服务
(1) 审计对象调研
至少包括调研报告
(2) 审计实施方案编制
至少包括实施方案
(3) 审计取证与评价
至少包括评价记录
(4) 审计报告
至少包括审计报告
(5) 跟踪审计
至少包括跟踪审计报告
(6) 审计质量控制
至少包括质量控制要求及记录
31. 仅适用于三 |