ITSS评估中常见问题

一．评估过程发现的典型问题

(一)   运维服务体系不完整，相关管理制度不健全

运维服务体系不完整，相关管理制度不健全主要体现在部分参评企业的核心业务是系统集成业务，运维服务业务相对而言在参评企业内属于非核心业务。公司还没有完全把运维服务体系和相关制度从公司大制度框架中提取出来，作为一个单独、完整体系进行构建和维护。按照ITSS通用要求，这些制

度应该是独立、完整的体系，并要配备相应的管理制度。运维服务体系中一般包括组织结构，相关的制度和规范等。如组织结构，运维服务目录，服务级别协议，服务台制度，事件管理制度，问题响应制度，问题升级制度，配置管理制度，知识管理制度，过程改进制度等。

(二)   组织机构设置不合理

目前已参评企业中多数是拥有系统集成一级或二级资质，这些企业的组织架构主要是按照系统集成业务需求为主来设立的，该组织架构不能很好的与运维业务需求向匹配，或者有的企业设立了专门的运维服务业务部门，但部门级别较低，不能形成独立、完整、有效的管理体系。以上组织架构的设立方式导致运维服务业务不能受到高层领导的重视，且没有高层领导直接分管，导致在管理上缺失有效的管理和持续改进的能力。

(三)   合同界定不清

在评估过程中我们发现有企业未能区分运维服务和售后服务。在评估过程中某参评企业把带有售后服务内容的系统集成项目合同也当作典型项目用于评估。经过分析，该项目属于包含售后服务内容的系统集成项目。类似项目，一般系统集成方后期是为甲方提供的质保服务，甲方不给系统集成方单独支付服务费用。此类项目即使有运维服务的内容，甲方也支付相应运维服务费用，但是费用数额、支付方式等未在合同中注明，这在评估时无法界定。如某企业承担一家省级单位的系统集成项目建设，集成系统安装完毕后，质保期为三年，在三年内系统集成方都要为甲方提供质保服务，质保期内若因甲方原因或其他人为原因或不可抗力造成的硬件损坏，成本由甲方承担，系统集成方只负责提供更换等服务。若是因产品本身的质量问题导致的，则成本由系统集成方承担。而且三年质保期的服务费用与系统集成费用打包在一起，分批支付给系统集成方。像类似的项目合同在评估过程中是不能把该项目界定为运维服务项目，更无法识别运维服务的费用额度。

(四)   人员储备不足

人员储备不足主要表现在有的参评企业的人员储备机制建立在整个公司层面，人才储备也是按运维项目来储备。无论是建立在公司层面的人才储备机制，还是按照项目建立的人才储备机制，都无法很好的满足人才储备的需求。建立在公司层面的人才储备机制，没有具体针对运维服务项目，更没有针对运维角色，无法保证运维服务项目中的特定的人才需求。按照项目来做人才储备机制，同样无法保证运维服务项目中的不同运维角色的需求。

(五)   监督体系不完整，执行不力

有的参评估企业监督体系不完整，只有项目层面的监督体系，没有组织层面的监督体系。参评企业的运维服务项目在实施过程中，监督责任完全集中在项目层面，由项目经理来负责，缺少组织层面监督机制，这样就缺乏组织层对项目层的监督。有的参评企业虽然有完整的监督体系，但在执行过程中，组织层和项目层在执行过程中，执行效果不好。如监督过程执行不严格按照监督要求执行，没有完整的监督记录等。

(六)   过程记录不完整

运维服务项目的过程记录不完整主要体现在事件、问题、回访记录不完整，知识库与事件、问题的衔接不紧密等方面。已发生事件的记录不全，特别是驻点的运维项目，此类问题尤为突出。因为运维工程师都是在客户现场提供运维服务，客户向运维工程师反映的问题，运维工程师有的直接到现场解决，记录就省略了。有的问题虽然记录，但记录也不具体；回访不及时，回访记录不完整等情况比较常见。知识库里的知识虽然比较多，但与事件、问题的关联性不强。有的典型问题在知识库里记录的不具体、系统、规范等，这也导致知识库的利用率不高。甚至有的参评企业把知识库等同于资料库，未能充分发挥知识库的作用。

(七)   改进机制不全面

改进机制方面有的参评企业的改进机制比较简单，不细致、全面，主要体现在改进机制只针对重大问题，一般的、典型的问题不作改进。在组织层面的策划，实施，检查，改进没有形成闭环，没有良好的运转机制，没能为运维服务企业提高服务质量、效率建功。

二．针对以上典型问题的概括分析和解决建议

针对以上问题，我认为可以把导致这些问题的原因概括为：参评企业的运维服务业务还没有成为该企业的核心业务之一；运维服务体系没有受到高层领导重视；管理人才相对匮乏；管理制度不健全，内审工作不细致等方面。企业要从想从根本上解决这些问题，建议首先要从业务划分上把运维服务业务独立出来加以管理；引进必要的管理人才；设立独立的监督机构；做好内审工作；完善运维体系及相关制度；注重持续改进等，力争在最短的时间内完善体系，规范管理，提升运维服务质量，通过ITSS评估。（完）

 ★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★重庆CCRC认证★重庆ITSS认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★四川CCRC认证★四川ITSS认证★

ITSS信息技术服务认证介绍

一、什么是ITSS

ITSS(Information Technology Service Standards 信息技术服务标准，简称ITSS)是国内第一套成体系和综合配套的信息技术服务标准库，全面规范了IT服务产品及其组成要素，用于指导实施标准化和可信赖的IT服务。

ITSS是在工业和信息化部、国家标准化管理委员会的联合指导下，由国家信息技术服务标准工作组（以下简称：ITSS工作组）组织研究制定的，是我国IT服务行业最佳实践的总结和提升，也是我国从事IT服务研发、供应、推广和应用等各类组织自主创新成果的固化。

ITSS的内容即主要包括一系列标准，是一套完整的IT服务标准体系，包含了IT服务的规划设计、部署实施、服务运营、持续改进和监督管理等全生命周期阶段应遵循的标准，涉及咨询设计、集成实施、运行维护、服务管控、服务运营和服务外包等业务领域。其主要依据原理如下：

ITSS充分借鉴了质量管理原理和过程改进方法的精髓，规定了IT服务的组成要素和生命周期，并对其进行标准化。包括：

IT服务的组成要素，包括：人员（People）、流程（Process）、技术（Technology）和资源（Resource），简称PPTR。

IT服务的生命周期，包括：规划设计（Planning & Design）、部署实施（Implementing）、服务运营（Operation）、持续改进（Improvement）和监督管理（Supervision），简称PIOIS

★CMMI认证★GJB5000A认证★ISO27001认证★ISO20000认证★ITSS认证★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆ITSS认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川ITSS认证

★CCRC认证知识★---★软件安全开发服务资质认证简介★

软件安全开发服务资质认证简介
　　通过对软件开发过程的控制，将开发的软件存在的风险控制在可接受的水平。

　　软件安全开发资质认证是对软件开发方的基本资格、管理能力、技术能力和软件安全过程能力等方面进行评价。安全软件开发服务资质级别是衡量服务提供方的软件安全开发服务资格和能力的尺度。

　　资质级别分为一级、二级、三级共三个级别，其中一级最高，三级最低。

★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★

软件安全开发服务资质认证自评估表

组织名称  申报级别 
评估时间  评估部门/人员 

序号 要点 条款 需提供证明材料 自评估结论 证明材料清单
    符合 不符合 
1.  服务技术要求 建立软件安全开发服务流程。 软件安全开发服务流程，流程图中应包括每个阶段对应的职责、输入输出等。   
2.   制定软件安全开发服务规范并按照规范实施。 软件安全开发服务规范并按照规范实施。   
3.  准备阶段 建立软件项目安全开发团队，明确各岗位、人员、职责。 项目人员构成表或其他能体现项目组成员构成的文档，其中明确项目组成员构成情况以及安全开发人员的角色及职责。   
4.   制定软件项目安全开发管理计划，明确开发过程管控措施。 项目开发计划，计划中应包含安全开发的内容。   
5.   建立软件开发的配置管理计划，明确配置管理的安全要求。 项目配置管理计划，包含安全相关活动。提供配置管理相关记录。   
6.   建立变更控制制度，明确软件项目变更控制的安全要求。 变更控制管理制度，提供项目变更控制记录，变更的记录单，记录单中的内容应包含变更申请，审批，执行，执行后的评价结果。   
7.   制定软件项目安全培训计划，对相关人员进行安全培训。 培训管理制度，项目培训计划和培训记录。   
8.   建立独立的开发环境，确保开发环境与运行环境隔离。 开发环境与运行环境配置的说明文档。   
9.   仅二级/一级要求：建立软件安全开发项目风险管理机制，对软件项目进行风险评估。 风险管理制度、风险管理计划、风险分析报告。   
10.   仅二级/一级要求：使用配置管理工具对软件项目进行配置管理。 配置管理计划，其中描述采用的配置管理工具；配置管理工具的使用情况介绍。   
11.   仅二级/一级要求：配备专职的测试人员。 项目人员构成表或其他能体现项目组成员构成的文档，设立专职的测试人员，并明确描述其职责。   
12.   仅二级/一级要求：建立独立的测试环境，确保测试环境与开发环境隔离。 开发环境与测试环境配置的说明文档。   
13.   仅一级要求：建立软硬件设备和工具等资源安全使用规范。 软硬件设备及工具安全使用规范；软硬件设备及工具资源配备计划。   
14.   仅一级要求：配备安全管理人员。 安全管理专职人员的任命文件，项目相关的安全监控记录。   

★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★15.   仅一级要求：建立变更控制委员会。 变更控制委员会成员构成与职责规定文件。   
16.  需求阶段 调研项目背景信息，收集项目需求，明确软件功能、性能及安全方面的要求。 需求阶段控制程序文件；需求阶段项目文档，包括可行性报告、招标文件、需求分析报告等，需求文档的内容应涉及软件功能、性能及安全性要求。   
17.   结合软件项目需求、安全需求，与客户充分沟通，达成共识并形成记录。 与客户沟通的记录。   
18.   仅二级/一级要求：准确识别和综合分析软件项目在可用性、完整性、真实性、机密性、不可否认性、可控性和可靠性等方面的安全需求。 需求分析报告，内容应覆盖条款的要求。   
19.   仅二级/一级要求：对于数据采集、产生、使用，明确识别安全保护要求。    
20.   仅二级/一级要求：基于客户需求，开展需求分析，编制具有软件安全需求的分析报告。    
21.   仅二级/一级要求：需求分析报告中明确项目开发中使用的安全技术标准、规范。    
22.   仅一级要求：应基于软件安全威胁开展需求分析。    
23.   仅一级要求：基于软件项目需求分析建立软件安全开发模型。    
24.  设计阶段 根据软件项目需求，编制软件设计说明书。 设计阶段控制程序文件；提供软件设计说明书，内容应覆盖条款的要求。

★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★   
25.   软件设计说明书明确系统/子系统的功能和非功能设计要求。    
26.   软件设计说明书明确包含安全功能要求，包括标识与鉴别、访问控制、安全审计和安全管理等。    
27.  设计阶段-概要设计 仅二级/一级要求：概要设计说明书应明确数据完整性和保密性、通信完整性和保密性、软件容错、资源控制等安全功能要求。 设计阶段控制程序文件；提供概要设计说明书，内容应覆盖条款的要求。   
28.   仅一级要求：概要设计说明书中应明确基于软件安全威胁分析的安全要求。    
29.   仅一级要求：当开发场景适用时，概要设计说明书中应明确抗抵赖、安全标记、可信路径等安全功能要求。    
30.  设计阶段-详细设计 仅二级/一级要求：详细设计说明书中应包含对数据产生、传输、存储、使用、处理和归档安全方面的详细设计。 详细设计说明书，内容应覆盖条款的要求。   
31.   仅一级要求：依据安全要求和概要设计说明书，明确基于软件安全威胁分析进行详细设计。    
32.  编码阶段 制定统一的代码安全编码规范，确保开发人员参照规范安全编码。 软件开发所使用语言的安全编码规范，规范内容包括但不限于代码安全编写的原则、方式、方法等。   
33.   依据详细设计说明书，对软件进行安全编码。 在编码过程中，对规避高危风险的漏洞采取的方法或措施的文档或记录。   
34.   软件代码要经过安全检查、评审，对于发现的漏洞能有效修复。 代码安全检查、评审记录，对发现的漏洞，提供漏洞修复与验证记录。  

★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★ 
35.   仅二级/一级要求：软件代码的安全检查、评审工作应形成记录。 代码检查、审核相关记录。   
36.   仅一级要求：采用自动化工具对代码安全漏洞进行审查，对于发现的漏洞能有效修复，并形成审查报告。 代码检查工具的检查结果记录/报告。   
37.  测试阶段 依据软件设计说明书对软件功能、安全功能进行测试。 测试方案、测试计划，提供软件功能测试、安全性测试记录与报告。   
38.   对测试发现的漏洞进行分析并有效修复。 漏洞发现、分析与修复的记录。   
39.  测试阶段-单元测试 仅二级/一级要求：明确单元测试策略，制定单元测试计划。 单元测试的测试策略、测试计划。   
40.   仅二级/一级要求：依据详细设计说明书和测试计划进行单元测试设计，并执行单元测试，形成测试记录。 单元测试用例设计、测试记录。   
41.  仅一级要求：对单元测试结果进行分析，形成分析报告。 单元测试分析报告。   
42.  测试阶段-集成测试 仅二级/一级要求：明确集成测试策略，制定集成测试计划。 集成测试的测试策略、测试计划。   
43.   仅二级/一级要求：依据概要设计方案和测试计划进行集成测试设计，并执行集成测试，形成测试记录。 集成测试用例设计、测试记录。   
44.  仅一级要求：对集成测试结果进行分析，形成分析报告。 集成测试分析报告。   
45.  测试阶段-系统测试 仅二级/一级要求：制定包括系统安全性测试在内的测试计划，并执行系统测试，形成测试记录。 安全性测试计划和测试用例设计文档、测试记录。   
★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★

46.       
47.       
  仅二级/一级要求：基于软件安全功能的安全要求，制定脆弱性测试方案，对安全漏洞进行测试，形成测试记录。 脆弱性测试方案、测试记录。   
48.   仅二级/一级要求：