软件信息安全认证 当前您的位置:智汇源顾问>>软件信息安全认证
ITSS认证服务评估实施细则

 

 ITSS认证知识★---ITSS认证服务评估实施细则

 

 

ITSS认证

 

1   信息技术服务 运行维护服务能力成熟度符合性评估实施细则

 

为做好ITSS.1-2015《信息技术服务 运行维护服务能力成熟度模型》(以下称《运维服务能力成熟度》)的符合性评估工作,提高信息系统运行维护服务能力,保证信息系统运行维护服务质量,中国电子工业标准化技术协会信息技术服务分会(以下称ITSS分会)依据《信息技术服务标准(ITSS)符合性评估管理办法(试行)》等规定制定本实施细则。
一、
    适用范围
(一)本实施细则原则上仅适用于信息技术服务供方单位的《运维服务能力成熟度》符合性评估;
(二)《运维服务能力成熟度》分为四个等级,即基本级(以下称四级)、拓展级(以下称三级)、改进(协同)级(以下称二级)、提升(量化)级(以下称一级),四个等级的符合性评估都应符合本实施细则的要求。
二、
    组织管理
(一)ITSS分会负责组织《运维服务能力成熟度》符合性评估活动,并确认符合性评估结果;
(二)行业级评估机构在全国范围受理《运维服务能力成熟度》一、二、三、四级的符合性评估申请。地方级评估机构在本地区受理《运维服务能力成熟度》三、四级的符合性评估申请;
(三)一、二、三级申请单位应选择一名独立评估人员作为评估组成员参与评估活动。
三、
    申请条件
(一)申请一级的单位应具备下列基本条件:
1
、具有独立法人地位;
2
、已按照《运维服务能力成熟度》一级特征和关键指标建立了运维服务能力体系,且已有效运行六个月以上;
3
、能够提供运维服务能力管理、人员、资源、技术和过程等有效证据;
4
、持有《信息技术服务标准ITSS符合性证书》(运维服务能力成熟度二级)满一年以上。
(二)申请二级的单位应具备下列基本条件:
1
、具有独立法人地位;
2
、已按照《运维服务能力成熟度》二级特征和关键指标建立了运维服务能力体系,且已有效运行三个月以上;
3
、能够提供运维服务能力管理、人员、资源、技术和过程等有效证据;
4
、持有《信息技术服务标准ITSS符合性证书》(运维服务能力成熟度三级)满一年以上。
(三)申请三级的单位应具备下列基本条件:
1
、具有独立法人地位;
2
、已按照《运维服务能力成熟度》三级特征和关键指标建立了运维服务能力体系,且已有效运行三个月以上;
3
、能够提供运维服务能力管理、人员、资源、技术和过程等有效证据;
4
、申请单位从事信息系统运维服务业务满二年以上。
(四)四级申请单位应具备下列基本条件:
1
、具有独立法人地位;
2
、已按照《运维服务能力成熟度》四级特征和关键指标建立了运维服务能力体系,且已有效运行三个月以上;
3
、能够提供运维服务能力管理、人员、资源、技术和过程等有效证据;
4
、申请单位从事信息系统运维服务业务满一年以上。
四、
    申请和评估程序
(
)
   申请单位向评估机构提交《信息技术服务标准(ITSS)符合性评估申请表》(以下称《申请表》)及附件材料,材料包括:
1
、《申请表》;
2
、营业执照副本复印件;
3
、组织级运维服务目录;
4
、运维服务组织架构和职责说明;
5
、运维服务能力管理计划、指标体系及相关报告(报告中至少包括近三个月(一级需六个月)以上的指标达成情况及分析信息);
6
、运维服务质量管理程序、计划及报告;
7
、运维服务能力管理内审和管理评审的制度(含流程或程序)、计划和报告等;
8
、运维服务人员管理相关文件及记录(包含人员培训管理文件、岗位职责说明等);
9
、运维服务工具列表及应用情况说明;
10
、服务台、备件库、知识库等管理文件及记录;
11
、运维服务技术研发规划及成果说明;
12
、运维服务过程管理文件;
13
、评估机构认为有必要提交的其他证明材料。
提交材料的具体要求,详见《信息技术服务标准(ITSS)符合性评估申请表》填表说明。
(
)
   评估机构组织实施文件评审和现场评估;
(
)
   评估机构提出评估结论,出具《信息技术服务标准(ITSS)符合性评估报告》;
(
)
   评估机构向ITSS分会提交申报和评估材料,材料包括:
1
、《申请表》及附件材料;
2
、 地方行业主管部门推荐意见表;
3
、《信息技术服务标准(ITSS)符合性评估计划》;
4
、《信息技术服务标准(ITSS)符合性评估检查表》;
5
、《不符合项报告》及验证关闭记录;
6
、《信息技术服务标准(ITSS)符合性评估报告》;
7
、《信息技术服务标准(ITSS)符合性评估推荐意见函》;
8
、申请及评估材料电子文档一套(光盘)。
(
)
    ITSS分会组织评审和确认。其中:
1
、一级:组织专家以材料审查、现场答辩等方式进行综合评审和确认;
2
、二级:组织专家以材料审查、现场答辩等方式进行综合评审和确认;
3
、三级:组织专家以材料审查方式进行评审和确认;
4
、四级:对材料进行形式审查和确认。
(
)
      未通过评审和确认的二级、三级申请单位,可接受降级或申请三个月整改,整改期满后由评估机构重新申报;仍未通过评审和确认的二级、三级申请单位,可接受降级或申请六个月整改,整改期满后由评估机构重新申报;连续三次未通过评审和确认的二级、三级申请单位,只能降级或重新申请评估。申请单位整改并重新申报的前提必须确保评估报告在有效期内;
(
)
   ITSS分会在门户网站公示评估和确认结果,经公示无异议后,向申请单位颁发《信息技术服务标准(ITSS)符合性证书》。

 ★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★重庆CCRC认证★重庆ITSS认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★四川CCRC认证★四川ITSS认证★

 

 

 

 

 

 

★CCRC认证知识★---★灾难备份与恢复服务资质认证简介★

信息系统灾难备份与恢复服务资质认证简介
 
 信息系统灾难备份与恢复服务是将信息系统的数据、数据处理系统、网络系统、基础设施、专业技术支持能力和运行管理能力进行备份,并在灾难发生时,将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态,将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态,而设计和提供的活动。

信息系统灾难备份与恢复服务资质级别是衡量服务提供者服务能力的尺度。资质级别分为一级、二级、三级共三个级别,其中一级最高,三级最低。

 ★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★

 

信息系统灾难备份与恢复服务资质认证自评估表

组织名称  申报级别 □资源服务类A类    □技术服务类B类
评估时间  评估部门/人员 

序号 要点 条款 需提供证明材料 自评估结论 证明材料清单
    符合 不符合 
1.  技术服务要求 建立信息系统灾难备份与恢复服务流程。 按照相关标准建立信息系统灾难备份与恢复服务流程,流程图中应包括每个阶段对应的职责、输入输出等。   
2.   制定信息系统灾难备份与恢复服务规范并按照规范实施。 信息系统灾难备份与恢复服务规范。   
3.  资源服务类(A类)要求-灾备中心场地资源要求 拥有至少1个可用于灾备中心的场地,位置避免处于地质沉降地带,交通便利、抗震等级按照国家规定的该地区抗震设防烈度执行,抗震设防类别为丙类及以上。 介绍所属各个灾备中心的分布与建设情况,包括但不限于灾备中心地理位置、物理环境、建设与完工时间、基础建设、信息系统建设、主要承担业务等情况;提供灾备中心选址情况说明、灾备中心抗震等级、自然环境安全风险防控等。   
4.   仅二级/一级要求:拥有至少2个在不同地域的可用于灾备中心的场地资源,抗震设防烈度按照国家规定的该地区抗震设防烈度执行,抗震设防类别为乙类及以上。    
5.   仅一级要求:拥有至少2个在不同地域且处于不同的风险区域的灾备中心,满足异地灾备场地要求。    
6.   三级/二级/一级分别要求:用于和可用于灾备中心IT运行区的高架地板面积不低于1000/2000/5000平米。 灾备中心详细地址、产权关系,提供灾备中心IT运行区的高架地板建筑和使用面积等。   
7.   机房设置7×24小时门禁系统,所有进入机房的外部人员均需获得授权。 介绍灾备中心机房门禁管理制度和访问控制程序。   
8.   提供7×24小时闭路电视监控,其中公共区域的监控数据保留1个月以上,机房区域的监控数据保留2个月以上。 灾备中心配备监控设备、监控影像数据保存要求。   
9.   具备较高灵敏度的烟雾探测系统和消防系统,可实现分区灭火和定点报警。 灾备中心功能区与公共区域防火预警措施和管理制度,提供园区内防火设备设施清单、区域布防情况。    
10.   灾备中心建筑耐火等级达到二级及以上。 灾备中心建筑耐火等级证明材料。   

★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★

 

11.   仅一级要求:灾备中心建筑耐火等级达到一级。    
12.   仅二级/一级要求:灾备中心建设等级满足国标A级或国际T3以上机房要求。 提供灾备中心机房建设情况;提供灾备中心机房环境达到相应要求的证明材料。   
13.   仅一级要求:灾备中心应符合环保要求,采用高效新风换气系统,机房内正压,确保机房洁净度。    
14.   仅二级/一级要求:具备气体灭火的消防系统,并具备早期报警系统/温感和烟感系统两级报警。 灾备中心机房气体灭火消防系统设施配置情况。   
15.   仅一级要求:用于灾备中心的场地应自有产权,或者签署有剩余期限不少于5年的长期租赁合同。 提供灾备中心的土地使用证或长期租赁合同。   
16.   仅一级要求:至少采用园区保安、机房门卫、前台三重审核的外部保安措施。 灾备中心园区各个区域保安措施和安全管理方案。   
17.   仅一级要求:灾备中心的所有通道、机房内均设置 CCTV 摄像头和7X24小时监控,并且可以按照客户的要求提供更长的保存期限。 灾备中心监控区域分布、人员值守情况,视频数据保存管理要求。   
18.  资源服务类(A类)要求-灾备中心基础设施要求 拥有灾备中心基础保障设施,包括但不限于供配电设施、空调暖通设施、给排水设施、监控设施、货运设施等,并定期检查。 介绍灾备中心供配电设施、空调暖通设施、给排水设施、监控设施、货运设施等基础保障设施的配备情况,提供基础保障设施检查和巡检制度和措施。   
19.   拥有灾备中心基础配套设施,包括但不限于灾难恢复指挥中心、灾难恢复坐席、办公区、新闻发布中心、会议室、培训教室、模拟演练室等。 介绍灾备中心灾难恢复指挥中心、灾难恢复坐席、办公区、新闻发布中心、会议室、培训教室、模拟演练室等配套设施配备情况。   
20.   拥有灾备中心基础生活设施,包括但不限于日常运维人员生活所需宿舍、食堂、活动室等。 介绍灾备中心保障日常运维所配备生活设施情况,包括但不限于人员宿舍、食堂、活动室等。

 ★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★

   
21.   拥有灾备中心运行所需工作环境,包括但不限于计算机机房、主操作室、通讯机房、介质机房、信息系统设备测试维修机房等。 介绍灾备中心数据机房、主操作室、通讯机房、介质机房、信息系统设备测试维修机房等运行工作环境情况。   
22.   具备单路高压供电和独立UPS不间断电源保障。 灾备中心外部供电系统及UPS电源供电模式,提供灾备中心UPS电源供电设备清单。   
23.   采用精密空调系统,并具备恒温恒湿要求。 介绍灾备中心机房制冷设备、设施配备情况;提供空调系统在温湿度方面的具体参数。   
24.   仅二级/一级要求:采用精密空调系统,机房温度应达到 22°C±2°C,湿度应达到45%-65%。    
25.   仅二级/一级要求:建立并运行基础设施日常巡检、监控、检查、维护、性能和容量管理、系统优化、应急与故障演练制度和流程。 灾备中心基础设施巡检、监控、检查、维护、性能和容量管理制度,应急与故障演练制度和流程,包括但不限于灾备中心运维整体规划、运维管理层制度、实施层制度和操作层制度等。   
26.   仅二级/一级要求:具备双路高压供电和双路UPS供电,拥有后备发电机组,并能在UPS后备时间内提供电力供应,满足全部负荷连续运行48小时以上。 灾备中心双路高压及双路UPS供电设计方案,介绍UPS供电能力。   
27.   仅一级要求:高压电来自两个独立的变电站的双路设计。 提供灾备中心高压电路设计方案,达到双路供电要求。   
28.   仅一级要求:后备发电机组具有不停机补充燃料的能力,并且与燃料供应商签署燃料供应保障协议,保障燃料数量和质量要求,UPS和油机可自动切换。 介绍灾备中心发电机组及燃料油库相关情况,提供实际切换记录。   
29.  资源服务类(A类)要求-灾备中心运维管理要求 拥有灾备中心运维组织架构和运行管理团队,建立灾备中心机房运行管理和信息安全管理制度,并有效运行。 灾备中心组织架构、岗位职责及运行维护管理团队名单,提供灾备中心机房运行管理制度和信息安全管理制度。   
30.   建立灾备中心信息系统运行监控平台,及时发现灾备系统运行的故障并进行故障定位、诊断和审计,保存相关记录。 灾备中心信息系统运行监控平台建设和运行管理情况,包括但不限于监控范围、预警、故障处理等;提供灾备系统故障应急处置预案。 

  ★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★


31.   建立信息系统灾难恢复指挥系统,保障灾难恢复效率。 灾备中心灾难恢复指挥系统方案和指挥协调程序,包括但不限于指挥系统组织架构、岗位职责、汇报流程、指挥协调工作方法与管理机制等。   
32.   建立灾备中心与生产中心统一变更流程。 灾难备份中心与生产中心间的变更流程,包括但不限于事先评估生产中心的变更和调整对灾难备份中心可能造成的影响,并规划灾难备份中心的变更方案和计划等。   
33.   定期开展数据验证工作,确保生产与灾备数据的一致性、完整性和可用性。 灾备中心数据验证程序和相关策略,包括但不限于定期演练、基准核对、子系统验证等,保障在灾难发生时,灾难备份系统及时接替生产系统运行。   
34.   仅二级/一级要求:灾备中心建立与生产中心统一的运维管理流程,实现两个中心联动运维。 介绍两地双中心联动运维管理制度和运行程序。   
35.   仅二级/一级要求:灾备中心建立完整的电子化IT资产管理系统,能动态跟踪灾备中心IT资产变更。 介绍灾备中心资产管理制度和资产管理平台情况,包括但不限于资产清单、资产选型、配置管理、变更管理、资产处置等。   
36.   仅二级/一级要求:灾备中心提供统一的客户服务平台,集中受理客户服务请求。 介绍灾备中心客户服务台情况,包括但不限于提供服务热线、岗位职责、人员配置、服务时效、工作接口等。   
37.   仅二级/一级要求:妥善保管运维记录,所有文档应满足客户监管机构要求。 灾备中心设备运行维护管理流程图、主要设备操作手册、设备运维过程记录模板、运维管理平台或业务系统等。   
38.   仅一级要求:采用运维监控和流程管理工具,实现对多数据中心资源的统一监控和自动化管理。    
39.   仅二级/一级要求:定期开展灾难恢复模拟切换演练工作,确保发生灾难时,灾备系统能够接替生产系统运行。 提供灾备中心灾难恢复演练程序和步骤,包括但不限于演练前动员、演练培训、演练范围、参演人员角色及职责分配、演练场景设计、演练报告与总结等。   
40.   仅一级要求:针对特定的灾难场景进行灾难恢复真实切换演练,并能接替生产完成至少2个小时的真实交易,并能在规定时间内进行回切。 多场景演练的方案和演练记录,具备实际切换和回切能力,同时针对实际切换演练要制定

公司地址:  重庆市江北区北滨二路江北嘴紫御江山7-8-4  公司电话:13983086348  联系人:罗老师