设为首页 | 加入收藏
认证中心 当前您的位置:软件信息产品认证>>认证中心
ITSS认证服务评估常见问题

 ITSS认证知识★---ITSS认证服务评估常见问题

 

ITSS评估中常见问题

 

一.评估过程发现的典型问题

()   运维服务体系不完整,相关管理制度不健全

运维服务体系不完整,相关管理制度不健全主要体现在部分参评企业的核心业务是系统集成业务,运维服务业务相对而言在参评企业内属于非核心业务。公司还没有完全把运维服务体系和相关制度从公司大制度框架中提取出来,作为一个单独、完整体系进行构建和维护。按照ITSS通用要求,这些制

度应该是独立、完整的体系,并要配备相应的管理制度。运维服务体系中一般包括组织结构,相关的制度和规范等。如组织结构,运维服务目录,服务级别协议,服务台制度,事件管理制度,问题响应制度,问题升级制度,配置管理制度,知识管理制度,过程改进制度等。

()   组织机构设置不合理

目前已参评企业中多数是拥有系统集成一级或二级资质,这些企业的组织架构主要是按照系统集成业务需求为主来设立的,该组织架构不能很好的与运维业务需求向匹配,或者有的企业设立了专门的运维服务业务部门,但部门级别较低,不能形成独立、完整、有效的管理体系。以上组织架构的设立方式导致运维服务业务不能受到高层领导的重视,且没有高层领导直接分管,导致在管理上缺失有效的管理和持续改进的能力。

()   合同界定不清

在评估过程中我们发现有企业未能区分运维服务和售后服务。在评估过程中某参评企业把带有售后服务内容的系统集成项目合同也当作典型项目用于评估。经过分析,该项目属于包含售后服务内容的系统集成项目。类似项目,一般系统集成方后期是为甲方提供的质保服务,甲方不给系统集成方单独支付服务费用。此类项目即使有运维服务的内容,甲方也支付相应运维服务费用,但是费用数额、支付方式等未在合同中注明,这在评估时无法界定。如某企业承担一家省级单位的系统集成项目建设,集成系统安装完毕后,质保期为三年,在三年内系统集成方都要为甲方提供质保服务,质保期内若因甲方原因或其他人为原因或不可抗力造成的硬件损坏,成本由甲方承担,系统集成方只负责提供更换等服务。若是因产品本身的质量问题导致的,则成本由系统集成方承担。而且三年质保期的服务费用与系统集成费用打包在一起,分批支付给系统集成方。像类似的项目合同在评估过程中是不能把该项目界定为运维服务项目,更无法识别运维服务的费用额度。

()   人员储备不足

人员储备不足主要表现在有的参评企业的人员储备机制建立在整个公司层面,人才储备也是按运维项目来储备。无论是建立在公司层面的人才储备机制,还是按照项目建立的人才储备机制,都无法很好的满足人才储备的需求。建立在公司层面的人才储备机制,没有具体针对运维服务项目,更没有针对运维角色,无法保证运维服务项目中的特定的人才需求。按照项目来做人才储备机制,同样无法保证运维服务项目中的不同运维角色的需求。

()   监督体系不完整,执行不力

有的参评估企业监督体系不完整,只有项目层面的监督体系,没有组织层面的监督体系。参评企业的运维服务项目在实施过程中,监督责任完全集中在项目层面,由项目经理来负责,缺少组织层面监督机制,这样就缺乏组织层对项目层的监督。有的参评企业虽然有完整的监督体系,但在执行过程中,组织层和项目层在执行过程中,执行效果不好。如监督过程执行不严格按照监督要求执行,没有完整的监督记录等。

()   过程记录不完整

运维服务项目的过程记录不完整主要体现在事件、问题、回访记录不完整,知识库与事件、问题的衔接不紧密等方面。已发生事件的记录不全,特别是驻点的运维项目,此类问题尤为突出。因为运维工程师都是在客户现场提供运维服务,客户向运维工程师反映的问题,运维工程师有的直接到现场解决,记录就省略了。有的问题虽然记录,但记录也不具体;回访不及时,回访记录不完整等情况比较常见。知识库里的知识虽然比较多,但与事件、问题的关联性不强。有的典型问题在知识库里记录的不具体、系统、规范等,这也导致知识库的利用率不高。甚至有的参评企业把知识库等同于资料库,未能充分发挥知识库的作用。

()   改进机制不全面

改进机制方面有的参评企业的改进机制比较简单,不细致、全面,主要体现在改进机制只针对重大问题,一般的、典型的问题不作改进。在组织层面的策划,实施,检查,改进没有形成闭环,没有良好的运转机制,没能为运维服务企业提高服务质量、效率建功。

二.针对以上典型问题的概括分析和解决建议

针对以上问题,我认为可以把导致这些问题的原因概括为:参评企业的运维服务业务还没有成为该企业的核心业务之一;运维服务体系没有受到高层领导重视;管理人才相对匮乏;管理制度不健全,内审工作不细致等方面。企业要从想从根本上解决这些问题,建议首先要从业务划分上把运维服务业务独立出来加以管理;引进必要的管理人才;设立独立的监督机构;做好内审工作;完善运维体系及相关制度;注重持续改进等,力争在最短的时间内完善体系,规范管理,提升运维服务质量,通过ITSS评估。(完)

 ★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★重庆CCRC认证★重庆ITSS认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★四川CCRC认证★四川ITSS认证★

 

 

  

ITSS信息技术服务认证介绍

一、什么是ITSS

ITSS(Information Technology Service Standards 信息技术服务标准,简称ITSS)是国内第一套成体系和综合配套的信息技术服务标准库,全面规范了IT服务产品及其组成要素,用于指导实施标准化和可信赖的IT服务。

ITSS是在工业和信息化部、国家标准化管理委员会的联合指导下,由国家信息技术服务标准工作组(以下简称:ITSS工作组)组织研究制定的,是我国IT服务行业最佳实践的总结和提升,也是我国从事IT服务研发、供应、推广和应用等各类组织自主创新成果的固化。

ITSS的内容即主要包括一系列标准,是一套完整的IT服务标准体系,包含了IT服务的规划设计、部署实施、服务运营、持续改进和监督管理等全生命周期阶段应遵循的标准,涉及咨询设计、集成实施、运行维护、服务管控、服务运营和服务外包等业务领域。其主要依据原理如下:

ITSS充分借鉴了质量管理原理和过程改进方法的精髓,规定了IT服务的组成要素和生命周期,并对其进行标准化。包括:

IT服务的组成要素,包括:人员(People)、流程(Process)、技术(Technology)和资源(Resource),简称PPTR

IT服务的生命周期,包括:规划设计(Planning & Design)、部署实施(Implementing)、服务运营(Operation)、持续改进(Improvement)和监督管理(Supervision),简称PIOIS

 

CMMI认证★GJB5000A认证★ISO27001认证★ISO20000认证★ITSS认证★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆ITSS认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川ITSS认证

 

 

★CCRC认证知识★---★软件安全开发服务资质认证简介★

软件安全开发服务资质认证简介
  
通过对软件开发过程的控制,将开发的软件存在的风险控制在可接受的水平。

  软件安全开发资质认证是对软件开发方的基本资格、管理能力、技术能力和软件安全过程能力等方面进行评价。安全软件开发服务资质级别是衡量服务提供方的软件安全开发服务资格和能力的尺度。

  资质级别分为一级、二级、三级共三个级别,其中一级最高,三级最低。

★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★

软件安全开发服务资质认证自评估表

组织名称  申报级别 
评估时间  评估部门/人员 

序号 要点 条款 需提供证明材料 自评估结论 证明材料清单
    符合 不符合 
1.  服务技术要求 建立软件安全开发服务流程。 软件安全开发服务流程,流程图中应包括每个阶段对应的职责、输入输出等。   
2.   制定软件安全开发服务规范并按照规范实施。 软件安全开发服务规范并按照规范实施。   
3.  准备阶段 建立软件项目安全开发团队,明确各岗位、人员、职责。 项目人员构成表或其他能体现项目组成员构成的文档,其中明确项目组成员构成情况以及安全开发人员的角色及职责。   
4.   制定软件项目安全开发管理计划,明确开发过程管控措施。 项目开发计划,计划中应包含安全开发的内容。   
5.   建立软件开发的配置管理计划,明确配置管理的安全要求。 项目配置管理计划,包含安全相关活动。提供配置管理相关记录。   
6.   建立变更控制制度,明确软件项目变更控制的安全要求。 变更控制管理制度,提供项目变更控制记录,变更的记录单,记录单中的内容应包含变更申请,审批,执行,执行后的评价结果。   
7.   制定软件项目安全培训计划,对相关人员进行安全培训。 培训管理制度,项目培训计划和培训记录。   
8.   建立独立的开发环境,确保开发环境与运行环境隔离。 开发环境与运行环境配置的说明文档。   
9.   仅二级/一级要求:建立软件安全开发项目风险管理机制,对软件项目进行风险评估。 风险管理制度、风险管理计划、风险分析报告。   
10.   仅二级/一级要求:使用配置管理工具对软件项目进行配置管理。 配置管理计划,其中描述采用的配置管理工具;配置管理工具的使用情况介绍。   
11.   仅二级/一级要求:配备专职的测试人员。 项目人员构成表或其他能体现项目组成员构成的文档,设立专职的测试人员,并明确描述其职责。   
12.   仅二级/一级要求:建立独立的测试环境,确保测试环境与开发环境隔离。 开发环境与测试环境配置的说明文档。   
13.   仅一级要求:建立软硬件设备和工具等资源安全使用规范。 软硬件设备及工具安全使用规范;软硬件设备及工具资源配备计划。   
14.   仅一级要求:配备安全管理人员。 安全管理专职人员的任命文件,项目相关的安全监控记录。   


★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★15.   仅一级要求:建立变更控制委员会。 变更控制委员会成员构成与职责规定文件。   
16.  需求阶段 调研项目背景信息,收集项目需求,明确软件功能、性能及安全方面的要求。 需求阶段控制程序文件;需求阶段项目文档,包括可行性报告、招标文件、需求分析报告等,需求文档的内容应涉及软件功能、性能及安全性要求。   
17.   结合软件项目需求、安全需求,与客户充分沟通,达成共识并形成记录。 与客户沟通的记录。   
18.   仅二级/一级要求:准确识别和综合分析软件项目在可用性、完整性、真实性、机密性、不可否认性、可控性和可靠性等方面的安全需求。 需求分析报告,内容应覆盖条款的要求。   
19.   仅二级/一级要求:对于数据采集、产生、使用,明确识别安全保护要求。    
20.   仅二级/一级要求:基于客户需求,开展需求分析,编制具有软件安全需求的分析报告。    
21.   仅二级/一级要求:需求分析报告中明确项目开发中使用的安全技术标准、规范。    
22.   仅一级要求:应基于软件安全威胁开展需求分析。    
23.   仅一级要求:基于软件项目需求分析建立软件安全开发模型。    
24.  设计阶段 根据软件项目需求,编制软件设计说明书。 设计阶段控制程序文件;提供软件设计说明书,内容应覆盖条款的要求。

★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★   
25.   软件设计说明书明确系统/子系统的功能和非功能设计要求。    
26.   软件设计说明书明确包含安全功能要求,包括标识与鉴别、访问控制、安全审计和安全管理等。    
27.  设计阶段-概要设计 仅二级/一级要求:概要设计说明书应明确数据完整性和保密性、通信完整性和保密性、软件容错、资源控制等安全功能要求。 设计阶段控制程序文件;提供概要设计说明书,内容应覆盖条款的要求。   
28.   仅一级要求:概要设计说明书中应明确基于软件安全威胁分析的安全要求。    
29.   仅一级要求:当开发场景适用时,概要设计说明书中应明确抗抵赖、安全标记、可信路径等安全功能要求。    
30.  设计阶段-详细设计 仅二级/一级要求:详细设计说明书中应包含对数据产生、传输、存储、使用、处理和归档安全方面的详细设计。 详细设计说明书,内容应覆盖条款的要求。   
31.   仅一级要求:依据安全要求和概要设计说明书,明确基于软件安全威胁分析进行详细设计。    
32.  编码阶段 制定统一的代码安全编码规范,确保开发人员参照规范安全编码。 软件开发所使用语言的安全编码规范,规范内容包括但不限于代码安全编写的原则、方式、方法等。   
33.   依据详细设计说明书,对软件进行安全编码。 在编码过程中,对规避高危风险的漏洞采取的方法或措施的文档或记录。   
34.   软件代码要经过安全检查、评审,对于发现的漏洞能有效修复。 代码安全检查、评审记录,对发现的漏洞,提供漏洞修复与验证记录。  

★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★ 
35.   仅二级/一级要求:软件代码的安全检查、评审工作应形成记录。 代码检查、审核相关记录。   
36.   仅一级要求:采用自动化工具对代码安全漏洞进行审查,对于发现的漏洞能有效修复,并形成审查报告。 代码检查工具的检查结果记录/报告。   
37.  测试阶段 依据软件设计说明书对软件功能、安全功能进行测试。 测试方案、测试计划,提供软件功能测试、安全性测试记录与报告。   
38.   对测试发现的漏洞进行分析并有效修复。 漏洞发现、分析与修复的记录。   
39.  测试阶段-单元测试 仅二级/一级要求:明确单元测试策略,制定单元测试计划。 单元测试的测试策略、测试计划。   
40.   仅二级/一级要求:依据详细设计说明书和测试计划进行单元测试设计,并执行单元测试,形成测试记录。 单元测试用例设计、测试记录。   
41.  仅一级要求:对单元测试结果进行分析,形成分析报告。 单元测试分析报告。   
42.  测试阶段-集成测试 仅二级/一级要求:明确集成测试策略,制定集成测试计划。 集成测试的测试策略、测试计划。   
43.   仅二级/一级要求:依据概要设计方案和测试计划进行集成测试设计,并执行集成测试,形成测试记录。 集成测试用例设计、测试记录。   
44.  仅一级要求:对集成测试结果进行分析,形成分析报告。 集成测试分析报告。   
45.  测试阶段-系统测试 仅二级/一级要求:制定包括系统安全性测试在内的测试计划,并执行系统测试,形成测试记录。 安全性测试计划和测试用例设计文档、测试记录。   
★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★

46.       
47.       
  仅二级/一级要求:基于软件安全功能的安全要求,制定脆弱性测试方案,对安全漏洞进行测试,形成测试记录。 脆弱性测试方案、测试记录。   
48.   仅二级/一级要求:对系统测试结果进行分析,形成分析报告。 测试分析报告,其中包括软件安全测试的结果分析。   
49.   仅一级要求:基于软件项目的安全要求,制定系统渗透性测试方案,模拟攻击场景,对系统安全性进行测试,并形成分析报告。 渗透性测试方案、渗透测试记录和渗透测试报告。   
50.  验收阶段-系统试运行 测试系统运行的可靠性、稳定性和安全性,进行试运行,并记录系统运行状况,试运行周期至少一个月。 系统试运行相关记录。   
51.   基于系统试运行相关记录,及时对软件进行调整、维护。 系统调整、维护记录。   
52.   仅二级/一级要求:试运行结束后,制定系统试运行报告,并提交客户。 系统试运行报告。   
53.   仅一级要求:提供三个月以上的试运行记录和报告。 系统试运行记录和报告。   
54.   仅一级要求:综合软件系统试运行状态,建立软件系统运行策略和安全指南。 系统运行策略、安全指南。   
55.  验收阶段-验收交付 根据合同约定,向客户提交完整的项目资料及交付物,并提出验收申请。 验收申请、验收资料、验收报告。   
56.   根据合同约定,进行项目验收,形成项目验收报告。    
57.   仅二级/一级要求:提交软件安全测评报告。 软件安全测评报告。   
58.   仅一级要求:提交软件产品第三方安全测评报告或安全认证证书。 专家/第三方权威机构出具的软件产品安全测评报告或安全认证证书。   
59.  维保阶段 对于影响软件系统安全、稳定运行的缺陷,及时有效采取打补丁、版本升级等方式予以消除,并提供远程技术支持服务。 巡查记录、故障记录、升级记录等。

★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★   
60.   仅二级/一级要求:制定系统运行计划、安全事件响应计划、安全事件应急预案,建立应急响应服务保障团队。 系统运行计划、安全事件响应计划、安全事件应急预案;应急保障团队人员组织构成和职责规定文件;应急事件记录。   
61.   仅二级/一级要求:及时应对突发安全事件,并向用户提供安全事件解决报告。    
62.   仅一级要求:制定软件健康检查计划、方案,定期实施,提交相应的系统健康检查报告、巡检报告。 健康检查计划、方案、系统健康检查报告、巡检报告、系统优化改进记录。   
63.   仅一级要求:根据健康检查报告进行分析,持续优化系统。    
64.  上一年度提出的观察项整改情况(如有)
65.       
66.       
67.  上一年度提出的不符合项整改情况(如有)
68.       
69.       
自评估结论:
经自主评估,本单位的软件安全开发服务满足《信息安全服务 规范》____级要求,申请第三方审核。

本单位郑重承诺,《信息安全服务资质认证自评估表-公共管理》与本自评估表中所提供全部信息真实可信,且均可提供相应证明材料。


★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★

信息安全服务资质简介
 
     为搭建矩阵式信息化建设企业管理平台,中国通信工业协会依据国家相关规定和管理平台两个维度的建设要求,设立并推出了《信息系统业务安全服务资质》。《信息系统业务安全服务资质》的审核是搭建矩阵式信息化建设企业管理平台的主要方法和中心环节。通过对资质的审核,确认各信息化建设企业的行业服务方向和专业能力水平,并将其纳入到管理平台中来,从而充分有效地发挥政府对信息化建设企业的管理、指导及支持等职能,同时也有利于不同行业的用户通过管理平台快速、准确地选择到合适的信息化建设企业 

资质特点
 
《信息系统业务安全服务资质》是信息化建设企业在信息化项目建设中提供服务的一种能力标定,不涉及技术及产品标准,重点强调信息化建设企业的行业服务方向、安全服务意识和专业服务能力。
《信息系统业务安全服务资质》以纵、横两个维度分别对信息化建设企业的行业服务方向和专业服务能力做出了划分:
纵向上,《信息系统业务安全服务资质》以信息化建设企业的服务能力为标准分三个级别,由高到低分为一、二、三级,分别对应专业级、业务级、基础级的信息化建设能力水平。
横向上,《信息系统业务安全服务资质》以信息化建设企业的服务行业方向为标准,划分为8个行业方向:政府、公共服务、金融、电信、军工、商业、能源、工业企业。
 

各行业方向的服务范围划分: 

(一)、政府分项服务范围:
政府及政府常设机构等;
(二)、公共服务行业分项服务范围:
D
电力、热力、燃气及水生产和供应业;
G
交通运输、仓储和邮政业;
N
水利、环境和公共设施管理业;
O
居民服务、修理和其他服务业;
P
教育;
Q
卫生和社会工作;
S
公共管理、社会保障和社会组织;
T
国际组织
(三)、金融分项服务范围:
J
金融业;
(四)、电信分项服务范围:
I
信息传输、软件和信息技术服务业;(以及电信运营商等)
(五)、军工分项服务范围:军队、航空、航天、船舶等
(六)、商业分项服务范围:
F
批发和零售业;
H
住宿和餐饮业;
K
房地产业;
L
租赁和商务服务业;
M
科学研究和技术服务业;
R
文化、体育和娱乐业;
(七)、能源分项服务范围:
A
农、林、牧、渔业;
B
采矿业;
(八)、工业企业分项服务范围:
C
制造业;
E
建筑业;
(字母表达的行业分类细则请参阅《国民经济行业分类与代码(GB/4754-2011)》)


 

★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★

评定范围
 
《信息系统业务安全服务资质》的评定范围是指涉及通信、互联网、软件开发、系统集成以及信息类产品设计、制造等在内的行业内各类型信息化建设企业。  
评定要素
 
《信息系统业务安全服务资质》的评定包括对申报企业的综合能力评定和对申报企业行业专项能力的评定。评定要素包括基本条件、综合条件、人才实力、技术实力、管理能力等方面。
资质颁发
 
资质审核通过的申报企业可获得由中国通信工业协会颁发的《信息系统业务安全服务资质》证书,包括:正本一份,副本三份。

因资质具有行业专项性,所以同一申报企业可以同时拥有多个行业的副本证书,但只能拥有一个正本证书。
正本证书的级别按照申报企业拥有的副本证书中的最高级别核发。

★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★

 

 

信息安全服务资质认证自评估表-公共管理

填表说明:
1、申请三级信息安全服务资质认证时,仅需填写该自评估表。
2、申请一、二级服务资质认证时,该自评估表与申报具体的服务类别自评估一并使用,单个文档不作为自评估支撑材料。申报多个服务类别且级别不同时,按照申请的最高级别服务资质认证的管理要求填写。
3、表中要求的所有程序文件均已发布实施。
组织名称  服务类别/级别 如有工控安全请注明行业。
评估时间  评估部门/人员 

序号 要点 条款 需提供证明材料 自评估结论 证明材料清单
    符合 不符合 
1.  法律地位要求 仅适用于初次认证:
在中华人民共和国境内注册的独立法人组织,发展历程清晰,产权关系明确。
监督审核:
如有变化则重新提供。 营业执照/事业单位登记证,核对注册号、法定代表人、注册资本、注册地址、公司类型、经营范围、成立日期、营业期限等。
如独立法人实体的一个部门或部分,经法人批准成立,法人实体能为申请人开展的活动承担相关的法律责任的文件(法人签字盖章)。
(提供企业在国家企业信用信息公示系统
http://www.gsxt.gov.cn中的基础信息截图)   
2.  法律地位要求 遵循国家相关法律法规、标准要求,无违法违规记录,资信状况良好。 提供企业在国家企业信用信息公示系统(
http://www.gsxt.gov.cn)上的企业信用信息。   需要截图
3.  财务资信要求 仅适用于初次认证:
组织经营状况正常,建立财务管理制度,可为安全服务提供必要的财务支持。 提供财务管理制度,包括财务风险管控制度,必要时年度审计报告作为支撑文件。   
4.  办公场所要求 拥有长期固定办公场所和相适应的办公条件,能够满足机构设置及其业务需要。
监督审核:
有变化则提供,无变化则不

重庆公司地址:重庆市江北区北滨二路江北嘴紫御江山7-8-4    成都公司地址:成都市高新区天府三街峰汇中心1-10-8