设为首页 | 加入收藏
认证中心 当前您的位置:软件信息产品认证>>认证中心
ITSS认证服务能力成熟模型

ITSS认证知识★---ITSS认证服务能力成熟度模型

 

 

什么是运维服务能力成熟度模型

2009ITSS工作组成立后,开展了一系列标准研制工作,并于2012年发布了《信息技术服务运行维护》(GB/T 28827)系列标准,并开展了运行维护服务能力符合性评估认证。但为了解决运维服务企业的能力水平参差不齐、对运维服务供应商进行差异化评价、及协助企业依据自身业务需求建立运维服务能力管理体系等问题,ITSS工作组于2014年编制了《信息技术 运行维护能力成熟度模型》,运维服务能力成熟度模型将运维服务能力划分为四个等级,依次是基本级、拓展级、改进(协同)级和提升(量化)级,分别用四、三、二、一表示,保持与计算机信息系统集成企业资质的划分方式一致。

《信息技术 运行维护能力成熟度模型》以已颁布实施的《信息技术服务运行维护》(GB/T 28827)系列国家标准为基础,提出了运维服务能力成熟度模型。这是一套用来衡量和评价一个组织的PPTR的最佳实践,综合反映了一个组织的运维服务能力水平,同样应用了全面质量管理和过程改进方法,所包含的最佳实践是我国广大信息技术服务企业多年来参照ITIL®和《信息技术 服务管理》(ISO/IEC 20000)系列国际标准提供运维服务的实践总结,充分反应了我国信息技术运维服务市场的实际需求,力图做到既有国际先进水平,又能适合运维服务本土化要求的现实情况。

运维服务能力成熟度模型等级评估(ITSS认证)是依据《信息技术 运行维护能力成熟度模型》开展的一项行业认证,适用于所有从事运维服务业务的供方企业。

三、为什么需要申请ITSS认证

随着信息技术的快速发展和深度应用,运维服务市场正在发生变化,市场竞争激烈、成本攀升、行业利润逐渐降低是整个运维服务行业面临的共性问题。在此背景下,多数运维服务企业结合自身的业务定位,根据市场需求,不断改进和提升运维服务能力,但由于缺乏行业最佳实践,导致运维服务能力建设的难度增大、成本提高,甚至增加了选择未来前进方向的难度。而企业实施运维服务能力成熟度模型,能有效改进企业的运维服务业务,改善运维服务质量,为客户提供高满意的服务,促进运维服务企业与客户共成长。ITSS对于从事运维业务的下列企业是有益的:

传统IT系统集成企业:随着我国信息化水平在21世纪飞速发展,我国政府企业单位已基本完成了大规模的信息化建设,并逐步转向系统运维阶段,传统的IT系统集成企业的集成业务开始萎缩,如何以IT系统集成业务为主的项目型业务向以服务业务为主的服务型业务转型,从客户获取更多的持续性服务收入,是这些企业关注的问题。实施运维服务能力成熟度模型将使企业规划自身的运维服务业务,以运维服务业务为导向,建设自身的运维服务能力管理体系。

传统IT软件企业:传统的IT软件企业以销售软件为主营的业务,但随着互联网等信息技术的发展,软件的使用客户已不再局限于拥有软件,而是希望更加深入的应用软件,将软件深入融入到自身业务管理和发展中。对于这些企业来说,更应以客户为立足点,关注客户需求,将业务转变成以软件运维和数据服务等相关业务中。

IT运维企业:目前IT运维业务市场进入门槛低,而客户对于运维的质量要求越来越高,而全国也已经有200多家企业获得运维服务能力成熟度级别证书,如果企业不能及时获得运维服务能力成熟度级别证书,为客户提供高质量的服务,则在激烈的市场竞争中,处于不利地位。

四、申请ITSS能获得哪些收益

实施ITSS运维服务能力成熟度级别,能够在以下方面获得明显的收益:

促进运维业务的变革:实施运维服务能力成熟度级别,能够对运维业务重新进行审视和规划,并以运维业务的发展建立运维服务能力管理体系,提升运维业务的附加值,促进公司业务的多元化发展。

提升运维业务收入:随着ITSS的宣贯和推广,越来越多的需方企业开始认可ITSS认证并作为选择服务供应商的一项条件,获得ITSS认证能为企业带来更多的商业机会,获得更多的服务收入。

提高企业知名度:虽然获得ITSS认证已经有200多家单位,但是相对于全国众多从事信息技术服务企业来说,仍是一个较小的数量,特别是对内地地区来说,仍然是一项稀缺的认证,通过ITSS认证,能在行业内有效提升自身的知名度,让客户更放心将运维服务工作外包给通过认证的企业,让自己更有信心为客户提供高质量的服务。

提高运维服务效率:通过引入ITSS,运维服务企业可以以运维服务业务目标为导向,建立量化的、流程化的运维服务管理体系,分析运维服务过程,为进一步提升运维服务效率找到提升空间。

降低运维服务成本:通过引入ITSS,运维服务企业可以建立运维业务与运维服务成本之间的关系,梳理各项运维服务成本,准确掌握运维服务资源使用情况,平衡资源配置,有效降低运维服务成本。

促进企业创新:通过引入ITSS,企业员工将建立以客户需求和服务为导向的服务意识,在提升员工能力的同时,激发员工以业务视角创新服务,如软件研发人员以客户服务为导向改善软件研发。

五、申请ITSS认证条件

申请ITSS认证的条件包括:

申请条件

一级

二级

三级

四级

申请企业具有独立法人地位

需要

需要

需要

需要

按照申请级别特征和关键指标建立运维体系

需要

需要

需要

需要

对应级别的体系有效运行时间要求

6个月

3个月

3个月

3个月

提供体系运行证据

需要

需要

需要

需要

从事运维服务业务经验要求

2

1

系统集成资质

一级

一级或二级

获得符合性评估证书

需要

不需要

不需要

不需要

 

 ★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★重庆CCRC认证★重庆ITSS认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★四川CCRC认证★四川ITSS认证★

 

 

  

ITSSInformation TechnologyService Standards的缩写,中文意思是信息技术服务标准,是在工业和信息化部、国家标准化委的领导和支持下,由ITSS工作组研制的一套IT服务领域的标准库和一套提供IT服务的方法论。
中国电子工业标准化技术协会信息技术服务分会(简称:ITSS分会)于2014118日正式成立(民政登记证号:3518-17)。
中文名
信息技术服务标准
外文名
Information TechnologyService Standards

背景

ITSS分会是在工业和信息化部、国家标准化管理委员会的联合指导下工作,ITSS标准体系是我国IT服务行业最佳实践的总结和提升,也是我国从事IT服务研发、供应、推广和应用等各类组织自主创新成果的固化。
ITSS
分会

中国电子工业标准化技术协会信息技术服务分会(简称ITSS分会)是20136月经民政部批准,201418日成立,由全国信息技术服务业行业主管部门、企事业单位、高等院校、社团组织、行业用户等相关单位和个人自愿组成的信息技术服务行业社团组织。
ITSS
分会在工业和信息化部的指导下,研究制定信息技术服务标准。力求标准服务于技术、产业发展,服务于市场需求,最终实现我国信息技术服务的标准化和国际化。 [1]

 

★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★重庆CCRC认证★重庆ITSS认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★四川CCRC认证★四川ITSS认证★

 

 

 

 

 

★CCRC认证知识★---★应急处理服务资质认证简介★

应急处理服务资质认证简介
  
信息安全应急处理服务是通过制定应急计划使得影响网络与信息系统安全的安全事件能够得到及时响应,并在安全事件一旦发生后进行标识、记录、分类和处理,直到受影响的业务恢复正常运行的过程。应急处理服务是保障业务连续性的重要手段之一,它涵盖了在安全事件发生后为了维持和恢复关键业务所进行的系列活动。

信息安全应急处理服务资质认证是对应急处理服务提供方的基本资格、管理能力、技术能力和应急处理服务过程能力等方面进行评价。信息安全应急处理服务资质级别是衡量服务提供方应急处理服务资格和能力的尺度,应急处理服务资质分为三级,其中一级最高,三级最低。

★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★

 

信息安全应急处理服务资质认证自评估表

组织名称  申报级别 
评估时间  评估部门/人员 

序号 要点 条款 需提供证明材料 自评估结论 证明材料清单
    符合 不符合 
1.  服务技术要求 建立信息安全应急处理服务流程。 按照相关标准建立的信息安全应急处理服务流程,流程图中应包括每个阶段对应的职责、输入输出等。   
2.   制定信息安全应急处理服务规范并按照规范实施。 已制定的信息安全应急处理服务规范。   
3.  准备阶段 明确客户的应急需求。 应急服务内容,已完成项目中对客户应急需求进行调研分析的证明材料。   
4.   了解客户应急预案的内容。 需对客户自身已建立的应急预案的内容进行了解与熟悉(客户应急预案的内容)。   
5.   配备有处理网络或信息安全事件的工具包,包括常用的系统命令、工具软件等。 工具包及工具列表   
6.   仅二级/一级要求:网络与信息安全事件工具包中应配备专业技术检测设备。    
7.   工具包应定期更新。 工具包更新记录。   
8.   配备应急处理服务人员。 服务人员列表、专业资质证书。   
9.   对在应急处理服务过程中可能会采取的操作、处理等行为,获得用户的书面授权。 用户出具的书面授权书。

★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★   
10.   仅二级/一级要求:在客户应急需求基础上制定应急服务方案。 应急服务方案(模板和实际服务项目方案),应急服务方案中应涵盖客户自身建立的应急预案内容。协助客户建立的应急预案。   
11.   仅二级/一级要求:应急服务方案应涉及客户应急预案的启动与执行。    
12.   仅二级/一级要求:若客户未建立应急预案,可协助客户建立。    
13.   仅二级/一级要求:对工具包实行制度化管理。 工具包管理制度及执行记录。   
14.   三级/二级/一级分别要求:可提供本地2小时/本地1小时、外地8小时/本地7X24小时、外地4小时应急响应服务能力。 查验服务承诺书、服务合同条款或服务级别协议(结合项目案例)。   
15.   仅一级要求:与客户之间建立安全保密的信息传输渠道。 与客户传输信息时采用可信及保密传输渠道的证明材料。   
16.   仅一级要求:具有自主开发专业检测工具的能力。 该级别服务提供商需具备自主开发专业安全检测工具的能力,如有自主知识产权的工具产品(自主知识产权书、商用产品检测证书、安全产品认证证书等)。   
17.  检测阶段 确定检测对象及范围。 确定检测对象及范围的过程记录。   
18.   对发生异常的系统进行信息的收集与分析,判断是否真正发生了安全事件。 收集信息的过程及判断依据(过程记录)。   
19.   与客户共同确定应急处理方案。 提供应急处理方案(模板及实际项目的应急处理方案)。   
20.   应急处理方案应明确检测范围与检测行为规范,其检测范围应仅限于客户已授权的与安全事件相关的数据,对客户的机密性数据信息未经授权不得访问。 应急处理方案的内容中应明确规定检测范围及检测行为规范(模板及实际项目的应急处理方案)。 

★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★  
21.   与客户充分沟通,并预测应急处理方案可能造成的影响。 应急处理方案涉及的风险阐述(风险识别与风险控制措施)。   
22.   检测工作应在客户的监督与配合下完成。 应急处理工作流程或其他文档中约定的工作配合/监督机制,相关过程记录。   
23.   仅二级/一级要求:建立有针对常规应用系统、安全设备、常见网络与信息安全事件的检测技术规范。 提供相应的检测技术规范列表及各规范内容(范本或应用本),如针对windows、Aix、Unix、Linux、oracle、Firewalls、Router等。   
24.   仅二级/一级要求:协助客户确定安全事件等级。 信息收集的过程及确定安全事件等级的证明材料。   
25.   仅二级/一级要求:应急处理方案应包含对安全事件的抑制、根除和恢复的详细处理步骤。 应急方案应涵盖该内容。   
26.   仅二级/一级要求:应急处理方案应包含实施方案失败的应变和回退措施。 应急方案应涵盖该内容。   
27.   仅一级要求:建立有完善的检测技术规范及具有对高技术入侵的检测技术能力。 相关技术检测规范,技术人员检测高技术入侵的能力展示。   
28.   仅一级要求:具有挖掘系统设备及业务系统安全漏洞的能力。 提供相关漏洞的证明,包括漏洞平台的发布、漏洞库编号等。   
29.   仅一级要求:对确认的安全事件启动安全事件管理程序。 提供安全事件管理程序及事件启动条件(安全事件管理程序文件)。

★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★   
30.   仅一级要求:应急处理方案中应对可能造成的影响进行分析,包括社会影响。 应急处理方案中对社会影响进行分析的证明材料。   
31.  抑制阶段 与客户充分沟通,使其了解所面临的首要问题及抑制处理的目的。 沟通的内容及结果。   
32.   在采取抑制措施之前,应告知客户可能存在的风险。 应急处理抑制阶段涉及的风险阐述及告知记录。   
33.   严格执行抑制处理方案中规定的内容,如有必要更改,须获得客户的授权。 应急抑制处理方案的变更管理(变更管理涉及的文档)。   
34.   抑制措施应能够限制受攻击的范围,抑制潜在的或进一步的攻击和破坏行为。 抑制措施的内容。   
35.   仅一级要求:应使用可信的工具进行安全事件的抑制处理,不得使用受害系统已有的不可信文件。 抑制过程中用到的可信工具列表、工具简介。   
36.  根除阶段 协助客户检查所有受影响的系统,提出根除的方案建议,并协助客户进行具体实施。 根除建议(方案)的内容。   
37.   应明确

重庆公司地址:重庆市江北区北滨二路江北嘴紫御江山7-8-4    成都公司地址:成都市高新区天府三街峰汇中心1-10-8