设为首页 | 加入收藏
认证中心 当前您的位置:软件信息产品认证>>认证中心
ITSS认证信息技术标准背景

 ITSS认证知识★---ITSS认证信息技术标准背景

 

 

ITSS介绍

ITSSInformation Technology Service Standards,信息技术服务标准,简称ITSS)是一套成体系和综合配套的信息技术服务标准库,全面规范了IT服务产品及其组成要素,用于指导实施标准化和可信赖的IT服务。
ITSS
分会在中国电子工业标准化技术协会的领导下,充分发挥平台作用,认真做好信息技术服务标准的应用推广工作;加强自身能力建设,服务于会员单位发展;稳步推进ITSS标准的符合性评估,严把评估质量关。
ITSS
充分借鉴了质量管理原理和过程改进方法的精髓,规定了IT服务的组成要素和生命周期,并对其进行标准化,如图1.1所示:
ITSS
原理图
组成要素:IT服务由人员(People)、流程(Process)、技术(Technology)和资源(Resource)组成,简称PPTR。其中:
人员:指提供IT服务所需的人员及其知识、经验和技能要求;
过程:指提供IT服务时,合理利用必要的资源,将输入转化为输出的一组相互关联和结构化的活动;
技术:指交付满足质量要求的IT服务应使用的技术或应具备的技术能力;
资源:指提供IT服务所依存和产生的有形及无形资产。
生命周期:IT服务生命周期由规划设计(Planning & Design)、部署实施(Implementing)、服务运营(Operation)、持续改进(Improvement)和监督管理(Supervision5个阶段组成,简称PIOIS。其中:
规划设计:从客户业务战略出发,以需求为中心,参照ITSSIT服务进行全面系统的战略规划和设计,为IT服务的部署实施做好准备,以确保提供满足客户需求的IT服务;
部署实施:在规划设计基础上,依据ITSS建立管理体系、部署专用工具及服务解决方案;
服务运营:根据服务部署情况,依据ITSS,采用过程方法,全面管理基础设施、服务流程、人员和业务连续性,实现业务运营与IT服务运营融合;
持续改进:根据服务运营的实际情况,定期评审IT服务满足业务运营的情况,以及IT服务本身存在的缺陷,提出改进策略和方案,并对IT服务进行重新规划设计和部署实施,以提高IT服务质量。
监督管理:本阶段主要依据ITSSIT服务服务质量进行评价,并对服务供方的服务过程、交付结果实施监督和绩效评估。[1]

ITSS体系框架

ITSS3.1体系的提出主要从产业发展、服务管控、业务形态、实现方式和行业应用等几个方面考虑,分为基础标准、服务管控标准、服务外包标准、业务标准、安全标准、行业应用标准6大类。ITSS3全景图如下:

1、基础标准旨在阐述信息技术服务的业务分类和服务原理、服务质量评价方法、服务人员能力要求等;
2
、服务管控标准是指通过对信息技术服务的治理、管理和监理活动,以确保信息技术服务的经济有效;
3
、业务标准按业务类型分为面向IT的服务标准(咨询设计标准、集成实施标准和运行维护标准)和IT驱动的服务标准(服务运营标准),按标准编写目的分为通用要求、服务规范和实施指南,其中通用要求是对各业务类型的基本能力要素的要求,服务规范是对服务内容和行为的规范,实施指南是对服务的落地指导;
4
、服务外包标准是对信息技术服务采用外包方式时的通用要求及规范;
5
、服务安全标准重点规定事前预防、事中控制、事后审计服务安全以及整个过程的持续改进,并提出组织的服务安全治理规范,以确保服务安全可控;
6
、行业应用标准是对各行业进行定制化应用落地的实施指南。
信息技术服务标准体系是动态发展的,与信息技术服务相关的技术和产业发展紧密相关,同时也与标准化工作的目标和定位紧密相关。 [1]

ITSS 核心要素

ITSS定义了IT服务由人员、过程、技术和资源组成,并对这些IT服务的组成要素进行标准化,如图2-2所示。另外,就IT服务而言,通常情况下是由具备匹配的知识、技能和经验的人员,合理运用资源,并通过规定流程向客户提供IT服务。
人员
人员是指IT服务生命周期中各类满足要求的人才的总称,ITSS规定了提供IT服务的各类人员应具备的知识、经验和技能要求,目的是指导IT服务提供商根据岗位职责和管理要求正确选人
一般而言,针对咨询设计、集成实施、运行维护和运营等典型的IT服务,所需要的人员包括项目经理(例如,系统集成项目经理、IT服务项目经理)、系统分析师、构架设计师、系统集成工程师、信息安全工程师、系统评测工程师、IT服务工程师、服务定价师、客户经理和日常IT服务人员等。
人员要素所面临的挑战
针对IT服务人员,由于尚未形成统一的职业分类以及广泛认同的知识、技能和经验要求,使得IT服务提供商面临如下挑战:
人员知识、技能和经验评估难;
不同人员交付同一IT服务的质量不一致;
人才流动率高,很难建设稳定的服务团队;
人才招聘难,很难形成合理的人力资源池。
人员专业化的必要性
有助于建立与业务发展相适应的人才队伍,保障业务连续性和稳定性;
有助于改进和完善人才培养模式,提高人才培养质量;
有助于优化人力资源管理,提高管理效率和降低管理成本。

过程
过程是通过合理利用必要的资源,将输入转化为输出的一组相互关联和结构化的活动,是提高管理水平和确保服务质量的关键要素。ITSS根据咨询设计、集成实施、运行维护等各种类型的IT服务,规定了应建立的流程和各个流程应实现的关键绩效指标(KPI),确保IT服务提供商能正确做事。通过按照ITSS要求建立简洁、高效和协调的流程,能有效地将人员、技术和资源要素连接起来,指导服务人员按规定的方式方法正确地做事。
过程作为IT服务的核心要素之一,主要由输入、输出、活动以及活动间的相互关系组成,有明确的目标,可重复和可度量。
过程要素所面临的挑战
过程没有明确定义,完全按照操作人员的个人习惯执行;
过程定义不清晰,不具备按照过程管理思路执行的价值;
过程定义太复杂,执行效率严重下降甚至影响业务运营;
没有明确的过程目标,操作人员不清楚每一项活动应该做到什么;
对过程没有监督,不清楚过程的稳定性;
对过程没有考核,不能得到持续改进。
过程规范化的必要性
确保过程可重复和可度量;
有效控制因未明确定义而引发的潜在风险;
通过对过程进行评价和度量,可持续提升过程的效率;
通过过程实现规范化管理,可持续提高IT服务质量;
通过规范化的过程管理,提高效率,减少人员和成本的投入。

技术
技术是指交付满足质量要求的IT服务应使用的技术或应具备的技术能力,以及提供IT服务所必须的分析方法、架构和步骤。技术要素确保IT服务提供商能高效做事,是提高IT服务质量方面重点考虑的要素,主要通过自有核心技术的研发和非自有核心技术的学习借鉴,持续提升提供IT服务过程中发现问题和解决问题的能力。
在提供IT服务过程中,可能面临各种问题、风险以及新技术和前沿技术应用所提出的新要求,服务供方应根据需方要求或技术发展趋势,具备发现和解决问题、风险控制、技术储备以及研发、应用新技术和前沿技术的能力。针对咨询设计、集成实施、运行维护等IT服务,
技术要素所面临的挑战
为满足企业的目标和业务需求,组织对IT技术的依赖程度越来越高;
激烈的市场竞争,也使得组织对技术的要求越来越高;
低成本、高效率的服务需求,对组织的技术研发和使用能力提出了更高的要求。
★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★重庆CCRC认证★重庆ITSS认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★四川CCRC认证★四川ITSS认证★

 

 

 

 

 

 

★CCRC认证知识★---★风险评估服务资质认证简介★

信息安全风险评估简介
信息安全风险评估是信息安全保障的基础性工作和重要环节,贯穿于网络和信息系统建设运行的全过程。服务提供者通过对信息系统提供风险评估服务,系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和安全整改措施,防范和消除信息安全风险,或将风险控制在可接受的水平,为网络和信息安全保障提供科学依据。

  信息安全风险评估服务资质级别是衡量服务提供者服务能力的尺度。风险评估服务提供方的服务能力主要从以下四个方面体现:基本资格、服务管理能力、服务技术能力和服务过程能力;服务人员的能力主要从掌握的知识、风险评估服务的经验等综合评定。对服务提供方的背景审查主要指客户投诉、违法违纪行为等;服务人员的背景审查主要指行业主管部门或使用单位对从事风险评估服务的人员进行必要的审查。

  资质级别分为一级、二级、三级共三个级别,其中一级最高,三级最低。★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★

 

信息安全风险评估服务资质认证自评估表

组织名称  申报级别 
评估时间  评估部门/人员 

序号 要点 条款 需提供证明材料 自评估结论 证明材料清单
    符合 不符合 
1.  服务技术要求 建立信息安全风险评估服务流程。 按照相关标准建立的信息安全风险评估服务流程,流程图中应包括每个阶段对应的职责、输入输出等。   
2.   制定信息安全风险评估服务规范并按照规范实施。 已制定的信息安全风险评估服务规范。   
3.  基本资格 仅三级要求:至少有一个完成的风险评估项目,该系统的用户数在1,000以上;具备从管理或(和)技术层面对脆弱性进行识别的能力。 一个已完成项目的合同、用户数、验收的证明材料,包括管理或(和)技术层面脆弱性识别的材料。   
4.   仅二级要求:针对多种类型组织,多行业组织,至少完成一个风险评估项目,该系统的用户数在10,000以上;具备从管理和技术层面对脆弱性进行识别的能力。 一个已完成项目的合同、用户数、验收的证明材料,包括管理和技术层面脆弱性识别的材料。   
5.   仅一级要求:能够在全国范围内,针对5个(含)以上行业开展风险评估服务;至少完成两个风险评估项目,该系统的用户数在100,000以上;具备从业务、管理和技术层面对脆弱性进行识别的能力。 5个已完成项目的合同、用户数、验收的证明材料,从业务、管理和技术层面对脆弱性进行识别的材料。   
6.   仅三级要求:具备跟踪信息安全漏洞的能力 跟踪信息安全漏洞的证明材料   
7.   仅二级要求:具备跟踪、验证信息安全漏洞的能力。 跟踪、验证信息安全漏洞的证明材料   
8.   仅一级要求:具备跟踪、验证、挖掘信息安全漏洞的能力。 跟踪、验证、挖掘信息安全漏洞的证明材料。   
9.  准备阶段-服务方案制定 编制风险评估方案、风险评估模板,并在项目实施过程中按照模板实施。 信息安全风险评估方案、风险评估模板。   
10.   应为风险评估实施活动提供总体计划或方案,方案应包含风险评价原则。 已完成项目的风险评估方案,方案中应包含风险评价原则。   
11.   仅二级/一级要求:应进行充分的系统调研,形成调研报告。 已完成项目的系统调研报告,报告中对被评估对象有清晰的描述。   
12.   仅二级/一级要求:宜根据风险评估目标以及调研结果,确定评估依据和评估方法。 已完成项目的风险评估实施方案中应根据目标及调研结果,明确评估依据和评估方法,评估依据和评估方法符合国家标准、行业标准及相关要求。   
13.   仅二级/一级要求:应形成较为完整的风险评估实施方案。    
14.  准备阶段-人员和工具管理 应组建评估团队。风险评估实施团队应由管理层、相关业务骨干、IT技术人员等组成。 已完成项目的风险评估方案中对风险评估实施团队成员及团队构架的介绍。
★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★

   
15.   应根据评估的需求准备必要的工具。 已完成项目的风险评估方案中对评估工具的介绍,工具列表及主要功能描述。   
16.   应对评估团队实施风险评估前进行安全教育和技术培训。 项目实施前的安全教育及技术培训的证明材料,如启动会的PPT,PPT中包含培训的内容,以及其他可证明对其安全教育、技术方面培训的材料。   
17.   仅二级/一级要求:需采取相关措施,保障工具自身的安全性、适用性。 工具的安全测试证明材料;定期或工具软件有重大版本变更时,对工具软件进行适用性确认的测试记录。   
18.   仅一级要求:需采取相关措施,保障工具管理的规范性。 已制定的工具管理制度及执行记录。   
19.  风险识别阶段-资产识别 参考国家或国际标准,对资产进行分类。 参照已发布的标准,形成的资产分类列表。   
20.   识别重要信息资产,形成资产清单。 已完成项目的重要资产清单。   
21.   对已识别的重要资产,分析资产的保密性、完整性和可用性等安全属性的等级要求。 已完成项目的重要资产的三性等级要求列表。   
22.   对资产根据其在保密性、完整性和可用性上的等级分析结果,经过综合评定进行赋值。 已完成项目的重要资产赋值表。   
23.   仅一级要求:识别信息系统处理的业务功能,重点识别出关键业务功能和关键业务流程。 已完成项目中识别信息系统、以及业务系统承载的业务、业务流程的证明材料。   
24.   仅一级要求:根据业务特点和业务流程识别出关键数据和关键服务。 已完成项目中识别信息系统、以及业务系统承载的业务、业务流程的证明材料。   
★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★

25.   仅一级要求:识别处理数据和提供服务所需的关键系统单元和关键系统组件。 已完成项目中对处理数据和提供服务所需的关键系统单元和关键系统组件的识别分析证明材料。   
26.  风险识别阶段-脆弱性识别 应对已识别资产的安全管理或技术脆弱性利用适当的工具进行核查,并形成安全管理或技术脆弱性列表。 已完成项目中对脆弱性识别时使用的工具列表、管理或技术脆弱性列表。   
27.   应对脆弱性进行赋值。 已完成项目的脆弱性赋值列表。   
28.  风险识别阶段-威胁识别 应参考国家或国际标准,对威胁进行分类; 威胁分类清单。   
29.   应识别所评估信息资产存在的潜在威胁; 已完成项目中的威胁识别清单。   
30.   应识别威胁利用脆弱性的可能性; 已完成项目中分析威胁利用脆弱性可能性的证明材料。   
31.   应分析威胁利用脆弱性对组织可能造成的影响。 已完成项目中分析脆弱性发生对组织造成影响的证明材料。   
32.   仅二级/一级要求:应识别出组织和信息系统中潜在的对组织和信息系统造成影响的威胁。 已完成项目中对组织和信息系统造成的潜在威胁进行分析的证明材料。   
33.   仅一级要求:采用多种方法进行威胁调查。 已完成项目中采取多种威胁调查方法的证明材料。   
34.  风险识别-已有安全措施确认 应识别组织已采取的安全措施; 已完成项目中的已识别的安全措施列表。   
35.   应评价已采取的安全措施的有效性。 已完成项目中分析安全措施有效性的证明材料。   
36.  风险分析阶段-风险分析模型建立 应构建风险分析模型。 已完成项目的风险评估报告中对风险分析模型的描述,并验证其可行性、科学性。   
37.   应根据风险分析模型对已识别的重要资产的威胁、脆弱性及安全措施进行分析。 已完成项目的风险评估报告中,对威胁、脆弱性及安全措施分析的描述。   
38.   仅二级/一级要求:构建风险分析模型应将资产、威胁、脆弱性三个基本要素及每个要素各自的属性进行关联。 已完成项目的风险评估报告中对资产、威胁、脆弱性三个基本要素进行关联的证明材料。   
39.  风险分析阶段-风险计算方法确定 仅三级要求:应根据分析模型确定的方法计算出风险值。 已完成项目的风险评估报告中对计算方法的描述,计算得出风险值的过程。   

★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★

40.   仅二级/一级要求:在风险计算时,应根据实际情况选择定性计算方法或定量计算方法。 已完成项目的风险评估报告中对评估方法、评价方法、计算方法的描述,计算得出风险值的过程。   
41.   仅二级/一级要求:风险评估报告中应对本次评估建立的风险分析模型进行说明,并应阐明本次评估采用的风险计算方法及风险评价方法。    
42.  风险分析阶段-风险评价 应根据风险评价准则确定风险等级。 已完成项目的风险评估报告中的评价准则,并根据评价准则确定风险等级的证明材料。   
43.   仅二级/一级要求:应对不同等级的安全风险进行统计、评价,形成最终的总体安全评价。 已完成项目的风险评估报告中的安全评价内容。   
44.  风险分析-风险评估报告 应向客户提供风险评估报告。 已完成的所申请资质级别要求的风险评估报告,报告中至少包括评估过程、评估方法、评估结果、处置建议等内容。   
45.   报告应包括但不限于评估过程、评估方法、评估结果、处置建议等内容。     
46.   仅二级/一级要求:风险评估报告中应对计算分析出的风险给予比较详细的说明。 已完成项目的风险评估报告中对风险给予详细说明的证明材料。   
47.  风险处置阶段-风险处置原则确定 仅二级/一级要求:应协助被评估组织确定风险处置原则,以及风险处置原则适用的范围和例外情况。 已完成项目的风险评估报告或建议报告中对风险处置原则及适用的范围和例外情况说明的证明材料。   
48.  风险处置阶段-安全整改建议 仅二级/一级要求:对组织不可接受的风险提出风险处置措施。 已完成项目的风险评估报告或建议报告中对组织不可接受的风险提出风险处置措施或建议的证明材料。   
49.  风险处置阶段-组织评审会 仅一级要求:协助被评估组织召开评审会。 服务提供者协助被评估组织组织评审会的证明材料,如会议通知、专家签到表、专家意见等。   
50.   仅一级要求:依据最终的评审意见进行相应的整改,形成最终的整改材料。 已完成项目的专家评审意见、整改措施及其总结。   
51.  风险处置阶段-残余风险处置 仅一级要求:对组织提出完整的风险处置方案。 已完成项目的残余风险处置方案,方案至少包含处置措施、工具、时间计划等内容。   
52.   仅一级要求:必要时,对残余风险进行再评估。 已完成项目中对残余风险进行再评估的证明材料。   
53.  上一年度提出的观察项整改情况(如有)
54.       
55.       
56.  上一年度提出的不符合项整改情况(如有)
57.       
58.       
 ★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★


自评估结论:
经自主评估,本单位的信息安全风险评估服务满足《信息安全服务 规范》   级要求,申请第三方审核。

本单位郑重承诺,《信息安全服务资质认证自评估表-公共管理》与本自评估表中所提供全部信息真实可信,且均可提供相应证明材料。

★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★

 

 

 

 

 

信息安全服务资质简介
 
     为搭建矩阵式信息化建设企业管理平台,中国通信工业协会依据国家相关规定和管理平台两个维度的建设要求,设立并推出了《信息系统业务安全服务资质》。《信息系统业务安全服务资质》的审核是搭建矩阵式信息化建设企业管理平台的主要方法和中心环节。通过对资质的审核,确认各信息化建设企业的行业服务方向和专业能力水平,并将其纳入到管理平台中来,从而充分有效地发挥政府对信息化建设企业的管理、指导及支持等职能,同时也有利于不同行业的用户通过管理平台快速、准确地选择到合适的信息化建设企业 

资质特点
 
《信息系统业务安全服务资质》是信息化建设企业在信息化项目建设中提供服务的一种能力标定,不涉及技术及产品标准,重点强调信息化建设企业的行业服务方向、安全服务意识和专业服务能力。
《信息系统业务安全服务资质》以纵、横两个维度分别对信息化建设企业的行业服务方向和专业服务能力做出了划分:
纵向上,《信息系统业务安全服务资质》以信息化建设企业的服务能力为标准分三个级别,由高到低分为一、二、三级,分别对应专业级、业务级、基础级的信息化建设能力水平。
横向上,《信息系统业务安全服务资质》以信息化建设企业的服务行业方向为标准,划分为8个行业方向:政府、公共服务、金融、电信、军工、商业、能源、工业企业。
 

各行业方向的服务范围划分: 

(一)、政府分项服务范围:
政府及政府常设机构等;
(二)、公共服务行业分项服务范围:
D
电力、热力、燃气及水生产和供应业;
G
交通运输、仓储和邮政业;
N
水利、环境和公共设施管理业;
O
居民服务、修理和其他服务业;
P
教育;
Q
卫生和社会工作;
S
公共管理、社会保障和社会组织;
T
国际组织
(三)、金融分项服务范围:
J
金融业;
(四)、电信分项服务范围:
I
信息传输、软件和信息技术服务业;(以及电信运营商等)
(五)、军工分项服务范围:军队、航空、航天、船舶等
(六)、商业分项服务范围:
F
批发和零售业;
H
住宿和餐饮业;
K
房地产业;
L
租赁和商务服务业;
M
科学研究和技术服务业;
R
文化、体育和娱乐业;
(七)、能源分项服务范围:
A
农、林、牧、渔业;
B
采矿业;
(八)、工业企业分项服务范围:
C
制造业;
E
建筑业;
(字母表达的行业分类细则请参阅《国民经济行业分类与代码(GB/4754-2011)》)


 

★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★

评定范围
 
《信息系统业务安全服务资质》的评定范围是指涉及通信、互联网、软件开发、系统集成以及信息类产品设计、制造等在内的行业内各类型信息化建设企业。  
评定要素
 
《信息系统业务安全服务资质》的评定包括对申报企业的综合能力评定和对申报企业行业专项能力的评定。评定要素包括基本条件、综合条件、人才实力、技术实力、管理能力等方面。
资质颁发
 
资质审核通过的申报企业可获得由中国通信工业协会颁发的《信息系统业务安全服务资质》证书,包括:正本一份,副本三份。

因资质具有行业专项性,所以同一申报企业可以同时拥有多个行业的副本证书,但只能拥有一个正本证书。
正本证书的级别按照申报企业拥有的副本证书中的最高级别核发。

★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★

 

 

信息安全服务资质认证自评估表-公共管理

填表说明:
1、申请三级信息安全服务资质认证时,仅需填写该自评估表。
2、申请一、二级服务资质认证时,该自评估表与申报具体的服务类别自评估一并使用,单个文档不作为自评估支撑材料。申报多个服务类别且级别不同时,按照申请的最高级别服务资质认证的管理要求填写。
3、表中要求的所有程序文件均已发布实施。
组织名称  服务类别/级别 如有工控安全请注明行业。
评估时间  评估部门/人员 

序号 要点 条款 需提供证明材料 自评估结论 证明材料清单
    符合 不符合 
1.  法律地位要求 仅适用于初次认证:
在中华人民共和国境内注册的独立法人组织,发展历程清晰,产权关系明确。
监督审核:
如有变化则重新提供。 营业执照/事业单位登记证,核对注册号、法定代表人、注册资本、注册地址、公司类型、经营范围、成立日期、营业期限等。
如独立法人实体的一个部门或部分,经法人批准成立,法人实体能为申请人开展的活动承担相关的法律责任的文件(法人签字盖章)。
(提供企业在国家企业信用信息公示系统
http://www.gsxt.gov.cn中的基础信息截图)   
2.  法律地位要求 遵循国家相关法律法规、标准要求,无违法违规记录,资信状况良好。 提供企业在国家企业信用信息公示系统(
http://www.gsxt.gov.cn)上的企业信用信息。   需要截图
3.  财务资信要求 仅适用于初次认证:
组织经营状况正常,建立财务管理制度,可为安全服务提供必要的财务支持。 提供财务管理制度,包括财务风险管控制度,必要时年度审计报告作为支撑文件。   
4.  办公场所要求 拥有长期固定办公场所和相适应的办公条件,能够满足机构设置及其业务需要。
监督审核:
有变化则提供,无变化则不提供。 房屋产权证或租房屋赁合同;
产权人/出租人、地址、面积、租期。   
5.  人员能力要求 三级/二级/一级分别要求:组织负责人拥有2/3/4年以上信息技术领域管理经历。 组织负责人简历及资质证书,包括姓名、年龄、职务、职称、学历、工作经历、信息技术领域管理年限、资质证书。
XX市社保部门出具的公司员工社保缴费证明,单据号:XXXX,出具时间XX年XX月XX日。
三级/二级/一级的负责人社保证明至少(3个月)。
需提供社保部门提供的社保缴费证明或社保系统查询截图。   
6.   三级/二级/一级分别要求:技术负责人具备信息安全服务(与申报类别一致)管理能力,经评价合格(与申报类别一致),评价要求见附录G。 技术负责人简历及资质证书,包括姓名、年龄、职务、职称、学历、工作经历、信息技术领域工作年限、资质证书。
提供技术负责人的信息安全服务管理能力证明,包括能力考核结果(与申报类别一致)。三级/二级/一级的技术负责人社保证明至少3个月。
需提供社保部门提供的社保缴费证明或社保系统查询截图。   
7.   三级/二级/一级分别要求:项目负责人、项目工程师具备信息安全服务(与申报类别一致)技术能力,经评价合格,评价要求见附录G。
 提供项目负责人、项目工程师的技术能力证明,包括能力考核结果。如,对应岗位职责、能力自评价、能力评价、项目经历等证明材料。
三级/二级/一级的服务人社保证明至少3个月。
需提供社保部门提供的社保缴费证明或社保系统查询截图。   
8.  业绩要求 仅适用初次审核:
三级/二级/一级分别要求:从事信息安全服务(与申报类别一致)至少4个月/3年或取得三级资质1年以上/ 5年或取得二级资质1年以上。 提供首个信息安全服务(与申报类别一致)项目合同原件,核对项目名称、合同签订时间、项目验收时间等。
(公开招标项目需提供中标通知书原件或招标网站公示截图,非公开招标项目需提供财务收款凭证)。   监督审核不适用。
三级初次申报填写公司成立时间/或项目开始时间。
9.   仅适用初次审核:
二级/一级分别要求:近3年内签订并完成至少6/10个信息安全服务(与申报类别一致)项目。一二级现场随机抽查1个项目。
监督审核:
三级/二级/一级监督审核:近1年内签订并完成至少1个/2个/2个信息安全服务(与申报类别一致)项目。 提供信息安全服务项目(与申报类别一致)合同及验收报告原件,核对项目清单,确认项目名称、合同金额、签订时间、验收时间、项目数量、服务内容与申报一致。
(公开招标项目需提供中标通知书原件或招标网站公示截图,非公开招标项目需提供财务收款凭证)。   三级初次申报不填此项

★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★

10.  服务管理要求 建立并运行人员管理程序,识别安全服务人员的服务能力要求,明确安全服务人员的岗位职责、技术能力要求,并通过评价证明其能够胜任其承担的职责。 提供服务人员管理程序,及安全服务人员的岗位职责、技术能力要求,并提供评价证明其能够胜任其承担的职责。   
11.   制定服务人员能力培养计划,包括网络与信息安全相关的技术、技能、管理、意识等内容,并执行计划,确保服务人员持续胜任其承担的职责。 提供服务人员能力培养计划,包括网络与信息安全相关的技术、技能、管理、意识等内容,并执行计划,确保服务人员持续胜任其承担的职责。   
12.   建立文档管理程序,包括组织管理、服务过程管理、质量管理等内容,明确项目产生、发布、保存、传输、使用(包括交付和内部使用)、废弃等环节的文档控制。 文档管理程序建立及实施情况,提供与申报类型一致的安全服务项目过程文档,核实是否存在遗失或信息泄露等问题。   
13.   二级:4.2.6 c)配备档案室及高安全性的文件服务器。 提供配备档案室及高安全性的文件服务器的证据。   
14.   一级:4.3.6 c)配备档案室及高安全性的文件服务器,至少近两年的项目在文件管理系统中进行管理。 提供配备档案室及高安全性的文件服务器,至少近两年的项目在文件管理系统中进行管理的证据。   
15.   建立并运行项目管理程序,明确服务项目的组织、计划、实施、风险控制、交付等环节的操作规程。 提供项目管理程序建立及实施情况的证据,明确服务项目的组织、计划、实施、风险控制、交付等环节的操作规程,提供项目风险管理记录。   
16.   建立并运行保密管理程序,明确岗位保密责任,签订保密协议,并能够适时对相关人员进行保密教育。 保密管理程序建立及落实情况,包括保密范围、保密方式、保密时效、保密责任主体、罚则。提供组织与管理层、技术负责人及项目实施人员签订的保密协议。关键岗位离职人员签订离职保密协议。提供保密教育培训记录。   
17.   (三级要求)建立与运行供应商管理程序,确保其供应商满足服务安全要求(仅适用于安全集

重庆公司地址:重庆市江北区北滨二路江北嘴紫御江山7-8-4    成都公司地址:成都市高新区天府三街峰汇中心1-10-8