设为首页 | 加入收藏
信息安全服务资质认证 当前您的位置:软件信息产品认证>>信息安全服务资质认证
ITSS认证信息技术标准背景

 

ITSS认证知识★---ITSS认证信息技术标准背景

 

ITSS介绍

ITSSInformation Technology Service Standards,信息技术服务标准,简称ITSS)是一套成体系和综合配套的信息技术服务标准库,全面规范了IT服务产品及其组成要素,用于指导实施标准化和可信赖的IT服务。
ITSS分会在中国电子工业标准化技术协会的领导下,充分发挥平台作用,认真做好信息技术服务标准的应用推广工作;加强自身能力建设,服务于会员单位发展;稳步推进ITSS标准的符合性评估,严把评估质量关。
ITSS充分借鉴了质量管理原理和过程改进方法的精髓,规定了IT服务的组成要素和生命周期,并对其进行标准化,如图1.1所示:
ITSS原理图
组成要素:IT服务由人员(People)、流程(Process)、技术(Technology)和资源(Resource)组成,简称PPTR。其中:
人员:指提供IT服务所需的人员及其知识、经验和技能要求;
过程:指提供IT服务时,合理利用必要的资源,将输入转化为输出的一组相互关联和结构化的活动;
技术:指交付满足质量要求的IT服务应使用的技术或应具备的技术能力;
资源:指提供IT服务所依存和产生的有形及无形资产。
生命周期:IT服务生命周期由规划设计(Planning & Design)、部署实施(Implementing)、服务运营(Operation)、持续改进(Improvement)和监督管理(Supervision5个阶段组成,简称PIOIS。其中:
规划设计:从客户业务战略出发,以需求为中心,参照ITSSIT服务进行全面系统的战略规划和设计,为IT服务的部署实施做好准备,以确保提供满足客户需求的IT服务;
部署实施:在规划设计基础上,依据ITSS建立管理体系、部署专用工具及服务解决方案;
服务运营:根据服务部署情况,依据ITSS,采用过程方法,全面管理基础设施、服务流程、人员和业务连续性,实现业务运营与IT服务运营融合;
持续改进:根据服务运营的实际情况,定期评审IT服务满足业务运营的情况,以及IT服务本身存在的缺陷,提出改进策略和方案,并对IT服务进行重新规划设计和部署实施,以提高IT服务质量。
监督管理:本阶段主要依据ITSSIT服务服务质量进行评价,并对服务供方的服务过程、交付结果实施监督和绩效评估。[1]

ITSS体系框架

ITSS3.1体系的提出主要从产业发展、服务管控、业务形态、实现方式和行业应用等几个方面考虑,分为基础标准、服务管控标准、服务外包标准、业务标准、安全标准、行业应用标准6大类。ITSS3全景图如下:

1、基础标准旨在阐述信息技术服务的业务分类和服务原理、服务质量评价方法、服务人员能力要求等;
2、服务管控标准是指通过对信息技术服务的治理、管理和监理活动,以确保信息技术服务的经济有效;
3、业务标准按业务类型分为面向IT的服务标准(咨询设计标准、集成实施标准和运行维护标准)和IT驱动的服务标准(服务运营标准),按标准编写目的分为通用要求、服务规范和实施指南,其中通用要求是对各业务类型的基本能力要素的要求,服务规范是对服务内容和行为的规范,实施指南是对服务的落地指导;
4、服务外包标准是对信息技术服务采用外包方式时的通用要求及规范;
5、服务安全标准重点规定事前预防、事中控制、事后审计服务安全以及整个过程的持续改进,并提出组织的服务安全治理规范,以确保服务安全可控;
6、行业应用标准是对各行业进行定制化应用落地的实施指南。
信息技术服务标准体系是动态发展的,与信息技术服务相关的技术和产业发展紧密相关,同时也与标准化工作的目标和定位紧密相关。 [1]

ITSS 核心要素

ITSS定义了IT服务由人员、过程、技术和资源组成,并对这些IT服务的组成要素进行标准化,如图2-2所示。另外,就IT服务而言,通常情况下是由具备匹配的知识、技能和经验的人员,合理运用资源,并通过规定流程向客户提供IT服务。
人员
人员是指IT服务生命周期中各类满足要求的人才的总称,ITSS规定了提供IT服务的各类人员应具备的知识、经验和技能要求,目的是指导IT服务提供商根据岗位职责和管理要求“正确选人”。
一般而言,针对咨询设计、集成实施、运行维护和运营等典型的IT服务,所需要的人员包括项目经理(例如,系统集成项目经理、IT服务项目经理)、系统分析师、构架设计师、系统集成工程师、信息安全工程师、系统评测工程师、IT服务工程师、服务定价师、客户经理和日常IT服务人员等。
人员要素所面临的挑战
针对IT服务人员,由于尚未形成统一的职业分类以及广泛认同的知识、技能和经验要求,使得IT服务提供商面临如下挑战:
人员知识、技能和经验评估难;
不同人员交付同一IT服务的质量不一致;
人才流动率高,很难建设稳定的服务团队;
人才招聘难,很难形成合理的人力资源池。
人员专业化的必要性
有助于建立与业务发展相适应的人才队伍,保障业务连续性和稳定性;
有助于改进和完善人才培养模式,提高人才培养质量;
有助于优化人力资源管理,提高管理效率和降低管理成本。

过程
过程是通过合理利用必要的资源,将输入转化为输出的一组相互关联和结构化的活动,是提高管理水平和确保服务质量的关键要素。ITSS根据咨询设计、集成实施、运行维护等各种类型的IT服务,规定了应建立的流程和各个流程应实现的关键绩效指标(KPI),确保IT服务提供商能“正确做事”。通过按照ITSS要求建立简洁、高效和协调的流程,能有效地将人员、技术和资源要素连接起来,指导服务人员按规定的方式方法正确地做事。
过程作为IT服务的核心要素之一,主要由输入、输出、活动以及活动间的相互关系组成,有明确的目标,可重复和可度量。
过程要素所面临的挑战
过程没有明确定义,完全按照操作人员的个人习惯执行;
过程定义不清晰,不具备按照过程管理思路执行的价值;
过程定义太复杂,执行效率严重下降甚至影响业务运营;
没有明确的过程目标,操作人员不清楚每一项活动应该做到什么;
对过程没有监督,不清楚过程的稳定性;
对过程没有考核,不能得到持续改进。
过程规范化的必要性
确保过程可重复和可度量;
有效控制因未明确定义而引发的潜在风险;
通过对过程进行评价和度量,可持续提升过程的效率;
通过过程实现规范化管理,可持续提高IT服务质量;
通过规范化的过程管理,提高效率,减少人员和成本的投入。

技术
技术是指交付满足质量要求的IT服务应使用的技术或应具备的技术能力,以及提供IT服务所必须的分析方法、架构和步骤。技术要素确保IT服务提供商能“高效做事”,是提高IT服务质量方面重点考虑的要素,主要通过自有核心技术的研发和非自有核心技术的学习借鉴,持续提升提供IT服务过程中发现问题和解决问题的能力。
在提供IT服务过程中,可能面临各种问题、风险以及新技术和前沿技术应用所提出的新要求,服务供方应根据需方要求或技术发展趋势,具备发现和解决问题、风险控制、技术储备以及研发、应用新技术和前沿技术的能力。针对咨询设计、集成实施、运行维护等IT服务,
技术要素所面临的挑战
为满足企业的目标和业务需求,组织对IT技术的依赖程度越来越高;
激烈的市场竞争,也使得组织对技术的要求越来越高;
低成本、高效率的服务需求,对组织的技术研发和使用能力提出了更高的要求。
★四川两化融合★四川CMMI认证★四川GJB5000A认证★四川CCRC认证★四川ISO27001认证★四川ISO20000认证★四川ISO22301认证★四川ISO27701认证★四川ITSS认证★四川CS认证★

 

 

 

 

 

 

CCRC认证知识★---★风险评估服务资质认证简介★

信息安全风险评估简介
信息安全风险评估是信息安全保障的基础性工作和重要环节,贯穿于网络和信息系统建设运行的全过程。服务提供者通过对信息系统提供风险评估服务,系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和安全整改措施,防范和消除信息安全风险,或将风险控制在可接受的水平,为网络和信息安全保障提供科学依据。

  信息安全风险评估服务资质级别是衡量服务提供者服务能力的尺度。风险评估服务提供方的服务能力主要从以下四个方面体现:基本资格、服务管理能力、服务技术能力和服务过程能力;服务人员的能力主要从掌握的知识、风险评估服务的经验等综合评定。对服务提供方的背景审查主要指客户投诉、违法违纪行为等;服务人员的背景审查主要指行业主管部门或使用单位对从事风险评估服务的人员进行必要的审查。

  资质级别分为一级、二级、三级共三个级别,其中一级最高,三级最低。★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★

 

信息安全风险评估服务资质认证自评估表

组织名称  申报级别 
评估时间  评估部门/人员 

序号 要点 条款 需提供证明材料 自评估结论 证明材料清单
    符合 不符合 
1.
  服务技术要求 建立信息安全风险评估服务流程。 按照相关标准建立的信息安全风险评估服务流程,流程图中应包括每个阶段对应的职责、输入输出等。   
2.
   制定信息安全风险评估服务规范并按照规范实施。 已制定的信息安全风险评估服务规范。   
3.
  基本资格 仅三级要求:至少有一个完成的风险评估项目,该系统的用户数在1,000以上;具备从管理或(和)技术层面对脆弱性进行识别的能力。 一个已完成项目的合同、用户数、验收的证明材料,包括管理或(和)技术层面脆弱性识别的材料。   
4.
   仅二级要求:针对多种类型组织,多行业组织,至少完成一个风险评估项目,该系统的用户数在10,000以上;具备从管理和技术层面对脆弱性进行识别的能力。 一个已完成项目的合同、用户数、验收的证明材料,包括管理和技术层面脆弱性识别的材料。   
5.
   仅一级要求:能够在全国范围内,针对5个(含)以上行业开展风险评估服务;至少完成两个风险评估项目,该系统的用户数在100,000以上;具备从业务、管理和技术层面对脆弱性进行识别的能力。 5个已完成项目的合同、用户数、验收的证明材料,从业务、管理和技术层面对脆弱性进行识别的材料。   
6.
   仅三级要求:具备跟踪信息安全漏洞的能力 跟踪信息安全漏洞的证明材料   
7.
   仅二级要求:具备跟踪、验证信息安全漏洞的能力。 跟踪、验证信息安全漏洞的证明材料   
8.
   仅一级要求:具备跟踪、验证、挖掘信息安全漏洞的能力。 跟踪、验证、挖掘信息安全漏洞的证明材料。   
9.
  准备阶段-服务方案制定 编制风险评估方案、风险评估模板,并在项目实施过程中按照模板实施。 信息安全风险评估方案、风险评估模板。   
10.
   应为风险评估实施活动提供总体计划或方案,方案应包含风险评价原则。 已完成项目的风险评估方案,方案中应包含风险评价原则。   
★四川两化融合★四川CMMI认证★四川GJB5000A认证★四川CCRC认证★四川ISO27001认证★四川ISO20000认证★四川ISO22301认证★四川ISO27701认证★四川ITSS认证★四川CS认证★

重庆公司地址:重庆市江北区北滨二路江北嘴紫御江山7-8-4    成都公司地址:成都市高新区天府三街峰汇中心1-10-8