★ITSS认证知识★---★ITSS认证信息技术标准背景★
ITSS介绍
ITSS(Information Technology Service Standards,信息技术服务标准,简称ITSS)是一套成体系和综合配套的信息技术服务标准库,全面规范了IT服务产品及其组成要素,用于指导实施标准化和可信赖的IT服务。 ITSS分会在中国电子工业标准化技术协会的领导下,充分发挥平台作用,认真做好信息技术服务标准的应用推广工作;加强自身能力建设,服务于会员单位发展;稳步推进ITSS标准的符合性评估,严把评估质量关。 ITSS充分借鉴了质量管理原理和过程改进方法的精髓,规定了IT服务的组成要素和生命周期,并对其进行标准化,如图1.1所示: ITSS原理图 组成要素:IT服务由人员(People)、流程(Process)、技术(Technology)和资源(Resource)组成,简称PPTR。其中: 人员:指提供IT服务所需的人员及其知识、经验和技能要求; 过程:指提供IT服务时,合理利用必要的资源,将输入转化为输出的一组相互关联和结构化的活动; 技术:指交付满足质量要求的IT服务应使用的技术或应具备的技术能力; 资源:指提供IT服务所依存和产生的有形及无形资产。 生命周期:IT服务生命周期由规划设计(Planning & Design)、部署实施(Implementing)、服务运营(Operation)、持续改进(Improvement)和监督管理(Supervision)5个阶段组成,简称PIOIS。其中: 规划设计:从客户业务战略出发,以需求为中心,参照ITSS对IT服务进行全面系统的战略规划和设计,为IT服务的部署实施做好准备,以确保提供满足客户需求的IT服务; 部署实施:在规划设计基础上,依据ITSS建立管理体系、部署专用工具及服务解决方案; 服务运营:根据服务部署情况,依据ITSS,采用过程方法,全面管理基础设施、服务流程、人员和业务连续性,实现业务运营与IT服务运营融合; 持续改进:根据服务运营的实际情况,定期评审IT服务满足业务运营的情况,以及IT服务本身存在的缺陷,提出改进策略和方案,并对IT服务进行重新规划设计和部署实施,以提高IT服务质量。 监督管理:本阶段主要依据ITSS对IT服务服务质量进行评价,并对服务供方的服务过程、交付结果实施监督和绩效评估。[1]
ITSS体系框架
ITSS3.1体系的提出主要从产业发展、服务管控、业务形态、实现方式和行业应用等几个方面考虑,分为基础标准、服务管控标准、服务外包标准、业务标准、安全标准、行业应用标准6大类。ITSS3全景图如下:
1、基础标准旨在阐述信息技术服务的业务分类和服务原理、服务质量评价方法、服务人员能力要求等; 2、服务管控标准是指通过对信息技术服务的治理、管理和监理活动,以确保信息技术服务的经济有效; 3、业务标准按业务类型分为面向IT的服务标准(咨询设计标准、集成实施标准和运行维护标准)和IT驱动的服务标准(服务运营标准),按标准编写目的分为通用要求、服务规范和实施指南,其中通用要求是对各业务类型的基本能力要素的要求,服务规范是对服务内容和行为的规范,实施指南是对服务的落地指导; 4、服务外包标准是对信息技术服务采用外包方式时的通用要求及规范; 5、服务安全标准重点规定事前预防、事中控制、事后审计服务安全以及整个过程的持续改进,并提出组织的服务安全治理规范,以确保服务安全可控; 6、行业应用标准是对各行业进行定制化应用落地的实施指南。 信息技术服务标准体系是动态发展的,与信息技术服务相关的技术和产业发展紧密相关,同时也与标准化工作的目标和定位紧密相关。 [1]
ITSS 核心要素
ITSS定义了IT服务由人员、过程、技术和资源组成,并对这些IT服务的组成要素进行标准化,如图2-2所示。另外,就IT服务而言,通常情况下是由具备匹配的知识、技能和经验的人员,合理运用资源,并通过规定流程向客户提供IT服务。 人员 人员是指IT服务生命周期中各类满足要求的人才的总称,ITSS规定了提供IT服务的各类人员应具备的知识、经验和技能要求,目的是指导IT服务提供商根据岗位职责和管理要求“正确选人”。 一般而言,针对咨询设计、集成实施、运行维护和运营等典型的IT服务,所需要的人员包括项目经理(例如,系统集成项目经理、IT服务项目经理)、系统分析师、构架设计师、系统集成工程师、信息安全工程师、系统评测工程师、IT服务工程师、服务定价师、客户经理和日常IT服务人员等。 人员要素所面临的挑战 针对IT服务人员,由于尚未形成统一的职业分类以及广泛认同的知识、技能和经验要求,使得IT服务提供商面临如下挑战: 人员知识、技能和经验评估难; 不同人员交付同一IT服务的质量不一致; 人才流动率高,很难建设稳定的服务团队; 人才招聘难,很难形成合理的人力资源池。 人员专业化的必要性 有助于建立与业务发展相适应的人才队伍,保障业务连续性和稳定性; 有助于改进和完善人才培养模式,提高人才培养质量; 有助于优化人力资源管理,提高管理效率和降低管理成本。
过程 过程是通过合理利用必要的资源,将输入转化为输出的一组相互关联和结构化的活动,是提高管理水平和确保服务质量的关键要素。ITSS根据咨询设计、集成实施、运行维护等各种类型的IT服务,规定了应建立的流程和各个流程应实现的关键绩效指标(KPI),确保IT服务提供商能“正确做事”。通过按照ITSS要求建立简洁、高效和协调的流程,能有效地将人员、技术和资源要素连接起来,指导服务人员按规定的方式方法正确地做事。 过程作为IT服务的核心要素之一,主要由输入、输出、活动以及活动间的相互关系组成,有明确的目标,可重复和可度量。 过程要素所面临的挑战 过程没有明确定义,完全按照操作人员的个人习惯执行; 过程定义不清晰,不具备按照过程管理思路执行的价值; 过程定义太复杂,执行效率严重下降甚至影响业务运营; 没有明确的过程目标,操作人员不清楚每一项活动应该做到什么; 对过程没有监督,不清楚过程的稳定性; 对过程没有考核,不能得到持续改进。 过程规范化的必要性 确保过程可重复和可度量; 有效控制因未明确定义而引发的潜在风险; 通过对过程进行评价和度量,可持续提升过程的效率; 通过过程实现规范化管理,可持续提高IT服务质量; 通过规范化的过程管理,提高效率,减少人员和成本的投入。
技术 技术是指交付满足质量要求的IT服务应使用的技术或应具备的技术能力,以及提供IT服务所必须的分析方法、架构和步骤。技术要素确保IT服务提供商能“高效做事”,是提高IT服务质量方面重点考虑的要素,主要通过自有核心技术的研发和非自有核心技术的学习借鉴,持续提升提供IT服务过程中发现问题和解决问题的能力。 在提供IT服务过程中,可能面临各种问题、风险以及新技术和前沿技术应用所提出的新要求,服务供方应根据需方要求或技术发展趋势,具备发现和解决问题、风险控制、技术储备以及研发、应用新技术和前沿技术的能力。针对咨询设计、集成实施、运行维护等IT服务, 技术要素所面临的挑战 为满足企业的目标和业务需求,组织对IT技术的依赖程度越来越高; 激烈的市场竞争,也使得组织对技术的要求越来越高; 低成本、高效率的服务需求,对组织的技术研发和使用能力提出了更高的要求。 ★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★重庆CCRC认证★重庆ITSS认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★四川CCRC认证★四川ITSS认证★
★CCRC认证知识★---★风险评估服务资质认证简介★
信息安全风险评估简介 信息安全风险评估是信息安全保障的基础性工作和重要环节,贯穿于网络和信息系统建设运行的全过程。服务提供者通过对信息系统提供风险评估服务,系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和安全整改措施,防范和消除信息安全风险,或将风险控制在可接受的水平,为网络和信息安全保障提供科学依据。
信息安全风险评估服务资质级别是衡量服务提供者服务能力的尺度。风险评估服务提供方的服务能力主要从以下四个方面体现:基本资格、服务管理能力、服务技术能力和服务过程能力;服务人员的能力主要从掌握的知识、风险评估服务的经验等综合评定。对服务提供方的背景审查主要指客户投诉、违法违纪行为等;服务人员的背景审查主要指行业主管部门或使用单位对从事风险评估服务的人员进行必要的审查。
资质级别分为一级、二级、三级共三个级别,其中一级最高,三级最低。★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★
信息安全风险评估服务资质认证自评估表
组织名称 申报级别 评估时间 评估部门/人员
序号 要点 条款 需提供证明材料 自评估结论 证明材料清单 符合 不符合 1. 服务技术要求 建立信息安全风险评估服务流程。 按照相关标准建立的信息安全风险评估服务流程,流程图中应包括每个阶段对应的职责、输入输出等。 2. 制定信息安全风险评估服务规范并按照规范实施。 已制定的信息安全风险评估服务规范。 3. 基本资格 仅三级要求:至少有一个完成的风险评估项目,该系统的用户数在1,000以上;具备从管理或(和)技术层面对脆弱性进行识别的能力。 一个已完成项目的合同、用户数、验收的证明材料,包括管理或(和)技术层面脆弱性识别的材料。 4. 仅二级要求:针对多种类型组织,多行业组织,至少完成一个风险评估项目,该系统的用户数在10,000以上;具备从管理和技术层面对脆弱性进行识别的能力。 一个已完成项目的合同、用户数、验收的证明材料,包括管理和技术层面脆弱性识别的材料。 5. 仅一级要求:能够在全国范围内,针对5个(含)以上行业开展风险评估服务;至少完成两个风险评估项目,该系统的用户数在100,000以上;具备从业务、管理和技术层面对脆弱性进行识别的能力。 5个已完成项目的合同、用户数、验收的证明材料,从业务、管理和技术层面对脆弱性进行识别的材料。 6. 仅三级要求:具备跟踪信息安全漏洞的能力 跟踪信息安全漏洞的证明材料 7. 仅二级要求:具备跟踪、验证信息安全漏洞的能力。 跟踪、验证信息安全漏洞的证明材料 8. 仅一级要求:具备跟踪、验证、挖掘信息安全漏洞的能力。 跟踪、验证、挖掘信息安全漏洞的证明材料。 9. 准备阶段-服务方案制定 编制风险评估方案、风险评估模板,并在项目实施过程中按照模板实施。 信息安全风险评估方案、风险评估模板。 10. 应为风险评估实施活动提供总体计划或方案,方案应包含风险评价原则。 已完成项目的风险评估方案,方案中应包含风险评价原则。 11. 仅二级/一级要求:应进行充分的系统调研,形成调研报告。 已完成项目的系统调研报告,报告中对被评估对象有清晰的描述。 12. 仅二级/一级要求:宜根据风险评估目标以及调研结果,确定评估依据和评估方法。 已完成项目的风险评估实施方案中应根据目标及调研结果,明确评估依据和评估方法,评估依据和评估方法符合国家标准、行业标准及相关要求。 13. 仅二级/一级要求:应形成较为完整的风险评估实施方案。 14. 准备阶段-人员和工具管理 应组建评估团队。风险评估实施团队应由管理层、相关业务骨干、IT技术人员等组成。 已完成项目的风险评估方案中对风险评估实施团队成员及团队构架的介绍。 ★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★
15. 应根据评估的需求准备必要的工具。 已完成项目的风险评估方案中对评估工具的介绍,工具列表及主要功能描述。 16. 应对评估团队实施风险评估前进行安全教育和技术培训。 项目实施前的安全教育及技术培训的证明材料,如启动会的PPT,PPT中包含培训的内容,以及其他可证明对其安全教育、技术方面培训的材料。 17. 仅二级/一级要求:需采取相关措施,保障工具自身的安全性、适用性。 工具的安全测试证明材料;定期或工具软件有重大版本变更时,对工具软件进行适用性确认的测试记录。 18. 仅一级要求:需采取相关措施,保障工具管理的规范性。 已制定的工具管理制度及执行记录。 19. 风险识别阶段-资产识别 参考国家或国际标准,对资产进行分类。 参照已发布的标准,形成的资产分类列表。 20. 识别重要信息资产,形成资产清单。 已完成项目的重要资产清单。 21. 对已识别的重要资产,分析资产的保密性、完整性和可用性等安全属性的等级要求。 已完成项目的重要资产的三性等级要求列表。 22. 对资产根据其在保密性、完整性和可用性上的等级分析结果,经过综合评定进行赋值。 已完成项目的重要资产赋值表。 23. 仅一级要求:识别信息系统处理的业务功能,重点识别出关键业务功能和关键业务流程。 已完成项目中识别信息系统、以及业务系统承载的业务、业务流程的证明材料。 24. 仅一级要求:根据业务特点和业务流程识别出关键数据和关键服务。 已完成项目中识别信息系统、以及业务系统承载的业务、业务流程的证明材料。 ★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★
25. 仅一级要求:识别处理数据和提供服务所需的关键系统单元和关键系统组件。 已完成项目中对处理数据和提供服务所需的关键系统单元和关键系统组件的识别分析证明材料。 26. 风险识别阶段-脆弱性识别 应对已识别资产的安全管理或技术脆弱性利用适当的工具进行核查,并形成安全管理或技术脆弱性列表。 已完成项目中对脆弱性识别时使用的工具列表、管理或技术脆弱性列表。 27. 应对脆弱性进行赋值。 已完成项目的脆弱性赋值列表。 28. 风险识别阶段-威胁识别 应参考国家或国际标准,对威胁进行分类; 威胁分类清单。 29. 应识别所评估信息资产存在的潜在威胁; 已完成项目中的威胁识别清单。 30. 应识别威胁利用脆弱性的可能性; 已完成项目中分析威胁利用脆弱性可能性的证明材料。 31. 应分析威胁利用脆弱性对组织可能造成的影响。 已完成项目中分析脆弱性发生对组织造成影响的证明材料。 32. 仅二级/一级要求:应识别出组织和信息系统中潜在的对组织和信息系统造成影响的威胁。 已完成项目中对组织和信息系统造成的潜在威胁进行分析的证明材料。 33. 仅一级要求:采用多种方法进行威胁调查。 已完成项目中采取多种威胁调查方法的证明材料。 34. 风险识别-已有安全措施确认 应识别组织已采取的安全措施; 已完成项目中的已识别的安全措施列表。 35. 应评价已采取的安全措施的有效性。 已完成项目中分析安全措施有效性的证明材料。 36. 风险分析阶段-风险分析模型建立 应构建风险分析模型。 已完成项目的风险评估报告中对风险分析模型的描述,并验证其可行性、科学性。 37. 应根据风险分析模型对已识别的重要资产的威胁、脆弱性及安全措施进行分析。 已完成项目的风险评估报告中,对威胁、脆弱性及安全措施分析的描述。 38. 仅二级/一级要求:构建风险分析模型应将资产、威胁、脆弱性三个基本要素及每个要素各自的属性进行关联。 已完成项目的风险评估报告中对资产、威胁、脆弱性三个基本要素进行关联的证明材料。 39. 风险分析阶段-风险计算方法确定 仅三级要求:应根据分析模型确定的方法计算出风险值。 已完成项目的风险评估报告中对计算方法的描述,计算得出风险值的过程。
★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★
40. 仅二级/一级要求:在风险计算时,应根据实际情况选择定性计算方法或定量计算方法。 已完成项目的风险评估报告中对评估方法、评价方法、计算方法的描述,计算得出风险值的过程。 41. 仅二级/一级要求:风险评估报告中应对本次评估建立的风险分析模型进行说明,并应阐明本次评估采用的风险计算方法及风险评价方法。 42. 风险分析阶段-风险评价 应根据风险评价准则确定风险等级。 已完成项目的风险评估报告中的评价准则,并根据评价准则确定风险等级的证明材料。 43. 仅二级/一级要求:应对不同等级的安全风险进行统计、评价,形成最终的总体安全评价。 已完成项目的风险评估报告中的安全评价内容。 44. 风险分析-风险评估报告 应向客户提供风险评估报告。 已完成的所申请资质级别要求的风险评估报告,报告中至少包括评估过程、评估方法、评估结果、处置建议等内容。 45. 报告应包括但不限于评估过程、评估方法、评估结果、处置建议等内容。 46. 仅二级/一级要求:风险评估报告中应对计算分析出的风险给予比较详细的说明。 已完成项目的风险评估报告中对风险给予详细说明的证明材料。 47. 风险处置阶段-风险处置原则确定 仅二级/一级要求:应协助被评估组织确定风险处置原则,以及风险处置原则适用的范围和例外情况。 已完成项目的风险评估报告或建议报告中对风险处置原则及适用的范围和例外情况说明的证明材料。 48. 风险处置阶段-安全整改建议 仅二级/一级要求:对组织不可接受的风险提出风险处置措施。 已完成项目的风险评估报告或建议报告中对组织不可接受的风险提出风险处置措施或建议的证明材料。 49. 风险处置阶段-组织评审会 仅一级要求:协助被评估组织召开评审会。 服务提供者协助被评估组织组织评审会的证明材料,如会议通知、专家签到表、专家意见等。 50. 仅一级要求:依据最终的评审意见进行相应的整改,形成最终的整改材料。 已完成项目的专家评审意见、整改措施及其总结。 51. 风险处置阶段-残余风险处置 仅一级要求:对组织提出完整的风险处置方案。 已完成项目的残余风险处置方案,方案至少包含处置措施、工具、时间计划等内容。 52. 仅一级要求:必要时,对残余风险进行再评估。 已完成项目中对残余风险进行再评估的证明材料。 53. 上一年度提出的观察项整改情况(如有) 54. 55. 56. 上一年度提出的不符合项整改情况(如有) 57. 58. ★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★
自评估结论: 经自主评估,本单位的信息安全风险评估服务满足《信息安全服务 规范》 级要求,申请第三方审核。
|