ITSS(Information Technology Service Standards,信息技术服务标准,简称ITSS)是一套成体系和综合配套的信息技术服务标准库,全面规范了信息技术服务产品及其组成要素,用于指导实施标准化和可信赖的信息技术服务。
ITSS由信息技术服务标准工作组组织研究制定,是信息技术服务行业最佳实践的总结和提升,也是从事信息技术服务研发、供应、推广和应用等各类组织自主创新成果的固化。
01ITSS介绍
01ITSS原理
ITSS借鉴了质量管理原理和过程改进方法的精髓,规定了信息技术服务的组成要素和生命周期,并对其进行标准化。
02ITSS的组成要素有哪些?
ITSS充分借鉴了质量管理原理和过程改进方法的精髓,规定了IT服务的组成要素和生命周期。
组成要素:
IT服务由人员(People)、过程(Process)、技术(Technology)和资源(Resource)组成,简称PPTR。其中:
人员:指提供IT服务所需的人员及其知识、经验和技能要求;
过程:指提供IT服务时,合理利用必要的资源,将输入转化为输出的一组相互关联和结构化的活动;
技术:指交付满足质量要求的IT服务应使用的技术或应具备的技术能力;
资源:指提供IT服务所依存和产生的有形及无形资产。
03ITSS的生命周期如何策划?
生命周期:IT服务生命周期由规划设计(Planning&Design)、部署实施(Implementing)、服务运营(Operation)、持续改进(Improvement)和监督管理(Supervision)5个阶段组成,简称PIOIS。其中:
规划设计:从客户业务战略出发,以需求为中心,参照ITSS对IT服务进行全面系统的战略规划和设计,为IT服务的部署实施做好准备,以确保提供满足客户需求的IT服务;
部署实施:在规划设计基础上,依据ITSS建立管理体系、部署专用工具及服务解决方案;
服务运营:根据服务部署情况,依据ITSS,采用过程方法,全面管理基础设施、服务流程、人员和业务连续性,实现业务运营与IT服务运营融合;
持续改进:根据服务运营的实际情况,定期评审IT服务满足业务运营的情况,以及IT服务本身存在的缺陷,提出改进策略和方案,并对IT服务进行重新规划设计和部署实施,以提高IT服务质量。
监督管理:本阶段主要依据ITSS对IT服务服务质量进行评价,并对服务供方的服务过程、交付结果实施监督和绩效评估。
02ITSS领域及等级之分
01ITSS的内容 :
ITSS的内容即为依据上述原理制定的一系列标准,是一套完整的IT服务标准体系,包含了IT服务的规划设计、部署实施、服务运营、持续改进和监督管理等全生命周期阶段应遵循的标准,涉及咨询设计、运维服务、云服务、数据中心等业务领域。
01咨询设计
这一类主要偏向于咨询设计类公司,企业从过程、人员、方法、资源等方面构建咨询服务管理能力体系,逐步建立起咨询服务管理能力策划、实施、检查和改进的工作机制,推进咨询设计服务能力的建设和提升。对于信息技术咨询设计服务的供需双方都可以选择申请认证。
02运维服务
运维服务能力成熟度模型广泛适用于任何规模和业务领域。对企业来说,确定其运维服务能力建设和改进的目标和途径,可以基于自身的业务基础和管理要求,以成熟度等级为目标,实施全方位的改进,以实现运维服务能力管理的提升。也可以结合自身的能力和管理需要,借鉴ITSS运维模型的具体要求,在选定的区域、要素和环节上进行改进提高。总共分为四个级别,只要公司有相关的运维服务、运维项目都可根据自身的情况进行不同等级的申请。
ITSS四级是最基本的要求,只需要建立ITSS标准要求体系,完全没有指标的考核要求。
ITSS三级在四级的基础上更进一步,对体系的完备性、业务的匹配性、运维工具和监挖工具都提出了高的要求。
ITSS二级在三级的基础上更加注重部门之间的关联和协调性,能够对企业的应急机制提出相应要求。
ITSS一级也是目前最高级的ITSS等级,不仅要求全面的量化管理,还要对技术创新和业务变革产生一定的推动力。
03云服务
云服务能力符合性评估认证主要偏向于业务类型为云服务的企业,用来规范国内云计算服务市场的技术、产品以及方案的能力水平,帮助企业用户辨识云计算服务的优劣,同时评估并优化自身在云服务方面的条件和能力。
云服务能力符合性评估认证一共包含四级,从高到低依次为一级(引领级)、二级(增强级)、三级(基础级)、四级(初始级)。
04数据中心
《信息技术服务 数据中心服务能力成熟度模型》是指导数据中心管理建设、衡量数据中心管理水平的模型,对于规范数据中心管理、强化数据中心运营、保证与业务的一致性、实现收益、控制风险和优化资源等方面具有实用价值和指导意义。数据中心服务能力的改进和提升通过渐进的方式来实现,以逐步提升和改进数据中心服务能力。共分为五个级别,每个成熟度级别表明数据中心服务能力所达到的水平。
8、网络安全审计服务资质认证
网络安全审计是指网络安全审计机构对被审计方所属的计算机信息系统的安全性、可靠性和经济性进行检查、监督,通过获取审计证据并对其进行客观评价所开展的系统的、独立的、形成文件的活动。
网络安全审计服务资质认证是对网络安全审计服务方的基本资格、管理能力、技术能力和网络安全审计过程能力等方面进行评价。
五申请条件
通用评价要求适用于风险评估、安全集成、应急处理、灾难备份与恢复、软件安全开发、安全运维等类别的信息安全服务认证评价,均分为三个级别。
申请一级资质时,要求需要取得信息安全服务(与申报类别一致)二级资质1 年以上。(行业领头企业除外)。
六申请材料
1、服务资质认证申请书:申请单位需填写并提交信息安全服务资质认证申请书。
2、独立法人资格证明材料:申请单位需提供独立法人资格证明文件。
3、从事信息安全服务的相关资质证明:申请单位需提供从事信息安全服务的相关资质证书、信息安全等级保护认证等。
4、工作保密制度及相应组织监管体系的证明材料:申请单位需提供工作保密制度和相关组织监管体系的证明文件。
5、与信息安全风险评估服务人员签订的保密协议复印件:申请单位需提供与信息安全风险评估服务人员签订的保密协议复印件。
6、人员构成与素质证明材料:申请单位需提供关于人员构成、素质和专业技术能力的证明材料。
7、公司组织结构证明材料:申请单位需提供公司组织结构图,以证明组织结构的健全。
8、具备固定办公场所的证明材料:申请单位需提供固定办公场所的证明,如租赁合同、产权证等。
9、项目管理制度文档:申请单位需提供项目管理制度文档,以确保项目实施的规范性。
10、信息安全服务质量管理文件:申请单位需提供信息安全服务质量管理文件,包括质量手册、程序文件、作业指导书等。
11、项目案例及业绩证明材料:申请单位需提供过去完成的信息安全服务项目案例及业绩证明材料,以证明其服务能力和水平。
12、信息安全服务能力证明材料:申请单位需提供具备信息安全服务能力的证明材料,如相关证书、资质、荣誉等。
注意:不同的分项申请条件会有所区别,企业根据自己的实际业务需求申请相应的分项。
七申请流程
认证的基本环节:认证申请与受理—文档审核—现场审核—认证决定—年度监督审核。
认证周期一般是10周,包括自申请被正式受理之日起至颁发认证证书时止所实际发生的时间,不包括由于申请单位准备或补充材料的时间。
