盘点行业常见的资质与认证
1.ISO9001质量管理体系
信息安全管理体系(Information Security Management System,简称ISMS)的概念最初SO9001质量管理体系标准是众多优秀质量管理实践的总结,具有通用性和指导性,质量管理体系确立了组织在质量管理方面需要建立和遵循的基本管理方法。ISO9001认证是指由取得质量管理体系认证资质的第三方认证机构,依据正式发布的质量管理体系标准,对企业的质量管理体系实施评定,颁发认证证书并给予注册公布,以证明企业质量管理和质量保证能力符合ISO9001标准的活动。
2.ISO14001环境管理体系
ISO14001环境管理体系认证,是指依据ISO14001标准由第一方认证机构实施的合格评定活动。认证适用于任何组织,包括企业,事业及相关政府单位,通过认证后可证明该组织在环境管理方面达到了国际水平,能够确保对企业各过程、产品及活动中的各类污染物控制达到相关要求,树立企业形象,提高企业的知名度,促使企业自觉遵守环境法律。法规,促使企业在其生产、经营、服务及其他活动中考虑其对环境的影响,减少环境负荷。
3.ISO45001职业健康安全管理体系
ISO45001(OHSAS18001)全称是职业安全卫生管理标准,是国际上继ISO9000质量管理体系标准和ISO14000环境管理体系标准后,世界各国关注的又一个管理标准。目前,许多国家和地区都依据ISO9001、ISO14001的管理模式制定了相关的职业安全卫生管理体系标准。如欧盟的OSHMS18001等管理体系标准。其目的均是依据近代管理科学理论制定的管理标准来规范企业的职业安全卫生管理行为,促进企业建立现代企业制度,变被动接受政府的监督,被动接受强制性管理为主动接受,自愿参与,预防为主。控制事故的发生,保障劳动者的安全与健康。2018年3月发布的ISO45001标志着在全球范围内完善职业健康和安全标准方面迈出了重要的一步。该标准由国际标准化组织(ISO)发布,可帮助组织在保护自身权益的同时,积极改善伤害预防措施,并有效减少疾病带来的伤害。ISO45001取代了先前的职业健康安全标准,包括OHSAS18001.
4.ISO20000信息技术服务管理体系
2005年12月,英国标准化协会(BSI)在IT服务管理的最佳实践ITIL(信息技术基础架构库)的基础上推出的英国官方标准BS15000,正式升级为国际标准ISO20000。
ISO20000作为组织的IT服务管理的国际标准,它提供了建立、实施、运作、监控、评审、维护和改进IT服务管理活动的模型,通过将IT问题归类,帮助组织识别和管理IT服务的关键过程,识别问题的内在联系,重点从具有共性要求较多的过程要素进行规范,然后依据服务级别协议进行计划、推行和监控,从而保证组织为客户提供有效的IT服务,满足客户业务需求,帮助组织建立高水平的IT服务管理体系。
5.ISO27001信息安全管理体系
信息安全管理体系(Information Security Management System,简称ISMS)的概念最初来源于英国标准学会制定的BS7799-1:1995《信息安全管理实施细则》。
2002年,英国标准学会发布了BS7799-2:2002《信息安全管理体系规范》,2005年10月,该规范通过了国际标准化组织ISO的认可,正式成为国际标准,被广泛接受。
这套标准是建立信息安全管理体系的一套需求规范,其中详细说明了建立、实施和维护信息安全管理体系的要求,指出实施机构应该遵循的风险评估标准。
目前现行的ISO27001:2013标准于2013年10月19日由国际标准化组织(ISO)正式颁布实施。
6.ISO27017云服务信息安全体系
ISO27017是保护云服务安全的国际标准,2015年12月15日正式发布是适用于云服务提供商和云服务客户,该标准主要是为这两种类型客户而设立,是专门针对云计算服务的信息安全控制措施实用标准,为云服务行,提供了ISO/IEC 27002的指南,与ISO/IEC 27001标准配合使用,将有效加强对云服务提供商及云服务客户的管理能力。ISO 27017是云环境下的数据保护国际标准,目标是为云服务提供商和云服务客户提供增强的控制。
ISO/IEC 27017 在为云服务提供商和云服务客户提供指南方面是独一无二的。此外,它还为云服务客户提供有关预期从云服务提供商获得内容的实用信息,通过确保客户了解云中的共同职责,他们可以直接从ISO/IEC 27017 中受益。ISO27017 是基于ISO27002延伸的标准,是针对云服务的提供和使用给出了信息安全控制的要求。
ISO/IEC 27017标准不仅提供了ISO IEC 27002标准中37个控制基于云端的指导方针,而且还介绍了7个全新云控制以解决以下问题:
1负责云服务提供商和云客户之间关系的人是谁
2当合同终止时,资产的移除/归还
3客户虚拟环境的保护和分离
4虚拟机配置
5与云环境相关的管理操作和程序
6云客户监控云中活动
7虚拟和云网络环境的对接
7.ISO27018公有云隐私安全体系
ISO/IEC27018标准是一个旨在保护云计算中个人数据安全的国际标准。又称'公有云个人可识别信息(PII)信息安全管理体系,'公共云中个人身份信息安全体系,'公有云个人隐私保护体系,“云中个人数据安全管理体系,云隐私保护管理体系”等。同时,ISO/IEC 27018是基于ISO27001信息安全管理体系扩展的管理体系,它基于ISO/IEC27002标准,提供了适用于公共云个人身份信息(PII)的 ISO/IEC27002 控制措施实施指导。
ISO/IEC 27018对ISO/IEC27001扩展的体现有两个方面:
一是在原有的ISMS标准的附录A中114个控制条款延展了15%的要求,主要对在公有云中PII 的处理者保护PII 提出了额外的控制要求,并将控制要求更具体化;
二是根据ISO/IEC29100的11个隐私原则增加了11个ISO/IEC27018特定的PII保护附加控制条款。
在信息网络、大数据时代下,针对个人隐私的保护比以往任何时候都重要。鉴于最近发生的多起破坏用户数据的违规行为,对于云提供商来说,确保消费者信息的安全性成了发展第一要务。作为目前国际公认的云个人信息保护的最佳实践,ISO27018已得到诸多跨国云服务提供商和使用者的认可和采纳。
ISO/IEC 27018又称“云隐私保护认证",主要针对云服务商对云中个人数据的安全防护的国际标准认证,旨在为云个人身份信息处理者提供一套实务守则,以保护公共云中的个人身份信息(PII)不受侵犯,是目前国际上最权威、最严格、也是最被广泛接受和应用的信息安全体系认证。
作为最严格的安全防护认证之一,ISO IEC 27018要求公有云服务必须保证清晰的透明度,用户享有对其储存数据完整的控制权,服务商必须将对数据的操作告知用户并得到认同。
ISO/IEC 27018能够确保云服务供应商在处理PII方面有着适当的程序。它还可以帮助制定更强的云服务协议。该标准就Pll的问题,规定了CSPS如何培训员工,需要什么文件程序,并提供了相应的指导方针。ISO/IEC 27018旨在为云服务客户提供真正的透明度,以便客户能够清楚了解云服务供应商商在保护和保护个人数据方面所做的事情。
8.ISO22301业务连续性管理体系
近年来发生的重大灾难性事件,包括自然灾害和人为事件严峻挑战了国家和企业各个系统的恢复及业务连续性的能力。在灾难发生前,企业能否对潜在的灾难加以辨别分析,确定可能发生对企业运作造成影响的威胁,做好预案;灾难发生后能否快速、积极地应对,尽快恢复务并减少灾难事件给企!带来损失,这需要企业在业务连续性管理方面有系统的规划和实施。
业务连续性管理体系(BusinessContinuityManagementSystems,BCMS)是组织整体管理体系的一个部分,用于策划、建立、实施、运行、监视、评审、保持和改进组织自身业务连续性,是识别对组织的潜在威胁以及这些威胁一旦发生可能对业务运行带来的影响的一整套管理过程,用以实施保护,减少中断事件发生的可能性,以及当中断事件发生时准备、响应并恢复,该认证的实施是基于国际标准 GB/T30146/ISO22301。
ISO2230]业务连续性管理体系标准的推出,为组织在业务连续性管理体系的建立和改进提供了整套管理框架,能够更好的帮助组织辨别和分析潜在的灾难,并提供行之有效的突发事件应急管理机制,减少或消除灾难事件给组织带来的业务中断的损失。
ISO 22301适用于所有行业中的大、中、小型公有及私有组织,并且特别适用于处于高风险和高度监管环境下的行业,例如金融业、IT通信业、制造业等。各行各业的企业面对国际及中国地区不断频发地自然灾害及人为事故,其业务运作的不确定性和风险都被大幅度增加,而加强企业业务连续性管理则成为了打造最佳企业应急预案的必备选择。
ISO 22301的目的是计划、实施和运营控制措施和测量来管理组织管理中断事件的整体能力。
9.ISO27701个人隐私信息安全管理体系
ISO/IEC 27701是对ISO/IEC 27001信息安全管理和ISO/IEC 27002安全控制的隐私扩展,全称《安全技术-扩展ISO/IEC 27001和ISO/IEC 27002的隐私信息管理一要求与指南》,它是ISO标准委员会以ISO 27001为基准,以ISO 27552为蓝本,建立发布的隐私信息管理体系标准,为保护个人隐私提供指导。ISO/IEC 27701标准的发布,填补了隐私信息管理体系的空白,将隐私保护的原则、理念和方法,融入到信息安全保护体系中,并目对PII控制者和PI处理者进行了较为详细目落地性强的规定,给企业在隐私保护和信息安全方面给出了指导建议。
ISO/IEC 27701标准设计的目的在于借助更多的要求增强现有ISO27001信息安全管理体系(ISMS),以建立、实施、维护和持续改进ISO27701隐私信息管理体系(PIMS)。标准概述了适用干个人身份信息(PI)控制者和 PI处理者的框架,以有效管理隐私控制,降低个人隐私权面临的风险。它适用于所有类型和规模的组织,包括公共和私营公司、政府实体以及非盈利组织。
10.ISO38505数据治理安全管理体系
ISO(国际标准化组织)于2008年推出第一个IT治理的国际标准:ISO 38500,随后在2015年巴西会议上形成决议,将数据治理国际标准分为两个部分:ISO IEC 38505-1《基于ISO/IEC 38500的数据治理》(以下称ISO 38505-1)和ISO IEC TR 38505-2《数据治理对数据管理的影响》。目前,ISO/IEC 38505-1已正式发布,并沿用了ISO38500IT治理框架的原则及模型。
ISO 38505-1阐述了数据治理的意义,明确了治理主体的职责以及对数据治理监督机制的要求,提出了数据治理框架(包括目标、原则和模型)以帮助治理主体评估、指导和监督数据利用的过程。
在目标方面,ISO 38505-1认为数据治理应在提升利用数据价值的同时,确保合规约束和风险管控:在原则方面,ISO 38505-1沿用了IT治理的六条基本原则:职责Responsibility)、战略(Strategy、获取Acquisition、绩效Performance、合规(Conformance)和人员行为(Human behavior),并具体阐述了这些原则如何指导数据治理中的决策:在模型方面,ISO 38505-1认为治理主体应运用评估(Evaluate)-指导(Direct)-监督(Monitor)的EDM模型来开展数据治理工作.。
11.ISO29151个人身份信息保护指南
ISO/IEC29151:2017认证是国际通行的个人身份信息保护指南,涵盖26个控制域,181条控制措施,充分控制个人身份信息(PII)相关的风险,适用于任何对隐私保护有需求的组织,对开展个人身份信息保护提供了一个广泛的指南。ISO/IEC 29151是国际标准化组织和国际电工委员会共同发布的关于处理个人可识别信息(PersonallyIdentifiable Information,PIl)的控制措施和指南,以满足与保护 PII有关的风险评估和隐私影响评估所确定的要求。该标准基于ISO/IEC 27002的基本结构,将ISO/IFC29100中的隐私原则予以对应,形成实用目针对性强的PI保护措施,供组织使用。ISO 29151是个人信息保护的行为准则,是个人身份信息保护的实践指南,侧重干隐私技术,它主要是基于ISO 27002的各个域中加入了PI的实施指南,并引入了ISO 29100+一个隐私保护原则。
结合ISO29151标准要求,当组织或项目涉及以下情景时,需要PIA(隐私影响评估)的执行:1开发或处理PI的信息系统进行重大改变时,应该进行PIA:2任何新项目的启动都应触发阈值分析,以确定是否需要进行PIA:3进行涉及PII资产和处理PI的所有系统的资产清单的建立、维护和更新时,需要参考PIA报告:4开发和维护库存时,需要从PIAS中提取关干信息系统处理PI的信息元素:5当组织正在处理PI,组织应该建立进行PIA所需的程序:6为确保与PII处理相关的计划和服务符合隐私保护要求,组织应该执行PIA并实施所产生的隐私处理计划。
12.CCRC信息安全服务资质
信息安全服务资质是信息安全服务机构提供安全服务的一种资格,包括法律地位、资源状况、管理水平、 技术能力等方面的要求。信息安全服务资质认证是依据国家法律法规、国家标准、行业标准和技术规范,按照认证基本规范及认证规则,对提供信息安全服务机构的信息安全服务资质进行评价。
申请类别:
安全集成、安全运维、风险评估、应急处理、软件安全开发、灾难备份与恢复、网络安全审计七大类
资质级别:
三级(最低)|二级|一级(最高)
13.信息系统安全等级保护2.0
等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息
安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。随着信息技术的发展,等级保护对象已经从狭义的信息系统,扩展到网络基础设施、云计算平台系统、大数据平台/系统、物联网、工业控制系统、采用移动互联技术的系统等,基于新技术和新手段提出新的分等级的技术防护机制和完善的管理手段是等级保护2.0标准必须考虑的内容。“等级保护2.0”或“等保2.0”是一个约定俗成的说法,指按新的等级保护标准规范开展工作的统称。通常认为是《中华人民共和国网络安全法》颁布实行后提出,以2019年12月1日,网络安全等级保护基本要求、测评要求和设计技术要求更新发布新版本为象征性标志。
等保2.0将原来的标准《信息安全技术 信息系统安全等级保护基本要求》改为《信息安全技术 网络安全等级保护基本要求》,与《中华人民共和国网络安全法》中的相关法律条文保持一致。
等保2.0将原来各个级别的安全要求分为安全通用要求和安全扩展要求,其中安全扩展要求包括安全扩展要求云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求以及工业控制系统安全扩展要求。安全通用要求是不管等级保护对象形态如何必须满足的要求。
等保2.0中旧标准的10个分类调整为8个分类,分别为;技术部分;物理和环境安全网络和通信安全、设备和计算安全、应用和数据安全;管理部分:安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理。
14.中国国家信息安全产品认证
中国网络安全审查技术与认证中心开展的IT产品信息安全认证业务,是依据信息技术安全评估准则和相关技术要求,对IT产品的安全性进行评价,旨在保护用户信息安全,维护用户利益。生产企、的I产品获得信息安全认证证书,表明该产品符合相应的标准和技术要求。
根据《中华人民共和国产品质量法》、《中华人民共和国标准化法》、《中华人民共和国进出口商品检验法》、《中华人民共和国认证认可条例》、《强制性产品认证管理规定》和《关于建立国家信息安全产品认证认可体系的通知》,决定对部分信息安全产品实施强制性认证,发布了《第一批信息安全产品强制性认证目录》。
凡列入强制性认证目录内的信息安全产品,未获得《中国国家信息安全产品认证证书》,不得出厂、销售、进口或在其他经营活动中使用。
15.CCIA信息系统业务安全服务资质
信息系统业务安全服务是指在业务系统信息化工程全生命周期内提供的包括保障信息系统的合理设计、顺利建立、安全运行、数据及各种指标安全保密、问题及故障及时排除、功能及业务模式正常升级等等在内的所有服务行为的统称。
信息系统业务安全服务能力评定是指依据《信息化建设企业信息系统业务安全服务能力评定标准》,对信息化建设企业信息系统业务安全服务能力的符合性评价,包括综合条件、财务状况、业绩要求、管理能力、技术实力、人才保障六个方面。
通过评定,可以充分展现信息化建设企业的行业专业服务方向和安全服务水平,同时也为相关管理部门开展行数据采集与分析,信息化建设重方选择信息化建设企、提供更专业、更具针对性的评价依据。
纵向上,《信息系统业务安全服务资质》以信息化建设企业的服务能力为标准分三个级别,由高到低分为一、二、三级,分别对应专业级、业务级、基础级的信息化建设能力水平。
横向上,《信息系统业务安全服务资质》以信息化建设企业的服务行业方向为标准,划分为8个行业方向:政府、公共服务、金融、电信、军工、商业、能源、工业企业。
16.CNITSEC信息安全服务资质
中国信息安全测评中心CNITSEC信息安全服务资质是信息安全服务机构提供安全服务的一种资格,包括法律地位、资源状况、管理水平、 技术能力等方面的要求。信息安全服务资质认证是依据国家法律法规、国家标准、行业标准和技术规范,按照认证基本规范及认证规则,对提供信息安全服务机构的信息安全服务资质进行评价。
申请类别:
信息安全工程、信息安全灾难恢复、安全开发、风险评估、信息系统审计、云计算安全、大数据安全等七大类
资质级别:
三级(最高)|二级|一级(最低)
17.ITSS运行维护标准
ITSS(Information Technology Service Standards,信息技术服务标准,简称ITSS)是一套成体系和综合配套的信息技术服务标准库,全面规范了IT服务产品及其组成要素,用于指导实施标准化和可信赖的灯服务,是一套完整的T服务标准体系,包含了IT服务的规划设计、部署实施、服务运营、持续改进和监督管理等全生命周期阶段应遵循的标准,涉及咨询设计、集成实施、运行维护、服务管控、服务运营和服务外包等业务领域。
ITSS运行维护是供方依据需方提出的服务级别要求,采用相关的方法、手段、技术、制度、过程和文档等,针对运行维护服务对象提供的综合服务。
适用于以下信息技术服务单位的符合性评估活动:
1.实施《信息技术服务运行维护第]部分:通用要求》(以下称《通用要求》的需方单位。
2.实施《信息技术服务运行维护服务能力成熟度模型》(以下称《能力成熟度》)的基本级(四级)、拓展级(三级)、改进(协同)级(二级)、提升(量化)级(一级)等供方单位。
18.ITSS云计算服务能力标准
ITSS (Information Technology Service Standards,信息技术服务标准,简称 ITSS)是一套成体系和综合配套的信息技术服务标准库,全面规范了IT服务产品及其组成要素,用于指导实施标准化和可信赖的IT服务,是一套完整的IT服务标准体系,包含了IT服务的规划设计、部署实施、服务运营、持续改进和监督管理等全生命周期阶段应尊循的标准,涉及咨询设计、集成实施、运行维护、服务管控、服务运营和服务外包等业务领域。
而ITSS云服务能力评估则是基于云服务提供商的IT服务技术、人员、过程以及基础设施资源,对云服务提供能力开展的全方位评估,覆盖信息技术服务安全标准体系的事前预防、事中控制、事后审计服务以及整个过程的持续改进等关键方面。为加快规范云计算服务市场、推动提升云计算服务能力提升,自2016年起,工信部便委托中电标协,依托GBT36326-2018《信息技术云计算云服务运营通用要求》国家标准,组织第三方评估机构开展与云服务能力相关的评估工作,并就业务水平予以认证。
ITSS云计算服务能力标准符合性评估目前主要包括laaS(分为公有云和私有云)SaaS两大类。依据能力指标分为以下不同等级,其中:(1)laaS能力评估分为四个等级,从低到高依次为:初始级(四级)、基础级(三级)、增强级(二级)、引领级(一级)。(2)SaaS能力评估分为三个等级,从低到高依次为:基础级(三级)、增强级(二级)、引领级(一级)。
19.ITSS咨询设计标准
《信息技术服务 咨询设计 第1部分:通用要求》
ITSS (Information Technology Service Standards,信息技术服务标准,简称ITSS)是一套成体系和综合配套的信息技术服务标准库,全面规范了IT服务产品及其组成要素,用于指导实施标准化和可信赖的IT服务,是一套完整的IT服务标准体系,包含了I服务的规划设计、部署实施、服务运营,持续改进和监督管理等全生命周期阶段应遵循的标准,涉及咨询设计、集成实施、运行维护、服务管控、服务运营和服务外包等业务领域。
ITSS咨询设计标准适用干信息技术服务单位依据《信息技术服务咨询设计第]部分通用要求》(以下称通用要求)开展的符合性评估活动,ITSS咨询设计符合性评估是由ITSS分会组织对被评估企业在咨询设计服务上的服务能力管理、人员管理、资源管理、技术研发、过程管理五大环节的综合性评估,证明该单位在咨询设计的信息技术服务能力符合ITSS标准的要求。
20.CMMI软件研发能力成熟度
CMMI全称是Capability Maturity ModelIntegration,即软件能力成熟度模型集成。CMMI是一套融合多学科、可扩充的产品集合, 其初步动机是为了利用两个或多个单一学科的模型实现一个组织的集成化过程改进。CMMI的本质是软件管理工程的一个部分,软件过程改善是当前软件管理工程的核心问题。CMMI是目前世界公认的软件产品进入国际市场的通行证,它不仅仅是对产品质量的认证,更是一种软件过程改善的途径。通过CMMI的评估认证不是目标,它只是推动软件企业在产品的研发、生产、服务和管理上不断成熟和进步的手段,是一种持续提升和完善企业自身能力的过程, CMMI主要关注点就是成本效益、明确重点、过程集中和灵活性四个方面,软件能力成熟度集成模型集成(CMMI)为改进一个组织的各种过程提供了一个单一的集成化框架,新的集成模型框架消除了各个模型的不一致性,减少了模型间的重复,增加透明度和理解,建立了一个自动的、可扩展的框架。因而能够从总体上改进组织的质量和效率。
CMMI 是以多个基本成熟度模型为基础综合生成的,分别是面向开发的 CMMI forDEV、面向服务的 CMMI for Service、面向采购的 CMMI for Acquisition开发模型(CMMI for DEV):主要针对IT项目或产品开发,模型中积累了行业在项目或产品开发方面的最佳实践,模型中把这些最佳实践分为5个层次,成为成熟度层次,所有的研发企业或企业的研发实体都能对应到这5个层次上,目前国内政府和企业推广的CMMI主要也是开发模型CMMI
采购模型(CMMI for Acquisition):采购模型为IT应用的甲方服务,基于采购模型。甲方可以建立发包或分包管理体系,用于管理公方的开发全过程。目前采购模型在通信领域(中国移动、中国联通等)和金融领域(建行、保险公司等)应用较广泛。
服务模型(CMMI for Service):服务模型是在ITIL(IT基础设施库)基础上发展起来的,针对如何管理工服务。当项目或产品开发完成后,就进入服务阶段,比如质量问题修改、小的功能升级、应用部署、培训等等,服务是直接为客户创造价值的,应用服务模型能很好管理提供给客户的服务,提升客户满意度的同时,为服务提供商创造可观的商业价值。
21.SPCA软件过程及能力成熟度评估
全称:软件过程及能力成熟度评估
简称:SPCA双模认证
评估标准:SJ/T11234《软件过程能力评估模型》和 SJ/T11235《软件能力成熟度模型》
授权认可机构:中国合格评定国家认可委员会(简称CNAS)
评估方法:《软件过程及能力成熟度评估指南》
22.DCMM数据管理能力成熟度
DCMM是国家标准《GB T36073-2018 数据管理能力成熟度评估模型》(Data management Capability Maturity Model)的英文简称。
DCMM是我国在数据管理领域首个正式发布的国家标准,旨在帮助企业利用先进的数据管理理念和方法,建立和评价自身数据管理能力,持续完善数据管理组织、程序和制度,充分发挥数据在促进企业向信息化、数字化、智能化发展方面的价值。
DCMM数据管理能力成熟度评估模型定义了数据战略、数据治理、数据架构、数据应用、数据安全、数据质量、数据标准和数据生存周期八个核心能力域及28个能力项445条标准进行评估。
DCMM将数据管理能力成熟度划分为五个等级,自低向高依次为初始级(1级)、受管理级(2级)、稳健级(3级)、量化管理级(4级)和优化级(5级),不同等级代表企业数据管理和应用的成熟度水平不同。
DCMM适用干对数据管理有要求的所有组织,具体来说分为数据押有方(甲方)和信息技术服务方(乙方)。数据拥有方(甲方),即是自身拥有大量数据的企业或机构,需要对自身数据进行管理。如:金融与保险机构、电商平台企业、互联网企业、电信运营商、工业企业、高校、政务数据中心等;信息技术服务方(乙方),自身并不拥有大量数据,但对外输出数据管理的能力和相关服务。如:数据开发/运营商、信息系统建设和服务提供商、信息技术服务提供商等。
23.DSMM数据安全能力成熟度
DSMM是Data Security capability MaturityModel的缩写,中文名为数据安全能力成熟度模型,是以2019-08-30 发布,2020-03-01 实施的GB/T37988-2019 《信息安全技术数据安全能力成熟度模型》为依据的数据安全保护体系。
数据安全能力成熟度认证(DSMM)依据国标《信息安全技术 数据安全能力成熟度模型》(GB/T37988-2019)的相关内容,围绕数据生存周期过程中经历的多个阶段及数据通用安全,从组织建设、制度流程、技术工具、人员能力共四个维度对企业数据安全能力进行评估,该标准可作为一套方法理论,为企,在建设数据安全体系过程中提供指南,帮助组织发现自身数据安全存在的问题,识别差距并制定相关策略,建立完善数据安全体系,最终提升行业竞争力,满足国家法规责任落实要求,标准涵盖5个成熟度级别、30个数据安全能力过程域和576个基本实践,目前该标准已在金融、医疗、公共通信和信息服务等多个领域落地使用。
DSMM的架构中四个安全能力维度,十个安全过程维度,五个安全能力等级构成。
四个安全能力维度:组织建设、制度流程、技术工具、人员能力;
七个安全过程维度:数据采集安全、数据传输安全、数据存储安全、数据处理安全。
数据交换安全、数据销毁安全、通用安全,共计30个过程域:五个安全能力等级:从低到高依次1至5级。
DSMM标准的适用范围非常广泛,没有行业的限制,对数据安全有需求,关注自身数据安全能力建设情况的组织均适合申请DSMM,包括但不限于数据运营组织、数据处理组织、数据服务提供组织等。
24.涉密信息系统集成资质
涉密信息系统集成,是指涉密信息系统的规划、设计、建设、监理和运行维护等活动。涉密信息系统集成资质是指保密行政管理部门许可企业事业单位从事涉密信息系统集成务的法定资格。国家机关和涉及国家秘密的单位应当选择具有涉密集成资质的单位承接涉密集成务。
涉密集成资质分为甲级和乙级两个等级,甲级资质单位可以从事绝密级、机密级和秘密级涉密集成业务;乙级资质单位可以从事机密级、秘密级涉密集成业务。
涉密集成资质包括总体集成、系统咨询、软件开发、安防监控、屏蔽室建设、运行维护。数据恢复,工程监理,以及国家保密行政管理部门许可的其他涉密集成业务。取得总体集成务种类许可的,除从事系统集成务外,还可从事软件开发,安防监控和所承建系统的运行维护业务。
25. 双软评估
双软评估是指软件企业评估及软件产品评估,2015年3月15日国家取消双软认证的行政审批,改为由各省软件行业协会牵头进行“双软评估"相关工作。“双软评估”的意义是判断企业是否具备软件企业的基本属性,可以帮助企业证实其从事软件开发和服务的能力,帮助需方评价和选择软件产品或软件服务的提供者,帮助政府相关管理部门对软件企业能力进行事中事后监管核查。
软件企业评估及软件产品评估是依据中国软件行业协会《软件企业评估标准》(T/SIA002-2017)及《软件产品评估标准》(T/SIA003-2017),根据其授权开展的社会性第三方资信评价活动。主要用于市场开拓、投融资等场景下对软件企业主营业务及软件开发经验的评价参考。软件企业评估采用自愿原则,一般由企业自行申请评估,也可由相关机构委托评估。
申请软件产品登记,对增值税一般纳税人销售其自行开发生产的软件产品,对其增值税实际税负超过3%的部分实行即征即退政策,所退税款由企业用于研究开发软件产品和扩大再生产,不作为企业所得税应税收入,不予征收企业所得税。
26.移动互联网应用程序APP安全认证
移动互联网应用程序(App)由于其便捷性、普惠性、及时性被民众广泛应用,在促进经济社会发展、服务民生等方面发挥了重要的作用。但与此同时,App强制授权、过度索权、超范围收集个人信息的现象普遍存在,个人信息泄露、滥用等情形时有发生,广大网民对此反映强烈。为保障个人信息安全,维护广大网民合法权益,我国从2017年开始对App收集使用个人信息的行为开展了专项评估、检测工作。
2019年至今,国家有关部门针对移动互联网应用程序(以下称"App”)收集使用个人信息陆续出台了一系列政策指南及实施细则,App收集使用个人信息行为是否合法合规早已成为公众热点和监管重点。2019年3月13日,市场监管总局联合中央网信办发布了《关于开展App安全认证工作的公告》,两部门明确提出了App安全认证的实施细则、责任单位、责任义务和结果采信等方面的程序要求,鼓励App运营者自愿进行App安全认证,由中国网络安全审查技术与认证中心作为从事App安全认证的认证机构,确定检测机构依据国家标准对App收集,存储、传输,处理,使用个人信息等活动进行评价,符合要求后颁发安全认证证书,并允许使用认证标识。自此,在中央网信办、工信部、公安部、市场监管总局“App违法违规收集使用个人信息专项治理"工作的基础上,App个人信息安全又多了一重以认证方式建立的长效保障机制。
App安全认证的模式为:技术验证+现场审核+获证后监督。App安全认证的认证依据为GB/T35273《信息安全技术个人信息安全规范》及相关标准、规范。认证机构依据GB/T35273制定了《移动互联网应用程序(App)安全评价指标》,该指标明确了技术验证的内容、方法和评价准则,作为检测机构对App进行技术验证的依据。
依据标准:App安全认证活动依据《移动互联网应用程序(App)安全认证实施规则》审核标准:根据GB/T35273-2020《信息安全技术个人信息安全规范》,该标准实施日期为2020年10月1日。
27.IT产品信息安全认证
IT产品信息安全认证业务,是依据信息技术安全评估准则和相关技术要求,对产品的安全性进行评价,旨在保护用户信息安全,维护用户利益。生产企、的门产品获得信息安全认证证书,表明该产品符合相应的标准和技术要求。
根据IT产品分类,有关部门发布了《第一批信息安全产品强制性认证目录》,凡列入强制性认证目录内的信息安全产品,需获得《中国国家信息安全产品认证证书》认证,未列入认证目录的产品,如需进行产品安全认证,则可依据《IT产品信息安全认证实施规则》,向认证机构申请产品的自愿性认证,认证通过后,申请产品可获得《IT产品信息安全认证证书》。
28.网络安全设备和网络安全专用产品
为加强网络关键设备和网络安全专用产品安全管理,依据《中华人民共和国网络安全法》,国家互联网信息办公室会同工业和信息化部、公安部、国家认证认可监督管理委员会等部门制定了《网络关键设备和网络安全专用产品目录(第一批)》,自印发之日起施行。
一、列入《网络关键设备和网络安全专用产品目录》的设备和产品,应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。具备资格的机构指国家认证认可监督管理委员会、工业和信息化部、公安部、国家互联网信息办公室按照国家有关规定共同认定的机构。
二、网络关键设备和网络安全专用产品认证或者检测委托人,选择具备资格的机构进行安全认证或者安全检测。
三、网络关键设备、网络安全专用产品选择安全检测方式的,经安全检测符合要求后,由检测机构将网络关键设备、网络安全专用产品检测结果(含本公告发布之前严经本机构安全检测符合要求,且在有效期内的设备与产品)依照相关规定分别报工业和信息化部、公安部。
选择安全认证方式的,经安全认证合格后,由认证机构将认证结果(含本公告发布之前已经本机构安全认证合格、且在有效期内的设备与产品)依照相关规定报国家认证认可监督管理委员会。
29.信息系统安全专用产品销售许可证
计算机信息系统安全专用产品,是指用于保护计算机信息系统安全的专用硬件和软件产品。
计算机信息系统安全销售许可证(以下简称销售许可证),是中华人民共和国公安部公共信息网络安全监察局依据《中华人民共和国计算机信息系统安全保护条例》、《计算机信息系统安全专用产品检测和销售许可证管理办法》、《计算机病毒防治管理办法》颁发的证件。
公安部计算机管理监察部门负责销售许可证的审批颁发工作和安全专用产品安全功能检测机构的审批工作。地(市)级以上人民政府公安机关负责销售许可证的监督检查工作。
《中华人民共和国计算机信息系统安全保护条例》第十六条 国家对计算机信息系统安全专用产品的销售实行许可证制度。具体办法由公安部会同有关部门制定,《计算机信息系统安全专用产品检测和销售许可证管理办法》第三条 中华人民共和国境内的安全专用产品进入市场销售,实行销售许可证制度。安全专用产品的生产者在其产品进入市场锁售之前,必须申领《计算机信息系统安全专用产品销售许可证》(以下简称销售许可证)。
《计算机信息系统安全专用产品检测和销售许可证管理办法》第四条 安全专用产品的生产者审领销售许可证,必须对其产品进行安全功能检测和认定。
《计算机信息系统安全专用产品检测和销售许可证管理办法》第十七条 已取得销售许可证的安全专用产品,生产者应当在固定位置标明"销售许可"标记。任何单位和个人不得销售无"销售许可"标记的全专用产品。(计算机信息系统安全专用产品检测和销售许可证管理办法》第十八条 销售许可证只对所申请销售的安全专用产品有效。当安全专用产品的功能发生改变时,必须重新电领销售许可证。
30.软件产品登记测试报告
软件产品登记测试是指检测机构按照委托方提供的测试功能点,对其指定的软件产品进行功能性的检测和验证,确保这些功能都得以实现并能正常运行。由第三方专业测评机构测试出具的《软件产品登记测试报告》,可用于企业软件产品政策类申报。
软件产品登记测试报告是销售退税、双软评估、高新技术认定的必备材料,在高新技术企业评定中可作为科技成果转化的有力证明材料。
需要注意的是,不是每个测试机构都可以出具软件产品登记测试报告,或者说不是每一家出的都是有效力的,都是被专业业界和政府认可的。能够出具该类资质的检测机构都是通过了中国合格评定国家认可委员会对应行业类别的检测认证的,也就是简称的CNAS资质。
31.知识产权管理体系贯标
知识产权管理是指对知识产权工作加以计划、组织、领导和控制的活动和过程。知识产权管理的内容包括知识产权战略规划,知识产权管理机构的设置,知识产权管理制度的制定,知识产权的取得、利用、保护,包括:研发、设计、创作、申请、注册、控制市场、许可、转让、抵细、诉讼、仲裁。
知识产权管理体系认证:企业按照国家标准的要求建立或完善知识产权管理体系,通过第三方认证机构的评审,获得认证,以提升企业知识产权管理及运用水平,增强企业核心竞争力。
知识产权管理贯标,即贯彻、实施《知识产权管理规范》国家标准。
针对不同类型的组织,《知识产权管理规范》又分为以下三类:
《企业知识产权管理规范》国家标准中国家知识产权局制订,经中国家质量监督检验检疫总局、国家标准化管理委员会批准颁布,于2013年3月1日起实施。知识产权贯标的目的是认真贯彻落实《国家知识产权战略纲要》,为企建立知识产权工作的规范体系,加强对企业知识产权工作的引导,指导和帮助企业进一步强化知识产权创造、运用,管理和保护,增强企,自主创新能力,实现企,对知识产权的科学管理和战略运用,从而提高企业在国际、国内市场核心竞争力。
《科研组织知识产权管理规范》(GBT33250-2016)干2016年]2月13日发布、2017年01月01日实施。该标准指导科研组织依据法律法规,基于科研组织的职责定位和发展目标,制定并实施知识产权战略,科研组织根据自身发展需求、创新方向及特点等,建立符合实际的知识产权管理体系。通过实施该标准,实现全过程知识产权管理,增强科研组织技术创新能力,提升知识产权质量和效益,促进知识产权的价值实现。
《高等学校知识产权管理规范》(GBT33251-2016)于2016年12月13日发布、2017年01月01日实施。该标准指导高等学校依据法律法规,基于自身状况和发展战略,将知识产权有效地融合到高等学校的科学研究、社会服务、人才培养、文化传承创新中,制定并实施知识产权战略,高等学校根据自身发展需求、创新方向及特点等,建立符合实际的知识产权管理体系。通过实施该标准,实现全过程知识产权管理,提高科技创新能力,促进科技创新成果的价值实现。
32.安防工程企业设计施工维护能力
信息安全管理体系(Information Security Management System,简称ISMS)的概念最初来源于英国标准学会制定的BS7799-1:1995《信息安全管理实施细则》。
2002年,英国标准学会发布了BS7799-2:2002《信息安全管理体系规范》,2005年10月,该规范通过了国际标准化组织ISO的认可,正式成为国际标准,被广泛接受。
这套标准是建立信息安全管理体系的一套需求规范,其中详细说明了建立、实施和维护信息安全管理体系的要求,指出实施机构应该遵循的风险评估标准。
目前现行的ISO27001:2013标准于2013年10月19日由国际标准化组织(ISO)正式颁布实施。
33.商品五星售后服务评价
《商品售后服务评价体系》(SB/T-10401-2006)是由中国商业联合会提出、起草并归口的中华人民共和国商业行业标准,于2006年5月12日由商务部正式发布,并已于2006年10月1日实施。2011年,《商品售后服务评价体系》(GB/T27922-2011)上升为国家标准,并于2012年2月1日起执行。GB/T27922-2011标准设计的评价指标分为售后服务体系、商品服务、顾客服务三个层面。
1.对售后服务体系的评审,主要从组织架构、人员配置、资源配置、规范要求、监督改进、服务文化方面进行考查。主要评价其体系是否完整,架构是否合理,制度是否完善,资源和人员是否充分,以及在售后服务管理方面的监督和改进的要求,以及对服务文化的自贯。主要是对企,建立的售后服务体系及相应的准备和管理进行的评审。
2.对商品服务的评审,主要根据商品和服务的特性,从商品信息,到技术支持,再到配送维修、质量保证等方面,同时还有贯穿该过程的有关服务管理和执行活动,进行综合的评审,主要评审其售后服务面,服务效果,服务深度等,还包括对企业的售后服务现场/网点的检查。
3.对顾客服务的评审,主要从顾客关系、投诉处理两方面的服务活动进行考量,主要评审与客户次询、沟通、关系维护方面的工作,以及投诉处理的解决效果等。
核心内容可分“评价指标”和“评价方法”两部分。"评价指标”部分主要是规定了用干商品售后服务评价的指标及其含义,具体分为“三个指标大类,十五个指标”。
售后服务体系的指标,强调企在售后服务的组织,管理、资源等基础条件方面所做出的努力;商品服务的指标,强调对企业在围绕“商品”所开展的有关服务活动和服务行为的规范:顾客服务的指标,强调对企业在与顾客的交往过程中,应注重的服务问题和服务行为的规定,十五个指标包括:组织架构、人员配置、资源配置、规范要求、监督、改进、服务文化、商品信息、技术支持、配送、维修、质量保证、废弃商品回收、客户关系、投诉处理。每个指标设有分值,指标分值的划分,都是通过大量的调查研究和统计分析、评价实践。而“评价方法”部分主要规定了在售后服务评价活动执行过程中的基本程序和如何评分、如何计算评分值等问题。国标《商品售后服务评价体系》规定在评价时采用文件调查和现场调查的方式,包括查阅文件和记录,询问工作人员,观察现场,访问顾客等,评分依据,调查中发现的指标的实施情况。满分为100分,具体分为:售后服务体系40分;商品服务35分;顾客服务25分,标准根据评分值评定企业售后服务水平,并以不同级别区分优质程度。评分达到70分(含70分)为标准的最低要求。70分以下,为评价不合格。对于评分达到70分的企业,按照以下要求进行级别划分:达到70分(含70分)以上,达标级售后服务:达到80分(含80分)以上,三星级售后服务;达到90分(含90分)以上,四星级售后服务;达到95分(含95分)以上,五星级售后服务。
