運維服務資質認證簡介
通過技術設施評估,技術設施加固,漏洞補丁通告、事件響應以及信息運維咨詢,協助組織的信息系統管理人員進行信息系統的運維工作,以發現并修復信息系統中所存在的隱患,降低隱患被非法利用的可能性,并在隱患被利用后及時加以響應。
運維資質認證是對運維服務方的基本資格、管理能力、技術能力和運維過程能力等方面進行評價。運維服務資質級別是衡量服務提供方的運維服務資格和能力的尺度。
資質級別分為一級、二級、三級共三個級別,其中一級,三級。
適用范圍
信息服務資質認證是依據國家認證認可法律法規、相關技術標準和規范,對信息服務
提供者的資質進行評價的合格評定活動。
本規則規定了信息服務提供者(以下簡稱服務提供者)應具備的通用評價要求、專業評價
要求以及認證機構開展服務資質認證的程序。
本規則可用于第三方機構對服務提供者進行資信和能力評價,可作為服務提供者開展自我評價
的依據,并可為政府及有關社會組織選擇服務提供者提供依據。
規范性引用文件
下列文件中的條款通過本文件引用而成為本文件的條款。凡是注日期的引用文件,其隨后所有
的修改單(不包括勘誤的內容)或修訂版均不適用于本文件,然而,鼓勵根據本文件達成協議的各
方研究可使用這些文件的版本。凡是不注日期的引用文件,其版本適用于本文件。
CNCA/CTS 0052-2007《信息服務資質認證技術規范》
YDT1799-2008《網絡與信息應急處理服務資質評估方法》
ISCCC-SV-002:2010《信息風險評估服務資質認證實施規則》
ISCCC-SV-003:2014《信息系統集成服務資質認證實施規則》
ISCCC-SV-004:2012《信息系統災難備份與恢復服務資質認證實施規則》
GB/T 5271.8-2001《信息技術詞匯第8部分:》中的術語和定義適用于本標準。
術語與定義
3.1. 信息服務
由供應商、組織機構或人員執行的一個過程或任務。(ISO/IEC TR 15443-1:2005《信息技術
技術 信息技術保障框架 部分:總攬和框架》)
3.2. 信息服務資質
信息服務資質是信息服務機構提供服務的一種資格,包括法律地位、資源狀況、
管理水平、 技術能力等方面的要求。
3.3. 信息風險評估
運用科學的方法和手段,系統地分析網絡與信息系統所面臨的威脅及其存在的脆弱性,評估安
全事件一旦發生可能造成的危害程度,提出有針對性的抵御威脅的防護對策和整改措施,以求防范
和化解信息風險,或將風險控制在可接受的水平。
3.4. 信息應急處理
制定應急處理計劃,組織實施演練,并在出現網絡與信息系統事故時,及時實施應急處理
計劃的過程。
3.5. 信息系統集成
在從事網絡系統、應用系統、安防系統、建筑智能化系統的集成過程中,所進行的需求界
定、設計、實施、保障等活動。
3.6. 信息系統災難備份與恢復
將信息系統的數據、數據處理系統、網絡系統、基礎設施、專業技術支持能力和運行管理能力
進行備份,并在災難發生時,將信息系統從災難造成的故障或癱瘓狀態恢復到可正常運行狀態、將
其支持的業務功能從災難造成的不正常狀態恢復到可接受狀態的活動,分為資源服務類(A 類)、技
術服務類(B 類)兩個類別。
3.7. 軟件開發
通過對軟件開發過程的控制,將開發的軟件存在的風險控制在可接受的水平。
3.8. 信息系統運維
通過技術設施評估,技術設施加固,漏洞補丁通告、事件響應以及信息
運維咨詢,協助組織的信息系統管理人員進行信息系統的運維工作,以發現并修復信息系統中
所存在的隱患,降低隱患被非法利用的可能性,并在隱患被利用后及時加以響應。
通用評價要求
通用評價要求適用于風險評估、集成、應急處理、災難備份與恢復、軟件開發、
運維等類別的信息服務認證評價,均分為三個級別,其中一級。
