運(yùn)維服務(wù)資質(zhì)認(rèn)證簡介

通過技術(shù)設(shè)施評(píng)估，技術(shù)設(shè)施加固，漏洞補(bǔ)丁通告、事件響應(yīng)以及信息運(yùn)維咨詢，協(xié)助組織的信息系統(tǒng)管理人員進(jìn)行信息系統(tǒng)的運(yùn)維工作，以發(fā)現(xiàn)并修復(fù)信息系統(tǒng)中所存在的隱患，降低隱患被非法利用的可能性，并在隱患被利用后及時(shí)加以響應(yīng)。

運(yùn)維資質(zhì)認(rèn)證是對(duì)運(yùn)維服務(wù)方的基本資格、管理能力、技術(shù)能力和運(yùn)維過程能力等方面進(jìn)行評(píng)價(jià)。運(yùn)維服務(wù)資質(zhì)級(jí)別是衡量服務(wù)提供方的運(yùn)維服務(wù)資格和能力的尺度。

資質(zhì)級(jí)別分為一級(jí)、二級(jí)、三級(jí)共三個(gè)級(jí)別，其中一級(jí)，三級(jí)。

適用范圍

信息服務(wù)資質(zhì)認(rèn)證是依據(jù)國家認(rèn)證認(rèn)可法律法規(guī)、相關(guān)技術(shù)標(biāo)準(zhǔn)和規(guī)范，對(duì)信息服務(wù)

提供者的資質(zhì)進(jìn)行評(píng)價(jià)的合格評(píng)定活動(dòng)。

本規(guī)則規(guī)定了信息服務(wù)提供者（以下簡稱服務(wù)提供者）應(yīng)具備的通用評(píng)價(jià)要求、專業(yè)評(píng)價(jià)

要求以及認(rèn)證機(jī)構(gòu)開展服務(wù)資質(zhì)認(rèn)證的程序。

本規(guī)則可用于第三方機(jī)構(gòu)對(duì)服務(wù)提供者進(jìn)行資信和能力評(píng)價(jià)，可作為服務(wù)提供者開展自我評(píng)價(jià)

的依據(jù)，并可為政府及有關(guān)社會(huì)組織選擇服務(wù)提供者提供依據(jù)。

規(guī)范性引用文件

下列文件中的條款通過本文件引用而成為本文件的條款。凡是注日期的引用文件，其隨后所有

的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本文件，然而，鼓勵(lì)根據(jù)本文件達(dá)成協(xié)議的各

方研究可使用這些文件的版本。凡是不注日期的引用文件，其版本適用于本文件。

CNCA/CTS 0052-2007《信息服務(wù)資質(zhì)認(rèn)證技術(shù)規(guī)范》

YDT1799-2008《網(wǎng)絡(luò)與信息應(yīng)急處理服務(wù)資質(zhì)評(píng)估方法》

ISCCC-SV-002:2010《信息風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)認(rèn)證實(shí)施規(guī)則》

ISCCC-SV-003:2014《信息系統(tǒng)集成服務(wù)資質(zhì)認(rèn)證實(shí)施規(guī)則》

ISCCC-SV-004:2012《信息系統(tǒng)災(zāi)難備份與恢復(fù)服務(wù)資質(zhì)認(rèn)證實(shí)施規(guī)則》

GB/T 5271.8-2001《信息技術(shù)詞匯第8部分：》中的術(shù)語和定義適用于本標(biāo)準(zhǔn)。

術(shù)語與定義

3.1. 信息服務(wù)

由供應(yīng)商、組織機(jī)構(gòu)或人員執(zhí)行的一個(gè)過程或任務(wù)。（ISO/IEC TR 15443-1:2005《信息技術(shù)

技術(shù) 信息技術(shù)保障框架 部分：總攬和框架》）

3.2. 信息服務(wù)資質(zhì)

信息服務(wù)資質(zhì)是信息服務(wù)機(jī)構(gòu)提供服務(wù)的一種資格，包括法律地位、資源狀況、

管理水平、 技術(shù)能力等方面的要求。

3.3. 信息風(fēng)險(xiǎn)評(píng)估

運(yùn)用科學(xué)的方法和手段，系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評(píng)估安

全事件一旦發(fā)生可能造成的危害程度，提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施，以求防范

和化解信息風(fēng)險(xiǎn)，或?qū)L(fēng)險(xiǎn)控制在可接受的水平。

3.4. 信息應(yīng)急處理

制定應(yīng)急處理計(jì)劃，組織實(shí)施演練，并在出現(xiàn)網(wǎng)絡(luò)與信息系統(tǒng)事故時(shí)，及時(shí)實(shí)施應(yīng)急處理

計(jì)劃的過程。

3.5. 信息系統(tǒng)集成

在從事網(wǎng)絡(luò)系統(tǒng)、應(yīng)用系統(tǒng)、安防系統(tǒng)、建筑智能化系統(tǒng)的集成過程中，所進(jìn)行的需求界

定、設(shè)計(jì)、實(shí)施、保障等活動(dòng)。

3.6. 信息系統(tǒng)災(zāi)難備份與恢復(fù)

將信息系統(tǒng)的數(shù)據(jù)、數(shù)據(jù)處理系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、基礎(chǔ)設(shè)施、專業(yè)技術(shù)支持能力和運(yùn)行管理能力

進(jìn)行備份，并在災(zāi)難發(fā)生時(shí)，將信息系統(tǒng)從災(zāi)難造成的故障或癱瘓狀態(tài)恢復(fù)到可正常運(yùn)行狀態(tài)、將

其支持的業(yè)務(wù)功能從災(zāi)難造成的不正常狀態(tài)恢復(fù)到可接受狀態(tài)的活動(dòng)，分為資源服務(wù)類（A 類）、技

術(shù)服務(wù)類（B 類）兩個(gè)類別。

3.7. 軟件開發(fā)

通過對(duì)軟件開發(fā)過程的控制，將開發(fā)的軟件存在的風(fēng)險(xiǎn)控制在可接受的水平。

3.8. 信息系統(tǒng)運(yùn)維

通過技術(shù)設(shè)施評(píng)估，技術(shù)設(shè)施加固，漏洞補(bǔ)丁通告、事件響應(yīng)以及信息

運(yùn)維咨詢，協(xié)助組織的信息系統(tǒng)管理人員進(jìn)行信息系統(tǒng)的運(yùn)維工作，以發(fā)現(xiàn)并修復(fù)信息系統(tǒng)中

所存在的隱患，降低隱患被非法利用的可能性，并在隱患被利用后及時(shí)加以響應(yīng)。

通用評(píng)價(jià)要求

通用評(píng)價(jià)要求適用于風(fēng)險(xiǎn)評(píng)估、集成、應(yīng)急處理、災(zāi)難備份與恢復(fù)、軟件開發(fā)、

運(yùn)維等類別的信息服務(wù)認(rèn)證評(píng)價(jià)，均分為三個(gè)級(jí)別，其中一級(jí)。