软件和信息技术服务业企业资质和体系认证需求分析

-精选财经经济类资料- -最新财经经济资料-感谢阅读- 1 软件和信息技术服务业企业资质和 体系认证需求分析 摘要：文章对软件和信息技术服 务业企业可能需求的资质及体系认证进 行分析，帮助进行企业选择，分别分析 了 9000 管理体系认证、软件企业评估、 CMMI 认证、信息系统集成及服务资质、 ITSS 标准符合性评估、 20000 信息技术 服务管理体系标准认证、27000 信息安 全管理体系认证、信息安全服务资质等 资质或体系认证。 中国论文网 /8/view-12938994.htm 关键词：软件和信息技术服务业； 企业资质；体系认证；9000 管理体系认 证 文献标识码：A 中图分类号：F272 文章编号： -精选财经经济类资料- -最新财经经济资料-感谢阅读- 2 1009-2374（2017）08-0232-02 DOI：10.13535/ki.11- 4406/n.2017.08.114 根据国家标准国民经济行业分 类与代码 （GB/T 4754-2011）的说明， 第六十五大类为“ 软件和信息技术服务 业”，此类行业包含了软件开发、信息 系统集成服务、信息技术咨询服务、数 据处理和存储服务、集成电路设计、其 他信息技术服务业（含数字内容服务、 呼叫中心及其他未列明信息技术服务业） 共计 6 类行业，对于这些企业的发展过 程中的可能遇到的资质、体系认证方面 的需求和问题，根据笔者的经验做一简 单分析。 1 资质与体系认证的基本概念 资质是企业从事特定类型工作的 资格的证明，在某些特定行业中是以国 家行政审批事项的方式体现，比如建筑 行业的建筑企业资质就是划分建筑企业 类别和设计施工能力的一种方式。体系 认证一般来讲是管理体系经过认证机构 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 3 认证的简称，是一个组织组织制度和管 理制度符合一定的标准的证明。常见的 管理体系有质量管理体系、环境管理体 系、服务管理体系、信息安全管理体系 等，通俗意义上的资质和体系认证都是 对企业能力达到一定的水平的第三方评 定。最终用户在建设项目时可以用资质 和体系认证来评判施工方是否满足建设 目标的要求。 2 软件和信息技术服务业企业资 质和体系认证需求分析 第一，对各类企业均适用的 ISO9000 质量管理体系，应用范围最为 广泛的一项体系，从 1987 年建立至今 已历经 5 个版本。简单来说，质量管理 体系是组织内部建立的为达成特定质量 目标而设立的诸多要素的集合，国内标 准 9000 证书的证书编号规则以结尾字 母划分企业规模，S 是 49 人以下小型 企业，M 是 50999 人中型企业，L 是 1000 人以上大型企业。针对软件和信息 技术服务企业，好的 9000 体系可以大 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 4 幅提升企业软件开发和信息服务的规范 性，但必须要指出的是，由于政府采购 的采信和市场竞争的加剧，很多企业是 为了取得证书而认证，放弃了实施质量 体系的初衷，且目前全国范围经中国国 家认证认可监督管理委员会（以下简称 CNCA）批准的质量管理体系认证机构 多达 217 家，认证机构为了拓展业务也 降低了实施认证的门槛，众多因素导致 9000 认证的泛滥。另外需要企业注意的 是，机构能够发放的认可耸队 CNAS、UKAS、ANAB 等，这些标识 代表了经过不同国家的认可机构认可， CNAS 是中国合格评定国家认可委员会， UKAS 是英国皇家认可委员会，ANAB 是美国国家标准协会-美国质量学会认 证机构认可委员会。在有些实际应用中 会出现只认可证书标识为 CNAS 的情况。 第二，针对软件开发类企业的 “软件企业”认定，是根据 国务院关于 印发进一步鼓励软件产业和集成电路产 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 5 业发展若干政策的通知 （国发 20114 号）的要求进行的，但是 国务院关于取消和调整一批行政审批 项目等事项的决定 （国发201511 号）发布后，工业和信息化部按照国务 院文件要求停止了“ 双软认定 ”前置性审 批工作。自文件发布之日起，各省、自 治区、直辖市均按照文件要求，停止了 软件企业认定、软件产品登记、软件企 业年审等所有“ 双软认定”事项。而“软 件企业评估” 这一由中国软件企业评估 联盟发起的对软件企业工作的接续性评 估认定工作，也由于 2016 年 8 月 21 日 中共中央办公厅和国务院办公厅印发的 关于改革社会组织管理制度促进社会 组织健康有序发展的意见 （简称二办 文件）的要求而转为各地软件行业协会 组织自行管理，影响力和范围较之前均 有不同程度 下降。 针对软件开发类企业的第二种常 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 6 见体系认证是 CMM/CMMI 认证， CMM 即 Capability Maturity Model 能力 成熟度模型，CMMI 即 Capability Maturity Model Integration 能力成熟度模 型集成。最早的 CMM 模型是卡内基梅 隆大学与美国军方合作提出的评价软件 开发过程成熟度的方法。从 1987 年起 历经多次版本升级，一直是软件开发领 域的权威评判标准。CMMI 划分五个等 级（初始级、可管理级、已定义级、量 化管理级、优化管理级）截止笔者发稿 时国内在 CMMI 官网可查的通过 CMMI5 认证的软件企业已有约 240 家， CMMI4 约 120 家、CMMI3 约 2560 家。 目前在国内诸多行业的软件开发项目招 标中，都有将 CMMI 等级作为入门条件 的情况，同时地方政府也有针对 CMMI 的政府补助，这都是软件企业进行 CMMI 认证需求旺盛的原因。 第三，针对信息系统集成服务企 业的信息系统集成及服务资质，信息系 统集成及服务是指从事信息网络系统、 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 7 信息资源系统、信息应用系统的咨询设 计、集成实施、运行维护等全生命周期 活动及总体策划、系统测评、数据处理 存储、信息安全、运营等服务和保障业 务领域。其前身是 1999 年原信息产业 部设立的计算机信息系统集成资质，期 间经过多次变革，目前主管部门是中国 电子信息行业联合会，截止笔者发稿全 国共有集成资质企业 9600 余家，按级 别从高到低划分一至四级，其中一级企 业 264 家、二级企业 840 家、三级企业 4933 家、四级企业 3569 家，另有流动 红旗性质的大型一级企业 32 家。该项 资质在从原先的行政审批事项中取消后， 不再在政府采购招标项目中作为门槛使 用，但作为加分项存在，同时仍有众多 行业用户（如电力、通信等领域）项目 招标中设置此资质为入门条件，在软件 和集成服务业企业应用较多，这也是目 前企业需求较多的一项资质。 第四，可应用于软件开发、信息系统集 成服务、信息技术咨询服务、数据处理 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 8 和存储服务企业的 ITSS（信息技术服 务标准，information technology service standard）认证，从 2009 年 ITSS 启动 至今已发布 4.0 版本的体系框架，体系 框架涵盖了基础标准、服务管控、服务 安全、服务外包、服务业务通用要求、 服务规范和针对各领域的实施指南，已 有正式发布俗 6 项，组织制定中标 准 60 余项，是我国自主研制的 IT 服务 标准体系，全面规范了 IT 服务产品及 其组成要素。开展 ITSS 符合性评估， 可以有效提升企业服务质量，优化服务 成本，强化服务效能，降低服务风险。 2015 年 12 月份工业和信息化部办公厅 会同国家标准化管理委员会办公室出台 了信息技术服务标准化工作五年行动 计划（20162020） ，对 ITSS 工作发 展给出了指导思想、基本原则和发展目 标，提出七点任务和五项保障措施，是 指导国内推进 ITSS 标准符合性评估工 作的权威指南。目前全国范围通过各等 级成熟度认证的咨询设计及运行维护标 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 9 准的组织共 713 家（含用户单位 11 家） 。 随着 ITSS 标准家族的壮大，和在日渐 增多的项目招标中出现了 ITSS 标准符 合性评估证书方面的要求，政府主推加 市场需求，我们可以预测在未来这一标 准将有更为广阔的发展前景。 第五，可应用于所有提供信息技 术服务组织的 ISO 20000（信息技术服 务管理体系标准）认证，ISO 20000 标 准规定了进行信息技术服务的组织在向 其内外部客户提供 IT 服务和支持过程 中所需完成的工作。ISO 20000 能够帮 助 IT 组织识别其进行 IT 服务的关键流 程并将其纳入有效管理，以保证向需方 有效地提供高质量的 IT 服务。 10 年前 就已经有一些大型的国际化企业认证了 该体系。今天国内经 CNCA 认可能够进 行该项认证的机构有 26 家，获证组织 数量在北上广深等发达一线城市较多， 在中西部地区较少，在笔者所在的省份 全省仅 20 余家。在实际市场应用和项 目竞争中，20000 认证已经越来越多的 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 10 成为了“门槛 ”。值得说明的是， ISO 20000 和下面讲到的 ISO 27000 也类似 9000 一样存在认可标识不统一的问题， 企业进行认证时要注意。 第六，ISO 27000（信息安全管 理体系）认证，27000 体系规定了组织 内部信息安全管理方面所要达成的工作 要求。通过调研安全管理现状，风险评 估、管理策划、体系运行实施等措施使 组织内部的信息安全管理水平提升。目 前国内经 CNCA 认可的可进行该项认证 的机构有 33 家。在更多时候 27000 并 不是项目招投标的前提，而是让客户放 心的一项保证。 在 6 大类企业提供涉及信息安全 类的服务时，信息安全服务资质是最为 合适的，这项资质是由中国信息安全认 证中心和中国信息安全测评中心审核及 颁发证书。这两家机构里面，中国信息 安全认证中心可进行应急处理服务资质、 风险评估服务资质、安全集成服务资质、 灾难备份与恢复服务资质、软件安全开 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 11 发服务资质、安全运维服务资质六类服 务资质的认定；中国信息安全测评中心 可进行信息安全工程类、信息安全灾难 恢复类、安全开发类三类服务资质的认 定。目前国内信息安全的地位越来越高， 也有越来越多的项目涉及到信息安全， 信息安全资质的应用也就必然越来越广 泛。