北京软件评测中心公司介绍

北京软件评测中心附属单位公司介绍北京软件评测中心附属单位2012年3月31日TOC\o"1-5"\h\z一、公司简介3二、CMMI业务介绍41、CMM的含义与作用4\o"CurrentDocument"CMMI模型介绍4\o"CurrentDocument"CMM/CMMI的发展过程5\o"CurrentDocument"3、CMM/CMMI的结构与内容7\o"CurrentDocument"4、主任评估师85、CMM/CMMI培训、咨询、评估服务业绩86、CMM/CMMI解决方案9\o"CurrentDocument"6.1、范围12\o"CurrentDocument"6.2、总体需求与目标12\o"CurrentDocument"6.3、项目启动建议12\o"CurrentDocument"6.4、工作内容、实施方式与进度计划14\o"CurrentDocument"三ISO27001基本介绍18\o"CurrentDocument"四ISO/IEC20000:2005介绍25\o"CurrentDocument"三其他说明30\o"CurrentDocument"1、咨询团队30\o"CurrentDocument"1.1推荐团队31\o"CurrentDocument"2、语言32\o"CurrentDocument"附件一:连国华简历33一、公司简介北京软件测评中心是一家专门从事企业管理标准化的专业咨询服务机构，同时针对IT高端人才开展软件工程硕士和MBA的学历教育，以及在此基础之上的培训和高科技开发和科技成果转化工作。企业员工80%以上都是海外归国人员、博士、硕士。其中咨询业务立足企业管理提升需求，结合资深咨询专家的多方面管理经验和理念为客户提供包括：CMMI、ITIL（IT服务）、ISO27001（信息安全）ISO9001等评估咨询培训的服务。ITBPI获得国家认可的质量管理体系的服务范围有30大类，获得全国职业安全健康管理体系认证机构认可委员会（CNASC）认可的职业安全健康管理体系的业务范围有10大类，ITBPI还具备ISO14001环境管理体系认证的条件，在实施多体系整合型一体化认证方面，ITBPI已取得了相当多的实践经验，ITBPI在为客户长期的质量服务过程中，深刻体会到我国软件企业与美国、印度等国家的差距更主要的不是技术和人才，而是在于过程改进模式。由于长期以来没有这样的模式指导，软件产业缺乏严格的规范化管理，不能与国际市场接轨，一直处于小、散、软的局面。所以，对我国软件产业来说，能否通过CMMI评估，ITIL/ISO20000（IT服务）、ISO27001（信息安全）已不仅仅是一种程序，而是关系到软件企业能否改善管理、降低开发成本、提高过程改进能力、从根本上使企业走上规模化道路、获得国际竞争力的关键。为了在ISO9000的基础上帮助我国软件企业引进标准的CMMI相关技术，作好我们的服务，自2003年10月以来，ITBPI与美国CMU-SEI（卡耐基梅隆大学软件工程研究所）进行全方位的合作，通过提供一系列CMMI培训、咨询、评估服务，帮助国内软件企业获得增强国际竞争力的最新理念和国际标准。北京软件测评中心具有SEI正式考核的SCAMPI（CMMI）评估师和资深的咨询团队，为企业带来实际的过程改进效益，客户认可度高，我们的团队具有相关领域的工程技术经验、多年工程管理经验。积累了大量产品质量过程研究及在国际著名公司的实践，提供的服务得到了业内广泛的好评。我们评估的所有评估结果均通过SEI质量审核，我们的客户的评估信息全部发布在SEI网站上，标志着我们的信誉、技术、服务质量达到国际水平，也表明我们有充分的实力来为客户提供一致的、百分百的优质服务。在企业过程改进过程中，基于IT开发,IT信息安全和IT服务环境统一过程改进是时代的需要和大事，能对企业的生死存亡起到决定性作用、ITBPI结合多年的咨询经验，把国内领先的知识和经验教训给予客户，减少客户的投入和实施风险，确保改进效果和改进的效益。此外，北京软件测评中心和国内多家著名高校展开合作，展开国民硕士学历教育业务，在全国4个省开设软件工程硕士和MBA的办学点，在读学生超过200人，教学能力和管理水平得到学生和合作学校的一致好评。在以上的业务领域的基础之上，整合优质的IT人力资源和相关企业的科技成果，开展高科技开发，例如：智能化终端，维、哈柯多语言开发、移动通信应用和软件外包开发和服务等。为打造具备高科技水平和科技成果转化能力的产业公司而努力奋斗。二、CMMI业务介绍1、CMM的含义与作用1.1.CMMI模型介绍CMMI是CapabilityMaturityModelforIntegration的简称，中文叫“集成能力成熟度模型”，是对组织软件过程能力的描述。CMM的核心是把软件开发视为一个过程，并根据这一原则对软件开发和维护进行过程监控和研究，以使其更加科学化、标准化，使企业能够更好的实现商业目标。它侧重于软件过程开发的管理及软件工程能力的改进与评估，因此CMM被用作评价软件承包商能力并帮助组织改善软件过程质量，是目前国际上最流行、最实用的一种软件过程改进模型，成为当今企业从事规模软件生产不可缺少的一项内容。CMMI的目的是帮助软件企业对软件工程过程进行管理和改进，增强开发与改进能力，从而能按时地、不超预算地开发出高质量的软件。企业实施CMM模型并评估可为企业带来如下好处：指导软件组织提高软件开发管理能力；降低软件承包商和采购者的风险；评估软件承包商的软件开发管理能力；帮助软件企业识别开发和维护软件的有效过程和关键实践；帮助软件企业识别为达到CMM更高成熟等级所必须的关键实践；增加软件企业的国际竞争能力。1.2.CMM/CMMI的发展过程1984年美国国防部为降低采购风险，委托卡耐基一梅隆大学软件工程研究院(SEI)制定了软件过程改进、评估模型，也称为SEISW-CMM。该模型于1991年正式推出，迅速得到广大软件企业及其顾客的认可。从1987年SEI推出SW-CMM框架开始，1991年推出CMM1.0版，1993年推出CMM1.1版，2000年推出CMMI-SE/SW1.0版，2005年推出CMMI-Dev1.2版。我国政府一直重视软件产业的规范和发展，国务院于2000年6月颁发的“18号文件”第五章第十七条明确提出鼓励软件出口型企业通过ISO9000系列质量保证体系认证和CMM认证，其认证费用通过中央外贸发展基金适当予以支持。目前各省市、高新区、软件园都有对通过CMM的企业给予资金奖励的制度。随着人们对CMM研究的不断深入，其他学科也结合本系统的特点，陆续推出了自己的CMM模型。例如，人力资源能力成熟度模型、系统工程能力成熟度模型等等：SW-CMM(SoftwareCMM):软件CMMSE-CMM(SystemEngineeringCMM):系统工程CMMSA-CMM(SoftwareAcquisitionCMM):软件采购CMMIPT-CMM(IntegratedProductTeamCMM):集成产品群组CMMP-CMM(PeopleCMM):人力资源能力成熟度模型为了以示区别，国内外很多资料把CMM叫做SW-CMM。按照SEI原来的计划，CMM的改进版本2.0应该在1997年11月完成，然后在取得版本2.0得实践反馈意见之后，在1999年完成准CMM2.0版本。但是，美国国防部办公室要求SEI推迟发布CMM2.0版本，而要先完成一个更为紧迫的项目CMMI。CMMI(CapabilityMaturityModelIntegration)即能力成熟度集成模型，这也是美国国防部的一个设想，他们想把现在所有的以及将被发展出来的各种能力成熟度模型，集成到一个框架中去。这个框架有两个功能，第一，软件采购方法的改革；第二，建立一种从集成产品与过程发展的角度出发、包含健全的系统开发原则的过程改进。就软件而言，CMMI是SW-CMM的修订本。它兼收了SW-CMM2.0版C稿草案和SPA中更合理、更科学和更周密的优点。SEI在发表CMMI-SE/SW1.0版时，宣布大约用两年的时间完成从CMM到CMMI的过渡。CMMI项目更为工业界和政府部门提供了一个集成的产品集，其主要目的是消除不同模型之间的不一致和重复，降低基于模型改善的成本。CMMI将以更加系统和一致的框架来指导组织改善软件过程，提高产品和服务的开发、获取和维护能力。CMU/SEI于2006年推出CMMIV1.2版本，对V1.1版本作了不少变动。CMMI框架的结构现在分成四个层次：产品集、模型集、模型、学科。CMMI产品集包含模型、评估方法和培训材料三部分。CMMI模型部分是由基础部分、共享材料以及模型集特定材料三部分组成。目前CMMI模型集有获取、开发和服务三个组件°SEI已于2006年8月公布了适用于开发的模型集（CMMI-DEV），适用于获取模型（CMMI-ACQ）和适用于服务的模型集（CMMI-SVC）已于2008年6月公布。CMMI-DEV模型包含两个模型：一个包含IPPD，另一个不包含IPPD。两个模型都适用于软件工程、系统工程和硬件工程（计算机和非计算机）三个学科，因此CMMI适用于各行各业。2010年10月，SEI发布了CMMIV1.3，变更了CMMIL4/5级标准和SCAMPI评估方法。2011年10月后不再支持CMMIV1.2,转而支持CMMIV1.3和SCAMPIV1.3。投资回报有效的过程改善提供可观的商业回报，回报比例在5:1与8:1之间.体现在生产率、进度和质量上、过程改□上并法品上市时间缩短或项目按期完成比例增加应旦产口口发布后映陷报告减少3、CMM/CMMI的结构与内容过程改□上并法品上市时间缩短或项目按期完成比例增加应旦产口口发布后映陷报告减少CMM/CMMI吸取了质量工程的主要原理，形成了5级模型。提出了由第一级（初始级）向第五级（优化级）逐级发展的模式。模型的等级从低到高，可以预计企业的开发风险越来越低，开发能力越来越高。模型的每个等级由不同的过程领域（ProcessArea）构成，而每个过程领域又由各种目标构成，每个目标由各种特定惯例和通用惯例支持。

4、主任评估师为完成客户CMMI3过程改进项目，我们为该项目组建专业的咨询顾问团队:项目资源专家列表描述主任评估师胡佑长SEI授权SCAMPI主任评估师主任评估师余军安SEI授权SCAMPI主任评估师主任评估师于波SEI授权SCAMPI主任评估师5、CMM/CMMI培训、咨询、评估服务业绩2006年2月北京北广讯通软件有限公司CMMI2级2006年11月苏州奇梦达软件技术有限公司CMMI2+3级2007年7月江苏集群信息产业有限公司CMMI2+3级2007年8月上海华平有限公司CMMI2+3级2007年7月北京同方鼎新有限公司CMMI4+5级2007年7月北京方止春元软件有限公司CMMI2+3级2007年11月沈阳荣科科技有限公司CMMI2+3级2007年11月沈阳启明软件有限公司CMMI2+3级2007年3月铁道部信息中心CMMI3+4级2008年4月北京英福美软件技术有限公司CMMI2+3级2008年4月北京神州泰岳软件股份有限公司CMMI2+3级2009年1月新疆联合信息软件有限公司CMMI2+3级2009年8月新疆西北星软件技术有限公司CMMI2+3级2009年10月中国联通黑龙江分公司CMMI2+32008年4月北京英福美软件技术有限公司CMMI2+3级2008年4月北京神州泰岳软件股份有限公司CMMI2+3级2009年1月新疆联合信息软件有限公司CMMI2+3级2009年8月新疆西北星软件技术有限公司CMMI2+3级2009年10月中国联通黑龙江分公司CMMI2+3级2009年12月新疆软件应用技术研究所CMMI2+3级2009年12月新疆新能软件技术有限公司CMMI2+3级2009年12月新疆航天信息科技有限公司CMMI2+3级2010年6月江苏集群软件有限公司CMMI2+3级2011年5月上海复深蓝软件有限公司CMMI2+3级2011年7月南京麦瑞克信息技术有限公司CMMI2+3级北京软件测评中心汇信科技有限公司将为贵公司（以下称客户方）提供有关CMM/CMMI的培训、咨询和评估一系列服务，帮助贵公司真正改善软件开发过程，达到预期的CMMI的等级目标。此方案特别要求ITBPI在帮助客户方建立稳定的CMMI实施小组（“SoftwareEngineeringProfessionGroup”软件工程专家组＜下称SEPG＞、“SoftwareQualityAssurance”软件质量保证组＜下称SQA＞和“SoftwareConfigurationManagement”软件配置管理＜下称SCM＞人员等）的基础上，才可有效地进行。图示一CMM诊断分析输入项目初步需求项目初步方案—［双方已取得初步共识2.相关人员到位与高层交流确定目新协助建立SEP国了解客户业务及环境特点诊厮适程，差距分析识别过程改善风险6.5^3程13^舞式7.制tmfe计划8.cm基础培训［诊邮告得到认可2项目计划得到认可公司目前满足CMMML2濒PA的状态；公司目前公司实IfeCMMIML2砸目的人员和项目状态输出朝报告*项目计划培训材料:目毓I:1.与公司管理层就项目偎目标达成共识:,井服得管理层的支持I建立SEH圈，开始主持哽目的立吸事；宜I；3.建立迫程基盆I;职责：iII；；1.BCC®责^^成；；2:V：3.客尸负责完成::噂i!；L绿分析：既;-『a.cm基SU培训、跌:？输入图示二CMM过程改进项目讦划目颂目眺朔到批谁2.SEPG组建立确定钢项目分配记程改善暇麦3-过程域强化培训：4.定宓通■5.评审记程厂、\”.过程瘁f?官;;7.过程培训与瀚!is.过程提升并充实过程瓷产库；h过程蝠淑范■：■10.重复4.5.6.T.8龄骤［适程定义典2适程置产建立过程域毂的状态或定义通在免斥项目中试用的状态或输出这程定义迥程姿产咨谊报苞:目标：；r!职责=；L建通程？>1-bcc^M^^E；1试用这程';2.:3.建通程童产库!'!3-客户负责完成:曜i3.强成训：『is天（取决:1于培训的内容多少）；/雁砌程：46个月■6・1、范围本方案的范围涉及：CMM/CMMI级基础知识及专项培训；CMM/CMMI级模型的建立；CMM/CMMI级(含CMM/CMMI级内容)各个过程域具体实施时的咨询、辅导和培训；CMM/CMMI不同级别能力成熟度的评估。6・2、总体需求与目标ITBPI和客户方达成共识的需求及总体目标针对客户提出的总体需求，ITBPI和客户方将在本项目中达成以下共识，并将其作为双方下步工作的基础和依据：xxxx年客户方软件生产能力达到CMM或CMMI级成熟度；ITBPI对客户方的软件组织提供专业培训和指导，并协助客户方建立和CMM/CMMI模型一致的过程，进行实施指导，最终达到预期的CMM/CMMI级别；客户方保持适当的过程改进资源、能力，通过不断接受ITBPI的培训和指导，积极采纳实施方提出的过程改进建议，并保持适当的实施力度，不断提高项目管理水平、产品质量和生产效率，努力达到期望的软件能力的成熟度。建立起基本的项目管理过程来跟踪费用、进度和功能特性；ITBPI将指导客户方对软件管理和软件工程过程文档化、标准化，所有项目均使用经批准、剪裁的标准软件过程来开发和维护软件；ITBPI帮助客户方通过软件的质量管理达到软件的质量目标。6.3、项目启动建议1)客户方应确定CMM/CMMI实施项目组的结构。ITBPI依照CMU/SEI的建议及客户方实施的范围，提出如下建议：•公司授权一名高级管理者负责组织实施CMM/CMMI；公司建立一个公司级的软件工程过程组（SEPG）,负责研究、实施、推动CMM/CMMI，并将确定基于CMM/CMMI的改进的质量体系；•每个实施部门指派1个领导直接领导和指挥CMM/CMMI实施工作；•在各部门分别建立软件过程行动组（PAT），负责帮助SEPG制定软件过程及其推广。组员包括公司级的SEPG的代表、部门级软件质量保证（SQA）负责人和软件配置管理（SCM）负责人；原则上，各部门的所有正在进行的项目组都要参加CMM/CMMI实施，除非特殊小的、实验性的项目；•指派1名联系人员，作为ITBPI和客户方的协调人（建议由质量管理部经理负责）。2）资源配备建议CMM/CMMI项目投入的资源为公司的软件开发人员的5%〜10%。SEPG组：建议选派一名有丰富软件工程经验的人员担任SEPG组长；他/她应该是全职的。选派若干全职的和兼职的人员作为组员（应具有丰富的软件开发或软件质量保证方面的经历和经验，最好担任过软件项目组组长）；SQA组：建议选派一名有丰富软件质量保证经验或软件开发经验的人员担任SQA组长；他/她应该是全职的。选派若干全职的和兼职的人员作为组员。兼职的SQA负责开发项目组的SQA活动（其余时间作其它活动，如项目工作），也可作多个项目组的SQA，但SQA人员要求在组织上与开发项目组是独立的。因此要求一个SQA人员不能对他/她自己所在的项目行使SQA职能；SCCB：建议选派一名有丰富软件配置管理经验或软件开发经验的人员担任公司级软件配置控制委员会（SCCB）负责人；他/她应该是全职的。在组织的每个开发项目组中，指派一名兼职人员作为SCM组员，其工作量一般不应少于一个全职工作人员的30%。6・4、工作内容、实施方式与进度计划6.4.1工作内容6.4.1.1培训1）CMM/CMMI基础知识培训；2）CMM/CMMI管理体制建立和实施的专项培训，包括文件、规范的编写培训、组织实施指导培训等；3）根据公司实际情况，还需要进行CMM/CMMI与ISO9001之间关系的培训。6.4.1.2模型和模型建立1）根据CMM/CMMI标准要求定义组织过程并标准化；2）根据要求组织编写相关实施规程；3）按实施规程组织项目过程实施；4）根据实施结果组织过程改进。6.4.1.3能力成熟度级别评估1）预评估；2）正式评估，括组建评估组、评估组培训、制定评估计划、成熟度问卷调查、公司文档查阅、各类人员面试交谈、数据确认、报告评估结果等内容。6.4.2实施方式1）成立由公司领导组成的决策组MSG（ManagementSupportGroup），代表公司最高管理权威，确立SPI（SoftwareProcessImprovement）的方针和目标等；2）成立有相关软件过程改进和软件工程管理权威人员组成的SEPG（SoftwareEngineeringProcessGroup）软件工程过程组，作为SPI的核心小组，负责并推动所有与SPI有关的活动，包括制定行动计划、培训计划、过程定义、过程咨询、向MSG汇报SPI进展情况、开发和维护过程数据库、促进软件过程评估等工作；3）成立由项目开发人员或工程管理人员组成的TWG（TechnicalWorkingGroup）改进实施组，为改进提供solution，解决整体改进过程中的特定领域，并完成过程改进活动。该小组可根据过程改进任务随时成立，随时撤消；4）实施培训，由咨询师对各级各类人员实施CMM/CMMI基础知识培训、实施规程编写培训、规程实施前培训指导，SEPG负责各规程的实施培训和指导；5）在咨询师指导下制定详细实施计划，按计划组织各阶段任务的实施和检查落实；6）在咨询师指导下收集现有信息资料，进行现状调查分析，选择2-3个软件开发项目，并将软件过程标准化；7）咨询师指导下编写实施规程，并按CMM/CMMI要求进行规程评审；8）咨询师指导下组织项目实施；9）咨询师指导下组织实施过程改进；10）咨询师主持对实施结果进行预评审并实施改进；11）在咨询师指导下组织对预评估结果进行过程改进；12）由ITBPI主持，请SEI授权的主任评估师对公司进行正式评估；13）整个实施过程中，应注意CMM/CMMI与ISO9001体系的兼容性，质量管理部应是CMM/CMMI的SEPG常设机构，同时也是ISO9001体系的质量保证部门，以利于CMM/CMMI与ISO9001体系的协调推进。ITBPI的咨询师将在这方面提供技术支持。6.4.3培训、咨询、评估服务流程

培训、咨询、评估流程乂现场调查J制定攻目实施方案瑚町评估项目合同（提供项目启动建设J制定攻目进度计划项目启动培训循环苴目皆询壁施监控（1）课程y顼目盼段检查培训循环苴目皆询壁施监控（1）课程y顼目盼段检查6.4.4培训课程和咨询iftfrCBA-iPi评色y•软件工程基础知识课程CMM/CMMI系列课程质量保专门领域课程（如项目管理、风险管理、需求管理、配置管理、证、软件测试、软件度量、过程自动化等）质量保□EPG组建和工作技能□CMMI-SE/SWV1.1□CMMI-L3标准解读□如何定义CMMI文件□IntroductiontoCMMI□ATM培训□软件生命周期•□•□□软件需求工程□配置管理□质量管理□风险管理□软件测试□度量与分析□功能点分析□软件可维护性设计与实现□组织级的过程财富库管理□建立有效的培训机制□过程及产品的质量保证□PSP-TSP•（2）咨询整体软件过程咨询（建立组织整体的软件生产管理过程体系，比如基于CMM/CMMI的质量过程管理体系等）•专项领域软件过程咨询（针对项目过程中的特定问题提出解决方案并跟踪实施）（3）项目监理项目全过程监理，对项目全过程进行评审和审查，对产品进行审查；项目阶段过程监理，对特定阶段的项目和产品进行评审和审查。（4）CMM/CMMI评估辅导CMM/CMMI课程，基础知识，PA讲解，应用实例；CMM/CMMI预评估，制订计划，预评估KPA，提交预评估结果。◊6.4.5实施中可能遇到的风险风险化解策略spiift乏动土明确“高层“SPI”--“项目甄#的关系，管理者始箜加—的作为SPI的坚定支持者，了衅SFI的冲突机制和•珂益樵新.能够恰当的批理投生的.各类矛盾口坦想文化不利于过拜改珑塑造新的企业文区，组织大力倡导过程改避和管理提升群众不支挎通过加强培醐利教育两个途役使人们了解变革的内涵和对每个人的舄益影喝,从而在幼转变观念；另一力面.遍过工强、奖金和晋升制度的有效配合加以推动。没有合适的试点项目组试点项目组的造择考虑：1、PM具有高的技,R实力、管理意识和管理潜质二项目无大的技术难关'成员整件技术能力强合适的进度压力，良好的客户关系项目组有强的团队凝雍力FM承受的技术和业务反力适中三ISO27001基本介绍信息和信息安全的定义»■信息◊可以以多种形式存在。它可以是打印或写在纸上（如：书面的财务报表等）；电子形式存贮（如:一个组织ERP系统的备份磁带）；通过邮件或用电子手段传输；显示在胶片上；表达在会话中。◊信息象其他重要的商务资产一样，也是一种资产，对一个组织而言具有价值，因而需要被妥善保护。>,信息安全◊使信息避免一系列威胁，保障了组织商务的连续性，最大限度地减小组织的商务损失，顺利获取投资和商务回报。◊信息安全的维持可表征为：A、机密性：确保信息仅可让授权获取的人士访问；B、完整性：保护信息和处理方法的准确和完善；C、可用性：确保授权人需要时可以获取信息和相应的资产。>■还应该再考虑可控性、真实性和不可否认性等，称之为“六性”。>■信息的机密性、完整性和可用性对保持一个组织的竞争优势、资金流动、效益、法律符合性和商务形象都是至关重要的。>■信息安全是通过执行一套适当的控制来达到的。可以是方针、惯例、程序、组织结构和软件功能来实现，这些控制方式需要确定，才能保障组织特定的安全目标的实现。企业的信息安全现状>■缺少信息安全管理论坛，安全导向不明确，管理支持不明显；组织信息系统管理制度不够健全；>■缺少跨部门的信息安全协调机制；>■保护特定资产以及完成特定安全过程的职责还不明确；>■员工信息安全意识薄弱，缺少防范意识，外来人员很容易直接进入生产和工作场所；>■组织信息系统主机房安全存在隐患，如：防火设施存在问题，与危险品仓库同处一幢办公楼等；>■组织信息系统备份设备仍有欠缺；>■组织信息系统安全防范技术投入欠缺；>■软件知识产权保护欠缺；档案、记录等缺少可靠贮存场所；>■缺少一旦发生意外时的保证生产经营连续性的措施和计划；>■许多计数机处于不设防状态。>■防范意识、管理措施、核心技术、安全产品，距离信息安全的要求相差很远。>■各种重要数据和文件被滥用、泄露、丢失被盗。>■据国外统计，企业信息受到的损失中，70%是由于内部员工的疏忽或者有意泄密造成的。>■安全问题所带来的损失远大于交易的帐面损失，它可分为三类，包括直接损失、间接损失和法律损失：◊直接损失：丢失订单，减少直接收入，损失生产率；◊间接损失：恢复成本，竞争力受损，品牌、声誉受损，负面的公众影响，失去未来的业务机会，影响股票市值或政治声誉；◊法律损失：法律、法规的制裁，带来相关联的诉讼或追索等。信息安全管理系统ISMS(InformationSecurityManagementSystem)信息安全管理体系，是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所使用的方法体系，它是整个管理体系的一部分，是基于业务风险方法，来建立、实施、运行、监视、评审、保持和改进组织的信息安全系统，其目的是保障组织的信息安全。它由许多要素组成，如组织结构、方针策略、规划活动、职责、实践、程序、过程和资源等；从预防控制的角度出发，保障组织的信息系统与业务之安全与正常运作。信息安全管理需要组织中的所有雇员的参与，比如为了防止组织外的第三方人员非法进入组织的办公区域获取组织的技术机密，除物理控制外，还需要组织全体人员参与，加强控制。此外还需要供应商，顾客或股东的参与，需要组织以外的专家建议。为什么要建立信息安全管理体系?

>■保护企业的知识产权、商标、竞争优势A•维护企业的声誉、品牌和客户信任>■减少可能潜在的风险隐患，减少信息系统故障、人员流失带来的经济损失>■强化员工的信息安全意识，规范组织信息安全行为>■在信息系统受到侵袭时，确保业务持续开展并将损失降到最低程度BS7799的发展历史1995年BS7799-1：1995《信息安全管理实施规则》英国制定了世界上第一个信息安全管理体系标准作为工商业和大、中、小型组织实施信息安全管理的指南。1998年BS7799-2：1998《信息安全管理体系规范》英国制定了第一个信息安全管理体系认证标准，作为对一个组织的全面或部分信息安全管理体系进行评申认证的依据标准。1999年BS7799-1：1999BS7799-2：1999鉴于计算机和信息处理技术，尤其是网络和通信领域应用的迅速发展，英国又对信息安全管理体系标准进行了修订2000年ISO/IEC17799：2000《信息技术一信息安全管理实施规则》被ISO/IEC正式采纳成为国际标准2002年ISO/IEC的《信息安全管理体系规范》被ISO/IEC正式采纳成为国际标准2005年ISO/IEC17799:2005ISO/IEC17799:ISO/IEC27001:2005(Information

2005（Informationtechnology-Security2005（Informationtechnology-Securitytechniques-Codeofpracticeforinformationsecuritymanagement信息技术-安全技术-信息安全管理实用规则）于2005年6月15日发布，是ISMS系列标准中的“指南”类标准，这个标准的控制目标和控制措施部分的内容作为ISO/IEC27001:2005的附录A，被ISMS认证的组织选择使用。technology-Securitytechniques-Informationsecuritymanagementsystems-Requirements信息技术-安全技术-信息安全管理体系-要求）于2005年10月15日正式发布，是ISMS系列标准中的“要求”类标准，我们平常所说的ISMS认证，就是指通过这个标准的认证。同ISO9001:2000（质量管理体系）和ISO14001:1996（环境管理体系）等国际知名管理体系标准采用相同的风格，使信息安全管理体系更容易和其它的管理体系相协调。ISO/IEC27001:2005标准的主要内容>■标准特点：注重体系的完整性，是一套科学的信息安全管理体系0以风险评估为基础0强调对法律法规的符合性0广泛适用于各类组织0与ISO9000标准有很强的兼容性计切PLAN相关单位管理状态下的信息安全安全需求和期里计切PLAN相关单位管理状态下的信息安全安全需求和期里监技和评审TS昭CHECK维护和W医作巧捋和改进循环魂进巧般实施和开'发人•维护>■ISO27001提供了一个组织进行有效安全管理的公共基础，全面涵盖了信息系统日常安全管理方面的内容，提供了一个可持续提高的信息安全管理环境。包括安全管理的注意事项和安全制度，例如磁盘文件交换和处理的安全规定、设备的安全配置管理、工作区进出的控制等一些很容易理解的问题。这些管理制度易于理解，一般的单位都可以制定，具有可操作性，推广信息安全管理标准的关键在于重视程度和制度落实方面。体系包括建立、运行、评审、维护和改进一系列过程。ISO27001:2005从11个方面定义了133项控制措施安全方针:为信息安全提供管理指导和支持；组织安全:建立信息安全架构，保证组织的内部管理;被第三方访问或外协时，保障组织的信息安全；资产的归类与控制：明确资产责任，保持对组织资产的适当保护;将信息进行归类，确保信息资产受到适当程度的保护；人员安全:在工作说明和资源方面，减少因人为错误，盗窃，欺诈和设施误用造成的风险;加强用户培训，确保用户清楚知道信息安全的危险性和相关事项，以便在他们的日常工作中支持组织的安全方针;制定安全事故或故障的反应程序，减少由安全事故和故障造成的损失，监控安全事件并从这种事件中吸取教训；实物与环境安全:确定安全区域，防止非授权访问，破坏,干扰商务场所和信息;通过保障设备安全，防止资产的丢失，破坏，资产危害及商务活动的中断;采用通用的控制方式，防止信息或信息处理设施损坏或失窃；通信和操作方式管理:明确操作程序及其责任，确保信息处理设施的正确，安全操作；加强系统策划与验收,减少系统失效风险;防范恶意软件以保持软件和信息的完整性;加强内务管理以保持信息处理和通讯服务的完整性和有效性通过;加强网络管理确保网络中的信息安全及其辅助设施受到保护;通过保护媒体处理的安全,防止资产损坏和商务活动的中断;加强信息和软件的交换的管理，防止组织间在交换信息时发生丢失,更改和误用；访问控制:按照访问控制的商务要求，控制信息访问；加强用户访问管理,防止非授权访问信息系统；明确用户职责，防止非授权的用户访问；加强网络访问控制,保护网络服务程序;加强操作系统访问控制，防止非授权的计算机访问；加强应用访问控制，防止非授权访问系统中的信息;通过监控系统的访问与使用，监测非授权行为;在移动式计算和电传工作方面，确保使用移动式计算和电传工作设施的信息安全；系统开发与维护：明确系统安全要求，确保安全性已构成信息系统的一部份;加强应用系统的安全，防止应用系统用户数据的丢失,被修改或误用；加强密码技术控制，保护信息的保密性，可靠性或完整性;加强系统文件的安全，确保IT方案及其支持活动以安全的方式进行;加强开发和支持过程的安全,确保应用系统软件和信息的安全；信息安全事故管理：确保与信息系统有关的安全事件和弱点的沟通能够及时采取纠正措施，确保使用持续有效的方法管理信息安全事故。商务连续性管理:防止商务活动的中断及保护关键商务过程不受重大失误或灾难事故的影响；符合性:符合法律法规要求，避免刑法，民法,有关法令法规或合同约定事宜及其他安全要求的规定相抵触;加强安全方针和技术符合性评审,确保体系按照组织的安全方针及标准执行;系统审核考虑因素，使效果最大化，并使系统审核过程的影响最小化。建立信息安全管理体系的步骤圈1建立信息安全管理体系的步骤风险评彷策略文档ISMS范围适用性申诘定义■信息安全菅理策略定义信息安全管理范围进行信息安全风险评估进行风险管理选择肯理控制目标准备适用性声明贯标过程>■系统规划系统规划主要是明订信息安全管理的目标、范围和政策，并收集目前和公司圈1建立信息安全管理体系的步骤风险评彷策略文档ISMS范围适用性申诘定义■信息安全菅理策略定义信息安全管理范围进行信息安全风险评估进行风险管理选择肯理控制目标准备适用性声明>■风险评估ISMS的目标是透过系统的安全风险评估确定安全需求，并对实施控制措施的支出与安全事故可能造成的商业损失进行权衡考虑；透过风险评估可以了解风险的权重和等级，以供建立安全控制机制的参考。>■风险管理公司必须就企业需求和法令规章决定可接受风险之临界等级，并应该依照所决定的风险管理策略规划和建立控制机制。风险管理的重点在于建立一套循环不断的Plan-Do-Check-Action机制，藉由不断的审核、重新规划，加强让公司内的安全等级不断提升。>■系统颁行和推广ISMS是一套不限于IT技术的管理系统，它就像是ISO9001一样需要全公司员工身体力行方能奏效。在实施的过程中，需要经营管理阶层的认知与全力支持，以及全体员工的共识和配合。教育训练和不断的实施活动是必要的，尤其需要定期审核和检查，以确保系统可以持续不断的执行。>■有效地实施选定的控制目标和控制方式；>■进行内部审核和管理评审，保证体系的有效实施和持续适宜。贯标计划阶段工作任务所需天数时间安排体系建立ISO27001贯标启动会和标准基本培训1第1个月系统规划1风险评估3程序文件/记录的编写和内部评审20第1个月~第2个月咨询师对程序文件/记录的审查2体系文件批准1体系实施体系文件内部培训2第3个月~第5个月认证机构的第一次审核1体系运行/风险管理90内部评审内部审核2第6个月整改10管理评审准备2管理评审1模拟审核2整改5正式认证认证机构的预评审1第7个月认证机构的第二次审核2

ISO27001的认证>■ISO27001的认证方法与ISO9001的认证相似，所不同的是：ISO27001的认证分两个阶段：■第一阶段审核主要是文档审核，进行方针、范围和采用程序的审核，查看风险评估的结果、处理方法和适用性声明，检查体系中遗漏和繁琐需要修改的地方。确认受审核方是否具备认证条件。■第二阶段审核主要是现场审核，评价受审核方的ISMS是否有效运行，是否能通过认证。认证通过后发放证书，三年有效。ISO27001和ISO9001整合为一个体系用与标5

适明目施

攻声制措性控和四ISO/IEC20000:2005介绍用与标5

适明目施

攻声制措性控和由国际标准化组织(ISO)和国际电工委员会(IEC)共同发布的ISO/IEC20000将使企业能够对其管理服务传递的能力进行评价，衡量其服务水平，评估绩效。这个标准是基于英国BS15000而来的，并且整合到了ISO和IEC的软件和系统工程标准中。如今，IT服务提供者面临''以最低的成本交付高质量的服务〃的持久压力。无论是内部IT部门还是外部组织提供的IT服务，都很难与其业务和客户的需求保持一致。ISO/IEC20000将帮助企业减少运营风险，满足合约和客户对IT服务的需求，改善服务质量并交付最佳价值。执行ISO/IEC20000，可以以主动的工作实践提供高水平的客户服务，以满足客户的业务需求。ISO/IEC20000:2005“信息技术一服务管理〃包括两部分内容，这些内容将为服务提供者了解如何提高交付给其客户的服务质量提供帮助。第一部分：管理规范(Specification)—IT服务管理标准，对IT服务管理提出要求，并且与那些负责初始化、实施或维持IT服务管理的人员相关。第二部分：实施准则(Codeofpractice)—实践指导，为审计人员提供行业一致认同的指南，并且为服务提供者实施服务改进计划或通过ISO/IEC20000-1:2005审核提供指导。ISO/IEC20000整合了ISO管理体系标准基于流程导向的方法(PDCA)，如ISO9001:2000和ISO14001:2004等，包括规划(Plan)-执行(Do)-检查(Check)-行动(Act)的循环和持续改善方法论。第一部分：管理规范(Specification)-IT服务管理标准介绍ISO/IEC20000-1:2005概要ISO/IEC20000-1:2005定义了服务提供者交付管理服务的需求。他基于已被替代的BS15000-2。它可应用于以下情况：被向外提供服务的组织使用；被要求其所有外包服务供应商在同一供应链中一致工作的组织使用；被测度其IT服务管理的服务供应商使用；作为正式认证前的评估基础；被需要证明其有能力提供客户所需服务的组织使用；旨在通过管理和提升服务质量流程的有效实施来提升服务组织使用。ISO/IEC20000-1:2005促进了组织采用流程整合的方法，有效地交付管理服务以满足业务和客户的需求。对于期望高效执行IT服务管理的组织而言，需要识别并管理大量的相关活动。服务管理流程的整合实施，为持续控制和改善IT服务提供了可能。组织需要以较低的成本获得不断更新的基础设施，以满足他们的业务需求。随着服务外包日益普及，技术选择日益多样的今天，服务提供者必须不断努力来维持高水平的客户服务。由于被动响应，他们没有更多的时间进行规划、培训、检查、研究以及与客户共同工作。结果导致结构化、主动的服务举措难以得到实施。而客户要求服务提供者不断提高其服务质量、降低成本、增加灵活性并对客户的需求做出更快地响应。相反，有效的服务管理能够交付高水平的客户服务和客户满意度。服务和服务管理对于组织创造价值并且符合成本效益是至关重要的。ISO/IEC20000标准能够使服务提供者了解如何提高他们交付给内部或外部客户的服务质量。ISO/IEC20000标准描绘了IT服务管理标准与最佳实践之间的区别，这些流程与组织的构成或大小以及组织的名称和结构无关。ISO/IEC20000标准适用于大型或小型的服务提供者。服务管理流程将以有限的资源水平为客户交付最能满足其需求的服务。如：专业的、符合成本效益的、风险受控的服务。第二部分：实施准则(Codeofpractice)一实践指导ISO/IEC20000-2:2005概要ISO/IEC20000-2:2005为审计人员提供行业一致认同的指南，并且为服务提供者规划服务改善或通过ISO/IEC20000-1:2005审核提供指导。ISO/IEC20000-2:2005基于已被替代的BS15000-2的。实践准则描述了在BS15000-1中服务管理流程的最佳实践。为以最小成本满足业务需求，客户对使用先进设施会不断提出要求，服务提供就越发显得重要了。人们已经意识到服务和服务管理对于帮助组织开源节流的重要性。ISO/IEC20000-1是服务管理规范，在阅读时应结合ISO/IEC20000-2。ISO/IEC20000系列能使组织了解如何从内部和外部改进其服务质量。由于组织对服务支持的日益依赖，以及技术多样性的现状，服务提供方有可能通过努力保持客户服务的高水准。服务供应方往往被动工作，很少花时间规

划、培训、检查、调查并与客户一同工作，其结果必然导致失败。其失败就源于没有采用系统、主动的工作方式。服务供应商也常常被要求提高服务质量，降低成本、采用更大灵活性和更快反应速度。有效的服务管理能提供高水准的客户服务和较高的客户满意度。ISO/IEC20000系列对流程的最佳实践进行了总结，可适用于不同规模、类型和结构的组织。适用于大型或小型组织，服务管理流程最佳实践要求并不会因为组织形式不同而被改变。ISO/IEC20000-2描述了IT服务管理流程质量标准。这些服务管理流程为组织在一定环境中开展业务提供了最佳实践指南，包括提供专业服务、降低成本、调查和控制风险。在同一流程中，在流程之间和工作团队之间使用各种术语往往会让一个刚接触服务管理的管理者不知所措。对术语的一知半解会阻碍建立有效的组织流程。因此了解ISO/IEC20000术语非常重要。ISO/IEC20000-2推荐服务管理者采用一致的术语和统一的方法进行服务管理，这可以为改进服务交付基础，并有助于服务提供者建立一个服务管理框架。ISO/IEC20000-2为审计人员提供指南，并可为组织规划服务的改进提供帮助，以便组织通过ISO/IEC20000-1认证。CT业业务息技术座用*服务为什么需要标准化？CT业业务息技术座用*IT服务提供（运营）过程，实际上是人、流程和技术（包括硬件设备和相关的软件工具）实现整合的过程，而IT服务管理也就是对该过程进行的计划、组织、协调和控制。这和产品生产过程其实没什么两样，资源和技术是输入该过程的原料，输出的IT服务是通过该流程生产的产品°IT服务提供过程中涉及的人、流程和技术，决定了最终输出的IT服务的质量和成本，如下图所示：人是IT服务提供（运营）过程中最能动、也最难规范的因素。对于IT服务经理来说，基于以下假设来组织和协调其IT服务运营是有必要的。第一，人是有惰性的。主观上，人总会在任何可能（不会被发现或不会导致严重的后果）的情况下偷懒；客观上，人不可能向机器那样及时、保质保量工作，持续工作会使人感到疲劳，从而倾向于逃避其应承担的义务和责任，如负责处理事故的二线支持人员可能处于懒惰的心理而将当天应处理的工单拖延至第二天。第二，人是有忘性的。人不可能精确无误地记住所有的事情，总有''内存溢出〃的时候。如在评估变更影响时，如没有明确的变更影响评估表，很有可能因为考虑不周全而产生不可逆转的影响。第三，人是情绪化的。一个再严格的流程，也可能会由于某个员工一时的情绪失控而得不到遵循。第四，人是有自主意识的。人不同于机器的地方在于，机器可以纯粹地执行命令，而人在执行命令时必然掺进了其自己的意识和观念。这使得IT人员（包括用户）在执行任务时往往会偏离标准的服务流程而''擅作主张〃。第五，人是有私心的。在推行IT服务管理的实践中，经常碰到的一个问题是，二线和三线的支持人员在解决故障后，并没有将故障解决方案完整地输入到知识库中，这是因为在缺乏良好的激励机制的情况下，资深的技术人员并不愿意将其自身的专业技能与大家分享，形成知识和技能垄断更有利于巩固其在团队中的地位。第六，人容易受习惯支配且对变更（变革）有较强的抵抗心理。习惯是一个人意识和观念的长时间积累和浸润的结果，习惯一旦形成，就会对人的行为产生强大的控制力。当感觉到外界环境的变更时，IT人员和用户都会本能地产生抵触情绪。这也是在组织中推行IT服务管理往往会碰到很多阻力的原因之一。关于人的特性，管理学家提出过许多的假设。以上六点假设至少可以表明，在一个IT服务运营团队中，人与人之间存在很大的个体差异性。要实现稳定一贯的服务质量和较低的服务成本，就需要保证整个团队保持良好的沟通和协调工作，而相关标准（如ISO20000）的采用可以为团队成员提供一套共同的语言，并可以最大程度地''熨平〃团队成员之间的个体差异性，即提高了人的因素的标准化程度。获得ISO20000认证将获得以下好处：客户关注您的客户对您提供的IT服务满足其需求的承诺，会更有信心。使用服务级别协议来保证资源被集中用于这些目标领域。节省成本响应、调查和解决IT突发事件的成本是显著的。认证可以帮助您节省成本，因为实施ITSMS能够更加主动的进行问题管理，调查现实和潜在事故的根本原因，采取措施保证迅速解决并预防事故再发生。高效的供应商管理认证明确了服务提供商与提供服务的第三方供应商之间的接口。有效的供应商管理有助于提供无缝、高质量的服务，同时通过明确定义各方的角色以避免不确定性和风险。三其他说明1、咨询团队咨询专家组项目经理时莉负责对项目整体进行进度控制、技术接口，承担主要咨询工作项目咨询顾问连国华高级软件架构师和培训师，UML和面向对象方法，熟悉CC/CQ工具使用张兴远高级过程改进咨询顾问，熟悉CC/CQ在企业中的部署及应用孙倩高级过程改进咨询顾问，具有专业的项目管理经验及过程改进经验可选咨询顾问何卫东软件工程专家，具有16年软件工程的研究和实践曹济项目管理专家，FPA估算专家李扬对CMM/CMMI及软件过程改进有丰富的实践经验及软件开发经验韩田音高级咨询师，在美国休斯、飞利浦、朗讯在中国的公司中担任生产韩心曰部经理、信息中心主