IT相关资质认证.docx

1、IT相关资质认证IT相关资质认证 ISO27001信息安全管理体系 信息安全管理体系简介： 信息安全是一个广泛而抽象的概念，不同领域不同方面对其概念的阐述都会有所不同。建立在网络基础之上的现代信息系统，其安全定义较为明确，那就是：保护信息系统的硬件、软件及相关数据，使之不因为偶然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行。在商业和经济领域，信息安全主要强调的是消减并控制风险，保持业务运营的连续性，并将风险造成的损失和影响降低到最低程度。 信息作为一种资产，是企业或组织进行正常业务运作和管理不可或缺的资源。从最高层次来讲，信息安全关系到国家的安全；对组织机构来说，

2、信息安全关系到业务正常运作和持续发展；对一个企业来说，生存发展是头等大事，而企业的生存和发展，有赖于企业所特有的各项业务活动的健康有序的进行，对现代企业来说，高度信息化是必然之道，是企业一切业务、管理和运作活动所依赖的基础之一；就个人而言，信息安全是保护个人隐私和财产的必然要求。无论是个人、组织还是国家，保持关键的信息资产的安全性都是非常重要的。信息安全的任务，就是要采取措施（技术手段及有效管理）让这些信息资产免遭威胁，或者将威胁带来的后果降到最低程度，以此维护组织的正常运作。 总的来说，凡是涉及到保密性、完整性、可用性、可追溯性、真实性和可靠性保护等方面的技术和理论，都是信息安全所要研究的范

3、畴，也是信息安全所要实现的目标。 2、什么是信息安全管理体系 信息安全管理体系（Information Security Management System，简称ISMS）是组织整体管理体系的一个部分，是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。基于对业务风险的认识，ISMS包括建立、实施、操作、监视、复查、维护和改进信息安全等一系列的管理活动，并且表现为组织结构、策略方针、计划活动、目标与原则、人员与责任、过程与方法、资源等诸多要素的集合。 ISO/IEC27001:2005就是建立和维护信息安全管理体系的标准，是国际最具权威的适用于各类组织的信息安全整体

4、解决方案，它要求通过PDCA过程来建立ISMS框架：确定体系范围，制定信息安全策略，明确管理职责，通过风险评估确定控制目标和控制方式。体系一旦建立，组织应该实施、维护和持续改进ISMS，保持体系运作的有效性。同时，ISO/IEC27001:2005也非常强调信息安全管理过程中文件化的工作，ISMS的文件体系应该包括安全策略、适用性声明（选择与未选择的控制目标和控制措施）、实施安全控制所需的程序文件、ISMS控制和操作程序，以及组织围绕ISMS开展的所有活动的证明材料。除此之外，它还提供了国际上知名企业在信息安全方面的133个良好实践惯例，通过对组织中涉及信息安全的11大领域实施这133个控制措

5、施来达到涵盖整个组织信息安全的39个控制目标，从而实现整个组织的业务持续发展战略。 ISO27001信息安全管理系统标准： 随着网络逐步的进入社会。越来越多的接解到网络。网络的普及给人们的生活带来了极大的便利；但网络同时作一柄双刃剑，给社会用个人也带来了相当的威胁。当信息被意外或刻意的传给恶意的接收者时，对个人或单位都会带来极大的伤害。有的企业会因为信息的外泄而倒闭。在当今的信息时代，科技无疑为我们解决了很多问题。 国际标准组织(ISO)应此类需求，制定了ISO27001:2005标准，为如何建立、推行、维持及改善信息安全管理系统提供帮助。信息安全管理系统(ISMS)是高层管理人员用以监察及控

6、制信息安全、减少商业风险和确保保安系统持续符合企业、客户及法律要求的一个体系。ISO/IEC 27001:2005能协助机构保护专利信息，同时也为制定统一的机构保安标准搭建了一个平台，更有助于提升安全管理的实务表现和增强机构间商业往来的信心与信任。 什么机构可采用ISO/IEC 27001:2005标准？ 任何使用内部或外部电脑系统、拥有机密资料及/或依靠信息系统进行商业活动地机构，均可采用ISO/IEC 27001:2005标准。简单的说，也就是那些需要处理信息、并认识到信息保护重要性的机构。 ISO/IEC 27001的控制目标及措施 ISO/IEC 27001制定的宗旨是确保机构信息的机

7、密性、完整性及可用性，为达成上述宗旨，该标准共提出了39个控制目标及134项控制措施，推行ISO/IEC 27001标准的机构可在其中选择适用于其业务的控制措施，同时也可增加其他的控制措施。而与ISO/IEC 27001相辅的ISO 17799:2005标准是信息安全管理的实务守则，为如何推行控制措施提供指引。 ISO/ IEC 27001:2005的架构 ISO/ IEC 27001:2005标准在2005年10月公布，同时取缔了多国采纳的英国标准BS 7799-2:2002，但新旧标准的要求并无太大分别。ISO / IEC 27001:2005标准以Edward Deming博士提出的“计

8、划-实施-核查-采取行动”循环周期作为制定蓝图，以实现持续改善的目标。 I.计划 计划最重要的部分是设定涵盖的范畴及区域，它可以是： 覆盖整个组织并涉及多个地点的办事处及/或厂房 ISO27000运行过程中，组织应注意哪些方面: 信息安全管理体系文件编制完成以后，组织应按照文件的控制要求进行审核与批准，并发布实施，至此，信息安全管理体系将进入运行阶段。体系运行初期一般称为试运行期或磨合期，在此期间体系运行的目的是要在实践中检验体系的充分性、适用性和有效性。在体系运行初期，组织应加强运作力度，通过实施其手册、程序和各种作业指导性文件等一系列体系文件，充分发挥体系本身的各项功能，及时发现体系策划本

9、身存在的问题，找出问题根源，采取纠正措施，纠正各种不符合，并按照更改控制程序要求对体系予以更改，以达到进一步完善信息安全管理体系的目的。 有针对性地宣贯信息安全管理体系文件。 体系文件的培训工作是体系运行的首要任务，培训工作的质量直接影响体系运行的结果。组织应根据培训工作计划的安排并按照培训程序的要求对全体员工实施培训。通过培训使全体员工认识到新建立或完善的信息安全管理体系是对过去信息安全管理体系的变革，是为了向国际先进的信息安全管理标准接轨，要适应这种变革和新管理体系的运行，就必须认真学习、贯彻信息安全管理体系文件。 实践是检验真理的唯一标准。 体系文件通过试运行必然会出现一些问题，全体员工

10、应将实践中出现的问题和改进意见如实反馈给有关部门，以便采取纠正措施。 将体系试运行中暴露出的问题，如体系设计不周、项目不全等进行协调、改进。 信息安全管理体系的运行涉及组织体系范围的各个部门，在运行过程中，各项活动往往不可避免的发生偏离标准的现象，因此，组织应按照严密、协调、高效、精简、统一的原则，建立信息反馈与信息安全协调机制对异常信息反馈和处理，对出现的问题加以改进，并保证体系的持续正常运行。 加强有关体系运行信息的管理，不仅是信息安全管理体系试运行本身的需要，也是保证试运行成功的关键。 所有与信息安全管理体系活动有关的人员都应按体系文件要求，做好信息安全的信息收集、分析、传递、反馈、处理

11、和归档等工作。 信息安全体系文件属于组织的信息资产，包含有关组织的全部安全管理等敏感信息，组织应按照信息分类的原则对其进行分类、进行密级标注并实行严格的安全控制，XX不得随意复制或借阅。 公司做ISO27001有哪些好处: 信息安全管理体系标准（ISO27001)可有效保护信息资源,保护信息化进程健康、有序、可持续发展。ISO27001是信息安全领域的管理体系标准，类似于质量管理体系认证的ISO9000标准。当您的组织通过了ISO27001的认证,就相当于通过ISO9000的质量认证一般，表示您的组织信息安全管理已建立了一套科学有效的管理体系作为保障。根据ISO27001对您的信息安全管理体系

12、进行认证，可以带来以下几个好处: 引入信息安全管理体系就可以协调各个方面信息管理，从而使管理更为有效。保证信息安全不是仅有一个防火墙，或找一个24小时提供信息安全服务的公司就可以达到的。它需要全面的综合管理。 通过进行ISO27001信息安全管理体系认证，可以增进组织间电子电子商务往来的信用度，能够建立起网站和贸易伙伴之间的互相信任，随着组织间的电子交流的增加通过信息安全管理的记录可以看到信息安全管理明显的利益，并为广大用户和服务提供商提供一个基础的设备管理。同时，把组织的干扰因素降到最小，创造更大收益。 通过认证能保证和证明组织所有的部门对信息安全的承诺。 通过认证可改善全体的业绩、消除不信

13、任感。 获得国际认可的机构的认证证书，可得到国际上的承认，拓展您的业务。 建立信息安全管理体系能降低这种风险，通过第三方的认证能增强投资者及其他利益相关方的投资信心。 组织按照ISO27001标准建立信息安全管理体系，会有一定的投入，但是若能通过认证机关的审核，获得认证，将会获得有价值的回报。企业通过认证将可以向其客户、竞争对手、供应商、员工和投资方展示其在同行内的领导地位;定期的监督审核将确保组织的信息系统不断地被监督和改善，并以此作为增强信息安全性的依据,信任、信用及信心,使客户及利益相关方感受到组织对信息安全的承诺。 ISO27000策划与准备阶段涉及的工作: 教育培训 为了强化组织的信

14、息安全意识，明确信息安全管理体系的基本要求，进行信息安全管理体系标准和相关知识的培训是十分必要的，这也是组织搞好信息安全管理的关键因素之一。 拟定计划 信息安全管理体系的建立和维持是一项复杂的系统工程，包括培训、风险评估、文件编写、运行、审核、纠正和预防措施等大量的工作。为确保体系顺利的建立，组织应进行统筹安排，即制定一个切实可行的工作计划，明确不同时间段的工作任务目标及责任分工，控制工作进度，突出工作重点，例如采用工程进度计划表。总体计划被批准后，就可以针对具体工作项目制定详细计划，例如文件编写计划。在制定计划时，组织应考虑资源需求，例如人员的需求、培训经费、办公设施、聘请咨询公司的费用等，

15、如果寻求体系的第三方认证，还要考虑认证费用，组织最高管理层应确保提供建立体系所必须的人力与财务资源。 确定信息安全方针与信息安全管理体系范围 信息安全方针是关于在一个组织内，指导如何对资产，包括敏感信息进行管理、保护和分配的规则、指示。这里所谈到的信息安全方针是组织信息安全的总体方针，组织首先应制定信息安全方针，描述信息安全在组织内的重要性，表明管理层的承诺，提出组织管理信息安全的方法，以便为组织的信息安全提供管理方向与支持。 现状调查与风险评估 组织信息安全管理现状调查与风险评估工作是建立信息安全管理体系的基础与关键，在体系建立的整个过程中，风险评估的工作量占了很大比例，风险评估的工作质量直

16、接影响安全控制的合理选择，因此，组织应责成专门的部门负责此项基础性工作，风险评估人员应理解标准的基本要求，掌握风险评估的方法，熟悉组织商务运作流程与信息系统。风险评估需要不同部门的管理、信息技术、操作人员参与，必要时应获得信息安全专家的支持。风险评估的结果应被确认。 信息安全管理体系策划 在完成现状调查与风险评估工作之后，组织要根据已确立的信息安全方针的总体要求与信息安全管理体系范围、风险评估的结果，明确组织信息安全结构与职责、选择控制目标与控制方式、编写控制概要、制定业务持续性计划。 ISO27000中的PDCA四个阶段: 策划阶段，组织应： 定义ISMS的范围和方针； 定义风险评估的系统性

17、方法； 识别风险； 应用组织确定的系统性方法评估风险； 识别并评估可选的风险处理方式； 选择控制目标与控制方式； 当决定接受剩余风险时应获得管理者同意，并获得管理者授权开始运行信息安全管理体系。 实施阶段，组织应该实施选择的控制，包括： 实施特定的管理程序； 实施所选择的控制； 运作管理； 实施能够促进安全事件检测和响应的程序和其他控制。 检查阶段，组织应： 执行程序，检测错误和违背方针的行为； 定期评审ISMS的有效性； 评审剩余风险和可接受风险的等级； 执行管理程序以确定规定的安全程序是否适当，是否符合标准，以及是否按照预期的目的进行工作； 定期对ISMS进行正式评审，以确保范围保持充分性

18、，以及ISMS过程的持续改进得到识别并实施； 记录并报告所有活动和事件。改进措施阶段，组织应： ISO20000IT服务管理体系 什么是ISO20000 2005年12月，英国标准协会已有的IT服务管理标准BS15000，已正式发布成为ISO国际标准：ISO20000。ITIL从1980年代IT服务管理最佳实践萌芽，到2000年成为英国标准协会的IT服务管理标准BS15000，再到2005年5月17日通过快速通道成为ISO国际标准家族中的一员，ITIL最终修成“正果”，成为国际标准，被国际广泛接受。 在成为国际标准以前，该标准就已经被许多国家采用。如澳大利亚的AS8018和南非一些国家。目前，

19、在我国越来越多的企业正在应用IT服务管理的最佳实践，并且国内某大型企业已经在2005年通过BS15000认证。 ITIL与ISO20000有什么不同？ IT服务管理最佳实践得到归纳总结出现ITIL方法论之后，第一次突破性的发展，是英国标准协会（BSI）在IT服务管理论坛（itSMF）上，正式发布以ITIL为核心的国家标准BS15000，值得注意的是，ITIL从国家标准到国际标准，是一个非常快的过程，国际标准组织是2005年5月以快速表决方式通过（fast track）的，所以才能在2005年12月就正式发布。 基本上，ISO20000就是从BS15000延伸而来，两者之间的整体框架没有什么不同

20、，但是ITIL与ISO20000之间的框架，却有些差距。整体来说，ITIL是10个管理流程（不含服务台），ISO20000BS15000则是13个管理流程，其中新增的业务关系管理（Business Management）与供货商管理（Supplier Management），对于ITIL来说，这些已经同时包含在服务等级管理（Service Level Management）之中；另外，ISO20000新增的服务报告（Service Reporting），事实上也涵盖在ITIL的每个管理流程当中。 引入ISO20000刻不容缓 包括中国、印度等国家，正在兴起争取参与ITIL或ISO20000 企

21、业实施ISO20000的意义: 建立、实施和推广服务管理流程，强化员工服务意识，规范组织的服务行为； 规范服务输出质量，建立服务质量监测体系，为管理层和客户提供管理信息； 获取IT 服务管理领域的国际认可的专业认证，提升业内知名度； 增强企业品牌和信誉，获得市场竞争优势； 有利于全面提升客户总体的服务体验与满意度。 由此可见，ISO 20000 认证意味着认证组织机构达到了国际领先的IT 服务管理水平，代表企业的服务管理基于IT 服务管理的最佳实践。因此，获得 ISO20000 认证是企业快速实现高质量IT 服务，获得业界领先优势的捷径。 实施ISO20000认证有哪些好处: 达到了世界公认的

22、领先的IT服务管理标准，确保为客户提供有效的、可靠的IT服务。 通过提供稳定优质的IT服务提高公司业务的行业竞争力 使信息技术和信息安全的决策与公司主营业务战略保持一致 管理并降低遭遇的风险 管理并降低IT成本 更加快速的实施变更，是变化成为计划 更可靠的IT服务，增加客户满意度 与供应商和合作伙伴建立紧密的合作关系，共同为您的客户提供服务 获得ISO/IEC 20000认证，意味着您的组织达到了世界公认的领先的IT服务管理标准，意味着您的服务管理采用于IT服务管理最佳实践，确保为客户提供有效的、可靠的IT服务。 ISO20000的适用范围: ISO/IEC 20000是一个针对管理流程系统的

23、标准，ISO/IEC 20000的认证适合IT服务的提供者，可以内部的IT部门，也可以是外部的服务提供商。获取ISO/IEC 20000的认证，意味着提供服务的IT组织，对ISO/IEC 20000中定义的这些管理流程，具有足够好的管理控制力。这里所谓对流程的管理控制力包括： 对流程输入的了解和控制 对流程输出的了解、使用和诠释 制定和执行对流程效能的衡量机制 有客观的证据表明，对流程的功能负责，使之符合ISO 20000标准要求 制定流程的改进提高计划，衡量和回顾改进结果 IT服务组织要获得ISO/IEC 20000的认证，必须证明它能够对标准中涉及的所有5组13个流程都具有以上的管理控制力

24、。ISO/IEC 20000系列对流程的最佳实践进行了总结，可适用于不同规模、类型和结构的组织，服务管理流程最佳实践要求并不会因为组织形式不同而被改变。 如何实施ISO20000: 采用PDCA的方法论，深入了解客户IT部门的实际运营状况，对照ISO20000标准进行差距分析，根据项目范围及差距分析报告梳理客户IT服务管理流程，对客户进行意识培训，切实将流程落地。 1. 服务交付流程 服务级别管理 可用性管理 能力管理 2. 关系流程 业务关系管理 供应商管理 3. 解决流程 突发事件管理 问题管理 4. 控制流程 变更管理 配置管理 5. 应用发布流程 应用发布管理 6. 管理层意识 7.

25、差距分析 8. 文档管理 9. 内部审计 10. 定期回顾 11. 管理责任 12. PDCA管理方法 企业ISO20000认证需准备： 前期准备 ISO 20000是面向机构的IT服务管理标准，目的是提供建立、实施、运作、监控、评审、维护和改进IT服务管理体系(ITSM)的模型。建立IT服务管理体系(ITSM)已成为各种组织，特别是金融机构、电信、高科技产业等管理运营风险不可缺少的重要机制。ISO 20000让IT管理者有一个参考框架用来管理IT服务，完善的IT管理水平也能通过认证的方式表现出来。 不同于ITIL只有个人认证系列，ISO 20000则是对组织的整体认证，因此需要全方位的建立符

26、合标准的体系，也意味着认证前期准备工作将是复杂而细致的。正所谓“万事开头难”，在着手进行认证之初，必须充分认识到良好而充分的前期准备工作是通过这样一项国际标准认证的基石。实际上，对于大多数组织而言，通常没有太多认证工作相关的经验，因此在认证准备阶段打下扎实的基础，对于整个认证实践都是颇有益处的。 本书将从认证方案制定、调研访谈、咨询审核机构选择、组织内部流程4个方面来介绍认证准备阶段工作。事实上，虽然这四部分内容是大多数组织通过IT认证所必不可少的，但由于每个组织的组织架构和管理基础的不同，前期准备需要完成的具体工作会有一定的差异，通过认证的过程也会不同。因此，组织应“因地制宜”地开展认证实践

27、工作。 制定认证方案 认证准备阶段第一步工作就是完成认证可行性方案的编写。如果把认证活动理解成一个项目，认证方案的编写就是通过对项目的主要内容、目标和相应配套条件(如管理基础、管理需求、项目规模、资源投入等)，从技术、经济、工程等方面进行调查研究和分析比较，并对认证可能取得的经济效益及社会效益进行预测，从而形成该项目是否值得实施和如何实施的咨询意见，为组织的高层提供项目决策的重要依据。从这个意义上来说，认证方案的制定也是认证准备阶段中最重要的工作。 1.可行性分析 可行性分析通常可包含投资必要性、组织可行性、技术可行性、财务可行性、经济可行性、社会可行性、风险因素及对策等部分。由于各类型项目因

28、行业特点而差异很大，具体到ISO 20000认证，通常需要从管理基础和效益两方面进行考虑和分析。 首先是管理基础分析。需要对组织自身的管理基础，包括ITIL体系实施的基础、当前的组织架构和当前管理体系在认证过程中的风险进行全面的评估。 IT服务管理体系的建设，首先是管理问题，其次才是技术问题。成功和失败的经验都表明，需要首先解决管理体制和机制的问题，建立以客户为中心的理念，培养服务意识和质量意识，建立内部可行、科学的服务模式；其次才是借助软件工具将管理流程固化和优化，利用自动化工具辅助和提升管理效率，实现技术和管理的有效结合。因此，在认证可行性分析时应更关注管理可行性，其次才是技术可行性。 C

29、MMI CMMI概述: CMMI 的全称为：Capability Maturity Model Integration，即能力成熟度模型集成。CMMI是CMM模型的最新版本。早期的CMMI（CMMI-SE/SW/IPPD）1.02版本是应用于软件业项目的管理方法，SEI在部分国家和地区开始推广和试用。随着应用的推广与模型本身的发展，演绎成为一种被广泛应用的综合性模型。 自从1994 年SEI 正式发布软件CMM 以来，相继又开发出了系统工程、软件采购、人力资源管理以及集成产品和过程开发方面的多个能力成熟度模型。虽然这些模型在许多组织都得到了良好的应用，但对于一些大型软件企业来说，可能会出现需要

30、同时采用多种模型来改进自己多方面过程能力的情况。这时他们就会发现存在一些问题，其中主要问题体现在： 不能集中其不同过程改进的能力以取得更大成绩； 要进行一些重复的培训、评估和改进活动，因而增加了许多成本； 遇到不同模型中有一些对相同事物说法不一致，或活动不协调，甚至相抵触。 于是，希望整合不同CMM 模型的需求产生了。1997 年，美国联邦航空管理局（FAA）开发了FAA-iCMMSM（联邦航空管理局的集成CMM），该模型集成了适用于系统工程的SE-CMM、软件获取的SA-CMM 和软件的SW-CMM 三个模型中的所有原则、概念和实践。该模型被认为是第一个集成化的模型。 CMMI 与CMM 最

31、大的不同点在于： CMMISM-SE/SW/IPPD/SS 1.1 版本有四个集成成分，即：系统工程(SE)和软件工程(SW)是基本的科目，对于有些组织还可以应用集成产品和过程开发方面(IPPD)的内容，如果涉及到供应商外包管理可以相应的应用SS(Supplier Sourcing)部分。 CMMI 有两种表示方法，一种是大家很熟悉的，和软件CMM 一样的阶段式表现方法，另一种是连续式的表现方法。这两种表现方法的区别是：阶段式表现方法仍然把CMMI 中的若干个过程区域分成了5 个成熟度级别，帮助实施CMMI 的组织建议一条比较容易实现的过程改进发展道路。而连续式表现方法则通过将CMMI 中过程

32、区域分为四大类：过程管理、项目管理、工程以及支持。对于每个大类中的过程区域，又进一步分为基本的和高级的。这样，在按照连续式表示方法实施CMMI的时候，一个组织可以把项目管理或者其他某类的实践一直做到最好，而其他方面的过程区域可以完全不必考虑。 CMMI各个进程的关键元素: CMMI自出道以来，它所达到的目标就没有变过，第一个是质量，第二个是时间表，第三就是要用最低的成本。不过特别强调的是，CMMI不是传统的、仅局限于软件开发的生命周期，它应该被运用于更广泛的一个范畴工程设计的生命周期。TSP的建立，也是为了支持CMMI的这样一个系统。 那么CMMI究竟是什么呢？它并不是一个过程，也不是告诉你怎

33、么去做一件事情。如果用一句话来概括什么是CMMI，它就是各个进程的一个关键的元素，在很多领域里面一个集成的点。它是这样的一个基本架构，能够用来度量你的有效性和实用性；能够找出这样的一些机会，继续改进的机会，包括在商业目标、策略还有降低项目的风险等方面。 一、CMMI的起源: 随着人们对CMM研究的不断深入，其他学科也结合本系统的特点，陆续推出了自己的CMM模型。例如，人力资源能力成熟度模型、系统工程能力成熟度模型等等： （1） SW-CMM (Software CMM) 软件CMM （2） SE-CMM (System Engineering CMM) 系统工程CMM （3） SA-CMM (Software Acquisition CMM) 软件采购CMM （4） IPT-CMM (Integ