IT相关资质认证

《IT相关资质认证》由会员分享，可在线阅读，更多相关《IT相关资质认证（60页珍藏版）》请在装配图网上搜索。

1、IT相关资质认证ISO27001信息安全管理体系信息安全管理体系简介：信息安全是一个广泛而抽象的概念，不同领域不同方面对其概念的阐述都会有所不同。建立在网络基础之上的现代信息系统，其安全定义较为明确，那就是：保护信息系统的硬件、软件及相关数据，使之不因为偶然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行。在商业和经济领域，信息安全主要强调的是消减并控制风险，保持业务运营的连续性，并将风险造成的损失和影响降低到最低程度。信息作为一种资产，是企业或组织进行正常业务运作和管理不可或缺的资源。从最高层次来讲，信息安全关系到国家的安全；对组织机构来说，信息安全关系到业务正常运

2、作和持续发展；对一个企业来说，生存发展是头等大事，而企业的生存和发展，有赖于企业所特有的各项业务活动的健康有序的进行，对现代企业来说，高度信息化是必然之道，是企业一切业务、管理和运作活动所依赖的基础之一；就个人而言，信息安全是保护个人隐私和财产的必然要求。无论是个人、组织还是国家，保持关键的信息资产的安全性都是非常重要的。信息安全的任务，就是要采取措施（技术手段及有效管理）让这些信息资产免遭威胁，或者将威胁带来的后果降到最低程度，以此维护组织的正常运作。总的来说，凡是涉及到保密性、完整性、可用性、可追溯性、真实性和可靠性保护等方面的技术和理论，都是信息安全所要研究的范畴，也是信息安全所要实现的

3、目标。2、什么是信息安全管理体系信息安全管理体系（Information Security Management System，简称ISMS）是组织整体管理体系的一个部分，是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。基于对业务风险的认识，ISMS包括建立、实施、操作、监视、复查、维护和改进信息安全等一系列的管理活动，并且表现为组织结构、策略方针、计划活动、目标与原则、人员与责任、过程与方法、资源等诸多要素的集合。ISO/IEC27001:2005就是建立和维护信息安全管理体系的标准，是国际最具权威的适用于各类组织的信息安全整体解决方案，它要求通过PDCA过程

4、来建立ISMS框架：确定体系范围，制定信息安全策略，明确管理职责，通过风险评估确定控制目标和控制方式。体系一旦建立，组织应该实施、维护和持续改进ISMS，保持体系运作的有效性。同时，ISO/IEC27001:2005也非常强调信息安全管理过程中文件化的工作，ISMS的文件体系应该包括安全策略、适用性声明（选择与未选择的控制目标和控制措施）、实施安全控制所需的程序文件、ISMS控制和操作程序，以及组织围绕ISMS开展的所有活动的证明材料。除此之外，它还提供了国际上知名企业在信息安全方面的133个良好实践惯例，通过对组织中涉及信息安全的11大领域实施这133个控制措施来达到涵盖整个组织信息安全的3

5、9个控制目标，从而实现整个组织的业务持续发展战略。ISO27001信息安全管理系统标准：随着网络逐步的进入社会。越来越多的接解到网络。网络的普及给人们的生活带来了极大的便利；但网络同时作一柄双刃剑，给社会用个人也带来了相当的威胁。当信息被意外或刻意的传给恶意的接收者时，对个人或单位都会带来极大的伤害。有的企业会因为信息的外泄而倒闭。在当今的信息时代，科技无疑为我们解决了很多问题。国际标准组织(ISO)应此类需求，制定了ISO27001:2005标准，为如何建立、推行、维持及改善信息安全管理系统提供帮助。信息安全管理系统(ISMS)是高层管理人员用以监察及控制信息安全、减少商业风险和确保保安系统

6、持续符合企业、客户及法律要求的一个体系。ISO/IEC 27001:2005能协助机构保护专利信息，同时也为制定统一的机构保安标准搭建了一个平台，更有助于提升安全管理的实务表现和增强机构间商业往来的信心与信任。什么机构可采用ISO/IEC 27001:2005标准？任何使用内部或外部电脑系统、拥有机密资料及/或依靠信息系统进行商业活动地机构，均可采用ISO/IEC 27001:2005标准。简单的说，也就是那些需要处理信息、并认识到信息保护重要性的机构。ISO/IEC 27001的控制目标及措施ISO/IEC 27001制定的宗旨是确保机构信息的机密性、完整性及可用性，为达成上述宗旨，该标准共

7、提出了39个控制目标及134项控制措施，推行ISO/IEC 27001标准的机构可在其中选择适用于其业务的控制措施，同时也可增加其他的控制措施。而与ISO/IEC 27001相辅的ISO 17799:2005标准是信息安全管理的实务守则，为如何推行控制措施提供指引。ISO/ IEC 27001:2005的架构ISO/ IEC 27001:2005标准在2005年10月公布，同时取缔了多国采纳的英国标准BS 7799-2:2002，但新旧标准的要求并无太大分别。ISO / IEC 27001:2005标准以Edward Deming博士提出的“计划-实施-核查-采取行动”循环周期作为制定蓝图，以

8、实现持续改善的目标。I.计划 计划最重要的部分是设定涵盖的范畴及区域，它可以是： 覆盖整个组织并涉及多个地点的办事处及/或厂房ISO27000运行过程中，组织应注意哪些方面:信息安全管理体系文件编制完成以后，组织应按照文件的控制要求进行审核与批准，并发布实施，至此，信息安全管理体系将进入运行阶段。体系运行初期一般称为试运行期或磨合期，在此期间体系运行的目的是要在实践中检验体系的充分性、适用性和有效性。在体系运行初期，组织应加强运作力度，通过实施其手册、程序和各种作业指导性文件等一系列体系文件，充分发挥体系本身的各项功能，及时发现体系策划本身存在的问题，找出问题根源，采取纠正措施，纠正各种不符合

9、，并按照更改控制程序要求对体系予以更改，以达到进一步完善信息安全管理体系的目的。有针对性地宣贯信息安全管理体系文件。体系文件的培训工作是体系运行的首要任务，培训工作的质量直接影响体系运行的结果。组织应根据培训工作计划的安排并按照培训程序的要求对全体员工实施培训。通过培训使全体员工认识到新建立或完善的信息安全管理体系是对过去信息安全管理体系的变革，是为了向国际先进的信息安全管理标准接轨，要适应这种变革和新管理体系的运行，就必须认真学习、贯彻信息安全管理体系文件。实践是检验真理的唯一标准。体系文件通过试运行必然会出现一些问题，全体员工应将实践中出现的问题和改进意见如实反馈给有关部门，以便采取纠正措

10、施。将体系试运行中暴露出的问题，如体系设计不周、项目不全等进行协调、改进。信息安全管理体系的运行涉及组织体系范围的各个部门，在运行过程中，各项活动往往不可避免的发生偏离标准的现象，因此，组织应按照严密、协调、高效、精简、统一的原则，建立信息反馈与信息安全协调机制对异常信息反馈和处理，对出现的问题加以改进，并保证体系的持续正常运行。加强有关体系运行信息的管理，不仅是信息安全管理体系试运行本身的需要，也是保证试运行成功的关键。所有与信息安全管理体系活动有关的人员都应按体系文件要求，做好信息安全的信息收集、分析、传递、反馈、处理和归档等工作。信息安全体系文件属于组织的信息资产，包含有关组织的全部安全

11、管理等敏感信息，组织应按照信息分类的原则对其进行分类、进行密级标注并实行严格的安全控制，未经授权不得随意复制或借阅。公司做ISO27001有哪些好处:信息安全管理体系标准（ISO27001)可有效保护信息资源,保护信息化进程健康、有序、可持续发展。ISO27001是信息安全领域的管理体系标准，类似于质量管理体系认证的ISO9000标准。当您的组织通过了ISO27001的认证,就相当于通过ISO9000的质量认证一般，表示您的组织信息安全管理已建立了一套科学有效的管理体系作为保障。根据ISO27001对您的信息安全管理体系进行认证，可以带来以下几个好处: 引入信息安全管理体系就可以协调各个方面信

12、息管理，从而使管理更为有效。保证信息安全不是仅有一个防火墙，或找一个24小时提供信息安全服务的公司就可以达到的。它需要全面的综合管理。通过进行ISO27001信息安全管理体系认证，可以增进组织间电子电子商务往来的信用度，能够建立起网站和贸易伙伴之间的互相信任，随着组织间的电子交流的增加通过信息安全管理的记录可以看到信息安全管理明显的利益，并为广大用户和服务提供商提供一个基础的设备管理。同时，把组织的干扰因素降到最小，创造更大收益。通过认证能保证和证明组织所有的部门对信息安全的承诺。通过认证可改善全体的业绩、消除不信任感。获得国际认可的机构的认证证书，可得到国际上的承认，拓展您的业务。建立信息安

13、全管理体系能降低这种风险，通过第三方的认证能增强投资者及其他利益相关方的投资信心。 组织按照ISO27001标准建立信息安全管理体系，会有一定的投入，但是若能通过认证机关的审核，获得认证，将会获得有价值的回报。企业通过认证将可以向其客户、竞争对手、供应商、员工和投资方展示其在同行内的领导地位;定期的监督审核将确保组织的信息系统不断地被监督和改善，并以此作为增强信息安全性的依据,信任、信用及信心,使客户及利益相关方感受到组织对信息安全的承诺。ISO27000策划与准备阶段涉及的工作:教育培训为了强化组织的信息安全意识，明确信息安全管理体系的基本要求，进行信息安全管理体系标准和相关知识的培训是十分

14、必要的，这也是组织搞好信息安全管理的关键因素之一。拟定计划信息安全管理体系的建立和维持是一项复杂的系统工程，包括培训、风险评估、文件编写、运行、审核、纠正和预防措施等大量的工作。为确保体系顺利的建立，组织应进行统筹安排，即制定一个切实可行的工作计划，明确不同时间段的工作任务目标及责任分工，控制工作进度，突出工作重点，例如采用工程进度计划表。总体计划被批准后，就可以针对具体工作项目制定详细计划，例如文件编写计划。在制定计划时，组织应考虑资源需求，例如人员的需求、培训经费、办公设施、聘请咨询公司的费用等，如果寻求体系的第三方认证，还要考虑认证费用，组织最高管理层应确保提供建立体系所必须的人力与财务

15、资源。确定信息安全方针与信息安全管理体系范围信息安全方针是关于在一个组织内，指导如何对资产，包括敏感信息进行管理、保护和分配的规则、指示。这里所谈到的信息安全方针是组织信息安全的总体方针，组织首先应制定信息安全方针，描述信息安全在组织内的重要性，表明管理层的承诺，提出组织管理信息安全的方法，以便为组织的信息安全提供管理方向与支持。现状调查与风险评估组织信息安全管理现状调查与风险评估工作是建立信息安全管理体系的基础与关键，在体系建立的整个过程中，风险评估的工作量占了很大比例，风险评估的工作质量直接影响安全控制的合理选择，因此，组织应责成专门的部门负责此项基础性工作，风险评估人员应理解标准的基本要

16、求，掌握风险评估的方法，熟悉组织商务运作流程与信息系统。风险评估需要不同部门的管理、信息技术、操作人员参与，必要时应获得信息安全专家的支持。风险评估的结果应被确认。信息安全管理体系策划在完成现状调查与风险评估工作之后，组织要根据已确立的信息安全方针的总体要求与信息安全管理体系范围、风险评估的结果，明确组织信息安全结构与职责、选择控制目标与控制方式、编写控制概要、制定业务持续性计划。ISO27000中的PDCA四个阶段:策划阶段，组织应： 定义ISMS的范围和方针； 定义风险评估的系统性方法； 识别风险； 应用组织确定的系统性方法评估风险； 识别并评估可选的风险处理方式； 选择控制目标与控制方式

17、； 当决定接受剩余风险时应获得管理者同意，并获得管理者授权开始运行信息安全管理体系。实施阶段，组织应该实施选择的控制，包括： 实施特定的管理程序； 实施所选择的控制； 运作管理； 实施能够促进安全事件检测和响应的程序和其他控制。检查阶段，组织应： 执行程序，检测错误和违背方针的行为； 定期评审ISMS的有效性； 评审剩余风险和可接受风险的等级； 执行管理程序以确定规定的安全程序是否适当，是否符合标准，以及是否按照预期的目的进行工作； 定期对ISMS进行正式评审，以确保范围保持充分性，以及ISMS过程的持续改进得到识别并实施； 记录并报告所有活动和事件。改进措施阶段，组织应：ISO20000IT

18、服务管理体系什么是ISO200002005年12月，英国标准协会已有的IT服务管理标准BS15000，已正式发布成为ISO国际标准：ISO20000。ITIL从1980年代IT服务管理最佳实践萌芽，到2000年成为英国标准协会的IT服务管理标准BS15000，再到2005年5月17日通过快速通道成为ISO国际标准家族中的一员，ITIL最终修成“正果”，成为国际标准，被国际广泛接受。 在成为国际标准以前，该标准就已经被许多国家采用。如澳大利亚的AS8018和南非一些国家。目前，在我国越来越多的企业正在应用IT服务管理的最佳实践，并且国内某大型企业已经在2005年通过BS15000认证。 ITIL

19、与ISO20000有什么不同？ IT服务管理最佳实践得到归纳总结出现ITIL方法论之后，第一次突破性的发展，是英国标准协会（BSI）在IT服务管理论坛（itSMF）上，正式发布以ITIL为核心的国家标准BS15000，值得注意的是，ITIL从国家标准到国际标准，是一个非常快的过程，国际标准组织是2005年5月以快速表决方式通过（fast track）的，所以才能在2005年12月就正式发布。 基本上，ISO20000就是从BS15000延伸而来，两者之间的整体框架没有什么不同，但是ITIL与ISO20000之间的框架，却有些差距。整体来说，ITIL是10个管理流程（不含服务台），ISO2000

20、0BS15000则是13个管理流程，其中新增的业务关系管理（Business Management）与供货商管理（Supplier Management），对于ITIL来说，这些已经同时包含在服务等级管理（Service Level Management）之中；另外，ISO20000新增的服务报告（Service Reporting），事实上也涵盖在ITIL的每个管理流程当中。 引入ISO20000刻不容缓 包括中国、印度等国家，正在兴起争取参与ITIL或ISO20000企业实施ISO20000的意义: 建立、实施和推广服务管理流程，强化员工服务意识，规范组织的服务行为； 规范服务输出质量，建

21、立服务质量监测体系，为管理层和客户提供管理信息； 获取IT 服务管理领域的国际认可的专业认证，提升业内知名度； 增强企业品牌和信誉，获得市场竞争优势； 有利于全面提升客户总体的服务体验与满意度。由此可见，ISO 20000 认证意味着认证组织机构达到了国际领先的IT 服务管理水平，代表企业的服务管理基于IT 服务管理的最佳实践。因此，获得ISO20000 认证是企业快速实现高质量IT 服务，获得业界领先优势的捷径。实施ISO20000认证有哪些好处:达到了世界公认的领先的IT服务管理标准，确保为客户提供有效的、可靠的IT服务。通过提供稳定优质的IT服务提高公司业务的行业竞争力使信息技术和信息安

22、全的决策与公司主营业务战略保持一致管理并降低遭遇的风险管理并降低IT成本更加快速的实施变更，是变化成为计划更可靠的IT服务，增加客户满意度与供应商和合作伙伴建立紧密的合作关系，共同为您的客户提供服务获得ISO/IEC 20000认证，意味着您的组织达到了世界公认的领先的IT服务管理标准，意味着您的服务管理采用于IT服务管理最佳实践，确保为客户提供有效的、可靠的IT服务。ISO20000的适用范围:ISO/IEC 20000是一个针对管理流程系统的标准，ISO/IEC 20000的认证适合IT服务的提供者，可以内部的IT部门，也可以是外部的服务提供商。获取ISO/IEC 20000的认证，意味着

23、提供服务的IT组织，对ISO/IEC 20000中定义的这些管理流程，具有足够好的管理控制力。这里所谓对流程的管理控制力包括：对流程输入的了解和控制对流程输出的了解、使用和诠释制定和执行对流程效能的衡量机制有客观的证据表明，对流程的功能负责，使之符合ISO 20000标准要求制定流程的改进提高计划，衡量和回顾改进结果IT服务组织要获得ISO/IEC 20000的认证，必须证明它能够对标准中涉及的所有5组13个流程都具有以上的管理控制力。ISO/IEC 20000系列对流程的最佳实践进行了总结，可适用于不同规模、类型和结构的组织，服务管理流程最佳实践要求并不会因为组织形式不同而被改变。如何实施I

24、SO20000:采用PDCA的方法论，深入了解客户IT部门的实际运营状况，对照ISO20000标准进行差距分析，根据项目范围及差距分析报告梳理客户IT服务管理流程，对客户进行意识培训，切实将流程落地。1. 服务交付流程 服务级别管理 可用性管理 能力管理2. 关系流程 业务关系管理 供应商管理3. 解决流程 突发事件管理 问题管理4. 控制流程 变更管理 配置管理5. 应用发布流程 应用发布管理6. 管理层意识7. 差距分析8. 文档管理9. 内部审计10. 定期回顾11. 管理责任12. PDCA管理方法企业ISO20000认证需准备：前期准备ISO 20000是面向机构的IT服务管理标准，

25、目的是提供建立、实施、运作、监控、评审、维护和改进IT服务管理体系(ITSM)的模型。建立IT服务管理体系(ITSM)已成为各种组织，特别是金融机构、电信、高科技产业等管理运营风险不可缺少的重要机制。ISO 20000让IT管理者有一个参考框架用来管理IT服务，完善的IT管理水平也能通过认证的方式表现出来。不同于ITIL只有个人认证系列，ISO 20000则是对组织的整体认证，因此需要全方位的建立符合标准的体系，也意味着认证前期准备工作将是复杂而细致的。正所谓“万事开头难”，在着手进行认证之初，必须充分认识到良好而充分的前期准备工作是通过这样一项国际标准认证的基石。实际上，对于大多数组织而言，

26、通常没有太多认证工作相关的经验，因此在认证准备阶段打下扎实的基础，对于整个认证实践都是颇有益处的。本书将从认证方案制定、调研访谈、咨询审核机构选择、组织内部流程4个方面来介绍认证准备阶段工作。事实上，虽然这四部分内容是大多数组织通过IT认证所必不可少的，但由于每个组织的组织架构和管理基础的不同，前期准备需要完成的具体工作会有一定的差异，通过认证的过程也会不同。因此，组织应“因地制宜”地开展认证实践工作。制定认证方案认证准备阶段第一步工作就是完成认证可行性方案的编写。如果把认证活动理解成一个项目，认证方案的编写就是通过对项目的主要内容、目标和相应配套条件(如管理基础、管理需求、项目规模、资源投入

27、等)，从技术、经济、工程等方面进行调查研究和分析比较，并对认证可能取得的经济效益及社会效益进行预测，从而形成该项目是否值得实施和如何实施的咨询意见，为组织的高层提供项目决策的重要依据。从这个意义上来说，认证方案的制定也是认证准备阶段中最重要的工作。1.可行性分析可行性分析通常可包含投资必要性、组织可行性、技术可行性、财务可行性、经济可行性、社会可行性、风险因素及对策等部分。由于各类型项目因行业特点而差异很大，具体到ISO 20000认证，通常需要从管理基础和效益两方面进行考虑和分析。首先是管理基础分析。需要对组织自身的管理基础，包括ITIL体系实施的基础、当前的组织架构和当前管理体系在认证过程

28、中的风险进行全面的评估。IT服务管理体系的建设，首先是管理问题，其次才是技术问题。成功和失败的经验都表明，需要首先解决管理体制和机制的问题，建立以客户为中心的理念，培养服务意识和质量意识，建立内部可行、科学的服务模式；其次才是借助软件工具将管理流程固化和优化，利用自动化工具辅助和提升管理效率，实现技术和管理的有效结合。因此，在认证可行性分析时应更关注管理可行性，其次才是技术可行性。CMMICMMI概述:CMMI 的全称为：Capability Maturity Model Integration，即能力成熟度模型集成。CMMI是CMM模型的最新版本。早期的CMMI（CMMI-SE/SW/IPP

29、D）1.02版本是应用于软件业项目的管理方法，SEI在部分国家和地区开始推广和试用。随着应用的推广与模型本身的发展，演绎成为一种被广泛应用的综合性模型。自从1994 年SEI 正式发布软件CMM 以来，相继又开发出了系统工程、软件采购、人力资源管理以及集成产品和过程开发方面的多个能力成熟度模型。虽然这些模型在许多组织都得到了良好的应用，但对于一些大型软件企业来说，可能会出现需要同时采用多种模型来改进自己多方面过程能力的情况。这时他们就会发现存在一些问题，其中主要问题体现在：不能集中其不同过程改进的能力以取得更大成绩；要进行一些重复的培训、评估和改进活动，因而增加了许多成本；遇到不同模型中有一些

30、对相同事物说法不一致，或活动不协调，甚至相抵触。于是，希望整合不同CMM 模型的需求产生了。1997 年，美国联邦航空管理局（FAA）开发了FAA-iCMMSM（联邦航空管理局的集成CMM），该模型集成了适用于系统工程的SE-CMM、软件获取的SA-CMM 和软件的SW-CMM 三个模型中的所有原则、概念和实践。该模型被认为是第一个集成化的模型。CMMI 与CMM 最大的不同点在于： CMMISM-SE/SW/IPPD/SS 1.1 版本有四个集成成分，即：系统工程(SE)和软件工程(SW)是基本的科目，对于有些组织还可以应用集成产品和过程开发方面(IPPD)的内容，如果涉及到供应商外包管理可

31、以相应的应用SS(Supplier Sourcing)部分。CMMI 有两种表示方法，一种是大家很熟悉的，和软件CMM 一样的阶段式表现方法，另一种是连续式的表现方法。这两种表现方法的区别是：阶段式表现方法仍然把CMMI 中的若干个过程区域分成了5 个成熟度级别，帮助实施CMMI 的组织建议一条比较容易实现的过程改进发展道路。而连续式表现方法则通过将CMMI 中过程区域分为四大类：过程管理、项目管理、工程以及支持。对于每个大类中的过程区域，又进一步分为基本的和高级的。这样，在按照连续式表示方法实施CMMI的时候，一个组织可以把项目管理或者其他某类的实践一直做到最好，而其他方面的过程区域可以完全

32、不必考虑。CMMI各个进程的关键元素:CMMI自出道以来，它所达到的目标就没有变过，第一个是质量，第二个是时间表，第三就是要用最低的成本。不过特别强调的是，CMMI不是传统的、仅局限于软件开发的生命周期，它应该被运用于更广泛的一个范畴工程设计的生命周期。TSP的建立，也是为了支持CMMI的这样一个系统。那么CMMI究竟是什么呢？它并不是一个过程，也不是告诉你怎么去做一件事情。如果用一句话来概括什么是CMMI，它就是各个进程的一个关键的元素，在很多领域里面一个集成的点。它是这样的一个基本架构，能够用来度量你的有效性和实用性；能够找出这样的一些机会，继续改进的机会，包括在商业目标、策略还有降低项目

33、的风险等方面。一、CMMI的起源:随着人们对CMM研究的不断深入，其他学科也结合本系统的特点，陆续推出了自己的CMM模型。例如，人力资源能力成熟度模型、系统工程能力成熟度模型等等：（1） SW-CMM (Software CMM) 软件CMM（2） SE-CMM (System Engineering CMM) 系统工程CMM（3） SA-CMM (Software Acquisition CMM) 软件采购CMM（4） IPT-CMM (Integrated Product Team CMM) 集成产品群组CMM（5） P-CMM (People CMM) 人力资源能力成熟度模型为了以示区别

34、，国内外很多资料把CMM叫做SW-CMM。按照SEI原来的计划，CMM的改进版本2.0应该在1997年11月完成，然后在取得版本2.0得实践反馈意见之后，在1999年完成准CMM2.0版本。但是，美国国防部办公室要求SEI推迟发布CMM2.0版本，而要先完成一个更为紧迫的项目CMMI。CMMI（Capability Maturity Model Integration）即能力成熟度集成模型，这也是美国国防部的一个设想，他们想把现在所有的以及将被发展出来的各种能力成熟度模型，集成到一个框架中去。这个框架有两个功能，第一，软件采购方法的改革；第二，建立一种从集成产品与过程发展的角度出发、包含健全的

35、系统开发原则的过程改进。就软件而言，CMMI是SW-CMM的修订本。它兼收了SW-CMM 2.0版C稿草案和SPA中更合理、更科学和更周密的优点。SEI在发表CMMI-SE/SW 1.0版时，宣布大约用两年的时间完成从CMM到CMMI的过渡。CMMI项目更为工业界和政府部门提供了一个集成的产品集，其主要目的是消除不同模型之间的不一致和重复，降低基于模型改善的成本。CMMI将以更加系统和一致的框架来指导组织改善软件过程，提高产品和服务的开发、获取和维护能力。二、实施CMMI的意义:很多人认为，实施CMMI的意义在于项目工程走向世界，可以在西方国家接到订单。实际上，这只是我国企业实施CMMI的意义

36、的很小一部分。更为重要的意义则是，CMMI的实施能够提高我国企业的管理水平。降低企业的工程成本。事实表明，企业实施CMMI技术的投入都会得到丰厚的回报。据SEI统计，用于软件项目上的CMMI的投资，其回报率在5:1到8:1之间。由此可见，为什么这么多的企业纷纷实施CMMI项目管理技术。近年来，很多软件企业纷纷实施CMMI管理模式，这一方面反映了我国企业在进入WTO后的危机意识，以及与世界接轨的迫切愿望。另一方面则反映出我国软件企业在改进管理方法上所作的努力。但是CMMI到底能够为我们做什么呢？实际上这个问题对不同的人有不同的答案。对采购部门的人员来说，掌握了CMMI技术可以有目的地考察项目实施

37、人员或公司的实施能力，从而保证所采购的项目能够顺利完成。对于项目经理来说，掌握CMMI技术能够提高自己的管理能力，从而能够使项目高质量，低成本，按期限地完成。对于企业老总来说，CMMI还能够引入科学的管理理念，提升企业的整体管理水平。在美国，很多企业通过CMMI评估，一方面为了满足承包国防工程或一些大企业的工程的要求，另一方面也是为了提高企业自身的管理能力。美国政府的工程项目，绝大多数都要求承包商有一定的CMMI级别作为参加投标的资格。越来越多的大型企业开始要求其工程承包商具有一定的CMMI级别。级别高的企业在赢得项目的竞标中具有一定的优势。因此，如果没有CMMI的等级评估，企业就会失去很多商

38、机。三、CMMI的两种实施方法CMMI有两种不同的实施方法，不同的实施方法，其级别表示不同的内容。CMMI的一实施方法为连续式，主要是衡量一个企业的项目能力。企业在接受评估时可以选择自己希望评估的项目来进行评估。因为是企业自己挑选项目，其评估通过的可能性就较大一点。但是，它反映的内容也比较窄一点。它仅仅表示企业在该项目或类似项目的实施能力达到了某一等级。而另一种实施方法为阶段性。它主要是衡量一个企业的成熟度，亦即是企业在项目实施上的综合实力。企业在进行评估时，一定要由评估师来挑选企业内部的任何项目，甚至于任何项目的任何部分。一般地讲，一个企业要想在阶段性评估中得到三级，其企业内部的大部分项目要

39、达到三级，小部分项目可以在二级，但绝不能够有一级。阶段性实施方法的难度要大一些。虽然，CMMI的表述方式不同，但其实质内容是完全一样的。是同一种方法的两种不同的表述方式。企业在准备评估时要做的准备工作也是完全一样的。这些工作对企业的管理上的帮助也是一样的。因此，不管企业需要做什么样的评估，企业所获取的实惠应该是差别不大。具体要做连续性评估，还是做阶段性评估则要看企业对等级评估证书的具体要求。四、CMMI可以帮助我们做什么:近年来，很多软件企业纷纷实施CMMI管理模式，不少企业如：东软，托普，华为等企业通过了三级或四级评估。 这一方面反映了我国企业在进入WTO后的危机意识，以及与世界接轨的迫切愿

40、望。另一方面则反映出我国软件企业在改进管理方法上所作的努力。但是CMMI到底能够为我们做什么呢？实际上这个问题对不同的人有不同的答案。对采购部门的人员来说，掌握了CMMI技术可以有目的地考察项目实施人员或公司的实施能力，从而保证所采购的项目能够顺利完成。对于项目经理来说，掌握CMMI技术能够提高自己的项目管理能力， 从而能够使项目高质量，低成本，按期限地完成。 对于企业老总来说，CMMI技术不仅能够提升企业的管理水平，还能够引入科学的管理理念，提升企业的整体管理水平。在美国，很多企业通过CMMI评估一方面为了满足承包国防工程或一些大企业的工程的要求， 另一方面也是为了提高企业自身的管理能力。美

41、国政府的工程项目，绝大多数都要求承包商具有一定的CMMI级别作为参加投标的资格。越来越多的大型企业业开始要求其工程承包商具有一定的CMMI级别。级别高的企业在赢得项目的竞标中具有一定的优势。 因此，如果没有CMMI的等级评估，企业就会失去很多商机。另一方面，企业通过CMMI评估也是为了提升企业内部的管理水平，降低企业的工程成本。企业在实施CMMI技术的投入都会得到丰厚的回报。据SEI统计，用于软件项目上的CMMI的投资，其回报率在5：1到8：1之间。由此可见，为什么这么多的企业纷纷实施CMMI项目管理技术。五、CMMI的基本表述:如果一家企业对外宣称自己通过了CMMI三级评估，外行的人会觉得还

42、不错，因为三级比二级要高。 内行的人则要问通过了三级什么？ 因为，CMMI有两种不同的表述方式，不同的表述方式，其级别表示不同的内容。CMMI的一种表述方式为连续表述，主要是衡量一个企业的项目能力。企业在接受评估时可以选择自己希望评估的项目来进行评估。因为是企业自己挑选项目，其评估通过的可能性就较大一点。但是，它反映的内容也比较窄一点。它仅仅表示企业在该项目或类似项目的实施能力达到了某一等级。而另一种表述方式为阶段性。它主要是衡量一个企业的成熟度，也即是企业在项目实施上的综合实力。企业在进行评估时，一定要由评估师来挑选企业内部的任何项目，甚至于任何项目的任何部分。一般地讲，一个企业要想在阶段性

43、评估中得到三级，其企业内部的大部分项目要达到三级，小部分项目可以在二级，但绝不能够有一级。阶段性表述的难度要大一些。虽然，CMMI的表述方式不同，但其实质内容是完全一样的。是同一种方法的两种不同的表达方式。企业在准备评估时要做的准备工作也是完全一样的。这些工作对企业的管理上的帮助也是一样的。因此，不能企业需要做什么样的评估，企业所获取的实惠应该是差别不大。具体要做连续性评估，还是做阶段性评估则是看企业对等级评估证书的具体要求。六、CMMI的五个台阶:台阶一：CMMI一级，完成级。在完成级水平上，企业对项目的目标与要做的努力很清晰，项目的目标得以实现。但是由于任务的完成带有很大的偶然性，企业无法

44、保证在实施同类项目的时候仍然能够完成任务。企业在一级上的项目实施对实施人员有很大的依赖性。台阶二：CMMI二级，管理级。在管理级水平上，企业在项目实施上能够遵守既定的计划与流程，有资源准备，权责到人，对相关的项目实施人员有相应的培训，对整个流程有监测与控制，并与上级单位对项目与流程进行审查。企业在二级水平上体现了对项目的一系列的管理程序。这一系列的管理手段排除了企业在一级时完成任务的随机性，保证了企业的所有项目实施都会得到成功。台阶三：CMMI三级，定义级。在定义级水平上，企业不仅能够对项目的实施有一整套的管理措施，并保障项目的完成；而且，企业能够根据自身的特殊情况以及自己的标准流程，将这套管

45、理体系与流程予以制度化这样，企业不仅能够在同类的项目上生到成功的实施，在不同类的项目上一样能够得到成功的实施。科学的管理成为企业的一种文化，企业的组织财富。台阶四：CMMI四级，量化管理级。在量化管理级水平上，企业的项目管理不仅形成了一种制度，而且要实现数字化的管理。对管理流程要做到量化与数字化。通过量化技术来实现流程的稳定性，实现管理的精度，降低项目实施在质量上的波动。台阶五：CMMI五级，优化级。在优化级水平上，企业的项目管理达到了最高的境界。企业不仅能够通过信息手段与数字化手段来实现对项目的管理，而且能够充分利用信息资料，对企业在项目实施的过程中可能出现的次品予以预防。能够主动地改善流程

46、，运用新技术，实现流程的优化。由上述的五个台阶我们可以看出，每一个台阶都是上面一阶台阶的基石。要上高层台阶必须首先踏上较低一层台阶。企业在实施CMMI的时候，路要一步一步地走。一般地讲，应该先从三级入手。争取最终实现CMMI的第五级。信息系统集成资质一、一级资质（一） 综合条件1. 企业是在中华人民共和国境内注册的企业法人，变革发展历程清晰、产权关系明确，取得信息系统集成二级资质的时间不少于两年。2. 企业主业是信息系统集成及服务（以下称系统集成），近三年的系统集成收入总额占营业收入总额的比例不低于70，或近三年系统集成收入不少于15亿元且占营业收入总额的比例不低于50。3. 企业注册资本和实

47、收资本均不少于5000万元, 或所有者权益合计不少于5000万元。（二） 财务状况1. 企业近三年的系统集成收入总额不少于5亿元，或不少于4亿元且近三年完成的系统集成项目总额中软件和信息技术服务费总额所占比例不低于80，财务数据真实可信，须经在中华人民共和国境内登记的会计师事务所审计。2. 企业财务状况良好。3. 企业拥有与从事系统集成业务相适应的固定资产和无形资产。（三）信誉1. 企业有良好的资信和公众形象，近三年无触犯国家法律法规的行为。2. 企业有良好的知识产权保护意识，近三年完成的系统集成项目中无销售或提供非正版软件的行为。3. 企业有良好的履约能力，近三年没有因企业原因造成验收未通过

48、的项目或应由企业承担责任的用户重大投诉。4. 企业近三年无不正当竞争行为。5. 企业遵守信息系统集成资质管理相关规定，在资质申报和资质证书使用过程中诚实守信，近三年无不良行为。（四） 业绩1. 近三年完成的不少于200万元的系统集成项目及不少于100万元的纯软件和信息技术服务项目总额不少于4亿元，或不少于3.5亿元且近三年完成的系统集成项目总额中软件和信息技术服务费总额所占比例不低于80。这些项目至少涉及三个省（自治区、直辖市），并已通过验收。2. 近三年至少完成4个合同额不少于1500万元的系统集成项目，或所完成合同额不少于1000万元的系统集成项目总额不少于6000万元，或所完成合同额不少

49、于500万元的纯软件和信息技术服务项目总额不少于3000万元，这些项目中至少有部分项目应用了自主开发的软件产品。3. 近三年完成的系统集成项目总额中软件和信息技术服务费总额所占比例不低于30，或软件和信息技术服务费总额不少于1.2亿元，或软件开发费总额不少于6500万元。（五） 管理能力1. 已建立完备的质量管理体系，通过国家认可的第三方认证机构认证，且连续有效运行时间不少于一年。2. 已建立完备的项目管理体系，使用管理工具进行项目管理，并能有效实施。3. 已建立完备的客户服务体系，能及时、有效地为客户提供优质服务。4. 已建立完善的企业管理信息系统并能有效运行。5. 企业的主要负责人从事信息

50、技术领域企业管理的经历不少于5年，主要技术负责人应具有计算机信息系统集成高级项目经理资质或电子信息类高级技术职称、且从事系统集成技术工作的经历不少于5年，财务负责人应具有财务系列高级职称。（六） 技术实力1. 主要业务领域中典型项目技术居国内同行业领先水平。2. 对主要业务领域的业务流程有深入研究，有自主知识产权的基础业务软件平台或其他先进的开发平台。经过第三方评测鉴定或用户使用认可的自主开发的软件产品不少于20个，其中近三年第三方评测鉴定或用户使用认可的软件产品不少于10个，且部分软件产品在近三年已完成的项目中得到了应用。3. 有专门从事软件或系统集成技术开发的技术带头人，已建立完备的软件开

51、发与测试体系，研发及办公场地面积不少于1500平米。4. 具有研发管理制度。（七） 人才实力1. 从事软件开发与系统集成技术工作的人员不少于220人。2. 经过登记的信息系统集成项目管理人员人数不少于30名，其中高级项目经理人数不少于10名。3. 已建立完备的人力资源管理体系并能有效实施。二、二级资质（一） 综合条件1. 企业是在中华人民共和国境内注册的企业法人，变革发展历程清晰、产权关系明确，取得信息系统集成三级资质的时间不少于一年。2. 企业主业是系统集成，近三年的系统集成收入总额占营业收入总额的比例不低于60，或近三年系统集成收入不少于7.5亿元且占营业收入总额的比例不低于50。3. 企

52、业注册资本和实收资本均不少于2000万元, 或所有者权益合计不少于2000万元。（二） 财务状况1. 企业近三年的系统集成收入总额不少于2.5亿元，或不少于2亿元且近三年完成的系统集成项目总额中软件和信息技术服务费总额所占比例不低于70，财务数据真实可信，须经在中华人民共和国境内登记的会计师事务所审计。2. 企业财务状况良好。3. 企业拥有与从事系统集成业务相适应的固定资产和无形资产。（三） 信誉1. 企业有良好的资信和公众形象，近三年无触犯国家法律法规的行为。2. 企业有良好的知识产权保护意识，近三年完成的系统集成项目中无销售或提供非正版软件的行为。3. 企业有良好的履约能力，近三年没有因企

53、业原因造成验收未通过的项目或应由企业承担责任的用户重大投诉。4. 企业近三年无不正当竞争行为。5. 企业遵守信息系统集成资质管理相关规定，在资质申报和资质证书使用过程中诚实守信，近三年无不良行为。（四） 业绩1. 近三年完成的不少于80万元的系统集成项目及不少于40万元的纯软件和信息技术服务项目总额不少于2亿元，或不少于1.5亿元且近三年完成的系统集成项目总额中软件和信息技术服务费总额所占比例不低于70。这些项目已通过验收。2. 近三年至少完成3个合同额不少于1000万元的系统集成项目，或所完成合同额不少于600万元的系统集成项目总额不少于3000万元，或所完成合同额不少于300万元的纯软件和

54、信息技术服务项目总额不少于1500万元，这些项目中至少有部分项目应用了自主开发的软件产品。3. 近三年完成的系统集成项目总额中软件和信息技术服务费总额所占比例不低于30，或软件和信息技术服务费总额不少于6000万元，或软件开发费总额不少于3000万元。（五） 管理能力1. 已建立完备的质量管理体系，通过国家认可的第三方认证机构认证，且连续有效运行时间不少于一年。2. 已建立项目管理体系并能有效实施。3. 已建立完备的客户服务体系，能及时、有效地为客户提供优质服务。4. 已建立完善的企业管理信息系统并能有效运行。5. 企业的主要负责人从事信息技术领域企业管理的经历不少于4年，主要技术负责人应具有

55、计算机信息系统集成高级项目经理资质或电子信息类高级技术职称、且从事系统集成技术工作的经历不少于4年，财务负责人应具有财务系列中级及以上职称。（六） 技术实力1. 主要业务领域中典型项目具有较高技术水平。2. 熟悉主要业务领域的业务流程，经过第三方评测鉴定或用户使用认可的自主开发的软件产品不少于10个，其中近三年第三方评测鉴定或用户使用认可的软件产品不少于5个，且部分软件产品在近三年已完成的项目中得到了应用。3. 有专门从事软件或系统集成技术开发的技术带头人，已建立完备的软件开发与测试体系，研发及办公场地面积不少于1000平米。（七） 人才实力1. 从事软件开发与系统集成技术工作的人员不少于15

56、0人。2. 经过登记的信息系统集成项目管理人员人数不少于15名，其中高级项目经理人数不少于3名。3. 已建立人力资源管理体系并能有效实施。三、三级资质（一） 综合条件1. 企业是在中华人民共和国境内注册的企业法人，变革发展历程清晰、产权关系明确，取得信息系统集成四级资质的时间不少于一年，或从事系统集成业务的时间不少于两年。2. 企业主业是系统集成，近三年的系统集成收入总额占营业收入总额的比例不低于50。3. 企业注册资本和实收资本均不少于200万元, 或所有者权益合计不少于200万元。（二） 财务状况1. 企业近三年的系统集成收入总额不少于5000万元，或不少于4000万元且近三年完成的系统集

57、成项目总额中软件和信息技术服务费总额所占比例不低于70，财务数据真实可信，须经在中华人民共和国境内登记的会计师事务所审计。2. 企业财务状况良好。（三） 信誉1. 企业有良好的资信，近三年无触犯国家法律法规的行为。2. 企业有良好的知识产权保护意识，近三年完成的系统集成项目中无销售或提供非正版软件的行为。3. 企业有良好的履约能力，近三年没有因企业原因造成验收未通过的项目或应由企业承担责任的用户重大投诉。4. 企业近三年无不正当竞争行为。5. 企业遵守信息系统集成资质管理相关规定，在资质申报和资质证书使用过程中诚实守信，近三年无不良行为。（四） 业绩1. 近三年完成的系统集成项目总额不少于50

58、00万元，或不少于4000万元且近三年完成的系统集成项目总额中软件和信息技术服务费总额所占比例不低于70。这些项目已通过验收。2. 近三年至少完成1个合同额不少于300万元的系统集成项目，或所完成合同额不少于100万元的系统集成项目总额不少于300万元，或所完成合同额不少于50万元的纯软件和信息技术服务项目总额不少于150万元。3. 近三年完成的系统集成项目总额中软件和信息技术服务费总额所占比例不低于30，或软件和信息技术服务费总额不少于1500万元，或软件开发费总额不少于800万元。（五） 管理能力1. 已建立质量管理体系，通过国家认可的第三方认证机构认证，并能有效运行。2. 已建立完备的客

59、户服务体系，能及时、有效地为客户提供服务。3. 企业的主要负责人从事信息技术领域企业管理的经历不少于3年，主要技术负责人应具有计算机信息系统集成项目管理人员资质或电子信息类专业硕士及以上学位或电子信息类中级及以上技术职称、且从事系统集成技术工作的经历不少于3年，财务负责人应具有财务系列初级及以上职称。（六） 技术实力1. 在主要业务领域具有较强的技术实力。2. 经过第三方评测鉴定或用户使用认可的自主开发的软件产品不少于3个，且部分软件产品在近三年已完成的项目中得到了应用。3. 有专门从事软件或系统集成技术开发的研发人员，已建立基本的软件开发与测试体系，研发及办公场地面积不少于300平米。（七）

60、 人才实力1. 从事软件开发与系统集成技术工作的人员不少于50人。2. 经过登记的信息系统集成项目管理人员人数不少于5名，其中高级项目经理人数不少于1名。3. 已建立合理的人力资源培训与考核制度，并能有效实施。四、四级资质1. 企业是在中华人民共和国境内注册的企业法人，产权关系明确。2. 具有与从事系统集成业务相适应的注册资本和实收资本。3. 企业近三年无触犯国家法律法规的行为。4. 企业有良好的知识产权保护意识，最近年度完成的项目中无销售或提供非正版软件的行为。5. 企业有良好的履约能力，最近年度没有因企业原因造成验收未通过的项目或应由企业承担责任的用户重大投诉。6. 企业最近年度无不正当竞

61、争行为。7. 企业遵守信息系统集成资质管理相关规定，在资质申报和资质证书使用过程中诚实守信，最近年度无不良行为。8. 已建立质量管理体系，并能有效实施。9. 已建立客户服务体系，配备有专门人员。 10. 企业的主要负责人从事信息技术领域企业管理的经历不少于2年，主要技术负责人应具有计算机信息系统集成项目管理人员资质或电子信息类专业硕士及以上学位或电子信息类中级及以上职称、且从事系统集成技术工作的经历不少于2年，财务负责人应具有财务系列初级及以上职称。11. 具有相应的软件及系统开发环境，具有一定的技术开发能力。12. 从事软件开发与系统集成技术工作的人员不少于15人。13. 企业聘用的项目管理

62、人员人数不少于2名。14. 具有对员工进行新知识、新技术以及职业道德培训的计划，并能有效地组织实施与考核。一、资质认证的概念 计算机信息系统集成是指从事计算机应用系统工程和网络系统工程的总体策划、设计、开发、实施、服务及保障。计算机信息系统集成资质认证是指计算机信息系统集成企业为了取得计算机信息系统集成资质证书，必须经过工信部授权的第三方认证机构进行的一种认证。二、资质认证申报程序： 1、申请单位准备资质申报材料； 2、向认证审核机构提出申请； 3、认证审核机构对申报材料进行文件审核（不通过反馈给申报单位）； 4、审核组进行现场审核（1天1.5天）； 5、申请单位对现场审核不符合项进行整改，并

63、向认证审核机构报送整改资料； 6、认证审核机构出具评审报告（达到相应条件推荐到广东省经信委参加评审，不通过反馈给申报单位）； 7、申请单位将资料报广东省经信委主管部门初审（不通过反馈给申报单位）； 8、工业和信息化部资质认证办公室综合，资质认证专家委员会审核（通过，工业和信息化部审批颁发资质证书；不通过，反馈给广东省经信委主管部门）。三、可承担工程能力： 一级资质：独立承担国家级、省（部）级、行业级、地（市）级（及其以下）、大、中、小型企业级计算机信息系统建设。 二级资质：独立承担省（部）级、行业级、地（市）级（及其以下）、大、中、小型企业级或合作承担国家级计算机信息系统建设。 三级资质：独立承担中、小型企业级或合作承担大型企业级（或相当规模）的计算机信息系统建设。 四级资质：独立承担小型企业级或合作承担中型企业级（或相当规模）的计算机信息系统建设。运行维护分项资质运维资质分为一级、二级、三级和四