iso20000认证:如何确定网络安全定级对象?ISO20000信息技术服务体系认证证书申请
1 信息系统
1.1定级对象的基本特征
作为定级对象的信息系统应具有如下基本特征:
a) 具有确定的主要安全责任主体;
b) 承载相对独立的业务应用;
c) 包含相互关联的多个资源。
注1:主要安全责任主体包括但不限于企业、机关和事业单位等法人,以及不具备法人资格的社会团体等其他组织。
注2:避免将某个单一的系统组件,如服务器、终端或网络设备作为定级对象。
1.2云计算平台/系统
在云计算环境中,云服务客户侧的等级保护对象和云服务商侧的云计算平台/系统需分别作为单独的定级对象定级,并根据不同服务模式将云计算平台X系统划分为不同的定级对象。对于大型云计算平台,宜将云计算基础设施和有关辅助服务系统划分为不同的定级对象。
1.3物联网
物联网主要包括感知、网络传输和处理应用等特征要素,需将以上要素作为一个整体对象定级,各要素不单独定级。
1.4 工业控制系统
工业控制系统主要包括现场采集/执行、现场控制、过程控制和生产管理等特征要素。其中,现场采集/执行、现场控制和过程控制等要素需作为一个整体对象定级,各要素不单独定级;生产管理要素宜单独定级。
对于大型工业控制系统,可根据系统功能、责任主体、控制对象和生产厂商等因素划分为多个定级对象。
1.5 采用移动互联技术的系统
采用移动互联技术的系统主要包括移动终端、移动应用和无线网络等特征要素,可作为一个整体独立定级或与相关联业务系统一起定级,各要素不单独定级。
2 通信网络设施
对于电信网、广播电视传输网等通信网络设施,宜根据安全责任主体、服务类型或服务地域等因素将其划分为不同的定级对象。
跨省的行业或单位的专用通信网可作为一个整体对象定级,或分区域划分为若千个定级对象。
3 数据资源
数据资源可独立定级。
当安全责任主体相同时,大数据、大数据平台/系统宜作为一个整体对象定级;当安全责任主体不同时,大数据应独立定级。
1、ISO20000认证申请条件
(1)持有法人营业执照,必要时提供资质证明文件
(2)信息技术服务管理体系运行满3个月以上
(3)至少完成一次内部审核及管理评审
(4)企业配备相应的人员、设备设施、办公条件等
2、ISO20000认证周期
提交申请文件后2个月左右
3、ISO20000认证流程
签订合同--提交申请文件--评审--安排审核--现场审核--整改不符合--发证
4、ISO20000认证文件材料
(1)IT服务管理手册
(2)IT服务程序文件
(3)IT服务目录
(4)IT服务级别协议
(5)信息技术服务管理方针、目标
(6)内部审核、管理评审
(7)记录文件(配置项清单、配置项审计报告、合格外部供方名录、服务费用预算表、服务费用核算表、容量计划、容量报告、发布和部署计划、事件处理单)等。
5、ISO20000认证证书有效期
证书有效期为3年,获证后每年进行一次年审(监督审核)