iso20000认证：如何确定网络安全定级对象？ISO20000信息技术服务体系认证证书申请

1 信息系统
1.1定级对象的基本特征
作为定级对象的信息系统应具有如下基本特征：
a) 具有确定的主要安全责任主体;
b) 承载相对独立的业务应用;
c) 包含相互关联的多个资源。
注1：主要安全责任主体包括但不限于企业、机关和事业单位等法人,以及不具备法人资格的社会团体等其他组织。
注2：避免将某个单一的系统组件,如服务器、终端或网络设备作为定级对象。
1.2云计算平台/系统
在云计算环境中,云服务客户侧的等级保护对象和云服务商侧的云计算平台/系统需分别作为单独的定级对象定级,并根据不同服务模式将云计算平台X系统划分为不同的定级对象。对于大型云计算平台,宜将云计算基础设施和有关辅助服务系统划分为不同的定级对象。
1.3物联网
物联网主要包括感知、网络传输和处理应用等特征要素,需将以上要素作为一个整体对象定级,各要素不单独定级。
1.4 工业控制系统
工业控制系统主要包括现场采集/执行、现场控制、过程控制和生产管理等特征要素。其中,现场采集/执行、现场控制和过程控制等要素需作为一个整体对象定级,各要素不单独定级;生产管理要素宜单独定级。
对于大型工业控制系统,可根据系统功能、责任主体、控制对象和生产厂商等因素划分为多个定级对象。
1.5 采用移动互联技术的系统
采用移动互联技术的系统主要包括移动终端、移动应用和无线网络等特征要素,可作为一个整体独立定级或与相关联业务系统一起定级,各要素不单独定级。
2 通信网络设施
对于电信网、广播电视传输网等通信网络设施,宜根据安全责任主体、服务类型或服务地域等因素将其划分为不同的定级对象。
跨省的行业或单位的专用通信网可作为一个整体对象定级，或分区域划分为若千个定级对象。
3 数据资源
数据资源可独立定级。
当安全责任主体相同时,大数据、大数据平台/系统宜作为一个整体对象定级;当安全责任主体不同时,大数据应独立定级。

1、ISO20000认证申请条件
（1）持有法人营业执照，必要时提供资质证明文件
（2）信息技术服务管理体系运行满3个月以上
（3）至少完成一次内部审核及管理评审
（4）企业配备相应的人员、设备设施、办公条件等

2、ISO20000认证周期
提交申请文件后2个月左右

3、ISO20000认证流程
签订合同--提交申请文件--评审--安排审核--现场审核--整改不符合--发证

4、ISO20000认证文件材料
（1）IT服务管理手册
（2）IT服务程序文件
（3）IT服务目录
（4）IT服务级别协议
（5）信息技术服务管理方针、目标
（6）内部审核、管理评审
（7）记录文件（配置项清单、配置项审计报告、合格外部供方名录、服务费用预算表、服务费用核算表、容量计划、容量报告、发布和部署计划、事件处理单）等。

5、ISO20000认证证书有效期
证书有效期为3年，获证后每年进行一次年审（监督审核）

• 上一篇：计算机软件集成规定，ISO20000信息技术服务管理体系认证
• 下一篇：信息系统等级保护安全设计技术要求,iso20000信息技术服