信息技术服务标准(ITSS)符合性评估管理办法(试行)

作者: 日期 :2019-05-08

第一章 总则

第一条 为推动我国软件和信息技术服务业健康有序发展,规范信息技术服务标准符合性评估工作,保证信息技术服务质量,全面提高信息技术服务能力,制定本办法。

第二条 本办法所称信息技术服务标准(以下称ITSS)是指由国家标准化管理委员会等政府部门,以及中国电子工业标准化技术协会信息技术服务分会(以下称ITSS分会)等行业组织发布的,以全面规范信息技术服务产品及其组成要素,指导实施标准化和可信赖信息技术服务的一系列标准,包括咨询设计、集成实施、运行维护、服务管控、服务运营和服务外包等业务领域(以下称领域),覆盖信息技术服务的规划设计、部署实施、服务运营、持续改进和监督管理等全生命周期。

第三条 本办法所称符合性评估是指由ITSS分会组织证明申请单位在某一领域的信息技术服务能力符合ITSS标准的活动。符合性评估分为通用要求符合性评估和能力成熟度符合性评估。

    通用要求符合性评估是指由ITSS分会、符合性评估机构(以下称评估机构)就申请单位在某一领域的信息技术服务能力对于通用要求标准的符合性所进行的评估和确认。

能力成熟度符合性评估是指由ITSS分会、评估机构就申请单位在某一领域的信息技术服务能力对于能力成熟度模型的等级符合性所进行的评估和确认。

第四条 本办法所称评估机构是指经ITSS分会认定,具有符合性评估资格的社会团体、企业和事业单位等法人组织。

第五条 本办法所称评估人员是指经ITSS分会认定,具有符合性评估资格的中华人民共和国公民或具有合法长期居留权的境外人士。

第六条 ITSS分会将根据各领域通用要求标准和能力成熟度模型的发布情况,制定相应的通用要求符合性评估实施细则和能力成熟度符合性评估实施细则。

当某一领域仅发布了通用要求标准时,则该领域通用要求的符合性评估实施细则既适用于信息技术服务供方单位,也适用于信息技术服务需方单位;

当某一领域既发布了通用要求标准,又发布了能力成熟度模型时,则该领域通用要求符合性评估实施细则原则上适用于信息技术服务需方单位,能力成熟度符合性评估实施细则适用于信息技术服务供方单位。

 

第二章 组织机构和人员管理

第七条 ITSS分会负责组织实施和管理符合性评估工作,主要职责包括:

(一)制定符合性评估相关管理文件;

(二) 认定评估机构,对其符合性评估活动实施监督和检查;

(三)认定评估人员,对其符合性评估行为实施监督和检查;

(四)组织实施符合性评估相关活动。

第八条 评估机构分为行业级评估机构和地方级评估机构。

申请行业级评估机构,申请单位应向ITSS分会提交相关申报材料。ITSS分会对其评估资格和评估范围进行认定。行业级评估机构可在全国范围内实施通用要求符合性评估和能力成熟度符合性评估。

申请地方级评估机构,申请单位应向ITSS分会提交相关申报材料,ITSS分会对其评估资格和评估范围进行认定地方级评估机构按评估资格和业务范围可在本地区从事通用要求符合性评估和能力成熟度符合性评估。

原则上一个地区只认定一家地方级评估机构,如需变更地方级评估机构,可向ITSS分会提出申请,ITSS分会根据实际情况确定。

评估机构的认定管理办法由ITSS分会另行制定发布。

第九条 评估人员分为专职评估人员和独立评估人员。专职评估人员隶属于评估机构,独立评估人员非隶属于评估机构。

    申请某一领域符合性评估的评估人员,须向ITSS分会提交相关申请材料,参加ITSS分会组织的该领域评估人员的培训和考试。考试通过者,ITSS分会对其评估资格和评估范围进行认定

评估人员的认定管理办法由ITSS分会另行制定发布。

第三章 申请条件和评估程序

第十条 申请符合性评估的单位(以下称申请单位)应具备下列基本条件:

(一)具有独立法人地位;

(二)已按照某个或多个领域的通用要求标准或能力成熟度模型建立了相应的服务能力体系,且已有效运行三个月以上;

(三)能够提供相应领域信息技术服务的能力管理、人员、资源、技术、过程等有效证据。

第十一条 申请单位应根据自身所建立和实施的信息技术服务能力体系情况,确定申请符合性评估的领域和等级。一个申请单位可同时申请多个领域,但一个领域不能同时申请多个等级。

第十二条 申请单位应首先通过自评,再向评估机构申请第三方评估;评估机构实施评估后出具符合性评估报告,报告有效期一年。报告有效期内向ITSS分会提交符合性评估报告和相关申报材料进行确认。

第十三条 对通过ITSS分会确认的申请单位,ITSS分会在门户网站公布评审和确认结果,颁发符合性证书(以下称证书)

第四章 证书管理

第十四条 证书是持证单位信息技术服务能力符合信息技术服务标准(ITSS)的证明。

第十五条 证书有效期三年,持证单位需延续证书有效期的,应在证书有效期期满前六个月内完成再评估,再评估程序同首次申请。通过再评估的持证单位,ITSS分会换发新证书。有效期内未完成再评估的持证单位,其证书自动注销。

第十六条 持证单位在证书有效期内发生名称、地址等一般变更,应在变更发生之日起30日内,向ITSS分会提交证书变更申请,ITSS分会核实无误后办理证书变更手续。

第十七条 持证单位在证书有效期内发生分立、合并和重组等重大变更,应在变更发生之日起30日内,向ITSS分会提交证书变更申请,符合变更要求的,ITSS分会组织变更评估,对通过变更评估的,换发新证书。

 

第五章 监督管理、投诉和罚则

第十八条 ITSS分会可通过评估机构自评、同行评议、评估结果抽查、征求申请或持证单位意见等方式,对评估机构和评估人员及其评估活动进行监督检查。

第十九条 持证单位自获证之日起,证书有效期内应每年接受评估机构的监督评估,以保证证书持续有效。每次监督评估的时间间隔不得超过12个月,监督评估的范围不少于相应标准覆盖范围的二分之一。

第二十条 评估机构完成监督评估后应出具监督评估报告,报告结论分为“通过”、“暂停”、“撤销”。监督评估报告出具后30日内提交ITSS分会,ITSS分会确认监督评估结果。

第二十一条 ITSS分会在门户网站公布监督评估结果。按期完成监督评估的持证单位,其证书持续有效。逾期未完成监督评估的持证单位,证书暂停三个月,三个月后仍未完成监督评估的,证书自动注销。

第二十二条 ITSS分会可对持证单位的信息技术服务能力体系运行、证书使用等进行不定期抽查。

第二十三条 申请单位、评估机构和评估人员对符合性评估结果存在异议,或者申请单位对评估机构评估人员的评估结论存在异议,可向ITSS分会投诉。

第二十四条 申请单位发现评估机构和评估人员存在侵害申请单位合法利益的行为,可向ITSS分会投诉。

第二十五条 申请单位或持证单位在初次申请、再申请、监督评估及变更等活动中,存在弄虚作假、隐瞒事实或不配合相关工作等行为,ITSS分会视其情节轻重予以警告、暂停评估、降级、暂停或撤销证书等处罚

第二十六条 持证单位在证书使用过程中,存在涂改、伪造、租用、借用等行为,ITSS分会视其情节轻重予以警告、降级、暂停或撤销证书等处罚

第二十七条 评估机构及评估人员在评估活动中,存在玩忽职守、营私舞弊、索贿受贿、弄虚作假及侵害申请单位合法权益等行为,ITSS分会可视情节轻重予以警告,暂停、降低或撤销证书等处罚。

 

第六章 附则

第二十八条 本办法自发布之日起施行。

第二十九条 本办法由ITSS分会负责解释。