信息系统建设和服务能力评估
体系能力要求
(T/CITIF 001-2019)
1 范 围
本标准给出了信息系统建设和服务能力评估体系总体框架,规定了信息系统建设和服务提供者应具备的能力要求。
本标准适用于:
1)信息系统建设和服务提供者利用本标准建设自身能力,并进行测量、评估和改进;
2)信息系统建设和服务需求者利用本标准对信息系统建设和服务提供者能力进行评估;
3)第三方机构依据本标准对信息系统建设和服务提供者的能力进行客观评估。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
- GB/T 19000-2016 质量管理体系 基础和术语
- GB/T 29246-2017 信息技术安全技术信息安全管理体系 概述和词汇
3 术语、定义和缩略语
3.1 术语和定义
3.1.1 信息系统建设和服务 information system construction and service
通过结构化的综合布线系统,运用计算机网络技术和软件技术,将各个分离的设备、功能和信息等集成到相互关联的、统一和协调的系统之中,以及为信息系统正常运行提供支持的服务,包括信息技术咨询、软件开发、数据处理,及信息系统的设计、开发、集成实施、运行维护和运营服务等。
3.1.2 战略 strategy
组织高层管理者为保证信息系统建设和服务业务持续发展,通过内外部环境因素分析,对组织全部经营活动所进行的根本性和长远性的规划和指导。
3.1.3 战略管理 strategy management
战略定位、战略制定、战略执行和战略回顾活动的集合。
3.1.4 业务运营 service operation
围绕信息系统建设和服务业务过程,对客户需求与满意度、项目交付过程和外部采购活动进行管理的一系列活动的集合。
3.1.5 基础保障 foundations guarantee
为支撑信息系统建设和服务的业务交付和过程开展,对人员、技术、资金、基础设施和数据等要素进行规划、提供和调整等活动,以及为保障业务运行所需的信息安全管理和质量管理等活动的集合。
3.1.6 改进仓新 improvement & innovation
为提升信息系统建设和服务能力水平、创新服务内容与模式,对管理体系进行优化、识别改进机会和实施改进措施等活动,以及创新机制与知识管理的制定、实施和评价等活动的集合。
3.1.7 能力 capability
组织或个人通过利用资源、知识和技能实现预期结果的本领。
3.1.8 能力项 capability item
对组织完成某个特定功能可独立的、有意义的能力(3.1.7)。
- 注:能力项往往预示着一个过程的存在。
3.1.9 能力子域 capability sub-area
一组相关能力项(3.1.8)的集合。
3.1.10 能力域 capability area
一组相关能力子域(3.1.9)的集合。
3.1.11 能力要求 capability requirement
组织提供信息系统建设和服务应具备的能力,包括战略管理(3.1.3)、业务运营(3.1.4)、基础保障(3.1.5)和改进创新(3.1.6)。
3.1.12 过程要求 process requirement
为具备能力项(3.1.8)的要求,组织应采取的系列活动。
3.1.13 度量项 measurement item
能力子域(3.1.9)建设成效的度量。
3.1.14 能力等级 capability level
组织符合能力要求(3.1.11)的级别,从低到高分别用CS1级、CS2级、CS3级、CS4级和CS5级表示。
3.2 缩略语
- WBS:工作分解结构(Work Breakdown Structure)
- SLA:服务级别协议(Service Level Agreement)
4 能力体系
4.1 能力组件
信息系统建设和服务能力评估体系能力组件由能力域、能力子域、能力项、过程要求和度量项组成,如图1所示。信息系统建设和服务能力从四个能力域体现,每个能力域包含若干个能力子域,每个能力子域包含若干个能力项,每个能力项对应若干条过程要求。过程要求是能力项建设的具体过程分解,作为组织建设信息系统和提供服务过程的指导,也可作为对组织信息系统建设和服务提供过程进行评估的对象。度量项是对能力子域建设成效进行评估的维度。
图 1 能力组件
4.2 能力框架
能力框架是信息系统建设和服务能力的逐层分解,由能力域、能力子域和能力项组成,共包括4个能力域,17个能力子域,46个能力项,如表1所示。能力域由战略管理、业务运营、基础保障和改进创新构成。战略管理能力域包括战略定位、战略制定、战略执行和战略回顾四个能力子域;业务运营能力域包括客户关系、项目管理和采购与外包三个能力子域;基础保障能力域包括人员、技术、资金、基础设施、数据、信息安全和质量管理七个能力子域;改进创新能力域包括持续改进、创新和知识管理三个能力子域。能力项是对能力子域的进一步分解,每个能力子域包括若干个能力项。
表 1 能力框架
|
能力域 |
能力子域 |
能力项 |
|
战略管理 |
战略定位 | 战略意图制定 |
|
战略制定 |
战略分析 | |
| 战略选择 | ||
| 目标制定 | ||
|
战略执行 |
目标分解与业务计划制定 | |
| 过程监控 | ||
|
战略回顾 |
绩效评价 | |
| 绩效改进 | ||
|
业务运营 |
客户关系 |
需求开发 |
| 投标 | ||
| 合同管理 | ||
| 顾客满意 | ||
|
项目管理 |
组织级项目管理 | |
| 研发项目管理 | ||
| 集成项目管理 | ||
| 服务项目管理 | ||
|
采购与外包 |
供应商选择与评价 | |
| 采购与外包控制 | ||
|
基础保障 |
人员 |
能力规划 |
| 能力评价 | ||
| 能力提升 | ||
| 绩效考核 | ||
|
技术 |
自主产品开发 | |
| 技术先进性 | ||
|
资金 |
资金储备 | |
| 财务状况 | ||
|
基础设施 |
信息系统 | |
| 设备资产 | ||
| 场所 | ||
|
数据 |
数据收集 | |
| 数据应用 | ||
|
信息安全 |
策略制定 | |
| 风险管理 | ||
| 符合性评估 | ||
|
质量管理 |
质量管理规划 | |
| 质量管理实施 | ||
| 质量管理监督检查 | ||
| 质量管理持续改进 | ||
|
改进创新 |
持续改进 |
改进识别 |
| 改进策划 | ||
| 改进实施 | ||
|
创新 |
创新机制 | |
| 创新实施 | ||
| 创新评价 | ||
|
知识管理 |
知识管理机制 | |
| 知识管理实施 |
战略管理、业务运营、基础保障和改进创新四个能力域分别从不同的维度支撑组织信息系统建设和服务能力建设与提升,战略管理是顶层规划,业务运营是核心活动,基础保障是基本要素,改进创新是重要驱动。在能力子域层面,战略定位、战略制定、战略执行和战略回顾从战略管理的流程角度分解战略管理的顶层规划作用;客户关系、采购与外包是信息系统建设和服务提供者与用户和协作方的关系管理,项目管理是信息系统建设和服务提供者业务运营的核心内容;人员、技术、资金、基础设施是影响信息系统建设和服务质量的四个最基本要素,数据是衡量大数据时代信息系统建设和服务提供者利用数据提升服务能力和质量的重要要素,信息安全和质量管理贯穿信息系统建设和服务运营的整个生命周期;知识管理是持续改进和创新的重要支撑,持续改进是知识管理和创新的目标。图2展示了信息系统建设和服务能力框架在能力域和能力子域层面的逻辑关系。
图 2 能力框架在能力域和能力子域层面的逻辑关系
4.3 能力等级
4.3.1 能力等级划分
信息系统建设和服务能力划分为五个等级,等级从低到高分别用CS1级、CS2级、CS3级、CS4级和CS5级表示,并依次定义为初始级、基本级、良好级、优秀级和杰出级。
图 3 信息系统建设和服务能力等级
4.3.2 能力等级特征
a)CS1级(初始级)
组织具备提供信息系统建设和服务活动及保障信息系统建设和服务活动开展的基础能力。
b)CS2级(基本级)
组织实施了必要的信息系统建设和服务能力管理,日常的信息系统建设和服务能力活动有序开展。
c)CS3级(良好级)
组织的战略、经营、人才、技术和管理等综合能力达到了良好的水平,主要业务领域具有较强的技术水平,保障信息系统建设和服务活动顺利开展。
d)CS4级(优秀级)
组织的战略、经营、人才、技术、管理和创新等综合能力达到了优秀的水平,熟悉主要业务领域的业务流程,主要业务领域中典型信息系统建设和服务项目具有较高技术水平。
e)CS5级(杰出级)
组织的战略、经营、人才、技术、数据、管理和创新等综合能力达到了行业内先进的水平,对主要业务领域的业务流程有深入研究,主要业务领域中典型信息系统建设和服务项目技术居国内同行业领先水平。
4.4 能力评估
信息系统建设和服务能力评估针对建设过程和建设成效两个方面,建设过程以“过程要求”来表述,建设成效以“度量项”来表述。
对过程要求和度量项的评估采用定性和定量方式来开展。过程要求的评估以信息系统建设和服务提供者提供的过程证据的充分性和适宜性为评估指标,度量项的评估以信息系统建设和服务提供者取得的成效为评估指标。由过程要求评估和度量项评估的结果综合评估信息系统建设和服务提供者的能力等级。
5 能力要求
5.1 战略管理
战略管理能力域的能力要求如表2所示。
表 2 战略管理能力域的能力要求
| 能力子域 | 目标 | 能力项 | 过程要求 | 度量项 |
|
1.1战略定位 |
制定信息系统建设和服务业务领域的战略意图 |
1.1.1战略意图制定 |
1.1.1.1应由组织最高领导层牵头制定信息系统建设和服务领域的战略意图
1.1.1.2宜与第三方咨询管理评估机构建立相应的协作机制,并有效实施 |
业务经验 |
|
1.2战略制定 |
应根据组织所属行业状况从市场、客户、竞争等方面进行战略分析,从而确定自身优势、选择目标客户群,并制定合理的战略目标 |
1.2.1战略分析 |
1.2.1.1应对市场和行业所处的宏观环境进行分析
1.2.1.2应对客户进行分析并对客户群分类 1.2.1.3应对组织内部情况进行分析,并结合外部情况,确定自身优势和劣势 |
战略水平 |
|
1.2.2战略选择 |
1.2.2.1应根据组织战略意图及战略分析结果,选择合适的目标客户群,并定期开展目标客户群分析与调整
1.2.2.2应对选择的目标客户群制定整体策略,宜包括销售、价格、商业模式、产品与解决方案、服务、品牌、采购与供应等方面 |
|||
|
1.2.3目标制定 |
1.2.3.1应制定信息系统建设和服务业务的中长期规划(3〜5年)及目标
1.2.3.2应制定组织法律遵从、社会形象维护、市场环境建设等方面的目标 |
|||
|
1.3战略执行 |
应将制定的整体策略 和战略目标,进一步 分 解 为下层组织可承接的子目标和可执行的具体计划,持续跟踪监控 |
1.3.1目标分解与业务计划制定 |
1.3.1.1应将中长期规划及目标分解为年度业务计划和目标,并分解为可执行的关键任务和达成时间,确保相应的资源投入
1.3.1.2应分析完成中长期规划及目标所需要的组织架构优化、人才招聘与培养、组织文化建设、持续改进等方面的重大需求 1.3.1.3应在业务计划制定完成后,将组织战略意图、目标与计划向相关员工进行广泛深入宣传 |
战略可执行能力 |
|
1.3.2过程监控 |
1.3.2.1应对业务计划的执行过程进行监控
1.3.2.2应建立关键任务的指标度量评估体系,至少包括度量项的评估方法、数据来源、度量方法、频次、负责人员、度量实施等内容,对关键任务指标进行周期性度量与评估 1.3.2.3应在指标实际达成情况与目标偏差较大时,采取偏差纠正措施 |
|||
|
1.4战略回顾 |
对信息系统建设和服务的战略达成情况进行评价,为下一周期战略规划提供依据 |
1.4.1绩效评价 |
1.4.1.1应根据业务计划执行结果以及年度绩效,评价战略实施效果
1.4.1.2应重点对信息系统建设和服务业务收入规模、信息系统建设和服务收入占比、利润率、业务增长率、项目数等业绩进行评价 |
绩效改进能力 |
|
1.4.2绩效改进 |
1.4.2.1应根据差距分析的结果实施相应的改进措施,并应用到下一周期的战略规划中
1.4.2.2应对未能实现的目标进行深入分析,制定针对性的改进措施或经综合评估调整目标 |
5.2 业务运营
业务运营能力域的能力要求如表3 所示。
表 3 业务运营能力域的能力要求
| 能力子域 | 目标 | 能力项 | 过程要求 | 度量项 |
|
2.1客户关系 |
了解客户需求,建立并维护客户关系,满足客户要求,并维护良好的信誉 |
2.1.1需求开发 |
2.1.1.1应在业务层面上识别目标客户群体并进行市场分析
2.1.1.2应有客户需求调研渠道及方法,收集客户需求并分析 2.1.1.3应对需求进行确认、跟踪并报相关方 2.1.1.4应建立客户档案,对客户信息进行管理 |
客户关系管理能力 |
|
2.1.2投标 |
2.1.2.1应对招标书进行可行性评估,包括能力、中标率、效益、风险等
2.1.2.2应对投标制定策略,包括合作伙伴选择、报价等 2.1.2.3应对投标执行过程进行监控,并对投标输出进行评审 2.1.2.4应对投标工作及结果进行后评估 |
|||
|
2.1.3合同管理 |
2.1.3.1应对合同内容进行评审,确保商务风险可接受、组织有能力交付
2.1.3.2应对合同信息进行管理,包括合同内容、执行情况等 2.1.3.3应对合同履行情况进行监控,确保合同按要求被执行 2.1.3.4应对合同变更进行管理,分析变更可能带来的风险 |
|||
|
2.1.4客户满意 |
2.1.4.1应建立客户满意度评价策略
2.1.4.2应制定满意度调查计划,按计划开展调查,并对调查结果进行分析,且结果分析可以做为持续改进的输入 2.1.4.3应建立正式的投诉渠道,并对投诉进行管理 2.1.4.4应在客户的服务请求结束后进行满意度评价 |
|||
|
2.2项目管理 |
充分理解并确认用户需求,完善设计流程,通过实施项目管理,提高信息系统建设和服务交付能力 |
2.2.1组织级项目管理 |
2.2.1.1应建立组织级项目管理机构,定义角色与职责
2.2.1.2应建_组织级项目管理机制,宜包括项目管理策略、程序文件和作业指导文件等 2.2.1.3应建立组织级资源协调机制 2.2.1.4应建立项目经验共享机制,宜包括知识库建设、过程财富积累共享和经验交流机制等 2.2.1.5应建立项目考核机制 |
信息系统建设和服务交付能力 |
|
2.2.2研发项目管理 |
2.2.2.1应对研发项目进行可行性分析,形成完整的可行性研究报告,报告至少应包括项目概况、需求分析、竞争分析、总体目标及内容、关键技术及其可行性、项目实施进度计
划、人员安排、总投资额及资金来源和比例、风险分析、社会效益及经济效益 2.2.2.2应制定研发项目计划并评审,计划至少应包含WBS分解、生命周期模型、时间进度安排和资源安排 2.2.2.3应进行研发项目立项评审,记录评审过程,明确评审意见及结论,评审的内容应至少包括项目需求、初步技术方案、计划、预算等关键要素 2.2.2.4应进行需求分析并评审,并执行变更管理 2.2.2.5应根据需求对项目进行设计,形成设计文档并进行评审,设计文档宜包括概要设计、详细设计、数据库设计、工艺设计和结构设计等 2.2.2.6应根据需求和设计来完成软件的编码、调试以及单元测试,编制用户手册或操作手册 2.2.2.7应根据需要制定集成方案并评审,方案应包括集成策略和计划,根据方案实施集成 2.2.2.8应明确测试范围,制定测试计划,编写并评审测试用例,配置测试环境,根据产品研发的不同阶段,开展对应的测试活动,应记录并报告测试结果,并对发现的缺陷进行管理 2.2.2.9应制定发布计划,并进行发布评审,实施发布,对发布过程中发现的问题进行跟踪解决,应编制发布说明 2.2.2.10应制定配置管理计划,对项目文档和代码进行配置管理 |
|||
|
2.2.3集成项目管理 |
2.2.3.1应进行集成项目立项,确定项目经理、项目初步的工期和预算
2.2.3.2应制定并评审集成项目的总体实施方案、总体测试验 收方案及分系统对接标准规范 2.2.3.3应根据用户需求进行系统需求分析并评审,并执行变 更管理 2.2.3.4应制定集成项目计划并评审,计划至少应包含WBS 分解、时间进度安排、资源安排和阶段成果物等 2.2.3.5应制定集成技术方案并对方案进行评审,且方案得到 相关方确认 2.2.3.6应根据项目计划和技术方案进行现场实施,如有涉及 软件开发参照2.2.2.6 2.2.3.7应明确测试范围,制定集成测试计划,配置测试环境, 根据集成测试计划,开展测试活动,记录并报告集成测试 结果,并对发现的缺陷进行管理 2.2.3.8应制定配置管理计划,对项目文档进行配置管理 2.2.3.9应制定系统试运行计划,监控并记录系统的试运行情况,编写系统试运行报告 2.2.3.10应邀请客户对项目进行确认并组织验收,并编写项 目验收及交付报告,宜包括项目设备清单及标识、项目竣 工决算单、项目竣工资料文档库等 |
|||
|
2.2.4服务 项目管理 |
2.2.4.1应进行服务项目立项评审,确定项目经理、项目初步的工期和预算
2.2.4.2应制定服务项目计划并评审,计划至少应包含服务内容、时间进度安排、资源安排、服务过程定义、服务工作约定、风险管理、成本管理 2.2.4.3应与客户签订SLA,依据服务目标,按计划的时间间隔监视服务达成情况,应记录并评审结果以识别不合格的原因和改进的机会 2.2.4.4应按与客户商定的时间提供服务报告,报告内容至少包括服务目标达成情况、重大事件、服务变更、满意度测量和投诉分析的结果等 2.2.4.5应识别服务可用性和连续性要求,制定并测试可用性和连续性计划,对可用性和持续性进行监控 2.2.4.6应对服务进行预算和核算,应监视预算的支出 2.2.4.7应识别服务配置项,记录在配置管理数据库,形成服务配置基线,并按策划时间间隔对配置管理数据库进行审 2.2.4.8应建立变更策略,对所有变更请求进行记录和分类,对重大变更应制定变更计划,包括变更影响分析和回退计划等 2.2.4.9应制定发布策略,根据发布计划实施发布,对发布过程中发现的问题进行跟踪解决 2.2.4.10应制定服务项目验收规范,并编制服务项目验收报告 |
|||
|
2.3采购与外包 |
在满足客户需要的前提下,对整个供应链的各个环节进行综合管理,优化供应流程,提高信息系统建设和服务能力,提高服务的可靠性和灵活性 |
2.3.1供应 商选择与 评价 |
2.3.1.1应建立基于产品质量和服务质量维度的供应商选择标准和评价机制
2.3.1.2应对现有的和潜在的供应商进行评价,建立合格供应商名录并维护 2.3.1.3应针对供应商服务能力进行评估,并建立应急机制 2.3.1.4应对供应商在提供产品和服务过程中的质量进行监控 |
采购管理能力 |
|
2.3.2采购 与外包控 制 |
2.3.2.1应制定采购与外包管理制度,包括年度或阶段性采购与外包情况分析机制
2.3.2.2应明确采购需求,制定采购计划,建立询价机制 2.3.2.3应根据项目和组织需要,制定采购合同并进行评审 2.3.2.4应对供货情况进行监督 2.3.2.5应对采购到货进行验收评价,必要时,应有监理方、业主方、运营方、分包方、集成方、设计方、施工方等参与 2.3.2.6应制定外包控制要求,识别外包需求,按外包控制要求对外包方、外包过程进行管理 2.3.2.7应对外包方交付物进行分析、评价和验收 |
5.3 基础保障
基础保障能力域的能力要求如表4所示。
表 4 基础保障能力域的能力要求
| 能力子域 | 目标 | 能力项 | 过程要求 | 度量项 |
|
3.1人员 |
规范信息系 统建设和服 务人员的管理,通过招聘、培训等 方式持续提升人员能力,并对其能力进行考核,确保人员的规模和能力能够满足相应的业务需要 |
3.1.1能力规划 |
3.1.1.1应根据战略和业务发展需求规划人员能力、规模和结构
3.1.1.2应根据业务发展情况动态调整人员的能力、规模和结构 3.1.1.3应定期评价能力规划并改进规划方案 |
人员能力 |
|
3.1.2能力评价 |
3.1.2.1应根据人员能力规划形成人员能力评价方案
3.1.2.2应持续评价人员能力,并形成文件化信息,应重点对项目负责人和技术带头人能力进行评价 3.1.2.3应根据业务变化调整人员能力评价方案 |
|||
|
3.1.3能力提升 |
3.1.3.1应根据业务需要及组织发展情况制定招聘计划和培训计划
3.1.3.2应对招聘效果和培训效果进行评价 3.1.3.3应根据业务发展需要建立人员储备机制,制定员工职业生涯发展规划 3.1.3.4应根据招聘和培训效果评价情况对人员工作进行调整 3.1.3.5应建立并维护培训资源池,宜包括但不限于培训教师、培训教材、培训工具 |
|||
|
3.1.4绩效考核 |
3.1.4.1应制定人员绩效考核方案
3.1.4.2应对人员进行绩效考核,并根据考核结果给予正负激励 3.1.4.3应根据业务发展情况及人员能力要求对绩效考核方案进行定期评审并在适当时进行调整 |
|||
|
3.2技术 |
开发自主产品,学习行业新技术,形成技术先进性优势 |
3.2.1自主产品开发 |
3.2.1.1应建立自主产品开发管理制度及奖励机制
3.2.1.2应根据组织战略与业务需求,对自主产品开发进行有效性、经济性和关联性评价 |
技术能力 |
| 3.2.2技术先进性 | 3.2.2.1应建立行业新技术的学习机制
3.2.2.2应建立与行业先进技术比对学习机制 |
|||
|
3.3资金 |
优化信息系统建设和服务业务资金和财务管理,提高资金使用效率和回报率 |
3.3.1资金储备 |
3.3.1.1应根据组织战略及业务需求制定资金储备方案
3.3.1.2应根据资金储备方案制定资金储备计划 3.3.1.3应制定资金储备不足时的应急预案 3.3.1.4应根据组织战略及业务变化对资金储备方案进行评审,并在适当时进行调整 |
财务能力 |
|
3.3.2财务 状况 |
3.3.2.1应建立规范的财务管理制度
3.3.2.2应制定年度资金预算,并监控使用情况 3.3.2.3应有年度资金决算,并将决算情况作为下年度资金预算输入 |
|||
|
3.4基础设施 |
配备信息系统建设和服务基础设施,包括支撑业务的信息系统、设备、场地等资源,促进业务发展 |
3.4.1信息系统 |
3.4.1.1应建立信息系统需求收集、分析机制
3.4.1.2应根据业务需求规划建设组织的管理信息系统及项目管理信息系统 3.4.1.3应根据业务需求及使用情况定期评价组织的管理信息系统及项目管理信息系统 3.4.1.4应对信息系统的规划、开发、测试、运行和维护过程制定安全规范,宜定期对组织的关键信息系统进行安全审计 3.4.1.5应建立信息系统运行维护制度 |
基础设施能力 |
|
3.4.2设备资产 |
3.4.2.1应建立设备资产管理与维护制度
3.4.2.2应对核心设备资产进行维护 3.4.2.3应根据业务需求对设备资产支撑能力进行规划和管理 |
|||
| 3.4.3场所 | 3.4.3.1应制定办公及研发场所管理制度
3.4.3.2应对办公及研发场所进行综合评价 |
|||
|
3.5数据 |
收集信息系统建设和服务相关销售、经 营、交付等数据并加强管理,促进数据在业务发展中的支持作用 |
3.5.1数据 收集 |
3.5.1.1应制定与组织战略和业务发展相适应的数据管理制度
3.5.1.2应明确数据收集的需求,应制定数据收集规划及方案 3.5.1.3应定义数据收集的方式、渠道、周期、格式、传输和 存储方式等 3.5.1.4应明确数据收集的责任人/部门 3.5.1.5应对数据收集过程进行监控 |
数据治理 能力 |
|
3.5.2数据 应用 |
3.5.2.1应制定数据应用规划及方案,并与业务需求相匹配
3.5.2.2应对数据进行分析,明确关键数据点,使数据分析结果有助于改进服务流程,提升服务能力 3.5.23应对与业务相关的数据进行全生命周期管理 3.5.2.4应确保数据的应用获得相应授权并合法合规 |
|||
|
3.6信息安全 |
对组织的信息安全管理进行规划,识别信息安全风险并进行管理,持 续提高信息安全符合性水平,保证信息系统建设和服务业务的安全运营 |
3.6.1策略制定 |
3.6.1.1应确定信息安全管理对象,制定信息安全管理目标、方针及策略,并建立信息安全管理体系
3.6.1.2应按计划时间间隔、发生重大安全事件或内外部环境重大变化时,调整信息安全管理策略 |
信息安全能力 |
|
3.6.2风险管理 |
3.6.2.1应制定信息安全风险管理策略,包括风险分类、分级、优先级、风险值及阈值计算方法等
3.6.2.2应对信息安全风险进行识别、分析和处置,宜从组织角度识别项目风险并对风险进行管理 3.6.2.3应对信息安全风险进行监控 3.6.2.4应对业务连续性管理进行规划,制定业务连续性管理方案并演练 |
|||
|
3.6.3符合性评估 |
3.6.3.1应识别与信息系统建设和服务业务相关的法律、法规
3.6.3.2应对客户的信息安全要求进行识别 3.6.3.3应对组织的安全策略和标准进行符合性评估,并符合 国家相关法律法规要求 |
|||
|
3.7质量管理 |
应对信息系统建设和服务业务的质量管理进行规划,识别质量风险并进行管理,持续提高质量管理符合性水平 |
3.7.1质量管理规划 |
3.7.1.1应识别质量管理风险,制定质量管理目标
3.7.1.2应建立质量管理规范 3.7.1.3应提供质量管理保障措施 |
质量管理能力 |
| 3.7.2质量管理实施 | 3.7.2.1应分解质量管理目标
3.7.2.2应实施己分解的质量管理目标 |
|||
| 3.7.3质量管理监督检查 | 3.7.3.1应定期对质量管理过程进行审核
3.7.3.2应对组织的质量管理进行充分性、适宜性和有效性评价 |
|||
| 3.7.4质量管理持续改进 | 3.7.4.1应及时解决质量问题
3.7A2应评价并改进质量管理规划 3.7.4.3应对质量管理进行持续改进 |
5.4 改进创新
改进创新能力域的能力要求如表5所示。
表 5 改进创新能力域的能力要求
| 能力子域 | 目标 | 能力项 | 过程要求 | 度量项 |
|
4.1持续改进 |
基于组织现行管理体系,发现改进机会,制定改进目标,落实改进进程,实现信息系统建设和服务能力持续改进和提升 |
4.1.1改进识别 |
4.1.1.1应建立改进识别渠道,包括组织内部识别、客户反馈、第三方评价、监管要求等
4.1.1.2应收集改进建议,包括战略规划、组织管理、项目管理、业务流程优化、客户服务优化、信息安全保护、服务质量提升等;必要时,宜借助第三方识别改进机会 4.1.13应对改进建议进行分析、判断和决策 |
改进能力 |
| 4.1.2改进策划 | 4.1.2.1应明确改进目标,制定改进计划,必要时制定试点计划
4.1.2.2改进计划应得到相关方的确认 |
|||
| 4.1.3改进实施 | 4.1.3.1应按照改进计划采取改进措施
4.1.3.2应对改进效果进行评价 |
|||
|
4.2创新 |
通过建立创新机制,加强创新管理,不断提升组织的创新能力,提升信息系统建设和服务能力 |
4.2.1创新机制 |
4.2.1.1应建立创新管理组织,负责创新活动管理
4.2.1.2应建立创新活动管理机制、成果管理机制、创新激励机制、成果转化机制,制定创新成果评价方法 4.2.13应制定知识产权管理和保护制度 |
创新能力 |
|
4.2.2创新实施 |
4.2.2.1应确立符合组织发展战略的创新目标
4.2.2.2应对创新目标的可行性和风险进行评估,并制定实施有效的风险控制措施 4.2.23应配备专门从事信息系统建设和服务的创新带头人,组建创新实施团队 4.2.2.4应有效开展创新活动,实现创新目标 4.2.2.5宜结合组织发展目标,促进创新成果应用及转化 |
|||
|
4.2.3创新评价 |
4.2.3.1应通过有效的方法,对创新目标的实现进行评价
4.2.3.2应对创新全过程进行总结,为组织的创新发展积累有价值的经验 |
|||
|
4.3知识管理 |
通过知识管理沉淀组织的知识资产,对知识分享、复用和更新,使组织获得持续改进的推动力 |
4.3.1知识管理机制 |
4.3.1.1应建立明确的知识管理组织或岗位,负责知识管理工作的开展
4.3.1.2应建立知识分享激励机制,促进形成知识分享的文化氛围 4.3.1.3宜建立与组织知识管理目标相适应的信息系统 |
知识管理能力 |
|
4.3.2知识管理实施 |
4.3.2.1应对显性知识的获取、存储、共享、复用和更新进行有效管理
4.3.2.2应注重组织的优秀案例积累,开展知识交流分享活动或建立交流平台,推动隐性知识的传递,促进隐性知识的显性化 4.3.2.3应注重组织内部知识的安全,保护知识产权,避免知识的流失 4.3.2.4宜对知识管理效果进行评价,推动知识管理工作的持续改进 |
附 录 A
(资料性附录)
过程评估要素
附 录 B
(资料性附录)
效果评估要素
参考文献
- [1] GB/T 19001-2016 质量管理体系 要求
- [2] GB/T 30146-2013 公共安全 业务连续性管理体系 要求
- [3] GB/T 22080-2016 信息技术安全 技术信息安全管理体系 要求
- [4] GB/T 24405.1-2009 信息技术服务管理第1部分:规范
- [5] CMMI⑧ for Development, Version 1.3,卡内基-梅隆大学,2010
- [6] GB/T 33136-2016 信息技术服务 数据中心服务能力成熟度模型
- [7] GB/T 33850-2017 信息技术服务质量评价指标体系
