軟件和信息技術(shù)服務(wù)業(yè)企業(yè)資質(zhì)和體系認(rèn)證需求分析

王穎杰

摘要：文章對(duì)軟件和信息技術(shù)服務(wù)業(yè)企業(yè)可能需求的資質(zhì)及體系認(rèn)證進(jìn)行分析，幫助進(jìn)行企業(yè)選擇，分別分析了9000管理體系認(rèn)證、軟件企業(yè)評(píng)估、CMMI認(rèn)證、信息系統(tǒng)集成及服務(wù)資質(zhì)、ITSS標(biāo)準(zhǔn)符合性評(píng)估、20000信息技術(shù)服務(wù)管理體系標(biāo)準(zhǔn)認(rèn)證、27000信息安全管理體系認(rèn)證、信息安全服務(wù)資質(zhì)等資質(zhì)或體系認(rèn)證。

關(guān)鍵詞：軟件和信息技術(shù)服務(wù)業(yè)；企業(yè)資質(zhì)；體系認(rèn)證；9000管理體系認(rèn)證 文獻(xiàn)標(biāo)識(shí)碼：A

中圖分類號(hào)：F272 文章編號(hào)：1009-2374（2017）08-0232-02 DOI：10.13535/j.cnki.11-4406/n.2017.08.114

根據(jù)國(guó)家標(biāo)準(zhǔn)《國(guó)民經(jīng)濟(jì)行業(yè)分類與代碼》（GB/T 4754-2011）的說(shuō)明，第六十五大類為“軟件和信息技術(shù)服務(wù)業(yè)”，此類行業(yè)包含了軟件開發(fā)、信息系統(tǒng)集成服務(wù)、信息技術(shù)咨詢服務(wù)、數(shù)據(jù)處理和存儲(chǔ)服務(wù)、集成電路設(shè)計(jì)、其他信息技術(shù)服務(wù)業(yè)（含數(shù)字內(nèi)容服務(wù)、呼叫中心及其他未列明信息技術(shù)服務(wù)業(yè)）共計(jì)6類行業(yè)，對(duì)于這些企業(yè)的發(fā)展過(guò)程中的可能遇到的資質(zhì)、體系認(rèn)證方面的需求和問(wèn)題，根據(jù)筆者的經(jīng)驗(yàn)做一簡(jiǎn)單分析。

1 資質(zhì)與體系認(rèn)證的基本概念

資質(zhì)是企業(yè)從事特定類型工作的資格的證明，在某些特定行業(yè)中是以國(guó)家行政審批事項(xiàng)的方式體現(xiàn)，比如建筑行業(yè)的建筑企業(yè)資質(zhì)就是劃分建筑企業(yè)類別和設(shè)計(jì)施工能力的一種方式。體系認(rèn)證一般來(lái)講是管理體系經(jīng)過(guò)認(rèn)證機(jī)構(gòu)認(rèn)證的簡(jiǎn)稱，是一個(gè)組織組織制度和管理制度符合一定的標(biāo)準(zhǔn)的證明。常見(jiàn)的管理體系有質(zhì)量管理體系、環(huán)境管理體系、服務(wù)管理體系、信息安全管理體系等，通俗意義上的資質(zhì)和體系認(rèn)證都是對(duì)企業(yè)能力達(dá)到一定的水平的第三方評(píng)定。最終用戶在建設(shè)項(xiàng)目時(shí)可以用資質(zhì)和體系認(rèn)證來(lái)評(píng)判施工方是否滿足建設(shè)目標(biāo)的要求。

2 軟件和信息技術(shù)服務(wù)業(yè)企業(yè)資質(zhì)和體系認(rèn)證需求分析

第一，對(duì)各類企業(yè)均適用的ISO9000質(zhì)量管理體系，應(yīng)用范圍最為廣泛的一項(xiàng)體系，從1987年建立至今已歷經(jīng)5個(gè)版本。簡(jiǎn)單來(lái)說(shuō)，質(zhì)量管理體系是組織內(nèi)部建立的為達(dá)成特定質(zhì)量目標(biāo)而設(shè)立的諸多要素的集合，國(guó)內(nèi)標(biāo)準(zhǔn)9000證書的證書編號(hào)規(guī)則以結(jié)尾字母劃分企業(yè)規(guī)模，S是49人以下小型企業(yè)，M是50～999人中型企業(yè)，L是1000人以上大型企業(yè)。針對(duì)軟件和信息技術(shù)服務(wù)企業(yè)，好的9000體系可以大幅提升企業(yè)軟件開發(fā)和信息服務(wù)的規(guī)范性，但必須要指出的是，由于政府采購(gòu)的采信和市場(chǎng)競(jìng)爭(zhēng)的加劇，很多企業(yè)是為了取得證書而認(rèn)證，放棄了實(shí)施質(zhì)量體系的初衷，且目前全國(guó)范圍經(jīng)中國(guó)國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)（以下簡(jiǎn)稱CNCA）批準(zhǔn)的質(zhì)量管理體系認(rèn)證機(jī)構(gòu)多達(dá)217家，認(rèn)證機(jī)構(gòu)為了拓展業(yè)務(wù)也降低了實(shí)施認(rèn)證的門檻，眾多因素導(dǎo)致9000認(rèn)證的泛濫。另外需要企業(yè)注意的是，機(jī)構(gòu)能夠發(fā)放的認(rèn)可標(biāo)識(shí)有CNAS、UKAS、ANAB等，這些標(biāo)識(shí)代表了經(jīng)過(guò)不同國(guó)家的認(rèn)可機(jī)構(gòu)認(rèn)可，CNAS是中國(guó)合格評(píng)定國(guó)家認(rèn)可委員會(huì)，UKAS是英國(guó)皇家認(rèn)可委員會(huì)，ANAB是美國(guó)國(guó)家標(biāo)準(zhǔn)協(xié)會(huì)-美國(guó)質(zhì)量學(xué)會(huì)認(rèn)證機(jī)構(gòu)認(rèn)可委員會(huì)。在有些實(shí)際應(yīng)用中會(huì)出現(xiàn)只認(rèn)可證書標(biāo)識(shí)為CNAS的情況。

第二，針對(duì)軟件開發(fā)類企業(yè)的“軟件企業(yè)”認(rèn)定，是根據(jù)《國(guó)務(wù)院關(guān)于印發(fā)進(jìn)一步鼓勵(lì)軟件產(chǎn)業(yè)和集成電路產(chǎn)業(yè)發(fā)展若干政策的通知》（國(guó)發(fā)〔2011〕4號(hào)）的要求進(jìn)行的，但是《國(guó)務(wù)院關(guān)于取消和調(diào)整一批行政審批項(xiàng)目等事項(xiàng)的決定》（國(guó)發(fā)〔2015〕11號(hào)）發(fā)布后，工業(yè)和信息化部按照國(guó)務(wù)院文件要求停止了“雙軟認(rèn)定”前置性審批工作。自文件發(fā)布之日起，各省、自治區(qū)、直轄市均按照文件要求，停止了軟件企業(yè)認(rèn)定、軟件產(chǎn)品登記、軟件企業(yè)年審等所有“雙軟認(rèn)定”事項(xiàng)。而“軟件企業(yè)評(píng)估”這一由中國(guó)軟件企業(yè)評(píng)估聯(lián)盟發(fā)起的對(duì)軟件企業(yè)工作的接續(xù)性評(píng)估認(rèn)定工作，也由于2016年8月21日中共中央辦公廳和國(guó)務(wù)院辦公廳印發(fā)的《關(guān)于改革社會(huì)組織管理制度促進(jìn)社會(huì)組織健康有序發(fā)展的意見(jiàn)》（簡(jiǎn)稱二辦文件）的要求而轉(zhuǎn)為各地軟件行業(yè)協(xié)會(huì)組織自行管理，影響力和范圍較之前均有不同程度

下降。

針對(duì)軟件開發(fā)類企業(yè)的第二種常見(jiàn)體系認(rèn)證是CMM/CMMI認(rèn)證，CMM即Capability Maturity Model能力成熟度模型，CMMI即Capability Maturity Model Integration能力成熟度模型集成。最早的CMM模型是卡內(nèi)基梅隆大學(xué)與美國(guó)軍方合作提出的評(píng)價(jià)軟件開發(fā)過(guò)程成熟度的方法。從1987年起歷經(jīng)多次版本升級(jí)，一直是軟件開發(fā)領(lǐng)域的權(quán)威評(píng)判標(biāo)準(zhǔn)。CMMI劃分五個(gè)等級(jí)（初始級(jí)、可管理級(jí)、已定義級(jí)、量化管理級(jí)、優(yōu)化管理級(jí)）截止筆者發(fā)稿時(shí)國(guó)內(nèi)在CMMI官網(wǎng)可查的通過(guò)CMMI5認(rèn)證的軟件企業(yè)已有約240家，CMMI4約120家、CMMI3約2560家。目前在國(guó)內(nèi)諸多行業(yè)的軟件開發(fā)項(xiàng)目招標(biāo)中，都有將CMMI等級(jí)作為入門條件的情況，同時(shí)地方政府也有針對(duì)CMMI的政府補(bǔ)助，這都是軟件企業(yè)進(jìn)行CMMI認(rèn)證需求旺盛的原因。

第三，針對(duì)信息系統(tǒng)集成服務(wù)企業(yè)的信息系統(tǒng)集成及服務(wù)資質(zhì)，信息系統(tǒng)集成及服務(wù)是指從事信息網(wǎng)絡(luò)系統(tǒng)、信息資源系統(tǒng)、信息應(yīng)用系統(tǒng)的咨詢?cè)O(shè)計(jì)、集成實(shí)施、運(yùn)行維護(hù)等全生命周期活動(dòng)及總體策劃、系統(tǒng)測(cè)評(píng)、數(shù)據(jù)處理存儲(chǔ)、信息安全、運(yùn)營(yíng)等服務(wù)和保障業(yè)務(wù)領(lǐng)域。其前身是1999年原信息產(chǎn)業(yè)部設(shè)立的計(jì)算機(jī)信息系統(tǒng)集成資質(zhì)，期間經(jīng)過(guò)多次變革，目前主管部門是中國(guó)電子信息行業(yè)聯(lián)合會(huì)，截止筆者發(fā)稿全國(guó)共有集成資質(zhì)企業(yè)9600余家，按級(jí)別從高到低劃分一至四級(jí)，其中一級(jí)企業(yè)264家、二級(jí)企業(yè)840家、三級(jí)企業(yè)4933家、四級(jí)企業(yè)3569家，另有流動(dòng)紅旗性質(zhì)的大型一級(jí)企業(yè)32家。該項(xiàng)資質(zhì)在從原先的行政審批事項(xiàng)中取消后，不再在政府采購(gòu)招標(biāo)項(xiàng)目中作為門檻使用，但作為加分項(xiàng)存在，同時(shí)仍有眾多行業(yè)用戶（如電力、通信等領(lǐng)域）項(xiàng)目招標(biāo)中設(shè)置此資質(zhì)為入門條件，在軟件和集成服務(wù)業(yè)企業(yè)應(yīng)用較多，這也是目前企業(yè)需求較多的一項(xiàng)資質(zhì)。

第四，可應(yīng)用于軟件開發(fā)、信息系統(tǒng)集成服務(wù)、信息技術(shù)咨詢服務(wù)、數(shù)據(jù)處理和存儲(chǔ)服務(wù)企業(yè)的ITSS（信息技術(shù)服務(wù)標(biāo)準(zhǔn)，information technology service standard）認(rèn)證，從2009年ITSS啟動(dòng)至今已發(fā)布4.0版本的體系框架，體系框架涵蓋了基礎(chǔ)標(biāo)準(zhǔn)、服務(wù)管控、服務(wù)安全、服務(wù)外包、服務(wù)業(yè)務(wù)通用要求、服務(wù)規(guī)范和針對(duì)各領(lǐng)域的實(shí)施指南，已有正式發(fā)布標(biāo)準(zhǔn)6項(xiàng)，組織制定中標(biāo)準(zhǔn)60余項(xiàng)，是我國(guó)自主研制的IT服務(wù)標(biāo)準(zhǔn)體系，全面規(guī)范了IT服務(wù)產(chǎn)品及其組成要素。開展ITSS符合性評(píng)估，可以有效提升企業(yè)服務(wù)質(zhì)量，優(yōu)化服務(wù)成本，強(qiáng)化服務(wù)效能，降低服務(wù)風(fēng)險(xiǎn)。2015年12月份工業(yè)和信息化部辦公廳會(huì)同國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)辦公室出臺(tái)了《信息技術(shù)服務(wù)標(biāo)準(zhǔn)化工作五年行動(dòng)計(jì)劃（2016～2020）》，對(duì)ITSS工作發(fā)展給出了指導(dǎo)思想、基本原則和發(fā)展目標(biāo)，提出七點(diǎn)任務(wù)和五項(xiàng)保障措施，是指導(dǎo)國(guó)內(nèi)推進(jìn)ITSS標(biāo)準(zhǔn)符合性評(píng)估工作的權(quán)威指南。目前全國(guó)范圍通過(guò)各等級(jí)成熟度認(rèn)證的咨詢?cè)O(shè)計(jì)及運(yùn)行維護(hù)標(biāo)準(zhǔn)的組織共713家（含用戶單位11家）。隨著ITSS標(biāo)準(zhǔn)家族的壯大，和在日漸增多的項(xiàng)目招標(biāo)中出現(xiàn)了ITSS標(biāo)準(zhǔn)符合性評(píng)估證書方面的要求，政府主推加市場(chǎng)需求，我們可以預(yù)測(cè)在未來(lái)這一標(biāo)準(zhǔn)將有更為廣闊的發(fā)展前景。

第五，可應(yīng)用于所有提供信息技術(shù)服務(wù)組織的ISO 20000（信息技術(shù)服務(wù)管理體系標(biāo)準(zhǔn)）認(rèn)證，ISO 20000標(biāo)準(zhǔn)規(guī)定了進(jìn)行信息技術(shù)服務(wù)的組織在向其內(nèi)外部客戶提供IT服務(wù)和支持過(guò)程中所需完成的工作。ISO 20000能夠幫助IT組織識(shí)別其進(jìn)行IT服務(wù)的關(guān)鍵流程并將其納入有效管理，以保證向需方有效地提供高質(zhì)量的IT服務(wù)。10年前就已經(jīng)有一些大型的國(guó)際化企業(yè)認(rèn)證了該體系。今天國(guó)內(nèi)經(jīng)CNCA認(rèn)可能夠進(jìn)行該項(xiàng)認(rèn)證的機(jī)構(gòu)有26家，獲證組織數(shù)量在北上廣深等發(fā)達(dá)一線城市較多，在中西部地區(qū)較少，在筆者所在的省份全省僅20余家。在實(shí)際市場(chǎng)應(yīng)用和項(xiàng)目競(jìng)爭(zhēng)中，20000認(rèn)證已經(jīng)越來(lái)越多的成為了“門檻”。值得說(shuō)明的是，ISO 20000和下面講到的ISO 27000也類似9000一樣存在認(rèn)可標(biāo)識(shí)不統(tǒng)一的問(wèn)題，企業(yè)進(jìn)行認(rèn)證時(shí)要注意。

第六，ISO 27000（信息安全管理體系）認(rèn)證，27000體系規(guī)定了組織內(nèi)部信息安全管理方面所要達(dá)成的工作要求。通過(guò)調(diào)研安全管理現(xiàn)狀，風(fēng)險(xiǎn)評(píng)估、管理策劃、體系運(yùn)行實(shí)施等措施使組織內(nèi)部的信息安全管理水平提升。目前國(guó)內(nèi)經(jīng)CNCA認(rèn)可的可進(jìn)行該項(xiàng)認(rèn)證的機(jī)構(gòu)有33家。在更多時(shí)候27000并不是項(xiàng)目招投標(biāo)的前提，而是讓客戶放心的一項(xiàng)保證。

在6大類企業(yè)提供涉及信息安全類的服務(wù)時(shí)，信息安全服務(wù)資質(zhì)是最為合適的，這項(xiàng)資質(zhì)是由中國(guó)信息安全認(rèn)證中心和中國(guó)信息安全測(cè)評(píng)中心審核及頒發(fā)證書。這兩家機(jī)構(gòu)里面，中國(guó)信息安全認(rèn)證中心可進(jìn)行應(yīng)急處理服務(wù)資質(zhì)、風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)、安全集成服務(wù)資質(zhì)、災(zāi)難備份與恢復(fù)服務(wù)資質(zhì)、軟件安全開發(fā)服務(wù)資質(zhì)、安全運(yùn)維服務(wù)資質(zhì)六類服務(wù)資質(zhì)的認(rèn)定；中國(guó)信息安全測(cè)評(píng)中心可進(jìn)行信息安全工程類、信息安全災(zāi)難恢復(fù)類、安全開發(fā)類三類服務(wù)資質(zhì)的認(rèn)定。目前國(guó)內(nèi)信息安全的地位越來(lái)越高，也有越來(lái)越多的項(xiàng)目涉及到信息安全，信息安全資質(zhì)的應(yīng)用也就必然越來(lái)越廣泛。

針對(duì)集成電路設(shè)計(jì)企業(yè)的“集成電路設(shè)計(jì)企業(yè)”認(rèn)定，同軟件企業(yè)認(rèn)定一樣，也在《國(guó)務(wù)院關(guān)于取消和調(diào)整一批行政審批項(xiàng)目等事項(xiàng)的決定》（國(guó)發(fā)〔2015〕11號(hào)）發(fā)布后取消。

針對(duì)其他信息技術(shù)服務(wù)業(yè)企業(yè)的，比如電信增值業(yè)務(wù)許可證（含呼叫中心許可等），另有一些特定的行業(yè)用戶比如教育行業(yè)有校園網(wǎng)（含計(jì)算機(jī)教室和多媒體教室）建設(shè)資質(zhì)等，由于應(yīng)用僅限于其所在行業(yè)，筆者就不再一一贅述。

（責(zé)任編輯：周 瓊）