当前位置: 首页 > 工作规则 > 管理办法

云计算服务标准符合性评估实施细则 (2020年修订版)

作者:itss管理员

发布时间:2021-02-27 13:45:50

为做好云计算服务能力标准符合性评估工作,中国电子工业标准化技术协会信息技术服务分会(以下称ITSS分会)依据《信息技术服务标准(ITSS)符合性评估管理办法》,制定本实施细则。

一、适用范围

(一)本实施细则适用于云计算服务单位依据《信息技术 云计算 云服务运营通用要求》(以下称通用要求)和云计算服务能力指标体系开展的符合性评估。

(二)云计算服务能力标准符合性评估包括IaaS(分为公有云和私有云)、SaaS等。依据能力指标(分级指标ITSS分会另行发布),分为以下不同等级,其中:

IaaS能力评估分为四个等级,从低到高依次为:初始级(四级)、基础级(三级)、增强级(二级)、引领级(一级)。

SaaS能力评估分为三个等级,从低到高依次为:基础级(三级)、增强级(二级)、引领级(一级)。

二、相关职责

(一)ITSS分会负责组织管理云计算服务能力标准符合性评估活动,并确认评估结果;

(二)评估机构分为行业级评估机构、地方级评估机构。行业级评估机构可在中国境内受理IaaS的一级、二级、三级SaaS的一级、二级、三级的评估申请。地方级评估机构在本地区受理IaaS的三级、四级SaaS的三级评估申请。

三、申请条件

(一)四级申请单位应具备下列基本条件:

1.具有独立法人地位;

2.已按照通用要求和四级指标体系建立了云计算服务能力体系,且有效运行6个月以上;

3.能够提供云计算服务能力管理、人员、资源、技术和过程等方面的有效证据。

(二)三级申请单位应具备下列基本条件:

1.具有独立法人地位;

2.已按照通用要求和三级指标体系要求建立了云计算服务能力体系,且有效运行6个月以上;

3.能够提供云计算服务能力管理、人员、资源、技术和过程等方面的有效证据。

(三)二级的申请单位应具备下列基本条件:

1.持有三级证书满1年以上;

2.已按照通用要求和二级指标体系要求建立了云计算服务能力体系,且有效运行6个月以上;

3.能够提供云计算服务能力管理、人员、资源、技术和过程等方面的有效证据。

(四)一级的申请单位应具备下列基本条件:

1.持有二级证书满1年以上;

2.已按照通用要求和一级指标体系要求建立了云计算服务能力体系,且有效运行6个月以上;

3.能够提供云计算能力管理、人员、资源、技术和过程等方面的有效证据。

四、申请事项

(一)初次申请

1.初次申请包括以下事项:

1)IaaS(含公有云和私有云)的四级申请;

2)SaaS的三级申请。

2.申请单位应向评估机构提交相应的《云计算服务能力标准符合性评估申请表》(以下称《申请表》)及附件材料。提交材料的具体要求,详见《申请表》。

(二)监督评估申请

1.监督评估申请包括首次监督评估申请和二次监督评估申请。获证单位应在自获证之日起,9个月至12个月之间完成首次监督评估。获证单位应在自获证之日起,21个月至24个月之间完成二次监督评估。

2.监督评估应由获证单位所持证书上标识的评估机构实施。

3.一次监督评估的覆盖范围应不少于标准的二分之一,首次监督和二次监督的覆盖范围应是相应标准的全部。

(三)再评估(换证)申请

1. 再评估申请包括四级、三级、二级和一级证书有效期延续的申请。

2. 获证单位可在证书有效期期满前6个月申请再评估。

3. 申请单位应向评估机构提交相应的《申请表》及附件材料。提交材料的具体要求,详见《申请表》。

(四)升级申请

1、升级申请包括四级升三级、三级升二级、二级升一级的申请。

2.申请单位应向评估机构提交相应的《云计算服务能力标准符合性评估申请表》(以下称《申请表》)及附件材料。提交材料的具体要求,详见《申请表》。

3.因未通过再评估被降级的单位申请升级,可在获证之日起满6个月后申请升级(四级升三级除外)。

(五)整改申请

1.下列未通过专家评审会的申请单位,可申请整改1次。整改完成后再提交:

1)二级的初次申请;

2)二级的再评估。

2.整改后由评估机构再次提交申请的材料包括:

1)全部申请材料和评估材料;

2)根据专家评审意见完成的整改材料。

(六)变更申请

1.获证单位发生下列一般变更事项,应在变更发生之日起30日内,向ITSS分会提交证书变更申请,ITSS分会核实无误后办理证书变更手续。

1)单位名称发生注册变更;

2)单位住所发生跨省市的区域变更。

2.获证单位发生下列重大变更事项,应向ITSS分会提交证书变更申请。对符合变更要求的,ITSS分会组织变更评估,通过变更评估的换发新证书。

1)单位主体发生分立、合并和重组等重大调整;

2)从事云服务业务的单位主体发生重大调整。

五、评估程序

(一)评估机构应按照《信息技术服务标准(ITSS)符合性评估规范》受理申请,组建评估组并组织实施文件评审和现场评估。

(二)评估组的评估工作量应满足以下要求:

1.四级(含初次申请和再评估)现场评估工作量不少于3人日,总工作量不少于4人日;监督评估的现场评估工作量不少于1人日,总工作量不少于1.5人日。

2.三级(含初次申请和再评估)现场评估工作量不少于6人日,总工作量不少于9人日;监督评估的现场评估工作量不少于2人日,总工作量不少于3人日。

3.二级(含申请和再评估)现场评估工作量不少于9人日,总工作量不少于12人日;监督评估的现场评估工作量不少于3人日,总工作量不少于4人日。

4.一级(含初次申请和再评估)的现场评估工作量不少于12人日,总工作量不少于15人日;监督评估的现场评估工作量不少于4人日,总工作量不少于5人日。

(三)评估机构出具评估报告后,应向ITSS分会提交申请材料和评估材料,材料包括:

1.《申请表》及附件材料;

2.《云计算服务能力评估计划》;

3.《云计算服务能力评估检查表》;

4.《首次会议签到表》和《末次会议签到表》;

5.《不符合项报告》及验证关闭记录;

6.《云计算服务能力评估报告》;

7. ITSS分会要求提交的其他材料。

六、结果确认

(一)确认方式

1.组织专家以材料审阅、现场答辩的方式对一级、二级初次申请和一级再评估进行综合评审和结果确认;

2.组织专家以材料审阅方式对二级的再评估进行评审和结果确认;

3.对三级、四级的初次申请和再评估,以及所有的监督评估进行复核和结果确认。

(二)确认结果

1.通过

1)对通过复核或专家评审的申请单位,ITSS分会在工作平台进行公示。

2)ITSS分会确认结果,在工作平台进行公告。

3)ITSS分会颁发《云计算服务能力标准符合性证书》(以下称《证书》)。

2.整改和降级

1)选择整改应满足以下要求:

1)整改周期至少3个月;

2)再次提交时,评估报告在有效期内;

3)专家评审会后,再评估申请单位的证书有效期不少于4个月;

(2)整改后仍未通过专家评审的二级再评估和一级再评估申请单位,可获得低一等级的证书。

3.暂停和注销

(1)逾期未完成监督评估(自获证之日起,12个月内未完成第一次监督评估或24个月内未完成第二次监督评估)的获证单位,证书暂停3个月。

2)暂停3个月后仍未完成监督评估的,其证书自动注销。

3)未完成再评估的获证单位,其证书到期后自动注销。

七、其他相关事项

本实施细则由ITSS分会负责解释。