王穎杰

摘要：文章對軟件和信息技術(shù)服務業(yè)企業(yè)可能需求的資質(zhì)及體系認證進行分析，幫助進行企業(yè)選擇，分別分析了9000管理體系認證、軟件企業(yè)評估、CMMI認證、信息系統(tǒng)集成及服務資質(zhì)、ITSS標準符合性評估、20000信息技術(shù)服務管理體系標準認證、27000信息安全管理體系認證、信息安全服務資質(zhì)等資質(zhì)或體系認證。

關(guān)鍵詞：軟件和信息技術(shù)服務業(yè)；企業(yè)資質(zhì)；體系認證；9000管理體系認證 文獻標識碼：A

中圖分類號：F272 文章編號：1009-2374（2017）08-0232-02 DOI：10.13535/j.cnki.11-4406/n.2017.08.114

根據(jù)國家標準《國民經(jīng)濟行業(yè)分類與代碼》（GB/T 4754-2011）的說明，第六十五大類為“軟件和信息技術(shù)服務業(yè)”，此類行業(yè)包含了軟件開發(fā)、信息系統(tǒng)集成服務、信息技術(shù)咨詢服務、數(shù)據(jù)處理和存儲服務、集成電路設(shè)計、其他信息技術(shù)服務業(yè)（含數(shù)字內(nèi)容服務、呼叫中心及其他未列明信息技術(shù)服務業(yè)）共計6類行業(yè)，對于這些企業(yè)的發(fā)展過程中的可能遇到的資質(zhì)、體系認證方面的需求和問題，根據(jù)筆者的經(jīng)驗做一簡單分析。

1 資質(zhì)與體系認證的基本概念

資質(zhì)是企業(yè)從事特定類型工作的資格的證明，在某些特定行業(yè)中是以國家行政審批事項的方式體現(xiàn)，比如建筑行業(yè)的建筑企業(yè)資質(zhì)就是劃分建筑企業(yè)類別和設(shè)計施工能力的一種方式。體系認證一般來講是管理體系經(jīng)過認證機構(gòu)認證的簡稱，是一個組織組織制度和管理制度符合一定的標準的證明。常見的管理體系有質(zhì)量管理體系、環(huán)境管理體系、服務管理體系、信息安全管理體系等，通俗意義上的資質(zhì)和體系認證都是對企業(yè)能力達到一定的水平的第三方評定。最終用戶在建設(shè)項目時可以用資質(zhì)和體系認證來評判施工方是否滿足建設(shè)目標的要求。

2 軟件和信息技術(shù)服務業(yè)企業(yè)資質(zhì)和體系認證需求分析

第一，對各類企業(yè)均適用的ISO9000質(zhì)量管理體系，應用范圍最為廣泛的一項體系，從1987年建立至今已歷經(jīng)5個版本。簡單來說，質(zhì)量管理體系是組織內(nèi)部建立的為達成特定質(zhì)量目標而設(shè)立的諸多要素的集合，國內(nèi)標準9000證書的證書編號規(guī)則以結(jié)尾字母劃分企業(yè)規(guī)模，S是49人以下小型企業(yè)，M是50～999人中型企業(yè)，L是1000人以上大型企業(yè)。針對軟件和信息技術(shù)服務企業(yè)，好的9000體系可以大幅提升企業(yè)軟件開發(fā)和信息服務的規(guī)范性，但必須要指出的是，由于政府采購的采信和市場競爭的加劇，很多企業(yè)是為了取得證書而認證，放棄了實施質(zhì)量體系的初衷，且目前全國范圍經(jīng)中國國家認證認可監(jiān)督管理委員會（以下簡稱CNCA）批準的質(zhì)量管理體系認證機構(gòu)多達217家，認證機構(gòu)為了拓展業(yè)務也降低了實施認證的門檻，眾多因素導致9000認證的泛濫。另外需要企業(yè)注意的是，機構(gòu)能夠發(fā)放的認可標識有CNAS、UKAS、ANAB等，這些標識代表了經(jīng)過不同國家的認可機構(gòu)認可，CNAS是中國合格評定國家認可委員會，UKAS是英國皇家認可委員會，ANAB是美國國家標準協(xié)會-美國質(zhì)量學會認證機構(gòu)認可委員會。在有些實際應用中會出現(xiàn)只認可證書標識為CNAS的情況。

第二，針對軟件開發(fā)類企業(yè)的“軟件企業(yè)”認定，是根據(jù)《國務院關(guān)于印發(fā)進一步鼓勵軟件產(chǎn)業(yè)和集成電路產(chǎn)業(yè)發(fā)展若干政策的通知》（國發(fā)〔2011〕4號）的要求進行的，但是《國務院關(guān)于取消和調(diào)整一批行政審批項目等事項的決定》（國發(fā)〔2015〕11號）發(fā)布后，工業(yè)和信息化部按照國務院文件要求停止了“雙軟認定”前置性審批工作。自文件發(fā)布之日起，各省、自治區(qū)、直轄市均按照文件要求，停止了軟件企業(yè)認定、軟件產(chǎn)品登記、軟件企業(yè)年審等所有“雙軟認定”事項。而“軟件企業(yè)評估”這一由中國軟件企業(yè)評估聯(lián)盟發(fā)起的對軟件企業(yè)工作的接續(xù)性評估認定工作，也由于2016年8月21日中共中央辦公廳和國務院辦公廳印發(fā)的《關(guān)于改革社會組織管理制度促進社會組織健康有序發(fā)展的意見》（簡稱二辦文件）的要求而轉(zhuǎn)為各地軟件行業(yè)協(xié)會組織自行管理，影響力和范圍較之前均有不同程度

下降。

針對軟件開發(fā)類企業(yè)的第二種常見體系認證是CMM/CMMI認證，CMM即Capability Maturity Model能力成熟度模型，CMMI即Capability Maturity Model Integration能力成熟度模型集成。最早的CMM模型是卡內(nèi)基梅隆大學與美國軍方合作提出的評價軟件開發(fā)過程成熟度的方法。從1987年起歷經(jīng)多次版本升級，一直是軟件開發(fā)領(lǐng)域的權(quán)威評判標準。CMMI劃分五個等級（初始級、可管理級、已定義級、量化管理級、優(yōu)化管理級）截止筆者發(fā)稿時國內(nèi)在CMMI官網(wǎng)可查的通過CMMI5認證的軟件企業(yè)已有約240家，CMMI4約120家、CMMI3約2560家。目前在國內(nèi)諸多行業(yè)的軟件開發(fā)項目招標中，都有將CMMI等級作為入門條件的情況，同時地方政府也有針對CMMI的政府補助，這都是軟件企業(yè)進行CMMI認證需求旺盛的原因。

第三，針對信息系統(tǒng)集成服務企業(yè)的信息系統(tǒng)集成及服務資質(zhì)，信息系統(tǒng)集成及服務是指從事信息網(wǎng)絡系統(tǒng)、信息資源系統(tǒng)、信息應用系統(tǒng)的咨詢設(shè)計、集成實施、運行維護等全生命周期活動及總體策劃、系統(tǒng)測評、數(shù)據(jù)處理存儲、信息安全、運營等服務和保障業(yè)務領(lǐng)域。其前身是1999年原信息產(chǎn)業(yè)部設(shè)立的計算機信息系統(tǒng)集成資質(zhì)，期間經(jīng)過多次變革，目前主管部門是中國電子信息行業(yè)聯(lián)合會，截止筆者發(fā)稿全國共有集成資質(zhì)企業(yè)9600余家，按級別從高到低劃分一至四級，其中一級企業(yè)264家、二級企業(yè)840家、三級企業(yè)4933家、四級企業(yè)3569家，另有流動紅旗性質(zhì)的大型一級企業(yè)32家。該項資質(zhì)在從原先的行政審批事項中取消后，不再在政府采購招標項目中作為門檻使用，但作為加分項存在，同時仍有眾多行業(yè)用戶（如電力、通信等領(lǐng)域）項目招標中設(shè)置此資質(zhì)為入門條件，在軟件和集成服務業(yè)企業(yè)應用較多，這也是目前企業(yè)需求較多的一項資質(zhì)。

第四，可應用于軟件開發(fā)、信息系統(tǒng)集成服務、信息技術(shù)咨詢服務、數(shù)據(jù)處理和存儲服務企業(yè)的ITSS（信息技術(shù)服務標準，information technology service standard）認證，從2009年ITSS啟動至今已發(fā)布4.0版本的體系框架，體系框架涵蓋了基礎(chǔ)標準、服務管控、服務安全、服務外包、服務業(yè)務通用要求、服務規(guī)范和針對各領(lǐng)域的實施指南，已有正式發(fā)布標準6項，組織制定中標準60余項，是我國自主研制的IT服務標準體系，全面規(guī)范了IT服務產(chǎn)品及其組成要素。開展ITSS符合性評估，可以有效提升企業(yè)服務質(zhì)量，優(yōu)化服務成本，強化服務效能，降低服務風險。2015年12月份工業(yè)和信息化部辦公廳會同國家標準化管理委員會辦公室出臺了《信息技術(shù)服務標準化工作五年行動計劃（2016～2020）》，對ITSS工作發(fā)展給出了指導思想、基本原則和發(fā)展目標，提出七點任務和五項保障措施，是指導國內(nèi)推進ITSS標準符合性評估工作的權(quán)威指南。目前全國范圍通過各等級成熟度認證的咨詢設(shè)計及運行維護標準的組織共713家（含用戶單位11家）。隨著ITSS標準家族的壯大，和在日漸增多的項目招標中出現(xiàn)了ITSS標準符合性評估證書方面的要求，政府主推加市場需求，我們可以預測在未來這一標準將有更為廣闊的發(fā)展前景。

第五，可應用于所有提供信息技術(shù)服務組織的ISO 20000（信息技術(shù)服務管理體系標準）認證，ISO 20000標準規(guī)定了進行信息技術(shù)服務的組織在向其內(nèi)外部客戶提供IT服務和支持過程中所需完成的工作。ISO 20000能夠幫助IT組織識別其進行IT服務的關(guān)鍵流程并將其納入有效管理，以保證向需方有效地提供高質(zhì)量的IT服務。10年前就已經(jīng)有一些大型的國際化企業(yè)認證了該體系。今天國內(nèi)經(jīng)CNCA認可能夠進行該項認證的機構(gòu)有26家，獲證組織數(shù)量在北上廣深等發(fā)達一線城市較多，在中西部地區(qū)較少，在筆者所在的省份全省僅20余家。在實際市場應用和項目競爭中，20000認證已經(jīng)越來越多的成為了“門檻”。值得說明的是，ISO 20000和下面講到的ISO 27000也類似9000一樣存在認可標識不統(tǒng)一的問題，企業(yè)進行認證時要注意。

第六，ISO 27000（信息安全管理體系）認證，27000體系規(guī)定了組織內(nèi)部信息安全管理方面所要達成的工作要求。通過調(diào)研安全管理現(xiàn)狀，風險評估、管理策劃、體系運行實施等措施使組織內(nèi)部的信息安全管理水平提升。目前國內(nèi)經(jīng)CNCA認可的可進行該項認證的機構(gòu)有33家。在更多時候27000并不是項目招投標的前提，而是讓客戶放心的一項保證。

在6大類企業(yè)提供涉及信息安全類的服務時，信息安全服務資質(zhì)是最為合適的，這項資質(zhì)是由中國信息安全認證中心和中國信息安全測評中心審核及頒發(fā)證書。這兩家機構(gòu)里面，中國信息安全認證中心可進行應急處理服務資質(zhì)、風險評估服務資質(zhì)、安全集成服務資質(zhì)、災難備份與恢復服務資質(zhì)、軟件安全開發(fā)服務資質(zhì)、安全運維服務資質(zhì)六類服務資質(zhì)的認定；中國信息安全測評中心可進行信息安全工程類、信息安全災難恢復類、安全開發(fā)類三類服務資質(zhì)的認定。目前國內(nèi)信息安全的地位越來越高，也有越來越多的項目涉及到信息安全，信息安全資質(zhì)的應用也就必然越來越廣泛。

針對集成電路設(shè)計企業(yè)的“集成電路設(shè)計企業(yè)”認定，同軟件企業(yè)認定一樣，也在《國務院關(guān)于取消和調(diào)整一批行政審批項目等事項的決定》（國發(fā)〔2015〕11號）發(fā)布后取消。

針對其他信息技術(shù)服務業(yè)企業(yè)的，比如電信增值業(yè)務許可證（含呼叫中心許可等），另有一些特定的行業(yè)用戶比如教育行業(yè)有校園網(wǎng)（含計算機教室和多媒體教室）建設(shè)資質(zhì)等，由于應用僅限于其所在行業(yè)，筆者就不再一一贅述。

（責任編輯：周 瓊）