月度归档： 2013 年 12 月

各省、自治区、直辖市及计划单列市工业和信息化主管部门、发展改革委、财政厅（局）、国家税务局、地方税务局，新疆生产建设兵团工业和信息化委员会、财务局：

　　为贯彻落实《国务院关于印发进一步鼓励软件产业和集成电路产业发展若干政策的通知》（国发[2011]4号），加强软件企业认定工作，促进我国软件产业发展，特制定《软件企业认定管理办法》，现印发给你们，请贯彻执行。

　　特此通知。

2013年2月6日

软件企业认定管理办法

第一章 总则

　　第一条 根据《国务院关于印发鼓励软件产业和集成电路产业发展若干政策的通知》（国发〔2000〕18号）、《国务院关于印发进一步鼓励软件产业和集成电路产业发展若干政策的通知》（国发〔2011〕4号）以及《财政部 国家税务总局关于进一步鼓励软件产业和集成电路产业发展企业所得税政策的通知》（财税〔2012〕27号），特制定本办法。

　　第二条 本办法所称软件企业是指在中国境内依法设立的从事软件产品开发销售（营业）及相关服务，并符合财税〔2012〕27号文件有关规定的企业。

　　第三条 工业和信息化部、国家发展和改革委员会、财政部、国家税务总局根据部门职责做好相关工作。

　　第四条 工业和信息化部履行全国软件产业管理职责，指导软件产业发展，组织管理全国软件企业认定工作，主要职责是：

　　（一）指导、监督和检查全国软件企业认定工作；

　　（二）对软件企业认定名单和年审名单进行公示和备案；

　　（三）受理和处理对软件企业认定结果和年审结果的复审申请；

　　（四）受理和处理对软件企业认定和年审的相关投诉和举报；

　　（五）指导和管理“中国双软认定网”，提供公共服务。

　　第五条 各省、自治区、直辖市及计划单列市、新疆生产建设兵团工业和信息化主管部门（以下统称省级主管部门）负责管理本行政区域内的软件企业认定工作。主要职责是：

　　（一）制定本行政区域内软件企业认定工作细则和管理制度，报工业和信息化部备案；

　　（二）管理本行政区域内软件企业的认定和年审，将认定名单和年审名单报工业和信息化部备案；

　　（三）公布本行政区域内软件企业认定名单，并颁发软件企业认定证书；

　　（四）受理和处理本行政区域内对软件企业认定结果和年审结果的异议申请；

　　（五）向工业和信息化部报送本行政区域内软件企业认定年度总结报告及相关数据信息。

　　第六条 中国软件行业协会及地方相应机构配合开展政策实施情况评估等工作，并由中国软件行业协会将有关情况汇总后及时报送工业和信息化部、国家发展和改革委员会、财政部和国家税务总局。

第二章 认定条件和程序

　　第七条 软件企业认定须符合财税〔2012〕27号文件的有关规定和条件。

　　第八条 企业向省级主管部门提出软件企业认定申请，并提交下列材料：

　　（一）《软件企业认定申请书》（可从“中国双软认定网”下载填写）；

　　（二）企业法人营业执照副本、税务登记证复印件（复印件须加盖企业公章）；

　　（三）企业开发及经营的软件产品列表（包括本企业开发和代理销售的软件产品），以及企业主营业务中拥有软件著作权或专利等自主知识产权的有效证明材料；

　　（四）企业拥有的《软件产品登记证书》或《计算机信息系统集成企业资质证书》、与用户签订的信息技术服务合同（协议）等信息技术服务相关证明材料；

　　（五）企业职工人数、学历结构、研究开发人员数及其占企业职工总数的比例说明，以及企业职工劳动合同和社会保险缴纳证明等相关证明材料；

　　（六）经具有国家法定资质的中介机构鉴证的企业上一年度和当年度（实际年限不足一年的按实际月份）财务报表（含资产负债表、损益表、现金流量表）以及企业软件产品开发销售（营业）收入、企业软件产品自主开发销售（营业）收入、企业研究开发费用、境内研究开发费用等情况表并附研究开发活动说明材料（研究开发费用、软件产品开发销售（营业）收入政策口径分别按照财税〔2012〕27号文件第十三条、第十六条的规定归集）；

　　（七）企业生产经营场所、开发环境及技术支撑环境的相关证明材料，包括经营场所购买或租赁合同，软硬件设施清单等；

　　（八）保证产品质量的相关证明材料，包括建立符合软件工程要求的质量管理体系的说明以及有效运行的过程文档记录等；

　　（九）工业和信息化部要求出具的其他材料。

　　第九条 省级主管部门自受理软件企业认定申请之日起20个工作日内按照本办法第七条规定，对软件产品开发销售（营业）情况、技术研发能力情况（包括研发环境、研发团队、以及场所购买或租赁情况等）、质量保障能力情况（包括质量保障体系、测试实验环境与工具等）、知识产权情况（包括核心技术知识产权情况、知识产权保护情况等）、企业管理情况（包括管理团队、经营管理制度等）等进行审查，必要时可组织产业、财务等专家围绕上述方面对申请企业进行评审。

　　第十条 省级主管部门根据审查情况做出认定，并将认定的软件企业名单（纸质文件和电子版）报送工业和信息化部。

　　第十一条 工业和信息化部在部门户网站和“中国双软认定网”上对省级主管部门报送的经认定的软件企业名单公示7个工作日，没有异议的，予以备案。有异议的，工业和信息化部不予备案，发回报送的省级主管部门重新审核。

　　第十二条 省级主管部门依据工业和信息化部备案情况，公布本行政区域内软件企业认定名单，颁发软件企业认定证书，并将获证软件企业名单抄送同级发展改革、财政、税务部门。

　　第十三条 软件企业认定实行年审制度。软件企业按照本办法第八条等有关规定向省级主管部门提交年审材料（软件企业年审申请书可从“中国双软认定网”下载填写）。省级主管部门依据本办法第七条规定对其认定的软件企业进行年审，将年审结果报工业和信息化部。工业和信息化部在部门户网站和“中国双软认定网”上对省级主管部门报送的年审结果公示7个工作日，没有异议的，予以备案。有异议的，工业和信息化部不予备案，发回报送的省级主管部门重新审核。

　　省级主管部门根据工业和信息化部备案情况，确定、公布年审结果，并抄送同级发展改革、财政、税务部门。

　　未年审或年审不合格的企业，即取消其软件企业的资格，软件企业认定证书自动失效，不再享受有关鼓励政策。按照财税〔2012〕27号文件规定享受软件企业定期减免税优惠的企业，如在优惠期限内未年审或年审不合格，则在软件企业认定证书失效年度停止享受财税〔2012〕27号文件规定的软件企业定期减免税优惠政策。

　　第十四条 企业对认定结果或年审结果有异议时，可在公布后20个工作日内，向所在地的省级主管部门提出申请，提交异议申请书及有关证明材料。省级主管部门受理申请后，应当进行调查核实，并在受理后45个工作日内作出处理。

　　企业对处理意见仍有异议的，可向工业和信息化部提出复审申请。工业和信息化部应当在45个工作日内作出处理决定。

　　第十五条 软件企业发生更名、分立、合并、重组以及经营业务重大变化等事项，应当自发生变化之日起15个工作日内向所在地省级主管部门进行书面报备。变化后仍符合软件企业认定条件的，办理相应的变更手续；变化后不符合软件企业认定条件的，终止软件企业认定资格。省级主管部门应及时将软件企业变更报备情况抄送同级发展改革、财政、税务部门。

　　认定年度次年2月份前，省级主管部门应将本行政区域内软件企业认定年度总结报告及相关数据信息报送工业和信息化部，并抄送同级发展改革、财政、税务部门。同级发展改革、财政、税务部门可将上述报告及相关数据信息分别报送国家发展和改革委员会、财政部、国家税务总局。

第三章 行业规范

　　第十六条 软件企业、中国软件行业协会及地方相应机构应当加强信用评价等诚信体系建设工作，推动软件行业自律，自觉维护行业秩序，促进软件产业健康发展。

　　第十七条 软件企业开发销售的软件产品和提供的信息技术服务应当符合我国相关标准和规范。

　　第十八条 软件企业应当增强创新发展能力，优化人才结构，提升国际化发展水平。

　　（一）发挥企业技术创新主体作用，深化产学研用结合；

　　（二）加大研究开发投入，提高软件产品自主开发销售（营业）收入的比例，加强知识产权创造、运用、保护和管理；

　　（三）加强软件开发环境和信息技术服务支撑环境建设，改进软件开发过程，开发软件测试和评价技术，提升软件产品测试、验证水平，建立健全质量管理体系；

　　（四）加强人才培养和引进、品牌建设、国际交流与合作，加快建立国际化营销网络和研发中心，提高软件和信息技术服务出口能力和国际市场占有率。

　　第十九条 软件企业应当按照国家统计法规的有关要求向工业和信息化部及时报送相关经济运行数据和信息。

第四章 监督管理

　　第二十条 工业和信息化部加强对省级主管部门、中国软件行业协会及地方相应机构的监督，对违反本办法规定的省级主管部门、中国软件行业协会，可给予通报、限期改正；对违反本办法规定的地方相应机构，可责令省级主管部门给予通报、限期改正。

　　第二十一条 参与软件企业认定工作的人员如有下列行为之一的，由其所属部门或机构责令限期改正，并依法给予行政处分；构成犯罪的，依法追究刑事责任。

　　（一）违反认定工作程序和工作原则；

　　（二）滥用职权、玩忽职守、徇私舞弊、索贿受贿；

　　（三）违反认定工作保密规定等要求；

　　（四）其他违反本办法规定的行为。

　　第二十二条 经认定的软件企业有以下情形之一的，由所在地省级主管部门视情节轻重，给予通报、取消软件企业认定资格，并报工业和信息化部备案，同时通报同级发展改革、财政和税务部门。

　　（一）在申请认定或年审过程中提供虚假信息；

　　（二）有逃避缴纳税款或帮助他人逃避缴纳税款等行为，或因违反《中华人民共和国税收征收管理法》及其实施细则受到税务机关处罚；

　　（三）在安全、质量、统计、知识产权、市场竞争、企业管理等方面有重大违法行为，受到有关部门处罚；

　　（四）未及时报告使企业认定条件发生变化的更名、分立、合并、重组以及经营业务重大变化等情况。

　　对被取消软件企业认定资格且当年已享受税收优惠政策的，由有关部门予以追缴，情节严重的三年内不予受理其软件企业认定申请。

第五章 附则

　　第二十三条 取得软件企业认定证书的软件企业，可向有关部门申请办理相应手续并按相关规定享受鼓励政策。

　　2011年1月1日前完成认定的软件企业，在享受企业所得税优惠政策期满前，仍按照《软件企业认定标准及管理办法（试行）》（信部联产〔2000〕968号）的认定条件进行年审，优惠期满后按照本办法重新认定，但不得享受财税〔2012〕27号文件第三条规定的优惠政策。

　　第二十四条 软件企业认定证书由工业和信息化部统一印制，正本和副本各一份。

　　第二十五条 本办法由工业和信息化部会同国家发展和改革委员会、财政部、国家税务总局负责解释。

　　第二十六条 本办法自2013年4月1日起实施。原有规定与本办法规定不一致的，按照本办法执行。

　　怎样才能获得ISO20000认证?

　　答：要获得ISO20000：2005认证的组织，必须证明其对ISO20000-1的13个管理流程进行管理与控制，并保证这些受控流程必须符合ISO20000-1标准的规定。当企业组织通过注册认证机构(RCB)的认证审计后，便可获得认证。取得认证后，企业组织会被列入官方的被认证组织列表，并且有权使用ISO20000的标志。

　　当前国际上有哪些权威的ISO20000认证机构?

　　答：在IT服务管理认证领域内，比较有影响的ISO20000认证机构包括如下：

　　?DNV

　　?BSI

　　?BV

　　?SGS

　　?TUV

　　我们在哪里可以获得关于ISO20000认证实施的相关资料?

　　答：ISO20000认证实施参考的资料包括《informationTechnology-ServicemanagementPart1:Specification》与《informationTechnology-ServicemanagementPart2:CodeofPractice》两套体系规范，通过此两套文档有效的了解与掌握ISO20000认证考核纲领与参考指南。同时，还专门为企业组织编写了一套IT服务体系管理培训课件，在参加认证实施培训时，可与体系规范一同向客户进行发送。

　　另外，《中国IT服务管理指南》(北京大学2004年3月出版)是全面地介绍ITSM和ITIL的专著，有助于企业组织ISO20000认证相关人员更好的理解与掌握ITSM理念与知识精髓。

　　通过管理审核后，企业组织会得到什么样的证书?认证后多久企业能得知反馈结果?

　　答：企业组织在通过RCB的管理审核后，一般情况下会在两个月的时间内接收到RCB发放的ISO20000资格考试证书，证书上主要标有itSMF签发的取得认证与认证失效的时间，及itSMF审核员的个人签名等相关信息。

　　企业组织一次取得ISO20000认证后，认证效力是否终身有效吗?

　　答：并不是一次取得ISO20000认证就终身有效的。按照国际化的标准要求，企业组织取得认证后的有效期限为三年，并且在此三年过程中，每年都须由认证机构进行“监督审核”，以确保符合质量的标准要求，从而确保服务管理的持续改进。组织要想更好的保证体系标准的符合性，可根据体系规范实际运行效果，定期进行内审管理，满足体系审核要求。

　　什么是RCB?

　　答：RCB(RegisteredCertificationBody)是指由ISO20000证书发放单位itSMF授权的组织，参照认证申请组织的内审及管理审核活动，代理itSMF单位向其企业组织发放证书的机构。

第一部分：管理规范（Specification）－IT服务管理标准介绍

ISO/IEC 20000-1:2005 定义了服务提供者交付管理服务的需求。它可应用于以下情况：

1． 被向外提供服务的组织使用；
2． 被要求其所有外包服务供应商在同一供应链中一致工作的组织使用；
3． 被测度其IT服务管理的服务供应商使用；
4． 作为正式认证前的评估基础；
5． 被需要证明其有能力提供客户所需服务的组织使用；
6． 旨在通过管理和提升服务质量流程的有效实施来提升服务组织使用。

ISO20000-1:2005促进了组织采用流程整合的方法，有效地交付管理服务以满足业务和客户的需求。对于期望高效执行IT服务管理的组织而言，需要识别并管理大量的相关活动。服务管理流程的整合实施，为持续控制和改善IT服务提供了可能。

组织需要以较低的成本获得不断更新的基础设施，以满足他们的业务需求。随着服务外包日益普及，技术选择日益多样的今天，服务提供者必须不断努力来维持高水平的客户服务。由于被动响应，他们没有更多的时间进行规划、培训、检查、研究以及与客户共同工作。结果导致结构化、主动的服务举措难以得到实施。而客户要求服务提供者不断提高其服务质量、降低成本、增加灵活性并对客户的需求做出更快地响应。

相反，有效的服务管理能够交付高水平的客户服务和客户满意度。服务和服务管理对于组织创造价值并且符合成本效益是至关重要的。ISO/IEC 20000标准能够使服务提供者了解如何提高他们交付给内部或外部客户的服务质量。

ISO/IEC 20000标准描绘了IT服务管理标准与最佳实践之间的区别，这些流程与组织的构成或大小以及组织的名称和结构无关。ISO/IEC 20000标准适用于大型或小型的服务提供者。服务管理流程将以有限的资源水平为客户交付最能满足其需求的服务。如：专业的、符合成本效益的、风险受控的服务。

第二部分：实施准则（Code of practice）－实践指导

ISO/IEC 20000-2:2005为审计人员提供行业一致认同的指南，并且为服务提供者规划服务改善或通过ISO/IEC 20000-1:2005审核提供指导。 ISO/IEC 20000-2:2005基于已被替代的BS 15000-2的。

实践准则描述了在BS 15000-1中服务管理流程的最佳实践。为以最小成本满足业务需求，客户对使用先进设施会不断提出要求，服务提供就越发显得重要了。人们已经意识到服务和服务管理对于帮助组织开源节流的重要性。

ISO/IEC 20000-1是服务管理规范，在阅读时应结合ISO/IEC 20000-2。

ISO/IEC 20000系列能使组织了解如何从内部和外部改进其服务质量。

由于组织对服务支持的日益依赖，以及技术多样性的现状，服务提供方有可能通过努力保持客户服务的高水准。服务供应方往往被动工作，很少花时间规划、培训、检查、调查并与客户一同工作，其结果必然导致失败。其失败就源于没有采用系统、主动的工作方式。

服务供应商也常常被要求提高服务质量，降低成本、采用更大灵活性和更快反应速度。有效的服务管理能提供高水准的客户服务和较高的客户满意度

ISO/IEC 20000系列对流程的最佳实践进行了总结，可适用于不同规模、类型和结构的组织。

ISO/IEC 20000系列适用于大型或小型组织，服务管理流程最佳实践要求并不会因为组织形式不同而被改变。

ISO/IEC 20000-2描述了IT服务管理流程质量标准。这些服务管理流程为组织在一定环境中开展业务提供了最佳实践指南，包括提供专业服务、降低成本、调查和控制风险。

在同一流程中，在流程之间和工作团队之间使用各种术语往往会让一个刚接触服务管理的管理者不知所措。对术语的一知半解会阻碍建立有效的组织流程。因此了解ISO/IEC 20000术语非常重要。

ISO/IEC 20000-2推荐服务管理者采用一致的术语和统一的方法进行服务管理，这可以为改进服务交付基础，并有助于服务提供者建立一个服务管理框架。

ISO/IEC 20000-2为审计人员提供指南，并可为组织规划服务的改进提供帮助，以便组织通过ISO/IEC 20000-1认证。

　ISO20000不仅作为国际上第一套IT服务管理体系标准，同时基于ITIL最佳实践与PDCA方法论体系原则，使其在IT服务领域范围内具有一定的权威性及普及性。通过体系标准来规范其服务管理流程，能够帮助IT管理人员突破技术思维，运用流程管理的思想促进IT与业务的整合。正是这一点，使得ISO20000认证能够风靡全球。　　

ISO20000认证具有以下诸多好处：　　

通过国际化的IT服务管理体系标准认证后，可以提高企业在业界内的竞争能力;　　

通过标准化服务流程的规范化管理，不仅可以有效的提高运维支撑效率，更能有效控制或规避由于人员变动所带来的风险;　　

可以有效衡量服务水平，评估绩效，减少运营风险，有助于运营管理的持续改进;　　

可以帮助企业组织提高IT服务质量，降低IT服务成本。

一、经济合作和发展组织，《信息系统安全指南》(1992) 　　《信息系统安全指南》用于协助国家和企业构建信息系统安全框架。美国、OECD的其他23个成员国，以及十几个非OECD成员国家都批准了这一指南。该指南旨在提高信息系统风险意识和安全措施，提供一个一般性的框架以辅助信息系统安全度量方法、操作流程和实践的制定和实施，鼓励关心信息系统安全的公共和私有部门间的合作，促进人们对信息系统的信心，促进人们应用和使用信息系统，方便国家间和国际间信息系统的开发、使用和安全防护。这个框架包括法律、行动准则、技术评估、管理和用户实践，及公众教育或宣传。该指南目的是作为政府、公众和私有部门的标杆，通过此标杆测量进展。

二、国际会计师联合会，《信息安全管理》(1998) 　　信息安全目标是“保护依靠信息、信息系统和传送信息的人、通信设施的利益不因为信息机密性、完整性和可用性的故障而遭受损失”。任何组织在满足三条准则时可认为达到信息安全目标:数据和信息只透露给有权知道该数据和信息的人(机密性);数据和信息保护不受未经授权的修改(完整性);信息系统在需要时可用和有用(可用性)。机密性、完整性和可用性之间的相对优先级和重要性根据信息系统中的信息和使用信息的商业环境而不同。信息安全因急速增长的事故和风险种类而日益重要。对信息系统的威胁既有可能来自有意或无意的行动，也可能来自内部或外部。信息安全事故的发生可能是因为技术方面的因素、自然灾害、环境方面、人的因素、非法访问或病毒。另外，业务依赖性(依靠第三方通信设施传送信息，外包业务等等)也可能潜在地导致管理控制的失效和监督不力。

三、国际标准化组织，《ISO 17799国际标准》(最新版是2005) 　　ISO17799(根据BS 7799第一部分制定)作为确定控制范围的单一参考点，在大多数情况下，这些控制是使用业务信息系统所必须的。该标准适应任何规模的组织。它把信息作为一种资产，像其他重要商业资产一样，这种资产对组织有价值，因此需要恰当保护它。ISO 17799认为信息安全有下列特征:机密性，确保信息只被相应的授权用户访问;完整性，保护信息和处理信息程序的准确性和完整性;可用性，确保授权用户在需要时能够访问信息和相关资产。信息安全保护信息不受广泛威胁的损毁，确保业务连续性，将商业损失降至最小，使投资收益最大并抓住各种商业机遇。安全是通过实施一套恰当的控制措施实现的。该控制措施由策略、实践、程序、组织结构和软件组成。

四、信息系统审计和控制协会，《信息和相关技术的控制目标》(CoBIT) 　　CoBIT起源于IT需要传递组织为达到业务目标所需的信息这个前提，至今已有三个版本。除了鼓励以业务流程为中心，实行业务流程负责制外，CoBIT还考虑到组织对信用、质量和安全的需要，它提供了组织用于定义其对IT业务要求的几条信息准则:效率、效果、可用性、完整性、机密性、可靠性和一致性。CoBIT进一步把IT分成4个领域(计划和组织，获取和实施，交付和支持，监控)，共计34个IT业务流程。CoBIT为正在寻求控制实施最佳实践的管理者和IT实施人员提供了超过300个详细的控制目标，以及建立在这些目标上的广泛的行动指南。COBIT框架通过联结业务风险、控制需要和技术手段来帮助满足管理当局多样化的需求。它提供了通过一个范围和过程框架的最佳惯例，以形成一个可控和逻辑结构内的活动。

五、美国注册会计师协会(加拿大特许会计师协会)，《SysTrust TM系统可靠性原理和准则 V20》(2001) 　　SysTrust服务是一种保证服务，用于增强管理者、客户和商业伙伴对支持业务或某种特别活动的系统的信任。SysTrust服务授权注册会计师承担的保证服务包括:注册会计师从可用性、安全性、完整性和可维护性四个基本方面评估和测试系统是否可靠。 　　SysTrust定义在特定环境下及特定时期内，没有重大错误、缺陷或故障地运行的系统为可靠系统。系统界限由系统所有者确定，但必须包括基础设施、软件、人、程序和数据这几个关键部分。 SysTrust的框架可升级，企业能够灵活选择SysTrust标准的任何部分或全部来验证系统的可靠性。对系统四个标准的判断组成对系统整体可靠性的判断。注册会计师也能单独判断某一标准如可用性或安全性的可靠性状况。但是这种判断仅仅对特定标准的可靠性做出判断，不是对系统整体可靠性的判断。

风险评估过程中，可以利用一些辅助性的工具和方法来采集数据，包括：　　

* 调查问卷 —— 风险评估者通过问卷形式对组织信息安全的各个方面进行调查，问卷解答可以进行手工分析，也可以输入自动化评估工具进行分析。从问卷调查中，评估者能够了解到组织的关键业务、关键资产、主要威胁、管理上的缺陷、采用的控制措施和安全策略的执行情况。　

　* 检查列表 —— 检查列表通常是基于特定标准或基线建立的，对特定系统进行审查的项目条款，通过检查列表，操作者可以快速定位系统目前的安全状况与基线要求之间的差距。　

　* 人员访谈 —— 风险评估者通过与组织内关键人员的访谈，可以了解到组织的安全意识、业务操作、管理程序等重要信息。　* 漏洞扫描器 —— 漏洞扫描器（包括基于网络探测和基于主机审计）可以对信息系统中存在的技术性漏洞（弱点）进行评估。许多扫描器都会列出已发现漏洞的严重性和被利用的容易程度。典型工具有Nessus、ISS、CyberCop Scanner 等。　

　* 渗透测试 —— 这是一种模拟黑客行为的漏洞探测活动，它不但要扫描目标系统的漏洞，还会通过漏洞利用来验证此种威胁场景。　　除了这些方法和工具外，风险评估过程最常用的还是一些专用的自动化的风险评估工具，无论是商用的还是免费的，此类工具都可以有效地通过输入数据来分析风险，最终给出对风险的评价并推荐相应的安全措施。目前常见的自动化风险评估工具包括：　

　* COBRA —— COBRA（Consultative, Objective and Bi-functional Risk Analysis）是英国的C&A系统安全公司推出的一套风险分析工具软件，它通过问卷的方式来采集和分析数据，并对组织的风险进行定性分析，最终的评估报告中包含已识别风险的水平和推荐措施。此外，COBRA 还支持基于知识的评估方法，可以将组织的安全现状与ISO 17799 标准相比较，从中找出差距，提出弥补措施。C&A 公司提供了COBRA 试用版下载：http://www.security-risk-analysis.com/cobdown.htm。　

　* CRAMM —— CRAMM（CCTA Risk Analysis and Management Method）是由英国政府的中央计算机与电信局Central Computer and Telecommunications Agency，CCTA）于1985年开发的一种定量风险分析工具，同时支持定性分析。经过多次版本更新（现在是第四版），目前由Insight 咨询公司负责管理和授权。CRAMM是一种可以评估信息系统风险并确定恰当对策的结构化方法，适用于各种类型的信息系统和网络，也可以在信息系统生命周期的各个阶段使用。CRAMM的安全模型数据库基于著名的“资产/威胁/弱点”模型，评估过程经过资产识别与评价、威胁和弱点评估、选择合适的推荐对策这三个阶段。CRAMM与BS 7799 标准保持一致，它提供的可供选择的安全控制多达3000 个。除了风险评估，CRAMM还可以对符合99vIL（99v Infrastructure Library）指南的业务连续性管理提供支持。　

　* ASSET —— ASSET（Automated Security Self-Evaluation Tool）是美国国家标准技术协会（National Institute of Standard and Technology，NIST）发布的一个可用来进行安全风险自我评估的自动化工具，它采用典型的基于知识的分析方法，利用问卷方式来评估系统安全现状与NIST SP 800-26 指南之间的差距。NIST Special Publication 800-26，即信息技术系统安全自我评估指南（Security Self-Assessment Guide for Information Technology Systems），为组织进行99v系统风险评估提供了众多控制目标和建议技术。ASSET 是一个免费工具，可以在NIST 的网站下载：http://icat.nist.gov。　　

* CORA —— CORA（Cost-of-Risk Analysis）是由国际安全技术公司（International Security Technology, Inc. www.ist-usa.com）开发的一种风险管理决策支持系统，它采用典型的定量分析方法，可以方便地采集、组织、分析并存储风险数据，为组织的风险管理决策支持提供准确的依据。风险评估过程中，可以利用一些辅助性的工具和方法来采集数据，包括：　

　* 调查问卷 —— 风险评估者通过问卷形式对组织信息安全的各个方面进行调查，问卷解答可以进行手工分析，也可以输入自动化评估工具进行分析。从问卷调查中，评估者能够了解到组织的关键业务、关键资产、主要威胁、管理上的缺陷、采用的控制措施和安全策略的执行情况。　

　* 检查列表 —— 检查列表通常是基于特定标准或基线建立的，对特定系统进行审查的项目条款，通过检查列表，操作者可以快速定位系统目前的安全状况与基线要求之间的差距。　

　* 人员访谈 —— 风险评估者通过与组织内关键人员的访谈，可以了解到组织的安全意识、业务操作、管理程序等重要信息。　* 漏洞扫描器 —— 漏洞扫描器（包括基于网络探测和基于主机审计）可以对信息系统中存在的技术性漏洞（弱点）进行评估。许多扫描器都会列出已发现漏洞的严重性和被利用的容易程度。典型工具有Nessus、ISS、CyberCop Scanner 等。　

　* 渗透测试 —— 这是一种模拟黑客行为的漏洞探测活动，它不但要扫描目标系统的漏洞，还会通过漏洞利用来验证此种威胁场景。　　除了这些方法和工具外，风险评估过程最常用的还是一些专用的自动化的风险评估工具，无论是商用的还是免费的，此类工具都可以有效地通过输入数据来分析风险，最终给出对风险的评价并推荐相应的安全措施。目前常见的自动化风险评估工具包括：　

　* COBRA —— COBRA（Consultative, Objective and Bi-functional Risk Analysis）是英国的C&A系统安全公司推出的一套风险分析工具软件，它通过问卷的方式来采集和分析数据，并对组织的风险进行定性分析，最终的评估报告中包含已识别风险的水平和推荐措施。此外，COBRA 还支持基于知识的评估方法，可以将组织的安全现状与ISO 17799 标准相比较，从中找出差距，提出弥补措施。C&A 公司提供了COBRA 试用版下载：http://www.security-risk-analysis.com/cobdown.htm。　

　* CRAMM —— CRAMM（CCTA Risk Analysis and Management Method）是由英国政府的中央计算机与电信局Central Computer and Telecommunications Agency，CCTA）于1985年开发的一种定量风险分析工具，同时支持定性分析。经过多次版本更新（现在是第四版），目前由Insight 咨询公司负责管理和授权。CRAMM是一种可以评估信息系统风险并确定恰当对策的结构化方法，适用于各种类型的信息系统和网络，也可以在信息系统生命周期的各个阶段使用。CRAMM的安全模型数据库基于著名的“资产/威胁/弱点”模型，评估过程经过资产识别与评价、威胁和弱点评估、选择合适的推荐对策这三个阶段。CRAMM与BS 7799 标准保持一致，它提供的可供选择的安全控制多达3000 个。除了风险评估，CRAMM还可以对符合99vIL（99v Infrastructure Library）指南的业务连续性管理提供支持。　

　* ASSET —— ASSET（Automated Security Self-Evaluation Tool）是美国国家标准技术协会（National Institute of Standard and Technology，NIST）发布的一个可用来进行安全风险自我评估的自动化工具，它采用典型的基于知识的分析方法，利用问卷方式来评估系统安全现状与NIST SP 800-26 指南之间的差距。NIST Special Publication 800-26，即信息技术系统安全自我评估指南（Security Self-Assessment Guide for Information Technology Systems），为组织进行99v系统风险评估提供了众多控制目标和建议技术。ASSET 是一个免费工具，可以在NIST 的网站下载：http://icat.nist.gov。

　　* CORA —— CORA（Cost-of-Risk Analysis）是由国际安全技术公司（International Security Technology, Inc. www.ist-usa.com）开发的一种风险管理决策支持系统，它采用典型的定量分析方法，可以方便地采集、组织、分析并存储风险数据，为组织的风险管理决策支持提供准确的依据。

信息安全管理体系文件编制完成以后，组织应按照文件的控制要求进行审核与批准，并发布实施，至此，信息安全管理体系将进入运行阶段。体系运行初期一般称为试运行期或磨合期，在此期间体系运行的目的是要在实践中检验体系的充分性、适用性和有效性。在体系运行初期，组织应加强运作力度，通过实施其手册、程序和各种作业指导性文件等一系列体系文件，充分发挥体系本身的各项功能，及时发现体系策划本身存在的问题，找出问题根源，采取纠正措施，纠正各种不符合，并按照更改控制程序要求对体系予以更改，以达到进一步完善信息安全管理体系的目的。ISO27001运行过程中，组织应注意哪些方面？

　　有针对性地宣贯信息安全管理体系文件。

　　体系文件的培训工作是体系运行的首要任务，培训工作的质量直接影响体系运行的结果。组织应根据培训工作计划的安排并按照培训程序的要求对全体员工实施培训。通过培训使全体员工认识到新建立或完善的信息安全管理体系是对过去信息安全管理体系的变革，是为了向国际先进的信息安全管理标准接轨，要适应这种变革和新管理体系的运行，就必须认真学习、贯彻信息安全管理体系文件。

　　实践是检验真理的唯一标准。

　　体系文件通过试运行必然会出现一些问题，全体员工应将实践中出现的问题和改进意见如实反馈给有关部门，以便采取纠正措施。

　　将体系试运行中暴露出的问题，如体系设计不周、项目不全等进行协调、改进。

　　信息安全管理体系的运行涉及组织体系范围的各个部门，在运行过程中，各项活动往往不可避免的发生偏离标准的现象，因此，组织应按照严密、协调、高效、精简、统一的原则，建立信息反馈与信息安全协调机制对异常信息反馈和处理，对出现的问题加以改进，并保证体系的持续正常运行。

　　加强有关体系运行信息的管理，不仅是信息安全管理体系试运行本身的需要，也是保证试运行成功的关键。

　　所有与信息安全管理体系活动有关的人员都应按体系文件要求，做好信息安全的信息收集、分析、传递、反馈、处理和归档等工作。

　　信息安全体系文件属于组织的信息资产，包含有关组织的全部安全管理等敏感信息，组织应按照信息分类的原则对其进行分类、进行密级标注并实行严格的安全控制，未经授权不得随意复制或借阅。

最高管理者在信息安全管理体系通过以下活动，对建立、实施、运作、监视、评审、保持和改进ISMS的承诺提供证据：

　　a) 建立信息安全方针；
　　b) 确保信息安全目标和计划得以制定；
　　c) 建立信息安全的角色和职责；
　　d) 向组织传达满足信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性；
　　e) 提供充分的资源，以建立、实施、运作、监视、评审、保持并改进ISMS；
　　f) 决定接受风险的准则和风险的可接受等级；
　　g) 确保内部ISMS审核得以实施；
　　h) 实施ISMS管理评审。

公司做ISO27001的好处

引入信息安全管理体系就可以协调各个方面信息管理，从而使管理更为有效。保证信息安全不是仅有一个防火墙，或找一个24小时提供信息安全服务的公司就可以达到的。它需要全面的综合管理。

通过进行ISO27001信息安全管理体系认证，可以增进组织间电子电子商务往来的信用度，能够建立起网站和贸易伙伴之间的互相信任，随着组织间的电子交流的增加通过信息安全管理的记录可以看到信息安全管理明显的利益，并为广大用户和服务提供商提供一个基础的设备管理。同时，把组织的干扰因素降到最小，创造更大收益。

通过认证能保证和证明组织所有的部门对信息安全的承诺。

通过认证可改善全体的业绩、消除不信任感。

获得国际认可的机构的认证证书，可得到国际上的承认，拓展您的业务。

建立信息安全管理体系能降低这种风险，通过第三方的认证能增强投资者及其他利益相关方的投资信心。

组织按照ISO27001标准建立信息安全管理体系，会有一定的投入，但是若能通过认证机关的审核，获得认证，将会获得有价值的回报。企业通过认证将可以向其客户、竞争对手、供应商、员工和投资方展示其在同行内的领导地位;定期的监督审核将确保组织的信息系统不断地被监督和改善，并以此作为增强信息安全性的依据,信任、信用及信心,使客户及利益相关方感受到组织对信息安全的承诺。

通过认证能够向政府及行业主管部门证明组织对相关法律法规的符合性。

为什么需要信息安全？

◆信息及信息安全

信息像其他重要的商务资产一样，也是一种资产，对一个组织而言具有价值，因而需要被妥善保护。信息安全使信息避免一系列威胁，保障了组织商务的连续性，最大限度地减小组织的商务损失，顺利获取投资和商务回报。信息可以以多种形式存在。它可以是打印或写在纸上（如：书面的财务报表等）；电子形式存贮(如:一个组织ERP系统的备份磁带)；通过邮件或用电子手段传输；显示在胶片上；表达在会话中。不论信息采用什么方式或采取什么手段共享和存贮，因为它有价值，应该得到妥善的保护。

　信息安全主要体现在以下三个方面：

　一是保密性。保密性是指确保信息资料，特别是重要的信息资料，不流失，不被非本部门人员非法盗用。比如银行的储户信息，医院的病人就医资料，政府机关、安全部门的机密文件，企业的客户资料、商务信息、专利、专有技术资料等等，应该给谁看，不应该给谁看，什么级别/部门的人员可以看什么密别的信息资料，如何储存保管，都应制定具体的措施、规范，以防止因信息流失而造成不良影响和重大经济损失。

二是完整性。所谓信息资料的完整性，是指信息资料不丢失、不少缺。比如采取一定的措施防止存贮在电脑中的磁盘文件不因操作不当或病毒的侵袭而导致文件的残缺或丢失。再如防止存贮的打印文件因霉变、虫蛀而残缺、损坏，防止水灾、火灾、???而毁损文件和资料等。

　三是可用性。可用性是指当需要某一信息资料时，可马上拿得到。比如采取一定的措施，防止因某一资料员不在场或其它例外情况下，因为拿不到所需的资料而导致停工或错失商机等。

ISO 27001标准把信息资料看作是公司的资产，其对公司的生存与发展起着关键作用，尤其是在知识经济和电子信息时代，确保信息安全更是非常有必要的。英国曾做过一项统计，80%的信息资料的损失是与人为因素有关的。所以防止人为因素造成的信息风险被作为信息安全的主要控制对象。

ISO 27001信息安全管理体系一个重要的方面是对信息风险的分析与管理。信息风险涉及可能造成信息损失的方方面面。比如电脑病毒有导致信息资料丢失或损坏的危险，可规定定期进行电脑病毒的检查；外来人员进入本公司，有导致信息资料失窃的危险，可规定采用门口设密码、电子卡等方式进入公司；更新电脑软件有导致信息资料无法读取的风险，可规定在进行电脑软件的更新时对电脑软件的兼容性进行评估；聘请外公司人员为本公司工作，本公司信息资料有流失的危险，在这种情况下须与外公司人员签订保密协议；在审核磁盘资料时，有可能导致磁盘文件被更改，可设置程序保证审核人员使用只可读不可改的文件或备份文件；以及防止内部人员和工业???的窃取，拷贝的软盘与电脑分别存放于不同的房间，作废的文件资料监视销毁等。

信息安全是通过执行一套适当的控制来达到的。可以是方针、惯例、程序、组织结构和软件功能来实现，这些控制方式需要确定，才能保障组织特定的安全目标的实现。

　◆ 信息安全的重要性

信息及其支持过程的系统和网络都是组织的重要资产。信息的机密性、完整性和可用性对保持一个组织的竞争优势、资金流动、效益、法律符合性和商务形象都是至关重要的。

任何组织及其信息系统（如一个组织的ERP系统）和网络都可能面临着包括计算机辅助欺诈、刺探、阴谋破坏行为、火灾、水灾等大范围的安全威胁。随着计算机的日益发展和普及，计算机病毒、计算机???、服务器的非法入侵破坏已变得日益普遍和错综复杂。

目前一些组织，特别是一些较大型公司的业务已经完全依赖信息系统进行生产业务管理，这意味着组织更易受到安全威胁的破坏。组织内网络的互连及信息资源的共享增大了实现访问控制的难度。

有些组织的信息系统尽管在设计时可能已考虑了安全，但仅仅依靠技术手段实现安全仍然是有限的，还应当通过管理和程序来支持。

◆ 建立信息安全管理体系（ISMS）对任何组织都具有重要意义

任何组织，不论它在信息技术方面如何努力以及采纳如何新的信息安全技术，实际上在信息安全管理

方面都还存在漏洞，例如：

　1. 缺少信息安全管理论坛，安全导向不明确，管理支持不明显；

2. 缺少跨部门的信息安全协调机制；

3. 保护特定资产以及完成特定安全过程的职责还不明确；

4. 雇员信息安全意识薄弱，缺少防范意识，外来人员很容易直接进入生产和工作场所；

5. 组织信息系统管理制度不够健全；

6. 组织信息系统主机房安全存在隐患，如：防火设施存在问题，与危险品仓库同处一幢办公楼等；

7. 组织信息系统备份设备仍有欠缺；

8. 组织信息系统安全防范技术投入欠缺；

9. 软件知识产权保护欠缺；

10. 计算机房、办公场所等物理防范措施欠缺；

11. 档案、记录等缺少可靠贮存场所；

12. 缺少一旦发生意外时的保证生产经营连续性的措施和计划；.等等

通过以上信息管理方面的漏洞以及经常见诸报端的种种信息安全事件表明，任何组织都急需建立信息安全管理体系，以保障其技术和商业机密，保障信息的完整性和可用性，最终保持其生产、经营活动的连续性。

　◆ 建立信息安全管理体系的意义

组织可以参照信息安全管理模型，按照先进的信息安全管理标准ISO 27001标准建立组织完整的信息安全管理体系并实施与保持，达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式，用最低的成本，使信息风险的发生概率和结果降低到可接受水平，并采取措施保证业务不会因风险的发生而中断。组织建立、实施与保持信息安全管理体系将会：

*强化员工的信息安全意识，规范组织信息安全行为；

* 对组织的关键信息资产进行全面系统的保护，维持竞争优势；

* 在信息系统受到侵袭时，确保业务持续开展并将损失降到最低程度；

　* 使组织的生意伙伴和客户对组织充满信心；