itss认证三级条件
日期:3/17/2023 4:39:55 PM 点击:322
我国人民银行于2008年12月31日发布的《关于开展银行业金融机构信息安全管理责任实施方案的通知》(银发[2008]77号)要求,银行业金融机构应当建立健全信息安全管理制度,落实信息安全主体责任,确保信息安全。
根据这一要求,金融机构应当按照信息安全管理体系认证标准,建立健全信息安全管理体系,实施信息安全管理,并积极申请认证。
然而,该认证并不是强制性的,银行业金融机构可以根据自身实际情况决定是否申请认证。
在申请 ITSS 认证前,银行业金融机构应当自查其情况,确定自身是否符合认证条件,并遵守相关规定申请认证。
根据银行业信息安全管理体系认证标准,ITSS 认证包括 3 个级别:基础级别、进阶级别和高级级别。
银行业金融机构可以根据自身情况选择申请哪一级别的认证,并不强制要求申请某一级别的认证。
不过,一般来说,企业申请 ITSS 认证是从基础级别开始的,通过基础级别的认证后,再逐步申请进阶级别和高级级别的认证。
根据 ITSS 认证的要求,申请基础级别认证的银行业金融机构应当具备以下条件:
1. 建立健全信息安全管理体系文件;
2. 具备信息安全管理机构和信息安全专业人员;
3. 具备信息安全培训和应急预案;
4. 具备相关的技术保障措施和管理措施;
5. 具备信息安全事件处理能力;
6. 具备安全评估和审计能力。
申请进阶级别认证的银行业金融机构,除了上述基础级别认证条件外,还应当具备以下条件:
1. 基础级别认证已经通过;
2. 建立了全面、科学、有效的风险管理体系,落实了信息安全风险管理责任;
3. 具备完善的信息安全运行管理体系;
4. 落实了信息安全技术和管理措施,确保信息安全控制效果;
5. 实施了有效的信息安全培训,信息安全意识达到了良好水平;
6. 制定了完善的信息安全应急预案,并建立了信息安全应急演练制度;
7. 信息安全事件处理机制健全,能够有效处理信息安全事件;
8. 具备完整的安全评估报告和安全审计报告,并且能够及时、准确、客观地反映信息安全状况和发现的问题。
申请高级级别认证的企业,除了基础级别和进阶级别的认证条件外,还应当具备以下条件:
1. 基础级别和进阶级别认证均已经通过;
2. 控制体系符合要求,控制效果达到预期目标;
3. 管理体系符合要求,运行效果达到变更
ITSS(Information Technology Service Management,信息技术服务管理)认证三级条件变更
近日,ITSS(Information Technology Service Management,信息技术服务管理)认证的三级条件发生了变化,升级为“高级ITSS认证”、“标准ITSS认证”和“初级ITSS认证”三个级别。而实施ITSS的组织,则需要根据自身的实际情况选择适当的级别。
以往,ITSS认证的三级条件分别为“成熟”、“过渡”和“初级”,现在更名为“高级ITSS认证”、“标准ITSS认证”和“初级ITSS认证”。
高级ITSS认证要求组织在实施ITSS过程中必须体现出领先的战略思想,能够充分发挥ITSS在企业战略执行中的作用,并且能够获得显著的经济效益和社会效益。
标准ITSS认证要求组织在实施ITSS过程中必须具备较强的组织能力和专业能力,能够达到较高水平的运营效率,为企业的经营活动提供支撑。
初级ITSS认证要求组织在实施ITSS过程中必须具备一定的组织能力和专业能力,能够达到一定水平的运营效率,为企业的经营活动提供基本支撑。
ITSS认证的变化,一方面更好地体现了ITSS认证的领先性,另一方面也为实施ITSS的组织提供了更多的选择空间。同时,组织在选择ITSS认证级别时,还要考虑自身的实际情况,选择合适的级别。