軟件和信息技術服務業企業資質和體系認證需求分析

王穎杰

摘要：文章對軟件和信息技術服務業企業可能需求的資質及體系認證進行分析，幫助進行企業選擇，分別分析了9000管理體系認證、軟件企業評估、CMMI認證、信息系統集成及服務資質、ITSS標準符合性評估、20000信息技術服務管理體系標準認證、27000信息安全管理體系認證、信息安全服務資質等資質或體系認證。

關鍵詞：軟件和信息技術服務業；企業資質；體系認證；9000管理體系認證 文獻標識碼：A

中圖分類號：F272 文章編號：1009-2374（2017）08-0232-02 DOI：10.13535/j.cnki.11-4406/n.2017.08.114

根據國家標準《國民經濟行業分類與代碼》（GB/T 4754-2011）的說明，第六十五大類為“軟件和信息技術服務業”，此類行業包含了軟件開發、信息系統集成服務、信息技術咨詢服務、數據處理和存儲服務、集成電路設計、其他信息技術服務業（含數字內容服務、呼叫中心及其他未列明信息技術服務業）共計6類行業，對于這些企業的發展過程中的可能遇到的資質、體系認證方面的需求和問題，根據筆者的經驗做一簡單分析。

1 資質與體系認證的基本概念

資質是企業從事特定類型工作的資格的證明，在某些特定行業中是以國家行政審批事項的方式體現，比如建筑行業的建筑企業資質就是劃分建筑企業類別和設計施工能力的一種方式。體系認證一般來講是管理體系經過認證機構認證的簡稱，是一個組織組織制度和管理制度符合一定的標準的證明。常見的管理體系有質量管理體系、環境管理體系、服務管理體系、信息安全管理體系等，通俗意義上的資質和體系認證都是對企業能力達到一定的水平的第三方評定。最終用戶在建設項目時可以用資質和體系認證來評判施工方是否滿足建設目標的要求。

2 軟件和信息技術服務業企業資質和體系認證需求分析

第一，對各類企業均適用的ISO9000質量管理體系，應用范圍最為廣泛的一項體系，從1987年建立至今已歷經5個版本。簡單來說，質量管理體系是組織內部建立的為達成特定質量目標而設立的諸多要素的集合，國內標準9000證書的證書編號規則以結尾字母劃分企業規模，S是49人以下小型企業，M是50～999人中型企業，L是1000人以上大型企業。針對軟件和信息技術服務企業，好的9000體系可以大幅提升企業軟件開發和信息服務的規范性，但必須要指出的是，由于政府采購的采信和市場競爭的加劇，很多企業是為了取得證書而認證，放棄了實施質量體系的初衷，且目前全國范圍經中國國家認證認可監督管理委員會（以下簡稱CNCA）批準的質量管理體系認證機構多達217家，認證機構為了拓展業務也降低了實施認證的門檻，眾多因素導致9000認證的泛濫。另外需要企業注意的是，機構能夠發放的認可標識有CNAS、UKAS、ANAB等，這些標識代表了經過不同國家的認可機構認可，CNAS是中國合格評定國家認可委員會，UKAS是英國皇家認可委員會，ANAB是美國國家標準協會-美國質量學會認證機構認可委員會。在有些實際應用中會出現只認可證書標識為CNAS的情況。

第二，針對軟件開發類企業的“軟件企業”認定，是根據《國務院關于印發進一步鼓勵軟件產業和集成電路產業發展若干政策的通知》（國發〔2011〕4號）的要求進行的，但是《國務院關于取消和調整一批行政審批項目等事項的決定》（國發〔2015〕11號）發布后，工業和信息化部按照國務院文件要求停止了“雙軟認定”前置性審批工作。自文件發布之日起，各省、自治區、直轄市均按照文件要求，停止了軟件企業認定、軟件產品登記、軟件企業年審等所有“雙軟認定”事項。而“軟件企業評估”這一由中國軟件企業評估聯盟發起的對軟件企業工作的接續性評估認定工作，也由于2016年8月21日中共中央辦公廳和國務院辦公廳印發的《關于改革社會組織管理制度促進社會組織健康有序發展的意見》（簡稱二辦文件）的要求而轉為各地軟件行業協會組織自行管理，影響力和范圍較之前均有不同程度

下降。

針對軟件開發類企業的第二種常見體系認證是CMM/CMMI認證，CMM即Capability Maturity Model能力成熟度模型，CMMI即Capability Maturity Model Integration能力成熟度模型集成。最早的CMM模型是卡內基梅隆大學與美國軍方合作提出的評價軟件開發過程成熟度的方法。從1987年起歷經多次版本升級，一直是軟件開發領域的權威評判標準。CMMI劃分五個等級（初始級、可管理級、已定義級、量化管理級、優化管理級）截止筆者發稿時國內在CMMI官網可查的通過CMMI5認證的軟件企業已有約240家，CMMI4約120家、CMMI3約2560家。目前在國內諸多行業的軟件開發項目招標中，都有將CMMI等級作為入門條件的情況，同時地方政府也有針對CMMI的政府補助，這都是軟件企業進行CMMI認證需求旺盛的原因。

第三，針對信息系統集成服務企業的信息系統集成及服務資質，信息系統集成及服務是指從事信息網絡系統、信息資源系統、信息應用系統的咨詢設計、集成實施、運行維護等全生命周期活動及總體策劃、系統測評、數據處理存儲、信息安全、運營等服務和保障業務領域。其前身是1999年原信息產業部設立的計算機信息系統集成資質，期間經過多次變革，目前主管部門是中國電子信息行業聯合會，截止筆者發稿全國共有集成資質企業9600余家，按級別從高到低劃分一至四級，其中一級企業264家、二級企業840家、三級企業4933家、四級企業3569家，另有流動紅旗性質的大型一級企業32家。該項資質在從原先的行政審批事項中取消后，不再在政府采購招標項目中作為門檻使用，但作為加分項存在，同時仍有眾多行業用戶（如電力、通信等領域）項目招標中設置此資質為入門條件，在軟件和集成服務業企業應用較多，這也是目前企業需求較多的一項資質。

第四，可應用于軟件開發、信息系統集成服務、信息技術咨詢服務、數據處理和存儲服務企業的ITSS（信息技術服務標準，information technology service standard）認證，從2009年ITSS啟動至今已發布4.0版本的體系框架，體系框架涵蓋了基礎標準、服務管控、服務安全、服務外包、服務業務通用要求、服務規范和針對各領域的實施指南，已有正式發布標準6項，組織制定中標準60余項，是我國自主研制的IT服務標準體系，全面規范了IT服務產品及其組成要素。開展ITSS符合性評估，可以有效提升企業服務質量，優化服務成本，強化服務效能，降低服務風險。2015年12月份工業和信息化部辦公廳會同國家標準化管理委員會辦公室出臺了《信息技術服務標準化工作五年行動計劃（2016～2020）》，對ITSS工作發展給出了指導思想、基本原則和發展目標，提出七點任務和五項保障措施，是指導國內推進ITSS標準符合性評估工作的權威指南。目前全國范圍通過各等級成熟度認證的咨詢設計及運行維護標準的組織共713家（含用戶單位11家）。隨著ITSS標準家族的壯大，和在日漸增多的項目招標中出現了ITSS標準符合性評估證書方面的要求，政府主推加市場需求，我們可以預測在未來這一標準將有更為廣闊的發展前景。

第五，可應用于所有提供信息技術服務組織的ISO 20000（信息技術服務管理體系標準）認證，ISO 20000標準規定了進行信息技術服務的組織在向其內外部客戶提供IT服務和支持過程中所需完成的工作。ISO 20000能夠幫助IT組織識別其進行IT服務的關鍵流程并將其納入有效管理，以保證向需方有效地提供高質量的IT服務。10年前就已經有一些大型的國際化企業認證了該體系。今天國內經CNCA認可能夠進行該項認證的機構有26家，獲證組織數量在北上廣深等發達一線城市較多，在中西部地區較少，在筆者所在的省份全省僅20余家。在實際市場應用和項目競爭中，20000認證已經越來越多的成為了“門檻”。值得說明的是，ISO 20000和下面講到的ISO 27000也類似9000一樣存在認可標識不統一的問題，企業進行認證時要注意。

第六，ISO 27000（信息安全管理體系）認證，27000體系規定了組織內部信息安全管理方面所要達成的工作要求。通過調研安全管理現狀，風險評估、管理策劃、體系運行實施等措施使組織內部的信息安全管理水平提升。目前國內經CNCA認可的可進行該項認證的機構有33家。在更多時候27000并不是項目招投標的前提，而是讓客戶放心的一項保證。

在6大類企業提供涉及信息安全類的服務時，信息安全服務資質是最為合適的，這項資質是由中國信息安全認證中心和中國信息安全測評中心審核及頒發證書。這兩家機構里面，中國信息安全認證中心可進行應急處理服務資質、風險評估服務資質、安全集成服務資質、災難備份與恢復服務資質、軟件安全開發服務資質、安全運維服務資質六類服務資質的認定；中國信息安全測評中心可進行信息安全工程類、信息安全災難恢復類、安全開發類三類服務資質的認定。目前國內信息安全的地位越來越高，也有越來越多的項目涉及到信息安全，信息安全資質的應用也就必然越來越廣泛。

針對集成電路設計企業的“集成電路設計企業”認定，同軟件企業認定一樣，也在《國務院關于取消和調整一批行政審批項目等事項的決定》（國發〔2015〕11號）發布后取消。

針對其他信息技術服務業企業的，比如電信增值業務許可證（含呼叫中心許可等），另有一些特定的行業用戶比如教育行業有校園網（含計算機教室和多媒體教室）建設資質等，由于應用僅限于其所在行業，筆者就不再一一贅述。

（責任編輯：周 瓊）