大型软件企业应该去做好各项认证,确保软件安全。因为,软件的数据库中可能存储一些比较敏感的信息,例如:用户个人信息、联系方式以及资产信息等,如果不能通过各项安全认证,软件则可能存在风险,无法确保用户的信息安全。
ISO27001与ISO20000是软件行业常常会去接触的两个认证,可以看到它们同样属于ISO家族
ISO27001中文名是信息安全管理体系,什么是信息安全?
信息安全本身包括的范围很大,大到国家军事政治等机密安全,小范围的当然还包括如防范商业企业机密泄露,防范青少年对不良信息的浏览,个人信息的泄露等。网络环境下的信息安全体系是保证信息安全的关键,包括计算机安全操作系统、各种安全协议、安全机制(数字签名,信息认证,数据加密等),直至安全系统,其中任何一个安全漏洞便可以威胁全局安全。信息安全服务至少应该包括支持信息网络安全服务的基本理论,以及基于新一代信息网络体系结构的网络安全服务体系结构。
信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。
ISO20000体系认证介绍
ISO20000是以流程化管理方式为基础的,IT工作被分解成了不同的流程,每个小部门、每个人的工作都是若干流程中不同工作的组合,流程对工作量化的输入输出为员工的工作量化提供了可能。员工的量化考核这个IT部门的普遍难题得到了初步解决,尤其是服务台的一线员工基本做到了完全的工作量化衡量。流程的量化数据为员工的工作分配,工作成绩的反映提供了基础,同时对于工作人员的责任也有了相应的考核体系。
同时,IT对服务也有了量化指标,建立了量化的质量控制体系,设定了完整准确的考核指标,提供完善的报表。对客户满意度等还选用第三方进行调查,保证数据的可信性。
量化管理不仅是IT部门自身管理的需要,也是衡量IT部门价值与投资回报的基础,流程化管理方式为量化管理的实现提供了可能。借用ISO20000,CIO也同时找到了一个衡量IT服务好坏的国际公认的标准。用这么一个标准来证明公司的ITSM实施达到了怎样一个阶段,在一个标准的平台上跟CEO、CIO沟通IT服务管理的标准化、规范化。
企业建立IT服务管理体系的目标是为了企业建立起一套行之有效的以客户为中心的自我完善的体系。在实施认证ISO20000管理体系后,在各个流程中,各个工作岗位上都建立了一个自我完善的循环,工作的策划、执行、检查,以及持续的发现问题改善问题的体系建立起来,使每个员工都拥有问题意识,自觉的发现自己工作当中的问题,并通过系统的解决问题的方法,将问题一个一个的解决。
除了做上述的ISO体系认证以外,还可以做ISO9000体系认证和CMMI认证
ISO9000体系
1、ISO9000建立企业运行的完整的质量管理体系,适用于各个行业。
2、ISO9001是第三方的认证活动,认证机构发证书并每年进行监督审核,公司内部要有内审、管理评审、纠正预防措施等管理活动。
3、ISO9000质量管理体系包含了全公司主要的业务运行各个环节(除了财务、人事、IT、行政),侧重于质量管理体系的运行和持续改进,通过管理水平的提高,最终达到提高产品质量的目的。
CMMI认证
1、CMMI是专门为软件开发而形成的改进模型,所以特别适用于软件企业和系统集成企业。
2、 CMMI是企业自己的改进活动,评估后可以由主任评估师签字,没有外部的后续监督活动,没有类似内审、管理评审、纠正预防措施等管理活动。
3、CMMI包含的是软件生命周期或系统集成的管理活动,侧重于软件产品开发过程或系统集成的持续改进。
此外,网络安全等级保护也是软件企业应该办理的一项资质。