1、附件 2ICS03.060CCSA 11JR中 华 人 民 共 和 国 金 融 行 业 标 准JR/T 02542022金融网络安全信息科技外包评价指标数据元Financial cyber securityData element for the evaluation index ofinformation science and technology outsourcing2022-8-29 发布2022-8-29 实施中国人民银行发 布JR/T 02542022I目次前言.II1 范围.12 规范性引用文件.13 术语和定义.14 数据元记录总规则.35 金融业信息科技外包服务分类.46
2、金融业信息科技外包评价指标数据元.5附录(规范性)信息科技外包服务分类标识符及评价指标数据元表.66参考文献.70JR/T 02542022II前言本文件按照GB/T 1.12020标准化工作导则第1部分:标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中国人民银行科技司提出。本文件由全国金融标准化技术委员会(SAC/TC 180)归口。本文件起草单位:中国人民银行科技司、中国证券监督管理委员会科技监管局、中国光大银行股份有限公司、中国工商银行股份有限公司、中国农业银行股份有限公司、中国银行股份有限公司、中国建设银行股份有
3、限公司、建信金融科技有限责任公司、招商银行股份有限公司、兴业银行股份有限公司、交通银行股份有限公司、徽商银行股份有限公司、安徽省农村信用社联合社、浙江省农村信用社联合社、北京国家金融科技认证中心有限公司、北京国家金融标准化研究院有限责任公司、中国支付清算协会、中国人民银行昆明中心支行、中国人民银行乌鲁木齐中心支行、中国人民银行广州分行、上海东方证券资产管理有限公司、中证信息技术服务有限责任公司、长江证券股份有限公司、成方金融科技有限公司、中国人民银行郑州中心支行、中国银联股份有限公司。本文件主要起草人:李伟、姚前、陈立吾、刘铁斌、沈筱彦、车珍、周云晖、夏磊、王涛、王靖文、柯丹、高峰、张莉、张蔚
4、、陈晶、赵晶、辛静薇、刘剑锋、夏建伟、于伟琳、马佳丽、蔡炫楠、王琴、王元兰、高俊、胡拥军、郑慧、王妍娟、朱晓娜、吴紫园、马小琼、相海飞、胡滟、许贤甘、许健、薛亮、黎凯伦、何兴豪、牟大恩、张志洋、周睿、金萍、屈浩、段越。JR/T 025420221金融网络安全信息科技外包评价指标数据元1范围本文件规定了金融业信息科技外包分类及评价指标数据元定义。本文件适用于金融机构信息科技外包评价的指标编制、实施管理。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文
5、件。GB/T 302792020信息安全技术网络安全漏洞分类分级指南GB/T 338502017信息技术服务质量评价指标体系JR/T 02012020金融科技发展指标ISO 8601-1:2019日期和时间信息交换的表示第1部分:基础规则(Date and timeRepresentations for information interchangePart 1:Basic rules)3术语和定义下列术语和定义适用于本文件。3.1服务商service provider与金融机构签订协议为其提供信息技术产品或服务的企业或组织。3.2信息科技外包服务information science and
6、 technology outsourcing金融机构将与本机构经营活动相关的信息科技活动委托给服务商进行持续处理的行为。3.3信息科技外包服务分类category of information science and technology outsourcing根据信息科技外包服务用途定义的分类。3.4信息科技外包服务场所分类category of information science and technology outsourcing byservice site根据服务商提供外包服务场所定义的分类。注:信息科技外包服务场所定义为驻场和非驻场,其中驻场指服务商在金融机构现场提供服务的外
7、包形式;非驻场指服务商不在金融机构现场提供服务的外包形式。3.5信息科技外包服务模式mode of information science and technology outsourcing delivery根据信息科技外包服务交付方式定义的服务模式。JR/T 025420222注:信息科技外包服务模式定义为项目外包和人力资源外包,其中项目外包指将信息科技活动以项目任务形式委托给服务商的外包服务模式;人力资源外包指从服务商采购人力资源并按实际工作量交付结算的外包服务模式。3.6信息科技外包服务评价evaluation of information science and technology
8、 outsourcing根据一定评价指标,按一定频率对信息科技外包服务情况进行评价的过程。注:评价指标和评价频率见6中指标定义。3.7信息科技外包服务评价对象evaluation object of information science and technologyoutsourcing根据信息科技外包服务评价指标统计维度定义的评价对象。注:信息科技外包服务评价对象定义为服务商和项目。3.8信息科技外包服务评价对象适用性applicability of information science and technologyoutsourcing service evaluation objec
9、t根据信息科技外包服务评价对象分类,区分评价指标可用于评价服务商的整体服务情况或评价特定项目的服务情况。注:信息科技外包服务评价指标根据其适用性,可分为以下三类之一:仅用于评价服务商整体服务情况、仅用于评价特定项目服务情况、既可用于评价服务商整体服务情况又可用于评价特定项目服务情况。3.9信息科技外包服务场所分类适用性 applicability of information science and technologyoutsourcing service site classification根据信息科技外包服务场所分类,区分评价指标可用于评价特定场所信息科技外包服务的服务情况。3.10信
10、息科技外包服务模式适用性applicability of information science and technologyoutsourcing service mode根据信息科技外包服务模式分类,区分评价指标可用于评价特定模式信息科技外包服务的服务情况。3.11数据元data element由一组属性规定其定义、标识、表示和允许值的数据单元。来源:GB/T 18391.12009,4.83.12值域value domain允许值的一个集合。来源:GB/T 18391.32009,3.3.1403.13数据类型data type为表达属性值而规定的特定值集合的描述符。来源:GB/T 18
11、391.32009,3.3.533.14多值属性multivalued attribute在一个数据元中,对于同一个属性可有多个赋值的属性。JR/T 025420223注:记录多值属性时,可在约束条件部分明确该属性在数据元中允许出现的最少赋值数和最多赋值数。3.15复合属性composite attribute非原子化的属性。注:复合属性由多个子属性组成,子属性具有逻辑相关性,即各子属性除了有相似基数类型(出现次数)外,还可能彼此依赖。来源:GB/T 18391.32009,3.1.5,有修改4数据元记录总规则4.1数据格式本文件规定的数据元属性记录所采用的字符编码为:可变长度字符编码(UTF
12、-8)。任何属性的值为空时,该属性不应赋值。4.2数据约束条件本文件规定的数据元属性记录中的约束条件分为以下几类:a)对于普通属性和复合属性,其中“M”表示该属性为数据元中的必须属性,其属性值不应为空;“O”表示该属性为数据元中的可选属性,其属性值可以为空;“C”表示该属性为数据元中的条件属性,即满足某些条件时,该属性应填写或不应填写。b)对于多值属性,应根据多值属性定义规则,严格记录属性在数据元中允许出现的最少赋值数和最多赋值数,用 pM.N 表示至少 M 个(含)至多 N 个(含)的赋值。4.3数据类型4.3.1通用字符串通用字符串是本文件中用于指代定长或不定长度的包含字母、数字和多语种语
13、言字符混合字符序列对应的数据类型。通用字符串所使用的字符编码应为UTF-8。通用字符串的记录形式如下:a)cM.:至少由 M 个(含)字符组成的通用字符串。b)cM.N:至少由 M 个(含)且至多 N 个(含)字符组成的通用字符串。c)c.N:至多由 N 个(含)字符组成的通用字符串。4.3.2十进制字符串十进制字符串是对通用字符串进一步约束形成的数据类型,用于指代定长或不定长度的仅包含0、1、2、3、4、5、6、7、8、9的字符序列。十进制字符串的记录形式如下:a)dM.:至少由 M 个(含)字符组成的十进制字符串。b)dM.N:至少由 M 个(含)且至多 N 个(含)字符组成的十进制字符串
14、。c)d.N:至多由 N 个(含)字符组成的十进制字符串。对于小数部分,按照四舍五入方法进行取整。4.3.3十进制浮点字符串十进制浮点字符串是对通用字符串进一步约束形成的数据类型,用于指代由不含前导0的不定长度十进制整数部分,字符“.”表示的小数点,和定长或不定长度的十进制小数部分拼接形成的字符序列。为了进一步限制十进制浮点字符串的合法值域,应使用f.N(M)记录形式,即至多N个(含)字符组成十进制整数部分,小数部分定长为M个字符。4.3.4日期字符串日期字符串是对通用字符串进一步约束形成的数据类型,由0、1、2、3、4、5、6、7、8、9的字符序列和字符“-”组成的用于表述日期的定长字符串,
15、其格式为:YYYY-MM-DD,“YYYY”用于表示年份,“MM”用于表示月份,“DD”用于表示日,单数日月,其前一位用“0”补齐。日期字符串可以使用如JR/T 025420224下的记录形式:c10.10:由8位数字和两个“-”组成的定长字符串。日期字符串格式符合ISO 8601-1:2019的规定。示例:“2004-05-03”。4.3.5枚举类型枚举类型是对十进制字符串进一步约束形成的数据类型,其有效取值范围由具体数据元属性记录需求确定,在不同数据元属性记录场景中,枚举类型的每一个有效取值,均对应于该场景中的一个具体含义,可以使用dM.N记录形式,即至少由M个(含)且至多N个(含)字符组
16、成的十进制字符串。4.3.6布尔类型布尔类型是只有两种取值的数据类型,取值范围:真(True)和假(False),计算机系统中True的序号为“1”,False的序号为“0”。5金融业信息科技外包服务分类5.1概述根据服务用途,建立金融业信息科技外包服务分类体系。信息科技外包服务共包括咨询规划类、开发测试类、运行维护类、安全服务类、业务支持类共5个一级子类。信息科技外包服务分类标识符应符合附录的要求,由字母组成。分类编码由两部分组成,分别是一级子类标识符(2位字符)、二级子类标识符(2位字符)。5.2咨询规划类咨询规划类信息科技外包服务可分为管理类咨询规划和技术类咨询规划2个二级子类,2个二级
17、子类的具体定义如下:a)管理类咨询规划指提供科技战略规划、科技治理、科技风险管理、科技安全管理、业务连续性管理、运维管理等信息科技管理活动咨询规划。b)技术类咨询规划指提供数据中心(机房)建设、信息系统建设、新兴技术应用等技术类咨询规划。5.3开发测试类开发测试类信息科技外包服务可分为软硬件开发、测试2个二级子类,2个二级子类的具体定义如下:a)软硬件开发指提供计算机软件、信息系统的设计开发服务。b)测试指提供信息系统的系统测试、非功能测试、安全测试等测试服务。5.4运行维护类运行维护类信息科技外包服务可分为数据中心(机房)物理环境运行维护、软硬件基础设施运行维护、应用系统运行维护、电子机具运
18、行维护、终端等办公设备运行维护5个二级子类,5个二级子类的具体定义如下:a)数据中心(机房)物理环境运行维护指提供机房、空调、发电机、照明设置、配电开关、不间断电源(UPS)、及其他附属设施的运行维护服务活动。b)软硬件基础设施运行维护指提供底层业务信息系统的服务器、存储、操作系统、中间件、数据库、资源共享和虚拟化系统等软硬件基础设施运行维护服务活动。c)应用系统运行维护指保障金融机构各类业务或办公系统正常、安全、有效运行而进行的检查、监控和故障处理等运行维护服务活动。d)电子机具运行维护指提供销售点终端(POS)、自助设备设施运行维护服务活动。e)终端等办公设备运行维护指提供办公电脑、办公桌
19、面等运行维护服务活动。5.5安全服务类安全服务类信息科技外包服务可分为安全运营服务、移动安全加固服务、安全测试评估服务、安全设备运行维护、安全日志处理与分析、数据安全服务6个二级子类,6个二级子类的具体定义如下:JR/T 025420225a)安全运营服务指提供互联网安全实战攻防对抗方面的安全运营支持、事件工单跟踪统计、威胁情报搜集、安全资产运营等安全服务。b)移动安全加固服务指提供移动应用程序包安全加固保护,使用加壳、加密、源代码混淆等技术防止应用被破解等移动安全加固服务。c)安全测试评估服务指提供网络安全等级保护测评、密码应用安全评估、系统渗透测试、上线前漏洞扫描、互联网资产安全漏洞挖掘和
20、漏洞分析、攻击验证、漏洞修复等安全测试测评服务。d)安全设备运行维护指提供安全设备的实施上线和运行监控、功能升级、策略变更、故障排查等运行维护服务。e)安全日志处理与分析指提供通过海量日志数据开展场景化的日志分析、事件分析、样本分析、溯源分析等处理分析服务。f)数据安全服务指提供以数据全生命周期安全管理相关的安全合规检查服务、数据识别、分级及安全处理等技术工具开发服务、各类数据访问行为日志处理与分析服务、日常数据安全管理及运行维护服务、数据销毁服务等。5.6业务支持类业务支持类信息科技外包服务可分为市场拓展、业务运营(集中作业、呼叫中心等)、企业管理、资产处置、数据处理、数据利用6个二级子类,
21、6个二级子类的具体定义如下:a)市场拓展指提供如信用卡发卡营销外包、收单商户拓展外包和培训外包等市场拓展服务。b)业务运营指提供如呼叫中心外包、业务凭证及其他信息录入外包及扫描外包、制卡外包、账单及函件制作和寄送外包等日常集中作业运营服务。c)企业管理指提供人事档案、会计档案等实物管理及电子化管理、处理服务。d)资产处置指提供逾期账款催收、资产置换等外包服务。e)数据处理指提供如涉及客户数据的电子化信息处理业务文档、影像、票据等录入、扫描与处理,以及远程数据备份、存储与分析、银行卡制卡、卡片数据个性化等服务。f)数据利用指运用大数据等技术对业务数据进行挖掘分析,用于营销、精准化推送等服务。6金
22、融业信息科技外包评价指标数据元6.1信息科技外包服务评价指标数据元体系金融业信息科技外包服务评价指标数据元体系由基本情况、协议履行、服务质量、安全保障4个一级维度构成,每个维度可分为若干二级维度,二级维度中定义了若干评价指标,每个评价指标即为服务评价数据元的一个属性,信息科技外包服务评价指标数据元体系说明见下图。其中,各一级维度和二级维度中定义的通用指标,为各类别信息科技外包服务评价数据元均适用和包含的属性。在一级维度或二级维度中的特定信息科技外包服务子类,可进一步定义仅该子类适用的专用指标,即特定信息科技外包服务子类对应的服务评价数据元除继承其父类服务评价数据元中全部指标外,还新增该子类适用
23、的全部专用指标,符合GB/T 338502017和JR/T 02012020的规定。注:特定信息科技外包服务子类指咨询规划类、开发测试类、运行维护类、安全服务类、业务支持类共5个子类。图信息科技外包服务评价指标数据元体系评价指标数据元基本情况协议履行服务质量安全保障企业信息企业能力人员素质财务能力通用指标开发测试类通用指标咨询规划类开发测试类运行维护类业务支持类安全服务类通用指标内控安全物理及设施审计及检查一级维度二级维度JR/T 0254202266.2基本情况6.2.1企业信息6.2.1.1企业规模服务商的企业规模评价指标见表1。表 1企业规模中文名称企业规模英文名称ES(Enterpri
24、se Scale)定义用于记录服务商的企业规模数据类型枚举类型值域d2.2,其中每个有效取值对应的含义如下:a)00:微型。b)01:小型。c)02:中型。d)03:大型。指标适用性信息科技外包服务场所分类适用性驻场或非驻场信息科技外包服务模式适用性项目外包或人力资源外包信息科技外包服务评价对象适用性服务商约束条件O计算方法按照软件和信息技术服务业的大中小微型企业划分标准填写。软件和信息技术服务业,大型企业指从业人数大于等于 300 人,营业收入大于等于 10000 万元的企业;中型企业指从业人数大于等于 100 人且小于 300 人,营业收入大于等于 1000 万元且小于 10000 万元的
25、企业;小型企业指从业人数大于等于 10 人且小于 100 人,营业收入大于等于 50 万元且小于 1000 万元的企业;微型指从业人数小于 10 人,营业收入小于 50 万元。大型、中型和小型企业必须同时满足从业人数和营业收入的下限,否则下划一档;微型企业只需满足从业人数和营业收入中的一项即可。更新频率服务商规模变动时同步更新评价结果解释该指标值越大,表明服务商实力越强,抗风险能力越强,评价结果可能越好。取值示例00备注无6.2.1.2企业业务范畴服务商的企业业务范畴评价指标见表2。JR/T 025420227表 2企业业务范畴中文名称企业业务范畴英文名称EBS(Enterprise Busi
26、ness Scope)定义用于记录服务商的业务内容和服务范畴数据类型枚举类型值域d2.2,其中每个有效取值对应的含义如下:a)00:咨询规划。b)01:开发测试。c)02:运行维护。d)03:安全服务。e)04:业务支持。f)99:其他。指标适用性信息科技外包服务场所分类适用性驻场或非驻场信息科技外包服务模式适用性项目外包或人力资源外包信息科技外包服务评价对象适用性服务商约束条件O(本属性为多值属性,符合 p1.6 约束)计算方法无更新频率服务商变动时同步更新评价结果解释该指标值取值越多,表明服务商的综合能力和服务水平越高,评价结果可能越好。取值示例00,01,02。备注无6.2.1.3成立日
27、期服务商的成立日期见表3。表 3成立日期中文名称成立日期英文名称FD(Founding Date)定义用于记录服务商公司成立日期数据类型日期字符串值域YYYY-MM-DD指标适用性信息科技外包服务场所分类适用性驻场或非驻场信息科技外包服务模式适用性项目外包或人力资源外包信息科技外包服务评价对象适用性服务商JR/T 025420228表 3成立日期(续)约束条件O计算方法无更新频率服务商变动时同步更新评价结果解释无取值示例2020-01-05备注无6.2.1.4企业信用情况服务商的企业信用情况见表4。表 4企业信用情况中文名称企业信用情况英文名称ECS(Enterprise Credit Sit
28、uation)定义用于记录服务商及其母公司或实际控制人被列入失信被执行人名单、重大税收违法案件当事人名单、政府采购严重违法失信行为记录的次数。数据类型十进制字符串值域d.10指标适用性信息科技外包服务场所分类适用性驻场或非驻场信息科技外包服务模式适用性项目外包或人力资源外包信息科技外包服务评价对象适用性服务商约束条件M计算方法无更新频率按季度更新评价结果解释记录次数越少,代表企业信用可能越好。取值示例3备注无6.2.1.5企业自主知识产权情况服务商的企业自主知识产权情况见表5。表 5企业自主知识产权情况中文名称企业自主知识产权情况英文名称IIPRS(Independent Intellectu
29、al Property Rights Situation)定义用于记录服务商自主知识产权数量数据类型十进制字符串JR/T 025420229表 5企业自主知识产权情况(续)值域d.5指标适用性信息科技外包服务场所分类适用性驻场或非驻场信息科技外包服务模式适用性项目外包或人力资源外包信息科技外包服务评价对象适用性服务商约束条件M计算方法统计年度内服务商拥有的自主知识产权数量(含专利权、软件著作权等)。更新频率按年更新评价结果解释该指标值越大,表示服务商拥有的自主知识产权数量越多,评价结果可能越好。取值示例5备注无6.2.1.6企业上级机构或母机构服务商的企业上级机构或母机构见表6。表 6企业上级
30、机构或母机构中文名称企业上级机构或母机构英文名称POE(Parent Organization of Enterprise)定义用于记录企业的上级管理机构或母公司数据类型十进制字符串值域d.5指标适用性信息科技外包服务场所分类适用性驻场或非驻场信息科技外包服务模式适用性项目外包或人力资源外包信息科技外包服务评价对象适用性服务商约束条件0计算方法无更新频率服务商变动时同步更新评价结果解释无取值示例无备注无6.2.2企业能力6.2.2.1通用指标服务商的企业标准化能力情况见表7。JR/T 0254202210表 7企业标准化能力情况中文名称企业标准化能力情况英文名称SAE(Standardizat
31、ion Ability of Enterprise)定义用于记录服务商标准化工作情况数据类型十进制字符串值域d.3指标适用性信息科技外包服务场所分类适用性驻场或非驻场信息科技外包服务模式适用性项目外包或人力资源外包信息科技外包服务评价对象适用性服务商约束条件M计算方法统计周期内服务商按以下标准化评价项所得各项评分的累计总分,总分上限100分。a)建立企业标准体系:10 分。b)在全国企业标准信息公共服务平台自我声明公开产品或服务所执行标准的数量:5 分*N 项。c)作为排名前三的单位牵头编制国际标准、国家标准、行业标准、团体标准数量:国际标准数量:10 分*N 项。国家标准数量:7 分*N 项
32、。行业标准数量:5 分*N 项。团体标准数量:3 分*N 项。d)企业标准化水平外部评价:近三年获得企业标准“领跑者”称号:10 分*N 次。近三年通过企业标准化良好行为评价认证:20 分。更新频率按年更新评价结果解释该指标值越大,表明服务商的标准化能力越强,评价结果可能越好。取值示例65备注无6.2.2.2开发测试类专用指标6.2.2.2.1软件能力成熟度模型集成能力服务商的软件能力成熟度模型集成能力见表8。表 8软件能力成熟度模型集成能力中文名称软件能力成熟度模型集成能力英文名称SCMMIC(Software Capability Maturity Model Integration Ca
33、pability)JR/T 0254202211表 8软件能力成熟度模型集成能力(续)定义用于记录服务商软件能力成熟度模型集成能力的情况数据类型枚举类型值域d2.2,其中每个有效取值对应的含义如下:a)00:无。b)01:软件能力成熟度模型集成能力 1 级。c)02:软件能力成熟度模型集成能力 2 级。d)03:软件能力成熟度模型集成能力 3 级。e)04:软件能力成熟度模型集成能力 4 级。f)05:软件能力成熟度模型集成能力 5 级。指标适用性信息科技外包服务场所分类适用性驻场或非驻场信息科技外包服务模式适用性项目外包或人力资源外包信息科技外包服务评价对象适用性服务商约束条件O计算方法无更
34、新频率按招标合同更新评价结果解释该指标值越大,表明服务商的软件研发能力越强,评价结果可能越好。取值示例01备注无6.2.2.2.2测试成熟度模型集成能力服务商的测试成熟度模型集成能力见表9。表 9测试成熟度模型集成能力中文名称测试成熟度模型集成能力英文名称TMMIC(Test Maturity Model Integration Capability)定义用于记录服务商测试成熟度模型集成能力的情况数据类型枚举类型值域d2.2,其中每个有效取值对应的含义如下:a)00:无。b)01:测试成熟度模型集成能力 1 级。c)02:测试成熟度模型集成能力 2 级。d)03:测试成熟度模型集成能力 3 级
35、。e)04:测试成熟度模型集成能力 4 级。f)05:测试成熟度模型集成能力 5 级。JR/T 0254202212表 9测试成熟度模型集成能力(续)指标适用性信息科技外包服务场所分类适用性驻场或非驻场信息科技外包服务模式适用性项目外包或人力资源外包信息科技外包服务评价对象适用性服务商约束条件O计算方法无更新频率按招标合同更新评价结果解释该指标值越大,表明服务商的软件测试能力越强,评价结果可能越好。取值示例01备注无6.2.2.2.3重点软件企业情况服务商的重点软件企业情况见表10。表 10重点软件企业情况中文名称重点软件企业情况英文名称KSES(Key Software Enterprise
36、 Situation)定义用于记录服务商获得国家相关部门印发的相关标准认定的重点软件企业的情况数据类型布尔类型值域True 或 False指标适用性信息科技外包服务场所分类适用性驻场或非驻场信息科技外包服务模式适用性项目外包或人力资源外包信息科技外包服务评价对象适用性服务商约束条件O计算方法无更新频率按招标合同更新评价结果解释True 说明服务商属于重点软件企业,评价结果可能越好;False 说明服务商不属于重点软件企业,评价结果可能越差。取值示例True备注无6.2.2.2.4高新技术企业情况服务商的高新技术企业情况见表11。表 11高新技术企业情况中文名称高新技术企业情况JR/T 0254
37、202213表 11高新技术企业情况(续)英文名称HES(High-tech Enterprise Situation)定义用于记录服务商获得国家相关部门认定的高新技术企业的情况数据类型布尔类型值域True 或 False指标适用性信息科技外包服务场所分类适用性驻场或非驻场信息科技外包服务模式适用性项目外包或人力资源外包信息科技外包服务评价对象适用性服务商约束条件M计算方法无更新频率按招标合同更新评价结果解释True 说明服务商属于高新技术企业,评价结果可能越好;False 说明服务商不属于高新技术企业,评价结果可能越差。取值示例True备注无6.2.2.3运行维护类专用指标服务商的信息技术服
38、务管理能力见表12。表 12信息技术服务管理能力中文名称信息技术服务管理能力英文名称ISMC(IT Service Management Capability)定义用于记录服务商的信息技术服务管理能力的情况数据类型布尔类型值域True 或 False指标适用性信息科技外包服务场所分类适用性驻场或非驻场信息科技外包服务模式适用性项目外包或人力资源外包信息科技外包服务评价对象适用性服务商约束条件O计算方法无更新频率按招标合同更新评价结果解释True 说明服务商信息技术运行维护管理能力较强,评价结果可能越好;False 说明服务商信息技术运行维护管理能力较低,评价结果可能越差。取值示例TrueJR/
39、T 0254202214表 12信息技术服务管理能力(续)备注无6.2.2.4安全服务类专用指标6.2.2.4.1信息安全管理能力服务商的信息安全管理能力见表13。表 13信息安全管理能力中文名称信息安全管理能力英文名称ISMA(Information Security Management Ability)定义用于记录服务商的信息安全管理能力的情况数据类型布尔类型值域True 或 False指标适用性信息科技外包服务场所分类适用性驻场或非驻场信息科技外包服务模式适用性项目外包或人力资源外包信息科技外包服务评价对象适用性服务商约束条件O计算方法无更新频率按招标合同更新评价结果解释True 说明
40、服务商信息安全管理能力较强,评价结果可能越好;False 说明服务商信息安全管理能力较低,评价结果可能越差。取值示例True备注无6.2.2.4.2信息安全服务能力服务商的信息安全服务能力见表14。表 14信息安全服务能力中文名称信息安全服务能力英文名称ISSC(Information Security Service Capability)定义用于记录服务商的信息安全服务能力的情况数据类型布尔类型值域True 或 False指标适用性信息科技外包服务场所分类适用性驻场或非驻场信息科技外包服务模式适用性项目外包或人力资源外包信息科技外包服务评价对象适用性服务商JR/T 0254202215表
41、14信息安全服务能力(续)约束条件O计算方法无更新频率按招标合同更新评价结果解释True 说明服务商信息安全服务能力较强,评价结果可能越好;False 说明服务商信息安全服务能力较低,评价结果可能越差。取值示例True备注无6.2.3人员素质6.2.3.1通用指标6.2.3.1.1人员学历情况服务商或项目的人员学历情况见表15。表 15人员学历情况中文名称人员学历情况英文名称PEC(Person Education Condition)定义用于记录提供服务人员学历为专科及以下、本科、研究生及以上各层次的人数情况数据类型复合数据类型值域子属性 1:人员学历分类中文名称人员学历分类定义服务商人员学
42、历的分类。数据类型枚举类型值域d2.2,其中每个有效取值对应的含义如下:a)00:专科及以下。b)01:本科。c)02:研究生及以上。约束条件M取值示例01备注无子属性 2:具备学历人数中文名称具备学历人数定义对应学历分类的人员数量数据类型十进制字符串JR/T 0254202216表 15人员学历情况(续)值域d.10约束条件M取值示例20000备注无指标适用性信息科技外包服务场所分类适用性驻场信息科技外包服务模式适用性项目外包或人力资源外包信息科技外包服务评价对象适用性服务商或项目约束条件M(本属性为多值复合属性,符合 p1.3 约束)计算方法无更新频率按年度更新评价结果解释取值越大,说明服
43、务商的高学历人才越多,评价结果可能越好。取值示例00:1000,01:10000,02:5000。备注00:1000(代表专科及以下学历 1000 人),01:10000(代表本科学历 10000 人),02:5000(代表研究生及以上学历 5000 人)。该指标报送全部人员学历分类及人数,不同学历人员数目数据接续填写。6.2.3.1.2人员工作年限情况服务商或项目的人员工作年限情况见表16。表 16人员工作年限情况中文名称人员工作年限情况英文名称WYC(Working Years Condition)定义用于记录提供服务人员从事本专业工作年限大于 0 年小于等于 2 年、大于 2 年小于等于
44、 6 年、大于 6 年小于等于 9 年、大于 9 年小于等于 12 年、大于 12 年的人数情况。数据类型复合数据类型值域子属性 1:人员工作年限分类中文名称人员工作年限分类定义服务商人员工作年限的分类数据类型枚举类型值域d2.2,其中每个有效取值对应的含义如下:a)00:工作年限为大于 0 年小于等于 2 年。b)01:工作年限为大于 2 年小于等于 6 年。c)02:工作年限为大于 6 年小于等于 9 年。JR/T 0254202217表 16人员工作年限情况(续)d)03:工作年限为大于 9 年小于等于 12 年。e)04:工作年限大于 12 年。约束条件M取值示例01备注无子属性 2:
45、具备工作年限人数中文名称具备工作年限人数定义对应工作年限分类的人员数量数据类型十进制字符串值域d.10约束条件M取值示例200备注无指标适用性信息科技外包服务场所分类适用性驻场信息科技外包服务模式适用性项目外包或人力资源外包信息科技外包服务评价对象适用性服务商或项目约束条件M(本属性为多值复合属性,符合 p1.5 约束)计算方法无更新频率按年度更新评价结果解释取值越大,说明具有丰富经验的人才越多,评价结果可能越好。取值示例00:10000,01:10000,02:5000,03:5000,04:5000。备注00:10000 表示工作年限为大于 0 年小于等于 2 年 10000 人,01:1
46、0000 表示工作年限为大于 2 年小于等于 6 年 10000 人,02:5000 表示工作年限为大于 6 年小于等于 9 年 5000 人,03:5000 表示工作年限为大于 9 年小于等于 12 年 5000 人,04:5000 表示工作年限大于 12 年 5000 人。该指标报送全部人员工作年限分类及人数,不同年限人员数目数据接续填写。6.2.3.2开发测试类专用指标服务商或项目的中级高级软件开发人员情况见表17。表 17中级高级软件开发人员情况中文名称中级高级软件开发人员情况英文名称SDIA(Software Developer Intermediate and Advanced)J
47、R/T 0254202218表 17中级高级软件开发人员情况(续)定义用于记录提供服务人员中级或高级软件开发人数情况数据类型复合数据类型值域子属性 1:软件开发能力级别中文名称软件开发能力级别定义软件开发能力级别数据类型枚举类型值域a)00:中级。b)01:高级。约束条件M取值示例00备注无子属性 2:具备软件开发能力人数中文名称具备软件开发能力人数定义对应软件开发能力级别的人员数量数据类型十进制字符串值域d.10约束条件M取值示例20备注无指标适用性信息科技外包服务场所分类适用性驻场信息科技外包服务模式适用性项目外包或人力资源外包信息科技外包服务评价对象适用性服务商或项目约束条件M(本属性为
48、多值复合属性,符合 p1.2 约束)计算方法统计当前在岗的中级或高级软件开发人员数量。更新频率按年度更新评价结果解释取值越大,说明服务商的开发测试专业人才越多,评价结果可能越好。取值示例00:20,01:20。备注无6.2.3.3运行维护类专用指标服务商或项目的网络专业能力人员情况见表18。表 18网络专业能力人员情况中文名称网络专业能力人员情况JR/T 0254202219表 18网络专业能力人员情况(续)英文名称CNP(Competencies of Network Professionals)定义用于记录提供服务人员具有网络专业能力的人数情况数据类型十进制字符串值域d.5指标适用性信息科
49、技外包服务场所分类适用性驻场信息科技外包服务模式适用性项目外包或人力资源外包信息科技外包服务评价对象适用性服务商或项目约束条件M计算方法统计当前在岗具有网络专业能力的人员数量。更新频率按年度更新评价结果解释指标值越大,说明服务商网络专业人才越多,评价结果可能越好。取值示例5备注无6.2.3.4安全服务类专用指标6.2.3.4.1信息安全能力人员情况服务商或项目的信息安全能力人员情况见表19。表 19信息安全能力人员情况中文名称信息安全能力人员情况英文名称ISQC(Information Security Qualification Certification)定义用于记录提供服务人员具有信息安
50、全能力的人数情况数据类型十进制字符串值域d.5指标适用性信息科技外包服务场所分类适用性驻场信息科技外包服务模式适用性项目外包或人力资源外包信息科技外包服务评价对象适用性服务商或项目约束条件M计算方法统计当前在岗具有信息安全能力的人员数量。更新频率按年度更新评价结果解释指标值越大,说明服务商安全服务能力越强,评价结果可能越好。取值示例5备注无JR/T 02542022206.2.3.4.2安全技能认知培训与考核服务商的安全技能认知培训与考核见表20。表 20安全技能认知培训与考核中文名称安全技能认知培训与考核英文名称SSCTA(Safety Skill Cognition Training an
浙ICP备2021020529号-1 | 浙B2-20240490 
