信息安全服务资质认证要求

1、备案号：XXXX-XXXX信息平安效劳资质认证要求ISCCCXXXXXX-2007信息平安效劳资质认证要求CertificationRequirementsforQualificationofInformationSecurityServiceProvider备案送审稿XXXX-XX-XX发布XXXX-XX-XX实施中国信息平安认证中央前言错误!未定义书签.1 适用范围错误!未定义书签.2 定义错误!未定义书签.信息平安效劳错误!未定义书签.信息平安效劳提供者错误!未定义书签.信息平安效劳资质等级错误!未定义书签.信息平安工程过程水平级别错误!未定义书签.3 效劳类型与资质评定原那么错误!未定

2、义书签.信息平安效劳的类型错误!未定义书签.信息平安效劳资质等级的评判原那么错误!未定义书签.4 认证具体要求错误!未定义书签.根本资格错误!未定义书签.独立法人错误!未定义书签.法律要求错误!未定义书签.根本水平错误!未定义书签.资产与规模错误!未定义书签.人员素质与构成错误!未定义书签.设备、设施与环境错误!未定义书签.业绩错误!未定义书签.质量治理水平错误!未定义书签.体系和治理责任错误!未定义书签.资源治理错误!未定义书签.工程过程治理错误!未定义书签.测量、分析和改良错误!未定义书签.客户效劳错误!未定义书签.技术水平更新错误!未定义书签.平安工程过程水平错误!未定义书签.风险过程错

3、误!未定义书签.工程过程错误!未定义书签.保证过程错误!未定义书签.5 引用标准与参考文献错误!未定义书签.计算机信息系统平安保护等级划分准那么错误!未定义书签.系统平安工程水平成熟模型错误!未定义书签.系统平安工程水平成熟模型一评定方法错误!未定义书签.信息系统平安工程手册错误!未定义书签.软件工程水平成熟模型错误!未定义书签.6 附录一一系统平安工程主要术语错误!未定义书签.组织错误!未定义书签.工程错误!未定义书签.系统错误!未定义书签.平安工程错误!未定义书签.平安工程生命期错误!未定义书签.工作产品错误!未定义书签.顾客错误!未定义书签.过程错误!未定义书签.过程水平错误!未定义书签

4、.制度化错误!未定义书签.过程治理错误!未定义书签.、儿刖百本技术标准属于信息平安效劳资质认证要求.本技术标准根据我国信息平安效劳治理的现状,并参考了相关技术标准而制定.本技术标准由中国信息平安认证中央ISCC.提出并归口.本技术标准主要起草单位：中国信息平安认证中央.适用范围本要求适用于评估机构对提供信息平安效劳的组织进行信息平安效劳资质的评估；信息平安效劳的需方对效劳提供方的选择依据；作为国家主管部门对评估对象进行治理和检查的技术标准.另外,也可为信息平安效劳提供组织改良自身水平提供指导.2 定义2.1 信息平安效劳信息平安效劳是指信息平安工程的设计、实施、测试、运行和维护,以及相关的咨询

5、和培训活动.2.2 信息平安效劳提供者信息平安效劳提供者是指信息平安工程方案设计组织、承建信息平安工程的组织以及提供有关信息平安培训的组织.2.3 信息平安效劳资质等级信息平安效劳资质等级是指一个组织提供信息平安效劳的综合水平.包括技术水平、组织结构与治理、资源配置、平安工程过程水平、业绩和质量保证等多个方面.2.4 信息平安工程过程水平级别信息平安工程过程水平级别是指提供信息平安效劳的组织在完成工程、工程时,执行组织已定义过程的水平成熟程度.3 效劳类型与资质评定原那么3.1 信息平安效劳的类型信息平安效劳的类型主要指一个组织根据合同或协议,为另一个组织所履行的平安服务的具体形式,目前我们只

6、针对平安工程效劳进行资质认证.平安工程类指为信息系统进行安全方案设计开发、实施平安集成、验证测试、培训、运行监控和维护；3.2 信息平安效劳资质等级的评判原那么信息平安效劳资质评估是对信息平安效劳提供者的资格状况、技术实力和实施平安工程过程质量保证水平等方面的具体衡量和评价.资质等级的评定,是在其根本资格和水平水平、平安工程工程的组织治理水平、平安工程根本过程的实施和限制水平等方面的单项评估结果基础上,针对不同的效劳种类,采用一定的权值综合考虑后确定,并由国家认证机构授予相应的资质级别.信息平安效劳的资质等级的划分遵循以下原那么：1) 综合考虑原那么：信息平安效劳资质等级的划分必须对组织的综合

7、水平进行考察,它主要与组织的资格状况、技术实力、信息平安工程过程水平等级以及其他要求有关.2) 与现行国家有关主管部门公布的法律、法规、规章、制度相一致的原那么：平安策略要保持与现行的法律、法规、规章、制度相一致,不能相抵触.3) 与我国已发布或即将发布的有关信息平安的标准相一致的原那么：我国已发布许多与平安效劳有关的标准,本评估准那么的资质等级划分必须与这些标准相一致.4) 与组织的根本水平水平紧密结合的原那么：一个组织的根本水平是评估其资质等级的根本要求,有些根本水平要求可能决定一个组织是否具备参与资质评定的资格.5) 与信息平安效劳工程过程水平等级紧密结合的原那么：工程过程水平等级是反映

8、组织实施工程的成熟程度,是评定资质的重要依据.6) 可裁剪原那么：平安效劳有多种类型,对不同类型的平安效劳可进行适当的裁剪.7) 可操作性原那么具有实际操作的可行性.4 认证具体要求对平安工程类的信息平安效劳资质认证提出了具体的评估要求.该要求分四个局部：第一、二局部为治理要求；第三、四局部为资质水平要求.4.1 根本资格4.1.1 独立法人申请组织必须是一个独立的实体,具有独立法人资格.4.1.2法律要求申请组织必须遵守国家现行法律、法规的规定.在所有经营活动中没有触犯知识产权保护等有关法律的行为.4.2 根本水平4.2.1 资产与规模资产规模：申请组织的注册资本应在100万元以上,资产总额

9、在200万元以上.4.2.2 .2财务状况：申请组织应具有近3年良好的财务状况.4.2.3 .3平安工程效劳利润：申请组织在最近一年平安工程效劳方面的利润应在20万以上或占利润总额的10蛆上.4.2.4 人员素质与构成技术人员申请组织从事平安工程效劳的专业技术人员应不少于15人.人员素质申请组织从事平安工程效劳的专业技术人员大学本科以上学历所占比例不小于70%,硕士要求所占比例不小于10%组织负责人申请组织总经理或负责系统平安集成工作的副总经理须具有5年以上从事信息平安领域企业治理工作经历.平安技术负责人申请组织的信息平安技术负责人须具有信息平安领域相关专业的中级以上职称或硕士以上学历且从事信

10、息平安效劳工作不少于4年,或具有本科以上学历且从事信息平安效劳工作不少于6年,承当的平安工程总额在150万以上.财务负责人申请组织的财务负责人须是会计师以上职称.人员背景审查包括主要技术负责人、工程申请组织的主要效劳人员需要进行背景审查、备案、治理,经理等关键人员,其他效劳人员需要备案治理.4.2.5 设备、设施与环境工作环境申请组织应有固定的工作场所,工作环境符合信息平安场所环境要求.测试模拟环境申请组织应有企业具有与所承当工程相适应的测试环境和设备.平安效劳工具申请组织应有满足信息平安效劳的技术开发、测试工具.组织与技术队伍具有胜任信息平安效劳的专职人员队伍和组织治理体系.4.2.6 业绩

11、从业经验申请组织应从事信息平安效劳行业的时间在3年以上.工程经验申请组织必须承接过的3个以上的工程,并实践过完整的信息平安工程过程.工程水平在高级别的认证要求中,工程质量需要到客户现场进行真实性审查,与用户进行交流,是否真正到达他们的平安要求.工程规模申请组织近3年完成的信息平安效劳工程工程总值应在200万元以上.工程状况申请组织所做平安工程工程应没有出现验收未通过的情况.4.3 质量治理水平4.3.1 体系和治理责任质量治理体系质量治理体系的建立申请组织应依据适宜的标准建立覆盖信息平安工程效劳的质量治理体系,编制相应的体系文件.组织和治理架构申请组织应建立合理的组织架构和治理架构来满足信息平

12、安工程效劳的实施和治理,应建立相对独立的信息平安工程效劳技术部门,应建立有效的技术治理、质量治理和组织治理机制.质量治理体系的实施申请组织应实施建立的质量治理体系.治理承诺质量方针申请组织应制定并确定质量方针.责任和权限申请组织应配备充足的岗位人员并明确规定各岗位的责任和权限来满足质量治理体系的有效实施,岗位责任还应包含平安责任.申请组织应指定一名技术治理者来满足该组织的技术治理要求的实施,应指定一名质量治理者或治理者代表来满足质量治理要求的实施.内部沟通申请组织应建立适当的机制来满足对质量治理体系有效性的沟通.4.3.2 资源治理文件限制文件限制程序申请组织应制定有效合理的文件限制程序.文件

13、评审申请组织应在文件批准发布前对文件进行有效的评审,以保证文件是充分的和适宜的.文件批准发布申请组织应对正式使用的文件进行批准和发布,以明确文件的有效性.文件分发申请组织应建立有效的文件发放机制,并进行文件的有效发放,以保证文件相关方能及时得到文件的有效版本.文件有效性、唯一性标识申请组织应对文件进行有效性的唯一性标识,以预防无效文件的使用或对无效文件的误用.保密与所有权保护限制保密与所有权保护程序申请组织应对文件进行有效性和唯一性标识,以预防无效文件的使用或对文件的误用.申请组织应建立保密和所有权保护程序,以保护客户的秘密和保护客户所有权.保密协议申请组织应与员工签订保密协议,以明确员工在信

14、息保护和所有权保护方面的责任和义务.申请组织也应与客户签订保密协议或明确本组织对客户的保密责任,以明确双方在保密和所有权保护方面的责任和义务.客户信息保护申请组织应制定具体举措保护客户的秘密和所有权,并得以执行.人员限制人员治理程序申请组织应建立人员治理的程序,以使每个员工满足岗位责任的要求.人员水平确认申请组织应在对每个员工的资格和水平进行确认,以使所有员工满足其上岗要求.人员培训申请组织应对员工实施培训,以使员工能获得满足岗位责任要求和信息平安工程效劳要求的知识、技能.培训还应包括员工平安意识和平安责任的培训.人员考评申请组织应对员工进行技术和水平的考核和评价,以确认每个员工获得了满足岗位

15、要求、平安工程效劳要求的知识和水平.设备与工具限制设备、设施治理程序申请组织应制定用于平安工程效劳的设备和工具的治理程序,以满足信息平安工程效劳对设备和工具的准确性、稳定性和平安性要求.设备、工具的可用性确认申请组织应对设备、工具的性能进行确认,以保证设备、工具在使用时的准确性、稳定性和平安性.采购限制采购限制程序申请组织应制定采购产品、工具、设备和效劳的限制程序,以保证采购对象满足信息安全工程效劳的要求.确定米购需求申请组织应在采购前提供并确认采购的需求,包括功能、性能等技术要求.对效劳采购需提出效劳资格、水平、质量方面的要求.选择合格的供给方申请组织应评价供给方的水平,以确认供给方是否有水

16、平提供符合要求的产品、设备、工具或效劳.申请组织应与合格供给方保持沟通,以确定其供给持续满足要求.采购验收申请组织应对采购的产品、设备、工具或效劳进行验收,以确定所采购的产品、设备、工具或效劳满足了采购需求.4.3.3 工程过程治理客户要求评审评审客户要求的程序申请组织应制定评审客户要求的治理程序.客户要求评审申请组织应在信息平安工程效劳工程正式启动前,全面了解客户的需求,并充分评审自身满足客户需求的水平,尽可能与客户就所有技术或资金、工期或进度等方面达成一致共识,以确定客户的要求是否能得到充分满足.规划技术活动规划技术活动标准申请组织应制定规划技术活动的标准,以便信息平安工程效劳中技术规划活

17、动各方面因素得到充分考虑.识别关键资源申请组织应识别对工程技术上的成功起关键作用的资源,以便关键资源问题能得到解决.预算工程费用申请组织应进行工程费用的预算,以便工程能得到充分资金支持.确定工程技术过程申请组织应确定工程的工程技术过程,并确定整个生命期的技术活动.设立技术指标申请组织应设立工程的技术指标来满足客户要求.制定工程工程方案申请组织应制定工程整个生命期的工程进度和技术开发治理方案.评审并认可工程方案申请组织应组织工程相关方对工程方案进行评审,并获得工程相关方的认可.工程风险治理工程风险治理标准申请组织应制定工程风险治理的标准,以便于实施工程的风险治理.评估工程风险申请组织应通过有效的

18、识别、分析工程风险,并制定出相应的风险限制举措.跟踪风险限制活动申请组织应实施制定的风险限制举措并及时跟踪风险降低举措的有效性,对发生的问题及时修正相应的风险限制举措.配置治理建立配置治理方法申请组织应充分理解配置治理在本组织内部的意义,根据组织的规模、业务和特点选择配置治理的工具,建立配置治理的方法和流程.治理配置单元申请组织能够明确信息平安工程效劳的流程并能够合理地划分工作基线,识别配置单元.维护配置单元申请组织应确定的产品基线和配置单元,建立信息知识仓库,实施配置治理,以便及时掌握业务开展的动态.限制变化状态申请组织应实时关注工程的进展和业务的变更情况,及时对工作基线和配置单元做出必要的

19、调整,以适应不断变化的工作需要.重视沟通申请组织应及时将变化了的配置状态通过有效的渠道通知所有相关的人员,保证版本的正确使用和变更的有效性.4.3.4 测量、分析和改良质量保证申请组织应及时将变化了的配置状态通过有效的渠道通知到所有相关的人员,保证版本的正确使用和变更的有效性.质量保证的标准申请组织应该依据本组织的特点和信息平安工程效劳的特点制定出一套适宜的质量保证标准,以保证组织的效劳水平.产品检验申请组织应根据产品的质量要求,制定出产品检验的标准和流程,并严格执行产品检验规定,保证工作产品能够满足预期的质量要求.过程监督申请组织应能够识别信息平安工程效劳的过程,并且能够制定出过程监督的方法

20、和流程,保证信息平安工程过程的受控.不合格处置及验证申请组织应该有方法对不合格进行识别处置,并明确处置的方式、方法、责任和流程,以最大限度地减小资源浪费、提升效劳质量.申请组织应该对不合格品的处置结果进行验证,以便对不合格进行有效限制.追溯不合格品对于已经投入使用的不合格品,申请组织应该制定有效的举措实现对其的限制,预防因此而造成对工程效劳质量的影响.质量信息收集统计和分析申请组织应建立畅通的渠道搜集来自多方的信息反应,有水平对质量信息和反应及抱怨信息进行收集和整理,能够对信息作出正确的判断并采取适当的处置举措.申请组织应有方法对搜集到的数据进行统计和分析,有记录对结果提供证据,有条件发现质量

21、改良的时机,有结论支持质量改良的建议,有行动发起质量改良活动.质量记录申请组织应规定记录的范围,记录的要求和记录的治理,保证记录的客观真实性和可再现性.纠正与预防举措制定文档化的程序申请组织应制定出纠正举措限制程序,制定出预防举措限制程序,明确责任和流程.制定纠正和预防举措并实施申请组织应有水平分析出不合格产生的原因并采取有效的举措消除不合格产生的根源.申请组织应有水平发现潜在的不合格并采取有效的举措杜绝潜在不合格的实际发生.验证纠正和预防举措的有效性申请组织应该对纠正举措的实施效果进行验证.4.3.5 客户效劳申请组织应该对预防举措的实施效果进行验证.提供咨询效劳申请组织应就信息平安工程效劳

22、的有关事项答复客户的疑问,有义务向客户解释信息平安工程效劳的内涵和意义.用户意见的收集申请组织应规定多种渠道和方法,尽可能创造和客户沟通的时机,收集客户的信息反应,不断调整和改良自己的工作.4.3.6 技术水平更新建立技术更新的方法和途径申请组织应有技术更新的意识,应有技术更新的方法和途径,以证实组织有水平进行技术更新活动.新技术的信息收集申请组织应有水平识别新技术,并有规定的渠道搜集新技术的信息.新技术的应用申请组织应在新技术的获取上进行资源投入,为新技术的应用创造充分和适宜的环境,并应用新技术,以便保持技术更新水平.制定培训方案申请组织应重视培训活动,并将员工在职培训作为技术更新的重要手段

23、.应有技术的前瞻性和先见性,应规划组织的技术培训活动并制定详细的技术培训方案.维护培训材料申请组织应对培训的教材进行更新和维护,以此作为技术更新的证据.验证技术更新的效果申请组织应对各种技术更新举措的实施效果进行评价和验证,以便从中发现不断改良的时机.4.4 平安工程过程水平4.4.1 风险过程评估系统面临的平安威胁平安威胁评估的标准申请组织应有信息平安威胁分析的标准,规定平安威胁分析的依据、步骤和方法.确定系统面临的平安威胁申请组织应能通过一定的方法、手段确定系统面临的所有自然威胁和人为威胁.分析系统面临的平安威胁申请组织应能依据一定的测量、分析方法,分析系统面临的平安威胁,并能明确描述.监

24、视平安威胁的变化申请组织应监视平安威胁的变化情况,当平安威胁变化时能有效处理.评估系统的脆弱性平安脆弱性评估的标准申请组织应有信息平安脆弱性分析的标准,规定平安脆弱性分析的依据、步骤和方法.分析平安机制方面的脆弱性申请组织应能通过一定的方法、手段确定平安机制方面的脆弱性,并进行分析.分析技术性的平安脆弱性申请组织应能通过工具和人工分析,得出系统的技术性平安脆弱性.综合分析平安脆弱性申请组织应能综合分析技术性和非技术性的平安脆弱性,以及特定脆弱性的组合,并产生分析结果.监视平安脆弱性的变化申请组织应监视平安脆弱性的变化,当平安脆弱性变化时,应能有效处理.评估平安对系统的影响评估平安对系统影响的标

25、准申请组织应有评估平安对系统影响的标准,规定资产分类和重要性划分的原那么和依据,分析和描述影响的后果和可能性的方式、方法.确定关键资产申请组织应能识别、分析、确定关键资产.分析影响申请组织应能用有效的度量和权重分析影响,能对它作明确的描述,并依据一定的原那么进行优先级排列.监视影响的变化申请组织应监视影响的变化,当影响发生变化时,应能有效处理.评估系统的平安风险平安风险评估的标准申请组织应该建立平安评估的标准,标准包括应有明确的风险分析方法指导实施,规定平安风险评估的流程、步骤及各步骤的方法等.对暴露的识别和分析申请组织应能识别威胁、脆弱性和影响组合产生的暴露,分析暴露发生的可能性.“暴露指可

26、能对系统造成重大伤害的威胁、脆弱性和影响的组合.平安风险评估申请组织应根据暴露分析情况,依据一定的评估方法确定系统在特定环境下的平安风险,并根据平安风险分析的理论对既定的平安风险进行优先级排列.另外,还应进行平安风险不确定的分析,通过建立平安保证证据来降低风险的不确定性.制定平安保护举措和风险降低的指导申请组织应根据风险评估的结果制定平安保护举措和风险降低的指导.监视风险及特征变化申请组织应监视风险的变化,当风险发生变化时,应能有效处理.4.4.2 工程过程确定平安需求平安需求确定的标准申请组织应制定确定平安需求的标准.获取客户对平安需求的理解申请组织应该通过特定的方式收集所有用于全面理解顾客

27、平安需求所需的信息,并经过加工整理,得到客户所需平安的描述.识别可用的法律、策略和约束申请组织应考虑到适用于系统目标的法律、法规、标准、外部的影响和约束.定义平安需求申请组织应根据可适用的法律、法规、标准、客户平安需求以及系统的约束条件定义出系统的平安需求,包括那些通过非技术手段提供的需求.达成平安共识申请组织应与各个相关方面沟通,并针对存在的问题对平安需求进行修改,直到达成一个完整的、一致的满足策略、法律和用户需求的平安需求.平安设计平安设计的标准申请组织要制定平安设计的标准,明确平安设计的流程,方法等.高层设计申请组织应考虑系统的体系结构、设计和实现的需求,制定相应的设计原那么和建议、安全

28、体系结构建议、保护的原那么,得到平安模型、平安体系结构,进行信任分析.平安机制分配申请组织应确定所有的平安机制都能对应到高层平安设计,并且所有的高层平安设计都有具体的平安机制来保证.确定平安广品申请组织应根据系统的需求,根据一定的依据给出候选产品列表.根据系统的需求,确定需要定制的平安产品列表和他们的技术指标和功能要求.接口限定申请组织应设计出平安系统与其它系统之间的接口并进行优化.提供平安工程指南工程实施工程实施的标准申请组织应提供平安工程指南.申请组织应制定指导平安工程实施的标准.工程的实施申请组织应制定实施建议包括指导系统实现的规那么或约束,申请组织应根据实施建议和系统的详细平安设计文档

29、制定工程实施方案,并根据预定的经用户和有关方同意后的方案进行工程实施,给出实施情况描述文档.系统的试运行申请组织应对系统进行试运行,检查系统的稳定性和可靠性,并对试运行过程中出现的问题进行整改,给出工程整改报告和试运行情况报告O工程的验收申请组织应与客户和相关参与者一道根据合同的要求对实施好的工程进行验收,给出工程验收报告.工程的交付申请组织应给用户提交相应文档以保证用户拥有系统平安运行所需的相关知识.这些文档包括治理员手册、用户手册、平安轮廓、系统配置指令和系统平安效劳条款等.平安治理限制平安治理限制的标准申请组织应制定平安治理限制的标准.建立平安责任申请组织应为系统的平安运行制定出相应的平

30、安责任.治理平安配置申请组织应对与系统相关的各个组件的平安配置进行治理,以到达整体的平安.平安意识和培训申请组织应实施对系统使用者和治理员平安意识的教育和培训.监视平安状况监视平安状况的标准申请组织应制定监视平安状态的标准.监视变化申请组织应监视威胁、脆弱性、影响、风险和环境方面的变化,及时写出变化报告,并对变化的影响进行定期评估.检查平安状况申请组织应分析平安相关性信息的历史和事件记录,并标明他们的来源,然后对其进行分析和归纳,得出事件记录的分析描述.根据一定的策略检测平安防护举措的执行情况,以便得出平安防护举措执行中的变化.申请组织应对威胁环境、运行要求和系统配置的变化进行综合考虑,得出检

31、查报告.平安突发事件响应申请组织应利用历史事件的数据、系统配置数据和其它系统信息以及完整性工具诊断出平安突发事件,制定突发事件的响应方案,并报告平安突发事件.保护平安监视的记录数据申请组织应通过对归档日志的定期检查和对归档日志使用进行记录来保证平安监视记录数据的平安性.平安协调平安协调的标准申请组织应制定平安协调的标准.定义协调目标申请组织应通过制定信息共享协议、工作组的成员关系和日程表、工作组之间及用户之间沟通平安相关信息的过程和程序来建立组织内部或与其他组织之间的联系和义务关系.确定协调机制申请组织应通过制定沟通方案,列出通信根底设施的要求,共享会议报告、报文、备忘录的模板的方式来进行协调

32、.协调的促进申请组织应有处理冲突的程序,协调会议的议程安排等具体的文档来提升协调的质量.申请组织应根据协调平安的标准得出的有关平安的决定和建议.4.4.3 保证过程检验并证实平安性检验和证实平安性的标准申请组织应建立检验和证实系统平安性的标准.执行平安性检验和证实申请组织应检查所做的平安工程实施情况,工程实施应满足平安需求/平安目标.申请组织应对检验的结果进行证实,保证到达平安需求/平安目标的要求.收集检验和证实的记录作为证据申请组织应为其他工程组收集检验和证实的结果.建立平安保证论据建立平安保证论据的标准申请组织应有建立平安保证论据的标准.确定平安保证目标申请组织应同用户方、效劳方、进行平安

33、保证认定/认证方确定平安保证目标.申请组织应定义平安保证策略来描述如何满足用户平安保证目标的方案,确定相关责任方.收集和分析平安保证的证据申请组织应根据平安保证策略收集并分析平安保证证据以及支持平安保证所需的附加证据.提供平安保证论据申请组织应分析所有平安保证证据,提供论据说明用户的平安需求已得到满足.5 引用标准与参考文献5.1 计算机信息系统平安保护等级划分准那么(GB17859-1999,国家质量技术监督局)；5.2 系统平安工程水平成熟模型(SSE-CMM)5.3 系统平安工程水平成熟模型一评定方法(SSAM)；5.4 信息系统平安工程手册5.5 软件工程水平成熟模型(SW-CMM附录

34、一一系统平安工程主要术语6.1 组织组织定义为：公司内部的单位、整个公司或其它实体如政府机构或效劳分支机构.组织中通常存在许多工程,并作为一个整体加以治理.组织内的所有工程一般遵循上层治理的公共策略.一个组织机构可能由同一地方分布的或地理上分布的工程与根底支持设施所组成.术语“组织的使用意味着一个支持共同战略、商务和过程相关功能的根底设施.为了效劳提供的有效性,必须存在一个根底设施并对其加以维护.6.2 工程工程是各种实施活动和资源的总和,这些实施活动和资源用于开发或维护一个特定的产品或提供一种效劳.产品可能包括硬件、软件及其它部件.一个工程往往有自己的资金,本钱帐目和交付时间表.为了生产产品或提供效劳,一个工程可以组成自己专门的组织,或是由组织建立成一个工程组、特别工作组或其它实体.6.3 系统在本标准中,系统是指：提供某种水平用以满足一种需要或目标