• ISO20000体系的由来及其介绍

  发布时间： 2019 - 09 - 18

  ISO 20000是由英国标准BS 15000演变而来的，是全球认可的信息技术服务管理标准，符合英国商务部（OGC）在ITIL（IT基础设施库）中定义的流程方法。ISO 20000的设计旨在使任何单位的内部或外包的IT基础设施保持一致，以使员工和客户受益。该标准基于13个关键流程，这些流程涉及服务报告、IT服务预算和会计、信息安全、供应商、事件和变更管理等方面，用以保证有效实现IT服务整体管理的最终目标。   ISO/IEC20000 体系介绍 ISO/IEC 20000有两部分组成：第一部分（ ISO20000-1 ：2005 ）：管理规范（ Specification ）－ IT 服务管理标准介绍；第二部分（ ISO20000-2 ：2005 ）：实施准则（ Code of practice ）－实践指导。ISO/IEC 20000-1:2005规定了组织向其顾客提供合格服务的具体规定和要求。其范围包括： 管理服务要求   服务管理的策划和实施 新的或更新的服务的策划和实施 服务提供过程 关系过程 确定过程   控制过程   放行过程

  More
• 企业为什么要实施ISO20000认证​？

  发布时间： 2019 - 08 - 12

  【什么是ISO20000认证】ISO20000 是第一部针对信息技术服务管理（IT Service Management） 领域的国际标准，也是一套有关如何采用流程方法有效地提供服务以满足客户业务需求的方法作为认证组织的IT运营和服务管理水平的国际标准，ISO20000具体规定 了IT服务管理行业向企业及其客户有效地提供服务的、一体化的管理过程 以及过程建立的相关要求，帮助识别和管理IT 服务的关键过程，保证提供 有效的IT服务以满足客户和业务的需求。它着重于通过“IT服务标准化”来管理IT问题，即将IT问题归类，识别问题的内在联系，然后依据服务级 别协议进行计划、管理和监控，并强调与客户的沟通。ISO20000信息技术管理体系标准一方面可以用于IT服务业，比如IT咨询、系统集成、IT教育 与培训、IT系统外包、业务流程外包、软件与硬件维护与支持等服务；另 一方面，也可以应用于组织内部的IT服务部门，比如金融、电信等行业的 数据中心等。 【为什么要实施ISO20000认证】【实施驱动力】 增强用户体验，改进系统稳定性和安全性，满足行业监管要求和监管标准，培养运维团队，提高服务意识。【实施目标】基于PDCA和相关国际标准的IT服务管理体系建设服务，改变企业IT管理现状，提升企业IT管理水平，提升市场竞争力。【实施收益】获得业界普遍认同的ISO20000国际认证证书；就服务质量和服务承诺与业务及第三方供应商达成一致，建立和业务及第三方供应商统一的沟通平台，达到相关利益方均满意的IT服务管理目标；提高IT服务的可用性、可靠性和安全性，为业务用户提供高质量的服务；持续优化服务流程，提升服务水平，提高业务满意度；提高项目的可提供性并确保如期交付；...

  More

• 企业做ISO27001信息安全管理体系有哪些益处？

  发布时间： 2019 - 10 - 15

  信息安全管理体系标准（ISO27001)可有效保护信息资源,保护信息化进程健康、有序、可持续发展。ISO27001是信息安全领域的管理体系标准，类似于质量管理体系认证的ISO9000标准。当您的组织通过了ISO27001认证,就相当于通过ISO9000的质量认证一般，表示您的组织信息安全管理已建立了一套科学有效的管理体系作为保障。根据ISO27001 对您的信息安全管理体系进行认证，可以带来以下几个好处:引入信息安全管理体系就可以协调各个方面信息管理，从而使管理更为有效。保证信息安全不是仅有一个防火墙，或找一个24小时提供信息安全服务的公司就可以达到的。它需要全面的综合管理。通过进行ISO27001信息安全管理体系认证，可以增进组织间电子电子商务往来的信用度，能够建立起网站和贸易伙伴之间的互相信任，随着组织间的电子交流的增加通过信息安全管理的记录可以看到信息安全管理明显的利益，并为广大用户和服务提供商提供一个基础的设备管理。同时，把组织的干扰因素降到最小，创造更大收益。通过认证能保证和证明组织所有的部门对信息安全的承诺。通过认证可改善全体的业绩、消除不信任感。获得国际认可的机构的认证证书，可得到国际上的承认，拓展您的业务。建立信息安全管理体系能降低这种风险，通过第三方的认证能增强投资者及其他利益相关方的投资信心。组织按照ISO27001标准建立信息安全管理体系，会有一定的投入，但是若能通过认证机关的审核，获得认证，将会获得有价值的回报。企业通过认证将可以向其客户、竞争对手、供应商、员工和投资方展示其在同行内的领导地位;定期的监督审核将确保组织的信息系统不断地被监督和改善，并以此作为增强信息安全性的依据,信任、信用及信心,使客户及利益相关方感受到组织对信息安全的承诺。通过认证能够向政府及行业主管部门证明组织对相关法律法规的符合性。

  More
• ISO27001信息安全管理体系标准简介

  发布时间： 2019 - 10 - 15

  随着网络逐步的进入社会。越来越多的接解到网络。网络的普及给人们的生活带来了极大的便利；但网络同时作一柄双刃剑，给社会用个人也带来了相当的威胁。当信息被意外或刻意的传给恶意的接收者时，对个人或单位都会带来极大的伤害。有的企业会因为信息的外泄而倒闭。在当今的信息时代，科技无疑为我们解决了很多问题。国际标准组织(ISO)应此类需求，制定了ISO27001:2011标准，为如何建立、推行、维持及改善信息安全管理系统提供帮助。信息安全管理系统(ISMS)是高层管理人员用以监察及控制信息安全、减少商业风险和确保保安系统持续符合企业、客户及法律要求的一个体系。   ISO/IEC 27001:2011能协助机构保护专利信息，同时也为制定统一的机构保安标准搭建了一个平台，更有助于提升安全管理的实务表现和增强机构间商业往来的信心与信任。什么机构可采用 ISO/IEC 27001:2011 标准？任何使用内部或外部电脑系统、拥有机密资料及/或依靠信息系统进行商业活动地机构，均可采用 ISO/IEC 27001:2011标准。简单的说，也就是那些需要处理信息、并认识到信息保护重要性的机构。ISO/IEC 27001 的控制目标及措施ISO/IEC27001制定的宗旨是确保机构信息的机密性、完整性及可用性，为达成上述宗旨，该标准共提出了39个控制目标及134项控制措施，推行ISO/IE 27001标准的机构可在其中选择适用于其业务的控制措施，同时也可增加其他的控制措施。而与ISO/IEC 27001相辅的ISO 17799:2011 标准是信息安全管理的实务守则，为如何推行控制措施提供指引。ISO2700:2011 标准在 2011 年 10 月公布，同时取缔了多国采纳...

  More

• 做CMMI评估之前，需要准备的预备工作

  发布时间： 2019 - 12 - 06

  评估实践证明:在进行CMMI评估之前，制定一个正确的评估计划并将其文档化，确保有一个富有经验的、受过培训且具有适当资格的小组能被用来评估，为执行评估过程做准备，是十分必要的。我们所说的文档化CMMI评估计划的结果，包括:要求，协定，估价，风险，剪裁方法，以及与评估相关的实际考虑(例如:日程安排，后勤，组织的背景信息)。此外，还应当获取并记录发起方对于CMMI评估计划的正式批准。在制定评估计划之前，应对CMMI评估输入中反映出来的协议文档化，该协议将有助于CMMI评估目标和关键评估计划参数的共同理解。在对驱动计划过程的关键参数达成共同理解的基础上，CMMI评估发起方和SCAMPI主任评估师应就评估计划达成一致;发起者和评估小组领导应就已计划的评估中技术和非技术细节达成一致。这个计划在执行其他的计划和准备阶段活动中需要进一步细化。而通过CMMI评估小组的准备工作，将产生一支富有经验的、受过培训的且定位准确的小组准备执行CMMI评估任务。该小组的成员都应当获得了完成他们各自的任务所必备的知识，或者他们之前所拥有的知识被证实足以完成相关任务。评估小组领导者已经给每一个人提供了为完成他们各自的任务所需的对技能进行实践的机会，或者证实这些技能在过去已经得到了示范。小组成员相互了解，同时开始计划他们如何协调一致的工作。还应该做到:准备好的小组是为评估目标而服务的，小组的成员已提供培训且培训结果被记录，在必要的时候，对他们所做的因知识或技能不足的补救工作已经完成。我们认为，无论CMMI评估小组领导者是从头培训一支全新的评估小组，还是通过从富有经验的小组成员中选择来组建一个小组，确保他们与CMMI评估小组领导者能组成一个成功的集体是其责任。   此外，在对CMMI评估进行的预备工作的过程中，我们还应当对模型剪裁的原则有所了解:1.在某些应用中，计划模板和例行的程序能够根据...

  More
• 什么是CMMI资质认证？

  发布时间： 2019 - 11 - 12

  CMMI官方为美国CMMI Institute。CMMI资质主要包括三种：研发模型CMMI for Development资质,服务模型 CMMI for Serivce资质, 采购模型 CMMI for Acquisition资质。在所有已过级企业中有99.5%以上的企业为研发模型CMMI for Development资质，0.5%以下的企业为服务模型 CMMI for Serivce资质，采购模型 模型 CMMI for Acquisition资质几乎为零。CMMI研发模型CMMI for Development是目前在全球范围内唯一获得广泛认可的企业研发管理水平资质证明。CMMI是企业管理的资质认证，它将企业的管理水平划分为五个级别，一级为最低级，五级为最高级别。目前在国内在所有已过级企业中，95%以上的企业为三级资质，全国只有数十家企业达到四级或五级。 其主要原因是因为高等级别企业投入较大，而且官方审查更加严苛，所以第一次申请的企业一般选择申请三级资质。CMMI Institute在全球范围内授权了一些机构为企业提供评估认证服务（http://http://partners.clearmodel.com），负责执行评估工作的必须是经过官方培训和考核的主任评估师Lead Appraiser，全球所有的主任评估师中99.9%以上的评估师为外籍专家。评估师必须严格按照官方所规定的评估流程规范（SCAMPI A）到企业内部驻场审核一周的时间，通过文件检查和员工访谈的方式审查企业日常研发流程，对照CMMI模型中数百条检查项逐一评价企业的研发流程是否满足CMMI-DEV模型要求。官方通过其在线的评估系统对全球每场评估进行监控，主任评估师在整个评估期间都要在该系统上操作并提交相关记录和工作产物。官方由专门的质量审查小组通过该评估系统对全球每一场进行质量审查，检查评估工作是否符合...

  More

• 汽车电子功能安全标准ISO26262常见答疑

  发布时间： 2019 - 12 - 06

  ISO 26262道路车辆安全管理体系适用于道路车辆上特定的由电子、电气和软件组成的安全相关系统在安全生命周期内的所有活动。 目前司机辅助设备领域、车辆动力控制领域、主动和被动安全系统的设计研发都需要遵循ISO 26262标准。如：汽车防抱死制动系统（ABS)；车身稳定控制系统；防撞系统；车道偏离报警系统；自适应助力转向；主动停车辅助系统；自适应悬架控制；安全气囊；司机瞌睡警示系统；自动巡航系统；胎压监控系统等。生产过程控制主要包含哪些？开发分析好，对过程开发输出的是什么？生产过程首先需要符合IATF 16949的规定，但另外需要考虑生产过程中哪些活动可能对功能安全产生负面影响，例如：校准，参数设置等。这些要求应以文件形式保存。 相较第一版，如何计算ISO 26262硬件故障率？   - 用于计算每个硬件组件/元件的故障率，与Ed.1相同   - 用于计算硬件架构度量SPFM/LFM，与Ed.1相同   - 对于PMHF的计算，计算公式与Ed.1略有不同。但影响不大。   如何评估编码指南？不符合MISRA C?  选择编码指南的原则如下：- 通常没有有效的编程标准。- 编程指南不应使过程复杂化。- 太多限制会适得其反。- 应根据开发过程调整 软件的安全措施设计和敏捷开发之间的冲突似乎不可避免？没错，但ISO26262-6：2018第5.2条规定了以下顶级要求/原则：注1：敏捷软件开发的开发途径或方法也适用于开发安全相关软件，但是，敏捷途径和方法不能用于省略安全措施。对于功能安全的分析，比如FMEA，做得好不好很大程度取决于功能安全工程师对产品设计的理解，对标准的理解。如何做，才能提高专业度？没错。最重要的就是在执行FMEA之前，需要对...

  More
• ISO26262汽车功能安全标准

  发布时间： 2019 - 12 - 06

  ISO26262标准的核心价值在于，它可以通过系统的功能安全研发管理流程，以及针对汽车电子控制系统硬件和软件的系统化验证和确认方法，保证电子系统的安全功能在面对各种严酷条件时不失效，从而保证驾乘人员以及路人的安全。对于汽车厂商而言，贯彻执行ISO26262认证不仅可以提高安全性能，也可以提升产品内在价值。关于ISO 26262:2018ISO（国际标准化组织）于 2018 年发布了 ISO 26262 标准的更新版本。其覆盖范围扩大至更重的道路车辆、卡车、公共汽车和摩托车。新版本还包括一个全新部分，该部分将重点关注当前和未来电气电子系统的有机组成部分 —— 半导体元器件。 ISO 26262适用于哪些方面？ISO26262道路车辆功能安全标准适用于道路车辆上特定的由电子、电气和软件组件组成的安全相关系统在安全生命周期内的所有活动。安全是未来汽车发展的关键问题之一，不仅在驾驶员辅助和动力驱动领域，而且在车辆动态控制和主被动安全系统领域，新的功能越来越多地触及到系统安全工程领域。这些功能的开发和集成将强化对安全的系统开发流程的需求，及提供证据证明全部合理的系统安全目标得到满足的需求。ISO26262如何指导避免风险？目前司机辅助设备领域、车辆动力控制领域、主动和被动安全系统的设计研发都需要遵循ISO 26262。如：汽车防抱死制动系统（ABS)；车身稳定控制系统；电子刹车力分配系统；紧急制动辅助系统；防撞系统；车道偏离报警系统；自适应助力转向；主动停车辅助系统；自适应悬架控制；安全气囊；司机瞌睡警示系统；自动巡航系统；胎压监控系统等。  随着技术日益复杂、软件内容和机电一体化应用不断增加，来自系统性失效和随机硬件失效的风险逐渐增加。ISO 26262包含了通过提供适当的要求和流程来避免风险的指导。 系统安全是通过一系列安全措施实现的。安全措施通过各...

  More
• 汽车电子为什么要进行ISO26262认证?

  发布时间： 2019 - 12 - 06

  ISO 26262认证的基本原理，该认证涉及设计功能安全的汽车电子系统所涉及的人员，流程和产品。最终目标是让开发团队，管理人员和投资者更加了解遵守汽车安全标准细节所涉及的责任。反过来，这将提供有关合规性的工作和成本的更多信息，还将使供应链成员之间的沟通更加有效不断变化的汽车行业：新电子设备和新进入者所有乘用车电子系统在集成到汽车制造商的产品之前必须满足严格的安全要求。该行业的供应商已经建立了一个复杂的供应链，以提供这些系统，以及产品满足这些安全要求的能力的证明。这种信息共享系统需要IP供应商、半导体SoC开发人员、零组件供应商、软件提供商、电子系统设计师和许多其他相关人员之间的详细交流，以确保所有关键组件符合ISO 26262指南、程序、培训水平、审核和评估。最近进入者可能缺乏根据ISO 26262功能安全标准开发和交付产品的经验。虽然这些供应商可能声称其产品已准备好符合汽车安全标准，但供应链中的公司仍需要对产品开发过程中涉及的人员和程序进行广泛、仔细的审查和评估，然后才能将其集成到更大的系统中。汽车电子供应链参与者主动解决此问题的一种方法是从认可的评估机构获得ISO 26262认证。然而，大多数针对汽车用途的电子产品并非完整的独立系统，可以通过ISO 26262标准认证，并完全了解产品如何在车辆中集成和使用。因此，对于认真服务于该市场的任何开发团队而言，重要的是探索其供应商关于功能安全的声明，无论是否声明了认证。虽然第三方产品认证可以成为重要参考，但对任何组件的评估必须更深入，并且必须通过公司使用和集成产品来完成考察与认证。如果未能对供应商的人员，流程和产品进行评估，则可能导致客户拒绝。为什么选择ISO 26262？国际标准组织（ISO）声明如下：ISO 26262旨在应用于安全相关系统，其包括一个或多个电气或电子（E / E）系统并且安装在批量生产的乘用车中。ISO 2...

  More
• 道路车辆功能安全学习笔记

  发布时间： 2019 - 10 - 14

  功能安全是指避免由系统功能性故障导致的不可接受的风险。它关注的是系统发生故障之后的行为，而不是系统的原有功能或性能。因此功能安全的目的就是当系统发生故障后，将系统进入安全的可控模式，避免对人身、财产造成伤害。本质安全与功能安全为了了解功能安全的概念，先得熟悉下 和“本质安全”和“功能安全”的概念。假如以铁道的路口为例，比较一下基于两种安全概念的避免路口事故的方法。这里避免路口事故就是安全目标，为了实现这个目标，可进行如下操作：首先，如果把铁道路口撤掉，直接改造成立交桥的形式，让火车和汽车都走各自的路，这样就不会发生人或者车辆横穿铁道口的事故了。像这样，根据系统的特性把危险源直接除掉的方法是「本质安全」。其次，假如我们在铁道路口设置信号灯和道口自动栏杆，当火车来临时前闪红灯，同时将栏杆放下，避免行人或者车辆通过。像这样通过栏杆的拦截功能及预警灯来抑制事故风险的技术叫做「功能安全」。在这里信号灯和自动栏杆一种安全机制（Safety Mechanism）。理想的情况是不管什么场合都采用「本质安全」，但事实上，在很多场合里，由于系统自身的原因，不可能把危险源除掉。特别是像车载电控系统这样非常复杂的电子化系统，以上所述的本质安全很难被实现和应用。因此我们只能采用功能安全，它的目的就是在本质安全无法达到时，尽可能的通过增加安全机制去提高安全等级，实现安全目标。电子控制器的功能安全对于汽车而言，可将汽车看成一个“机器人”，驾驶员给这个“机器人”发送信号，比如踩踏板加油，汽车收到命令然后执行：电喷系统增加喷油，发动机输出扭矩增加，实现车辆加速。对于传统汽车而言，它的结构简单，且大多数命令都是通过机械方式来实现的，如老式汽车的机械式节气门等，其失效的可预见性大；而现在汽车，其电子电气化增强，驾驶员的指令会先转换成相关信号，然后这些信号传递给控制器的处理芯片，然后最终驱动相关的执行器...

  More