云计算服务标准符合性评估实施细则 (2020年修订版)

为做好云计算服务能力标准符合性评估工作,中国电子工业标准化技术协会信息技术服务分会(以下称ITSS分会)依据《信息技术服务标准(ITSS)符合性评估管理办法》,制定本实施细则。
一、适用范围
(一)本实施细则适用于云计算服务单位依据《信息技术?云计算?云服务运营通用要求》(以下称通用要求)和云计算服务能力指标体系开展的符合性评估。
(二)云计算服务能力标准符合性评估包括IaaS(分为公有云和私有云)、SaaS等。依据能力指标(分级指标ITSS分会另行发布),分为以下不同等级,其中:
IaaS能力评估分为四个等级,从低到高依次为:初始级(四级)、基础级(三级)、增强级(二级)、引领级(一级)。
SaaS能力评估分为三个等级,从低到高依次为:基础级(三级)、增强级(二级)、引领级(一级)。
二、相关职责

(一)ITSS分会负责组织管理云计算服务能力标准符合性评估活动,并确认评估结果;

(二)评估机构分为行业级评估机构、地方级评估机构。行业级评估机构可在中国境内受理IaaS的一级、二级、三级和SaaS的一级、二级、三级的评估申请。地方级评估机构在本地区受理IaaS的三级、四级和SaaS的三级评估申请。

三、申请条件
(一)四级申请单位应具备下列基本条件:
1.具有独立法人地位;

2.已按照通用要求和四级指标体系建立了云计算服务能力体系,且有效运行6个月以上;

3.能够提供云计算服务能力管理、人员、资源、技术和过程等方面的有效证据;

4.从事云计算服务业务的满1年以上。

(二)三级申请单位应具备下列基本条件:
1.具有独立法人地位;

2.已按照通用要求和三级指标体系要求建立了云计算服务能力体系,且有效运行6个月以上;

3.能够提供云计算服务能力管理、人员、资源、技术和过程等方面的有效证据;

4.从事云计算服务业务的满2年以上,或持有四级证书1年以上。

(三)二级的申请单位应具备下列基本条件:

1.持有三级证书满1年以上;

2.已按照通用要求和二级指标体系要求建立了云计算服务能力体系,且有效运行6个月以上;

3.能够提供云计算服务能力管理、人员、资源、技术和过程等方面的有效证据。

(四)一级的申请单位应具备下列基本条件:

1.持有二级证书满1年以上;

2.已按照通用要求和一级指标体系要求建立了云计算服务能力体系,且有效运行6个月以上;

3.能够提供云计算能力管理、人员、资源、技术和过程等方面的有效证据。

四、申请事项
(一)初次申请
1.初次申请包括以下事项:
(1)IaaS(含公有云和私有云)的四级申请;
(2)SaaS的三级申请。
2.申请单位应向评估机构提交相应的《云计算服务能力标准符合性评估申请表》(以下称《申请表》)及附件材料。提交材料的具体要求,详见《申请表》。
(二)监督评估申请
1.监督评估申请包括首次监督评估申请和二次监督评估申请。获证单位应在自获证之日起,9个月至12个月之间完成首次监督评估。获证单位应在自获证之日起,21个月至24个月之间完成二次监督评估。
2.监督评估应由获证单位所持证书上标识的评估机构实施。
3.一次监督评估的覆盖范围应不少于标准的二分之一,首次监督和二次监督的覆盖范围应是相应标准的全部。
(三)再评估(换证)申请
1. 再评估申请包括四级、三级、二级和一级证书有效期延续的申请。
2. 获证单位可在证书有效期期满前6个月申请再评估。
3. 申请单位应向评估机构提交相应的《申请表》及附件材料。提交材料的具体要求,详见《申请表》。
(四)升级申请
1、升级申请包括四级升三级、三级升二级、二级升一级的申请。
2.申请单位应向评估机构提交相应的《云计算服务能力标准符合性评估申请表》(以下称《申请表》)及附件材料。提交材料的具体要求,详见《申请表》。
3.因未通过再评估被降级的单位申请升级,可在获证之日起满6个月后申请升级(四级升三级除外)。
(五)整改申请
1.下列未通过专家评审会的申请单位,可申请整改1次。整改完成后再提交:
(1)二级的初次申请;
(2)二级的再评估。
2.整改后由评估机构再次提交申请的材料包括:
(1)全部申请材料和评估材料;
(2)根据专家评审意见完成的整改材料。
(六)变更申请
1.获证单位发生下列一般变更事项,应在变更发生之日起30日内,向ITSS分会提交证书变更申请,ITSS分会核实无误后办理证书变更手续。
(1)单位名称发生注册变更;
(2)单位住所发生跨省市的区域变更。
2.获证单位发生下列重大变更事项,应向ITSS分会提交证书变更申请。对符合变更要求的,ITSS分会组织变更评估,通过变更评估的换发新证书。

(1)单位主体发生分立、合并和重组等重大调整;

(2)从事云服务业务的单位主体发生重大调整。

五、评估程序
(一)评估机构应按照《信息技术服务标准(ITSS)符合性评估规范》受理申请,组建评估组并组织实施文件评审和现场评估。
(二)评估组的评估工作量应满足以下要求:
1.四级(含初次申请和再评估)现场评估工作量不少于3人日,总工作量不少于4人日;监督评估的现场评估工作量不少于1人日,总工作量不少于1.5人日。
2.三级(含初次申请和再评估)现场评估工作量不少于6人日,总工作量不少于9人日;监督评估的现场评估工作量不少于2人日,总工作量不少于3人日。
3.二级(含申请和再评估)现场评估工作量不少于9人日,总工作量不少于12人日;监督评估的现场评估工作量不少于3人日,总工作量不少于4人日。
4.一级(含初次申请和再评估)的现场评估工作量不少于12人日,总工作量不少于15人日;监督评估的现场评估工作量不少于4人日,总工作量不少于5人日。
(三)评估机构出具评估报告后,应向ITSS分会提交申请材料和评估材料,材料包括:
1.《申请表》及附件材料;
2.《云计算服务能力评估计划》;
3.《云计算服务能力评估检查表》;
4.《首次会议签到表》和《末次会议签到表》;
5.《不符合项报告》及验证关闭记录;
6.《云计算服务能力评估报告》;
7. ITSS分会要求提交的其他材料。
六、结果确认
(一)确认方式

1.组织专家以材料审阅、现场答辩的方式对一级、二级初次申请和一级再评估进行综合评审和结果确认;

2.组织专家以材料审阅方式对二级的再评估进行评审和结果确认;

3.对三级、四级的初次申请和再评估,以及所有的监督评估进行复核和结果确认。

(二)确认结果
1.通过
(1)对通过复核或专家评审的申请单位,ITSS分会在工作平台进行公示。
(2)ITSS分会确认结果,在工作平台进行公告。
(3)ITSS分会颁发《云计算服务能力标准符合性证书》(以下称《证书》)。
2.整改和降级
(1)选择整改应满足以下要求:
        1)整改周期至少3个月;
        2)再次提交时,评估报告在有效期内;

        3)专家评审会后,再评估申请单位的证书有效期不少于4个月;

(2)整改后仍未通过专家评审的二级再评估和一级再评估申请单位,可获得低一等级的证书。

3.暂停和注销
(1)逾期未完成监督评估(自获证之日起,12个月内未完成第一次监督评估或24个月内未完成第二次监督评估)的获证单位,证书暂停3个月。
(2)暂停3个月后仍未完成监督评估的,其证书自动注销。
(3)未完成再评估的获证单位,其证书到期后自动注销。
七、其他相关事项
本实施细则由ITSS分会负责解释。