外包服务安全评估

外包服务安全评估（精选6篇）

外包服务安全评估 第1篇

服务器安全评估标准

国外标准

国外对于计算机安全问题的评估标准较多，比较著名的是1983年美国国防部提出的《可信计算机评估标准》TCSEC（Trusted Computer System Evaluation Criteria），又称桔皮书。TCSEC根据以下几个方面进行安全性评估：

（1）安全策略：必须有一个明确的、确定的由系统实施的安全策略；

（2）识别：必须惟一而可靠地识别每个主体，以便检查主体/客体的访问请求；

（3）标记：必须给每个客体（目标）作一个“标号”，指明该客体的安全级别。这种结合必须做到对该目标进行访问请求时都能得到该标号以便进行对比；

（4）可检查性：系统对影响安全的活动必须维持完全而安全的记录。这些活动包括系统新用户的引入、主体或客体的安全级别的分配和变化以及拒绝访问的企图；

（5）保障措施：系统必须含实施安全性的机制并能评价其有效性；

（6）连续的保护：实现安全性的机制必须受到保护以防止未经批准的改变。

根据以上六条要求，“可信计算机系统评估准则”将计算机系统的可信程度（安全等级）划分成四大类（D、C、B、A），七个小类（D、C1、C2、B1、B2、B3、A）。具体标准内容如表2.3所示。表2.3 安全评估标准

类 别 名 称 主 要 特 征

A1 可验证的安全设计 形式化的最高级描述和验证，形式化的隐秘通道分析，非形式化的代码一致性证明

B3 安全域机制 安全内核，高抗渗透能力

B2 结构化安全保护 设计系统必须有一个合理的总体设计方案，面向安全的体系结构，遵循最小授权原则，较好的抗渗透能力，访问控制应对所有的主体和客体进行保护，对系统进行隐蔽通道分析

B1 标号安全控制 除了C2级的安全需求外，增加安全策略模型，数据标号（安全和属性），托管访问控制

C2 受控的访问控制 存取控制以用户为单位，广泛的审计。如Unix、Windows NT等

C1 选择的安全保护 有选择的存取控制，用户与数据分离，数据的保护以用户组为单位

D 最小保护 保护措施很少，没有安全功能。如DOS、Windows等

（1）D级。D级是最低的安全保护等级。这个级别的操作系统就像一个门户大开的房子，任何人可以自由进出，是完全不可信的。对于硬件来说，是没有任何保护措施，操作系统容易受到损害，没有系统访问限制和数据访问限制，任何人不需任何账户就可以进入系统，不受任何限制就可以访问他人的数据文件。属于D级的操作系统有：DOS、Windows 3.x、Apple的Macintosh System7.1。

（2）C级。C级有两个安全子级别：C1和C2。

① C1级。又称选择性安全保护系统，这在Unix系统中比较典型。这种级别的系统对硬件有某种程度的保护，即每个用户都有账号和口令，系统通过账号和口令来识别用户是否合法，并决定用户对程序和信息拥有什么样的访问权。但硬件受到损害的可能性仍然存在。

C1级支持对文件进行权限设置，如读（read）、写（write）、执行（execute）等权限。文件的拥有者和超级用户（root）可以改动文件中的访问属性，从而对不同的用户给予不同的访问权，例如，让文件拥有者有读、写和执行的权力，给同组用户读和执行的权力，而给其他用户以读权限。另外，许多日常的管理工作由根用户（root）来完成，如创建新的组和新的用户。根用户（root）拥有很大的权力，如同Windows NT中的Administrator用户。所以它的口令一定要保存好，不要

多人共享。

C1级保护的不足之处在于根用户（root）的设置。如果某个用户以根用户进入系统，他就可以将系统中的数据任意移走，可以控制系统配置，获取比系统管理员允许的更高权限，如改变和控制用户名。因此，从某种意义上来讲，在拥有C1级的操作系统中，硬件受到损害的可能性仍然存在。

② C2级。除了C1包含的特征外，C2级别还包含有访问控制环境。该环境具有进一步限制用户执行某些命令或访问某些文件的权限，而且还加入了身份验证级别。另外，系统对发生的事件加以审计，并写入日志当中，如何时开机，哪个用户在什么时候从哪儿登录等等，这样通过查看日志，就可以发现入侵的痕迹，如多次登录失败，也可以大致推测出可能有人想强行闯入系统。审计可以记录下系统管理员执行的活动，审计还加有身份验证，这样就可以知道谁在执行这些命令。审计的缺点在于它需要额外的处理器时间和磁盘资源。

使用附加身份认证就可以让一个C2系统用户在不是根用户的情况下有权执行系统管理任务。授权分级使系统管理员能够给用户分组，授予他们访问某些程序的权限或访问分级目录。另一方面，用户权限可以以个人为单位授权用户对某一程序所在目录进行访问。如果其他程序和数据也在同一目录下，那么用户也将自动得到访问这些信息的权限。

能够达到C2级的常见操作系统有：Unix系统、XENIX、Novell3.x或更高版本、Windows NT。

（3）B级。B级中有三个子级别：B1级、B2级和B3级。

① B1级。即标志安全保护。它是支持多级安全（比如秘密和绝密）的第一个级别，这个级别说明一个处于强制性访问控制之下的对象，系统不允许文件的拥有者改变其许可权限。

一般而言，政府机构和防御系统承包商们是B1级计算机系统的主要拥有者。

② B2级。又称结构保护，要求计算机系统中所有的对象都加标签，而且给设备（磁盘，磁带和终端）分配单个或多个安全级别。这是较高安全级别的对象与另一个较低安全级别的对象相互通信的第一个级别。

③ B3级。又称安全区域保护。它使用安装硬件的方式来加强安全区域保护。例如，内存管理硬件用于保护安全区域免遭无授权访问或其他安全区域对象的修改。该级别要求用户通过一条可信任途径连接到系统上。

（4）A级。又称验证设计，这是当前的最高级别，包括了严格的设计，控制和验证过程。与前面提到的各级别一样，这一级别包含了较低级别的所有特性。设计必须是从数学角度上经过验证的，而且必须进行秘密通道和可信任分布的分析。这里，可信任分布的含义是，硬件和软件在物理传输过程中已经受到保护，以防止破坏安全系统。

在上述七个级别中，B1级和B2级的级差最大，因为只有B2、B3和A级，才是真正的安全等级，它们至少经得起程度不同的严格测试和攻击。目前，我国普遍应用的计算机，其操作系统大都是引进国外的属于C1级和C2级产品。因此，开发我国自己的高级别的安全操作系统和数据库的任务迫在眉睫，当然其开发工作也是十分艰巨的。

计算机操作系统的评价准则的建立不仅对于评价、监察已经运行的计算机系统的安全具有指导意义，而且对于研究、设计、制造和使用计算机系统，确保其安全性具有十分重要的意义。

国内标准

公安部主持制定、国家技术标准局发布的中华人民共和国国家标准GB17895-1999《计算机信息系统安全保护等级划分准则》已经正式颁布，并于2001年1月1日起实施。该准则将信息系统安全分为5个等级：

l 自主保护级

l 系统审计保护级

l 安全标记保护级

l 结构化保护级

l 访问验证保护级

主要的安全考核指标有身份认证、自主访问控制、数据完整性、审计、隐蔽信道分析、客体重用、强制访问控制、安全标记、可信路径和可信恢复等，这些指标涵盖了不同级别的安全要求。

另外还有《信息处理系统开放系统互联基本参考模型第2部分安全体系结构》（GB/T 9387.2 1995）、《信息处理数据加密实体鉴别机制第I部分：一般模型》（GB 15834.1-1995）、《信息技术设备的安全》（GB 4943-1995）等

外包服务安全评估 第2篇

估管理规定

第一条 为规范开展互联网新闻信息服务新技术新应用安全评估工作,维护国家安全和公共利益,保护公民、法人和其他组织的合法权益,根据《中华人民共和国网络安全法》《互联网新闻信息服务管理规定》,制定本规定。

第二条 国家和省、自治区、直辖市互联网信息办公室组织开展互联网新闻信息服务新技术新应用安全评估,适用本规定。

本规定所称互联网新闻信息服务新技术新应用(以下简称“新技术新应用”),是指用于提供互联网新闻信息服务的创新性应用(包括功能及应用形式)及相关支撑技术。

本规定所称互联网新闻信息服务新技术新应用安全评估(以下简称“新技术新应用安全评估”),是指根据新技术新应用的新闻舆论属性、社会动员能力及由此产生的信息内容安全风险确定评估等级,审查评价其信息安全管理制度和技术保障措施的活动。

第三条 互联网新闻信息服务提供者调整增设新技术新应用,应当建立健全信息安全管理制度和安全可控的技术保障措施,不得发布、传播法律法规禁止的信息内容。

第四条国家互联网信息办公室负责全国新技术新应用安全评估工作。省、自治区、直辖市互联网信息办公室依据职责负责本行政区域内新技术新应用安全评估工作。

国家和省、自治区、直辖市互联网信息办公室可以委托第三方机构承担新技术新应用安全评估的具体实施工作。

第五条鼓励支持新技术新应用安全评估相关行业组织和专业机构加强自律,建立健全安全评估服务质量评议和信用、能力公示制度,促进行业规范发展。

第六条互联网新闻信息服务提供者应当建立健全新技术新应用安全评估管理制度和保障制度,按照本规定要求自行组织开展安全评估,为国家和省、自治区、直辖市互联网信息办公室组织开展安全评估提供必要的配合,并及时完成整改。

第七条有下列情形之一的,互联网新闻信息服务提供者应当自行组织开展新技术新应用安全评估,编制书面安全评估报告,并对评估结果负责:

(一)应用新技术、调整增设具有新闻舆论属性或社会动员能力的应用功能的;

(二)新技术、新应用功能在用户规模、功能属性、技术实现方式、基础资源配置等方面的改变导致新闻舆论属性或社会动员能力发生重大变化的。

国家互联网信息办公室适时发布新技术新应用安全评估目录,供互联网新闻信息服务提供者自行组织开展安全评估参考。

第八条互联网新闻信息服务提供者按照本规定第七条自行组织开展新技术新应用安全评估,发现存在安全风险的,应当及时整改,直至消除相关安全风险。

按照本规定第七条规定自行组织开展安全评估的,应当在应用新技术、调整增设应用功能前完成评估。

第九条互联网新闻信息服务提供者按照本规定第八条自行组织开展新技术新应用安全评估后,应当自安全评估完成之日起10个工作日内报请国家或者省、自治区、直辖市互联网信息办公室组织开展安全评估。

第十条报请国家或者省、自治区、直辖市互联网信息办公室组织开展新技术新应用安全评估,报请主体为中央新闻单位或者中央新闻宣传部门主管的单位的,由国家互联网信息办公室组织开展安全评估;报请主体为地方新闻单位或者地方新闻宣传部门主管的单位的,由省、自治区、直辖市互联网信息办公室组织开展安全评估;报请主体为其他单位的,经所在地省、自治区、直辖市互联网信息办公室组织开展安全评估后,将评估材料及意见报国家互联网信息办公室审核后形成安全评估报告。

第十一条互联网新闻信息服务提供者报请国家或者省、自治区、直辖市互联网信息办公室组织开展新技术新应用安全评估,应当提供下列材料,并对提供材料的真实性负责:

(一)服务方案(包括服务项目、服务方式、业务形式、服务范围等);

(二)产品(服务)的主要功能和主要业务流程,系统组成(主要软硬件系统的种类、品牌、版本、部署位置等概要介绍);

(三)产品(服务)配套的信息安全管理制度和技术保障措施;

(四)自行组织开展并完成的安全评估报告;

(五)其他开展安全评估所需的必要材料。

第十二条国家和省、自治区、直辖市互联网信息办公室应当自材料齐备之日起45个工作日内组织完成新技术新应用安全评估。

国家和省、自治区、直辖市互联网信息办公室可以采取书面确认、实地核查、网络监测等方式对报请材料进行进一步核实,服务提供者应予配合。

国家和省、自治区、直辖市互联网信息办公室组织完成安全评估后,应自行或委托第三方机构编制形成安全评估报告。

第十三条新技术新应用安全评估报告载明的意见认为新技术新应用存在信息安全风险隐患,未能配套必要的安全保障措施手段的,互联网新闻信息服务提供者应当及时进行整改,直至符合法律法规规章等相关规定和国家强制性标准相关要求。在整改完成前,拟调整增设的新技术新应用不得用于提供互联网新闻信息服务。

服务提供者拒绝整改,或整改后未达法律法规规章等相关规定和国家强制性标准相关要求,而导致不再符合许可条件的,由国家和省、自治区、直辖市互联网信息办公室依据《互联网新闻信息服务管理规定》第二十三条的规定,责令服务提供者限期改正;逾期仍不符合许可条件的,暂停新闻信息更新;《互联网新闻信息服务许可证》有效期届满仍不符合许可条件的,不予换发许可证。

第十四条组织开展新技术新应用安全评估的相关单位和人员应当对在履行职责中知悉的国家秘密、商业秘密和个人信息严格保密,不得泄露、出售或者非法向他人提供。

第十五条国家和省、自治区、直辖市互联网信息办公室应当建立主动监测管理制度,对新技术新应用加强监测巡查,强化信息安全风险管理,督导企业主体责任落实。

第十六条互联网新闻信息服务提供者未按照本规定进行安全评估,违反《互联网新闻信息服务管理规定》的,由国家和地方互联网信息办公室依法予以处罚。

第十七条申请提供互联网新闻信息服务,报请国家或者省、自治区、直辖市互联网信息办公室组织开展新技术新应用安全评估的,参照适用本规定。

外包服务安全评估 第3篇

关键词：安全和风险评估,可靠性框图,概率风险评估

电力系统的安全性和可靠性取决于电信网络的支持。随着电力系统和电信网络的快速建设,电信网络的结构变得越来越复杂[1,2,3,4,5]。在这种条件下,科学地优化电信网络结构以及布置电力系统服务,对于电力系统电信部门而言是一项紧迫的研究课题。

为了解决这一问题,需要评估电力系统电信网络的安全性和可靠性条件以及电力系统服务的风险,这有助于根据评估结果制定优化计划[6,7,8,9]。

在本文中,执行了基于RBD(可靠性框图)的可靠性评估方法和基于PRA(概率风险评估)的服务风险评估方法,解决了相应的可靠性和风险评估问题。

1 电信服务分类和重要程度

服务安全分类和安全水平确定是电信网络可靠性和服务风险评估的基础。

1.1 服务安全分类

根据在电信服务出错时由电信服务造成的有害影响,电力系统运行服务可分为如下3类:I类运行服务是指安全区I中的运行服务,I类运行服务是直接监控电力系统最为重要的服务,其是电力生产和运行的保证;II类运行服务是指安全区II中的运行服务,该运行服务是在线运行的无控制功能的电力系统的重要服务,其是电力系统与运行的必要部分;III类运行服务是指安全区III中的运行服务,该类运行服务包括不在安全区I和II中的电力企业管理的全部服务。

1.2 服务重要程度

运行服务重要程度是指电信运行服务中断或发生故障时,对电力系统安全和稳定的有害影响程度,反映电信服务对电力系统影响的运行服务重要程度是电信服务风险评估的最重要指标。

对于中继保护服务[10,11,12],存在如下几个因素:包括影响服务重要程度指数的中继保护数、传输模式和信道数。中继保护服务输电线路的数目越多,每个中继保护服务的重要程度越低。若一个中继保护服务具有更多的传输信道,则该中继保护服务的每个信道将具有相应较小的重要程度值。通常,PLC信道具有比光纤信道更低的运行服务重要程度。无论使用哪种中继保护服务通道,例如,两个光纤通道、一个光纤一个PLC、一个光纤或一个PLC,则每个中继保护的运行服务重要程度对于某一特定电线是相同的。如上所述,中继保护服务的运行服务重要程度值,如表1和表2所示[13,14,15,16]。

如表1和表2所示,括号中的值是指具有一个光纤信道和一个PLC信道的中继保护服务重要程度值。括号外的值是指具有两个光纤信道的中继保护重要程度值。

根据评估规则,每个配置模式的每个中继保护服务信道的重要程度值的总和是相同的,且每个中继保护服务也是相同的。

安全稳定系统由通过电厂的电信设备连接的两个或多个安全稳定的控制装置组成。通常,安全稳定系统可分为不同的站,例如,主控站、变电站和执行站。上述不同站之间的电信对电力系统具有不同的影响,因此应考虑其开始和结束的信道来确定服务重要程度值。

综上所述,安全稳定服务的运行服务重要程度值如表3所示。

直流控制运行服务是电力系统最重要的服务之一。在考虑N-1和N-2的情况下,该服务将具有不同的重要程度。在考虑N-2的情况下,将具有比N-1的情况大的重要程度。

如上所述,直流控制服务的运行服务重要程度值如表4所示。

1.3 电信服务风险的分类

显性风险是指在电信信道中断时直接影响电力系统的风险。运行服务显性风险值是指当服务出现故障时的电力系统运行和生产风险的评估值。

隐性风险是指当电信服务信道出现故障而运行服务未中断时,间接影响电力系统的风险。运行服务隐性风险值是指当电信服务信道出现故障而运行服务未中断时,电力系统运行和生产风险的评估值。

2 RBD算法

2.1 RBD的概念

RBD算法是使用从电信网络抽象的可靠性框图,且根据每个电信节点的可靠性指数值来从端到端评估电信网络和服务信道的可靠性的方法。

2.2 RBD工作流程

基于路径追踪算法,RBD的工作流程如下:

步骤1首先根据拓扑图搜索两点之间的所有可用路径;

步骤2然后为所有或部分可用路径集合创建可靠性表达数组;

步骤3根据预设的可靠性表达数组和可靠性指标值计算可靠性值;

步骤4根据计算结果,结合电信网络拓扑,分析整个网络的可靠性。

2.3 RBD的应用范围

RBD算法是可以从端到端计算服务信道的可靠性评估方法之一。使用历史可靠性统计值,结合电信网络拓扑,可通过电信点和链路搜索采用RBD算法来计算每个服务信道的可靠性。RBD算法可用于电信网络拓扑可靠性评估,可帮助找到所评估网络的弱点,并有助于加强对弱点的维护。根据评估结果,其可为电信部门如何优化网络提供科学建议。此外,通过对当前网络优化方案和运行服务布置计划的评估,可帮助电信部门决定方案是否合理、科学,这将有力地支持网络的变更和运行服务布置。

3 PRA算法

3.1 PRA的概念

PRA(概率风险评估)算法是一种结合运行服务信道的故障概率和信道承载的运行服务重要程度的风险评估方法。对于每个运行服务,若将运行服务重要程度值和故障概率值相结合时,可以获得单个运行服务的风险值。当总结信道上承载的所有单个运行服务风险时,将得到信道上承载的所有运行服务的显性风险和隐性风险。

PRA的主要思想可表示如下

其中,R为在信道上承载的所有运行服务的风险评估值;i为运行服务i;N为信道上承载的运行服务数;IDi为运行服务i的重要程度值;FPi为运行服务i的故障概率值。

在上述的等式中,IDi和FPi是PRA算法的重要指标。

3.2 PRA工作流程

显然,当通信信道发生故障时,通信信道上所承载的运行服务会受到影响。在受影响的运行服务中,有些运行服务中断,其他运行服务的可靠性会降低。

基于上述PRA的思想,PRA算法可表示为

其中,R为通信信道的整体风险值;R1为通信信道的显性风险值;R2为通信信道的隐性风险值。通过下式计算显性风险

其中,R'1为电力系统控制运行服务的显性风险值,计算公式如下

R″1为电力系统非控制运行服务的显性风险值,计算公式如下

其中,Fj为运行服务j的故障概率值;Zj为运行服务j的运行服务重要程度值;k1为被中断的运行服务数,k1≥1。

通过下式计算隐性风险

其中,R'2为电力系统控制运行服务的隐性风险值,计算公式如下

R″2为电力系统非控制运行服务的隐性风险值,计算公式如下

其中,Fj为运行服务j的故障概率值;Zj为运行服务j的运行服务重要程度值;k2为可靠性低的运行服务数;k2≥1,Nj为运行服务j的可用路由数;nj为运行服务j的所有可用路由的故障数,nj<Nj。

PRA算法是主要计算传输线的风险等级和值的风险评估方法。假设传输线故障,可根据这些运行服务的数目和重要程度值,获得该传输线的风险评估值。当计算风险值时,需要设置上述计算公式的每个指标值,然后得到传输线的风险值。

3.3 PRA的应用范围

虽然某些传输线的风险不能通过PRA算法和相应的工具来降低,但可得到电信网络的整体风险分布。根据风险评估结果,电信部门可以科学地调整运行服务的安排,从而降低风险值较高的传输线路的风险等级。因此,当这些传输线具有故障时,将降低其对电力系统所带来的风险。

4 PRA的应用

考虑以下电信网络的拓扑,如图1所示。

该电信网络承载的运行服务如下:在该拓扑结构中有两个逻辑链路,其是来自站A~E和来自站B~F的逻辑链路。

根据上述方程,风险评估值计算如下:

5 结束语

外包服务安全评估 第4篇

信息安全风险评估是从风险管理角度,运用科学的方法和手段,系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生所造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施。其防范和化解信息安全风险的有效性得到了世界各国的高度认可。风险评估已成为目前各类信息安全服务中需求最为普遍的基础性服务之一。

对于风险评估工作的组织管理和实施,多年来我国政府进行了周密部署,提出了若干工作要求。强调信息安全风险评估是信息安全保障工作的基础性工作和重要环节,应贯穿于网络和信息系统建设运行的全过程,在网络与信息系统的设计、验收和运行维护阶段均应当进行信息安全风险评估。

中国信息安全认证中心作为我国设立的专业认证机构,自成立始就立足社会需求积极筹备信息安全服务资质认证。继2008年推出应急处理服务资质认证后,今年又以GB/T20984《信息安全风险评估规范》等标准为依据,完善相关技术文件,启动了信息安全风险评估服务资质认证,广大企事业单位积极申请,有力地推动了我国风险评估工作的深入实施。

外包服务商风险评估报告 第5篇

信息科技外包服务提供商评估报告

根据****关于信息科技外包风险管理规定，参照《银行业金融机构外包风险管理指引》等文件要求，为确保我行信息科技外包风险可控，XX 银行对重要外包服务商进行了风险评估，并采取相关措施防范信息科技外包风险，现将评估情况报告如下：

被评估的服务提供商：

一、服务提供商基本情况

（一）基本情况

XX有限公司是中国领先的创新型技术服务商。公司于2001年成立，立足中国，服务全球。依托“海外+中国”的战略布局，公司在全球55个城市设有近120个分支机构，市场遍及北美、亚洲、欧洲等区域国家，全球员工总数38000余人。

XX具备端到端“软件+服务”综合业务能力和强大的纵深服务优势，凭借深厚的技术实力和整合的生态资源，公司提供信息技术服务，咨询与解决方案，云计算、大数据及互联网服务，为城市、产业、企业等各领域的客户创造价值。

公司连续多年被授予“德勤中国高科技、高成长 50 强”、“中国最佳雇主企业”、“智慧城市信息化领军企业奖”、“中国软件企业综合竞争力30强”、“中国软件业务收入前百家企业”、“中国软件服务外包十大领军企业”等荣誉，并拥有中国信息系统集成及服务一级资质。

（二）服务内容

根据XX 银行有关XX项目的系统开发需求，结合公司在相关领域的技术和业务积累，开发和部署XX应用系统。

二、合规情况

严格按照双方签订的服务合同要求，制定了具体的工作计划。整个项目从最初筹划到后期的开发过程，均严格贯彻省联社、市联社关于信息系统开发管理的相关制度予以执行。合作关系上，我们对受托方进行了尽职调查，所有项目组入场人员均进行了背景调查。项目执行期间，实行现场封闭开发方式进行集中管理，所有配置库和相关环境均在内部开发环境严格管控。

三、服务执行效果

合作期间，XX公司派出了多为技术工程师和资深项目管理人员，现场进行了系统开发和应用部署工作。系统功能、性能符合需求要求范围。项目开发期间，项目组采用现场实施方式，与我行有关人员共同构成了实施项目组，我行全部参与了系统开发、配置管理、质量管理、项目管理的全过程，整个实施过程透明、可控。系统上线试运行以来，各项功能运行稳定，业务效果达到最初设计目标，总体效果良好。

四、评估结论

根据***及监管部门对于外包服务商定期风险评估要求，我行对该服务提供商进行了以上调查和评估，通过调查评估情况看，该服务提供商能够严格遵守双方签订的外包服务相关协议，完成外包服务内

容，达到较高的外包服务水平，符合外包风险管理的各项管理要求。

XX 银行

外包服务安全评估 第6篇

京建发„2010‟391号

各区县建委、房管局，各有关单位：

为了规范物业服务第三方评估监理活动，维护相关利害关系人的合法权益，培育第三方评估监理市场，配合《北京市物业服务第三方评估监理管理办法》的施行，现将《北京市物业项目承接查验评估规范（试行）》、《北京市物业服务费用评估规范（试行）》和《北京市物业服务质量评估规范（试行）》印发给你们，请遵照执行。

附件：1.《北京市物业项目承接查验评估规范（试行）》

2.《北京市物业服务费用评估规范（试行）》

3.《北京市物业服务质量评估规范（试行）》

二○一○年七月七日

附件1：

北京市物业项目承接查验评估规范（试行）

目录 总 则………………………………………………………..2 2 术 语…………………………………………………………2 3 评估原则………………………………………………………4 4 评估程序……………………………………………………..4 5 评估依据……………………………………………………..6 6 评估报告………………………………………………………7 7 职业道德………………………………………………………8 附录 规范用词用语说明…………………………….………..8 总 则

1.0.1 为了规范物业项目承接查验评估行为，统一评估程序和方法，做到评估结果客观、公正、真实，根据《北京市物业管理办法》、《北京市物业服务第三方评估监理管理办法》等法律、法规的有关规定，制定本规范。

1.0.2 本规范适用于北京市行政区域内进行的物业项目承接查验评估活动。

1.0.3 物业项目承接查验评估应当独立、客观、公正、真实。1.0.4 物业项目承接查验评估应当符合国家、北京市现行有关标准、规范的规定和本规范的规定。术 语

2.0.1 物业项目承接查验

物业项目承接查验是指为了完成物业共用部分的交接，建设单位、业主或受业主委托的物业服务企业以及物业服务评估监理机构，对物业共用部分的建造质量、管理资料、使用功能等进行的综合性查验。

物业项目承接查验包括主要应包括下列内容：

1.物业区域划分状况：查勘现状和《物业区域划分意见书》是否一致。

2.物业构成状况：查勘现状与《建设工程规划许可证》、《规划意见书》是否一致；查勘现状与房屋销售合同的承诺是否一致。

3.物业服务用房状况：查勘现状与《建设工程规划许可证》、《规划意见书》是否一致；查勘现状与测绘成果备案是否一致；查勘物业服务用房面积和楼层是否符合法定或约定标准。

4.物业共用部位状况: 查勘现状与《建设工程规划许可证》、《规划意见书》是否一致；查勘现状与《房屋买卖合同》约定是否一致；查验物业共用部位的使用及养护是否符合相关技术标准要求。

5.物业共用设施设备状况；查验现状与建设工程设计文件是否一致；查勘现状与《房屋买卖合同》约定是否一致；查验物业共用设施设备的使用及养护是否符合相关技术标准要求。

6.物业资料交接状况：查验拟移交物业资料的种类、数量和内容是否符合相关技术标准要求。2.0.2 物业项目承接查验评估

专业评估人员根据评估目的，遵循评估原则，按照评估程序和评估标准，对物业项目承接查验在评估时点的具体实际状况进行评估和判定的活动。2.0.3 评估项目

一个需要评估物业项目承接查验的物业项目。2.0.4 评估目的

评估结果的期望用途。2.0.5 评估时点

评估结果对应的日期。

2.0.6 评估结果

关于评估项目的物业项目承接查验是否符合有关规定要求的最终结论。2.0.7 评估报告

全面、公正、客观、准确地记述评估过程和评估成果的文件，给委托方的书面答复，关于评估项目在评估时点的物业项目承接查验是否符合有关规定要求的研究报告。评估原则

3.0.1 物业项目承接查验评估应遵循下列原则：

1.合法原则； 2.评估时点原则。

3.0.2 遵循合法原则，评估人员在进行评估应以符合相关法规的规定为前提。

3.0.3 遵循评估时点原则，评估结果应是对评估项目在评估时点的物业项目承接查验的具体实际状况。评估程序

4.0.1 自接受评估委托至完成评估报告期间，物业项目承接查验评估应按下列程序进行：

1.接受委托，签订委托协议 2.明确评估基本事项

3.拟定评估作业方案，确定评估人员； 4.提前告知相关方评估作业时间及配合事项；

5.相关方根据协议约定的承接查验范围提交拟移交的资料和公共设备设施清单；

6．组织评估人员审核相关方提供的项目相关资料； 7.评估人员到项目现场进行实地查勘；

8.建设单位、物业服务企业、评估监理人员、委托人等签字确认现场查勘结果；

9.评估人员根据审核及查勘结果分项进行评估； 10.撰写并提交评估报告。4.0.2 明确评估基本事项：

1.评估目的； 2.评估时点； 3.评估内容。

4.0.3 委托人和评估机构搜集整理评估项目资料应包括下列内容：

1.项目立项批复、建设工程规划意见书、相关竣工验收及备案文件资料；

2.项目物业区域划分意见书；

3.项目物业共用部位、共用设施设备情况； 4.交接双方分别提供的交接情况说明书。

4.0.4 在明确评估基本事项、搜集整理评估项目资料的基础上，应对评估项目进行初步分析，拟定评估作业方案。

评估作业方案主要应包括下列内容：

1.评估人员的组成和产生方式； 2.拟采用的评估方法； 3.拟定作业步骤和作业进度。

4.0.5 评估人员到项目现场进行初步查勘，应包括下列内容：

1.物业区域划分状况； 2.物业构成状况； 3.物业共用部位状况； 4.物业共用设施设备状况； 5.物业资料交接状况； 6.物业交接遗留问题状况。

4.0.6 完成并出具评估报告后，应对有关该评估项目的一切必要资料进行整理、归档和妥善保管。评估依据

5.0.1物业项目承接查验评估应当依据以下法律、法规、规章及文件的有关规定进行评估：

1.《物业管理条例》中第二十七条、第二十八条、第二十九条、第三十条、第三十一条、第三十八条有关物业项目承接查验的相关规定；

2.《北京市物业管理办法》及《北京市物业服务第三方评估监理管理办法》中有关物业项目承接查验的相关规定；

3.《北京市新建物业项目承接查验标准》的相关规定； 4.北京市人民政府关于《北京市新建改建居住区公共服务设

施配套建设指标》的相关规定和项目规划批复；

5.项目规划文件、设计文件；

6.《房屋买卖合同》、《前期物业服务合同》、《临时管理规约》中的有关约定；

7.其他相关法律、法规、规范、标准。评估报告

6.0.1 评估报告应包括下列内容：

1．评估报告书摘要； 2．评估目的； 3．评估对象和范围； 4．评估原则； 5．评估依据； 6．评估声明；

7．评估基准日和有效期； 8．评估方法； 9．评估工作实施过程； 10．评估结论及争议说明； 11．评估限定条件； 12．评估人员名单； 13．评估作业日期； 14．评估报告日期； 15．评估文件附件。

6.0.2 评估报告应由评估人员签章确认并加盖评估监理机构印章。

6.0.3 评估时点以提交报告之日为基准日。职业道德

7.0.1 评估人员和评估机构不得作任何虚伪的评估，应做到公正、客观、诚实。

7.0.2 评估人员和评估机构应保持评估的独立性，必须回避与自己、亲属及其他有利害关系人有关的评估业务。

7.0.3 评估人员和评估机构若感到自己的专业能力所限而难以对某项目物业项目承接查验进行评估时，不应接受该项评估委托。

7.0.4 评估人员和评估机构应妥善保管委托方的文件资料，未经委托方的书面许可，不得将委托方的文件资料擅自公开或泄漏给他人。

7.0.5 评估人员和评估机构不得允许他人使用自己的名义从事评估业务，不得以评估者身份在非自己评估的评估报告上签名、盖章。

附件：规范用词用语说明

1.为便于在执行本规范条文时区别对待，对要求严格程度不同的用词说明如下：

（1）表示很严格，非这样做不可的用词： 正面词采用“必须”，反面词采用“严禁”。

（2）表示严格，在正常情况下均应这样做的用词： 正面词采用“应当”、“应该”，反面词采用“不应当”、“不应该”或 “不得”。

（3）表示允许稍有选择，在条件许可时首先应这样做的用词：

正面词采用“宜”，反面词采用“不宜”；

表示有选择，在一定条件下可以这样做的，采用“可”。2.规范中指定应当按照其他有关标准、规范执行时，写法为：

“应当符合……的规定”或“应当按照……执行”。

附件2：

北京市物业服务费用评估规范（试行）

目录 总 则………………………………………………………..2 2 术 语………………………………………………………..2 3 评估原则………………………………………………………4 4 评估程序……………………………………………………..4 5 评估方法……………………………………………………..6 6 评估报告……………………………………………………..7 7 职业道德………………………………………………………8 附录 规范用词用语说明……………………………………….8 总 则

1.0.1 为了规范物业服务费用评估行为，统一评估程序和方法，做到评估结果客观、公正、真实，根据《北京市物业管理办法》、《北京市物业服务第三方评估监理管理办法》及相关法律、法规的规定，制定本规范。

1.0.2 本规范适用于北京市行政区域内进行的物业服务费用评估活动。

1.0.3 物业服务费用测算评估应当独立、客观、公正、真实。1.0.4 物业服务费用测算评估应当符合国家、北京市现行有关标准、规范的规定和本规范的规定。术 语

2.0.1 物业服务费用

是指物业服务企业按照物业服务合同的约定，对房屋及配套的设施设备和相关场地进行维修、养护、管理，维护相关区域内的环境卫生和秩序，向业主所收取的费用。2.0.2 物业服务费用测算评估

依据《北京市物业管理办法》、相关法律法规的规定和合同约定，根据评估目的，遵循评估原则，按照评估程序和评估方法，在综合分析影响物业服务费用价格因素的基础上，对物业服务费用在评估时点的客观合理价格进行估算和判定的活动。

2.0.3 评估项目

一个需要评估物业服务费用的具体物业项目。2.0.4 评估目的

评估结果的期望用途。2.0.5 评估时点

评估结果对应的日期。2.0.6 物业服务费用客观合理价格

某种评估目的特定条件下形成的正常物业服务费用价格。2.0.7 同类参考项目

在物业类型、规模、物业服务等级等方面与评估项目相同或相近的已入住物业项目。2.0.8 市场比较法

将评估项目与同类参考项目的类似物业服务标准进行比较，对这些类似物业服务费用的已知价格作适当的修正，以此估算评估项目的物业服务费用客观合理价格的方法。2.0.9 运营成本法

根据物业服务企业为评估项目提供物业服务的正常运营成本和合理利润或管理酬金，以此估算评估项目在评估时点的物业服务费用客观合理价格的方法。2.0.10 评估结果

关于评估项目的物业服务费用客观合理价格的最终结论。2.0.11 评估报告

全面、公正、客观、准确地记述评估过程和评估成果的文件，给委托方的书面答复，关于评估项目在评估时点的物业服务费用测算后的客观合理价格研究报告。评估原则

3.0.1 物业服务费用评估应遵循下列原则：

1.委托人确定评估项目物业服务标准原则； 2.合法原则； 3.评估时点原则。

3.0.2 遵循由委托人确定评估项目物业服务标准原则，物业服务费用评估以委托人选择确定的评估项目物业服务事项和标准为前提。

3.0.3 遵循合法原则，委托人在选择确定评估项目的物业服务事项和标准时，评估人员在进行评估时，都应以符合相关法律、法规的规定为前提。

3.0.4 遵循评估时点原则，评估结果应当是评估项目在确定的评估时点测算的物业服务费用客观合理价格。评估程序

4.0.1 自接受评估委托至完成评估报告期间，物业服务费用评估应按下列程序进行：

1.接受委托，签订委托协议； 2.明确评估基本事项； 3.拟定评估作业方案；

4.搜集整理同类参考项目资料；

5.实地查勘评估项目，搜集整理项目资料； 6.参考当期公布的物业服务成本价格； 7.评估人员进行评估，确定评估结果； 8.撰写评估报告； 9.评估资料归档。4.0.2 明确评估基本事项：

1.评估目的；

2.物业项目服务事项和标准； 3.明确评估时点。

4.0.3 评估作业方案应当包括下列内容：

1.评估人员的组成和产生方式； 2.拟参考同类项目的资料及其来源渠道； 3.拟搜集整理评估项目的资料及其来源渠道； 4.拟定作业步骤和作业进度。

4.0.4 委托人和评估机构搜集整理的评估项目资料应包括下列内容：

1.项目立项批复、建设工程规划意见书、相关竣工验收及备案文件资料；

2.项目物业管理区域划分说明；

3.项目物业共用部位、共用设施设备清单； 4．项目物业服务项目和等级标准；

5.其他评估需要的材料。

4.0.5 物业服务评估监理机构完成并出具评估报告后，应对有关该评估项目的一切必要资料进行整理、归档和妥善保管。评估方法

5.0.1 在委托人提供项目资料并选择确定项目物业服务标准，评估机构核实委托人提供的项目资料后，评估人员运用运营成本法为主导、市场比较法为参考，对评估项目的物业服务费用进行评估。

5.0.2 评估人员可以参考当期公布的物业服务成本价格，分项评估物业服务成本或者物业服务支出的构成单项，物业服务成本或者物业服务支出包括以下内容：

1.管理服务人员的工资、社会保险和按规定提取的福利费等；

2.物业共用部位、共用设施设备的日常运行、维护费用； 3.物业管理区域清洁卫生费用； 4.物业管理区域绿化养护费用； 5.物业管理区域秩序维护费用； 6.办公费用；

7.物业服务企业固定资产折旧；

8.物业共用部位、共用设施设备及公众责任保险费用； 9.经业主同意的其它费用。

5.0.3 评估人员汇总物业服务成本或者物业服务支出的构成单

项评估数据，根据物业服务行业合理利润或酬金范围计算出评估项目的物业服务费用评估结果。评估报告

6.0.1 评估报告应包括下列内容：

1．评估报告书摘要； 2．评估目的； 3．评估对象和范围； 4．评估原则； 5．评估依据； 6．评估声明；

7．评估基准日和有效期； 8．评估方法； 9．评估工作实施过程； 10．评估结论及争议说明； 11．评估限定条件； 12．评估人员名单； 13．评估作业日期； 14．评估报告日期； 15．相关评估文件附件。

6.0.2 评估报告应由评估人员签章确认并加盖评估监理机构印章。

6.0.3 评估时点以提交报告之日为基准日。职业道德

7.0.1 评估人员和评估机构不得作任何虚伪的评估，应做到公正、客观、诚实。

7.0.2 评估人员和评估机构应保持评估的独立性，必须回避与自己、亲属及其他有利害关系人有关的评估业务。

7.0.3 评估人员和评估机构若感到自己的专业能力所限而难以对某项目物业承接查验进行评估时，不应接受该项评估委托。7.0.4 评估人员和评估机构应妥善保管委托方的文件资料，未经委托方的书面许可，不得将委托方的文件资料擅自公开或泄漏给他人。

7.0.5 评估人员和评估机构不得允许他人使用自己的名义从事评估业务，不得以评估者身份在非自己评估的评估报告上签名、盖章。

附件：规范用词用语说明

1.为便于在执行本规范条文时区别对待，对要求严格程度不同的用词说明如下：

（1）表示很严格，非这样做不可的用词： 正面词采用“必须”，反面词采用“严禁”。（2）表示严格，在正常情况下均应这样做的用词： 正面词采用“应当”、“应该”，反面词采用“不应当”、“不应该”或 “不得”。

（3）表示允许稍有选择，在条件许可时首先应这样做的用

词：

正面词采用“宜”，反面词采用“不宜”；

表示有选择，在一定条件下可以这样做的，采用“可”。2.规范中指定应当按照其他有关标准、规范执行时，写法为：

“应当符合……的规定”或“应当按照……执行”。

附件3：

北京市物业服务质量评估规范（试行）

目 录 总 则……………………………………………………..2 2 术 语………………………………………………………2 3 评估原则…………………………………………………..3 4 评估程序……………………………………………………3 5 评估依据……………………………………………………5 6 评估报告…………………………………………………..5 7 职业道德…………………………………………………..6 附录：规范用词用语说明……………………………………6 总 则

1.0.1 为了规范物业服务质量评估行为，统一评估程序和标准，做到评估结果客观、公正、真实，根据《北京市物业管理办法》、《北京市物业服务第三方评估监理管理办法》等法律、法规的有关规定，制定本规范。

1.0.2 本规范适用于北京市行政区域内进行的物业服务质量评估活动。

1.0.3 物业服务质量评估应当独立、客观、公正、真实。1.0.4 物业服务质量评估应当符合国家、北京市现行有关标准、规范的规定和本规范的规定。术 语

2.0.1 物业服务质量

物业服务企业应当按照物业服务合同和本市规定的服务标准、技术规范等提供质价相符的服务。2.0.2 物业服务质量评估

评估人员按照相关法律、法规规定、物业服务等级标准和《物业服务合同》约定的内容，遵循评估原则，按照评估程序，对物业服务质量水平在评估时点的客观判定的活动。2.0.3 评估项目

一个需要评估物业服务质量的具体物业项目。2.0.4 评估目的

评估结果的期望用途。2.0.5 评估时点

评估结果对应的日期。2.0.6 评估结果

关于评估项目物业服务质量客观水平的最终结论。2.0.7 评估报告

全面、公正、客观、准确地记述评估过程和评估成果的文件，给委托方的书面答复，关于评估项目在评估时点的物业服务质量客观水平的研究报告。评估原则

3.0.1 物业服务质量评估应遵循下列原则：

1.合法原则； 2.评估时点原则。

3.0.2 遵循合法原则，评估人员在进行评估时，应以符合相关法规的规定为前提。

3.0.3 遵循评估时点原则，要求评估结果应是评估项目在评估时点的物业服务质量客观水平。评估程序

4.0.1 自接受评估委托至完成评估报告期间，物业服务质量评估应按下列程序进行：

1.明确评估基本事项；

2.搜集整理项目资料； 3.拟定评估作业方案；

4.评估人员到项目现场进行考评； 5.评估人员进行评估，确定评估结果； 6.撰写评估报告； 7.评估资料归档。

4.0.2 明确评估基本事项主要应包括下列内容：

1.明确评估目的； 2.明确评估时点； 3.明确评估内容。

4.0.3 委托人和评估机构搜集整理评估项目资料应包括下列内容：

1.《物业服务合同》、《（临时）管理规约》； 2.项目物业区域划分意见书；

3.项目物业共用部位、共用设施设备情况； 4.其他涉及评估事项的项目资料。

4.0.4 在明确评估基本事项、搜集整理评估项目资料的基础上，应对评估项目进行初步分析，拟定评估作业方案。

评估作业方案主要应包括下列内容： 1.评估人员的组成和产生方式； 2.拟采用的评估方法； 3.拟定作业步骤和作业进度。

4.0.5 评估人员到项目现场进行考评，根据《物业服务合同》的约定和本市规定的服务等级标准、技术规范分模块进行初步评分。

4.0.6 评估人员到项目现场进行考评后，物业服务企业可以对物业服务中存在的问题进行自述和答辩。

4.0.7 完成并出具评估报告后，评估人员应当对有关该评估项目的一切必要资料进行整理、归档和妥善保管。评估依据

评估人员应根据《物业服务合同》的约定和本市规定的服务标准、技术规范进行物业服务质量评估。评估报告

6.0.1 评估报告应包括下列内容：

1．评估报告书摘要； 2．评估目的； 3．评估对象和范围； 4．评估原则； 5．评估依据； 6．评估声明；

7．评估基准日和有效期； 8．评估方法； 9．评估工作实施过程；

10．评估结论及争议说明； 11．评估限定条件； 12．评估人员名单； 13．评估作业日期； 14．评估报告日期； 15．相关评估文件附件。

6.0.2 评估报告应由评估人员签章确认并加盖评估监理机构印章。

6.0.3 评估时点以提交报告之日为基准日。职业道德

7.0.1 评估人员和评估机构不得作任何虚伪的评估，应做到公正、客观、诚实。

7.0.2 评估人员和评估机构应保持评估的独立性，必须回避与自己、亲属及其他有利害关系人有关的评估业务。

7.0.3 评估人员和评估机构若感到自己的专业能力所限而难以对某项目物业服务质量进行评估时，不应接受该项评估委托。7.0.4 评估人员和评估机构应妥善保管委托方的文件资料，未经委托方的书面许可，不得将委托方的文件资料擅自公开或泄漏给他人。

7.0.5 评估人员和评估机构不得允许他人使用自己的名义从事评估业务，不得以评估者身份在非自己评估的评估报告上签名、盖章。

附件：规范用词用语说明

1.为便于在执行本规范条文时区别对待，对要求严格程度不同的用词说明如下：

（1）表示很严格，非这样做不可的用词： 正面词采用“必须”，反面词采用“严禁”。（2）表示严格，在正常情况下均应这样做的用词： 正面词采用“应”，反面词采用“不应”或“不得”。（3）表示允许稍有选择，在条件许可时首先应这样做的用词：

正面词采用“宜”，反面词采用“不宜”；