等級保護測評項目質量監督管理制度
等級保護測評項目質量監督管理制度
一、目的
為有效保障等級保護測評中心的測評質量,防止發生質量異常,提升效率,確保質量滿足客戶需求,特制定本制度。
二、職責
等級保護測評中心的測評質量監督管理納入公司總體質量管理體系,由公司法人代表授權的等保測評質量主管組織質量部對測評的質量進行控制:
質量主管:
1)全面領導等保測評中心的質量管理工作,監督執行有關等保測評中心須遵循的各種政策、法律法規,并傳達法律法規對測評工作的重要性;
2)確保質量部開展工作所需的各種資源;
3)審批質量部發展的中長期計劃和年度計劃;
4)主持重大質量問題的申訴,對等保測評中心的質量和質量管理工作全面負責;
5)質量手冊(方針、目標等)的發布者;
6)負責貫徹執行等保測評中心應遵循的各種法律、法規及標準;
7)負責主持制定質量方針、質量目標,并確保質量管理體系得以完善和有效運行;
8)主持質量管理體系的策劃、建立,并完善實現等保測評中心質量方針、質量目標所必須的組織機構,確保質量部各類人員的職責和權限得到規定與溝通;
9)主持管理評審和質量工作會,定期向等保測評中心主任匯報質量體系運行情況,提出改進的建議;
10)負責質量問題和質量事故的申訴處理以及質量獎懲工作,簽發質量管理體系程序文件和質量規章制度文件;
11)制訂質量部發展的中長期計劃和年度計劃,注重計劃的準確性、可操作性,把質量工作計劃納入年度計劃;
12)負責組織對《等級測評報告》進行評估活動,并批準簽發《等級測評報告》;
13)根據等保測評項目的論證簽訂等級保護測評合同,并批準等級保護測評總體計劃;
14)調研分析對設備供應單位質量保證能力,確定供應設備能滿足工作需要;
15)落實質量部的保密制度和保密防范措施,對人員的安全保密培訓情況;
16)負責與質量體系有關事宜的外部聯絡。
質量部
1)履行企業法人代表賦予的職責;
2)貫徹執行等保測評中心應遵循的各種法律、法規及標準;
3)貫徹、執行質量方針、質量目標;
4)主持等級保護測評項目的論證,組織《等級測評方案》的評審;
5)管理并監督等級保護測評中心測評人員按國家有關保密規定保守相關秘密;
6)統籌安排等保測評中心資源,確保每項測評工作順利完成;
7)制定等級保護測評中心測評人員技術培訓計劃,確保計劃能與預期的任務相適應;
8)確保等保測評中心專用設備的準確度,指定專人負責設備運輸、存放、使用、維護的管理;
9)負責組織設備的驗收、入庫、保管、標識工作;
10)在技術上負責系統測評的正確性,負責審核等保測評中心《等級測評報告》,并可以受測評中心主任委托批準《等級測評報告》。
三、工作程序
1、測評中心開展的等級保護測評項目,嚴格按照《質量管理體系文件》要求和國家《信息系統安全等級保護測評過程指南》和《信息系統安全等級保護測評要求
》等規范本件進行,嚴格遵循ISO9001:2000質量管理體系規范管理。
2、對測評的質量評價采用優秀、良好、一般、差四級評定,見下表。
質量要素
優秀
良好
一般
差
進度(非測評組長可控因素除外)
按時完成。
未按時完成,進度變更控制良好,延期在計劃工期的10%之內。
未按時完成,延期在計劃工期的25%內。
未按時完成,進度變更控制差,延期計劃工期的25%以上。
測評成果
及時提交完備的測評成果,文檔材料規范。
及時提交關鍵的測評成果,文檔材料規范,得到質量主管認可。
提交關鍵的測評成果,延期不超過2天,文檔材料不規范,但基本得到質量主管認可。
拖延提交測評成果超過一周,文檔材料嚴重不規范,缺少關鍵內容。
用戶反饋
《工作確認單》,表明服務規范,用戶滿意。
《工作確認單》表明服務流程完成,用戶認可。
《工作確認單》,或用戶主動反映現場測評存在缺陷,經核查屬實。
《工作確認單》,或測評客戶投訴,后果對測評產生嚴重影響,經核查屬實。
3、質量評定的方法
質量主管根據上述三項服務考察要素的質量評定結果,綜合評定測評的質量等級。評定方式原則上取三個考察要素獲得的等級最低的為綜合質量評定結果。舉例:如果進度等級為優,測評成果等級為良,用戶反饋等級為優,則綜合質量等級為良。
4、質量改進
質量評價后,對存在的不合格或潛在的不合格,質量主管將向測評組長提交《測評質量審核報告》,測評組長對報告上的不合格項或潛在的不合格項進行確認,測評組長填寫《糾正預防措施報告》,采取相應的糾正和預防措施,質量主管根據《糾正預防措施報告》上的整改時間,進行跟蹤驗證改進措施的效果,直到合格為止。
四、等保測評質量管理體系
1.總要求:
1.1依據ISO
9001:2000質量管理體系的要求,對測評中心等級保護測評項目的測評過程進行控制,表明本中心有能力穩定地提供滿足被測評單位的測評要求,并通過對質量管理體系的有效運用,包括持續改進和糾正預防不合格的發生而保證測評質量。
1.2實施質量管理體系,測評中心做到:
測評中心質量管理體系所需過程主要有:客戶服務體系的建立、測評設備的管理、測評活動的開展、驗收評審、文檔管理等過程,并對各過程進行監視、測量和控制管理,測評項目的質量控制有關過程參見“質量管理體系過程圖”見附件;
在“質量管理體系過程圖”中可看到測評過程的順序及相互的關聯;
質量主管通過質量目標的測量和監控對質量管理體系的各過程進行監控和管理,并分析過程的有效性。技術主管決定所需要的技術標準及方法,以確保等保測評的相關過程可達到有效作業及控制。
各部門按要求確保所需要的資訊容易獲取,從而支持測評過程的實施及監控;
通過質量方針、質量目標及各部門的分解目標的達成狀況,測量、監控及分析這些過程,并且執行所需要的測量、監視活動,以證實這些過程的成果及今后的持續改進;
質量部依照ISO9001:2000標準和等級保護測評相關法規、技術標準的要求管理這些過程,組織進行持續改進。
2.文件要求:
2.1各部門按國家/國際標準要求實施相關文件要求,并作好相關質量記錄。
2.2質量管理體系的范圍:測評中心按等級保護測評相關法規和技術標準的要求進行等級保護測評服務。包括ISO9001:2000質量管理體系的全過程、全要素。
2.3文件控制:測評過程中產生的各類文檔和記錄應指定管理部按質量管理體系的要求加以管理控制。質量體系文件的架構見“質量體系文件架構圖”,并建立文件目錄。每一份規范化程序文件的制定包括以下內容:
測評過程產生的各類文件和記錄定稿前得到測評中心主任審批,確保其適宜性、充分性;
質量管理體系文件在每年的管理評審時進行適宜性、有效性評審,確定是否需要更新,體系文件更新后要重新進行審核,并再次批準;
文件的版本、修訂狀態在文件中有標識,文件更改標識體現在修訂狀態上,文件更改按《文檔管理制度》進行;
確保使用場所具有適宜版本的有效文件,便于使用;
確保文件保持清晰、完好,易于閱讀、識別、調閱及追溯;
確保外來文件原稿已作標識,并控制其分發;特別關注國家、行業的標準和管理文件的最新版本的收集和管理、發放;
預防作廢文件被誤用,假如因任何目的需保存以備用時,則應作出適當鑒別(加蓋作廢章、保留章),并加以控制。
3.記錄控制:
3.1測評中心各部門執行《等級保護測評項目質量監督管理制度》對質量管理體系所需的質量記錄予以控制,并保持、維護有效的質量記錄,以證明符合各項要求及質量管理體系得到有效運行。
3.2測評中心建立的《等級保護測評項目質量監督管理制度》規定了質量記錄的鑒別、儲存、調閱、保護、保存期限及作廢處理辦法和程序。
4.測評過程的質量監督管理:
測評中心測評部負責對等保測評項目的被測系統的詳細情況進行分析,為實施測評做好文檔及測試工具,從而完成測評項目的測評準備過程活動;進入測評實施過程活動后測評部部負責開發與被測信息系統相適應的測評內容及實施方法,為測評實施提供最基本的文檔和指導方案;在測評實施過程活動中,按照測評方案的總體要求,分步實施所有測評項目,包括單項測評和系統整體測評兩個方面,以了解系統的真實保護情況,獲取足夠證據,發現系統存在的安全問題;最后進入分析與報告編制過程,綜合評價被測信息系統保護狀況,并形成測評報告文本。整個測評活動應與質量管理體系的其他要求相一致,質量部需同步對測評活動的以下各項目進行監督管理:
4.1根據被測評單位要求/相關的質檢規范、國標、法律法規要求,技術工程部確定有關工程的質量目標及要求;
4.2市場部接到客戶的等級保護測評需求,將信息傳遞到測評部、管理部,
測評部編制《項目計劃書》,全面滿足被測評單位要求。具體的過程和相互關系參見《質量管理體系過程圖》中的描述;
4.3根據等級保護測評相關法規和技術標準的要求針對測評過程,策劃并實施各項驗證、確認、訪談、檢驗等測評活動,留下相關的記錄。
4.4對各項測評過程及測評驗收提供所需的記錄,規劃結果必須以測評報告的形式輸出。
4.5對測評活中輸入輸入的各類作業指導書、記錄表單、報告及選取的測評設備必須進行評審,確保其準確和穩定。并做相應的驗證及分析。
輸入包括:功能和性能的要求;適用的法律法規要求;成熟的作業指導書;
對所有的輸入進行評審:確保輸入是充分的,適宜的,要求不可自相矛盾,完整,清楚;
保證測評活動中的各類輸出記錄的完整性和準確性;
質量部針對測評輸入進行驗證,并在放行前得到測評中心主任和被測評單位批準;
質量部針對測評輸出(如測評記錄和測評報告)進行評審,并由測評中心主任審批后方可提交客戶;
質量部對選取的測評設備進行校驗,確保設備的可靠性和檢測數據準確性;
五、系統集成建設和服務提供的控制
測評中心依通過以下方式來對測評過程進行質量控制:
1.測評部提供可以說明測評有關特性的信息(測評方案、項目計劃書等),對測評的重要節點進行重點控制;
2.向現場測評活動提供各類作業指導書,給出更為詳細的測評規范和方法,指導現場測評;
3.測評部選取測評活動所需要的測評設備種類及數量,并對測評設備進行適宜的維護,確保設備的運行能力。
4.在現場測評過程中,質量部對測評設備的運行以及測評輸出的數據進行監督管理,確保在現場測評過程中不斷的測量及監控測評設備檢測過程的變化,為調整和修正這些變化提供保證;
5.對測評的重要特性形成的過程執行監控和測量活動,通過對現場測評師,測評設備,測評方法都進行監控,保證測評質量滿足要求;
6.測評部按照預先與被測評單位商定的驗收時間,執行規定的測評結果交付活動;未通過質量部評審合格或不滿足測評要求的測評項目不得放行。
7.被測評單位資產:測評過程中有被測評單位提供的場地、終端設備、用戶的知識產權的保護,包括系統需求、圖樣等都是客戶資產,進場前與客戶進行驗證確認,明確其狀態,并在現場測評活動中加以保護,發生損壞及時向客戶報告,必要時予以修復或賠償。
六、測評設備的質量管理
測評中心管理部負責維護、保養測評中心現有測評設備,建立《測評設備清單》,《編制保養計劃》,《設備履歷卡》,《維修記錄》,確保測評設備的運行正常、測評數據準確。測評部協助管理部對測評設備進行日常保養,包括測設備的版本升級、校對和維修。當發現測評設備不符合要求時,對以往的測量結果進行有效性的評價和記錄,對該設備和任何受影響的測評項目采取補救措施。校準和驗證結果的記錄應予以保持。
質量部對測評設備的日常保養進行監督管理,對各項文檔記錄進行審核后由管理部存檔。
七、質量方針和質量總目標
1.質量方針:技術先進、誠信服務、用戶至上。
2.質量總目標:
等級保護測評方案評審一次成功;
測評質量目標:等級保護測評報告評審一次成功;
顧客滿意率:≥95%。
等級保護測評報告準時交付率:≥80%。
3.宣貫方式:通過會議、質量手冊、培訓等方式確保傳遞到測評中心的每一位員工,總質量目標分解到各部門。
4.質量目標分解
管理部:培訓計劃完成率98%;文件資料管理失誤次數每年度小于3次。
市場部:客戶服務體系完成98%;合同評審率100%。
研究部:測評方案、作業指導書研究完成100%。
測評部:測評方案一次成功;測評報告一次成功;測評過程各節點質量控制100%符合等保測評技術標準;準時交付率80%;客戶滿意度95%。
質量部:質量管理體系完成100%;測評項目質量監督完成100%。
八、質量文件的修訂
測評中心測評項目質量監督管理制度依據ISO9001:2000質量管理體系的要求,結合等級保護測評相關法規和技術標準編制而成。測評中心質量部每年年底前至少重新校正一次,并參照以往質量管理實際情況檢查各項標準及規范的合理性,進行修訂。
質量管理體系產品實現的過程圖
市場部
測評部
質量部
測評部
質量部
管理部
質量部
客戶要求
測評設計
驗證
輸出
輸入
評審
確認
編寫測評方案
前期調查
作業指導書
測評設備的選用
方案評審
客戶確認
測評計劃
作業指導書
設備校對
現場測評
報告評審
編寫測評報告
滿意度衡量及售后服務
Y客戶N
顧客抱怨
原因分析,糾正措施,預防不合規的再發生,質量改進活動
改進措施實施的驗證,結果確認,PDCA
