等級保護(hù)測評項(xiàng)目質(zhì)量監(jiān)督管理制度

1、等級保護(hù)測評項(xiàng)目質(zhì)量監(jiān)督管理制度一、 目的為有效保障等級保護(hù)測評中心的測評質(zhì)量，防止發(fā)生質(zhì)量異常，提升效率，確保質(zhì)量滿足客戶需求，特制定本制度。二、 職責(zé)等級保護(hù)測評中心的測評質(zhì)量監(jiān)督管理納入公司總體質(zhì)量管理體系，由公司法人代表授權(quán)的等保測評質(zhì)量主管組織質(zhì)量部對測評的質(zhì)量進(jìn)行控制： 質(zhì)量主管：1） 全面領(lǐng)導(dǎo)等保測評中心的質(zhì)量管理工作，監(jiān)督執(zhí)行有關(guān)等保測評中心須遵循的各種政策、法律法規(guī)，并傳達(dá)法律法規(guī)對測評工作的重要性；2） 確保質(zhì)量部開展工作所需的各種資源；3） 審批質(zhì)量部發(fā)展的中長期計(jì)劃和年度計(jì)劃；4） 主持重大質(zhì)量問題的申訴，對等保測評中心的質(zhì)量和質(zhì)量管理工作全面負(fù)責(zé)；5） 質(zhì)量手冊（方針

2、、目標(biāo)等）的發(fā)布者；6） 負(fù)責(zé)貫徹執(zhí)行等保測評中心應(yīng)遵循的各種法律、法規(guī)及標(biāo)準(zhǔn)；7） 負(fù)責(zé)主持制定質(zhì)量方針、質(zhì)量目標(biāo)，并確保質(zhì)量管理體系得以完善和有效運(yùn)行； 8） 主持質(zhì)量管理體系的策劃、建立，并完善實(shí)現(xiàn)等保測評中心質(zhì)量方針、質(zhì)量目標(biāo)所必須的組織機(jī)構(gòu)，確保質(zhì)量部各類人員的職責(zé)和權(quán)限得到規(guī)定與溝通；9） 主持管理評審和質(zhì)量工作會，定期向等保測評中心主任匯報(bào)質(zhì)量體系運(yùn)行情況，提出改進(jìn)的建議；10） 負(fù)責(zé)質(zhì)量問題和質(zhì)量事故的申訴處理以及質(zhì)量獎(jiǎng)懲工作，簽發(fā)質(zhì)量管理體系程序文件和質(zhì)量規(guī)章制度文件；11） 制訂質(zhì)量部發(fā)展的中長期計(jì)劃和年度計(jì)劃，注重計(jì)劃的準(zhǔn)確性、可操作性，把質(zhì)量工作計(jì)劃納入年度計(jì)劃；12）

3、 負(fù)責(zé)組織對等級測評報(bào)告進(jìn)行評估活動(dòng)，并批準(zhǔn)簽發(fā)等級測評報(bào)告；13） 根據(jù)等保測評項(xiàng)目的論證簽訂等級保護(hù)測評合同，并批準(zhǔn)等級保護(hù)測評總體計(jì)劃；14） 調(diào)研分析對設(shè)備供應(yīng)單位質(zhì)量保證能力，確定供應(yīng)設(shè)備能滿足工作需要；15） 落實(shí)質(zhì)量部的保密制度和保密防范措施，對人員的安全保密培訓(xùn)情況；16） 負(fù)責(zé)與質(zhì)量體系有關(guān)事宜的外部聯(lián)絡(luò)。 質(zhì)量部1） 履行企業(yè)法人代表賦予的職責(zé)；2） 貫徹執(zhí)行等保測評中心應(yīng)遵循的各種法律、法規(guī)及標(biāo)準(zhǔn)；3） 貫徹、執(zhí)行質(zhì)量方針、質(zhì)量目標(biāo)；4） 主持等級保護(hù)測評項(xiàng)目的論證，組織等級測評方案的評審；5） 管理并監(jiān)督等級保護(hù)測評中心測評人員按國家有關(guān)保密規(guī)定保守相關(guān)秘密；6） 統(tǒng)籌

4、安排等保測評中心資源，確保每項(xiàng)測評工作順利完成；7） 制定等級保護(hù)測評中心測評人員技術(shù)培訓(xùn)計(jì)劃，確保計(jì)劃能與預(yù)期的任務(wù)相適應(yīng)；8） 確保等保測評中心專用設(shè)備的準(zhǔn)確度，指定專人負(fù)責(zé)設(shè)備運(yùn)輸、存放、使用、維護(hù)的管理；9） 負(fù)責(zé)組織設(shè)備的驗(yàn)收、入庫、保管、標(biāo)識工作；10） 在技術(shù)上負(fù)責(zé)系統(tǒng)測評的正確性，負(fù)責(zé)審核等保測評中心等級測評報(bào)告，并可以受測評中心主任委托批準(zhǔn)等級測評報(bào)告。三、 工作程序1、測評中心開展的等級保護(hù)測評項(xiàng)目，嚴(yán)格按照質(zhì)量管理體系文件要求和國家信息系統(tǒng)安全等級保護(hù)測評過程指南和信息系統(tǒng)安全等級保護(hù)測評要求 等規(guī)范文件進(jìn)行，嚴(yán)格遵循ISO9001：2000質(zhì)量管理體系規(guī)范管理。2、對測

5、評的質(zhì)量評價(jià)采用優(yōu)秀、良好、一般、差四級評定，見下表。質(zhì)量要素優(yōu)秀良好一般差進(jìn)度（非測評組長可控因素除外）按時(shí)完成。未按時(shí)完成，進(jìn)度變更控制良好，延期在計(jì)劃工期的10之內(nèi)。未按時(shí)完成，延期在計(jì)劃工期的25內(nèi)。未按時(shí)完成，進(jìn)度變更控制差，延期計(jì)劃工期的25以上。測評成果及時(shí)提交完備的測評成果，文檔材料規(guī)范。及時(shí)提交關(guān)鍵的測評成果，文檔材料規(guī)范，得到質(zhì)量主管認(rèn)可。提交關(guān)鍵的測評成果，延期不超過2天，文檔材料不規(guī)范，但基本得到質(zhì)量主管認(rèn)可。拖延提交測評成果超過一周，文檔材料嚴(yán)重不規(guī)范，缺少關(guān)鍵內(nèi)容。用戶反饋工作確認(rèn)單，表明服務(wù)規(guī)范，用戶滿意。工作確認(rèn)單表明服務(wù)流程完成，用戶認(rèn)可。工作確認(rèn)單，或用戶主

6、動(dòng)反映現(xiàn)場測評存在缺陷，經(jīng)核查屬實(shí)。工作確認(rèn)單，或測評客戶投訴，后果對測評產(chǎn)生嚴(yán)重影響，經(jīng)核查屬實(shí)。3、質(zhì)量評定的方法質(zhì)量主管根據(jù)上述三項(xiàng)服務(wù)考察要素的質(zhì)量評定結(jié)果，綜合評定測評的質(zhì)量等級。評定方式原則上取三個(gè)考察要素獲得的等級最低的為綜合質(zhì)量評定結(jié)果。舉例：如果進(jìn)度等級為優(yōu)，測評成果等級為良，用戶反饋等級為優(yōu)，則綜合質(zhì)量等級為良。4、質(zhì)量改進(jìn)質(zhì)量評價(jià)后，對存在的不合格或潛在的不合格，質(zhì)量主管將向測評組長提交測評質(zhì)量審核報(bào)告，測評組長對報(bào)告上的不合格項(xiàng)或潛在的不合格項(xiàng)進(jìn)行確認(rèn)，測評組長填寫糾正預(yù)防措施報(bào)告，采取相應(yīng)的糾正和預(yù)防措施，質(zhì)量主管根據(jù)糾正預(yù)防措施報(bào)告上的整改時(shí)間，進(jìn)行跟蹤驗(yàn)證改進(jìn)措施

7、的效果，直到合格為止。四、 等保測評質(zhì)量管理體系1. 總要求：1.1 依據(jù)ISO 9001:2000質(zhì)量管理體系的要求，對測評中心等級保護(hù)測評項(xiàng)目的測評過程進(jìn)行控制，表明本中心有能力穩(wěn)定地提供滿足被測評單位的測評要求，并通過對質(zhì)量管理體系的有效運(yùn)用，包括持續(xù)改進(jìn)和糾正預(yù)防不合格的發(fā)生而保證測評質(zhì)量。1.2 實(shí)施質(zhì)量管理體系，測評中心做到： 測評中心質(zhì)量管理體系所需過程主要有：客戶服務(wù)體系的建立、測評設(shè)備的管理、測評活動(dòng)的開展、驗(yàn)收評審、文檔管理等過程，并對各過程進(jìn)行監(jiān)視、測量和控制管理，測評項(xiàng)目的質(zhì)量控制有關(guān)過程參見“質(zhì)量管理體系過程圖” 見附件； 在“質(zhì)量管理體系過程圖”中可看到測評過程的順

8、序及相互的關(guān)聯(lián)； 質(zhì)量主管通過質(zhì)量目標(biāo)的測量和監(jiān)控對質(zhì)量管理體系的各過程進(jìn)行監(jiān)控和管理，并分析過程的有效性。技術(shù)主管決定所需要的技術(shù)標(biāo)準(zhǔn)及方法，以確保等保測評的相關(guān)過程可達(dá)到有效作業(yè)及控制。 各部門按要求確保所需要的資訊容易獲取，從而支持測評過程的實(shí)施及監(jiān)控； 通過質(zhì)量方針、質(zhì)量目標(biāo)及各部門的分解目標(biāo)的達(dá)成狀況，測量、監(jiān)控及分析這些過程，并且執(zhí)行所需要的測量、監(jiān)視活動(dòng)，以證實(shí)這些過程的成果及今后的持續(xù)改進(jìn)； 質(zhì)量部依照ISO9001:2000標(biāo)準(zhǔn)和等級保護(hù)測評相關(guān)法規(guī)、技術(shù)標(biāo)準(zhǔn)的要求管理這些過程，組織進(jìn)行持續(xù)改進(jìn)。 2. 文件要求：2.1 各部門按國家/國際標(biāo)準(zhǔn)要求實(shí)施相關(guān)文件要求，并作好相關(guān)

9、質(zhì)量記錄。2.2 質(zhì)量管理體系的范圍：測評中心按等級保護(hù)測評相關(guān)法規(guī)和技術(shù)標(biāo)準(zhǔn)的要求進(jìn)行等級保護(hù)測評服務(wù) 。包括ISO9001：2000質(zhì)量管理體系的全過程、全要素。2.3 文件控制：測評過程中產(chǎn)生的各類文檔和記錄應(yīng)指定管理部按質(zhì)量管理體系的要求加以管理控制。質(zhì)量體系文件的架構(gòu)見“質(zhì)量體系文件架構(gòu)圖”，并建立文件目錄。每一份規(guī)范化程序文件的制定包括以下內(nèi)容： 測評過程產(chǎn)生的各類文件和記錄定稿前得到測評中心主任審批，確保其適宜性、充分性； 質(zhì)量管理體系文件在每年的管理評審時(shí)進(jìn)行適宜性、有效性評審，確定是否需要更新，體系文件更新后要重新進(jìn)行審核，并再次批準(zhǔn)； 文件的版本、修訂狀態(tài)在文件中有標(biāo)識，文

10、件更改標(biāo)識體現(xiàn)在修訂狀態(tài)上，文件更改按文檔管理制度進(jìn)行； 確保使用場所具有適宜版本的有效文件，便于使用； 確保文件保持清晰、完好，易于閱讀、識別、調(diào)閱及追溯； 確保外來文件原稿已作標(biāo)識，并控制其分發(fā)；特別關(guān)注國家、行業(yè)的標(biāo)準(zhǔn)和管理文件的最新版本的收集和管理、發(fā)放； 預(yù)防作廢文件被誤用，假如因任何目的需保存以備用時(shí)，則應(yīng)作出適當(dāng)鑒別（加蓋作廢章、保留章），并加以控制。3. 記錄控制：3.1 測評中心各部門執(zhí)行等級保護(hù)測評項(xiàng)目質(zhì)量監(jiān)督管理制度對質(zhì)量管理體系所需的質(zhì)量記錄予以控制，并保持、維護(hù)有效的質(zhì)量記錄，以證明符合各項(xiàng)要求及質(zhì)量管理體系得到有效運(yùn)行。3.2 測評中心建立的等級保護(hù)測評項(xiàng)目質(zhì)量監(jiān)督

11、管理制度規(guī)定了質(zhì)量記錄的鑒別、儲存、調(diào)閱、保護(hù)、保存期限及作廢處理辦法和程序。4. 測評過程的質(zhì)量監(jiān)督管理： 測評中心測評部負(fù)責(zé)對等保測評項(xiàng)目的被測系統(tǒng)的詳細(xì)情況進(jìn)行分析，為實(shí)施測評做好文檔及測試工具，從而完成測評項(xiàng)目的測評準(zhǔn)備過程活動(dòng)；進(jìn)入測評實(shí)施過程活動(dòng)后測評部部負(fù)責(zé)開發(fā)與被測信息系統(tǒng)相適應(yīng)的測評內(nèi)容及實(shí)施方法，為測評實(shí)施提供最基本的文檔和指導(dǎo)方案；在測評實(shí)施過程活動(dòng)中，按照測評方案的總體要求，分步實(shí)施所有測評項(xiàng)目，包括單項(xiàng)測評和系統(tǒng)整體測評兩個(gè)方面，以了解系統(tǒng)的真實(shí)保護(hù)情況，獲取足夠證據(jù)，發(fā)現(xiàn)系統(tǒng)存在的安全問題；最后進(jìn)入分析與報(bào)告編制過程，綜合評價(jià)被測信息系統(tǒng)保護(hù)狀況，并形成測評報(bào)告文本

12、。整個(gè)測評活動(dòng)應(yīng)與質(zhì)量管理體系的其他要求相一致，質(zhì)量部需同步對測評活動(dòng)的以下各項(xiàng)目進(jìn)行監(jiān)督管理：4.1 根據(jù)被測評單位要求/相關(guān)的質(zhì)檢規(guī)范、國標(biāo)、法律法規(guī)要求，技術(shù)工程部確定有關(guān)工程的質(zhì)量目標(biāo)及要求；4.2 市場部接到客戶的等級保護(hù)測評需求，將信息傳遞到測評部、管理部， 測評部編制項(xiàng)目計(jì)劃書，全面滿足被測評單位要求。具體的過程和相互關(guān)系參見質(zhì)量管理體系過程圖中的描述；4.3 根據(jù)等級保護(hù)測評相關(guān)法規(guī)和技術(shù)標(biāo)準(zhǔn)的要求針對測評過程，策劃并實(shí)施各項(xiàng)驗(yàn)證、確認(rèn)、訪談、檢驗(yàn)等測評活動(dòng)，留下相關(guān)的記錄。4.4 對各項(xiàng)測評過程及測評驗(yàn)收提供所需的記錄，規(guī)劃結(jié)果必須以測評報(bào)告的形式輸出。4.5 對測評活中輸入

13、輸入的各類作業(yè)指導(dǎo)書、記錄表單、報(bào)告及選取的測評設(shè)備必須進(jìn)行評審，確保其準(zhǔn)確和穩(wěn)定。并做相應(yīng)的驗(yàn)證及分析。 輸入包括：功能和性能的要求；適用的法律法規(guī)要求；成熟的作業(yè)指導(dǎo)書； 對所有的輸入進(jìn)行評審：確保輸入是充分的，適宜的，要求不可自相矛盾，完整，清楚； 保證測評活動(dòng)中的各類輸出記錄的完整性和準(zhǔn)確性； 質(zhì)量部針對測評輸入進(jìn)行驗(yàn)證，并在放行前得到測評中心主任和被測評單位批準(zhǔn)； 質(zhì)量部針對測評輸出（如測評記錄和測評報(bào)告）進(jìn)行評審，并由測評中心主任審批后方可提交客戶； 質(zhì)量部對選取的測評設(shè)備進(jìn)行校驗(yàn)，確保設(shè)備的可靠性和檢測數(shù)據(jù)準(zhǔn)確性；五、 系統(tǒng)集成建設(shè)和服務(wù)提供的控制測評中心依通過以下方式來對測評過

14、程進(jìn)行質(zhì)量控制：1. 測評部提供可以說明測評有關(guān)特性的信息（測評方案、項(xiàng)目計(jì)劃書等），對測評的重要節(jié)點(diǎn)進(jìn)行重點(diǎn)控制；2. 向現(xiàn)場測評活動(dòng)提供各類作業(yè)指導(dǎo)書，給出更為詳細(xì)的測評規(guī)范和方法，指導(dǎo)現(xiàn)場測評；3. 測評部選取測評活動(dòng)所需要的測評設(shè)備種類及數(shù)量，并對測評設(shè)備進(jìn)行適宜的維護(hù)，確保設(shè)備的運(yùn)行能力。4. 在現(xiàn)場測評過程中，質(zhì)量部對測評設(shè)備的運(yùn)行以及測評輸出的數(shù)據(jù)進(jìn)行監(jiān)督管理，確保在現(xiàn)場測評過程中不斷的測量及監(jiān)控測評設(shè)備檢測過程的變化，為調(diào)整和修正這些變化提供保證；5. 對測評的重要特性形成的過程執(zhí)行監(jiān)控和測量活動(dòng)，通過對現(xiàn)場測評師，測評設(shè)備，測評方法都進(jìn)行監(jiān)控，保證測評質(zhì)量滿足要求；6. 測評

15、部按照預(yù)先與被測評單位商定的驗(yàn)收時(shí)間，執(zhí)行規(guī)定的測評結(jié)果交付活動(dòng)；未通過質(zhì)量部評審合格或不滿足測評要求的測評項(xiàng)目不得放行。7. 被測評單位資產(chǎn)：測評過程中有被測評單位提供的場地、終端設(shè)備、用戶的知識產(chǎn)權(quán)的保護(hù)，包括系統(tǒng)需求、圖樣等都是客戶資產(chǎn)，進(jìn)場前與客戶進(jìn)行驗(yàn)證確認(rèn)，明確其狀態(tài)，并在現(xiàn)場測評活動(dòng)中加以保護(hù)，發(fā)生損壞及時(shí)向客戶報(bào)告，必要時(shí)予以修復(fù)或賠償。六、 測評設(shè)備的質(zhì)量管理 測評中心管理部負(fù)責(zé)維護(hù)、保養(yǎng)測評中心現(xiàn)有測評設(shè)備，建立測評設(shè)備清單，編制保養(yǎng)計(jì)劃，設(shè)備履歷卡，維修記錄，確保測評設(shè)備的運(yùn)行正常、測評數(shù)據(jù)準(zhǔn)確。測評部協(xié)助管理部對測評設(shè)備進(jìn)行日常保養(yǎng)，包括測設(shè)備的版本升級、校對和維修。當(dāng)

16、發(fā)現(xiàn)測評設(shè)備不符合要求時(shí)，對以往的測量結(jié)果進(jìn)行有效性的評價(jià)和記錄，對該設(shè)備和任何受影響的測評項(xiàng)目采取補(bǔ)救措施。校準(zhǔn)和驗(yàn)證結(jié)果的記錄應(yīng)予以保持。質(zhì)量部對測評設(shè)備的日常保養(yǎng)進(jìn)行監(jiān)督管理，對各項(xiàng)文檔記錄進(jìn)行審核后由管理部存檔。七、 質(zhì)量方針和質(zhì)量總目標(biāo)1. 質(zhì)量方針：技術(shù)先進(jìn)、誠信服務(wù)、用戶至上。2. 質(zhì)量總目標(biāo)： 等級保護(hù)測評方案評審一次成功； 測評質(zhì)量目標(biāo)：等級保護(hù)測評報(bào)告評審一次成功； 顧客滿意率：95%。 等級保護(hù)測評報(bào)告準(zhǔn)時(shí)交付率：80%。3. 宣貫方式：通過會議、質(zhì)量手冊、培訓(xùn)等方式確保傳遞到測評中心的每一位員工，總質(zhì)量目標(biāo)分解到各部門。4. 質(zhì)量目標(biāo)分解 管理部：培訓(xùn)計(jì)劃完成率98%；文件資料管理失誤次數(shù)每年度小于3次。 市場部：客戶服務(wù)體系完成98%；合同評審率100%。 研究部：測評方案、作業(yè)指導(dǎo)書研究完成100%。 測評部：測評方案一次成功；測評報(bào)告一次成功；測評過程各節(jié)點(diǎn)質(zhì)量控制100%符合等保測評技術(shù)標(biāo)準(zhǔn)；準(zhǔn)時(shí)交付率80%；客戶滿意度95%。 質(zhì)量部：質(zhì)量管理體系完成100%；測評項(xiàng)目質(zhì)量監(jiān)督完成100%。八、 質(zhì)量文件的修訂測評中心測評項(xiàng)目質(zhì)量監(jiān)督管理制度依據(jù)ISO9001：2000