等級保護測評項目方案工程項目質(zhì)量監(jiān)督管理解決方法規(guī)章制度規(guī)則

1、等級保護測評項目質(zhì)量監(jiān)督管理制度11)12)13)目的為有效保障等級保護測評中心的測評質(zhì)量，防止發(fā)生質(zhì)量異常，提升效率，確保質(zhì)量 滿足客戶需求，特制定本制度。職責(zé)等級保護測評中心的測評質(zhì)量監(jiān)督管理納入公司總體質(zhì)量管理體系，由公司法人代表授權(quán)的等保測評質(zhì)量主管組織質(zhì)量部對測評的質(zhì)量進行控制:? 質(zhì)量主管:1)全面領(lǐng)導(dǎo)等保測評中心的質(zhì)量管理工作，監(jiān)督執(zhí)行有關(guān)等保測評中心須遵循的各種政策、2)法律法規(guī)，并傳達法律法規(guī)對測評工作的重要性;確保質(zhì)量部開展工作所需的各種資源；3)4)審批質(zhì)量部發(fā)展的中長期計劃和年度計劃；主持重大質(zhì)量問題的申訴，對等保測評中心的質(zhì)量和質(zhì)量管理工作全面負責(zé);5)6)質(zhì)量手冊(

2、方針、目標等)的發(fā)布者；負責(zé)貫徹執(zhí)行等保測評中心應(yīng)遵循的各種法律、法規(guī)及標準;7)8)負責(zé)主持制定質(zhì)量方針、質(zhì)量目標，并確保質(zhì)量管理體系得以完善和有效運行； 主持質(zhì)量管理體系的策劃、建立，并完善實現(xiàn)等保測評中心質(zhì)量方針、質(zhì)量目標所必須的組織機構(gòu)，確保質(zhì)量部各類人員的職責(zé)和權(quán)限得到規(guī)定與溝通;9)主持管理評審和質(zhì)量工作會，定期向等保測評中心主任匯報質(zhì)量體系運行情況,提出改進的建議;10)負責(zé)質(zhì)量問題和質(zhì)量事故的申訴處理以及質(zhì)量獎懲工作，簽發(fā)質(zhì)量管理體系程序文件和質(zhì)量規(guī)章制度文件；制訂質(zhì)量部發(fā)展的中長期計劃和年度計劃，注重計劃的準確性、可操作性，把質(zhì)量工作計劃納入年度計劃；負責(zé)組織對等級測評報告進

3、行評估活動，并批準簽發(fā)等級測評報告；根據(jù)等保測評項目的論證簽訂等級保護測評合同， 并批準等級保護測評總體計劃;14)15)1)2)3)4)5)6)7)8)9)10)16)負責(zé)與質(zhì)量體系有關(guān)事宜的外部聯(lián)絡(luò)。質(zhì)量部履行企業(yè)法人代表賦予的職責(zé)；貫徹執(zhí)行等保測評中心應(yīng)遵循的各種法律、法規(guī)及標準;貫徹、執(zhí)行質(zhì)量方針、質(zhì)量目標；主持等級保護測評項目的論證，組織等級測評方案的評審;管理并監(jiān)督等級保護測評中心測評人員按國家有關(guān)保密規(guī)定保守相關(guān)秘密;統(tǒng)籌安排等保測評中心資源，確保每項測評工作順利完成；制定等級保護測評中心測評人員技術(shù)培訓(xùn)計劃， 確保計劃能與預(yù)期的任務(wù)相適應(yīng);確保等保測評中心專用設(shè)備的準確度，指定

4、專人負責(zé)設(shè)備運輸、存放、使用、維護的管理;負責(zé)組織設(shè)備的驗收、入庫、保管、標識工作；在技術(shù)上負責(zé)系統(tǒng)測評的正確性，負責(zé)審核等保測評中心等級測評報告，并可以受測評中心主任委托批準等級測評報告。工作程序1、測評中心開展的等級保護測評項目，嚴格按照質(zhì)量管理體系文件要求和國家信 息系統(tǒng)安全等級保護測評過程指南 和信息系統(tǒng)安全等級保護測評要求 等規(guī)范文件進行,嚴格遵循IS09001: 2000質(zhì)量管理體系規(guī)范管理。2、對測評的質(zhì)量評價采用優(yōu)秀、良好、一般、差四級評定，見下表。質(zhì)量要素優(yōu)秀良好一般差進度(非測評組長可控因素除外)按時完成。未按時完成，進度變更控制良好，延 期在計劃工期的10%之內(nèi)。未按時完

5、成，延期在計劃工期的25%內(nèi)。未按時完成，進度變 更控制差，延期計劃 工期的25%以上。測評成果及時提交完備的及時提交關(guān)鍵的測提交關(guān)鍵的測評成果，延拖延提交測評成果超調(diào)研分析對設(shè)備供應(yīng)單位質(zhì)量保證能力，確定供應(yīng)設(shè)備能滿足工作需要;落實質(zhì)量部的保密制度和保密防范措施，對人員的安全保密培訓(xùn)情況;測評成果，文檔材評成果，文檔材料期不超過2天，文檔材料過一周，文檔材料嚴料規(guī)范。規(guī)范，得到質(zhì)量主不規(guī)范，但基本得到質(zhì)量重不規(guī)范，缺少關(guān)鍵管認可。主管認可。內(nèi)容。用戶反饋工作確認單，表明服務(wù)規(guī)范，用戶滿意。工作確認單表明服務(wù)流程完成，用戶認可。工作確認單，或用戶 主動反映現(xiàn)場測評存在 缺陷，經(jīng)核查屬實。工作確

6、認單，或 測評客戶投訴，后果 對測評產(chǎn)生嚴重影 響，經(jīng)核查屬實。3、質(zhì)量評定的方法質(zhì)量主管根據(jù)上述三項服務(wù)考察要素的質(zhì)量評定結(jié)果，綜合評定測評的質(zhì)量等級。評定方式原則上取三個考察要素獲得的等級最低的為綜合質(zhì)量評定結(jié)果。舉例：如果進度等級為優(yōu)，測評成果等級為良，用戶反饋等級為優(yōu)，則綜合質(zhì)量等級為良。4、質(zhì)量改進 質(zhì)量評價后，對存在的不合格或潛在的不合格，質(zhì)量主管將向測評組長提交測評質(zhì)量審核報告，測評組長對報告上的不合格項或潛在的不合格項進行確認，測評組長填寫糾正預(yù)防措施報告，采取相應(yīng)的糾正和預(yù)防措施，質(zhì)量主管根據(jù)糾正預(yù)防措施報告上的整改時間，進行跟蹤驗證改進措施的效果，直到合格為止。四、等保測評

7、質(zhì)量管理體系1.總要求:1.1依據(jù)ISO 9001:2000質(zhì)量管理體系的要求，對測評中心等級保護測評項目的測評過程進行控制，表明本中心有能力穩(wěn)定地提供滿足被測評單位的測評要求，并通過對質(zhì)量管理體系的有效運用，包括持續(xù)改進和糾正預(yù)防不合格的發(fā)生而保證測 評質(zhì)量。1.2實施質(zhì)量管理體系，測評中心做到:? 測評中心質(zhì)量管理體系所需過程主要有：客戶服務(wù)體系的建立、測評設(shè)備的管理、測評活動的開展、驗收評審、文檔管理等過程，并對各過程進行監(jiān)視、測 量和控制管理，測評項目的質(zhì)量控制有關(guān)過程參見“質(zhì)量管理體系過程圖” 見 附件;在“質(zhì)量管理體系過程圖”中可看到測評過程的順序及相互的關(guān)聯(lián);? 質(zhì)量主管通過質(zhì)量

8、目標的測量和監(jiān)控對質(zhì)量管理體系的各過程進行監(jiān)控和管理，并分析過程的有效性。技術(shù)主管決定所需要的技術(shù)標準及方法，以確保等保測評的相關(guān)過程可達到有效作業(yè)及控制。? 各部門按要求確保所需要的資訊容易獲取，從而支持測評過程的實施及監(jiān)控;通過質(zhì)量方針、質(zhì)量目標及各部門的分解目標的達成狀況，測量、 監(jiān)控及分析 這些過程，并且執(zhí)行所需要的測量、監(jiān)視活動，以證實這些過程的成果及今后的持續(xù)改進;? 質(zhì)量部依照£09001:2000標準和等級保護測評相關(guān)法規(guī)、技術(shù)標準的要求管理這些過程，組織進行持續(xù)改進。2.文件要求:2.12.2各部門按國家/國際標準要求實施相關(guān)文件要求，并作好相關(guān)質(zhì)量記錄。質(zhì)量管理體

9、系的范圍：測評中心按等級保護測評相關(guān)法規(guī)和技術(shù)標準的要求進行等級保護測評服務(wù)。包括IS09001： 2000質(zhì)量管理體系的全過程、全要素。2.3文件控制：測評過程中產(chǎn)生的各類文檔和記錄應(yīng)指定管理部按質(zhì)量管理體系的要求加以管理控制。質(zhì)量體系文件的架構(gòu)見“質(zhì)量體系文件架構(gòu)圖”，并建立文件目 錄。每一份規(guī)范化程序文件的制定包括以下內(nèi)容：測評過程產(chǎn)生的各類文件和記錄定稿前得到測評中心主任審批，確保其適宜性、充分性;? 質(zhì)量管理體系文件在每年的管理評審時進行適宜性、有效性評審，確定是否需要更新，體系文件更新后要重新進行審核，并再次批準;? 文件的版本、修訂狀態(tài)在文件中有標識，文件更改標識體現(xiàn)在修訂狀態(tài)上

10、，文件更改按文檔管理制度進行；確保使用場所具有適宜版本的有效文件，便于使用；確保文件保持清晰、完好，易于閱讀、識別、調(diào)閱及追溯;? 確保外來文件原稿已作標識，并控制其分發(fā)；特別關(guān)注國家、行業(yè)的標準和管 理文件的最新版本的收集和管理、發(fā)放；預(yù)防作廢文件被誤用，假如因任何目的需保存以備用時，則應(yīng)作出適當(dāng)鑒別（加蓋作廢章、保留章），并加以控制。3.記錄控制:3.1測評中心各部門執(zhí)行等級保護測評項目質(zhì)量監(jiān)督管理制度對質(zhì)量管理體系所需的質(zhì)量記錄予以控制，并保持、維護有效的質(zhì)量記錄，以證明符合各項要求及質(zhì)量管理體系得到有效運行。3.2測評中心建立的等級保護測評項目質(zhì)量監(jiān)督管理制度 規(guī)定了質(zhì)量記錄的鑒別、儲

11、存、調(diào)閱、保護、保存期限及作廢處理辦法和程序。4.測評過程的質(zhì)量監(jiān)督管理:測評中心測評部負責(zé)對等保測評項目的被測系統(tǒng)的詳細情況進行分析，為實施測評做好文檔及測試工具，從而完成測評項目的測評準備過程活動；進入測評實施過程活動后測評部 部負責(zé)開發(fā)與被測信息系統(tǒng)相適應(yīng)的測評內(nèi)容及實施方法，為測評實施提供最基本的文檔和指導(dǎo)方案；在測評實施過程活動中，按照測評方案的總體要求，分步實施所有測評項目，包括單項測評和系統(tǒng)整體測評兩個方面，以了解系統(tǒng)的真實保護情況，獲取足夠證據(jù)，發(fā)現(xiàn)系統(tǒng)存在的安全問題；最后進入分析與報告編制過程，綜合評價被測信息系統(tǒng)保護狀況，并形 成測評報告文本。整個測評活動應(yīng)與質(zhì)量管理體系的

12、其他要求相一致，質(zhì)量部需同步對測評活動的以下各項目進行監(jiān)督管理:4.1根據(jù)被測評單位要求/相關(guān)的質(zhì)檢規(guī)范、國標、法律法規(guī)要求，技術(shù)工程部確定有關(guān)工程的質(zhì)量目標及要求;4.2市場部接到客戶的等級保護測評需求，將信息傳遞到測評部、管理部，測評部編制項目計劃書，全面滿足被測評單位要求。具體的過程和相互關(guān)系參見質(zhì)量4.3管理體系過程圖中的描述；根據(jù)等級保護測評相關(guān)法規(guī)和技術(shù)標準的要求針對測評過程，策劃并實施各項驗4.4證、確認、訪談、檢驗等測評活動，留下相關(guān)的記錄。對各項測評過程及測評驗收提供所需的記錄，規(guī)劃結(jié)果必須以測評報告的形式輸出。4.5對測評活中輸入輸入的各類作業(yè)指導(dǎo)書、記錄表單、報告及選取的

13、測評設(shè)備必須進行評審，確保其準確和穩(wěn)定。并做相應(yīng)的驗證及分析。? 輸入包括：功能和性能的要求；適用的法律法規(guī)要求；成熟的作業(yè)指導(dǎo)書;? 對所有的輸入進行評審：確保輸入是充分的，適宜的，要求不可自相矛盾，完整，清楚；保證測評活動中的各類輸出記錄的完整性和準確性;質(zhì)量部針對測評輸入進行驗證，并在放行前得到測評中心主任和被測評單位批 準;質(zhì)量部針對測評輸出（如測評記錄和測評報告）進行評審，并由測評中心主任 審批后方可提交客戶；? 質(zhì)量部對選取的測評設(shè)備進行校驗，確保設(shè)備的可靠性和檢測數(shù)據(jù)準確性;五、系統(tǒng)集成建設(shè)和服務(wù)提供的控制1.測評中心依通過以下方式來對測評過程進行質(zhì)量控制:測評部提供可以說明測評

14、有關(guān)特性的信息（測評方案、項目計劃書等），對測評的重要2.節(jié)點進行重點控制；向現(xiàn)場測評活動提供各類作業(yè)指導(dǎo)書，給出更為詳細的測評規(guī)范和方法，指導(dǎo)現(xiàn)場測評；3.測評部選取測評活動所需要的測評設(shè)備種類及數(shù)量，并對測評設(shè)備進行適宜的維護,確保設(shè)備的運行能力。4.在現(xiàn)場測評過程中，質(zhì)量部對測評設(shè)備的運行以及測評輸出的數(shù)據(jù)進行監(jiān)督管理，確保在現(xiàn)場測評過程中不斷的測量及監(jiān)控測評設(shè)備檢測過程的變化，為調(diào)整和修正這些變化提供保證；5. 對測評的重要特性形成的過程執(zhí)行監(jiān)控和測量活動，通過對現(xiàn)場測評師，測評設(shè)備,測評方法都進行監(jiān)控，保證測評質(zhì)量滿足要求；6. 測評部按照預(yù)先與被測評單位商定的驗收時間，執(zhí)行規(guī)定的測

15、評結(jié)果交付活動；未通過質(zhì)量部評審合格或不滿足測評要求的測評項目不得放行。7.被測評單位資產(chǎn)：測評過程中有被測評單位提供的場地、終端設(shè)備、用戶的知識產(chǎn)權(quán)的保護，包括系統(tǒng)需求、圖樣等都是客戶資產(chǎn)，進場前與客戶進行驗證確認，明確其 狀態(tài)，并在現(xiàn)場測評活動中加以保護，發(fā)生損壞及時向客戶報告，必要時予以修復(fù)或賠償。八、測評設(shè)備的質(zhì)量管理測評中心管理部負責(zé)維護、保養(yǎng)測評中心現(xiàn)有測評設(shè)備，建立測評設(shè)備清單，編制保養(yǎng)計劃，設(shè)備履歷卡，維修記錄，確保測評設(shè)備的運行正常、測評數(shù)據(jù)準確。測評部協(xié)助管理部對測評設(shè)備進行日常保養(yǎng)，包括測設(shè)備的版本升級、校對和維修。當(dāng)發(fā)現(xiàn)測評設(shè)備不符合要求時，對以往的測量結(jié)果進行有效性的

16、評價和記錄，對該設(shè) 備和任何受影響的測評項目采取補救措施。校準和驗證結(jié)果的記錄應(yīng)予以保持。質(zhì)量部對測評設(shè)備的日常保養(yǎng)進行監(jiān)督管理，對各項文檔記錄進行審核后由管理部存 檔。七、質(zhì)量方針和質(zhì)量總目標1.質(zhì)量方針：技術(shù)先進、誠信服務(wù)、用戶至上。2.質(zhì)量總目標:? 等級保護測評方案評審一次成功；? 測評質(zhì)量目標：等級保護測評報告評審一次成功;? 顧客滿意率：95% ? 等級保護測評報告準時交付率：80%3.宣貫方式：通過會議、質(zhì)量手冊、培訓(xùn)等方式確保傳遞到測評中心的每一位員工，總質(zhì)量目標分解到各部門。4.質(zhì)量目標分解? 管理部：培訓(xùn)計劃完成率98%文件資料管理失誤次數(shù)每年度小于 3次。 ? 市場部：客戶服務(wù)體系完成 98%合同評審率100%研究部：測評方