等級保護測評項目管理制度

等級保護測評項目管理制度目標為有效保障等級保護測評中心測評質(zhì)量，預(yù)防發(fā)生質(zhì)量異常，提升效率，確保質(zhì)量滿足客戶需求，特制訂本制度。職責等級保護測評中心測評質(zhì)量監(jiān)督管理納入企業(yè)總體質(zhì)量管理體系，由企業(yè)法人代表授權(quán)等保測評質(zhì)量主管組織質(zhì)量部對測評質(zhì)量進行控制：質(zhì)量主管：全方面領(lǐng)導(dǎo)等保測評中心質(zhì)量管理工作，監(jiān)督執(zhí)行關(guān)于等保測評中心須遵照各種政策、法律法規(guī)，并傳達法律法規(guī)對測評工作主要性；確保質(zhì)量部開展工作所需各種資源；審批質(zhì)量部發(fā)展中長久計劃和年度計劃；主持重大質(zhì)量問題申訴，對等保測評中心質(zhì)量和質(zhì)量管理工作全方面負責；質(zhì)量手冊（方針、目標等）公布者；負責落實執(zhí)行等保測評中心應(yīng)遵照各種法律、法規(guī)及標準；負責主持制訂質(zhì)量方針、質(zhì)量目標，并確保質(zhì)量管理體系得以完善和有效運行；主持質(zhì)量管理體系策劃、建立，并完善實現(xiàn)等保測評中心質(zhì)量方針、質(zhì)量目標所必須組織機構(gòu)，確保質(zhì)量部各類人員職責和權(quán)限得到要求與溝通；主持管理評審和質(zhì)量工作會，定時向等保測評中心主任匯報質(zhì)量體系運行情況，提出改進提議；負責質(zhì)量問題和質(zhì)量事故申訴處理以及質(zhì)量獎懲工作，簽發(fā)質(zhì)量管理體系程序文件和質(zhì)量規(guī)章制度文件；制訂質(zhì)量部發(fā)展中長久計劃和年度計劃，重視計劃準確性、可操作性，把質(zhì)量工作計劃納入年度計劃；負責組織對《等級測評匯報》進行評定活動，并同意簽發(fā)《等級測評匯報》；依照等保測評項目標論證訂立等級保護測評協(xié)議，并同意等級保護測評總體計劃；調(diào)研分析對設(shè)備供給單位質(zhì)量確保能力，確定供給設(shè)備能滿足工作需要；落實質(zhì)量部保密制度和保密防范方法，對人員安全保密培訓(xùn)情況；負責與質(zhì)量體系關(guān)于事宜外部聯(lián)絡(luò)。質(zhì)量部推行企業(yè)法人代表賦予職責；落實執(zhí)行等保測評中心應(yīng)遵照各種法律、法規(guī)及標準；落實、執(zhí)行質(zhì)量方針、質(zhì)量目標；主持等級保護測評項目標論證，組織《等級測評方案》評審；管理并監(jiān)督等級保護測評中心測評人員按國家關(guān)于保密要求保守相關(guān)秘密；統(tǒng)籌安排等保測評中心資源，確保每項測評工作順利完成；制訂等級保護測評中心測評人員技術(shù)培訓(xùn)計劃，確保計劃能與預(yù)期任務(wù)相適應(yīng)；確保等保測評中心專用設(shè)備準確度，指定專員負責設(shè)備運輸、存放、使用、維護管理；負責組織設(shè)備驗收、入庫、保管、標識工作；在技術(shù)上負責系統(tǒng)測評正確性，負責審核等保測評中心《等級測評匯報》，并能夠受測評中心主任委托同意《等級測評匯報》。工作程序1、測評中心開展等級保護測評項目，嚴格按照《質(zhì)量管理體系文件》要求和國家《信息系統(tǒng)安全等級保護測評過程指南》和《信息系統(tǒng)安全等級保護測評要求》等規(guī)范文件進行，嚴格遵照ISO9001：質(zhì)量管理體系規(guī)范管理。2、對測評質(zhì)量評價采取優(yōu)異、良好、通常、差四級評定，見下表。質(zhì)量要素優(yōu)異良好通常差進度（非測評組長可控原因除外）按時完成。未按時完成，進度變更控制良好，延期在計劃工期10％之內(nèi)。未按時完成，延期在計劃工期25％內(nèi)。未按時完成，進度變更控制差，延期計劃工期25％以上。測評結(jié)果及時提交完備測評結(jié)果，文檔材料規(guī)范。及時提交關(guān)鍵測評結(jié)果，文檔材料規(guī)范，得到質(zhì)量主管認可。提交關(guān)鍵測評結(jié)果，延期不超出2天，文檔材料不規(guī)范，但基本得到質(zhì)量主管認可。拖延提交測評結(jié)果超出一周，文檔材料嚴重不規(guī)范，缺乏關(guān)鍵內(nèi)容。用戶反饋《工作確認單》，表明服務(wù)規(guī)范，用戶滿意?！豆ぷ鞔_認單》表明服務(wù)流程完成，用戶認可。《工作確認單》，或用戶主動反應(yīng)現(xiàn)場測評存在缺點，經(jīng)核查屬實。《工作確認單》，或測評客戶投訴，后果對測評產(chǎn)生嚴重影響，經(jīng)核查屬實。3、質(zhì)量評定方法質(zhì)量主管依照上述三項服務(wù)考查要素質(zhì)量評定結(jié)果，綜合評定測評質(zhì)量等級。評定方式標準上取三個考查要素取得等級最低為綜合質(zhì)量評定結(jié)果。舉例：假如進度等級為優(yōu)，測評結(jié)果等級為良，用戶反饋等級為優(yōu)，則綜合質(zhì)量等級為良。4、質(zhì)量改進質(zhì)量評價后，對存在不合格或潛在不合格，質(zhì)量主管將向測評組長提交《測評質(zhì)量審核匯報》，測評組長對匯報上不合格項或潛在不合格項進行確認，測評組長填寫《糾正預(yù)防方法匯報》，采取對應(yīng)糾正和預(yù)防方法，質(zhì)量主管依照《糾正預(yù)防方法匯報》上整改時間，進行跟蹤驗證改進方法效果，直到合格為止。等保測評質(zhì)量管理體系總要求： 依據(jù)ISO9001:質(zhì)量管理體系要求，對測評中心等級保護測評項目標測評過程進行控制，表明本中心有能力穩(wěn)定地提供滿足被測評單位測評要求，并經(jīng)過對質(zhì)量管理體系有效利用，包含連續(xù)改進和糾正預(yù)防不合格發(fā)生而確保測評質(zhì)量。實施質(zhì)量管理體系，測評中心做到： 測評中心質(zhì)量管理體系所需過程主要有：客戶服務(wù)體系建立、測評設(shè)備管理、測評活動開展、驗收評審、文檔管理等過程，并對各過程進行監(jiān)視、測量和控制管理，測評項目標質(zhì)量控制關(guān)于過程參見“質(zhì)量管理體系過程圖”見附件；在“質(zhì)量管理體系過程圖”中可看到測評過程次序及相互關(guān)聯(lián)；質(zhì)量主管經(jīng)過質(zhì)量目標測量和監(jiān)控對質(zhì)量管理體系各過程進行監(jiān)控和管理，并分析過程有效性。技術(shù)主管決定所需要技術(shù)標準及方法，以確保等保測評相關(guān)過程可達成有效作業(yè)及控制。各部門按要求確保所需要資訊輕易獲取，從而支持測評過程實施及監(jiān)控；經(jīng)過質(zhì)量方針、質(zhì)量目標及各部門分解目標達成情況，測量、監(jiān)控及分析這些過程，而且執(zhí)行所需要測量、監(jiān)視活動，以證實這些過程結(jié)果及今后連續(xù)改進；質(zhì)量部依照ISO9001:標準和等級保護測評相關(guān)法規(guī)、技術(shù)標準要求管理這些過程，組織進行連續(xù)改進。文件要求： 各部門按國家/國際標準要求實施相關(guān)文件要求，并作好相關(guān)質(zhì)量統(tǒng)計。 質(zhì)量管理體系范圍：測評中心按等級保護測評相關(guān)法規(guī)和技術(shù)標準要求進行等級保護測評服務(wù)。包含ISO9001：質(zhì)量管理體系全過程、全要素。文件控制：測評過程中產(chǎn)生各類文檔和統(tǒng)計應(yīng)指定管理部按質(zhì)量管理體系要求加以管理控制。質(zhì)量體系文件架構(gòu)見“質(zhì)量體系文件架構(gòu)圖”，并建立文件目錄。每一份規(guī)范化程序文件制訂包含以下內(nèi)容：測評過程產(chǎn)生各類文件和統(tǒng)計定稿前得到測評中心主任審批，確保其適宜性、充分性；質(zhì)量管理體系文件在每年管理評審時進行適宜性、有效性評審，確定是否需要更新，體系文件更新后要重新進行審核，并再次同意； 文件版本、修訂狀態(tài)在文件中有標識，文件更改標識表現(xiàn)在修訂狀態(tài)上，文件更改按《文檔管理制度》進行；確保使用場所具備適宜版本有效文件，便于使用； 確保文件保持清楚、完好，易于閱讀、識別、調(diào)閱及追溯； 確保外來文件原稿已作標識，并控制其分發(fā)；尤其關(guān)注國家、行業(yè)標準和管理文件最新版本搜集和管理、發(fā)放；預(yù)防作廢文件被誤用，假如因任何目標需保留以備用時，則應(yīng)作出適當判別（加蓋作廢章、保留章），并加以控制。統(tǒng)計控制： 測評中心各部門執(zhí)行《等級保護測評項目質(zhì)量監(jiān)督管理制度》對質(zhì)量管理體系所需質(zhì)量統(tǒng)計給予控制，并保持、維護有效質(zhì)量統(tǒng)計，以證實符合各項要求及質(zhì)量管理體系得到有效運行。測評中心建立《等級保護測評項目質(zhì)量監(jiān)督管理制度》要求了質(zhì)量統(tǒng)計判別、儲存、調(diào)閱、保護、保留期限及作廢處理方法和程序。測評過程質(zhì)量監(jiān)督管理： 測評中心測評部負責對等保測評項目標被測系統(tǒng)詳細情況進行分析，為實施測評做好文檔及測試工具，從而完成測評項目標測評準備過程活動；進入測評實施過程活動后測評部部負責開發(fā)與被測信息系統(tǒng)相適應(yīng)測評內(nèi)容及實施方法，為測評實施提供最基本文檔和指導(dǎo)方案；在測評實施過程活動中，按照測評方案總體要求，分步實施全部測評項目，包含單項測評和系統(tǒng)整體測評兩個方面，以了解系統(tǒng)真實保護情況，獲取足夠證據(jù)，發(fā)覺系統(tǒng)存在安全問題；最終進入分析與匯報編制過程，綜合評價被測信息系統(tǒng)保護情況，并形成測評匯報文本。整個測評活動應(yīng)與質(zhì)量管理體系其余要求相一致，質(zhì)量部需同時對測評活動以下各項目進行監(jiān)督管理：依照被測評單位要求/相關(guān)質(zhì)檢規(guī)范、國家標準、法律法規(guī)要求，技術(shù)工程部確定關(guān)于工程質(zhì)量目標及要求；市場部接到客戶等級保護測評需求，將信息傳遞到測評部、管理部，測評部編制《項目計劃書》，全方面滿足被測評單位要求。詳細過程和相互關(guān)系參見《質(zhì)量管理體系過程圖》中描述；依照等級保護測評相關(guān)法規(guī)和技術(shù)標準要求針對測評過程，策劃并實施各項驗證、確認、訪談、檢驗等測評活動，留下相關(guān)統(tǒng)計。對各項測評過程及測評驗收提供所需統(tǒng)計，規(guī)劃結(jié)果必須以測評匯報形式輸出。 對測評活中輸入輸入各類作業(yè)指導(dǎo)書、統(tǒng)計表單、匯報及選取測評設(shè)備必須進行評審，確保其準確和穩(wěn)定。并做對應(yīng)驗證及分析。輸入包含：功效和性能要求；適用法律法規(guī)要求；成熟作業(yè)指導(dǎo)書；對全部輸入進行評審：確保輸入是充分，適宜，要求不可自相矛盾，完整，清楚；確保測評活動中各類輸出統(tǒng)計完整性和準確性；質(zhì)量部針對測評輸入進行驗證，并在放行前得到測評中心主任和被測評單位同意；質(zhì)量部針對測評輸出（如測評統(tǒng)計和測評匯報）進行評審，并由測評中心主任審批后方可提交客戶；質(zhì)量部對選取測評設(shè)備進行校驗，確保設(shè)備可靠性和檢測數(shù)據(jù)準確性；系統(tǒng)集成建設(shè)和服務(wù)提供控制 測評中心依經(jīng)過以下方式來對測評過程進行質(zhì)量控制：測評部提供能夠說明測評關(guān)于特征信息（測評方案、項目計劃書等），對測評主要節(jié)點進行重點控制； 向現(xiàn)場測評活動提供各類作業(yè)指導(dǎo)書，給出更為詳細測評規(guī)范和方法，指導(dǎo)現(xiàn)場測評；測評部選取測評活動所需要測評設(shè)備種類及數(shù)量，并對測評設(shè)備進行適宜維護，確保設(shè)備運行能力。 在現(xiàn)場測評過程中，質(zhì)量部對測評設(shè)備運行以及測評輸出數(shù)據(jù)進行監(jiān)督管理，確保在現(xiàn)場測評過程中不停測量及監(jiān)控測評設(shè)備檢測過程改變，為調(diào)整和修正這些改變提供確保； 對測評主要特征形成過程執(zhí)行監(jiān)控和測量活動，經(jīng)過對現(xiàn)場測評師，測評設(shè)備，測評方法都進行監(jiān)控，確保測評質(zhì)量滿足要求； 測評部按照預(yù)先與被測評單位約定驗收時間，執(zhí)行要求測評結(jié)果交付活動；未經(jīng)過質(zhì)量部評審合格或不滿足測評要求測評項目不得放行。 被測評單位資產(chǎn)：測評過程中有被測評單位提供場地、終端設(shè)備、用戶知識產(chǎn)權(quán)保護，包含系統(tǒng)需求、圖樣等都是客戶資產(chǎn)，進場前與客戶進行驗證確認，明確其狀態(tài)，并在現(xiàn)場測評活動中加以保護，發(fā)生損壞及時向客戶匯報，必要時給予修復(fù)或賠償。 測評設(shè)備質(zhì)量管理測評中心管理部負責維護、保養(yǎng)測評中心現(xiàn)有測評設(shè)備，建立《測評設(shè)備清單》，《編制保養(yǎng)計劃》，《設(shè)備履歷卡》，《維修統(tǒng)計》，確保測評設(shè)備運行正常、測評數(shù)據(jù)準確。 測評部幫助管理部對測評設(shè)備進行日常保養(yǎng)，包含測設(shè)備版本升級、校對和維修。當發(fā)覺測評設(shè)備不符合要求時，對以往測量結(jié)果進行有效性評價和統(tǒng)計，對該設(shè)備和任何受影響測評項目采取補救方法。校準和驗證結(jié)果統(tǒng)計應(yīng)給予保持。 質(zhì)量部對測評設(shè)備日常保養(yǎng)進行監(jiān)督管理，對各項文檔統(tǒng)計進行審核后由管理部存檔。質(zhì)量方針和質(zhì)量總目標質(zhì)量方針：技術(shù)先進、誠信服務(wù)、用戶至上。質(zhì)量總目標：等級保護測評方案評審一次成功；測評質(zhì)量目標：等級保護測評匯報評審一次成功；用戶滿意率：≥95%。等級保護測評匯報按時交付率：≥80%。宣貫方式：經(jīng)過會議、質(zhì)量手冊、培訓(xùn)等方式確保傳遞到測評中心每一位員工，總質(zhì)量目標分解到各部門。質(zhì)量目標分解管理部：培訓(xùn)計劃完成率98%；文件資料管理失誤次數(shù)每年度小于3次。市場部：客戶服務(wù)體系完成98%；協(xié)議評審率100%。研究部：測評方案、作業(yè)指導(dǎo)書研究完成100%。測評部：測評方案一次成功；測評匯報一次成功；測評過程各節(jié)點質(zhì)量控制100%符合等保測評技術(shù)標準；按時交付率80%；客戶滿意度95%。質(zhì)量部：質(zhì)量管理體系完成100%；測評項目質(zhì)量監(jiān)督完成100%。質(zhì)量文件修訂測評中心測評項目質(zhì)量監(jiān)督管理制度依據(jù)ISO9001：質(zhì)量管理體系要求，結(jié)合等級保護測評相關(guān)法規(guī)和技術(shù)標準編制而成。測評中心質(zhì)量部每年年底前最少重新校正一次，并參考以往質(zhì)量管理實際情況檢驗各項標準及規(guī)范合理性，進行修訂。質(zhì)量管理體系產(chǎn)品實現(xiàn)過程圖市場部測評部質(zhì)量部測評部質(zhì)量部管理部質(zhì)量部客戶要求測評客戶要求測評設(shè)計驗證輸出輸入評審確認驗證輸出輸入評審確認編寫測評編寫測評方案前期調(diào)查前期調(diào)查作業(yè)指導(dǎo)書作業(yè)指導(dǎo)書測評設(shè)備選取測評設(shè)備選取方案評審客戶確認方案評審客戶確認測評計劃測評計劃作業(yè)指導(dǎo)書作業(yè)指導(dǎo)書設(shè)備校對設(shè)備校對現(xiàn)場測評現(xiàn)場測評匯報評審編寫測評匯報匯報評審編寫測評匯報滿意度衡量及售后服務(wù)