等级保护测评项目管理制度

等级保护测评项目管理制度一、 目的为有效保障等级保护测评中心的测评质量，防止发生质量异常，提升效率，确保质量满足客户需求，特制定本制度。二、 职责等级保护测评中心的测评质量监督管理纳入公司总体质量管理体系，由公司法人代表授权的等保测评质量主管组织质量部对测评的质量进行控制： Ø 质量主管：1） 全面领导等保测评中心的质量管理工作，监督执行有关等保测评中心须遵循的各种政策、法律法规，并传达法律法规对测评工作的重要性；2） 确保质量部开展工作所需的各种资源；3） 审批质量部发展的中长期计划和年度计划；4） 主持重大质量问题的申诉，对等保测评中心的质量和质量管理工作全面负责；5） 质量手册（方针、目标等）的发布者；6） 负责贯彻执行等保测评中心应遵循的各种法律、法规及标准；7） 负责主持制定质量方针、质量目标，并确保质量管理体系得以完善和有效运行； 8） 主持质量管理体系的策划、建立，并完善实现等保测评中心质量方针、质量目标所必须的组织机构，确保质量部各类人员的职责和权限得到规定与沟通；9） 主持管理评审和质量工作会，定期向等保测评中心主任汇报质量体系运行情况，提出改进的建议；10） 负责质量问题和质量事故的申诉处理以及质量奖惩工作，签发质量管理体系程序文件和质量规章制度文件；11） 制订质量部发展的中长期计划和年度计划，注重计划的准确性、可操作性，把质量工作计划纳入年度计划；12） 负责组织对等级测评报告进行评估活动，并批准签发等级测评报告；13） 根据等保测评项目的论证签订等级保护测评合同，并批准等级保护测评总体计划；14） 调研分析对设备供应单位质量保证能力，确定供应设备能满足工作需要；15） 落实质量部的保密制度和保密防范措施，对人员的安全保密培训情况；16） 负责与质量体系有关事宜的外部联络。Ø 质量部1） 履行企业法人代表赋予的职责；2） 贯彻执行等保测评中心应遵循的各种法律、法规及标准；3） 贯彻、执行质量方针、质量目标；4） 主持等级保护测评项目的论证，组织等级测评方案的评审；5） 管理并监督等级保护测评中心测评人员按国家有关保密规定保守相关秘密；6） 统筹安排等保测评中心资源，确保每项测评工作顺利完成；7） 制定等级保护测评中心测评人员技术培训计划，确保计划能与预期的任务相适应；8） 确保等保测评中心专用设备的准确度，指定专人负责设备运输、存放、使用、维护的管理；9） 负责组织设备的验收、入库、保管、标识工作；10） 在技术上负责系统测评的正确性，负责审核等保测评中心等级测评报告，并可以受测评中心主任委托批准等级测评报告。三、 工作程序1、测评中心开展的等级保护测评项目，严格按照质量管理体系文件要求和国家信息系统安全等级保护测评过程指南和信息系统安全等级保护测评要求 等规范文件进行，严格遵循ISO9001：2000质量管理体系规范管理。2、对测评的质量评价采用优秀、良好、一般、差四级评定，见下表。质量要素优秀良好一般差进度（非测评组长可控因素除外）按时完成。未按时完成，进度变更控制良好，延期在计划工期的10之内。未按时完成，延期在计划工期的25内。未按时完成，进度变更控制差，延期计划工期的25以上。测评成果及时提交完备的测评成果，文档材料规范。及时提交关键的测评成果，文档材料规范，得到质量主管认可。提交关键的测评成果，延期不超过2天，文档材料不规范，但基本得到质量主管认可。拖延提交测评成果超过一周，文档材料严重不规范，缺少关键内容。用户反馈工作确认单，表明服务规范，用户满意。工作确认单表明服务流程完成，用户认可。工作确认单，或用户主动反映现场测评存在缺陷，经核查属实。工作确认单，或测评客户投诉，后果对测评产生严重影响，经核查属实。3、质量评定的方法质量主管根据上述三项服务考察要素的质量评定结果，综合评定测评的质量等级。评定方式原则上取三个考察要素获得的等级最低的为综合质量评定结果。举例：如果进度等级为优，测评成果等级为良，用户反馈等级为优，则综合质量等级为良。4、质量改进质量评价后，对存在的不合格或潜在的不合格，质量主管将向测评组长提交测评质量审核报告，测评组长对报告上的不合格项或潜在的不合格项进行确认，测评组长填写纠正预防措施报告，采取相应的纠正和预防措施，质量主管根据纠正预防措施报告上的整改时间，进行跟踪验证改进措施的效果，直到合格为止。四、 等保测评质量管理体系1. 总要求：1.1 依据ISO 9001:2000质量管理体系的要求，对测评中心等级保护测评项目的测评过程进行控制，表明本中心有能力稳定地提供满足被测评单位的测评要求，并通过对质量管理体系的有效运用，包括持续改进和纠正预防不合格的发生而保证测评质量。1.2 实施质量管理体系，测评中心做到：Ø 测评中心质量管理体系所需过程主要有：客户服务体系的建立、测评设备的管理、测评活动的开展、验收评审、文档管理等过程，并对各过程进行监视、测量和控制管理，测评项目的质量控制有关过程参见“质量管理体系过程图” 见附件；Ø 在“质量管理体系过程图”中可看到测评过程的顺序及相互的关联；Ø 质量主管通过质量目标的测量和监控对质量管理体系的各过程进行监控和管理，并分析过程的有效性。技术主管决定所需要的技术标准及方法，以确保等保测评的相关过程可达到有效作业及控制。 Ø 各部门按要求确保所需要的资讯容易获取，从而支持测评过程的实施及监控；Ø 通过质量方针、质量目标及各部门的分解目标的达成状况，测量、监控及分析这些过程，并且执行所需要的测量、监视活动，以证实这些过程的成果及今后的持续改进；Ø 质量部依照ISO9001:2000标准和等级保护测评相关法规、技术标准的要求管理这些过程，组织进行持续改进。 2. 文件要求：2.1 各部门按国家/国际标准要求实施相关文件要求，并作好相关质量记录。2.2 质量管理体系的范围：测评中心按等级保护测评相关法规和技术标准的要求进行等级保护测评服务 。包括ISO9001：2000质量管理体系的全过程、全要素。2.3 文件控制：测评过程中产生的各类文档和记录应指定管理部按质量管理体系的要求加以管理控制。质量体系文件的架构见“质量体系文件架构图”，并建立文件目录。每一份规范化程序文件的制定包括以下内容：Ø 测评过程产生的各类文件和记录定稿前得到测评中心主任审批，确保其适宜性、充分性；Ø 质量管理体系文件在每年的管理评审时进行适宜性、有效性评审，确定是否需要更新，体系文件更新后要重新进行审核，并再次批准；Ø 文件的版本、修订状态在文件中有标识，文件更改标识体现在修订状态上，文件更改按文档管理制度进行；Ø 确保使用场所具有适宜版本的有效文件，便于使用；Ø 确保文件保持清晰、完好，易于阅读、识别、调阅及追溯；Ø 确保外来文件原稿已作标识，并控制其分发；特别关注国家、行业的标准和管理文件的最新版本的收集和管理、发放；Ø 预防作废文件被误用，假如因任何目的需保存以备用时，则应作出适当鉴别（加盖作废章、保留章），并加以控制。3. 记录控制：3.1 测评中心各部门执行等级保护测评项目质量监督管理制度对质量管理体系所需的质量记录予以控制，并保持、维护有效的质量记录，以证明符合各项要求及质量管理体系得到有效运行。3.2 测评中心建立的等级保护测评项目质量监督管理制度规定了质量记录的鉴别、储存、调阅、保护、保存期限及作废处理办法和程序。4. 测评过程的质量监督管理： 测评中心测评部负责对等保测评项目的被测系统的详细情况进行分析，为实施测评做好文档及测试工具，从而完成测评项目的测评准备过程活动；进入测评实施过程活动后测评部部负责开发与被测信息系统相适应的测评内容及实施方法，为测评实施提供最基本的文档和指导方案；在测评实施过程活动中，按照测评方案的总体要求，分步实施所有测评项目，包括单项测评和系统整体测评两个方面，以了解系统的真实保护情况，获取足够证据，发现系统存在的安全问题；最后进入分析与报告编制过程，综合评价被测信息系统保护状况，并形成测评报告文本。整个测评活动应与质量管理体系的其他要求相一致，质量部需同步对测评活动的以下各项目进行监督管理：4.1 根据被测评单位要求/相关的质检规范、国标、法律法规要求，技术工程部确定有关工程的质量目标及要求；4.2 市场部接到客户的等级保护测评需求，将信息传递到测评部、管理部， 测评部编制项目计划书，全面满足被测评单位要求。具体的过程和相互关系参见质量管理体系过程图中的描述；4.3 根据等级保护测评相关法规和技术标准的要求针对测评过程，策划并实施各项验证、确认、访谈、检验等测评活动，留下相关的记录。4.4 对各项测评过程及测评验收提供所需的记录，规划结果必须以测评报告的形式输出。4.5 对测评活中输入输入的各类作业指导书、记录表单、报告及选取的测评设备必须进行评审，确保其准确和稳定。并做相应的验证及分析。Ø 输入包括：功能和性能的要求；适用的法律法规要求；成熟的作业指导书； Ø 对所有的输入进行评审：确保输入是充分的，适宜的，要求不可自相矛盾，完整，清楚；Ø 保证测评活动中的各类输出记录的完整性和准确性；Ø 质量部针对测评输入进行验证，并在放行前得到测评中心主任和被测评单位批准；Ø 质量部针对测评输出（如测评记录和测评报告）进行评审，并由测评中心主任审批后方可提交客户；Ø 质量部对选取的测评设备进行校验，确保设备的可靠性和检测数据准确性；五、 系统集成建设和服务提供的控制测评中心依通过以下方式来对测评过程进行质量控制：1. 测评部提供可以说明测评有关特性的信息（测评方案、项目计划书等），对测评的重要节点进行重点控制；2. 向现场测评活动提供各类作业指导书，给出更为详细的测评规范和方法，指导现场测评；3. 测评部选取测评活动所需要的测评设备种类及数量，并对测评设备进行适宜的维护，确保设备的运行能力。4. 在现场测评过程中，质量部对测评设备的运行以及测评输出的数据进行监督管理，确保在现场测评过程中不断的测量及监控测评设备检测过程的变化，为调整和修正这些变化提供保证；5. 对测评的重要特性形成的过程执行监控和测量活动，通过对现场测评师，测评设备，测评方法都进行监控，保证测评质量满足要求；6. 测评部按照预先与被测评单位商定的验收时间，执行规定的测评结果交付活动；未通过质量部评审合格或不满足测评要求的测评项目不得放行。7. 被测评单位资产：测评过程中有被测评单位提供的场地、终端设备、用户的知识产权的保护，包括系统需求、图样等都是客户资产，进场前与客户进行验证确认，明确其状态，并在现场测评活动中加以保护，发生损坏及时向客户报告，必要时予以修复或赔偿。六、 测评设备的质量管理 测评中心管理部负责维护、保养测评中心现有测评设备，建立测评设备清单，编制保养计划，设备履历卡，维修记录，确保测评设备的运行正常、测评数据准确。测评部协助管理部对测评设备进行日常保养，包括测设备的版本升级、校对和维修。当发现测评设备不符合要求时，对以往的测量结果进行有效性的评价和记录，对该设备和任何受影响的测评项目采取补救措施。校准和验证结果的记录应予以保持。质量部对测评设备的日常保养进行监督管理，对