石化等级测评活动质量控制浅析.docVIP

石化等级测评活动质量控制浅析 　　【 摘 要 】 质量控制是等级测评活动公正性、客观性和保密性的根本保证。当前，国内还没有形成以等级测评活动为主体的质量管理体系标准，对等级测评活动过程中的质量控制，成为等级测评工作研究的重点难点。论文通过对信息系统安全等级保护政策法规体系和标准规范体系的研究，对等级测评活动的质量控制进行了分析，给出了具体实施建议和参考。 　　【 关键词 】 等级保护；等级测评；质量控制 　　1 引言 　　近年来，随着等级保护工作的深入开展，我国相继出台了一系列等级保护法律法规体系和标准规范体系，中国石化根据国家等级保护政策和技术标准，结合企业特点，在不低于国家标准的基础上，编写了企业行业标准，形成了企业等级保护标准体系。对等级保护五个基本动作（信息系统定级、备案、安全建设整改、等级测评、安全检查环节）进行了针对性指导。其中《信息系统安全等级保护测评要求》、《 信息系统安全等级保护测评过程指南》、《信息系统安全管理测评》 、《中国石化集团信息系统安全等级保护管理办法》等技术标准，对等级测评的主要原则和主要内容，测评基本流程、过程分类、记录文档、测评报告等进行了具体规范。就目前研究成果来看，我国还没有形成以等级测评为主体的质量管理体系与技术标准，缺乏针对等级测评活动质量控制的方法研究。本文从研究《信息系统安全等级保护基本要求》、《中国石化集团信息安全等级保护基本要求》、《信息系统安全等级保护测评要求》、《 信息系统安全等级保护测评过程指南》等管理规范和技术标准入手，对等级测评活动的质量控制进行分析，提出了相应的工作方法和控制措施，基本满足了等级测评活动公正性、客观性和保密性对质量控制的需求。 　　2 等级测评活动的质量控制需求 　　等级测评活动是测评机构依据等级保护相关的政策法规、管理规范和技术标准，检测评估信息系统安全等级保护状况是否达到相应等级基本要求的过程，为石化行业等单位进行信息系统等级保护安全建设整改和国家监管部门依法行政管理提供决策依据，是落实信息安全等级保护制度的重???环节。等级测评活动不同于一般的风险评估和安全评价，是政策性、专业性很强的技术活动。对等级测评活动实施质量控制的目的，就是建立和完善等级测评质量管理体系，通过质量方针目标、管理制度、控制程序等系列管理措施，对等级测评活动实施全过程实施质量控制，保证测评活动中引用的政策法规、技术标准正确，测评方法科学，测评过程可控，测评行为规范，测评结论客观真实。要求等级测评人员在测评活动中，不但要正确理解和把握等级保护相关的政策法规、管理规范和技术标准，保证等级测评过程的合规性，还要通过职业道德规范教育和测评行为约束，保证等级测评结论的公正性、客观性。 　　3 等级测评机构的质量管理体系结构 　　等级保护政策法规、管理规范和技术标准，对等级测评的原则、内容、过程、方法以及测评强度的要求，体现了对等级测评活动实施质量控制的思想。《信息安全等级测评机构能力要求》要求等级测评机构建立、实施和维护符合等级测评工作需要的文件化的质量管理体系。要求体系文件以制度、手册、程序等形式发布执行，并应建立执行记录，为等级测评活动质量控制提出了基础框架结构。 　　等级测评机构的质量管理体系结构和控制措施主要包括四个层次的内容。 　　第一层指导性文件：依据等级保护政策法规体系、技术标准体系和等级测评机构能力要求，制定等级测评机构质量管理体系，确立质量方针和工作目标，指导测评活动。 　　第二层控制性文件：根据测评活动要求，建立保密管理制度、项目管理制度、质量管理制度、人员管理制度、教育培训制度、设备管理制度、申诉、投诉和争议管理制度等，对等级测评活动管理目标进行控制。 　　第三层操作性文件：依据等级测评管理目标，建立和完善相应的《合同评审控制程序》、《文件记录控制程序》 、《管理评审控制程序》、《技术评审控制程序》、《测评设备控制程序》、《测评过程控制程序》、《风险控制程序》、《保密控制程序》、《人力资源管理与教育培训程序》、《纠正和预防措施控制程序》、《申诉、投诉及争议处理控制程序》、《客户满意度管理程序》等操作性文件，对等级测评活动过程和环节进行控制。 　　第四层保证性文件：建立健全各项质量记录表单，制定测评机构禁止行为和测评人员职业道德规范，对等级测评结论的公正性、客观性、保密性进行控制。 　　4 等保测评过程中的质量控制 　　《 信息系统安全等级保护测评过程指南》将等级测评过程划分为测评准备、方案编制、现场测评、分析与报告编制四个活动阶段。测评过程质量控制强度与质量管理体系各要素之间的关系如表1所示。 　　4.1 测评准备活动的质量控制 　　4.1.1 项目启动活动的质量控制 　　依据《合同评审控制程序》组织有关管理、技术人员和法