信息安全等级测评机构质量管理体系建设研究

1、 （公安部信息安全等级保护评估中心，北京）摘要：文章首先阐述当前国内等级测评机构管理体系建设的现状，并着重对测评机构提供的测评服务质量与公安机关的要求、信息系统的运营使用单位的预期存在差距的主要表现进行了分析。随后，文章又对质量管理体系建设的重要性及意义进行描述，详细说明质量管理体系建设对于等级测评机构的质量管理发挥的重要作用。在此基础上，提出等级测评机构质量管理体系的建设标准，并对等级测评机构质量管理体系建设思路和方法进行研究。关键词：等级测评机构；质量管理体系；建设标准；建设思路和方法中图分类号：文献标识码：信息安全等级测评机构质量管理体系建设研究作者简介：王宁（），女，黑龙江，研究实习员

2、，本科，主要研究方向：等级测评机构质量管理体系建设。引言随着信息技术的飞速发展，信息系统已逐步成为人们生活中不可或缺的重要组成部分。人们逐渐认识并关注各种信息安全问题会给经济社会发展和国家安全带来很大的影响；不同的信息系统信息安全的重要性存在一定差异，必须将其按照重要性划分为不同级别，配置不同的资源开展测评与保护。信息安全等级保护测评工作是一个专业性和专职性都很强的工作，必须由独立于信息安全监管部门和信息系统运营使用单位的符合信息安全等级测评机构管理规范基本条件的第三方测评机构，即信息系统安全等级保护测评机构（以下简称测评机构）来完成。当前国内等级测评机构管理体系建设的现状目前，我国信息安全等

3、级保护测评机构初步建立，总体发展势态良好。尤其是今年，通过加强监督检查、加大宣传力度等方式深入扎实地开展信息安全等级保护工作，信息系统的运营使用单位逐步认识到信息安全等级保护工作的重要性，信息系统等级测评业务快速增长。但是，由于各测评机构的基础和起步不同，管理水平和技术能力参差不齐，测评机构提供的测评服务的质量与公安机关的要求、信息系统的运营使用单位的预期存在较大差距。主要表现为：一是测评机构的各部门、各岗位不同程度地存在职能职责定位不准，目标不明确，缺少量化指标，流程设置不科学；二是部门之间、岗位之间衔接不够顺畅，前后流程之间互相制约、互为保证的规定不明确，体系过程痕迹化的记录不全或不规范；

4、三是缺少自我监督、持续改进机制，出现问题只能就事论事，阻碍了整体管理水平和测评能力的提升。四是缺乏统一规范的组织，致使测评机构存在质量管理制度、标准不规范，未形成体系，执行难度大，不同机构的测评能力和水平参差不齐。质量管理体系建设的重要性及意义质量管理体系建设的重要性测评机构的能力和水平以及规范化程度是其开展测评工作的决定性条件，而测评机构的质量管理体系建设则是测评能力和水平生成的基础。加强测评机构内部管理，完善管理机制，规范项目流程，稳定提高管理水平和质量，为被测单位提供客观公正的第三方测评服务已成为测评机构适应新形势、增加市场竞争实力的重要工作之一。建立并实施质量管理体系，通过质量管理体

5、系的认证、保持和持续改进，使各项管理工作更加规范、更具成效已势在必行。质量管理体系建设的意义测评机构通过质量管理体系建设，首先可以科学规划、系统梳理工作流程，合理设置部门间的工作接口，适时清理与工作不相适应的管理制度，建立起系统、规范的管理体系和自我完善、持续改进的长效机制。同时，还可以进一步明确每个岗位的职责权限、业务流程和工作标准，真正做到凡事有章可循、有据可查，实现机构内部各项工作的科学化、规范化和标准化。其次，可以加强全员、全方位、全过程质量控制。围绕提升测评服务质量这个中心，整合机构不同层次的管理目标、标准，统一思想认识和工作目标，进一步提高测评效率和质量。最后，还可以有效提高机构的

6、执行力。在测评机构日常管理工作中存在工作落实不到位、执行易走样、考核跟不上等问题，降低了工作效率、弱化了机构执行力。质量管理体系为有效解决这些问题提供了解决方法，通过明确质量方针，可以高度概括发展定位与战略目标；通过优化管理流程，建立文件化的管理体系，可以将质量方针和决策部署分解到岗位，纳入制度化、规范化、标准化管理；通过记录表格，可以追溯工作执行情况、任务落实情况，进行痕迹化管理；通过年度内审、管理评审、外审及年审，可以详细评价体系的适应性和有效性，为目标考核提供可靠依据。测评机构质量管理体系建设标准建立文件化的质量管理体系是实施质量管理的基础，原则上，测评机构须以信息安全等级测评机构能力要

7、求（试行）作为管理体系建设的基本依据。该规范并没有基于“质量”这个关键词而进行体系框架式的立体搭建，而是将测评机构应具备的各项基本能力要求以条款形式进行描述，即测评机构只要提供能够证明自身能力建设符合该要求的相关制度文档，评估机构就认为测评机构具备文件化的管理体系。笔者认为，信息安全等级测评机构能力要求（试行）中描述的这个“管理体系”仅仅适用于测评机构建立初期，从长远发展的角度看，管理体系建设如果能够依据国际通用的管理体系标准而建立、运行和实施将会对测评机构质量活动的规范化和制度化发挥积极的推动作用。而选择合适的质量管理体系标准，如检查机构能力认可准则等将会对测评机构确立角色定位、转变思维定势

8、、尽快适用标准并加快体系建设步伐产生重要的影响。质量管理体系建设思路和方法一般来说，质量管理体系的建构必须经历全员培训、明确目标及责任、编制质量管理体系文件、质量管理体系试运行及改进等多个阶段。必须要达到六个“规范”的目标。一是战略规划的规范；二是程序流程的规范；三是组织结构的规范；四是部门岗位设置的规范；五是规章制度的规范；六是管理控制的规范。以下对各阶段的主要步骤和主要任务作一个说明。成立贯标工作领导小组和相关工作组由于测评机构进行质量管理体系的构建涉及机构管理的各个层面，工作量非常大，如果仅仅将其分解到各部门工作中作为“额外”工作，其工作效率和落实的效果会大打折扣，所以，建设质量管理体系

9、测评机构必须在组织上加以保障。一般来说，可以成立贯标（即贯彻既定标准）工作领导小组和相关的实施工作组，从机构层面进行总体的协调，并配置专门的人员加以落实。贯标工作领导小组应该由最高管理者负责和各部门负责人参与。同时，测评机构建构质量管理体系需要任命一位管理者代表，代表最高管理者开展质量管理体系的建设和体系运行监督工作。管理者代表也是领导小组的重要成员之一。贯标工作领导小组的职责是调配力量，开展体系建设，促进体系运行，审批体系策划和体系文件。测评机构除了成立贯标工作领导小组以外，还需要成立负责体系建设过程中某些具体工作的实施工作组，比如要成立质量管理体系设计及体系文件编写工作小组，成立审核小组等

10、。一般来说，测评机构各部门、各项目组都应有人参与到文件编写小组和审核小组中，避免体系建构和运行过程中的空白点出现。确立质量方针及质量目标，确定质量管理体系结构质量方针是测评机构质量管理总的宗旨及方向，也是开展质量管理的依据之所在。它体现了测评机构开展质量管理的总目标，是机构全体成员必须遵循的行为准则。质量方针一方面是测评机构对被测评单位和社会做出的郑重的质量承诺，另一方面也是测评机构自身质量管理的方向。所以，它是测评机构开展质量管理的指导性纲领，是最高准则。质量方针要简洁明了，切忌烦琐空洞。测评机构的质量目标具有以下几方面的特性。一是量化特性，质量目标必须是量化的、可测评的。二是全面性，质量目

11、标要全面关注测评机构日常活动的各个方面的发展。三是时效性，实现质量目标是有一定时间限制的，必须在规定的时间段内实现目标。四是发展性，质量目标要反映出测评机构开展等级测评服务质量的发展与进步。编制质量管理体系文件质量管理文件的构成主要有四部分：质量手册、程序文件、作业（操作）文件和质量记录，还有一部分是针对信息安全等级测评服务的特点而补充的相关制度文件，当然也可以根据实际情况作为质量手册的一个要素和程序文件对应的一个程序来编制。质量手册是开展质量管理的核心文件，它与既定标准 相对应，是统领性文件。程序文件是对测评机构重要的质量管理过程进行控制的文件。一般来说，除了文件控制、记录控制、内部审核、不

12、合格控制、纠正措施控制和预防措施控制六个程序文件外，测评机构可根据实际需要决定程序文件的内容和数量。作业文件是测评机构根据质量管理的实际需要制作的与具体管理过程有关的作业性文件，主要包括各种规则和工作指导。操作文件的编写与过程的复杂程度、执行人员的自身素质等都有着密切关联，其数量和繁简程度根据实际情况决定。质量记录是根据文件要求，在质量管理体系运作过程中留下的“印记”，体现了质量管理模式的实际运作情况，是“为已完成的活动或达到的结果提供客观证据的文件”，也由实际管理需要决定的。编制和完善质量管理体系文件是建构质量管理体系过程中一项非常关键的工作。根据质量管理体系建构和运行的基本准则“写你该做的

13、，做你所写的，记录所做的，检查已做的，改正不符合的”，体系文件的编制应遵循以下原则。一是实用性原则。文件的形成本身并不是目的，它是为体系运行，为质量服务的。因而，在体系文件的编写过程中，我们既要重视满足既定标准的基本要求，又要重视在通用标准转化为机构自身标准的过程中根据实际需要作必要的增减，同时，对机构原有的管理文件作必要的取舍，保留符合质量管理要求，有实际管理效用的文件。二是规范性原则。形成的文件是必须去实施的，它是我们的工作指南，因而，文件编写、修改、审核、批准都应该严格按照规定的程序进行，切忌随意性。三是责任制原则。质量管理体系文件种类多、数量大，涉及机构管理的各个层面，因而在体系文件编

14、制过程中可采用“谁主管，谁编写，谁负责”的原则，落实到各部门各岗位，责任到人，即“写你该做的”，同时由部门主管负责本部门文件的审核，形成文件编写、审核责任机制。四是系统性原则。所有质量管理文件并不是相互独立的，而是协调共存于质量管理体系中。因而，文件与文件间必须是协调一致的，不能相互矛盾。需要引起重视的是，质量管理体系部门与部门间有许多“接口”，与“接口”有关的文件尤其要注意协调一致性。全员培训，学习质量管理体系的相关标准，初步理解其内涵对于测评机构来说，开展质量管理首先要了解和理解质量管理的基本管理理念、管理方法等。由于个人的世界观、价值观的不同以及一些陈旧管理思想的影响，测评机构的各级领导

15、及其相关人员对开展质量管理，以质量管理理念指导管理行为的必要性和重要性的理解会产生差异，对管理理念和管理方法的了解与认同也需要有一个过程，因而，开展全员培训是十分重要和必要的，它是测评机构基于质量建构管理模式的前提和保障。全员培训意味着全员参与，不仅测评机构的最高管理者和中层以上领导要参与到质量管理体系的建构之中，每一位基层人员也要成为主动的参与者。全体成员都要积极投入到体系的建构及运行过程中，主动担负起应尽的责任。全员培训的目的是促进全体成员对质量管理体系的理解和认识，尤其要重视理解其基本的管理理念和管理原则，提高自身的质量意识、服务意识，树立以学习者为中心的指导思想。在此基础上，理解机构实

16、施质量管理的必要性和紧迫性。同时，对于参与质量管理的骨干队伍，机构要开展有针对性的培训。比如说，各部门的主要负责人、项目组长、特殊岗位负责人及技术骨干等，他们是测评机构质量管理体系建构和运行的骨干力量，需要重点关注和培养。进行质量管理体系的试运行及内部审核当体系文件编制完成后，测评机构质量管理体系试运行即可全面启动。“做你所写的”，根据文件的要求开展质量管理工作，是体系运行的基本准则。在体系运行过程中，测评机构要注意运行过程中各项信息的收集和分析，及时从反馈的信息中发现经验和问题，良好的经验要加以固定和保持，产生的问题要及时纠正，不断促进体系的持续改进和发展完善。根据质量管理体系要求，体系有专

17、门促进自我持续改进的管理过程，其中最为重要的即是内部审核。开展内部审核是质量管理体系对自身充分性、适宜性和有效性的“自我检查和反思”，是体系发现自身问题，不断自我改进的过程，对体系的发展完善是非常重要和必要的。测评机构开展内部审核首先要进行内审员培训，参与培训的人员由测评机构各部门、各年级组的成员组成。一般来说，成员应该对测评机构管理工作的某一方面比较熟悉或了解。培训可以由咨询机构的专家开展，并由咨询机构对考核通过的内审员颁发合格证书。内审工作由测评机构成立内审小组具体负责开展，测评机构各部门配合进行，一般在一个年度的试运行结束后进行，以后每年进行一次。采取纠正和预防措施在内部审核结束后，一般

18、会发现一些测评机构质量管理体系运行过程中的问题或潜在的问题，即“不合格”或“潜在不合格”项。对于这些“不合格”应分析产生的原因，采取针对性的纠正措施或预防措施加以解决。所谓纠正措施是指针对已经存在的“不合格”采取的，而预防措施是针对“潜在不合格”采取的，一个是事后的弥补，一个是事先的预防。在测评机构质量管理领域，预防措施尤其重要和必要，因为测评机构的服务对象是信息系统运营使用单位，对已经产生的问题进行事后弥补，虽说是亡羊补牢，未尝晚矣，但是，运营 使用单位已经不可避免地受到了影响。针对“不合格”或“潜在不合格”项的改进措施应该在内审结束后规定的时间内落实。内审员要对改进措施的落实情况和实施效果

19、进行跟踪验证，确认改进是否有效。开展质量管理体系监督、检查和年审开展质量管理体系监督、检查和年审是体系运行及持续改进过程中重要的中间环节，主要是对测评机构质量管理体系的运行现状做出评价，保持其持续的适宜性、充分性和有效性。通常测评机构在能力证书有效期间，必须接受等保办的监督、检查和年审，同时，还要接受评估中心对技术和管理体系运行情况的监督和检查。在推荐的有效期到期前个月向省级以上等保办提出复评审申请。省级以上等保办在推荐有效期到期前根据被推荐机构的申请组织复评审，并决定是否延续推荐至下一个有效期。复评审的要求和程序与初次专家评审一致。复评审中发现不符合时，被评审方在明确整改要求后应制定和落实纠

20、正措施计划，整改期限在一个月内完成。等保办对纠正措施的有效性进行验证。纠正措施未通过验证的，可视情况做出暂停或撤销推荐的决定。评估中心通过抽查的方式对测评机构质量管理和技术体系运行情况进行监督和检查，根据检查结果出具检查报告并提交各省等保办，作为省级以上等保办监督、检查、年审、复审的依据。测评机构应当保持与各省等保办的信息通畅，在测评活动中发现突出问题的，应及时与各省等保办沟通。测评机构每年月底之前向等保办提交年度工作报告。年度工作报告内容应当包括：等级测评基本情况；等级测评项目数量等业务开展情况；被测系统安全基本状况分析； 测评师培训、考核及变更情况；投诉、异议处理情况等等。结束语最后，对于测评机构从确立质量管理体系建设的策略，到完成建设过程，到通过检查、年审，这只是质量管理工作步入良