等级保护测评项目管理制度
《信息安全等级保护测评机构管理办法》最新
信息安全等级保护测评机构管理办法第一条为加强信息安全等级保护测评机构管理,规范等级测评行为,提高测评技术能力和服务水平,根据《信息安全等级保护管理办法》等有关规定,制定本办法。
第二条等级测评工作,是指等级测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。
等级测评机构,是指依据国家信息安全等级保护制度规定,具备本办法规定的基本条件,经审核推荐,从事等级测评等信息安全服务的机构。
第三条等级测评机构推荐管理工作遵循统筹规划、合理布局、安全规范的方针,按照“谁推荐、谁负责,谁审核、谁负责”的原则有序开展。
第四条等级测评机构应以提供等级测评服务为主,可根据信息系统运营使用单位安全保障需求,提供信息安全咨询、应急保障、安全运维、安全监理等服务。
第五条国家信息安全等级保护工作协调小组办公室(以下简称“国家等保办”)负责受理隶属国家信息安全职能部门和重点行业主管部门申请单位提出的申请,并对其推荐的等级测评机构进行监督管理。
省级信息安全等级保护工作协调(领导)小组办公室(以下简称“省级等保办”)负责受理本省(区、直辖市)申请单位提出的申请,并对其推荐的等级测评机构进行监督管理。
第六条申请成为等级测评机构的单位(以下简称“申请单位”)应具备以下基本条件:(一)在中华人民共和国境内注册成立,由中国公民、法人投资或者国家投资的企事业单位;(二)产权关系明晰,注册资金100万元以上;(三)从事信息系统安全相关工作两年以上,无违法记录;(四)测评人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;(五)具有信息系统安全相关工作经验的技术人员,不少于10人;(六)具备必要的办公环境、设备、设施,使用的技术装备、设施应满足测评工作需求;(七)具有完备的安全保密管理、项目管理、质量管理、人员管理和培训教育等规章制度;(八)自觉接受等保办的监督、检查和指导,对国家安全、社会秩序、公共利益不构成威胁;(九)不涉及信息安全产品开发、销售或信息系统安全2集成等业务;(十)应具备的其他条件。
等级保护测评工作方案
等级保护测评工作方案一、项目背景随着信息化时代的到来,网络安全问题日益突出,我国政府高度重视网络安全工作,明确规定了对重要信息系统实施等级保护制度。
本次等级保护测评工作旨在确保我国某重要信息系统安全稳定运行,提高系统安全防护能力。
二、测评目的1.评估系统当前安全状况,发现潜在安全隐患。
2.确定系统安全等级,为后续安全防护措施提供依据。
3.提高系统管理员和用户的安全意识。
三、测评范围本次测评范围包括某重要信息系统的硬件、软件、网络、数据、管理制度等方面。
四、测评方法1.文档审查:收集系统相关文档,包括设计方案、安全策略、操作手册等,审查其是否符合等级保护要求。
2.现场检查:对系统硬件、软件、网络等实体进行检查,验证其安全性能。
3.问卷调查:针对系统管理员和用户,了解他们对系统安全的认知和操作习惯。
4.实验室测试:利用专业工具对系统进行渗透测试,发现安全漏洞。
五、测评流程1.测评准备:成立测评小组,明确测评任务、人员分工、时间安排等。
2.文档审查:收集并审查系统相关文档。
3.现场检查:对系统实体进行检查。
4.问卷调查:开展问卷调查,收集系统管理员和用户意见。
5.实验室测试:进行渗透测试,发现安全漏洞。
6.数据分析:整理测评数据,分析系统安全状况。
六、测评结果处理1.对测评中发现的安全隐患,制定整改措施,督促系统管理员和用户整改。
2.对测评结果进行通报,提高系统安全防护意识。
3.根据测评结果,调整系统安全策略,提高系统安全等级。
七、测评保障1.人员保障:确保测评小组具备专业能力,保障测评工作的顺利进行。
2.设备保障:提供必要的硬件、软件设备,支持测评工作。
3.时间保障:合理规划测评时间,确保测评工作按时完成。
八、测评风险1.测评过程中可能对系统正常运行产生影响,需提前做好风险评估和应对措施。
2.测评结果可能存在局限性,需结合实际情况进行分析。
本次等级保护测评工作旨在确保我国某重要信息系统安全稳定运行,提高系统安全防护能力。
《信息安全等级保护测评机构管理办法》最新
信息平安等级爱护测评机构管理方法第一条为加强信息平安等级爱护测评机构管理,规范等级测评行为,提高测评技术实力和服务水平,依据《信息平安等级爱护管理方法》等有关规定,制定本方法。
其次条等级测评工作,是指等级测评机构依据国家信息平安等级爱护制度规定,依据有关管理规范和技术标准,对非涉及国家隐私信息系统平安等级爱护状况进行检测评估的活动。
等级测评机构,是指依据国家信息平安等级爱护制度规定,具备本方法规定的基本条件,经审核举荐,从事等级测评等信息平安服务的机构。
第三条等级测评机构举荐管理工作遵循统筹规划、合理布局、平安规范的方针,依据“谁举荐、谁负责,谁审核、谁负责”的原则有序开展。
第四条等级测评机构应以供应等级测评服务为主,可依据信息系统运营运用单位平安保障需求,供应信息平安询问、应急保障、平安运维、平安监理等服务。
第五条国家信息平安等级爱护工作协调小组办公室(以下简称“国家等保办”)负责受理隶属国家信息平安职能部门和重点行业主管部门申请单位提出的申请,并对其举荐的等级测评机构进行监督管理。
省级信息平安等级爱护工作协调(领导)小组办公室(以下简称“省级等保办”)负责受理本省(区、直辖市)申请单位提出的申请,并对其举荐的等级测评机构进行监督管理。
第六条申请成为等级测评机构的单位(以下简称“申请单位”)应具备以下基本条件:(一)在中华人民共和国境内注册成立,由中国公民、法人投资或者国家投资的企事业单位;(二)产权关系明晰,注册资金100万元以上;(三)从事信息系统平安相关工作两年以上,无违法记录;(四)测评人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;(五)具有信息系统平安相关工作阅历的技术人员,不少于10人;(六)具备必要的办公环境、设备、设施,运用的技术装备、设施应满意测评工作需求;(七)具有完备的平安保密管理、项目管理、质量管理、人员管理和培训教化等规章制度;(八)自觉接受等保办的监督、检查和指导,对国家平安、社会秩序、公共利益不构成威逼;(九)不涉及信息平安产品开发、销售或信息系统平安集成等业务;(十)应具备的其他条件。
网络安全等级保护测评机构管理办法
网络安全等级保护测评机构管理办法第一章总则第一条为加强网络安全等级保护测评机构(以下简称“测评机构”)管理,规范测评行为,提高等级测评能力和服务水平,根据《中华人民共和国网络安全法》和网络安全等级保护制度要求,制定本办法。
第二条等级测评工作,是指测评机构依据国家网络安全等级保护制度规定,按照有关管理规范和技术标准,对已定级备案的非涉及国家秘密的网络(含信息系统、数据资源等)的安全保护状况进行检测评估的活动。
测评机构,是指依据国家网络安全等级保护制度规定,符合本办法规定的基本条件,经省级以上网络安全等级保护工作领导(协调)小组办公室(以下简称“等保办”)审核推荐,从事等级测评工作的机构。
第三条测评机构实行推荐目录管理。
测评机构由省级以上等保办根据本办法规定,按照统筹规划、合理布局的原则,择优推荐。
第四条测评机构联合成立测评联盟。
测评联盟按照章程和有关测评规范,加强行业自律,提高测评技术能力和服务质量。
测评联盟在国家等保办指导下开展工作。
第五条测评机构应按照国家有关网络安全法律法规规定和标准规范要求,为用户提供科学、安全、客观、公正的等级测评服务。
第二章测评机构申请第六条申请成为测评机构的单位(以下简称“申请单位”)需向省级以上等保办提出申请。
国家等保办负责受理隶属国家网络安全职能部门和重点行业主管部门的申请,对申请单位进行审核、推荐;监督管理全国测评机构。
省级等保办负责受理本省(区、直辖市)申请单位的申请,对申请单位进行审核、推荐;监督管理其推荐的测评机构。
第七条申请单位应具备以下基本条件:(一)在中华人民共和国境内注册成立,由中国公民、法人投资或者国家投资的企事业单位;(二)产权关系明晰,注册资金500万元以上,独立经营核算,无违法违规记录;(三)从事网络安全服务两年以上,具备一定的网络安全检测评估能力;(四)法人、主要负责人、测评人员仅限中华人民共和国境内的中国公民,且无犯罪记录;(五)具有网络安全相关工作经历的技术和管理人员不少于15人,专职渗透测试人员不少于2人,岗位职责清晰,且人员相对稳定;(六)具有固定的办公场所,配备满足测评业务需要的检测评估工具、实验环境等;(七)具有完备的安全保密管理、项目管理、质量管理、人员管理、档案管理和培训教育等规章制度;(八)不涉及网络安全产品开发、销售或信息系统安全集成等可能影响测评结果公正性的业务(自用除外);(九)应具备的其他条件。
信息安全等级保护测评机构管理规定
信息安全等级保护测评机构管理规定Company number【1089WT-1898YT-1W8CB-9UUT-92108】信息安全等级保护测评机构管理办法第一条为加强信息安全等级保护测评机构管理,规范等级测评行为,提高测评技术能力和服务水平,根据《信息安全等级保护管理办法》等有关规定,制定本办法。
第二条等级测评工作,是指等级测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。
等级测评机构,是指依据国家信息安全等级保护制度规定,具备本办法规定的基本条件,经审核推荐,从事等级测评等信息安全服务的机构。
第三条等级测评机构推荐管理工作遵循统筹规划、合理布局、安全规范的方针,按照“谁推荐、谁负责,谁审核、谁负责”的原则有序开展。
第四条等级测评机构应以提供等级测评服务为主,可根据信息系统运营使用单位安全保障需求,提供信息安全咨询、应急保障、安全运维、安全监理等服务。
第五条国家信息安全等级保护工作协调小组办公室(以下简称“国家等保办”)负责受理隶属国家信息安全职能部门和重点行业主管部门申请单位提出的申请,并对其推荐的等级测评机构进行监督管理。
省级信息安全等级保护工作协调(领导)小组办公室(以下简称“省级等保办”)负责受理本省(区、直辖市)申请单位提出的申请,并对其推荐的等级测评机构进行监督管理。
第六条申请成为等级测评机构的单位(以下简称“申请单位”)应具备以下基本条件:(一)在中华人民共和国境内注册成立,由中国公民、法人投资或者国家投资的企事业单位;(二)产权关系明晰,注册资金100万元以上;(三)从事信息系统安全相关工作两年以上,无违法记录;(四)测评人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;(五)具有信息系统安全相关工作经验的技术人员,不少于10人;(六)具备必要的办公环境、设备、设施,使用的技术装备、设施应满足测评工作需求;(七)具有完备的安全保密管理、项目管理、质量管理、人员管理和培训教育等规章制度;(八)自觉接受等保办的监督、检查和指导,对国家安全、社会秩序、公共利益不构成威胁;(九)不涉及信息安全产品开发、销售或信息系统安全集成等业务;(十)应具备的其他条件。
等保测评单位管理制度
一、总则第一条为确保等保测评工作的规范、高效运行,保障测评质量和信息安全,根据国家有关法律法规和《信息安全等级保护条例》,结合本单位的实际情况,特制定本制度。
第二条本制度适用于等保测评单位的内部管理,包括测评项目、人员管理、设备管理、信息安全、质量控制等方面。
二、测评项目管理第三条测评项目应当符合国家相关法律法规和政策要求,遵循公平、公正、公开的原则。
第四条测评项目实施前,应进行充分的市场调研和需求分析,明确测评目标、范围、方法、时间节点和预期成果。
第五条测评项目实施过程中,应严格按照测评计划和标准进行,确保测评结果的准确性和有效性。
第六条测评项目完成后,应进行总结评估,形成正式的测评报告,并及时提交给客户。
三、人员管理第七条等保测评单位应设立专门的测评团队,团队成员应具备以下条件:(一)具有信息安全相关专业的学历背景或工作经验;(二)熟悉国家有关信息安全等级保护的相关政策和标准;(三)具备良好的职业道德和保密意识。
第八条测评团队成员应接受定期培训和考核,确保其专业知识和技能水平。
第九条测评团队成员应签订保密协议,对测评过程中获取的信息负有保密义务。
四、设备管理第十条等保测评单位应配备必要的测评设备,包括但不限于:(一)安全测试工具;(二)网络模拟设备;(三)密码学分析设备;(四)其他辅助设备。
第十一条测评设备应定期进行维护和升级,确保其性能稳定可靠。
第十二条测评设备的使用和管理应遵循国家相关法律法规和行业标准。
五、信息安全第十三条等保测评单位应建立健全信息安全管理制度,包括但不限于:(一)网络安全管理制度;(二)数据安全管理制度;(三)物理安全管理制度;(四)保密管理制度。
第十四条测评过程中,应严格遵守信息安全规定,确保测评数据的安全性和完整性。
第十五条测评单位应定期对信息安全制度进行审查和改进,提高信息安全防护能力。
六、质量控制第十六条等保测评单位应建立完善的质量控制体系,确保测评工作的质量和效果。
等级测评机构安全管理制度
一、总则为加强等级测评机构安全管理,保障测评工作的顺利进行,确保测评数据的安全性和准确性,根据《中华人民共和国网络安全法》、《网络安全等级保护条例》等法律法规,结合本机构实际情况,制定本制度。
二、安全管理制度1. 机构内部安全管理(1)建立健全机构内部安全管理制度,明确各部门、各岗位的安全职责,确保安全管理工作落实到位。
(2)加强员工安全意识教育,定期组织安全培训和演练,提高员工安全防护能力。
(3)对机构内部网络进行安全隔离,严格控制访问权限,防止外部攻击和内部泄露。
(4)加强物理安全管理,确保办公场所、设备设施的安全。
2. 测评数据安全管理(1)对测评数据进行严格保密,确保测评数据不被非法获取、泄露、篡改。
(2)建立测评数据备份制度,定期对测评数据进行备份,防止数据丢失。
(3)对测评数据进行分类管理,根据数据敏感性确定数据访问权限,防止数据滥用。
(4)加强测评数据传输过程中的安全防护,确保数据传输安全。
3. 测评工具和设备安全管理(1)对测评工具和设备进行定期检查和维护,确保其正常运行和安全使用。
(2)对测评工具和设备进行加密保护,防止工具和设备被非法复制、篡改。
(3)对测评工具和设备的使用进行规范,防止滥用和误操作。
4. 等级测评项目管理(1)建立健全等级测评项目管理制度,明确项目流程、职责分工和考核标准。
(2)对项目进行全程跟踪管理,确保项目进度和质量。
(3)对项目文档进行规范管理,确保项目文档的完整性和安全性。
5. 应急处置管理(1)建立健全应急处置预案,明确应急处置流程和责任。
(2)定期开展应急处置演练,提高应急处置能力。
(3)对突发事件进行及时、有效的处置,确保测评工作正常进行。
三、监督检查1. 机构内部定期开展安全检查,发现问题及时整改。
2. 接受上级主管部门和客户的安全检查,积极配合并提供相关资料。
3. 对安全管理制度执行情况进行监督,确保制度落实到位。
四、附则1. 本制度自发布之日起施行。
等级保护测评项目质量监督管理制度
等级保护测评项目质量监督管理制度为确保等级保护测评项目的质量和信义,及时发现和纠正问题,提高测评结果的可靠性和公正性,特制定本测评项目质量监督管理制度。
一、测评项目质量监督管理的目标及原则1.目标:确保测评项目的质量和信义,提高测评结果的可靠性和公正性,保障测评用户的权益。
2.原则:(1)科学性原则:测评项目的设计、实施和评价必须遵循科学、可行、可靠的原则,数据分析和结论推断必须有科学依据。
(2)公正性原则:测评项目应公平、公正、透明进行,不偏袒任何一方,尽量避免影响测评结果的外界干扰和偏见。
(3)客观性原则:测评过程必须客观、中立、公开,评价结果应以客观指标为依据,不带有主观偏见。
(4)时效性原则:测评项目监督管理应及时进行,及时发现问题并采取相应措施加以解决,确保测评项目的质量。
(5)风险管理原则:及时评估和管理可能对测评项目质量产生不利影响的风险,采取相应的预防和纠正措施。
二、测评项目质量监督管理的内容1.测评项目设计和准备阶段的质量监督管理(1)设立测评项目工作组,负责测评项目的设计与准备工作。
(2)明确测评项目的目标、内容和评价指标。
(3)对测评工具和测评程序进行评估,确保其科学性和可靠性。
(4)进行试点测试,及时发现问题并进行改进和修正。
(5)编制测评项目相关说明文件和操作规范,确保测评过程的规范性和透明度。
2.测评项目实施阶段的质量监督管理(1)建立测评项目的实施群体,明确各参与方的职责和权利。
(2)组织培训和指导,提高参与人员的专业素质和操作技能。
(3)监督和检查测评操作的过程和结果,确保操作的规范性和可靠性。
(4)定期对测评结果进行质量评估,确保结果的准确性和可信度。
(5)收集和记录测评过程中的问题和意见,并及时进行处理和回馈。
3.测评项目结果和效果的质量监督管理(1)建立测评结果的统计和分析体系,确保结果的可靠性和科学性。
(2)对测评结果进行解读和推断,及时发现可能的问题和偏差。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
一、目的
为有效保障等级保护测评中心的测评质量,防止发生质量异常,提升效率,确保质量满足客户需求,特制定本制度。
二、职责
等级保护测评中心的测评质量监督管理纳入公司总体质量管理体系,由公司法人代表授权的等保测评质量主管组织质量部对测评的质量进行控制:
质量主管:
1)全面领导等保测评中心的质量管理工作,监督执行有关等保测评中心须遵循的各种政策、法律法规,并传达法律法规对测评工作的重要性;
测评过程产生的各类文件和记录定稿前得到测评中心主任审批,确保其适宜性、充分性;
质量管理体系文件在每年的管理评审时进行适宜性、有效性评审,确定是否需要更新,体系文件更新后要重新进行审核,并再次批准;
文件的版本、修订状态在文件中有标识,文件更改标识体现在修订状态上,文件更改按《文档管理制度》进行;
确保使用场所具有适宜版本的有效文件,便于使用;
2.文件要求:
2.1各部门按国家/国际标准要求实施相关文件要求,并作好相关质量记录。
2.2质量管理体系的范围:测评中心按等级保护测评相关法规和技术标准的要求进行等级保护测评服务。包括ISO9001:2000质量管理体系的全过程、全要素。
2.3文件控制:测评过程中产生的各类文档和记录应指定管理部按质量管理体系的要求加以管理控制。质量体系文件的架构见“质量体系文件架构图”,并建立文件目录。每一份规范化程序文件的制定包括以下内容:
质量部:质量管理体系完成100%;测评项目质量监督完成100%。
八、质量文件的修订
测评中心测评项目质量监督管理制度依据ISO9001:2000质量管理体系的要求,结合等级保护测评相关法规和技术标准编制而成。测评中心质量部每年年底前至少重新校正一次,并参照以往质量管理实际情况检查各项标准及规范的合理性,进行修订。
良好
一般
差
进度(非测评组长可控因素除外)
按时完成。
未按时完成,进度变更控制良好,延期在计划工期的10%之内。
未按时完成,延期在计划工期的25%内。
未按时完成,进度变更控制差,延期计划工期的25%以上。
测评成果
及时提交完备的测评成果,文档材料规范。
及时提交关键的测评成果,文档材料规范,得到质量主管认可。
8)主持质量管理体系的策划、建立,并完善实现等保测评中心质量方针、质量目标所必须的组织机构,确保质量部各类人员的职责和权限得到规定与沟通;
9)主持管理评审和质量工作会,定期向等保测评中心主任汇报质量体系运行情况,提出改进的建议;
10)负责质量问题和质量事故的申诉处理以及质量奖惩工作,签发质量管理体系程序文件和质量规章制度文件;
质量部对测评设备的日常保养进行监督管理,对各项文档记录进行审核后由管理部存档。
七、质量方针和质量总目标
1.质量方针:技术先进、诚信服务、用户至上。
2.质量总目标:
等级保护测评方案评审一次成功;
测评质量目标:等级保护测评报告评审一次成功;
顾客满意率:≥95%。
等级保护测评报告准时交付率:≥80%。
3.宣贯方式:通过会议、质量手册、培训等方式确保传递到测评中心的每一位员工,总质量目标分解到各部门。
提交关键的测评成果,延期不超过2天,文档材料不规范,但基本得到质量主管认可。
拖延提交测评成果超过一周,文档材料严重不规范,缺少关键内容。
用户反馈
《工作确认单》,表明服务规范,用户满意。
《工作确认单》表明服务流程完成,用户认可。
《工作确认单》,或用户主动反映现场测评存在缺陷,经核查属实。
《工作确认单》,或测评客户投诉,后果对测评产生严重影响,经核查属实。
各部门按要求确保所需要的资讯容易获取,从而支持测评过程的实施及监控;
通过质量方针、质量目标及各部门的分解目标的达成状况,测量、监控及分析这些过程,并且执行所需要的测量、监视活动,以证实这些过程的成果及今后的持续改进;
质量部依照ISO9001:2000标准和等级保护测评相关法规、技术标准的要求管理这些过程,组织进行持续改进。
测评中心质量管理体系所需过程主要有:客户服务体系的建立、测评设备的管理、测评活动的开展、验收评审、文档管理等过程,并对各过程进行监视、测量和控制管理,测评项目的质量控制有关过程参见“质量管理体系过程图”见附件;
在“质量管理体系过程图”中可看到测评过程的顺序及相互的关联;
质量主管通过质量目标的测量和监控对质量管理体系的各过程进行监控和管理,并分析过程的有效性。技术主管决定所需要的技术标准及方法,以确保等保测评的相关过程可达到有效作业及控制。
2)确保质量部开展工作所需的各种资源;
3)审批质量部发展的中长期计划和年度计划;
4)主持重大质量问题的申诉,对等保测评中心的质量和质量管理工作全面负责;
5)质量手册(方针、目标等)的发布者;
6)负责贯彻执行等保测评中心应遵循的各种法律、法规及标准;
7)负责主持制定质量方针、质量目标,并确保质量管理体系得以完善和有效运行;
3、质量评定的方法
质量主管根据上述三项服务考察要素的质量评定结果,综合评定测评的质量等级。评定方式原则上取三个考察要素获得的等级最低的为综合质量评定结果。举例:如果进度等级为优,测评成果等级为良,用户反馈等级为优,则综合质量等级为良。
4、质量改进
质量评价后,对存在的不合格或潜在的不合格,质量主管将向测评组长提交《测评质量审核报告》,测评组长对报告上的不合格项或潜在的不合格项进行确认,测评组长填写《纠正预防措施报告》,采取相应的纠正和预防措施,质量主管根据《纠正预防措施报告》上的整改时间,进行跟踪验证改进措施的效果,直到合格为止。
4.在现场测评过程中,质量部对测评设备的运行以及测评输出的数据进行监督管理,确保在现场测评过程中不断的测量及监控测评设备检测过程的变化,为调整和修正这些变化提供保证;
5.对测评的重要特性形成的过程执行监控和测量活动,通过对现场测评师,测评设备,测评方法都进行监控,保证测评质量满足要求;
6.测评部按照预先与被测评单位商定的验收时间,执行规定的测评结果交付活动;未通过质量部评审合格或不满足测评要求的测评项目不得放行。
4.质量目标分解
管理部:培训计划完成率98%;文件资料管理失误次数每年度小于3次。
市场部:客户服务体系完成98%;合同评审率100%。
研究部:测评方案、作业指导书研究完成100%。
测评部:测评方案一次成功;测评报告一次成功;测评过程各节点质量控制100%符合等保测评技术标准;准时交付率80%;客户满意度95%。
测评中心依通过以下方式来对测评过程进行质量控制:
1.测评部提供可以说明测评有关特性的信息(测评方案、项目计划书等),对测评的重要节点进行重点控制;
2.向现场测评活动提供各类作业指导书,给出更为详细的测评规范和方法,指导现场测评;
3.测评部选取测评活动所需要的测评设备种类及数量,并对测评设备进行适宜的维护,确保设备的运行能力。
四、等保测评质量管理体系
1.总要求:
1.1依据ISO9001:2000质量管理体系的要求,对测评中心等级保护测评项目的测评过程进行控制,表明本中心有能力稳定地提供满足被测评单位的测评要求,并通过对质量管理体系的有效运用,包括持续改进和纠正预防不合格的发生而保证测评质量。
1.2实施质量管理体系,测评中心做到:
保证测评活动中的各类输出记录的完整性和准确性;
质量部针对测评输入进行验证,并在放行前得到测评中心主任和测评报告)进行评审,并由测评中心主任审批后方可提交客户;
质量部对选取的测评设备进行校验,确保设备的可靠性和检测数据准确性;
五、系统集成建设和服务提供的控制
7.被测评单位资产:测评过程中有被测评单位提供的场地、终端设备、用户的知识产权的保护,包括系统需求、图样等都是客户资产,进场前与客户进行验证确认,明确其状态,并在现场测评活动中加以保护,发生损坏及时向客户报告,必要时予以修复或赔偿。
六、测评设备的质量管理
测评中心管理部负责维护、保养测评中心现有测评设备,建立《测评设备清单》,《编制保养计划》,《设备履历卡》,《维修记录》,确保测评设备的运行正常、测评数据准确。测评部协助管理部对测评设备进行日常保养,包括测设备的版本升级、校对和维修。当发现测评设备不符合要求时,对以往的测量结果进行有效性的评价和记录,对该设备和任何受影响的测评项目采取补救措施。校准和验证结果的记录应予以保持。
确保文件保持清晰、完好,易于阅读、识别、调阅及追溯;
确保外来文件原稿已作标识,并控制其分发;特别关注国家、行业的标准和管理文件的最新版本的收集和管理、发放;
预防作废文件被误用,假如因任何目的需保存以备用时,则应作出适当鉴别(加盖作废章、保留章),并加以控制。
3.记录控制:
3.1测评中心各部门执行《等级保护测评项目质量监督管理制度》对质量管理体系所需的质量记录予以控制,并保持、维护有效的质量记录,以证明符合各项要求及质量管理体系得到有效运行。
11)制订质量部发展的中长期计划和年度计划,注重计划的准确性、可操作性,把质量工作计划纳入年度计划;
12)负责组织对《等级测评报告》进行评估活动,并批准签发《等级测评报告》;
13)根据等保测评项目的论证签订等级保护测评合同,并批准等级保护测评总体计划;
14)调研分析对设备供应单位质量保证能力,确定供应设备能满足工作需要;
6)统筹安排等保测评中心资源,确保每项测评工作顺利完成;
7)制定等级保护测评中心测评人员技术培训计划,确保计划能与预期的任务相适应;
8)确保等保测评中心专用设备的准确度,指定专人负责设备运输、存放、使用、维护的管理;
9)负责组织设备的验收、入库、保管、标识工作;
10)在技术上负责系统测评的正确性,负责审核等保测评中心《等级测评报告》,并可以受测评中心主任委托批准《等级测评报告》。
三、工作程序
1、测评中心开展的等级保护测评项目,严格按照《质量管理体系文件》要求和国家《信息系统安全等级保护测评过程指南》和《信息系统安全等级保护测评要求》等规范文件进行,严格遵循ISO9001:2000质量管理体系规范管理。