本站原创本文是一篇质量管理体系论文范文,质量管理体系类有关学士学位论文,关于石化等级测评活动的质量控制相关在职毕业论文范文。适合质量管理体系及信息安全及信息系统方面的的大学硕士和本科毕业论文以及质量管理体系相关开题报告范文和职称论文写作参考文献资料下载。
【摘 要】质量控制是等级测评活动公正性、客观性和保密性的根本保证.当前,国内还没有形成以等级测评活动为主体的质量管理体系标准,对等级测评活动过程中的质量控制,成为等级测评工作研究的重点难点.论文通过对信息系统安全等级保护政策法规体系和标准规范体系的研究,对等级测评活动的质量控制进行了分析,给出了具体实施建议和参考.
【关 键 词】等级保护;等级测评;质量控制
1引言
近年来,随着等级保护工作的深入开展,我国相继出台了一系列等级保护法律法规体系和标准规范体系,中国石化根据国家等级保护政策和技术标准,结合企业特点,在不低于国家标准的基础上,编写了企业行业标准,形成了企业等级保护标准体系.对等级保护五个基本动作(信息系统定级、备案、安全建设整改、等级测评、安全检查环节)进行了针对性指导.其中《信息系统安全等级保护测评要求》、《信息系统安全等级保护测评过程指南》、《信息系统安全管理测评》、《中国石化集团信息系统安全等级保护管理办法》等技术标准,对等级测评的主要原则和主要内容,测评基本流程、过程分类、记录文档、测评报告等进行了具体规范.就目前研究成果来看,我国还没有形成以等级测评为主体的质量管理体系与技术标准,缺乏针对等级测评活动质量控制的方法研究.本文从研究《信息系统安全等级保护基本要求》、《中国石化集团信息安全等级保护基本要求》、《信息系统安全等级保护测评要求》、《信息系统安全等级保护测评过程指南》等管理规范和技术标准入手,对等级测评活动的质量控制进行分析,提出了相应的工作方法和控制措施,基本满足了等级测评活动公正性、客观性和保密性对质量控制的需求.
2等级测评活动的质量控制需求
等级测评活动是测评机构依据等级保护相关的政策法规、管理规范和技术标准,检测评估信息系统安全等级保护状况是否达到相应等级基本要求的过程,为石化行业等单位进行信息系统等级保护安全建设整改和国家监管部门依法行政管理提供决策依据,是落实信息安全等级保护制度的重要环节.等级测评活动不同于一般的风险评估和安全评价,是政策性、专业性很强的技术活动.对等级测评活动实施质量控制的目的,就是建立和完善等级测评质量管理体系,通过质量方针目标、管理制度、控制程序等系列管理措施,对等级测评活动实施全过程实施质量控制,保证测评活动中引用的政策法规、技术标准正确,测评方法科学,测评过程可控,测评行为规范,测评结论客观真实.要求等级测评人员在测评活动中,不但要正确理解和把握等级保护相关的政策法规、管理规范和技术标准,保证等级测评过程的合规性,还要通过职业道德规范教育和测评行为约束,保证等级测评结论的公正性、客观性.
3等级测评机构的质量管理体系结构
等级保护政策法规、管理规范和技术标准,对等级测评的原则、内容、过程、方法以及测评强度的要求,体现了对等级测评活动实施质量控制的思想.《信息安全等级测评机构能力要求》要求等级测评机构建立、实施和维护符合等级测评工作需要的文件化的质量管理体系.要求体系文件以制度、手册、程序等形式发布执行,并应建立执行记录,为等级测评活动质量控制提出了基础框架结构.
等级测评机构的质量管理体系结构和控制措施主要包括四个层次的内容.
第一层指导性文件:依据等级保护政策法规体系、技术标准体系和等级测评机构能力要求,制定等级测评机构质量管理体系,确立质量方针和工作目标,指导测评活动.
第二层控制性文件:根据测评活动要求,建立保密管理制度、项目管理制度、质量管理制度、人员管理制度、教育培训制度、设备管理制度、申诉、投诉和争议管理制度等,对等级测评活动管理目标进行控制.
第三层操作性文件:依据等级测评管理目标,建立和完善相应的《合同评审控制程序》、《文件记录控制程序》、《管理评审控制程序》、《技术评审控制程序》、《测评设备控制程序》、《测评过程控制程序》、《风险控制程序》、《保密控制程序》、《人力资源管理与教育培训程序》、《纠正和预防措施控制程序》、《申诉、投诉及争议处理控制程序》、《客户满意度管理程序》等操作性文件,对等级测评活动过程和环节进行控制.
第四层保证性文件:建立健全各项质量记录表单,制定测评机构禁止行为和测评人员职业道德规范,对等级测评结论的公正性、客观性、保密性进行控制.
4等保测评过程中的质量控制
《信息系统安全等级保护测评过程指南》将等级测评过程划分为测评准备、方案编制、现场测评、分析与报告编制四个活动阶段.测评过程质量控制强度与质量管理体系各要素之间的关系如表1所示.
4.1测评准备活动的质量控制
4.1.1项目启动活动的质量控制
依据《合同评审控制程序》组织有关管理、技术人员和法律顾问召开合同评审会议,对测评双方需要签订的委托协议或合同书进行评审.根据双方签订的委托协议或合同书,组建等级测评项目组,按照测评活动实际要求进行人员、设备、资金等资源配置.项目组设置质量管理和技术管理部门,明确责任权限,以满足测评活动的技术和质量管理要求.
依据《信息系统安全等级保护测评过程指南》和《测评过程控制程序》编制《项目计划书》.
4.1.2信息收集和分析活动的质量控制
依据《测评过程控制程序》编制《基本情况调查表》,收集和分析被测信息系统等级测评需要的各种资料,包括各种方针文件、规章制度及相关过程管理记录、被测系统总体描述文件、详细描述文件、安全保护等级定级报告、安全需求分析报告、安全总体方案、安全现状评价报告、安全详细设计方案、用户指南、运行步骤、网络图表、配置管理文档等.通过现场调查和工作交流等方式详细了解被测系统状况,明确等级测评的工作流程及可能带来的风险和规避方法,为编制等级测评实施方案做好准备.4.1.3工具和表单准备活动的质量控制
测评人员依据《测评过程控制程序》要求,搭建模拟系统测试环境,按照测评机构《测评设备控制程序》调试各种必备的测试工具,并按照《文件记录控制程序》准备现场测评授权书、文档交接单、会议记录表单、会议签到表等表单.
4.2方案编制活动的质量控制
4.2.1测评对象、测评指标、测试工具接入点、测评内容的质量控制
测评人员根据已经了解到的被测系统信息,按照《测评过程控制程序》规定的方法和步骤,分析整个被测系统及其涉及的业务应用系统,确定出本次测评活动的测评对象、测评指标、测试工具接入点、测评内容等,并以表单的形式进行具体描述.
4.2.2测评指导书开发、测评方案编制的质量控制
测评人员按照《测评过程控制程序》要求和测评活动内容开发测评指导书、编制等级测评实施方案.
测评指导书由测评机构按照《技术评审程序》进行技术评审,评审合格后项目技术主管签字发布,并按照控制范围分发、管理.
等级测评实施方案由项目经理按照《技术评审程序》组织双方测评人员和专家小组成员进行技术评审,评审合格的等级测评实施方案,提交石化单位代表签字确认,按照《文件记录控制程序》、《保密控制程序》进行发布和管理.
4.3现场测评活动的质量控制
4.3.1进场前的准备活动的质量控制
按照《测评过程控制程序》要求组织召开首次测评会议,测评双方人员沟通等级测评实施方案,签署现场测评授权书,做好现场测评准备.
4.3.2现场测评和结果记录、结果确认活动的质量控制
测评人员进入测评现场测评时,按照《测评过程控制程序》填写《现场测评登记表》,详细填写出入现场时间、测评工作内容、测评前后的信息系统安全状况,并由石化单位配合人员现场签字确认.
严格按照测评指导书和等级测评实施方案确定的过程和方法进行现场测评,通过人员访谈、文档审查、配置检查、工具测试和实地察看等方法,测评被测系统的保护措施情况,获取现场测评证据,并按照《文件记录控制程序》要求填写《现场测评记录表》.
现场测评活动中,及时汇总现场测评记录和发现的问题,对遗漏和需要进一步验证的内容实施补充测评,测评记录由测评双方测评人员现场签字确认.
现场测评完成后,测评双方人员召开现场测评结束会,对现场测评工作进行小结,将现场测评中发现的问题形成书面报告,并由双方代表签字确认.
现场测评活动中产生的所有现场测评结果记录以及石化单位提供的信息资料,均按照《文件记录控制程序》、《保密控制程序》进行管理,严格限制他们的知晓和使用范围.
4.4分析与报告编制活动的质量控制
4.4.1测评结果判定、整体测评、风险分析、等级测评结论形成的的质量控制
测评人员依据《信息系统安全等级保护基本要求》、《中国石化集团信息系统安全等级保护基本要求》、《信息系统安全管理要求》、《信息系统通用安全技术要求》等相关技术标准,按照《测评过程控制程序》规定的方法、步骤,对测评指标中的每个测评项测评记录,进行客观、准确地分析,形成初步单项测评结果,并以表单形式给出.按照《测评过程控制程序》要求汇总单项测评结果,分别统计不同测评对象的单项测评结果,从而判定单元测评结果,并以表格的形式逐一列出.测评人员针对单项测评结果的不符合项,采取逐条判定和优势证据的方法,从安全控制间、层面间和区域间出发,对系统结构进行整体安全测评,给出整体测评的具体结果.采用风险分析的方法分析等级测评结果中存在的安全问题及可能对被测系统安全造成的影响.在此基础上,找出系统保护现状与等级保护基本要求之间的差距,形成等级测评结论.
结论形成后,测评双方有关人员和技术专家按照《技术评审控制程序》对形成等级测评结论进行评审,评审通过的结果判定由测评双方授权代表签字确认.
本过程产生的文档资料,按照《文件记录控制程序》、《保密控制程序》进行分类授权使用和管理.
4.4.2测评报告的编制和分发的质量控制
测评机构按照《信息安全等级测评报告模板(试行)》格式编写报告文档.
测评双方有关人员和专家召开等级测评末次会议,按照《管理评审控制程序》、《技术评审控制程序》对等级报告格式、内容和结论进行评审,评审通过的测评报告文档,按照《文件记录控制程序》盖章、编号,并由测评机构项目经理、质量主管、技术主管联合签发.
测评人员按照《文件记录控制程序》和《保密控制程序》和合同约定的控制范围分发等级测评报告,交接有关资料文档,删除测评设备产生的电子数据.
5结束语
本文依据等级保护相关的政策法规、管理规范和技术标准,结合等级测评活动的公正性、客观性、保密性的要求,对等级测评活动的质量控制进行了分析,为等级测评机构建立质量管理体系和等级测评质量控制提供了借鉴和参考.随着等级保护政策法规和标准规范的不断更新和完善,等级测评活动的质量控制还有待更深入全面的探讨和研究.
本文是一篇质量管理体系论文范文,质量管理体系类有关学士学位论文,关于石化等级测评活动的质量控制相关在职毕业论文范文。适合质量管理体系及信息安全及信息系统方面的的大学硕士和本科毕业论文以及质量管理体系相关开题报告范文和职称论文写作参考文献资料下载。
39-2008信息系统安全等级保护基本要求[S].[6]中国石化集团信息系统安全等级保护基本要求.
[7]信息安全等级测评机构能力要求(试行).
[8]GB/T20271-2006信息安全技术信息系统通用安全技术要求[S].
[9]公信安[2009]1487号.关于印发《信息系统安全等级测评报告模板(试行)》的通知.
[10]郝文江,武捷.三网融合中的安全风险及防范技术研究[J].信息网络安全,2012,(01):5-9.
[11]韩水玲,马敏,王涛等.数字证书应用系统的设计与实现[J].信息网络安全,2012,(09):43-45.
[12]常艳,王冠.网络安全渗透测试研究[J].信息网络安全,2012,(11):3-4.
作者简介:
屈盛福(1966-),男,本科,工程师;研究方向:信息管理和信息化建设、信息安全及等级保护.