信息系统集成设计安装及安全保密服务业审核要点.docx
- 文档编号:7930221
- 上传时间:2023-01-27
- 格式:DOCX
- 页数:16
- 大小:21.59KB
信息系统集成设计安装及安全保密服务业审核要点.docx
《信息系统集成设计安装及安全保密服务业审核要点.docx》由会员分享,可在线阅读,更多相关《信息系统集成设计安装及安全保密服务业审核要点.docx(16页珍藏版)》请在冰豆网上搜索。
信息系统集成设计安装及安全保密服务业审核要点
信息系统集成设计、安装及安全保密服务业审核要点
一、行业特点
1.1该行业主要针对从事以下业务范围的组织:
----
开发和维护市场可获得的软件产品;
----
开发和维护用以支持客户业务过程的专用管理软件;
----
开发和维护嵌入硬件产品的软件;
---- 计算机硬件咨询
…- 计算机软件咨询与提供,软件的出版
......数据的收集和处理(含城市地理信息系统中对测绘获得的信息的计算机矢量化处理)
―― 数据库业务
―― 其他与计算机有关的活动
---- 与计算机应用相关的智能建筑系统集成工程开发或施工安装项目
本次审核的组织质量管理体系所覆盖的范围特指以计算机及计算机网络、计算机应用软件组成的计算机信息系统工程的设计、安装和服务。
对其中涉及国防或国家纳入保密管理的服务活动则应符合国家安全保密规定,在国家保密局相关法规的约束下提供的保密产品的销售\保密方案及解决办法提供\保密计算机的定点维修服务。
通常,信息系统集成设计、安装活动应纳入计算机信息系统集成工程项目实施管理.最终验收应由建设方\设计方\施工方\监理方四方或三方验收(设计\施工为同一单位时),方可放行.
1.2删减问题
计算机信息系统集成的实现过程应包含ISO9001标准规定的所有过程(管理活动\资源提供\产品实现\测量分析和改进).其中产品实现活动中需将顾客要求转化为工程设计成果,通过安装(施工)满足顾客要求.在系统的安装和服务中存在对计算机物理网络系统的安装、联调、联测过程。
这些过程均需策划并满足的GB/T19001-2000标准7.5.1中的6个控制条件仍然是必须的。
在系统集成工程施工过程中也有需确认的过程,如RJ45头的制作,网络综合布线工程中的隐蔽施工工程(管线布线、敷设),7.5.2不能删减。
应对作业人员、施工机具设备\测量装置、所用物料(计算机\网络\接插件\电缆\光缆)、施工方法(施工组织设计及技术交底—尤其是隐蔽工程施工过程)、系统子和系统的测试和验收方法、系统网络的可靠性、安全性作为特殊过程加以严格控制,在工程实施前作能力确认,以保证施工结果满足要求。
因此,不能删减7.3,7.5.1和7.5.2。
二、主要依据标准和法规
2.1标准
BG50200-154
有线电视系统工程技术规范
BMB2-1998
使用场地的信息设备电磁泄漏发射检查测试方法和安全判据
BMB3-1999
处理涉密信息的电磁屏蔽室的技术要求和测试方法
BMB4-2000
电磁干扰器技术要求和测试方法
BMB5-2000
涉密信息设备使用现场的电磁泄漏发射防护要求
BMZ1-2000
涉及国家秘密的计算机信息系统保密技术要求
CECS72.95
建筑与建筑群综合布线系统工程设计规范
DBJ08-47-95
智能建筑设计标准
EIA/TIA-568
民用建筑线缆标准/商业大楼电信布线标准
EIA/TIA-569
民用建筑通信通道和空间标准
EIA/TIA-TSB36/40
民用建筑中有关通信接线标准
GA2-1999
车辆防盗报警系统小客车
GA/T3-1991
便携式防盗安全箱
GA26-1992
军工产品储存库风险等级和安全防护级别的规定
GA27-1992
文物系统博物馆风险等级和安全防护级别的规定
GA28-1992
货币印制企业风险等级和安全防护级别的规定
GA38-1992
银行营业场所风险等级和安全防护级别的规定
GA/T45-1993
警用摄像机与镜头连接
GA/T46-1993
警用摄像机与镜头C、Cs型连接螺纹
GA60-1993
便携式炸药检测箱技术条件
GA/T63-1993
警用摄像机与镜头D型连接螺纹
GA/T64-1993
手持式警用强光器通用技术要求与试验方法
GA68-1994
防刺背心
GA69-1994
防爆毯
GA/T70-1994
安全防范工程费用概预算编制办法
GA/T71-1994
机械钟控定时引爆装置探测器
GA/T73-93
中华人民共和国公共安全行业标准
GA/T74-1994
安全防范系统通用图形符号
GA/T75-1994
安全防范工程程序与要求
GA/T142-1996
排爆机器人通用技术条件
GA/T143-1996
金库门通用技术条件
GA/T731-1994
机械防盗锁
GA164-1997
专用运钞车防护技术要求
GA165-1997
防弹复合玻璃
GA166-1997
防盗保险箱
GA/T367-2001
视频安防监控系统技术要求
GA243-2000
计算机病毒防治产品评级准则
GA163-1997
计算机信息系统安全专用产品分类原则
GJB/Z102-98
《软件可靠性和安全性设计准则》
GB/TXXXX
剧场、电影院和多用途礼堂声学设计规范
GB1584
彩色电视图像传输标准
GB2887-2000
电子计算机场地通用规范
GB17859-99
《计算机信息系统安全保护等级划分准则》
GB3174-1995
PAL—D制广播电视技术规范
GB/T4718-96
火灾报警系统专用名词术语
GB/T4959-95
厅堂扩声特性的测量方法
GB6510-156
电视和声音信号的电缆分配系统
GB9254-1998
信息技术设备的无线电骚扰限值和测量方法
GB9361-1988
计算站场地安全要求
GB9378
广播电视演播系统的视音频和脉冲设备安全要求
GB10308.1-89
中华人民共和国公共安全行业标准
GB10408.1-1989
入侵探测器通用技术条件
GB10408.2-1989
超声波入侵探测器
GB10408.3-1989
微波入侵探测器
GB10408.4-1989
主动红外入侵探测器
GB10408.5-1989
被动红外入侵探测器
GB/T10408.7-1996
超声和被动红外复合入侵探测器
GB/T10408.8-1996
振动入侵探测器
GB10409-1989
防盗保险柜
GB11442-815
卫星电视地球接地站通用技术条件
GB12662-1990
爆炸物销毁器技术条件
GB12663-1990
防盗报警控制器通用技术条件
GB12664-1990
便携式X射线安全检查设备技术条件
GB12899-1991
手持式金属探测器技术条件
GB14050-934
系统接地的形式及安全技术要求
GB15207-1994
视频入侵报警器
GB15208-1994
微剂量X射线安全检查设备
GB15209-1994
磁开关入侵探测器
GB15210-1994
通过式金属探测门通用技术条件
GB/T15211-1994
报警系统环境试验
GB15407-1994
遮挡式微波入侵探测器技术要求和试验方法
GB/T15408-1994
报警系统电源装置、测试方法和性能规范化
GB/T16571-1996
文物系统博物馆安全防范工程设计规范
GB/T16572-1996
防盗报警中心控制台
GB/T16676-1996
银行营业场所安全防范工程设计规范
GB/T16677-1996
报警图像信号有线传输装置
GB16796-1997
安全防范报警设备安全要求和试验方法
GB17565-1998
防盗安全门通用技术条件
GB50045-97
高层民用建筑设计防火规范
GB50116-98
火灾自动报警系统设计规范
GB50169-1992
电气装置安装工程接地装置施工及验收规范
GB50174-1993
电子计算机机房设计规范
GB50194-93
建设工程施工现场供用电安全规范
GB50198-1994
民用闭路监视电视系统工程技术规范
GB50309-2003
智能建筑工程质量验收规范
GB/T50311-2000
建筑与建筑群综合布线系统工程设计规范
GB/T50312-2000
建筑与建筑群综合布线系统工程验收规范
GBKJ-90
通信系统机房设计
GBJ16-87
建筑设计防火规范
GB/T18905.1-2002GB/T18905.2-2002GB/T18905.3-2002
GB/T18905.5-2002
《软件工程产品评价第1部分:
概述》
《软件工程产品评价第2部分:
策划和管理》
《软件工程产品评价第3部分:
开发者用的过程》
《软件工程产品评价第5部分:
评价者用的过程》
GBJ232-82
中国电气装置安装工程施工及验收规范
GGBB1-1999
信息设备电磁泄漏发射限值
GJB/T-471
智能建筑弱电工程设计施工图集
GN16806-97
消防联动控制设备通用技术条件
GY106-93,GY-T106-152
有线电视广播系统技术规范
HYD41-01-1999
电子设备安装工程费用定额
IEEE802.3
总线局域网络标准
IEEE802.5
环形局域网标准
ISO/IECIS11801
国际标准化组织布线标准
JGJ/T16-1992
民用建筑电气设计规范
JGGYJ125
厅堂扩声系统的声学特性指标要求
J121-88
民用建筑电缆电视系统设计规范
SJ2112-XX
厅堂扩声系统设备互联的优选电气配接值
YD5003-94
电信专用房屋设计规范
全国信息网络IP地址编码规范
中华人民共和国计算机信息系统安全保护条例
中国建筑电气设计规范
工业企业通信设计规范
ATM《异步传输模式标准》
采暖通风与空气调节设计规范
民用闭路监视电视系统的工程技术
公共安全防范工程管理暂行规定
低层配电设计规范
系统集成(法律法规)
中华人民共和国合同法
中华人民共和国安全法
《计算机信息系统国际联网保密管理规定》(国家保密局国保发[1999]10号)
第六条:
涉及国家秘密的计算机信息系统不得直接或间接地与国际互联网或其他公共信息网连接,必须实行物理隔离。
《关于加强政府上网信息保密管理的通知》(国家保密局国保发[1999]4号)
第三条:
涉密信息网络必须与公共信息网实行物隔离,在与公共信息网相连的信息设备上不得存储、处理和传递国家秘密信息。
《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》(国家保密局国保发[1998]6号)
第十六条:
涉密系统不得直接或间接与国际联网,必须实行物理隔离。
《计算机信息系统保密管理暂行规定》(国家保密局国保发[1998]1号)
第十一条:
国家秘密信息不得在与国际网络联网的计算机信息系统中存储、处理、传递。
《关于认真做好网络安全隔离卡等保密设施配置工作的通知》(广东省国家保密局粤密局[2001]3号)
四川省人民检察院《四川省检察系统综合信息网安全加密建设规划》
中央保密委员会办公室、国家保密局文件《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》(中保办发〔1998〕6号)
国家保密局文件《计算机信息系统保密管理暂行规定》(国保发〔1998〕1号)
中华人民共和国公安部令23号《计算机信息系统安全专用产品检测和销售许可证管理办法》
建筑智能化系统工程设计管理暂行规定(建设部建设[1997]290号文件)
建筑智能化系统工程设计和系统集成执业资质标准(建设部建设[1997]290号文)
2.2、行业法规:
1、计量法
2、标准化法
3、产品质量法
4、销费者权益保护法
5、合同法
6、劳动法
7、计算机信息系统集成资质等级评定条件
8、计算机信息系统集成资质管理办法
9、信息系统工程监理暂行规定(2002年12月15日起实施)
三、计算机系统设计安装及保密服务流程(见公司质量手册、程序文件)
四、过程审核要点:
1、审核的专业小类33.01.00计算机硬件咨询,33.02.02计算机软件咨询与提供.
2、(4.1)体系文件对专业活动过程是否识别和展开,过程之间的关系是否描述清楚?
控制方法是否明确?
外包过程是否识别并明确控制要求?
3、注意电子文档的控制方法是否规定?
控制是否有效?
(4.2.3)
4、人员能力、资格情况(计算机系统集成工程师、计算机系统集成项目管理员其他计算机有关的资格)(6.2)
5、对产品(项目)实现策划(7.1)和产品的设计开发的审核(7.3):
a)审核7.1应注意因项目的特殊性而对每项目都可能需要“策划”。
内容应包括产品实现的过程、方法、接收准则并形成带专业属性的“项目方案或计划”,确保有效性。
b)在本行业中,往往组织为满足用户要求,在合同签定前的投标、应标阶段就会完成项目的《方案设计》文档。
这一文档可能已经是项目的实际开发结果既《项目的实施方案》,而同时又成为项目的设计输出文档之一。
所以,按ISO9000标准7.1注1的指南,可以将7.3.1的证据用于7.1的开发,则此处的《方案设计》文档,可能既是7.1产品实现策划的证据,又是产品设计开发的证据。
c)计算机信息系统的设计开发结果的验证\确认活动,通常都是通过对工程项目的子项目验收和系统项目竣工验收实现的。
对特定的一个计算机信息系统集成只有在完成子系统和总系统的安装调测后才可验证和确认。
因此,7.3.5/7.3.6的审核发现可能同时就是7.5.1e),8.2.3,8.2.4的审核发现。
d)注意收集7.3.2输入评审、7.3.4输出(由设计开发策划所确定的各项目实施阶段的)评审证据。
由于行业惯例,对设计输入的评审,可以对招标书、邀标书或用户提交的技术协议的评审记录作为设计输入评审。
而且,评审的时机可能是在项目合同签定之前。
在正式的设计开发阶段,不再做评审。
审核时应该加以认同。
但应注意区别7.2.2的评审和7.3.2的评审的不同和共同点。
而设计输出评审,应包括对上述方案的评审和对其他详细设计的评审。
e)对7.3.3设计开发输出的审核,应注意收集设计文件、图纸的充分性、适宜性、完整性、有效性及审核批准放行情况的证据(包括系统方案、系统拓扑结构设计图、系统设备安装布局图、网络布线图、系统连接图、系统IP地址分配图、系统配置图/表、系统及子系统联调/测试大纲或策划的测试方案等);文件的状态标识(7.5.3)(名称、版本、编号、生成日期);
6、在审核7.4时,应注意对组织实施的项目中涉及的采购活动中的供方的资质、代理(特许)证、产品的质量保证证明、有CCC强制认证要求的证据的收集完整性。
7、在审核7.5.1时,应要求组织提供按系统集成工程管理的施工开工令(监理发出)、施工组织设计文件、技术交底(尤其关注隐蔽施工过程的技术交底)以及必须的其他施工作业指导书的情况、施工机具设备的准备和配置、施工检验装置的配置、施工过程的检查记录(系统集成项目计划书、用户方施工条件确认表、进场材料验收交接清单、施工日志、隐蔽工程记录、任务分配实施记录、设备安装记录、设备交接记录表、用户系统安装与维护手册等)。
寻求各部门时应注意材料验收、系统及子系统的验收均应由具有从事“信息系统工程监理”的人员资格(信息系统工程监理工程师)对信息系统工程监理实施有效监理签章放行。
8、对7.5.2的审核应查验组织是否识别了需对其过程能力进行确认的“特殊过程”?
有关过程能力确
认的安排是否形成文件,是否在施工前做过程能力确认并保持记录?
信息保密服务是一个特殊的服务过程。
应识别为需要对过程能力进行确认的“过程”。
应通过审核获得组织已经识别,并对过程能力确认准则、方法以及确认记录已经安排并实施的证据。
9、对7.5.3的审核应查验对系统集成施工过程中设备、材料、施工过程、设备配置情况、端口、光缆线缆线序、走向等标识;
9、审核7.5.4时应收集对顾客提供实物、软件、数据资料、安装场地的防护措施和防护有效性证据;
10、审核7.5.5时应注意收集对顾客提供实物财产或施工中选用的计算机网络、主机设备、材料的防护措施和效果;
11、对7.6的审核,带有很强的专业性,审核时,应注意监视测量装置已经识别、配置、实施校准或检定有效的记录(包括用于计算机系统工程测试的计算机软件),确保满足法规要求。
12、如建设方委托了监理,所有的系统集成施工过程记录(8.2.3)和验证、检验记录(8.2.4)均应有监理活动,并由监理方、建设方、施工方确认后才能放行。
13、对8.3不合格品的控制审核,应包括收集不合格施工过程、不合格服务(人为、行为)、不合格产品、不合格项(系统集成子项)控制有效的证据;以及工程项目实施过程中的阶段评审和现场监理工程师提出的需整改部分的处置和回归测试的证据。
本文源自:
ISO爱好者论坛(
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息系统 集成 设计 安装 安全保密 服务业 审核 要点