信息系统集成设计、安装及安全保密服务业审核要点
一、行业特点1.1该行业主要针对从事以下业务范围的组织:开发和维护市场可获得的软件产品;开发和维护用以支持客户业务过程的专用管理软件;开发和维护嵌入硬件产品的软件;---- 计算机硬件咨询- 计算机软件咨询与提供,软件的出版数据的收集和处理(含城市地理信息系统中对测绘获得的信息的计算机矢量化处理)―― 数据库业务―― 其他与计算机有关的活动---- 与计算机应用相关的智能建筑系统集成工程开发或施工安装项目本次审核的组织质量管理体系所覆盖的范围特指以计算机及计算机网络、计算机应用软件组成的计算机信息系统工程的设计、安装和服务。对其中涉及国防或国家纳入保密管理的服务活动则应符合国家安全保密规定,在国家保密局相关法规的约束下提供的保密产品的销售\保密方案及解决办法提供\保密计算机的定点维修服务。通常,信息系统集成设计、安装活动应纳入计算机信息系统集成工程项目实施管理.最终验收应由建设方\设计方\施工方\监理方四方或三方验收(设计\施工为同一单位时),方可放行.1.2删减问题计算机信息系统集成的实现过程应包含ISO9001标准规定的所有过程(管理活动\资源提供\产品实现\测量分析和改进).其中产品实现活动中需将顾客要求转化为工程设计成果,通过安装(施工)满足顾客要求.在系统的安装和服务中存在对计算机物理网络系统的安装、联调、联测过程。这些过程均需策划并满足的GB/T19001标准8.5.1中的6个控制条件仍然是必须的。在系统集成工程施工过程中也有需确认的过程,如RJ45头的制作,网络综合布线工程中的隐蔽施工工程(管线布线、敷设),8.5.1 f)不能删减。应对作业人员、施工机具设备\测量装置、所用物料(计算机\网络\接插件\电缆\光缆)、施工方法(施工组织设计及技术交底—尤其是隐蔽工程施工过程)、系统子和系统的测试和验收方法、系统网络的可靠性、安全性作为特殊过程加以严格控制,在工程实施前作能力确认,以保证施工结果满足要求。因此,不能删减8.3,8.5.1。二、主要依据标准和法规2.1 标准BG50200-154有线电视系统工程技术规范
BMB2-1998使用场地的信息设备电磁泄漏发射检查测试方法和安全判据
BMB3-1999处理涉密信息的电磁屏蔽室的技术要求和测试方法
BMB4-2000电磁干扰器技术要求和测试方法
BMB5-2000涉密信息设备使用现场的电磁泄漏发射防护要求
BMZ1-2000涉及国家秘密的计算机信息系统保密技术要求
CECS 72.95建筑与建筑群综合布线系统工程设计规范
DBJ08-47-95智能建筑设计标准
EIA/TIA-568民用建筑线缆标准/商业大楼电信布线标准
EIA/TIA-569民用建筑通信通道和空间标准
EIA/TIA-TSB 36/40 民用建筑中有关通信接线标准
GA 2-1999车辆防盗报警系统 小客车
GA/T3-1991便携式防盗安全箱
GA 26-1992军工产品储存库风险等级和安全防护级别的规定
GA 27-1992文物系统博物馆风险等级和安全防护级别的规定
GA 28-1992货币印制企业风险等级和安全防护级别的规定
GA 38-1992银行营业场所风险等级和安全防护级别的规定
GA/T 45-1993警用摄像机与镜头连接
GA/T 46-1993警用摄像机与镜头C、Cs型连接螺纹
GA 60-1993便携式炸药检测箱技术条件
GA/T 63-1993警用摄像机与镜头D型连接螺纹
GA/T 64-1993手持式警用强光器通用技术要求与试验方法
GA 68-1994防刺背心
GA 69-1994防爆毯
GA/T 70-1994安全防范工程费用概预算编制办法
GA/T 71-1994机械钟控定时引爆装置探测器
GA/T73-93中华人民共和国公共安全行业标准
GA/T 74-1994安全防范系统通用图形符号
GA/T 75-1994安全防范工程程序与要求
GA/T 142-1996排爆机器人通用技术条件
GA/T 143-1996金库门通用技术条件
GA/T 731-1994机械防盗锁
GA 164-1997专用运钞车防护技术要求
GA 165-1997防弹复合玻璃
GA 166-1997防盗保险箱
GA/T367-2001视频安防监控系统技术要求
GA243-2000计算机病毒防治产品评级准则
GA163-1997计算机信息系统安全专用产品分类原则
GJB/Z102-98《软件可靠性和安全性设计准则》
GB/T XXXX剧场、电影院和多用途礼堂声学设计规范
GB1584彩色电视图像传输标准
GB2887-2000电子计算机场地通用规范
GB17859-99《计算机信息系统安全保护等级划分准则》
GB3174-1995PAL—D制广播电视技术规范
GB/T4718-96火灾报警系统专用名词术语
GB/T 4959-95厅堂扩声特性的测量方法
GB6510-156电视和声音信号的电缆分配系统
GB9254-1998信息技术设备的无线电骚扰限值和测量方法
GB9361-1988计算站场地安全要求
GB9378广播电视演播系统的视音频和脉冲设备安全要求
GB10308.1-89中华人民共和国公共安全行业标准
GB 10408.1-1989入侵探测器通用技术条件
GB 10408.2-1989超声波入侵探测器
GB 10408.3-1989微波入侵探测器
GB 10408.4-1989主动红外入侵探测器
GB 10408.5-1989被动红外入侵探测器
GB/T 10408.7-1996超声和被动红外复合入侵探测器
GB/T 10408.8-1996振动入侵探测器
GB 10409-1989防盗保险柜
GB11442-815卫星电视地球接地站通用技术条件
GB 12662-1990爆炸物销毁器技术条件
GB 12663-1990防盗报警控制器通用技术条件
GB 12664-1990便携式X射线安全检查设备技术条件
GB 12899-1991手持式金属探测器技术条件
GB 14050-934系统接地的形式及安全技术要求
GB 15207-1994视频入侵报警器
GB 15208-1994微剂量X射线安全检查设备
GB 15209-1994磁开关入侵探测器
GB 15210-1994通过式金属探测门通用技术条件
GB/T 15211-1994报警系统环境试验
GB 15407-1994遮挡式微波入侵探测器技术要求和试验方法
GB/T 15408-1994报警系统电源装置、测试方法和性能规范化
GB/T 16571-1996文物系统博物馆安全防范工程设计规范
GB/T 16572-1996防盗报警中心控制台
GB/T 16676-1996银行营业场所安全防范工程设计规范
GB/T 16677-1996报警图像信号有线传输装置
GB 16796-1997安全防范报警设备 安全要求和试验方法
GB 17565-1998防盗安全门通用技术条件
GB50045-97高层民用建筑设计防火规范
GB50116-98火灾自动报警系统设计规范
GB50169-1992电气装置安装工程接地装置施工及验收规范
GB50174-1993电子计算机机房设计规范
GB 50194-93建设工程施工现场供用电安全规范
GB 50198-1994民用闭路监视电视系统工程技术规范
GB 50309-2003智能建筑工程质量验收规范
GB/T 50311-2000建筑与建筑群综合布线系统工程设计规范
GB/T 50312-2000建筑与建筑群综合布线系统工程验收规范
GBKJ-90通信系统机房设计
GBJ16-87建筑设计防火规范
GB/T18905.1-2002 GB/T18905.2-2002 GB/T18905.3-2002GB/T18905.5-2002《软件工程产品评价第1部分:概述》 , v, C5 @% M; _$ Q6 O8 o6 w
《软件工程产品评价第2部分:策划和管理》
《软件工程产品评价第3部分:开发者用的过程》 《软件工程产品评价第5部分:评价者用的过程》
GBJ232-82中国电气装置安装工程施工及验收规范
GGBB1-1999信息设备电磁泄漏发射限值
GJB/T-471智能建筑弱电工程设计施工图集
GN16806-97消防联动控制设备通用技术条件
GY106-93 ,GY-T106-152有线电视广播系统技术规范
HYD 41-01-1999电子设备安装工程费用定额
IEEE 802.3总线局域网络标准
IEEE 802.5环形局域网标准
ISO/IEC IS 11801国际标准化组织布线标准
JGJ/T 16-1992民用建筑电气设计规范
JG GYJ125厅堂扩声系统的声学特性指标要求
J121-88民用建筑电缆电视系统设计规范
SJ2112-XX厅堂扩声系统设备互联的优选电气配接值
YD5003-94电信专用房屋设计规范
全国信息网络IP地址编码规范
中华人民共和国计算机信息系统安全保护条例
中国建筑电气设计规范
工业企业通信设计规范
ATM《异步传输模式标准》
采暖通风与空气调节设计规范
民用闭路监视电视系统的工程技术
公共安全防范工程管理暂行规定
低层配电设计规范
系统集成(法律法规)
中华人民共和国合同法
中华人民共和国安全法
《计算机信息系统国际联网保密管理规定》(国家保密局国保发 10号)第六条:涉及国家秘密的计算机信息系统不得直接或间接地与国际互联网或其他公共信息网连接,必须实行物理隔离。
《关于加强政府上网信息保密管理的通知》(国家保密局国保发 4号)第三条:涉密信息网络必须与公共信息网实行物隔离,在与公共信息网相连的信息设备上不得存储、处理和传递国家秘密信息。
《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》(国家保密局国保发 6号)第十六条:涉密系统不得直接或间接与国际联网,必须实行物理隔离。
《计算机信息系统保密管理暂行规定》(国家保密局国保发 1号)第十一条:国家秘密信息不得在与国际网络联网的计算机信息系统中存储、处理、传递。
《关于认真做好网络安全隔离卡等保密设施配置工作的通知》(广东省国家保密局粤密局 3号)
四川省人民检察院《四川省检察系统综合信息网安全加密建设规划》
中央保密委员会办公室、国家保密局文件《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》(中保办发〔1998〕6号)
国家保密局文件《计算机信息系统保密管理暂行规定》(国保发〔1998〕1号)
中华人民共和国公安部令23号《计算机信息系统安全专用产品检测和销售许可证管理办法》
建筑智能化系统工程设计管理暂行规定(建设部建设290号文件)
建筑智能化系统工程设计和系统集成执业资质标准(建设部建设290号文)
2.2、行业法规:1、计量法2、标准化法3、产品质量法4、销费者权益保护法5、合同法6、劳动法7、计算机信息系统集成资质等级评定条件8、计算机信息系统集成资质管理办法9、信息系统工程监理暂行规定(2002年12月15 日起实施) 三、计算机系统设计安装及保密服务流程(见公司质量手册、程序文件)四、过程审核要点:1、审核的专业小类33.01.00计算机硬件咨询,33.02.02计算机软件咨询与提供.2、(4.1)体系文件对专业活动过程是否识别和展开,过程之间的关系是否描述清楚?控制方法是否明确?) V% J7 z+ g) `5 p9 _" s+ @" \
外包过程是否识别并明确控制要求?3、注意电子文档的控制方法是否规定?控制是否有效?(7.5) 4、人员能力、资格情况(计算机系统集成工程师、计算机系统集成项目管理员其他计算机有关的资格)(7.2)5、对产品(项目)实现策划(8.1)和产品的设计开发的审核(8.3):a) 审核8.1应注意因项目的特殊性而对每项目都可能需要“策划”。内容应包括产品实现的过程、方法、接收准则并形成带专业属性的“项目方案或计划”,确保有效性。 b) 在本行业中,往往组织为满足用户要求,在合同签定前的投标、应标阶段就会完成项目的《方案设计》文档。这一文档可能已经是项目的实际开发结果既《项目的实施方案》,而同时又成为项目的设计输出文档之一。所以,按ISO9000标准8.1注1的指南,可以将8.3.1的证据用于8.1的开发,则此处的《方案设计》文档,可能既是8.1产品实现策划的证据,又是产品设计开发的证据。c) 计算机信息系统的设计开发结果的验证\确认活动,通常都是通过对工程项目的子项目验收和系统项目竣工验收实现的。对特定的一个计算机信息系统集成只有在完成子系统和总系统的安装调测后才可验证和确认。因此,8.3.4/8.3.5的审核发现可能同时就是8.5.1f),9.1的审核发现。d) 注意收集8.3.2输入评审、8.3.5输出(由设计开发策划所确定的各项目实施阶段的)评审证据。由于行业惯例,对设计输入的评审,可以对招标书、邀标书或用户提交的技术协议的评审记录作为设计输入评审。而且,评审的时机可能是在项目合同签定之前。在正式的设计开发阶段,不再做评审。审核时应该加以认同。但应注意区别8.2.3的评审和8.3.3的评审的不同和共同点。而设计输出评审,应包括对上述方案的评审和对其他详细设计的评审。e) 对8.3.4设计开发输出的审核,应注意收集设计文件、图纸的充分性、适宜性、完整性、有效性及审核批准放行情况的证据(包括系统方案、系统拓扑结构设计图、系统设备安装布局图、网络布线图、系统连接图、系统IP地址分配图、系统配置图/表、系统及子系统联调/测试大纲或策划的测试方案等);文件的状态标识(7.5.2)(名称、版本、编号、生成日期);6、在审核8.4时,应注意对组织实施的项目中涉及的采购活动中的供方的资质、代理(特许)证、产品的质量保证证明、有CCC强制认证要求的证据的收集完整性。7、在审核8.5.1时,应要求组织提供按系统集成工程管理的施工开工令(监理发出)、施工组织设计文件、技术交底(尤其关注隐蔽施工过程的技术交底)以及必须的其他施工作业指导书的情况、施工机具设备的准备和配置、施工检验装置的配置、施工过程的检查记录(系统集成项目计划书、用户方施工条件确认表、进场材料验收交接清单、施工日志、隐蔽工程记录、任务分配实施记录、设备安装记录、设备交接记录表、用户系统安装与维护手册等)。寻求各部门时应注意材料验收、系统及子系统的验收均应由具有从事“信息系统工程监理”的人员资格(信息系统工程监理工程师)对信息系统工程监理实施有效监理签章放行。8、对8.5.1 f)的审核应查验组织是否识别了需对其过程能力进行确认的“特殊过程”?有关过程能力确认的安排是否形成文件,是否在施工前做过程能力确认并保持记录?信息保密服务是一个特殊的服务过程。应识别为需要对过程能力进行确认的“过程”。应通过审核获得组织已经识别,并对过程能力确认准则、方法以及确认记录已经安排并实施的证据。9、对8.5.2的审核应查验对系统集成施工过程中设备、材料、施工过程、设备配置情况、端口、光缆线缆线序、走向等标识;9、审核8.5.3时应收集对顾客提供实物、软件、数据资料、安装场地的防护措施和防护有效性证据;10、审核8.5.4时应注意收集对顾客提供实物财产或施工中选用的计算机网络、主机设备、材料的防护措施和效果;11、对7.1.5的审核,带有很强的专业性,审核时,应注意监视测量装置已经识别、配置、实施校准或检定有效的记录(包括用于计算机系统工程测试的计算机软件),确保满足法规要求。
12、如建设方委托了监理,所有的系统集成施工过程记录和验证、检验记录(8.6)均应有监理活动,并由监理方、建设方、施工方确认后才能放行。 13、对8.7不合格品的控制审核,应包括收集不合格施工过程、不合格服务(人为、行为)、不合格产品、不合格项(系统集成子项)控制有效的证据;以及工程项目实施过程中的阶段评审和现场监理工程师提出的需整改部分的处置和回归测试的证据。 ----来源于网络
页:
[1]