(上海高重信息科技有限公司 上海 200333)

引言

《中华人民共和国网络安全法》正式实施，使网络安全等级保护成为国家网络安全的一项基本制度，随之上海高重信息科技有限公司等级保护测评项目数量日益增多。鉴于测评项目用户涉及各行各业、被测信息系统结构复杂、种类繁多等原因，给测评项目的顺利实施带来一定的挑战。在等级保护主管部门及公司的要求下，确保所有测评项目符合等级保护要求是一项重要的前提，而有效实施项目质量管理则是保障测评项目成功进行的一个重要因素。

一、质量管理概述

通常，IT项目质量管理是通过实施诸如质量规划、质量保证、质量控制及持续改进等活动，在预定的项目进度、成本、技术等要求下，满足或超出预期设定的质量目标的过程[1]。从项目管理角度来看，项目的启动、计划、执行、监控及收尾五个阶段构成了一个完整的项目实施过程，有效的项目质量管理的实施，需贯穿上述各个阶段，无论在哪个阶段出现问题，均可能给项目的质量及整个项目顺利执行带来负面影响。在等级保护测评项目中，项目是否成功，与项目质量的好坏有着非常密切的关系，也是项目管理过程中的一个关键因素。下面通过一个案例，介绍在等级保护测评项目中，是如何在质量规划、质量保证和质量控制环节实施质量管理的[2]。

二、项目背景

某医院综合管理系统建成后，促进了医院管理和机制创新，提升了医院现代化管理水平，其经济效益与行业影响力也得到了进一步的提高。在国家网络安全等级保护制度要求下，医院从信息系统整体安全性考虑，决定对综合管理系统按照等级保护第三级基本要求实施测评工[3]作。项目组成立后，我被公司任命为项目质量管理负责人，对该项目质量管理工作负责，项目质量管理部由质量主管、质量管理员、设备管理员、文档管理员等6人组成。

在测评项目实施期间，结合某医院网络安全项目(涉及到医院医疗信息管理、多媒体系统、远程会诊系统、网上挂号、数据库管理系统等网络平台)的实际情况，编制了该测评项目整体实施计划，并严格按照实施计划有条不紊地开展，对影响项目的三个关键目标，即“进度、成本、质量”之间的相互影响及内在关联进行分析与兼顾[4]。该项目最终成功验收，与项目中实施了有效的质量管理是分不开的，项目质量管理计划如何编制，质量保证活动如何运行及质量控制如何实施，将在下面进行介绍。

(一)编制质量计划

要做好该项目质量管理，我首先带领项目质量管理部团队，编制了一个符合该医院网络安全项目实际需求的质量管理计划，良好的管理计划能制定合适的项目质量目标，规划出相关的质量管理活动，并对同事们的质量管理行为进行指导[5]。

我带领项目组经过与用户相关干系人仔细沟通，对该项目质量期望进行了充分了解，对本项目质量目标达成了一致，确保在合同规定时间内保证质量完成等级保护测评工作，并顺利通过验收。具体指标分解如下表1所示：

表1 项目质量目标

随后根据项目合同及需求文件明确项目的范围，确定被测信息系统的对象，涵盖安全技术层面，如物理、网络、主机、应用及数据安全等内容，并采用鱼骨刺图、流程图等方法对可能影响项目质量的问题逐一分析，确认影响项目质量的关键因素，并设置合理的监控指标[6]，把符合质量目标的工作任务贯彻到项目整体管理过程中。结合医院的实际情况，经过综合分析，影响本次测评项目质量的关键因素包括人员、方法、工具、数据及管理五个层面，每个层面又包含若干个子因素[7]，具体如下图1所示：

图1 项目质量鱼骨刺图

上图中，从医院网络安全质量管理实际情况出发，简要列举了影响项目质量的关键因素，在项目各阶段实施对应的控制点，形成配套检查文件，制定审核控制流程，质量管理人员及时对控制点进行检查，并提出改正措施。

编制完质量管理计划后，由质量管理部门和测评项目组双方组成的评审小组开展针对质量管理计划的评审工作：总结各方的反馈意见，对质量管理计划中存在异议的内容进行修订，然后进行再次评审(根据项目管控要求，原则上不超过三次)，直至全部通过。同时，明确医院网络相关干系人在质量计划中的角色及责任，相互协作，为后续项目的顺利实施提供了保障。

(二)实施质量保证

质量保证是项目质量管理中的一个重要的环节，它贯穿于整个项目的各个阶段，是为了满足项目的质量目标所提供的保证活动[8]。质量保证与质量控制的区别在于，质量保证关注的是项目“全过程”的保证，而质量控制则是为项目是否满足质量标准的“结果”负责。质量管理计划编制完成并通过审核后，质量管理人员以管理计划为基础，从项目流程、实施、知识储备、人力安排、沟通、持续改进等多个层面[9]，有条不紊的开展质量保证活动。本次测评项目的质量保证活动，主要体现在下述三个层面：

(1)依照公司相关质量要求，对项目关键活动及其交付物进行评审。

在测评项目实施的各个项目阶段，都设置定期评审工作任务，评审任务包括测评委托授权书、测评方案、测评实施计划、首末次会议等，并通过《质量保证检查表》、《质量保证周报》、《质量问题跟踪表》等形式，及时向项目管理者报告实施过程中与既定计划出现的偏差[10]，使项目管理者及时获知项目进展中的各类质量数据及信息，以便及时采取有利于的保证过程及服务质量的措施。如《质量保证检查表》部分内容，如下表2所示：

表2 质量保证检查表(部分)

(2)质量保证人员及时、准确的把评审结果反馈至项目相关成员。

我带领项目质量管理团队对评审结果及时进行分析，并制定详细、切合实际的措施，对项目质量出现的偏差进行纠正，最大程度上避免项目偏差可能对项目造成的损失[11]。

比如在信息系统调研阶段，医院提供的信息系统调研表填写不详细，无法准确选取测评对象，项目不能按计划开展现场测评。致使调研阶段花费的时间超过估算，拖延了项目整体进度要求。当项目进度偏差达到15%时，质量保证人员全力及时介入，实时提出进度延期预警。为此，我带领项目质量管理团队及时召集医院网络安全管理人员召开临时会议，抽调公司经验丰富的网络安全测评工作人员，明确各项责任人，采用集中办公方式，利用网络暂停对外服务时间加点调研，保持有效沟通，逐步赶上了项目进度要求。

(3)核查并解决项目文档与公司过程文档不一致问题。

在评审和审核过程中，我要求团队的质保工程师对发现的不一致问题，均详细记录在《质量保证审计报告》中，并将该纪录提交质量管理组[11]，然后统一指定责任人并分派问题，此后质量保证人员将持续跟踪该问题解决进展，直至解决；质量保证人员再次验证无误后，关闭该问题，并在《问题跟踪表中》中做好记录。若问题未得到有效解决，质量保证人员便将其及时提交给我部，由我及上级领导做出判断决策。

良好的质量保证活动，使本项目的质量目标得以保证，主要成效表现在测评过程效率提高，测评准确率提升，双方沟通顺畅，同时客户满意度也得以大幅提高。

(三)实施质量控制

实施质量控制是项目质量管理的另一个关键环节，它是管理人员采取行之有效的控制手段，对项目进行监督、判断并消除实施过程中产生的影响质量目标的不良结果的过程[12]。为了保证测评项目满足预期设定的进度、成本及质量要求，全面的质量控制需贯穿于项目的各个阶段之中，并综合考虑影响项目质量的关键因素，采取有效的管理和技术措施最大程度上消除不良因素对项目质量的影响。

在本项目实施过程中，针对项目实施的各个阶段，包括前期准备、测评方案编写、现场测评实施、测评报告编写四个阶段[13]，均实施有效的质量控制：

(1)预防为主

严格贯彻“预防为主”的思想，并与公司监督检查的要求相结合，在测评实施的各个环节实施有效的质量控制；同时，在项目启动会上强调项目质量的重要性，提升项目组成员项目质量意识。

(2)监督检查

公司已构建完善的监督检查流程，在项目实施的每个阶段均设置严格的控制点，并通过项目周报、问题列表、方案评审、交叉检查等手段[14]，来发现项目各个阶段中的偏离及不符合项。

另外，在项目各个阶段，如前期准备、测评方案编制、现场测评、测评报告编写等完成后，实行阶段性审查和评审，对于发现的问题及时安排相关人员解决，并对问题解决情况进行记录。项目各阶段设置的部分控制点如下表所示：

表3 各阶段控制点列表

按公司测评项目质量管理要求，上述表中文件为必要项，且针对每个交付物均制定详细的审核流程，如测评方案评审、测评实施计划评审、风险分析列表评审、等保测评报告评审等。

下面举例说明关于《信息系统等级保护测评报告》审核过程，此文件为里程碑文件，将整个评审过程细分成校审人审核、审核人审核和批准人审核三个环节[15]，各级审核流程如下所示：

图2 校审人审核流程图

说明：此环节由校审人对测评报告进行审核，如校审人提出修改意见，则退回编制人进行修改，若无意见，该环节结束。

图3 审核人审核流程图

说明：校审人审核通过后触发审核人审核环节，审核人针对测评报告进行评审，如审核人提出修改意见，则退回编制人进行修改，若无意见，该环节结束。

图4 批准人审核流程图

说明：本环节待批准人通过审核后，生成《测评报告审核记录表》，以供存档使用。

(3)及时纠偏

通过监督检查，可及时发现各阶段出现的问题，对偏离既定项目质量目标的偏差做到及时识别、评估，并根据项目实际情况采取有效的纠偏措施，在后续项目实施过程中持续监控，确保关键问题得到及时纠正。

(4)有效沟通

针对该测评项目，公司任命专职项目经理，全面负责与医院沟通工作，对医院的质量期望做到深刻理解，并将其融合在各个质量控点中。通过现场、电话交流、周例会、工作日报、首末次会议等沟通方式，确保与用户沟通保持积极有效。

三、结语

本文将某医院项目质量管理与等级保护测评项目实施结合起来，简要概述了质量管理在测评项目中的应用，对于提升等级保护项目的质量具有一定的借鉴意义。经过近两个月的医院工作实施，我带领的项目组成员均良好的履行了自己的职责，加之质量管理手段的有效合规实施，为项目在规定的进度、成本及质量要求下顺利完成提供了保障，达到项目组设定的质量目标。回顾项目整个过程，对项目质量的重视及采取合理的控制方法是该项目成功的一个关键因素。在后续项目中，将继续强化质量管理，主要体现在如下几个方面：1)完善定期修订机制，持续改进内部评审方法，逐渐引入QA外审；2)加强项目质量管理经验的积累、提炼和共享，完善质管知识库，实现资源和知识共享；3)重视成员之间的交流、学习，定期进行内部及外部培训，提高成员项目质量意识。