淺議醫(yī)院網(wǎng)絡(luò)安全等級保護測評中的質(zhì)量管理

(上海高重信息科技有限公司 上海 200333)

引言

《中華人民共和國網(wǎng)絡(luò)安全法》正式實施，使網(wǎng)絡(luò)安全等級保護成為國家網(wǎng)絡(luò)安全的一項基本制度，隨之上海高重信息科技有限公司等級保護測評項目數(shù)量日益增多。鑒于測評項目用戶涉及各行各業(yè)、被測信息系統(tǒng)結(jié)構(gòu)復(fù)雜、種類繁多等原因，給測評項目的順利實施帶來一定的挑戰(zhàn)。在等級保護主管部門及公司的要求下，確保所有測評項目符合等級保護要求是一項重要的前提，而有效實施項目質(zhì)量管理則是保障測評項目成功進行的一個重要因素。

一、質(zhì)量管理概述

通常，IT項目質(zhì)量管理是通過實施諸如質(zhì)量規(guī)劃、質(zhì)量保證、質(zhì)量控制及持續(xù)改進等活動，在預(yù)定的項目進度、成本、技術(shù)等要求下，滿足或超出預(yù)期設(shè)定的質(zhì)量目標的過程[1]。從項目管理角度來看，項目的啟動、計劃、執(zhí)行、監(jiān)控及收尾五個階段構(gòu)成了一個完整的項目實施過程，有效的項目質(zhì)量管理的實施，需貫穿上述各個階段，無論在哪個階段出現(xiàn)問題，均可能給項目的質(zhì)量及整個項目順利執(zhí)行帶來負面影響。在等級保護測評項目中，項目是否成功，與項目質(zhì)量的好壞有著非常密切的關(guān)系，也是項目管理過程中的一個關(guān)鍵因素。下面通過一個案例，介紹在等級保護測評項目中，是如何在質(zhì)量規(guī)劃、質(zhì)量保證和質(zhì)量控制環(huán)節(jié)實施質(zhì)量管理的[2]。

二、項目背景

某醫(yī)院綜合管理系統(tǒng)建成后，促進了醫(yī)院管理和機制創(chuàng)新，提升了醫(yī)院現(xiàn)代化管理水平，其經(jīng)濟效益與行業(yè)影響力也得到了進一步的提高。在國家網(wǎng)絡(luò)安全等級保護制度要求下，醫(yī)院從信息系統(tǒng)整體安全性考慮，決定對綜合管理系統(tǒng)按照等級保護第三級基本要求實施測評工[3]作。項目組成立后，我被公司任命為項目質(zhì)量管理負責人，對該項目質(zhì)量管理工作負責，項目質(zhì)量管理部由質(zhì)量主管、質(zhì)量管理員、設(shè)備管理員、文檔管理員等6人組成。

在測評項目實施期間，結(jié)合某醫(yī)院網(wǎng)絡(luò)安全項目(涉及到醫(yī)院醫(yī)療信息管理、多媒體系統(tǒng)、遠程會診系統(tǒng)、網(wǎng)上掛號、數(shù)據(jù)庫管理系統(tǒng)等網(wǎng)絡(luò)平臺)的實際情況，編制了該測評項目整體實施計劃，并嚴格按照實施計劃有條不紊地開展，對影響項目的三個關(guān)鍵目標，即“進度、成本、質(zhì)量”之間的相互影響及內(nèi)在關(guān)聯(lián)進行分析與兼顧[4]。該項目最終成功驗收，與項目中實施了有效的質(zhì)量管理是分不開的，項目質(zhì)量管理計劃如何編制，質(zhì)量保證活動如何運行及質(zhì)量控制如何實施，將在下面進行介紹。

(一)編制質(zhì)量計劃

要做好該項目質(zhì)量管理，我首先帶領(lǐng)項目質(zhì)量管理部團隊，編制了一個符合該醫(yī)院網(wǎng)絡(luò)安全項目實際需求的質(zhì)量管理計劃，良好的管理計劃能制定合適的項目質(zhì)量目標，規(guī)劃出相關(guān)的質(zhì)量管理活動，并對同事們的質(zhì)量管理行為進行指導(dǎo)[5]。

我?guī)ьI(lǐng)項目組經(jīng)過與用戶相關(guān)干系人仔細溝通，對該項目質(zhì)量期望進行了充分了解，對本項目質(zhì)量目標達成了一致，確保在合同規(guī)定時間內(nèi)保證質(zhì)量完成等級保護測評工作，并順利通過驗收。具體指標分解如下表1所示：

表1 項目質(zhì)量目標

隨后根據(jù)項目合同及需求文件明確項目的范圍，確定被測信息系統(tǒng)的對象，涵蓋安全技術(shù)層面，如物理、網(wǎng)絡(luò)、主機、應(yīng)用及數(shù)據(jù)安全等內(nèi)容，并采用魚骨刺圖、流程圖等方法對可能影響項目質(zhì)量的問題逐一分析，確認影響項目質(zhì)量的關(guān)鍵因素，并設(shè)置合理的監(jiān)控指標[6]，把符合質(zhì)量目標的工作任務(wù)貫徹到項目整體管理過程中。結(jié)合醫(yī)院的實際情況，經(jīng)過綜合分析，影響本次測評項目質(zhì)量的關(guān)鍵因素包括人員、方法、工具、數(shù)據(jù)及管理五個層面，每個層面又包含若干個子因素[7]，具體如下圖1所示：

圖1 項目質(zhì)量魚骨刺圖

上圖中，從醫(yī)院網(wǎng)絡(luò)安全質(zhì)量管理實際情況出發(fā)，簡要列舉了影響項目質(zhì)量的關(guān)鍵因素，在項目各階段實施對應(yīng)的控制點，形成配套檢查文件，制定審核控制流程，質(zhì)量管理人員及時對控制點進行檢查，并提出改正措施。

編制完質(zhì)量管理計劃后，由質(zhì)量管理部門和測評項目組雙方組成的評審小組開展針對質(zhì)量管理計劃的評審工作：總結(jié)各方的反饋意見，對質(zhì)量管理計劃中存在異議的內(nèi)容進行修訂，然后進行再次評審(根據(jù)項目管控要求，原則上不超過三次)，直至全部通過。同時，明確醫(yī)院網(wǎng)絡(luò)相關(guān)干系人在質(zhì)量計劃中的角色及責任，相互協(xié)作，為后續(xù)項目的順利實施提供了保障。

(二)實施質(zhì)量保證

質(zhì)量保證是項目質(zhì)量管理中的一個重要的環(huán)節(jié)，它貫穿于整個項目的各個階段，是為了滿足項目的質(zhì)量目標所提供的保證活動[8]。質(zhì)量保證與質(zhì)量控制的區(qū)別在于，質(zhì)量保證關(guān)注的是項目“全過程”的保證，而質(zhì)量控制則是為項目是否滿足質(zhì)量標準的“結(jié)果”負責。質(zhì)量管理計劃編制完成并通過審核后，質(zhì)量管理人員以管理計劃為基礎(chǔ)，從項目流程、實施、知識儲備、人力安排、溝通、持續(xù)改進等多個層面[9]，有條不紊的開展質(zhì)量保證活動。本次測評項目的質(zhì)量保證活動，主要體現(xiàn)在下述三個層面：

(1)依照公司相關(guān)質(zhì)量要求，對項目關(guān)鍵活動及其交付物進行評審。

在測評項目實施的各個項目階段，都設(shè)置定期評審工作任務(wù)，評審任務(wù)包括測評委托授權(quán)書、測評方案、測評實施計劃、首末次會議等，并通過《質(zhì)量保證檢查表》、《質(zhì)量保證周報》、《質(zhì)量問題跟蹤表》等形式，及時向項目管理者報告實施過程中與既定計劃出現(xiàn)的偏差[10]，使項目管理者及時獲知項目進展中的各類質(zhì)量數(shù)據(jù)及信息，以便及時采取有利于的保證過程及服務(wù)質(zhì)量的措施。如《質(zhì)量保證檢查表》部分內(nèi)容，如下表2所示：

表2 質(zhì)量保證檢查表(部分)

(2)質(zhì)量保證人員及時、準確的把評審結(jié)果反饋至項目相關(guān)成員。

我?guī)ьI(lǐng)項目質(zhì)量管理團隊對評審結(jié)果及時進行分析，并制定詳細、切合實際的措施，對項目質(zhì)量出現(xiàn)的偏差進行糾正，最大程度上避免項目偏差可能對項目造成的損失[11]。

比如在信息系統(tǒng)調(diào)研階段，醫(yī)院提供的信息系統(tǒng)調(diào)研表填寫不詳細，無法準確選取測評對象，項目不能按計劃開展現(xiàn)場測評。致使調(diào)研階段花費的時間超過估算，拖延了項目整體進度要求。當項目進度偏差達到15%時，質(zhì)量保證人員全力及時介入，實時提出進度延期預(yù)警。為此，我?guī)ьI(lǐng)項目質(zhì)量管理團隊及時召集醫(yī)院網(wǎng)絡(luò)安全管理人員召開臨時會議，抽調(diào)公司經(jīng)驗豐富的網(wǎng)絡(luò)安全測評工作人員，明確各項責任人，采用集中辦公方式，利用網(wǎng)絡(luò)暫停對外服務(wù)時間加點調(diào)研，保持有效溝通，逐步趕上了項目進度要求。

(3)核查并解決項目文檔與公司過程文檔不一致問題。

在評審和審核過程中，我要求團隊的質(zhì)保工程師對發(fā)現(xiàn)的不一致問題，均詳細記錄在《質(zhì)量保證審計報告》中，并將該紀錄提交質(zhì)量管理組[11]，然后統(tǒng)一指定責任人并分派問題，此后質(zhì)量保證人員將持續(xù)跟蹤該問題解決進展，直至解決；質(zhì)量保證人員再次驗證無誤后，關(guān)閉該問題，并在《問題跟蹤表中》中做好記錄。若問題未得到有效解決，質(zhì)量保證人員便將其及時提交給我部，由我及上級領(lǐng)導(dǎo)做出判斷決策。

良好的質(zhì)量保證活動，使本項目的質(zhì)量目標得以保證，主要成效表現(xiàn)在測評過程效率提高，測評準確率提升，雙方溝通順暢，同時客戶滿意度也得以大幅提高。

(三)實施質(zhì)量控制

實施質(zhì)量控制是項目質(zhì)量管理的另一個關(guān)鍵環(huán)節(jié)，它是管理人員采取行之有效的控制手段，對項目進行監(jiān)督、判斷并消除實施過程中產(chǎn)生的影響質(zhì)量目標的不良結(jié)果的過程[12]。為了保證測評項目滿足預(yù)期設(shè)定的進度、成本及質(zhì)量要求，全面的質(zhì)量控制需貫穿于項目的各個階段之中，并綜合考慮影響項目質(zhì)量的關(guān)鍵因素，采取有效的管理和技術(shù)措施最大程度上消除不良因素對項目質(zhì)量的影響。

在本項目實施過程中，針對項目實施的各個階段，包括前期準備、測評方案編寫、現(xiàn)場測評實施、測評報告編寫四個階段[13]，均實施有效的質(zhì)量控制：

(1)預(yù)防為主

嚴格貫徹“預(yù)防為主”的思想，并與公司監(jiān)督檢查的要求相結(jié)合，在測評實施的各個環(huán)節(jié)實施有效的質(zhì)量控制；同時，在項目啟動會上強調(diào)項目質(zhì)量的重要性，提升項目組成員項目質(zhì)量意識。

(2)監(jiān)督檢查

公司已構(gòu)建完善的監(jiān)督檢查流程，在項目實施的每個階段均設(shè)置嚴格的控制點，并通過項目周報、問題列表、方案評審、交叉檢查等手段[14]，來發(fā)現(xiàn)項目各個階段中的偏離及不符合項。

另外，在項目各個階段，如前期準備、測評方案編制、現(xiàn)場測評、測評報告編寫等完成后，實行階段性審查和評審，對于發(fā)現(xiàn)的問題及時安排相關(guān)人員解決，并對問題解決情況進行記錄。項目各階段設(shè)置的部分控制點如下表所示：

表3 各階段控制點列表

按公司測評項目質(zhì)量管理要求，上述表中文件為必要項，且針對每個交付物均制定詳細的審核流程，如測評方案評審、測評實施計劃評審、風險分析列表評審、等保測評報告評審等。

下面舉例說明關(guān)于《信息系統(tǒng)等級保護測評報告》審核過程，此文件為里程碑文件，將整個評審過程細分成校審人審核、審核人審核和批準人審核三個環(huán)節(jié)[15]，各級審核流程如下所示：

圖2 校審人審核流程圖

說明：此環(huán)節(jié)由校審人對測評報告進行審核，如校審人提出修改意見，則退回編制人進行修改，若無意見，該環(huán)節(jié)結(jié)束。

圖3 審核人審核流程圖

說明：校審人審核通過后觸發(fā)審核人審核環(huán)節(jié)，審核人針對測評報告進行評審，如審核人提出修改意見，則退回編制人進行修改，若無意見，該環(huán)節(jié)結(jié)束。

圖4 批準人審核流程圖

說明：本環(huán)節(jié)待批準人通過審核后，生成《測評報告審核記錄表》，以供存檔使用。

(3)及時糾偏

通過監(jiān)督檢查，可及時發(fā)現(xiàn)各階段出現(xiàn)的問題，對偏離既定項目質(zhì)量目標的偏差做到及時識別、評估，并根據(jù)項目實際情況采取有效的糾偏措施，在后續(xù)項目實施過程中持續(xù)監(jiān)控，確保關(guān)鍵問題得到及時糾正。

(4)有效溝通

針對該測評項目，公司任命專職項目經(jīng)理，全面負責與醫(yī)院溝通工作，對醫(yī)院的質(zhì)量期望做到深刻理解，并將其融合在各個質(zhì)量控點中。通過現(xiàn)場、電話交流、周例會、工作日報、首末次會議等溝通方式，確保與用戶溝通保持積極有效。

三、結(jié)語

本文將某醫(yī)院項目質(zhì)量管理與等級保護測評項目實施結(jié)合起來，簡要概述了質(zhì)量管理在測評項目中的應(yīng)用，對于提升等級保護項目的質(zhì)量具有一定的借鑒意義。經(jīng)過近兩個月的醫(yī)院工作實施，我?guī)ьI(lǐng)的項目組成員均良好的履行了自己的職責，加之質(zhì)量管理手段的有效合規(guī)實施，為項目在規(guī)定的進度、成本及質(zhì)量要求下順利完成提供了保障，達到項目組設(shè)定的質(zhì)量目標。回顧項目整個過程，對項目質(zhì)量的重視及采取合理的控制方法是該項目成功的一個關(guān)鍵因素。在后續(xù)項目中，將繼續(xù)強化質(zhì)量管理，主要體現(xiàn)在如下幾個方面：1)完善定期修訂機制，持續(xù)改進內(nèi)部評審方法，逐漸引入QA外審；2)加強項目質(zhì)量管理經(jīng)驗的積累、提煉和共享，完善質(zhì)管知識庫，實現(xiàn)資源和知識共享；3)重視成員之間的交流、學(xué)習(xí)，定期進行內(nèi)部及外部培訓(xùn)，提高成員項目質(zhì)量意識。