增值审核助力企业提升风控能力

增值审核助力企业提升风控能力

                      方圆标志认证集团四川有限公司    卢 曼

2014年X月，由方圆标志认证集团四川有限公司审核组组长卢曼（专业）、组员李明宏（专业）对某软件公司的软件开发、信息系统集成（含安全系统集成）进行了质量管理体系再认证审核。

一、公司背景:

某软件公司是一家专业的信息安全技术、设备和服务提供商，成立于2000年。产品涉足政府、金融、电信等多领域，市场份额位居西南区国内安全品牌前列。公司在2008年起实现由产品销售向软件开发、安全服务与安全集成的转型，先后获得计算机信息系统集成三级、信息系统安全集成三级服务、涉密计算机信息系统集成乙级资质、软件企业认定证书和高新技术企业等资质，并授牌成为省级应急服务支撑单位、高新技术企业、软件企业等。承担国家级、省部级重点安全科研与建设项目，为政法和国家主管部门提供网络监管。

二、审核过程及审核发现：

审核组按照审核计划，对企业最高领导层、研发中心、技术中心、营销中心、经营管理中心进行了审核，合理地抽取了具有代表性的审核样本，关注了关键过程控制的有效性。对照审核准则，形成了审核发现，并对管理体系的充分性、适宜性、有效性进行了全面评价，反映了企业质量管理体系实施的绩效。通过审核也发现了企业管理体系运行中存在的薄弱环节：

审核员在审核技术中心时抽查了“应急指挥数据中心项目”、“信息安全建设项目”等项目。

审核员按照审核计划安排运用过程审核方法对上述系统集成项目的策划、方案设计、方案评审、现场实施准备、现场设备安装调试、系统联调、试运行、系统验收等过程进行了审核，审核中发现企业在系统集成项目实施过程中对设计评审的重视度明显不够，通过设计评审对设计过程进行把关，且项目中间过程控制薄弱，存在明显的管控风险。于是与技术中心经理进行了耐心沟通，指出设计评审是对一项设计进行正式的、系统的评估活动，“设计控制”是影响产品质量的重要因素,而设计评审又是加强设计质量控制的重要手段，可以帮助设计人员确认当前设计思路是否能够实现产品目标，是否存在设计思路与产品目标偏离状况。设计评审不但是设计活动中一个重要的质量控制机制，而且也是一个重要而有效的沟通方式。通过评审可以利用企业内外部资源，优化设计，得到最佳的解决方案，并且可以尽早纠正缺陷，降低风险。技术中心经理表示认同，也认识到了由于忙于项目日常事务性工作，对设计评审的重视度不够，对项目过程管控不到位，只关注结果的问题。

于是审核组开具了第1份不符合报告：

公司不能提供对“应急指挥数据中心项目建设方案”进行评审的证据。上述观察结果不符合GB/T19001-2008 标准第 7.3.4条款的规定。

（2）审核员在审核研发中心时抽查了公司的“安全运营服务平台”软件项目：审核员按照审核计划安排运用过程审核方法对软件生命周期过程进行了审核，包括了需求分析、软件概要设计、软件详细设计、软件评审、软件编码、软件单元测试、集成测试、验收测试、软件维护等过程。

审核中发现研发人员在研发工作中对“XX安全运营服务平台软件”经过了多次升级，软件文档存在多个版本，项目经理介绍目前已经升级为V3.0版，但抽查软件文档中发现部分软件文档版本并未进行相应变更，且存在多个不同版本文档混淆的情况，软件配置管理存在明显不足，软件开发库、软件受控库、软件产品库未得到有效建立控制，对整个软件开发工作带来了风险。因此开具了如下第2份不符合报告：

查“XX安全运营服务平台软件V3.0”设计更改单:2014年X月X日针对用户要求新增了“对网站监控下单个网站风险和区域网站风险评分”的设计内容，更改了《网站监控详细设计说明书》，但其版本号未作变更。上述观察结果不符合GB/T19001-2008标准第 7.3.7/7.5.3条款的规定

（3）审核后除了开具了上述两份书面不符合项以外，审核组还针对该企业涉及信息安全服务、属于部分涉密行业的特点，指出提供信息安全服务的服务商对管理能力和技术能力要求较高，信息安全服务的根本意义在于帮助用户以较低的成本实现高效安全的信息安全体系,信息安全服务提供者必须全面掌握和紧跟国际先进的信息安全管理和技术并通过体系贯彻到服务系统中。并重点提出了：建立和完善信息安全体系、完善应急响应机制、完善保密制度、加强信息系统集成项目过程控制等改进建议。

三、整改及改进：

本次质量体系审核工作对企业领导层的触动较大，认为审核组为企业做了深入的诊断，找出了企业目前存在的问题和薄弱环节，也指出了企业管理上的风险。审核末次会议结束后，总经理和管理者代表非常重视，要求全体人员留下来，立即召开了紧急会议，讨论整改策略及改进措施等。后续，企业针对两份不符合报告和改进建议等，分析了原因：技术中心对设计评审的重视度不够，没有严格执行公司设计评审控制程序，通过设计评审对设计过程进行把关；公司配置管理规定不完善，项目管理制度不完善，设计人员质量意识不到位，版本控制意识薄弱等。并针对原因分析等认真采取了整改措施：

（1）组织研发、技术人员有针对性地培训，培训内容包括设计评审控制程序、项目实施管理办法、软件配置管理办法等，并强化质量责任意识；

（2）严格按照设计评审控制程序要求对“XX单位应急指挥数据中心项目建设方案”进行评审，并保留设计评审记录。

（3）修订了软件配置管理办法，在软件全生存周期进行配置管理，并由配置管理人员进行监控；建立软件开发库、受控库、产品库，并加强三库管理。

（4）制定了《项目实施管理办法》，全面梳理项目流程、明确项目各阶段控制要求，加强项目方案评审控制，加强各阶段的过程控制，加强各项目阶段监视和测量。

 (5)作为风险管理，企业同时完善了安全应急响应服务制度；

公司制定完善的《安全应急响应制度》内容包括：服务特点、服务目的、服务内容、服务方式、服务流程、应急组织架构、预防预警机制、应急响应流程、信息安全事件通报与分级、应急事件处置、信息安全事件处理报告、保密要求、应急响应保障措施、信息系统恢复、应急响应预案的测试和演练等。（摘自企业《安全应急响应制度》）此次文件修订，进一步明确了对信息安全事故的应急响应和预防预警的规定。

几个月后，审核组与企业再次进行了整改后沟通，企业表示加强了员工培训，新的制度也正在贯彻执行，由于领导层非常重视，亲自抓此项工作，已经取得了阶段性效果，接下来还将进一步完善信息安全服务体系，审核组将会继续关注和跟踪企业的实际实施效果。

四、审核总结：

通过本次审核案例，笔者认为审核组应该用心对待每一次审核，通过系统审核知识和专业知识的结合，抓住重点，有针对性地找出企业管理体系的薄弱环节，为企业提出建设性的、有价值的意见，这样才能引起最高领导层的高度重视，有了领导层的重视，就能引导企业循序渐进地实施有效地改进，达到增值审核，提高企业整体绩效、降低风险的目的。