一、公司简介 浙江中测新图地理信息技术有限公司（以下简称“中测新图”）,坐落于浙江省地理信息产业园，公司员工80余人，年产值约2000万元，是一家涉及测绘航空摄影、摄影测量与遥感、工程测量的综合性服务公司，以提供信息服务为主要特征，隶属于服务业和电子信息的交集范围，服务区域覆盖华东、华南、东北等多个地区。公司目前持有质量管理体系、信息技术服务管理体系、知识产权管理体系等认证证书。 二、公司急需解决的质量管理问题 作为地理信息测绘行业小微企业，公司自成立以来一直围绕市场和产品进行自主研发和能力建设，但随着公司规模的不断发展，公司开始不断面临体系管理方面的问题和困惑，最为典型的问题是： （一）产品数据安全性要求高，管理支撑不足。 地理信息数据多涉及敏感和涉密信息，必须符合国家政策、监管要求和保密性要求。但企业对于信息安全应用仅停留在软硬件层面，对于信息安全管理体系的系统性建设和应用较少，存在较大的信息资产安全风险隐患。 （二）客户要求提升，信息技术服务能力有待提高。 随着公司业务的不断发展，公司服务于政府、企业和大型分包项目的技术服务能力差异化需求明显，现有的固定做法无法满足不同项目，不同阶段客户的需求。 三、提升行动主要做法 在提升专家组的帮助下，公司结合地理信息产业技术特点，从产品数据安全管理能力和信息技术服务能力两个重点问题出发，以ISO 9001质量体系标准为框架，通过融合ISO27001信息安全管理体系、ISO20000信息技术服务管理体系等要求，并结合BIM、CMMI等技术规范特征，为企业重新构造组织架构，实施符合实际运行要求的管理流程治理，切实将PDCA理念融入信息安全能力和技术服务能力中去。 （一）以数据安全问题导向，提升信息安全保障能力 通过对高层、体系管理部门、设计研发等多个部门的调研了解，并结合内审和管理评审，发现普遍存在信息安全意识认识不到位，信息无形资产存在安全风险的现象。 行动专家组携手企业开展了三项重点改进工作： 一是建立“数据安全知识库”，提升全员数据保密意识和能力。 依据现有产品和开发流程，专家与企业共同搜集整理了国家有关涉密信息系统分级保护标准、测绘地理信息保密等管理规定，建立了公司“数据安全知识库”。库内明确了对技术要求和管理规范，尤其是企业对自身所涉及的全部信息资产的定密依据和范围进行了重新梳理，确保保密责任、技术手段和管理措施的基础得以落实。 同时，依据知识库内对于人员数据安全的保密要求，编制了全员《数据安全教育手册》和培训方案，通过正面教育和警示教育相结合、思想教育和保密知识技能掌握相结合的方式，并复合ISO 27001中对于数据安全、硬件安全和软件安全等要求，明确了涉密岗位基本要求。 二是落实信息安全责任，确保质量和信息安全的双重管控。结合ISO27001中对于核心过程和保密过程的控制手段，对应企业各层级层管理责任，结合对于信息安全责任主体的要求，明确各层级涉密人员的保密责任，压实网络安全保密工作主体责任。如：将网络安全保密工作纳入年度考核评价，引入监督问责机制。 图5：调整后的质量-信息安全管控组织架构和管控过程（风险处置过程为例） 三是全面评估信息资产，修订“1+i”新版四级文件。 按照标准和新建立的体系文件要求，企业完成了对现有信息资产的梳理和风险评估，识别范围覆盖了领导层和所有业务部门。同时，修订了体系文件四级共170个，从各个层面对信息化管理进行描述和记录，规范了工作流程。此外，针对所有风险，逐项提出了预防和改进措施，完善了质量管理和信息安全策略。 （二）提升信息技术服务能力,打造服务闭环 基于三体系管理要求和流程融合，尤其是对信息技术服务管理体系的结合实施，有效提升了人员、流程、技术三方面的能力成熟度，在规范运维工作，提升运维服务质量，提高客户满意度上发挥了积极的作用，取得了良好的效果。 四、公司质量提升成效 （一）1+i融合体系初见成效，信息系统可靠性加强 公司自体系三合一结合运行后，将原本零散、分散的质量要求凝聚成新的控制点，在环节点位上实现了质量流程可控，数据安全可靠，服务能力可溯的效果，信息安全事件发生频率显著降低，软件系统可靠性大幅提升。 （二）项目服务能力显著提升，客户满意度不断提升 公司通过质量管理+信息技术服务体系的实施，使企业由被动解决系统问题，到主动提供高质量的服务进行转变。 得益于本次提升行动，由中测新图和省公众信息产业有限公司联合承担的“德清体育中心智慧场馆建设项目”—亚运智慧场馆数字孪生驾驶舱已于近日顺利通过验收，这是亚组委对企业信息安全和技术服务能力的重大肯定。 （三）体系融合成效显现，公司经营成绩提升显著 截至2022年10月，企业实现总收入2670.5万元，较去年同期增长23%。得益于数据安全能力和运维能力的提升，其中项目运维收入1382.4万元，较去年提升60%以上，顾客满意度大幅提升。 五、启示 案例企业得益于本次质量管理流程的梳理整合和提升，使得在地理信息领域激烈的竞争中具备了一定的管理先进性和服务优势，特别是发挥质量认证作用，检视并优化了数据安全管理工作，筑牢数据安全屏障的做法值得在行业中广泛推广。 通过本案例的优秀经验和做法，能让更多的地理信息企业充分理解以点带面有效开展数据安全保护认证工作，既是维护国家安全的现实需要，也是数字经济发展的根基。进而推动企业以体系为抓手实现“测得稳、测得精、测得准”，质量管理水平和信息化安全运维能力再上台阶，为地理信息特色产业注入源源不断的发展动能和活力，促进地理信息产业不断向高质量发展道路高速迈进。