监理对集成商的要求.doc

1.监理对承建单位提交项目集成审核要求承建单位应对整个工程的实施过程予以记录，形成工程实施日记。监理工程师有权对日记的真实性和内容的完整性予以检查，对内容不符部分，承建单位应予以及时改正。承建单位应及时提供完善的工程文档，包括网络设备连接物理、逻辑结构图，网络设备配置、服务器、终端、网管设备的配置，综合布线方案，传输介质的选型、综合布线系统品牌选择、价格表等，以及所有计算机和网络设备的中文简明安装、使用、日常维护、管理、出错处理手册。监理工程师有权对这些手册内容的完整性、正确性进行检查。承建单位应按工程承包合同提供的图纸，在施工过程中，根椐实际情况的变化，对设计方案作出修改，并及时向本监理单位、建设单位项目组等进行信息传递。承建单位应对整个工程的实施过程予以记录，形成工程实施日记。监理工程师有权对日记的真实性和内容的完整性予以检查，对内容不符部分，承建单位应予以及时改正。承建单位应按工程承包合同提供的图纸，在施工过程中，根椐实际情况的变化，对设计方案作出修改，并及时向本监理单位、建设单位项目组等进行信息传递。按国家档案管理条例及建设单位的要求，信息工程竣工验收时要提供齐全的竣工资料，经过分析整理、编制归档。监理工程师在对信息工程实体和应用软件系统进行全面验收之前，首先要对全套完整的工程资料和文档进行全面验收。督促承建单位及时整理必须报送的信息系统的设计方案、设计图纸、设备/软件/材料等的验收文档、施工记录、检测报告、竣工图纸、软件文档和源代码，经监理单位检查、审核后，签字并加盖公章，移交建设单位项目组。2监理对承建单位软件工程审核要求在软件的开发工程中，监理将督促承建单位注意文档的编写工作，以确保每一阶段的结果都能清楚地描述和审查。文档计划需求分析设计编码测试进行维护可行性研究报告项目开发计划软件需求规格说明数据需求规格说明测试计划概要设计说明详细设计说明数据库设计说明模块开发卷宗用户手册操作手册测试分析报告开发进度月报项目开发总结表1 软件生命周期各个阶段的文档编制根据GB8567-1988计算机软件产品开发设计编制指南，在软件开发的各个阶段最多应编制14种软件文档（详见上表）。在软件开发过程中，可以根据实际情况将其中某些文档合并成一个文档。以下两表分别就工程所包括的应用子系统和网站系统的文档在软件生命周期各阶段监理控制提出了具体要求。部分阶段质量控制要点质量控制手段验收方式应用系统需求分析调研提纲，包括：调研的对象、内容、程序和时间；需求分析报告，包括：业务流程图、数据流程图、软件规格说明书和初步用户手册；软件规格说明书，包括：系统目标、软件功能描述、软件性能和软件安全需求说明、软件规则描述和关键数据项的编码标准建设单位确认技术评审建设单位签字评审意见系统设计系统详细设计报告，包括：数据字典、功能模块划分、功能模块说明、模块接口说明、与现行系统接口说明、界面设计、编程规范、测试标准技术评审评审意见程序编写编程的时间控制编程计划进度报告技术评审监理意见评审意见系统测试培训安排、培训教材、培训考核测试模型测试用例技术评审技术评审评审意见评审意见系统试运行出现的问题修改汇总问题清单程序修改确认系统验收竣工文件验收方案参加验收工作监理意见表2 应用子系统文档的监理阶段控制表3对承建单位信息系统安全工程文件审核要求信息系统安全工程技术文档的管理，在以下几个方面尤其要重视：（1）文档的准确性。监理在实际工作中，对文档的准确性和真实性进行严格检查；（2）文档的详细程度。监理对若干重要的信息安全建设内容相关文档的详细程度进行严格检查；（3）文档的格式和构成。为避免不必要的工作量，监理要熟知各相关部门对工程文档的要求，在承建单位文档编制时，对其格式、内容进行控制和管理；（4）常用的信息安全工程文档如下，具体工程可以按照有关规定并根据实际情况进行选择调整。3.1 监理对承建单位管理文档审核要求（1）管理制度。包括下列内容：l 工程适用的法律法规；l 管理部门颁发批准的信息安全策略文档资料；l 安全策略审查和评估的相关规定；l 对应不同保密等级的不同保密规程及分类指南；l 信息资产管理规定；l 安全事故处理规程；l 有关物理安全的规定；l 办公设施的保护措施相关文档；l 资产移交的管理规定；l 电源的管理规定；l 信息处理设施管理规程；l 事故管理规程；l 系统数据检验和控制规程；l 系统中软件的管理和措施文档；l 程序源代码库访问规程；l 用户口令管理规定；l 备份策略规程；l 计算机媒体介质操作规程；l 信息处置和存储规程；l 使用网络和网络服务政策；l 系统工具使用规程；l 系统审计规程；（二）人员、机构与职责。包括下列内容：l 安全决策机构组成的机构图及职责分工表；l 安全管理人员的职责分工表；l 安全顾问的聘任书；l 安全管理人员履历及专业资格证书；l 人员保密协议范本；l 人员岗位职责规定。（三）安全运行资料。包括下列内容：l 安全策略有效性审查和评估的记录；l 召开安全管理会议的会议纪要；l 安全专家的建议记录；l 设备维护记录；l 访问控制策略文档；l 定期的审计分析报告；l 异常情况审计日志和安全事件记录。3.2 监理对系统自测试文档审核要求包括下列内容：l 测评机构进行测评的测试过程和测试报告及其结论；l 技术测试小组提供的测试大纲、测试报告和测试结论；l 承建单位进行测试的方法和测试报告；l 系统功能测试所采用的方法和检测手段。3.3 监理对工程实施文档审核要求包括以下内容：l 施工管理文件；l 设计变更文件；l 系统调试分析报告；l 系统培训文件；l 系统移交清单及文件。3.4 需监理审核的其它文档包括以下内容：l 与第三方合作时签订的合约；l 产品的法定安全测评机构的评估证书；l 外部承包人管理信息处理设施的合同；l 外包软件开发方的资料；l 外包工作人员合约；l 质量手册；l 以上未涉及的且与系统安全相关的文档资料。4承建单位技术支持与服务文件清单4.1 监理对工程技术支持文档审核要求监理在审核工程技术支持服务文档前一定要严格审核承建单位的质量检测手段和质量保证体系，产品和服务符合国家标准和行业标准。承建单位的所有技术文件均符合相应的国际标准、中国国家标准、各行业的相应标准、国际标准化组织标准。承建单位提供产品和服务都按国内外通行的现行标准和相应的技术规范执行。4.2监理对工程技术支持与服务文档审核内容l 产品安装与现场培训服务文档检查检查承建单位是否按合同中提供软件全部完成安装调试或买方派遣技术人员参与整套软件的安装和调试，检查在安装调试过程中卖方的技术人员是否培训和说明软件的安装步骤和应该注意的事项，安装的每一件软件应作安装详细记录。在安装、调试过程中造成的软件损坏，承建单位已经负全责并解决软件问题，保证系统的正常业务应用。检查和跟踪从软件到达场地至最终验收签字完成期间，用户掌握系统的情况和承建单位24小时技术支持和服务情况。产品安装时提供必要的现场培训服务，以便买方技术人员达到独立安装、使用的要求。l 产品正规用户培训服务对于重要的基础产品（如Web服务器、应用服务器软件）提供正规的用户培训计划和培训文档，并要求承建单位做好培训记录。l 质量保证期内的服务检查承建单位质量保证期内服务的支持情况，由于技术支持要求五年的服务期，因此监理跟踪和监督承建单位对各种故障及时解决的情况，要求承建单位对一般故障应在接到故障通知后两小时内电话给予解答，仍然无法解决的故障卖方应在24小时内派技术人员到达现场，并于到达现场48小时内解决，特殊情况时协调承建单位动用其公司的所用资源来解除故障，不能影响业务的正常运行。 l 质量保证期外的服务1、热线服务监理监督承建单位是否提供一条免费热线电话为服务。2、故障解决服务检查承建单位是否提供有偿的故障解决方案并提供相应的服务。4.3监理对工程技术支持与服务文档移交审核l 用户手册用户的使用手册。包括系统安装部署手册，系统管理维护手册和最终用户使用手册。l 培训教材用于培训各种用户（包括安装部署的技术人员，管理维护员，各级统计部门的专业用户以及企业用户）的相关资料，包括纸质的培训材料，用于幻灯演示的电子文档等。l 系统文档 系统在整个开发过程中生成的各种工作文件与技术文档。包括项目计划文档（项目概要计划、项目实施计划、质量保证计划、配置管理计划、测试方案）、工作各阶段总结与报告（周报、月报）、设计文档（总体设计、概要设计、数据库设计、数据模型实体关系图、界面设计、详细设计等）、开发文档、程序代码、测试报告以及评审报告等。5监理工作的工程文档移交要求监理工程档案分为两部分：一是工程交工技术档案，主要包括能证明工程实施过程中保证质量的主要环节的有关材料，随工程交工一并提交给业主存档备用；另一部分是承建单位积累的实施技术资料、经济资料和管理资料。主要移交的文件包括：（一）监理记录类文件l 工程方案计划报审表l 分包单位资格审查申请表l 工程阶段测试验收报审表l 工程材料设备报审表l 工程阶段施工申请表l 工程阶段验收报审表l 工程变更报审表l 监理通知单l 工程项目进度计划审核表l 工程变更单l 软件问题报告l 硬件问题报告l 监理日志l 监理备忘l 工程会议纪要l 监理周报l 顾客文档接收记录表l 文档发送记录表l 咨询监理项目工作总结（二）备档文件l 软件、设备出厂合格证及证明l 所有设备、软件的安装、调试、配置、管理和诊断等全部手册l 自检记录和安装调整测量记录l 隐蔽工程检验记录l 试运行记录l 分项、分部、单位工程质量检验评定、验收报告l 如有必要，工程重要活动、关键部位的声像、图片资料。（三）重要技术文档l 项目总体需求分析方案l 项目分项、各模块需求分析方案l 项目运行数据分析方案l 项目总体开发设计方案l 项目模块设计方案l 程序设计方案l 开发计划进度方案l 项目系统环境设计方案l 项目实施规划方案l 项目实施记录方案l 接口数据标准手册l 关键模块访问技术操作手册l 管理使用手册（四）其他文件l 工程数据标准l 工程管理制度l 其他文件6监理审查承建单位配置管理6.1审查承建单位软件配置管理的目的对于项目来说，开发出满足用户需求的、高质量的软件产品是其追求的目标。而要实现这一目标的关键是建立起一个稳定、可控、可重用的软件流程（Software Process）。因为某一软件产品的成败可能维系于关键技术的突破和创新；但对于软件组织而言，要想永葆竞争优势并不断取得成功，那就必须不断地改进它的软件流程。要进行软件流程改进（Software Process Improvement）就需要有明确的、量化的对现状的分析和对未来的预期，这些数据来源于对软件过程的度量，而进行度量的前提和基础就是承建档位是否建立了软件配置管理。因此软件配置管理贯穿于软件开发活动的始终，覆盖了开发活动的各个环节，监理严格要求承建单位指定制定并执行配置管理重要作用之一就是要全面的管理保存各个配置项，监控各配置项的状态，并向项目经理及相关的人员报告，从而实现项目各方对软件过程的控制。监理要求承建单位按已经审核通过的配置项进行管理不只是为了保存项目信息，而是努力地把开发人员个人的成功经验转化为团队的以及整个组织的经验；当承建单位需要在开发组织内部迅速的共享以往的成果时，配置管理就能发挥作用了。这样使承建单位工作效率大为提高，很多常见的容易引起管理混乱的问题都能尽量得以避免，从而提高项目效率。所以，监理在对软件配置管理工作时应以整个软件流程的改进为目标，为软件项目管理和软件工程的其它领域打好基础，以便于稳步推进项目整个软件组织的能力成熟度。6.2审查承建单位软件配置管理工具选择古语有云：“工欲善其事，必先利其器。”软件配置管理是一项十分繁琐的工作，同时又和整个软件的开发活动紧密地联系在一起，所以在实际工作中更需要有得力的工具辅助。目前常用的配置管理工具主要有MS SourceSafe、Rational ClearCase等，这些工具各有所长，因而只有根据项目的预算和开发组织的些实际情况出发来选择，正所谓“好用就好”。监理在审查承建单位配置管理工具的选择时主要把握以下几点：首先，配置管理工具应该提供完善的版本管理的功能。在该工具的所管理的配置库中，所有的配置项都应清晰、完整的得到保存，相应的操作纪录完备，使得开发组织中的任何人员都能迅速的了解任一配置项的演进过程，并快捷的找到所需的资源。其次，配置管理工具应具备一定的工作空间的管理功能。因为项目设计复杂，多个项目同时进行着开发，为了最大程度的利用组织的经验、共享成果，我们有必要在一个共同的配置库里提供多视角的观察手段，在逻辑上按照不同的角色分工来组织信息的选取规则和显示方式，从而能根据需要，在开发人员间灵活的进行分工合作。由于我们把配置管理工作立足于软件过程的改进，那么我们所选用的工具最好能具有一定的过程控制的能力，能利用它按照本身的开发流程来灵活的建立相应的电子流，并在此过程中记录用于过程度量的相关数据，整合软件过程管理的各个环节，以便于客观的发现问题，高效的解决问题。另外，监理要求承建单位选取得工具一定要操作简便，不能给开发人员增加过多的负担，因为过多的形式化的约束往往带来人们的反感，使得大家不约而同的选择规避的措施，其结果只能是事倍功半，甚至和我们的目标南辕北辙。6.3审查承建单位软件配置管理实现的策略监理在检查承建单位实现配置管理的具体内容主要是从角色、工作职责、工作流程、变更、管理等进行检查和监督，从而实现对项目过程管理和监控。1 配置库的设置 项目配置库的结构是配置管理活动的重要基础。首先确认承建单位那种组织形式：是按配置项类型分类建库和按任务建库：（1）按配置项的类型分类建库的方式经常为一些咨询服务公司所推荐，它适用于通用的应用软件开发组织。这样的组织一般产品的继承性较强，工具比较统一，对并行开发有一定的需求。使用这样的库结构有利于对配置项的统一管理和控制，同时也能提高编译和发布的效率。但由于这样的库结构并不是面向和各个开发团队的开发任务的，所以可能会造成开发人员的工作目录结构过于复杂，带来一些不必要的麻烦，因此监理建议不要采用这种建库方式。 （2）而按任务建立相应的配置库则适用于专业软件的研发组织。在这样的 组织内，使用的开发工具种类繁多，开发模式以线性发展为主，所以就没有必要把配置项严格的分类存储，人为增加目录的复杂性。这种建库比较适合项目复杂性和开发单位的需求，因此，监理认为对于研发性的软件组织来说，还是采用这种设置策略比较灵活。2 分支的划分 在实际的开发活动中系统中，为了让每个开发人员和各个开发团队能更好的分工合作，同时又互不干扰，我们基本上为每个配置项从建立开始就划分成3个不同的分支，让它们分别对应3类工作空间。(1) 私有分支 私有分支对应的是开发人员的私有开发空间。开发人员根据任务分工获得对相应配置项的操作许可之后，他即在自己的私有开发分支上工作，他的所有工作成果体现为在该配置项的私有分支上的版本的推进，除该开发人员外，其他人员均无权操作该私有空间中的元素。(2) 集成分支 集成分支对应的是开发团队的公共空间。凡是要为同组人员共享的配置项都从该分支获得。即各开发人员必须将私有工作空间中的开发成果归并（Merge）到该分支后才能进入下一个开发活动。所有涉及多人协调的开发工作（如集成测试等）都必须工作在这一空间中。该开发团队拥有对该集成分支的读写权限，而其他成员只有只读权限。该分支的管理工作由系统集成员及相关指定人员负责。(3)公共（主干）分支公共分支对应的是整个软件开发组织的公共空间。各个开发小组在现阶段的任务完成后，将可以发布的版本归并到该分支上，将来需要查阅相关资料时，以该分支上的版本为准。该分支对组织内的全体软件人员开放只读权限。该分支的管理工作由系统集成员负责。 上面定义的3类工作空间（分支）由配置管理员统一管理，根据各开发阶段的实际情况定制相应的版本选取规则，来保证开发活动的正常运作。在变更发生时，应及时做好基线的推进。3 变更控制 对于大型的软件开发项目，无控制的变更将迅速导致混乱，变更控制就是通过结合人的规程和自动化工具，以提供一个变化控制的的机制。本文所涉及的变更控制的对象主要指配置库中的各基线配置项。变更管理的一般流程是：A) 由开发人员或系统集成员提出变更需求；B) 由SCCB（软件变更控制委员会）审核并决定是否批准；C) 配置管理员根据SCCB的决定临时开放相应的权限，并备案；D) 系统集成员执行相应的变更。 在这里，将要涉及的变更控制分为两类：一类是基线的变更控制，另一类是软件版本的变更控制。 （1） 基线的变更控制 基线的变更是指在一个软件版本的开发周期内对基线配置项的变更，主要包括基线的应用和更新等活动。基线变更所涉及的操作主要包括基线标签的定义和标签的使用。基线标签属于严格受控的配置项，它的命名必须严格按照相关的命名规范来进行。基线在建立时，按照角色职责的分工，须经SCCB同意并以正式的将该基线的标识和作用范围通知系统集成员，由后者负责执行；基线一旦划定，由该基线控制的各配置项的历史版本均处于锁定或严格受控状态，任何对基线位置的变更请求都必须按变更控制流程，提交SCCB批准，然后由系统集成员执行。 （2） 软件版本的变更 监理检查承建单位软件版本的命名规范是否事先制定，并按照开发计划予以发布使用。在软件版本的演进过程中既需要从以前的版本中继承，又需要相对的独立性。所以在对于一个子版本（例如某特定用户的定制版本）就需要对一系列配置项从统一的开发起始基线所确定的版本上建立新的分支，然后在此分支上开发新的版本。因此在这样的变更控制流程中，受控的对象还应包括特定的分支类型，以及工作视图的选取规则，同时配置管理员将在这一过程中担负更多的操作职责。4.状态统计承建单位是否已经制定了记录并报告构件和修改请求的状态的机制，并收集关于产品构件的重要统计信息。例如，它将解决修改这个错误会影响多少个文件的问题等预防和解决方案。5审计和审查 城建单位确认产品的完整性并维护构件间的一致性，即确保产品是一个严格定义的构件集合。例如，它将解决目前发布的产品所用的文件的版本是否正确的问题。6过程管理 承建单位是否确保软件组织的规程、方针和软件周期得以正确贯彻执行。它将解决要交付给用户的产品是否经过测试和质量检查的问题。7 监理对承建单位安全管理的工作要求安全管理主要任务是在信息系统安全工程中对网络系统、操作系统、应用系统进行管理，对项目安全系统的质量、进度、成本进行控制，并对工程文档进行管理，确保整个信息系统安全工程满足建设单位的信息安全需求，保证整个信息系统安全工程符合国家相关法律法规的规定。系统安全管理的目标就是确保信息安全系统的“可信度”，主要的监理工作是帮助建设单位确定信息系统的安全风险，通过信息安全相关系统工程的实施，使信息系统的安全风险降到建设单位可以承受的范围内。重点是：l 监理单位对安全系统的控制主要体现在三个方面：安全系统方案的审核、安全产品的选择与安装的监督、安全系统的测试与验收。l 帮助客户做好安全需求分析，确保安全需求真实、准确地反映了建设单位用户信息安全的要求，能够切实保护信息系统，降低信息系统的安全风险；l 审核承建单位系统安全方案中安全需求真实、准确地反映了建设单位用户信息安全的需求；l 确认安全方案是否符合有关的国家标准和规定；l 优选安全方案；l 审核安全工程承建单位的资质；l 监督项目安全措施的落实；l 组织和审核系统安全整体测试工作，组织工程的安全验收工作。l 对软件支撑平台，监理单位将重点监督和控制证书认证服务系统、密钥管理中心及密码服务系统、可信时间戳服务系统、授权管理服务系统、基础安全防护系统等方面。l 监理在验收阶段会对系统达到的安全级别进行验收，届时会请具有相关资质的专家或政府授权具有认证资格的权威机构对网络的安全现状进行评估。信息系统安全工程监理不仅仅是一个纯粹的技术问题，也不是一个简单的管理问题，而是同时从技术和管理的角度，对信息系统安全工程的实施过程进行控制和管理，确保信息系统安全策略和安全技术满足用户的需求，并按照设计方案保质保量地实施，最终提供工程监理报告，实现预期的目标。信息系统安全工程的监理要从质量、进度和成本等方面进行控制。7.1保护项目系统数据和资料的安全工程由于参建单位众多，工程建设过程中会涉及大量的政府机密数据资料，因此本项目的安全保密要求也就异常严格，体现在如下四个方面：l 包括国家、省、地市和县四级系统与主要业务数据的采集和应用的安全。l 系统自上而下的控制流和自下而上数据流安全。l 工程技术数据和资料。l 工程管理数据和资料。在项目的开发实施过程中，监理必须协助建设单位和各承建单位树立安全保密意识，分别根据工程要求建立起一套严格的适合自身状况的安全保密制度，以确保在整个项目开发实施过程中杜绝出现各类的政府机密数据和资料流失或被非授权使用。（一）监理对承建单位安全保密制度的审查行政手段和措施的要求l 承建单位须和该子项目的业主单位签订保密协议：对于涉及国家机密的工程，要求承建单位应具有国家颁发的涉密资质，在项目合同签订的同时，要求承建单位和该项目的业主单位签订保密协议，在协议中明确规定相关保密政策，制定保密制度等一系列保密管理方法，从管理上堵塞泄密漏洞。l 保密制度教育：要求和监督承建单位定期对所有参与本项目开发实施的员工重新进行保密工作教育，提高员工的保密意识，消除麻痹思想。同时建立一套严格的奖惩措施，保证所有员工都对这项工作具有足够的意识程度。技术手段和措施的要求l 严格保密权限管理：在开发实施人员中建立不同的涉密权限，保证机密数据在最小范围之内，不会轻易扩散。l 严格项目开发配置管理：在设计阶段，所有设计文件统一存放于文件服务器中，不允许设计人员在本地进行存储，所有设计工作均在收控的服务器上进行。在开发阶段，开发人员每次从软件配置库中获得设计文件，进行开发，每日工作结束后，将开发内容提交到临时配置库中，不允许将开发内容保留在本地机器上。l 严格进行载体控制：所有开发人员的机器配置，均不得配备软盘，移动存储设备，不允许使用外部电子邮件传送文件。l 配备相关设备，作好纸张，磁盘载体的销毁工作，严格防止数据扩散和意外流失。l 当项目组成员调离或工作完成时，由承建单位、监理单位和业主单位派出专人，对开发人员的电脑、存储设备进行检查，销毁非收控资料，回收收控资料。（二）监理对业主单位安全保密制度的审查监理有义务建议业主单位在为工程制定信息安全保密规划时，应按照以下几个方面进行：l 人员安全管理任何系统都是由人来控制的，除了对于重要岗位的工作人员要进行审查之外，建立严密的管理制度对于系统的安全尤为重要。在制度建立过程中，监理建议业主单位遵循有以下原则： 授权最小化，只授予操作人员为完成本职工作所必须的最小授权，包括对数据文件的访问，计算机和外设的使用等。 授权分散化，对于关键的任务必须在功能上进行划分，由多人来共同承担，保证没有任何个人具有完成任务的全部授权或信息。 授权规范化，建立起申请、建立、发出和关闭用户授权的严格的制度，以及管理和监督用户操作责任的机制。l 物理与环境保护，监理建议业主单位主要从以下几个方面考虑：1、 物理访问控制，在重要区域限制人员的进出。重要区域不仅包括机房，也应包括能够接触到内部网络的区域，供电系统备份介质存放的地点等。 建筑物安全，要考虑建筑物防火、地震，结构拥塌、漏水等造成的风险。 公用设施的保证，为了使系统能够不间断地提供服务及硬件设备不受损害，评价供电、供水、空调等设施的可用性，并提出相应的措施。 数据安全，数据泄露一般有三种途径:直接获取，在传输中截获，通过电磁辐射泄露。对这三种风险要加以充分评估。特别应当注意对便携式计算机建立安全保管制度，如果其中保存了敏感数据应进行加密，避免丢失或被盗时造成数据泄露。l 输入/输出控制监理建议、提醒业主单位对系统的输入/输出信息或介质必须建立管理制度，只有经过授权的人员方可提供或获得系统的输入/输出信息。l 制定突发事件的应急计划监理建议、提醒业主单位必须针对不同的系统故障或灾难制定应急计划，编写紧急故障恢复操作指南，并对每个岗位的工作人员按照所担任角色和负有的责任进行培训和演练。l 应用软件维护控制在应用软件的维护过程中，监理建议、提醒业主单位需要对所使用的商业软件的版权、来源，应用软件的文档在维护过程是否修改，测试数据的产生与测试结果，是否留有软件测试所建立的后门或热键等问题进行规划和评估。l 数据完整性与有效性控制数据完整性与有效性控制要保证数据不被更改和破坏。监理建议、提醒业主单位需要规划和评估的内容包括：系统的备份与恢复措施；计算机病毒的防范与检测制度；是否有实时监控系统日志文件，记录与系统可用性相关的问题，如对系统的主动攻击，处理速度下降和异常停机等。 l 文档管理监理建议、提醒业主单位文档管理对信息安全管理文档的协同性的重要，是信息安全管理的一部分。文档在安全管理中用于说明系统的工作机制，并且规范系统的安全与操作的特定过程。系统文档包括软件、硬件、政策、标准、过程等的描述，以及相关的应用系统和支持系统的描述。同时文档中还应包括备份措施，突发事件对策以及用户和操作员的操作说明等内容。重要应用系统的文档应当与公共支持系统和网络管理的文档进行协调，以保证运行管理与操作的一致性。l 安全教育与培训监理建议、提醒业主单位必须建立定期进行信息系统的安全教育与培训的制度，对于于重要应用系统相关的工作人员还应以多种方式，针对特定系统进行安全教育与培训。监理还要提醒业主单位：非本单位员工接触有关的信息系统时也必须遵守安全管理规定，包括承建单位的服务人员、程序员、系统分析员、软硬件维修人员和服务厂商的人员等。同时还要注意不应泄露安全数据，提供给员工的安全策略手册不应刊登敏感度高的安全数据，如计算机密码文档名、技术安全架构、基础设施安全措施或系统软件上的盲点等内容。7.2监督项目建设施工过程中安全控制凡在施工期间及规定的时限内由于勘测、设计、施工、监理、试验检测等责任过失而使工程遭受损毁或产生不可弥补的本质缺陷，造成人身伤亡或财产损失以及需加固、补强、返工处理的的统称工程安全事故。北京赛迪信息工程监理有限公司实施安全监督工作的主要内容是督促工程参建各方严格按国家安全生产法律、法规和现行安全技术标准、规范的要求，在施工中建立健全安全生产责任制，落实安全生产管理制度，贯彻 “安全第一、预防为主”的方针，加强施工现场的安全和文明施工管理；查处施工作业人员的违章行为，抽查施工现场的安全管理状况，督促整改安全隐患，避免发生安全事故；督促各施工单位严格按照文明施工管理的有关要求，落实文明施工的各项管理措施，尽可能地减少施工作业对周围环境造成的不利影响。具体监理措施有：l 监理工程项目承建单位的安全第一责任人、直接责任人、防火责任人、文明施工责任人是否建立明确的岗位责任，安全保证体系、安全生产责任制是否建立、健全，各项安全管理制度是否健全并严格执行，安全技术措施是否落实有效，安全防护设施是否完善，安全管理人员的数量、素质是否满足施工现场安全管理的要求；l 工程如有分包管理的，总承包单位必须在分包工程合同签定后以书面形式向监理报告，同时提交分包单位的项目管理人员名单、资质证书等有关文件。总承包单位要依法对分包单位实施安全监督管理，对分包部分工程的安全管理承担连带责任。l 技术处理方案核签后，监理工程师应要求承建单位制定详细的施工方案设计，必要时应编制监理实施细则，对工程质量事故技术处理施工质量进行监理，对技术处理过程中的关键部位和关键工序应进行旁站，并会同设计、建设单位等有关单位共同检查认可。l 监理检查、督促施工单位按照安全生产技术标准、规范的要求制定完善的施工安全组织设计（或方案），并严格按照审批手续齐全的施工安全组织设计（或方案）和国家有关安全管理规范标准的要求组织施工；l 监理检查、督促施工单位认真做好日常安全管理工作，对发现安全问题或隐患，可以依照有关制度填发抽查情况通知书或安全隐患整改通知书，要求施工单位落实整改措施。当遇到可能危及人员生命财产安全或造成不可弥补的重大损失的紧急情况时，由监督站签发停工通知书，责令施工单位立即停工，组织人员落实整改措施；l 根据各季节和工程不同部位的特点，监理检查施工现场是否已严格按规定在项目实施前编制机房安全用电、防火、防汛、防台风、防雷击等专项施工组织设计（方案）并办理必需的审批签认手续，避免发生群死群伤的重大安全事故；l 派驻现场的安全监督员，定期或不定期会对本工程进行安全巡检，每次巡检的内容须及时填入该工程的“监督记录”中，同时作为考核工作人员工作实绩的依据。安全监督过程中，要始终贯彻“查思想、查制度、查人员落实、查措施、查隐患”的“五查”制度；l 在施工期间，一旦发生工程质量事故或人员伤亡事故，监理会在第一时间参加安全事故的调查处理，组织有关人员到现场查看，监理工程师应立即签发暂停施工指令，要求停止进行质量缺陷部位和与其有关联的部位及下道工序施工，根据事故现场情况，要求承建单位采取必要的措施，防止事故扩大并保护好现场,立即填写事故报告单，报告监理工程师。若为重大质量事故和工伤事故，监理工程师应要求质量事故发生单位迅速按类别和等级向相应主管部门上报，并于24小时写出书面报告。l 工程质量事故调查组由事故发生地的市、县以上行政主管部门或国务院有关主管部门组织成立。监理工程师在事故调查组展开工作后，应积极协助，客观地提供相应证据，若监理工程师方无责任，监理工程师可应邀参加调查组，参与事故调查；若监理方有责任，则应予以回避，但应配合调查组工作。l 当监理工程师接到质量事故调查组提出的技术处理意见后，可组织相关单位研究，并责成相关单位完成技术处理方案，并予以审核签认。质量事故技术处理方案，一般应委托原设计单位提出，由其他单位提出的技术处理方案，应经原设计单位同意签认。技术处理方案的制订，应征求建设单位的意见。技术处理方案必须依据充分，应在质量事故的部位、原因全部查清的基础上，必要时，应委托法定工程质量检测单位进行质量鉴定或请专家论证，以确保技术处理方案的可靠、可行、保证系统安全和使用功能。l 对施工单位完工自检后报验结果，组织有关各方进行检查验收，必要时应进行处理结果鉴定。要求事故单位整理编写质量事故处理报告，并审核签认，组织将有关技术资料归档。监理组织定期公布安全检查评分结果和各施工现场的安全监督工作管理状况；l 监理及时组织安全检查评价，认真填写安全监督检查记录，帮助事故发生单位总结经验教训，避免重复发生安全事故；l 监理对已竣工工程进行安全等级评价，填写安全评价书。7.3安全工程的质量控制方法（一）承建单位的质量管理安全承建单位的质量管理体现了承建单位本身的管理水平及工程实施的能力，它将直接影响到信息系统安全工程的实施和完成后的质量。信息系统安全工程的承建单位必须取得国家相关主管部门颁发的相关资质。国家对于若干领域（如：涉及国家秘密领域）信息系统的建设实施非常严格的资质管理制度。承建单位内部应建立完整的质量保证体系，对公司内部及所实施的工程项目进行质量管理。监理要对承建单位的内部管理体系、质量保证体系、各种资质进行查验。（二）设计阶段的质量控制在设计阶段，应对以下内容进行质量控制：1、安全系统的设计更改；2、安全产品测试规范；3、安全设计的审核和确认；4、安全设计评审。此外，在监理过程中我们要在以下几个方面加以重视，这是信息安全工程不同于其它工程监理的重要内容：1、风险分析的有效性、准确性。风险分析是确定安全需求的基础，风险分析的有效性、准确性是确保系统安全的基础，监理需要从风险分析的方法、流程、结论等方面，把握分析结论的科学性、准确性，从而保证其“可信度”；2、确保符合国家法令、法规的要求。信息安全是一个政策性非常强的领域，符合国家法令、法规是对信息系统安全的基本要求；3、保证有关评审是在相关职能部门的主持下完成的。信息安全的特殊性、有关法令决定了其评审单位必须是有关职能部门，监理应协助用户保证这一点，督促承建单位进行方案的评审。（三） 采购过程的质量控制安全工程采购过程的质量控制除了要保证进场的各种物资符合设计规定的功能、性能要求外，还必须保证采购的设备具有合法销售许可证、由合法供应商供应并满足相关的规定。国家对于不同类型的信息系统，对其安全产品的选购有明确规定，如：涉密信息系统只能采购国产自主安全设备和技术，监理要帮助建设单位保证所采购的产品满足国家规定。1、明确设计要求（技术规范和订获合同），识别产品偏差；2、协助建设单位选择合格的供货单位：国家对安全产品的供应厂家资质和产品有非常明确的要求，原则上，所有的安全产品都必须是通过指定部门安全评测的产品，供应厂家具有相应的供货资质。监理必须检验厂家所提供产品和供货资质证明材料的合法性；3、到货检验：监理应确保所到货安全设备与厂家所提供产品资质和供货资质一致，国家所颁发的安全产品资质都有非常明确的型号规定和有效期规定。监理应督促承建单位及时进行检查。（四）施工中质量的控制信息安全的实施专业化程度很高，同时又与其它系统密切相关，与其它工程实施进度上可能交叉进行，涉及的协调面多，容易出质量问题，而实施工程中的质量缺陷有可能直接导致安全漏洞和缺陷的存在，因此施工质量的控制尤为重要。与其他工程类似，常用的质量控制措施列举如下：1、系统实施必须按照最新的图纸、生效的设计方案进行；2、通过现场协调会议等手段及时解决施工中出现的问题；3、施工人员的资质必须严格审查,避免非正常施工带来的危害；4、必须督促承建单位严格遵守相关施工管理规定。安全工程实施中，配置漏洞占了安全漏洞的绝大多数,是信息系统安全运行中的最大隐患。监理中，对系统是否按照设计进行配置必须非常关注。（五）验收阶段质量控制监理在验收阶段主要进行如下几方面的质量控制：1、审核承建单位提交的信息系统安全工程验收大纲；2、检查安全设备的安装配置是否达到实施方案中的技术指标和性能；3、审查安全性能的测试结果；4、检查各种技术文档是否齐全。信息系统工程安全验收由建设单位组织，承建单位参加，委托相关职能部门（如：安全评测机构）或者组织专家委员进行验收。验收工作应根据信息系统的特点，应符合国家相关法律法规及标准的要求。监理在验收阶段重点是确保各项与验收相关的文档和数据满足验收要求，并保证这些文档和数据真实反映信息系统的安全实际情况。7.4安全工程的进度控制方法信息系统安全工程的进度控制主要内容有：1、工程设计阶段，对总工期进行控制；监督设计单位设计进度计划的执行审核材料和设备采购进度计划；2、工程实施阶段，完善项目控制进度计划，审查施工单位施工进度计划，做好各项动态控制工作，协调各单位关系，预防并处理好工程延期造成的索赔，以求实际的施工进度达到计划施工进度的要求。信息系统安全工程计划进度控制采用与其它工程类似的方法进行。但在协调各单位关系上，监理必须考虑到信息安全的特殊性，不仅需要协调用户、承建单位、供应单位的关系,还要协调信息安全主管部门、安全政策部门的关系。信息安全是一个政策性极强的领域，一旦由于沟通等因素，在成主管部门、政策部门对工程实施的异议，会严重影响工程进度。此外，在许多用户内部，主管信息安全和信息系统的职能部门是不同的部门，两者之间的沟通也非常重要。因此，监理必须将协调沟通作为确保进度的一项重要工作来做，必须帮助用户做好及时、有效的沟通，避免对系统进度的影响。7.5安全工程的投资控制方法信息系统安全工程的投资控制与其它工程类似，采用相似的方法开展工作。需要说明的是，监理除了代表建设单位尽可能降低费用外，还应帮助建设单位确保信息安全的合理投入，保证信息安全的投入比例满足相关规定。与其它工程不同，信息安全投入的不足导致安全保障能力的降低，后果可能是整个信息系统失去使用的价值，或使用意义大打折扣，蕴藏对建设单位信息价值的严重损害。7.6安全工程的技术文档与管理方法为了便于监理单位监督和控制承建单位对信息系统安全工程文档的编制和管理，下面介绍工程的技术文档和管理文档等内容。对工程技术文档的严格要求是信息系统安全工程的一个特点，前面曾经提到监理的作用是确保信息系统安全工程的 “可信度”这种作用直接通过工程文档体现出来。一套完善、准确的工程文档将全面反映工程的实际情况，不仅为项目验收、测评提供依据，也是今后运行、维护、改进、提高的基础。信息系统安全工程技术文档的管理与其它工程比较类似，但在以下几个方面需要注意：l 文档的准确性。监理必须对信息安全文档的准确性负责。实际工作中，应对文档的准确性和真实性进行严格检查；l 文档的详细程度。监理必须保障若干重要的信息安全建设内容相关文档的详细程度，否则，会对项目的验收和开通造成困难；l 文档的格式和构成。信息系统安全性的评测、评估的一项重要内容就是对工程文档进行审查、分析，因此，为避免不必要的工作量，监理应该熟知各相关部门对工程文档的要求，在文档编制时，对其格式、内容进行控制和管理。8本工程组织协调的工作方法朝阳校校通工程项目组织协调的方法包括工程例会、工程通知与回复等。只有进行有效的组织协调，项目协调内各子系统、各专业、各项资源以及时间、空间等方面才能实现有机的配合，使工程项目成为一体化运行的整体。8.1工程例会项目会议是把有关各干系人团结在一起的凝固剂。会议让信息全方位地畅快流动，而且提供了某种程度上的社会联系，它有助于提醒出席会议的人，他们是项目团队的一员。1、 举行会议成功的关键。举行会议成功的关键是：确保每个人到场、议程和领导。为了保证每个人都出席，要把会议作为每个人日程的固定项目。如果没有什么讨论的就取消会议。开好会议要把议程的项目保持在所需的最低数量，以确保每一个人都掌握最重要的事件、议题和问题的最新动向。作为会议的组织者，要确保在概括会议议程时要尽可能地精炼，没有必要的长会是适得其反的。2、 确保会议成功的措施。在会前、会中、会后，召集或主持会议可以采取多种措施以确保会议有效。（1）会前l 确定会议目的。会议是为了交流信息、计划、收集情况或意见、制定决策、评估项目进展、解决问题等问题。l 确定谁需要参加会议，说明会议目的。参加会议的人数应是能达到会议目的的最少人数。l 事先将会议议程表分发给参加会议者。议程表包括：会议目的；包括的主题（应按重要性大小列出）；每个主题的事件分配及谁将负责该主题、发言或主持讨论。议程表应附有参与者在会前需要评审的文件和资料。（2）会议期间l 按时开始会议。l 指定记录员。详细的记录方便以后的查阅。l 评论会议的目的和议程表。l 督促而不能支配会议。应保证会议在计划时间内顺利进行。l 会议结束时总结会议成果，并确保所有参加者对所有决策和行动项目有一个清楚的了解。l 必要超过会议计划时间。与会者可能有其他约会或者其他系列会议。如果没有讲完所有议程，最好让涉及这些细目的人另开一个会议。l 评价会议进程。会议结束时，应评价会议进程，公开讨论发生了什么，并决定是否做些调整，以提高以后会议的有效性。(3) 会后在会后24小时之内公布会议成果。总结文件应该简洁，如果可能，尽量写在一张纸上。总结文件应明确所做的决定，并列出行动细目，包括谁负责、预计完工时间和预期的交付物。8.2工程通知与回复以通知与回复的形式让信息在建设单位、赛迪监理与承建单位之间，在各单位内部人员之间流动，协调大家的思想与行动，以保证项目的总目标得以实现。要使这一形式有效地发挥，必须做到