第一篇:it信息系统监理规范
信息系统监理与信息系统审计
[摘要]建立信息化建设的第三方监督对保证信息化建设的效益最大化至关重要。本文通过信息系统监理和信息系统审计的概念、产生动因等进行比较,分析我国信息系统监理面临的新问题、新要求,并介绍美国信息系统审计的实践经验,在此基础上提出对我国信息系统监理事业发展的若干建议。
[关键词]信息系统信息系统监理信息系统审计比较独立性
引言
“信息化带动工业化”是我国长期的重要发展战略,江泽民同志在十六大的报告中指出:“实现工业化仍然是我国现代化进程中艰巨的历史性任务。信息化是我国加快实现工业化和现代化的必然选择。坚持以信息化带动工业化,以工业化促进信息化,走出一条科技含量高、经济效益好、资源消耗低、环境污染少、人力资源优势得到充分发挥的新型工业化路子。”这段论述表现了我们党对信息化建设的高度重视,也指明信息化带出一条新型工业化路子的光明前景。
目前,各地区、各部门都在认真贯彻十六大精神,十分重视推进信息化工作,我国信息化建设已经进入新的阶段,我国信息化事业已发展到一个新的阶段。各级政府正在积极推进“电子政务”,许多城市及企业也已着手整合与升级其信息化应用系统。可以预计,全国将有更多、更大的信息系统建设项目展开。但是,在信息化推进过程中,存在不同程度上的一些问题,主要表现在规划制订不够科学,项目管理不够严格,监理机制不够健全,系统运行效益不够明显。致使相当一部分信息化项目失败或未能实现预期目标,浪费了大量资源。究其根源主要原因之一是信息化建设第三方监管机制的缺失和标准的不健全。
国内外的实践表明:信息化是有风险的,信息系统规模越大,功能越复杂,风险也就越大。英国Kalido于英国时间2001年12月12日公布了有关企业信息管理的调查结果。调查显示,96%的企业对于本公司的信息管理系统感到不满。关于目前正在使用的信息系统,认为"所制作的报告缺乏一贯性"或者是"核对信息花费了太多时间"的企业约占70%。特别引人深思的是该调查是由美国HarteHanks以全球500强企业以及财富1000企业中的171家公司为对象通过问卷方式实施的。调查对象中,40%以上的企业年交易额超过20亿美元。其他主要调查结果如下∶回答目前的信息系统不能灵活因应变化的企业约占60%;对于数据的精度表示担心的企业约占60%;60%以上的企业正在策划有关数据及信息的整合计划。这充分说明,信息系统的建设项目较之传统工业工程项目成功率更低,风险也更加突出。
中央领导同志在国家信息化领导小组第一次会议中特别强调:信息化建设一定要讲求效益,不能搞花架子。因此建立并逐步完善我国信息系统审计制度是健康、有序地推进信息化和落实领导小组会议精神的一项重要措施。
目前,在国内的信息化项目工程建设中,绝大多数用户(业主)无法组织队伍对信息系统建设进行专业化管理,难以胜任从可行性分析、规划设计、招标、方案评审到工程监理和工程验收全过程的管理与组织协调工作,建设方和承建方在信息建设过程中存在严重的信息不对称问题。这表现为借助外援进行工程管理咨询的案例越来越多,一些省市的行业主管部门也开始在信息系统建设中推行由监理进行工程质量管理的做法。但是,监理介 入信息系统在我国还处于一个探索的过程中。
我国加入WTO后,鉴于我国IT服务业未来巨大的增长空间,国际知名咨询顾问公司、专业技术服务提供商等纷纷抢滩我国市场。在信息系统第三方鉴证业务方面,他们提供符合国际标准的信息系统审计服务。因此当前监理事业的发展面临新的形势,监理工作外部环境发生了深刻变化,势将对我国监理企业形成严重冲击,本土监理企业面临前所未有的严峻挑战。监理事业往何处去?这是摆在每一个监理人面前的重大课题。每一个监理企业必须以发展的眼光、动态的观点、创新的思想和创新的理论正确认识和判断当前的监理形势,增强危机感和紧迫感,迎接新的挑战。
信息系统监理
信息系统监理概念
依据信息产业部《信息系统工程监理暂行规定》,信息系统工程监理是指依法设立且具备相应资质的信息系统工程监理单位,受业主单位委托,依据国家有关法律法规、技术标准和信息系统工程监理合同,对信息系统工程项目实施的监督管理。
信息系统监理产生动因及其发展
1、信息系统监理产生动因分析
监理工作、监理企业是我国在计划经济向市场经济转变的过程中在建设领域中应运而生的,并取得了有目共睹的显著成效,直接促进了工程监理业的繁荣发展,这也导致在通信业工程建设、信息系统建设等方面监理的出现。因此,回顾建设工程监理的发展,将有助于对信息系统监理的认识。
1988年7月建设部发布了《关于开展建设监理工作的通知》,随后又于1988年11月印发了《关于开展建设监理试点问题的若干意见》,使得试点工作有章可循。1989年,根据初步试点取得的经验,建设部制定了《建设监理试行规定》,这是我国第一个比较完备的关于工程建设监理的法规文件,勾画出具有我国特色的工程建设监理制度的初步框架。1991年又分别制定颁发了《建设监理单位资质管理试行办法》和《监理工程师资格考试及注册试行办法》,建设监理法规制度进一步配套完善。1993年,上海市开始了工程设备监理制度的试点工作。1998年,国务院机构改革后赋予了国家质量技术监督局“协调建立设备工程监理制度”的职能要求,随后,国家质量技术监督局拟定了《协调建立设备工程监理制度的方案》,在国家发展计划委员会的指导和具体参与下,会同国务院有关部门,在国内有关技术及咨询机构的帮助、支持下,完成了设备监理制度中有关规章的起草工作。此间,世界银行、国家开发银行等亦曾规定,其贷款的有关项目要有监理公司监理,并作为申请贷款的项目单位获得贷款的基本条件。由此开始推行建设工程监理制度,监理事业得到持续快速发展,从而积累了一定经验,取得了积极成效。发展至今建立了一套比较完整的监理法规体系,组成了一支规模较大的监理队伍,监理出一批优良的工程项目,监理工作在工程建设中发挥了重要作用,得到了各级领导的支持,得到了社会的普遍认可,正逐步向规范化、制度化、科学化方向迈进
但同时我国工程监理事业经过十多年的发展,虽然取得了一定成绩,但也存在不少问题。如:监理人员整体素质不高、监理工作缺位、监理取费普遍较低、监理市场竞争机制不健全、监理企业缺乏自我积累和发展能力、监理责任不明确、监理工作缺乏系统的理论研究、宣传工作滞后等问题比较突出。
2、信息系统监理的发展
目前信息系统工程的现状类似于二十世纪八十年代以前建筑工程的状态。自1988年建设部颁布《关于开展建设监理工作的通知》以后,特别是1996年建设监理全面推行后,建筑工程的质量普遍提高,业主和承建商之间的纠纷普遍减少,凡是出问题的工程,监理也有问题。因此,要求参考建筑工程的管理办法对信息工程实施监理的呼声日益高涨,这既是信息工程用户(业主)的愿望,也是系统集成商的愿望,信息工程市场呼唤“第三方”—信息系统工程监理的出现。
早在1995年,原电子工业部就出台了《电子工程建设监理规定(试行)》。1996年,深圳市成立了全国第一家信息工程质量监督机构—信息工程质量监督检验总站。1998年,西安协同软件股份有限公司经西安技术监督局和西安市科委批准,获得“计算机管理信息系统工程监理”资质认证,成为国内第一家获此资格的公司。1999年6月,深圳市政府在国内率先出台了包括实施信息工程监理条款在内的《深圳市信息工程管理办法》,并要求首届我国国际高新技术成果交易会信息网络工程实施监理。2000年7月,深圳市信息化建设委员会办公室制订了《深圳市信息工程建设管理办法实施意见》,要求“市、区、镇人民政府及其所属部门使用财政性资金(包括预算内资金、预算外资金、事业收入等),投资规模在100万元以上的信息工程建设项目必须遵照本实施意见进行立项、招投标、监理、质量监督、验收”。2002年7月,北京市信息化工作办公室制定了《北京市信息系统工程监理管理办法(试行)》,要求“本市推行信息系统工程监理制度,建设单位应当通过协议或者招标的方式优先选择具有相应资质等级的信息系统工程监理单位承担监理业务。各级财政全部补助或者部分补助以及为社会提供公共服务的重大信息化工程项目必须通过招标的方式选择信息系统工程监理单位,实行强制监理。”2002年11月,国家质量监督检验检疫总局公布《设备监理单位资格管理办法》,在该管理办法的21类设备工程专业中,涉及信息工程的共有三类,即信息网络系统、信息资源开发系统和信息应用系统。最近,在国家信息办和国家标准管理委员会直接领导下,信息化系统监理规范化项目正在加紧制定中,并且是作为电子政务标准化项目的一个子项目而提出的。预计在今年年底,监理规范就要完成,经过试用和修改后,将上升为国家标准。2002年12月,信息产业部在广泛征求意见和开展试点工作的基础上,正式颁布《信息系统工程监理暂行规定》,这标志着我国信息工程监理开始迈向科学化、专业化和规范化,也预示着在我国即将出现一个新的中介服务行业,将很快涌现一批监理机构和执业人员,从此信息系统工程监理工程师也将逐步成为国民经济和社会信息化的“警察”。
但我国的信息系统工程监理目前仅仅是处在起步阶段,事实上根据对国内信息化应用程度较高的行业部门(如银行、证券、保险、气象、社保、旅游等)和部分大型企业(如华北制药、哈尔滨轴承集团、哈尔滨飞机制造企业、跃进汽车集团、我国石化等)30个样本作为调查对象的调查结果显示,对于大多数企业来说,项目监理是个新概念。只有30%的被调查者表示在某些信息化项目中使用过监理服务。在70%未使用过项目监理的被调查者中,5%表示听说过,95%表示知道建筑工程有监理,但在IT信息化项目中引入监理还是第一次听说。
图1监理服务内容重要程度(引自胡敏《市场呼唤项目监理》)
目前,我国还没有一套完善的IT项目监理制度,相应的监理法规、监理内容、收费标准等也都没有制定。特别是收费标准问题,大多数用户采用协商解决。以北京城域网项目的监理费为例,其采用了建筑行业的监理服务收费标准(2%10%),支付的服务费占整个项目资金支出的2%。广大用户也反映,项目监理的标准如何才能做到公正、科学,项目监理的工作流程是否也应该规范,如何界定和权衡监理公司、用户、IT厂商三方利益?监理过程中出了问题,该怎么办?,这一系列问题都需要不断探索。原北京市信息中心主任华平澜表示,只有使监理更加规范化,才能更好地推进监理工作,才能使信息系统的建设更加顺利。事实上,与建筑等其他发展很成熟的行业的监理相比,对IT项目的监理要难得多。并且由于信息技术是一个新兴技术,它本身还在不断发展和完善,因此,即使制定出的监理的内容和标准也不能僵化,需要不断地变更和完善。
信息系统监理的基本理论
信息系统监理的中心任务是科学地规划和控制工程项目的投资、进度和质量三大目标;监理的基本方法是目标规划、动态控制、组织协调和合同管理;监理工作贯穿规划、设计、实施和验收的全过程。信息工程监理正是通过投资控制、进度控制、质量控制以及合同管理和信息管理来对工程项目进行监督和管理,保证工程的顺利进行和工程质量。
1、成本控制
成本控制的任务,主要是在建设前期进行可行性研究,协助建设单位正确地进行投资决策;在设计阶段对设计方案、设计标准、总概(预)算进行审查;在建设准备阶段协助确定标底和合同造价;在实施阶段审核设计变更,核实已完成的工程量,进行工程进度款签证和索赔控制;在工程竣工阶段审核工程结算。
2、进度控制
进度控制首先要在建设前期通过周密分析研究确定合理的工期目标,并在实施前将工期要求纳入承包合同;在建设实施期通过运筹学、网络计划技术等科学手段,审查、修改实施组织设计和进度计划,做好协调与监督,排除干扰,使单项工程及其分阶段目标工期逐步实
现,最终保证项目建设总工期的实现。
3、质量控制
质量控制要贯穿在项目建设从可行性研究、设计、建设准备、实施、竣工、启用及用后维护的全过程。主要包括组织设计方案评比,进行设计方案磋商及图纸审核,控制设计变更;在施工前通过审查承建单位资质等;在施工中通过多种控制手段检查监督标准、规范的贯彻;以及通过阶段验收和竣工验收把好质量关等。
3、合同管理
合同管理是进行投资控制、工期控制和质量控制的手段。因为合同是监理单位站在公正立场采取各种控制、协调与监督措施,履行纠纷调解职责的依据,也是实施三大目标控制的出发点和归宿。
4、信息管理
信息管理包括投资控制管理、设备控制管理、实施管理及软件管理。
5、协调
协调贯穿在整个信息系统工程从设计到实施再到验收的全过程。主要采用现场和会议方式进行协调。
总之,三控两管一协调,构成了监理工作的主要内容。为完满地完成监理基本任务,监理单位首先要协助建设单位确定合理、优化的三大目标,同时要充分估计项目实施过程中可能遇到的风险,进行细致的风险分析与评估,研究防止和排除干扰的措施以及风险补救对策。使三大目标及其实现过程建立在合理水平和科学预测基础之上。其次要将既定目标准确、完整、具体地体现在合同条款中,绝不能有含糊、笼统和有漏洞的表述。最后才是在信息工程建设实施中进行主动的、不间断的、动态的跟踪和纠偏管理。
信息系统监理的主要业务和依据
1、信息系统监理的主要业务
信息系统监理的主要业务范围有信息网络系统、信息资源系统、信息应用系统的新建、升级、改造工程。根据国内信息系统监理的实践,其涵盖计算机工程、网络工程、通信工程、结构化布线工程、智能大厦工程、软件工程、系统集成工程以及有关计算机和信息化建设的工程及项目。其业务内容具体如下:
帮助建设单位做好项目需求分析,协助建设单位选择合适的承建单位;
审定承建单位的开工报告、系统实施方案、施工进度计划;
对项目实施的各个阶段进行有效的监督和控制,帮助建设单位控制工程进度、投资和质量;
审查和处理工程变更;
参与工程质量和其他事故调查;
调解建设单位与承包单位的合同争议,处理索赔、审批工程延期;
组织进行竣工验收测试。
组织建设单位和承建单位完成工程移交。
2、信息系统监理的依据
信息系统监理的依据如下:
国务院颁发的《质量振兴纲要》;
现行国家、各省、市、自治区的有关法律、法规、规定;
国际、国内IT行业质量标准规范;
建设单位和承建单位的合同;
将来还有国家标准,例如《信息化工程监理规范》等。
信息系统监理的程序
图3信息系统监理的程序
信息系统工程监理的特点是全过程监理,主要包括四个阶段的监理工作:招投标阶段、设计阶段、实施阶段、验收阶段。监理的目标、方法和程序都体现在这四个阶段的监理工作中。
信息系统审计
信息系统审计概念
信息系统审计是全部审计过程的一个部分,信息系统审计(ISaudit)目前还没有固定通用的定义,美国信息系统审计的权威专家RonWeber将它定义为“收集并评估证据以决定一个计算机系统(信息系统)是否有效做到保护资产、维护数据完整、完成组织目标,同时最经济的使用资源”。
信息系统审计的目的是评估并提供反馈、保证及建议。其关注之处可被分为如下三类:
可用性——商业高度依赖的信息系统能否在任何需要的时刻提供服务?信息系统是否被完好保护以应对各种的损失和灾难?
保密性——系统保存的信息是否仅对需要这些信息的人员开放,而不对其他任何人开放?
完整性——信息系统提供的信息是否始终保持正确、可信、及时?能否防止未授权的对系统数据和软件的修改?
信息系统审计产生动因及其发展
1、信息系统审计产生动因分析
关于信息系统审计的产生动因,目前国际上存在两种观点:一种观点认为是从会计审计发展到计算机审计再发展到信息系统审计(计算机审计的范围扩展,最后涵盖整个信息系统)演变过来的;另外一种认为由于信息系统尤其是大型信息系统的建设是一项庞大的系统工程,它投资大、周期长、高技术、高风险,在系统的建设过程中,对工程进行严格、规范的管理和控制至关重要。而正是由于信息系统工程所具有的这些特点,建设单位往往由于技术力量有限,无力对项目的技术、设备、进度、质量和风险进行控制,无法保证项目的实施成功。所以需要有第三方进行独立审计。
2、信息系统审计在国际上的发展
信息系统审计的发展是伴随着信息技术的发展而发展的。在数据处理电算化的初期,由于人们对计算机在数据处理中的应用所产生的影响没有足够的认识,认为计算机处理数据准确可靠,不会出现错弊,因而很少对数据处理系统进行审计,主要是对计算机打印出的一部分资料进行传统的手工审计。随着计算机在数据处理系统中应用的逐步扩大,利用计算机犯罪的案件不断出现,使审计人员认识到要应用计算机辅助审计技术对电子数据处理系统本身进行审计,即EDI审计。同时随着社会经济的发展,审计对象、范围越来越大,审计业务也越来越复杂,利用传统的手工方法已不能及时完成审计任务,必须应用计算机辅助审计技术(CAATs)进行审计。八十年代、九十年代信息技术的进一步发展与普及,使得企业越来越依赖信息及产生信息的信息系统。人们开始更多的关注信息系统的安全性、保密性、完整性及其实现企业目标的效率、效果,真正意义的信息系统审计才出现。随着电子商务的全球普及,信息系统的审计对象、范围及内容将逐渐扩大,采用的技术也将日益复杂。到目前为止,信息系统审计在全球来看,还是一个新的业务,从美国五大会计师事务所的数据看1990年拥有信息系统审计师12名到近百名,1995年已有500名,到2000年时,信息系统审计师正以40%——50%的速度增加,说明信息系统审计正逐渐受到重视。
美国在计算机进入实用阶段时就开始提出系统审计(SYSTEMAUDIT),从成立电子数据处理审计协会(EDPAA后更名为ISACA)以来,从事系统审计活动已有三十多年历史,成为信息系统审计的主要推动者,在全球建有一百多个分会,推出了一系列信息系统审计准则、职业道德准则等规范性文件,并开展了大量的理论研究,IT控制的开放式标准COBIT(ControlObjectivesforInformationandRelatedTechnology)已出版了第三版。
3、信息系统审计在国内的发展
目前国内有学者提出计算机审计,电算化审计,但基本上停留在对会计信息系统的审计上,延伸手工会计信息系统审计,尚未全面探讨信息时代给审计业务带来的深刻变化。以我国在1999年颁布了独立审计准则第20号——计算机信息系统环境下的审计为例,其更多关注的是会计信息系统。在信息时代,面对加入WTO后全球一体化市场,我国IT服务业面临巨大的挑战,开展信息系统审计业务不失为推动我国IT服务业发展的一次绝佳机会。
信息系统审计的理论基础
信息系统审计不仅仅是传统审计业务的简单扩展,信息技术不单影响传统审计人员执行鉴证业务的能力,更重要的是公司和信息系统管理者都认识到信息资产是组织最有价值的资产,和传统资产一样需要控制,组织同时需要审计人员提供对信息资产控制的评价。因此信息系统审计是一门边缘性学科,跨越多学科领域。
如图3所示,信息系统审计是建立在四个理论基础之上的:
传统审计理论。传统审计理论为信息系统审计提供了丰富的内部控制理论与实践经验,以保证所有交易数据都被正确处理。同时收集并评价证据的方法论也在信息系统审计中广泛应用,最为重要的是传统审计给信息系统审计带来的控制哲学,即用谨慎的眼光审视信息系统在保护资产安全、保证信息完整,并能有效地实现企业目标的能力。
信息系统管理理论。信息系统管理理论是一门关于如何更好地管理信息系统的开发与运行过程的理论,它的发展提高了系统保护资产安全、保证信息完整,并能有效地实现企业目标的能力。
行为科学理论。人是信息系统安全最薄弱的环节,信息系统有时会因为人的问题而失败,比如对系统不满的用户故意破坏系统及其控制。因此审计人员必须了解哪些行为因素可能导致系统失败。这方面行为科学特别是组织学理论解释了组织中产生的“人的问题”。
计算机科学。计算机科学本身的发展也在关注如何保护资产安全、保证信息完整,并能有效地实现企业目标。但是技术是一把双刃剑,计算机科学的发展可以使审计人员降低对系统组件可靠性的关注,信息技术的进步也可能启发犯罪,例如一个重要的问题是信息技术在会计制度中的应用是否给罪犯提供了较多缓冲时间?如果是,那么今天网络犯罪产生的社会威胁较以往任何时候都要大。
图4 :IS审计的理论基础
信息系统审计的基本业务和依据
1、信息系统审计的基本业务
信息系统审计业务将随着信息技术的发展而发展,为满足信息使用者不断变化的需要而增加新的服务内容,目前其基本业务如下:
系统开发审计,包括开发过程的审计、开发方法的审计,为IT规划指导委员会及变革控制委员会提供咨询服务;
主要数据中心、网络、通讯设施的结构审计,包括财务系统和非财务系统的应用审计;
支持其他审计人员的工作,为财务审计人员与经营审计人员提供技术支持和培训;
为组织提供增值服务,为管理信息系统人员提供技术、控制与安全指导;推动风险自评估程序的执行;
软件及硬件供应商及外包服务商提供的方案、产品及服务质量是否与合同相符审计;
灾难恢复和业务持续计划审计;
对系统运营效能、投资回报率及应用开发测试审计;
系统的安全审计;
网站的信誉审计;
全面控制审计等。
一个信息系统不等同于一台计算机。今天的信息系统是复杂的,由多个部分组成以做出商业解决方案。只有各个组成部分通过了评估,判定安全,才能保证整个信息系统的正常工作。对一个信息系统审计的主要组成部分分成以下几类:
信息系统的管理、规划与组织——评价信息系统的管理、计划与组织方面的策略、政策、标准、程序和相关实务。
信息系统技术基础设施与操作实务——评价组织在技术与操作基础设施的管理和实施方面的有效性及效率,以确保其充分支持组织的商业目标.
资产的保护——对逻辑、环境与信息技术基础设施的安全性进行评价,确保其能支持组织保护信息资产的需要,防止信息资产在未经授权的情况下被使用、披露、修改、损坏或丢失。
灾难恢复与业务持续计划——这些计划是在发生灾难时,能够使组织持续进行业务,对这种计划的建立和维护流程需要进行评价。
应用系统开发、获得、实施与维护——对应用系统的开发、获得、实施与维护方面所采用的方法和流程进行评价,以确保其满足组织的业务目标。
业务流程评价与风险管理——评估业务系统与处理流程,确保根据组织的业务目标对相应风险实施管理。
2、信息系统审计的依据
信息系统审计师须了解规划、执行及完成审计工作的步骤与技术,并尽量遵守国际信息系统审计与控制协会的一般公认信息系统审计准则、控制目标和其他法律与规定。
一般公认信息系统审计准则——包括职业准则、ISACA公告和职业道德规范。职业准则可归类为:审计规章、独立性、职业道德及规范、专业能力、规划、审计工作的执行、报告、期后审计。ISACA公告是信息系统审计与控制协会对信息系统审计一般准则所做的说明。ISACA职业道德及规范提供针对协会会员或信息系统审计认证(CISA)持有者有关职业上及个人的指导规范。
信息系统的控制目标——信息系统审计与控制协会在1996年公布的COBIT(ControlObjectivesforInformationandrelatedTechnology)被国际上公认是最先进、最权威的安全与信息技术管理和控制的标准,目前已经更新至第三版。它在商业风险、控制需要和技术问题之间架起了一座桥梁,以满足管理的多方面需要。面向业务是COBIT的主题。它不仅设计用于用户和审计师,而且更重要的是可用于全面指导管理者与业务过程的所有者。商业实践中越来越多的包含了对业务过程所有者的全面授权,因此他们承担着业务过程所有方面的全部责任。特别的是,这其中包含着要提供足够的控制。Cobit框架为业务过程所有者提供了一个工具,以方便他们承担责任。其框架包括四大部分:架构、控制目标、审计指南及执行概要。COBIT架构着重各项处理的高层次控制,控制目标则着重于各项IT处理或对该架构所包括的34项IT处理的特定详细控制目标,每一项IT处理都有5至25个详细控制目标,控制目标使整体架构和详细控制目标密切对应,相互一致。详细控制目标有18种主要来源,涵盖现行的及法定有关IT的国际性准则与规定。这包括对各项IT工作所建置的控制程序拟达到的预期结果或目标的叙述,以提供全球所有的产业有关IT控制的明确方针及实际最佳的应用。
其他法律及规定。每个组织不论规模大小或属于何种产业,都需要遵守政府或外部对与电脑系统运作、控制,及电脑、程序、信息的使用情况等有关的规定或要求,对于一向受严格管制的行业,尤其要注意遵守。以国际性银行为例,若因不良备份及复原程序而无法提供适当的服务水准,其公司及员工将受严重处罚。此外,由于对EDP及信息系统的依赖性加重,许多国家极力建立更多有关信息系统审计的规定。这些规定内容是关于建置、组织、责任与财务及业务操作审计功能的关联性。有关的管理阶层人员必须考虑与组织目标、计划及与信息服务部门/职能/工作的责任及工作等有关的外部规定或要求。
信息系统审计流程
开始审计工作的准备包括收集背景信息,估计完成审计需要的资源和技巧。包括合理进行人员分工。与负责的高级经理举行一次正式的开始审计会议,最后决定范围,理解特别关注之处,如果有的话,制定日程,解释审计方法。这样的会议有高级经理的参与,使人们互相认识,阐明问题强调商业关注点,使得审计工作得以顺利进行。类似的,在审计完成后,也召开一次正式会议,向高级经理交流审计结果,提出改进建议。这将确保进一步的理解,增加审计建议的接纳程度。也给了被审计者一个机会来表达他们对提出问题的观点。会议之后书写报告,可以大大增加审计的效果。
开始审计工作预备工作了解内部控制结构评价控制风险是否信赖内部控制?是否仍可信赖内部控制?内部控制测试评价控制风险是否提高内部控制的信赖程度?扩大实质性测试有限的实质性测试形成审计意见出具审计报告是否是是否结束否
基于风险的审计方法
很多组织意识到技术能带来的潜在好处。然而,成功的组织还能够理解和管理好与采用新技术相关的很多风险。因此,审计从基于控制(ControlBased)演变为基于风险(RiskBased)的方法,其内涵包括企业风险、确定风险、风险评估、风险管理、风险沟通。
每个组织使用许多信息系统。对不同功能和活动有不同的应用软件,在不同的地理区域可能有众多的计算机配置。审计者面临的问题是审计什么,什么时候及审计频率。其答案是接纳基于风险的方法。信息系统有着与生俱来的风险,这些风险用不同方式冲击信息系统。对繁忙的零售超市,信息系统哪怕一个小时的不可用都会对营业系统造成严重影响。未授权的修改可能造成对在线银行系统的欺诈及潜在损失。系统运行的技术环境也可能影响系统的运行风险。
基于风险方法来进行审计的步骤是:
编制组织使用的信息系统清单并对其进行分类。
决定哪些系统影响关键功能和资产。
评估哪些风险影响这些系统及对商业运做的冲击。
在上述评估的基础上对系统分级,决定审计优先值,资源,进度和频率。审计者可以制定审计计划,罗列出一年之中要进行的审计项目。
信息系统监理与信息系统审计之对比分析
从前面两部分的介绍可知,信息系统审计在国际上已经体系化、标准化、程序化,而 我国信息系统监理仅有最基本的轮廓,积累了一些经验,但尚没有形成完整的方法论。因此,目前只能从概念、发展动因等方面做较为宽泛的对比。不过,对比国际通用体系,可为我国发展信息系统监管体系以及制定相应的管理制度或实施细则提供借鉴。
信息系统监理与信息系统审计之对比,可归纳出以下特点:
两者性质相同,都是第三方监督,但对独立性的要求有差别。
两者都是立足在第三方的立场,公平对待委托方与被监督方,并要求确保公正性、公平性,以《北京市信息系统工程监理管理办法》为例,其第十四条是“信息系统工程监理单位应当客观、公平、公正地执行监理任务”,但是对这一行业赖以存在并得以发展的信条和灵魂——独立性没做明确要求。而信息系统审计对第三方的超然独立要求极其严格,也因此在保证客观、公正上更有可操作性。
客观公正应当是每个信息系统审计师和监理工程师职业道德方面追求的最高目标,但是人们很难衡量其在执行业务时是否已经达到了客观公正,如果只作精神上的要求,那么准则和要求将变成牧师的布道,职业人员很难执行,社会公众很难观察,所以信息系统审计准则中有关于审计师独立性的要求。有关独立性问题的系统研究当首推罗伯特.K.莫茨(R.K.Mautz)和侯赛因.A.夏拉夫(H.A.sharaf)1961年出版的《审计哲学》(ThephilosophyofAuditing)。其中对独立性的讨论包含了两个方面:执业者的独立性(Practitionerindependence)和职业的独立性(Professionindependence)。前者包括审计计划的独立性、审计过程的独立性和审计报告的独立性;后者则是指社会公众对注册会计师行业的一种印象。曾任美国注册会计师协会职业道德委员会主席的托马斯.G.希金斯(ThomasGHiggins)在1962年对独立性的概念又进行了进一步的提升与概括,他认为:“注册会计师必须拥有的独立性,实际上有两种,实质上的独立性和形式上的独立性”。所谓形式上的独立性,是指注册会计师必须与被审查企业或个人没有任何特殊的利益关系,如不得拥有被审查企业股权或担任其高级职务,不能是企业的主要贷款人、资产受托人或与管理当局有亲属关系,等等。否则,就会影响注册会计师公正地执行业务。形式上的独立性又可进一步分为组织上的独立性、经济上的独立性与人员上的独立性三种。所谓实质上的独立性,又称为精神独立性,即认为独立性是一种精神状态、一种自信心以及在判断时不依赖和屈从于外界的压力和影响。它要求注册会计师在执业过程中严格保持超然性,不能主观袒护任何一方当事人,尤其不应使自己的结论依附或屈从于持反对意见利益集团或人士的影响和压力。由上可知,实质上的独立性是无形的,通常是难以观察和度量的,而形式上的独立性则是有形的和可以观察的。社会公众通常是透过注册会计师形式上的独立性来推测其实质上的独立性。因此,从这个意义上来说,形式上的独立性是实质上的独立性的载体和重要前提。由此可见,形式上独立很重要,因为它很好界定,便于准则规范,在现实环境中有很好的可执行性。因此我们认为,信息系统监理行业如果不能在独立性的制度建设上取得重大突破,整个行业的社会信任度大打折扣,而诚信和道德水准的提升对制度缺陷的修正也会很难在实质上取得成效。信息系统监理行业发展中所面临的各种问题都很重要,但围绕信息系统监理职业独立性的建设可能是各项工作中的重中之重。(本文对注册会计师的讨论同样适用于信息系统审计师)。
国外信息系统审计已经发展为较完善的行业监督体系。
目前国内信息系统审计刚刚起步,而信息工程监理还不够规范。国家缺乏相应的法律、法规和标准,至今还没有有效的管理手段,在委托方和被委托方之间也没有一种协调的机制来建立两者之间的信任。并且我国行业不规范的责任往往被轻易地归咎于政府监管的不力;同样轻易得到的结论,是因此要“加强监管机构的权力和范围”。美国的会计行业规范不是这么一种逻辑。在规范行业行为中,政府监管是一个重要的辅助措施;而真正起决定性作用的,是市场中的制衡力量,以及为这些制衡力量切实发挥作用而形成的各种正式 或非正式的制度安排。
美国注册会计师行业的管理机制——行业自我管理和外部约束向结合发挥了重要作用。行业自我管理是通过行业组织、准则和规则、监督来实现的,行业外部约束通过政府组织、准则和规则、监督和实施来实现。如美国国会和SEC监管下的行业自律。外部监管以加强管制的可能性来对行业施加约束。而较强的行政管制,将在很大程度上限制会计行业自主发展的权利和业务拓展空间,损害所有从业者的利益,因此行业总体上需要以行业自律来换取行业自我管制。如果行业不能自律,公众要求国会加强行政管制的压力使得这种可能性现实存在。
两者业务范围和目的均有所差别。
信息系统工程监理和信息系统审计都是对质量控制的再控制,但两者业务范围和目的均有所差别。
1、两者业务范围差别
信息系统工程监理是指具有信息系统工程监理资质的单位,接受建设单位的委托,依据国家和本市有关规定、信息系统工程建设标准和工程承建、监理合同,对信息系统工程的质量、进度和投资方面实施监督。目前主要应用在信息化工程建设阶段。
信息系统审计是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。它是立足于组织的战略目标,为有效的实现组织战略目标而采取的一切活动过程都在审计师的业务之内。其业务范围包括与信息系统有关的所有领域,例如信息系统安全审计、网誉审计、PKI/CA审计、电子签名审计业务等。
2、两者目的差别
信息系统工程监理的目的是保证工程建设质量、进度和投资额满足建设要求。监理活动随着工程的完成而结束。信息系统审计的目的是合理保证信息系统能够保护资产的安全、数据的完整、系统有效地实现组织目标并有效率的利用组织资源,其核心是信息系统的效率、效果。不仅包括对建设过程的审计,更重要的是对信息系统的运营审计,向公众出具审计报告,鉴证信息系统能否保护企业资产安全,其产生、传递的信息是否完整,整个系统是否有效地实现组织目标并有效率的利用组织资源。只要信息系统在运行,审计活动一直存在。
另外,信息系统工程监理的过程是可见的,即对项目成本、进度和质量与目标出现的偏差是可见的,及时纠正也方便。但信息系统审计对信息系统的安全性、可靠性与有效性的认定具有不可见性,这也正是信息系统比工程项目复杂的主要原因。信息系统建设完毕,这仅仅是信息化的开始,大量的问题将出现在信息系统运维阶段,因此,从这个角度而言,信息系统审计是保证信息系统质量的行之有效的方法。
信息系统审计与方法研究具有科学化、规范化、智能化和系统化的特点。
所谓科学化,是指现代审计技术与方法的研究,已经超越了传统的经验论,非常强调把科学手段和经验总结相结合。比较典型的例子就是分析性复核技术的发展。所谓分析性复核,其实质就是将审计人员掌握的一些客观规律总结出来,测算出被审计事项的合理预期值,再与被审计事项的实际值相比较,进一步评估差异的合理性之后,确定是否还需要对被审计事项进行详细测试。这一个过程,实际上被许多审计人员不自觉地运用了多年,但通过公式和比率等形式总结出来,主动指导审计人员的实践,却是最近20年来审计技术与方法研究的一大突出特点。科学化的另一个表现就是数学和统计学技术在审计中的运用日益广泛,抽样统计技术的全面推广就是例证。
所谓规范化,是指审计机构将审计程序设计与审计技术方法的运用有机结合,规范和引导审计人员运用适当的审计技术和方法。以往,审计人员在运用审计技术和方法的过程中容易有较大的随意性,用与不用,在什么时候用,如何使用,都没有规范和约束,导致整个审计机构的标准不统一,质量没有保证。随着程序导向式审计软件平台的开发和广泛运用,越来越多的审计机构开始把审计技术与方法融入到规范的审计程序之中,要求并指导审计人员合理运用审计技术。
所谓智能化,强调的就是将历史经验总结、科学规律推导和审计人员的专业判断结合起来,指导审计人员得出合理的审计结论。在审计过程中,数学、统计学的分析结果,都不能完全替代审计人员的专业判断,因为在其利用的数学公式中,仍然有许多变量需要审计人员主观确定。在这种情况下,越来越多的审计机构,倾向于在审计软件中为审计人员的决策提供参考。目前,许多审计机构不惜花巨资,邀请审计领域的专家,分析在各种情况下常见的审计策略或方法以及对不同审计结果的判断标准。当然,对审计而言,智能化永远都是一个相对的概念,电脑和机器永远不能替代审计人员的决策,但提供决策辅助和参考意见,确实非常必要。
所谓系统化,是指审计战略(策略)和审计技术方法的全面协调。审计战略(策略)解决的是要审什么、想达到什么目的,审计技术和方法解决的是怎么审和怎么达到目的,这两者的协调是审计技术与方法的研究成果得以全面运用的关键。回顾最近20多年来审计技术与方法的研究历程,可以清晰地发现,审计技术的研究和运用完全是在风险基础审计理论指导下的开拓和发展,而脱离理论指导的实践经验总结相对越来越少。这一点给我们的启示在于,审计技术与方法的研究,不能超越基本审计理论和审计目标的研究,也不能脱离审计战略和审计目标的总体要求。
信息系统审计具有较完善的职业教育和认证体系。
国际信息
系
统
审
计
与
控
制
协
会
ISACA(InformationSystemAuditandControlAssociation)是唯一有权授予国际信息系统审计师资格的跨国界、跨行业专业机构,该协会成立于1969年,总部在美国的芝加哥。目前在世界上100多个国家设有160多个分会,现有会员两万多人。注册信息系统审计师CISA(CertifiedInformationSystemAuditor)资格由ISACA授予,是信息系统审计领域的唯一职业资格,受到全世界的广泛认可。由于信息技术的国际性,国际信息系统审计师资格在世界任何一个国家的使用都不会受到任何制约。自1978年以来,国际信息系统审计师CISA认证已经成为在信息系统审计、控制与安全专业领域中取得成绩的标准,并得到了全世界的公认。在世界各地,每年都要举行一次认证考试和若干次后续教育,目前在我国香港、台湾、北京、上海、广州、深圳设有考点。经过认证的信息系统审计师最擅长鉴别信息系统的有效性,最安全和最稳定的系统不一定是最有效的系统,而效率不高的系统就会消耗企业大量的资源,信息系统审计师的优势就是对财经管理和信息技术融会贯通,为企业信息系统的改造提供建议。
鉴于信息安全市场的高速增长,最近国际信息系统审计与控制协会又迅速推出了信息安全管理师认证CISM,以配合市场对安全人才的巨大需求。
对信息系统监理的建议
目前,我国的信息系统监理业巨大的发展空间吸引着越来越多的国际咨询公司和专业服务提供商抢滩我国市场。据不完全统计,目前在我国的海外咨询足有百余家。随着摩立特集团(我国)公司日前在北京成立,国际上最著名的咨询公司如麦肯锡、科尔尼、埃森哲、BCG、PWC、罗兰贝格、德勤等皆已在我国登陆,给国内的咨询包括监理机构带来了巨大的压力,其丰富的案例库、数据库、知识库,数十甚至百年创下的品牌,短时期内本土咨询业与其的差距依然较大。
面对机遇和挑战,如何借鉴国际上先进的经验,推动我国信息系统监理的健康发展,避免其他中介服务行业曾走过的弯路,我们在广泛的理论分析和实证研究的基础上提出如下具体建议:
建立健全的管理体制与法律法规体系,尽快形成统
一、规范、竞争、有序的信息系统工程监理服务市场。
各级信息化主管部门,在规范政府管理职能的同时(政府部门要避免管的过多、过细,应过多关注整个监理市场的宏观管理和调控),注重加强行业自律管理,避免其他中介服务行业曾出现过的多种问题。例如,个别人凭借权利强行包揽监理业务,采取高回扣等不正当手段,以及为独揽业务,不惜损害其他方和当事人的权益等。
鉴于信息系统工程监理具有专业性强和风险大的特点,建议把执业队伍的业务素质和职业道德素质的提高作为一项重要工作常抓不懈,使信息系统工程监理工程师真正成为国民经济和社会信息化的“警察”。
尽快建立信息系统工程监理的标准和执业规范。
推动信息系统工程监理工业的分化整合,探索信息系统工程监理公司扩大规模的方式和途径。在我国加入WTO的新形势下,面对国际IT服务咨询业巨头的竞争,我国信息系统工程监理行业刚起步,监理公司如何脱颖而出、迅速成长,参与国内甚至国际信息系统中介服务市场的竞争,将是重中之重的工作。
开展信息系统工程监理公司内部管理机制研究。努力提高信息系统工程监理行业的监理质量。
执业程序要统一。“四大”发展到今天这样的规模,执业程序的统一是其基石。这些程序历经多年的经验积累而形成,并针对新出现的问题随时加以完善。从某种意义上将,客户对“四大”的统一的执业程序的认同,超过了对其名称品牌的认同。
培训统一。为保证执业程序的统一,首先要做到培训统一。信息系统监理工程师在开始执业前要经过严格的培训,定期培训当然更不可少。建议信息系统监理公司设立专门的培训部门,并将每年收入相当大的比重用于培训。另外,严格、规范的培训也是监理公司能够吸引众多高素质从业人员的一个重要因素。
人事管理在一定范围内统一。建议将监理工程师的级别进行细分,并且不要出现一个地方的人员比另外一个地方同一级别的人员水平明显高的情况。这种管理方式,对于监理机构来说非常重要。
总之,我国信息系统监理事业发展几年来,虽然取得了一定成绩,但在思想认识、理论研究、管理体制、法规建设及实际操作中仍存在诸多问题,监理企业面临前所未有的严峻挑战。但是机遇与挑战同在,我国本土的咨询和监理企业最了解我国的国情环境。我们要充分利用这一优势,发挥自身的能动力量,积极参与竞争,加强与国际同行的合作交流,借鉴国际咨询机构和专业服务提供商的经验、知识、规则乃至在实施过程中的具体方法,把我国的信息系统监理事业做稳、做实、做大,做出我国的监理和咨询品牌。
第二篇:系统运维管理-IT基础设施运维管理规范
IT 基础设施运维管理规范 文件编号:运维-002-V1.0
目录
运维管理规范-------------- 4 1. 目的 ------------------------ 4 2. 适用范围 ------------------ 4 3. 规范性引用及参考 ----- 4 4. 本文术语,定义和缩略语 --------------------------- 5 5. 基本要求 ------------------ 6
5.1运维管理原则----- 6 5.2制度和流程管理6 5.5供应商管理 -------- 7 5.6督促检查 ----------- 7 6. 运行维护 ------------------ 8
6.1日常操作及监控分析 -------------------------- 8 6.2 数据与介质管理 - 8 6.3机房管理 ----------- 9 6.4 网络管理 ---------- 9 6.5 弱电管理 --------- 10 6.6桌面维护 ---------- 10 6.7服务器及系统变更 ---------------------------- 11
6.8 配置管理 --------- 12 6.9 事件与问题管理 12 7. 应急管理 ----------------- 12
7.1应急准备 ---------- 12 7.2应急处置 ---------- 13
运维管理规范
1. 目的
为规范公司运维工作,使相关工作具有持续改善及相互协作性,同时加强计算机设备的管理及维护,确保维修工作的及时性,降低计算机设备的报修率,实现业务与技术的融合,将业务部门与IT 部门紧密结合在一起,根据公司管理要求及计算机应用的需要,由运维部制定。
2. 适用范围
本规范规定了运维管理工作的要求。
本规范适用于维信理财集团(中国) 总部,包括全国各分部及门店。
3. 规范性引用及参考
◆ IT 服务管理国际标准ISO/IEC 20000 ◆ 企业获得ISO/IEC 20000认证的权威指南 ◆ 全球著名IT 服务管理书库(ITSM Library) ◆ IT 服务质量管理原则
◆ 理解ISO/IEC 20000在IT 服务中的地位 ◆ ISO/IEC 20000规范和实践准则 ◆ IT 服务管理国际标准ISO/IEC 20000 ◆ GB/T 20269—2006 信息安全技术 信息系统安全管理要求
◆ ISO 31000:2009 风险管理 原则和指南(Risk management -- Principles and guidelines)
◆ JR-T 0060—2010 金融信息系统安全等级保护基本要求 ◆ JR/T 0074-2012 金融IT 服务管理基本规范 ◆ 中国金融标准化报告(2011)
4. 本文术语,定义和缩略语
1、 IT: Information Technology 信息技术
2、 DNS: Domain Name Service 域名服务
3、 DHCP: Dynamic Host Configuration Protocol 动态主机配置协议
4、 VPN: Virtual Private Network 虚拟专用网
5、 OA: Office Automation 办公自动化系统
6、 ISO: International Organization for Standardization 国际标准化组织 编订日期:30.7.2014 批准日期: 生效日期:
7、故障: IT设备或系统丧失规定的功能,导致服务中断或降质,或对正常运行造成潜在威胁。
8、异常: IT设备或系统的状态发生超出预期的变化或性能指标参数超出正常范围,有可能引发或已经引发故障,需要引起运维人员关注或处理。
9、资料: IT设备或系统的运行记录,包括IT 设备或系统的配置、故障历史记录、软硬件扩容或调整记录、权限变更申请记录等。
10、运行维护:本规范中的运行维护包括IT 基础设施维护、IT 应用系统运维维护、安全管理、网络接入、内容信息以及综合管理等。
5. 基本要求
5.1运维管理原则
公司按集中与分散相结合的原则,设立机房、各部门配备电脑。计算机系统本着“总体规划、分步建设”的方式实施建立。
计算机系统建设应综合考虑成本、费用、效率、效果、先进性及适用性,选择最优技术、经济方案。
5.2制度和流程管理
运维管理制度应包括但不限于机房管理、网络与系统管理、数据和介质管理、配置管理、安全管理、监控管理、文档管理、设备和软件管理、供应商管理等制度。
运维操作流程应包括但不限于日常操作、事件处理、问题处理、系统变更、应急处置等流程。
5.3 文档管理
对运维过程中涉及的各类文档进行管理,可按照制度文档、技术文档、合同文档、审批记录、日志记录等进行分类,并妥善保存。 5.3.2 对文档的版本应当进行控制。
文档在使用时应能读取、使用较新版本,防止作废文件的逾期使用。
5.4设备和软件管理
建立计算机相关设备和软件管理制度,对设备和软件的使用、安装、维修(升级)等进行规范。明确设备和软件管理责任人。对设备进行标识,标识应放在设备明显位置。
规定设备和软件的使用年限,定期进行盘点,并对设备状态进行评估和更新。
对外送设备的维修进行严格管理,防止数据泄露。
对拟下线和拟报废设备的存储介质中的全部信息进行清除或销毁。对正式下线设备和软件交指定部门统一管理、保存或处置,并保留相应记录。设备和软件报废应符合公司现行资产管理规定。
5.5供应商管理
对供应商支持运维服务的相关活动进行统一管理。
在与供应商签订的合同中明确其应承担的责任、义务,并约定服务要求和范围等内容。
应定期收集、更新供应商信息,组织对供应商的服务质量、履约情况、人员工作情况等内容进行评价,并跟踪和记录供应商改进情况。加强运维外包服务管理,主要包括:
a) 明确外包公司应当承担的责任及追究方式;
b) 明确界定外包人员的工作职责、活动范围、操作权限; c) 对外包人员工作情况进行监督和检查,并留存相应记录; d) 对驻场外包人员的入场和离场进行管理; e) 定期评估外包的服务质量; f) 制定外包服务意外终止的应急措施。
5.6督促检查
定期检查审计,对运维制度的执行情况和运维工作开展情况定期进行检查和审计,以督促运维工作持续改进。
指定人员负责对日常操作执行情况进行检查,确保运维管理制度和操作流程的有效执行。对检查和审计结果采取纠正、预防措施。
6. 运行维护
6.1日常操作及监控分析
未经许可,任何人不得随便使用电脑及相关设备。不得更换电脑硬件和软件,拒绝使用来历不明的软件和移动设备。
电脑发生故障时,使用者作简易处理仍不能排除的,应立即报告IT ,非专业管理人员不得擅自拆开机箱或调换设备配件。
计算机及其相关设备的报废需经过IT 部门或专职人员鉴定,确认不符合使用要求后方可申请报废。
运维应采取各种监控措施,配备视频、语音、系统监控和报警工具,对影响信息系统正常运行的关键对象,包括机房环境、网络、通信线路、主机、存储、数据库、核心交易业务相关的应用系统、安全设备等进行监控。
主要监控指标具体如下:
a) 机房:电力状态、空调运行状态、消防设施状态、温湿度、漏水、人员及设备进出等;
b) 网络与通信:设备运行状态、中央处理器使用率、通信连接状态、网络流量、核心节点间网络
延时、丢包率等;
c) 主机:设备运行状态、中央处理器使用率、内存利用率、磁盘空间利用率、通信端口状态等;
d) 存储:设备运行状态、数据交换延时、存储电池状态等;
e) 安全设备:设备运行状态、中央处理器使用率、内存利用率、端口状态、数据流量、并发连接数、安全事件记录情况等;
6.2 数据与介质管理
配合数据应用部,对核心业务数据进行周备份,并每季度进行恢复性测试。
对设备和人员出入进行管理。进入机房应限制和监控其活动范围,并有专人陪同;未经批准不得接入生产环境。
6.3机房管理
对机房环境、供电、空调、消防、安防等基础设施的运行维护、设备和人员出入、机房工作人员等进行规范管理。
应指定机房管理负责人。 确保机房环境整洁和安全,包括:
a) 应定期检查防水、防雷、防火、防潮、防尘、防鼠、防静电等措施的有效性;
b) 应保持机房环境卫生,设备摆放合理,归类; c) 不得随意出入机房。
d) 未经审批不得接入其它用电设备。
6.4 网络管理
确保网络、系统的正常运行。网络管理应包括: a) 绘制网络拓扑图,并保持更新;
b) 应保持网络设备的可用性,及时维修、更换故障设备; c) 应负责网络系统的参数配置、调优; d) 应定期对系统容量进行检查和评估;
e) 应定期检查网络设备的用户、口令及权限设置的正确性;
f) 应定期对整个网络连接进行检查,确保所有交换机端口处于受控状态; g) 应对网络信息点进行管理,编制信息点使用表,并及时维护和更新,确保与实际情况一致。计
算机网络跳线应整齐干净,跳线标识清晰;
h) 应制定网络访问控制策略,应合理设置网络隔离设施上的访问控制列表,关闭与业务无关的端口;编制文档并保持更新;访问控制策略的变更应履行审批手续。
权限管理应包括如下要求:
a) 权限分配应履行审批手续,权限设置后应复核; b) 应按照最小安全访问原则分配用户权限; c) 应在用户账户变化时,同时变更或撤销其权限; d) 应定期检查权限设置的有效性。
6.5 弱电管理
严格按图纸施工,在保证系统功能质量的前提下,提高工艺标准要求,确保施工质量。质量检查制度,现场管理人员将定期进行质量检查并贯穿到整个施工过程中。统运行验收:当设备安装完毕并调试运行无误后,由公司派现场调试人员进行系统联调,并向上级汇报调试结果。运维对弱电设备的综合管理,包括技术资料、档案的收集。同时,每月一次对弱电设备运行状况进行检查,并及时处理汇报问题。
6.6桌面维护
日常数据注意事项:
a. 个人文件(Excel 、Word 、PDF 等)建议员工不要存放在系统盘(通常为C 盘),可以存放在其它盘符。
b. 工程师可通过多种方式或途径来告知员工如何进行日常文件的备份,如:口述、邮件、培训等。
c. 未经许可,禁止使用U 盘,移动硬盘,手机或其它外设,如:网盘、邮箱等,盗取公司内部文件。
重装系统前注意事项:
a. 询问用户有哪些相关数据需要备份,如桌面、我的文档、收藏夹、邮件等。b. 用户Email 的备份:如客户端为Outlook 则导出相关OST 或PST 文件;硬件损坏需更换或维修时,运维人员进行测试,明确是否真实异常,不可随意更换。
关于账号、权限、密码
a. 必须严格按照公司制定的IT 策略进行管理,不可私自制定规范。 b. 禁止私自把个人管理员权限借给他人或告知他人。
c. 禁止为他人开设规定以外的权限,如:本地管理员、其他部门目录访问权限、上网权限、电话权限等。
d. 更改任何类型用户权限时需得到相关审批层级确认才可执行。 e. 如电脑无特殊应用需求,则一律为“user”普通权限。
f. 人员离职时,总部和分部应及时通过OA 确认,删除离职人员的相关账号与信息。
g. 妥善保管自己所知的密码。
6.7服务器及系统变更
不得在服务器上使用带有病毒和木马的软件、光盘和可移动存贮设备,使用上述设备前一定要先做好病毒检测;不得利用服务器从事工作以外的事情,无工作需要不得擅自拆卸服务器零部件,严禁更换服务器配套设备。不得擅自删除、移动、更改服务器数据;不得故意破坏服务器系统;不得擅自修改服务器系统时间。
使用空闲主机,对服务器系统补丁进行升级测试,运行平稳后,各服务器升级安装补丁,弥补系统漏洞;为服务器系统做好病毒及木马的实时监测,及时升级病毒库。
管理员对管理员账户与口令严格保密、重要数据库,网站,APP 等服务器由研发配合定期修改密码,以保证系统安全,防止对系统的非法入侵。
任何无关人员不得擅自进入主机房,需要进入的须征得服务器管理人员同意。应注意保护机房内的设备和物品,未经允许的非管理人员不得擅自操作机房内设备。
严禁携带易燃易爆和强磁物品及其它与机房工作无关的物品进入机房,机房内严禁吸咽。除管理员外,任何人不得随意改动服务器内系统及环境配置。
除系统管理员或授权参加系统管理的人员外,任何用户不得以任何方式获取(或企图获取)超级用户权限。
6.8 配置管理
明确配置管理负责人。
建立配置文档库,对服务器、存储、网络、安全设备,操作系统、应用软件、数据库等进行管理。
定期对配置进行备份及文档库归类。
及时检查并定期审计,对发现的不一致情况及时纠正修改。
6.9 事件与问题管理
对运维事件的处理进行规范,对发生的所有事件,根据事件的影响程度和影响范围评估事件处理优先级并及时处理。
对所有事件响应、处理、结束等过程进行跟踪、监督及检查。对问题进行分析、提出解决方案,通过变更管理审批后部署实施。
7.应急管理
7.1应急准备
明确网络、系统等事件的应急指挥决策机制,负责网络与系统事件的预防预警、应急处置、报告和调查处理工作。
网络与系统应急管理应遵循“谁主管谁负责、谁运行谁负责”、“统一指挥、密
切协同;注重预防、减少风险;科学处置、及时报告;以人为本、公平优先”的原则。
应急准备应符合如下要求:
a) 系统管理员、网络管理员、安全管理员等关键岗位应熟练掌握应急预案,能有效处置相关事件;
b) 在自身力量不足以满足应急要求的情况下,应与相关供应商签署服务保障协议。协议内容应包
括双方联系人、联系方式、服务内容及范围、应急处理方式等。应定期检查和评估协议的执行情况,确保服务保障措施落实到位,确保在应急处置中相关单位能提供及时有效的技术支持;
c) 应建立有效的应急通讯联络系统,确保信息畅通;
7.2应急处置
在发生网络与系统事件后,迅速采取应急措施,尽快恢复信息系统正常运行,如有重要情况应及时上报。
暂时无法确定事件原因、责任和结论的,应先给出事件的初步分析判断,并组织力量尽快查找原因,给出解决方法,采取整改措施。
第三篇:IT电子行业信息化管理系统解决方案
在IT电子行业,价廉物美,是扩大市场份额的重要手段;更快的产品升级换代,是赶超竞争对手的决定性因素;缩短销售周期,快速投放市场,是获取高额利润的法宝;快速反应的售后服务,是提高客户满意度的基本条件。如何应对受到快速多变的市场环境的不断冲击?如何解决产品升级换代,与价廉物美互为矛盾?如何满足产品快速投放对物流和生产组织提出前所未有的改进要求?如何快速响应电子行业庞大的用户群对售后服务的需求?
天朗软件为IT电子行业提供的解决方案:
1. 准确把握企业现状,制定合理的战略目标;
2. 利用企业绩效管理(BPM)工具——平衡记分卡,对战略目标进行快速分解部署;
3. 实时监控各级部门乃至员工的关键绩效指标(KPI)的完成情况;
4. 合理有据的战略目标调整,能得到快速分解和有效执行;
5. 实现成本管理的事前预测、事中控制、事后核算;
6. 实现全过程的高效物流控制,从采购管理、库存控制、领料发料、制造监控、质量控制、销售管理等各环节实现深层次物流管理;
7. 建立全面的客户关系管理,对客户的服务要求做到快速响应。
软件特点:
1. 功能强大的企业管理级软件:包含完善的进销存财务系统、强大的客户关系管理CRM系统、实用的办公事务处理OA系统、人力资源管理系统、有效的项目管理PMIS系统
2. 实时网络化库存管理、实时订单管理、实时资金流动管理
3. 分支机构管理,通过互联网实现销售、生产、财务、客户等八个方面的统一实时管理,方便您随时监控分支机构的一举一动
4. 支持商品条码管理、机身号码、批号管理,既方便了商家使用又解决了采购、销售的复杂服务跟踪问题
5. 为总代理和各级分销商提供返利管理模块,系统自动核算返利后的成本,自动进行财务对帐,自动计算返利后员工提成
6. 能够简易的处理换货、退货、炒货、赠品、促销折扣、税价、等等功能
7. 杜绝客户资料丢失,方便查询客户资料
8. 详细记录客户跟进过程,既能够即时掌握业务员拜访客户情况,又方便其他业务员接手公司客户
9. 减少因为业务员的变动不清,而造成的人为丢单现象。
10. 对资料按照权限进行隔离(使个人只接触到他需要的资料),避免商业机密外泄
带来效益:
1. 面对电子行业激烈的竞争,确保企业可持续发展的战略能有效执行;
2. 为企业创造在速度、成本或质量方面的竞争战略新优势;
3. 显著降低生产制造成本,突显产品价格优势;
4. 满足电子行业不同发展阶段客户的个性化需求;
5. 帮助成长性企业快速反应,提升企业竞争优势。
适应对象:计算机生产分销企业、半导体生产分销企业、电子贸易企业、IT分销企业
第四篇:信息系统监理(完整)DOC
信息系统监理(A)
选择题(20)
2010下半年软考信息系统监理师考试试题(上午)
39、关于监理人员的权利和义务中,不正确的是( C ) A 监理人员应根据监理合同独立执行工程监理任务 B 监理人员应保守承建单位的技术秘密和商业秘密 C 监理人员必须满足建设单位的要求和指令
D 监理人员不得同时从事与被监理项目相关的技术和业务活动 40、属于项目分析设计阶段监理工作的内容是( B ) A 审查承建单位的资质 B 审核项目需求规格说明书 C 检查软件测试的工作进度 D 编写项目监理总结报告
41、根据工业和信息化部计算机信息系统集成资质认证工作办公室发布的规定,自2011年1月1日起,申请信息工程监理部临时资质的单位,取得的监理工程师资格人数应不少于( B )人 A 10
B 15
C 20
D 30
42、监理单位和承建单位按照下列( C )的方式开展工作
A 监理单位和承建单位均按监理合同和工程建设合同开展监理或建设监理 B 监理单位按工程建设合同开展监理工作,承建单位按监理合同接受监理 C 监理单位按监理合同开展监理工作,承建单位按工程建设合同接受监理
D 监理单位按监理合同开展监理工作,承建单位按监理合同和工程建设合同接受监理
44、监理大纲应在( B )阶段编制
A 监理合同签订
B 监理招投标
C 监理实施
D 监理总结
45、监理单位把( B )提供给承建单位,能起到工作联系单或通知书的作用 A 监理总结
B 监理细则
C 监理规划
D 监理大纲
48、在工程设计阶段,不属于监理审核内容的是( C ) A 需求范围
B 系统构架
C 测试用例
D 业务流程
49、一般来说,设计阶段需要由( B )对各设计实施方案进行审核。 A 专家
B 监理工程师
C 总监理工程师
D 监理代表
53、某机房改造工程,由于业主单位原因,导致增容的不间断电源系统没有使用房间而迟迟不能就位,项目总体进度已在延期,一下说法正确的是( C ) A 因属于非承建单位导致的进度延期,所以监理单位应审核同意承建单位工期顺眼的申请
B 监理单位应召集业主单位、承建单位召开专题讨论会,要求承建单位就房间问题提供解决方案
C 就此进度延期的问题监理单位向业主单位提交专题报告,建议其尽快解决房间问题
D 如果承建单位就该进度延期提出索赔要求,监理单位应驳回该索赔申请
54、下列费用中不属于工程前期费用的是( A )。
A 监理费
B 可行性分析、论证费
C 造价评估费
D 招投标费
58、监理在评价变更合理( D )
A 变更是否会影响工作范围、成本、质量、进度 B 性能是否有保证,对选用设备的影响
C 变更是否影响项目的投资回报率和净现值 D 变更是否可以平衡各方利益
59、监理在监控变更实施的过程中,发现如继续按照变更后的方案实施,将可能造成更大的损失。这种情况下,监理单位首先应该( D ) A 组织专家对变更做进一步的论证,确定变更风险 B 建议建设单位组织召开专题讨论会,评估变更方案
C 通知承建单位废除变更后的方案,按照原有方案继续实施 D 通知承建单位暂停实施工作,等待进一步监理指令
60、某信息系统项目总包单位A将机房的空调工程分包给B单位,单位工程师经过勘察现场,提出变更冷媒管路由的新方案。以下关于该方案变更的描述,正确的是( C )
A 变更申请由B单位提出
B 由于B单位负责安装维护,因此变更无需经过审核 C 变更需要通过A单位办理
D 由于B单位工程师专业性更强,因此监理单位不必再次勘察与评审
61、某网络系统项目按总价合同方式约定订购3000米高规格铜缆,由于建设单位的原因,工期暂停半个月,待回复建工后,承建单位以近期铜价上涨为理由,要求建设单位赔偿购买电缆增加的费用,并要求适当延长工期。一下说法正确的是( D )
A 索赔是挽回成本损失的重要手段,因此建设单位应该赔偿承建单位采购电缆增加的费用
B 监理单位应保护承建单位的合法利益,因此应该支持承建单位的索赔要求 C 索赔是合同双方利益的体现,因此承建单位要求增加采购费用是风险费用的转移,可以使项目造价更趋于合理
D 铜价上涨是承建单位应承担的项目风险,不应该要求赔偿费用
67、某信息系统工程由于承建单位原因,导致实施进度严重超期,监理单位准备就此问题召集业主单位、承建单位召开专题会议协商解决,此时给承建单位发出( C )最合适的。
A 监理通知单
B 专题监理报告
C 监理工作联系单
D 停工令 2012上半年信息系统监理师(上午)试题及答案
32、以下关于监理资料整理、归档的描述,不正确的是( A ) A 监理资料应在监理工作结束后统一整理归档
B 监理档案的编制及保存应符合国家法律法规和标准规范的要求 C 监理资料的管理应由总监工程师负责,并指定专人具体实施 D 监理资料应按时整理、真实完整、分类有序
33、监理方在编制工程验收监理报告时,应重点说明( C ) A 工程竣工准备工作综述 B 验收测试方案与规范 C 验收测试结论与分析 D 项目监理工作总结
34、( C )不属于工程监理验收报告必须包括的内容 A 工程竣工的准备工作综述 B 验收测试方案与规范 C 监理工作流程 D 验收测试结论
39、工程监理单位不按照委托监理合同的约定履行监理义务,对应当监督检查的项目不检查或者不按照规定检查,给建设单位造成损失的,应当( C ) A 被处以罚款
B 吊销其资格证书
C 承担相应的赔偿责任 D 承担连带赔偿责任
40、下列不属于违约变更的是( C )
A 因业主方未按时提供项目建设所需要材料所导致的进度延期 B 因前置机房建设任务未竣工而导致的装修延期 C 因地震引起的设备延迟到货而导致的进度延期
D 因承建方指派项目经理经验不足而导致的进度延期
46、当信息工程项目实施过程中出现进度超度的情况时,监理工程师( B ) A 应该感到高兴,因为工程可以提前完成
B 需分析进度超前对后续工作产生的影响,并同承建单位协商,合理地调整进度方案
C 督促其余多个平行的承建单位加快进度,以便工程早日完工 D 不必干预
48、监理单位应在信息化建设工程实施完成以后参加单位组织的工程验收,签署( D )意见。
A 业主
B 总监理工程师
C 承建单位
D 监理单位
49、以下关于质量控制点设置原则的叙述,不正确的是( C ) A 质量控制点应突出重点 B 质量控制点应易于纠偏
C质量控制点应避免干扰,不能该表 D 质量控制点应利于三方的质量控制
51、以下对监理规划理解不正确的是( D )
A 总监理工程师对监理机构的监理规划和它在工程监理过程中的实施效果进行检查
B 监理规划是对监理委托合同的签订双方责、权、利的进一步细化,具有合同效力
C 监理规划的依据包括建设单位与承建单位签订的合同
D 监理规划应对所有监理项目中的关键点和实施难点设置“质量控制点”
52、监理单位为获得监理任务而编制的文件是( A ) A 监理大纲
B 监理规划
C 监理细化
D 监理合同
53、监理合同是监理单位开展工作的依据之一,以下关于监理合同的说法不正确的是( D )
A 监理合同规定了监理工作的成果
B 监理合同规定了主要监理设备由监理单位提供 C 监理合同规定了监理工作的范围
D监理合同规定了由承建单位支付监理费用
54、某信息系统建设项目,由于承建单位项目经历突然离职,造成项目进度延期,并导致监理合同约定的实施周期延长,针对上述情况,( D )的做法是妥当的。
A 监理单位向承建单位索赔,挽回建立损失 B 承建单位要求追加实施费用 C 建设单位立即终止建设合同 D 监理单位要求追加监理费用
55、通过质量认证的企业年审时若质量体系不符合认证要求,认证机构可采取的警告措施是( C )
A 企业通报
B 监督检查
C 认证暂停
D 认证注销
57、由承建单位采购的设备,采购前要向( B )提交设备采购方案,经审查同意后,方可实施。
A 总监理工程师
B 监理工程师
C 总工程师
D设备安装工程师
58、总包单位依法将建设工程分包时,分包工程发生的质量问题应( B ) A 由总包单位负责
B 由总包单位负责,分包单位承担连带责任 C 由分包单位负责
D 由总包单位、分包单位、监理单位共同负责 60、项目质量管理由( A )、质量控制和质量保证三方面构成。 A 质量计划
B 质量体系
C 质量方针
D 质量措施 简答题:
1、什么是信息系统工程监理? 答:信息系统工程监理是指在政府工商部门注册的且具有信息工程监理资质的单位,受建设单位委托,依据国家有关法律法规、技术标准和信息系统工程监理合同,对信息系统工程项目实施的监督管理。
2、简述监理实现协调的主要方法?
答:协调工作分为监理内部和外部两部分。 项目监理部内部协调: 内部监理人员的工作,既有专业的分工负责又有协作配合。这种协调工作由项目总监理工程师进行。
(1)建立定期的内部工作协调会议;
(2)建立内部各专业监理工作的协调工作程序(即各专业监理工作之间相互关系的流程图);
(3)建立各专业监理工作之间相互配合的制度和规定,如隐检签认的回签制度。 项目监理部的外部协调
(1)建立现场各有关单位参加的总协调例会;
(2)计划调度的协调,要审查和优化施工总承包到位提出的施工网络计划,计划的分解落实,人工投入、物资材料供应、机械设备的配置等等;
(3)施工安装组织设计的协调,要审核和优化施工安装组织设计方案,组织设计方案的落实,分段施工作业流水的配合,各专业施工安装的穿插和协调配合,施工作业的交叉和衔接;
(4)费用控制方面的协调,合计方法、原则的统一,计划标准的统一;
(5)合同管理的协调,总承包合同的变更和补充,合同纠纷的调解,按合同的规定进行具体的划项,主要设备、材料的采购和分叉等等;
(6)设计方面的协调,设计图纸的会审;施工图纸供应的计划、设计的变更、施工洽商、设计优化;
(7)业主直接分包的施工安装与总承包单位之间的配合与协调; (8)工程质量的验收标准和检验方法;质量问题的处理协调; (9)工程阶段验收的组织协调;
(10)工程竣工的初验的组织与协调。
3、简述监理实现质量控制的主要手段 答:(1)现场监理。监理人员在承建单位施工期间,用全部或大部分时间在施工现场,对承建单位的各项工程活动进行跟踪监理;
(2)测量。工程中的测量贯穿整个施工监理的全过程。在施工过程中也常采用测量手段进行施工控制;对已完成的工程,也要采取测量手段。在整个监理过程中始终离不开测量手段;
(3)试验。在信息工程质量监理中,对任何项目或项目中的任何部分的质量评估,以判断是否达到标准,其唯一的依据就是试验数据。单纯采用经验的方法,或仅依据目测、感觉,对信息工程质量的任何评价都是不允许的。
(4)严格执行监理程序。只要坚持监理程序,就能控制承建单位的施工程序,这对保证信息工程质量是非常必要的。
(5)指令性文件。采取指令性文件,对承建单位的施工质量进行管理,而承建单位要严格履行和坚持监理工程师对任何事项发出的指示。在质量管理中,监理工程师应当充分利用指令性文件对承建单位进行质量控制;
(6)利用支付控制手段。质量监理是以计量支付为保障手段的,承建单位的任何工程款项的支付,均需由监理工程师开具支付证明。它是保证信息工程质量的根本措施,也是监理工程师在质量监理中的有力手段。
4、简述监理实现进度控制的主要措施
答:进度控制的措施包括组织措施、技术措施、合同措施、经济措施和信息管理措施等。
组织措施主要有:
(1)落实项目监理班子中进度控制部门的人员,具体控制任务和管理职责分工; (2)进行项目分解,如按项目结构分、按项目进展阶段分、按合同结构分,并建立编码体系;
(3)确定进度协工作制度,包括协调会议举行的时间、协调会议的参加人员等等;
(4)对影响进度目标实现的干扰和风险因素进行分析。风险分析要有依据,主要是根据许多统计资料的积累,对各种因素影响进度的概率及进度拖延的损失值进行计算和预测,并应考虑有关项目审批项目对进度的影响等等; 技术措施是采用它以加快施工进度;
合同措施主要有分段发包、提前施工,以及各合同的合同期与进度计划的协调等等;
④经济措施是采用它以保障资金供应;
⑤信息管理措施主要是通过计划进度与实际进度的动态比较,定期地向建设单位提供比较报告;
对于进度工作,应明确一个基本思想:计划不变是相对的,而变是绝对的;平衡是相对的,不平衡是绝对的。要针对变化采取对策,定期地、经常地调整进度计划。
5、业主单位合同违约的原因有哪些? 答:(1)可确认建设单位违约:
建设单位不按时支付项目预付款;
建设单位不按合同约定支付项目款,导致实施无法进行;
建设单位无正当理由不支付项目竣工结算款;
建设单位不履行合同义务或不按合同约定履行业务的其他情况;
(2)建设单位违约包括以下集中情况:
●违反信息系统工程合同设计部分的责任:
未按合同规定的时间提供有关的文件、资料及工作条件等,应承担由此造成的承建单位设计提供的损失;
由于改变计划或提供的资料不准确,而造成的设计返工或增加工作量,应按实际工作量增加设计费用。
●违反信息工程合同实施不分的责任:
未按实际合同规定的时间和要求提供实施场地、实施条件、技术资料、设备、资金等,除将项目日期顺延外,还应偿付承建单位而因此造成停工、窝工的实际损失等;
项目中途停工停建、缓建,应采取措施弥补或减少损失或减少损失;
验收或拨付项目费超过期限,应偿付逾期违约金。
第五篇:信息系统监理师考点汇总
信息系统工程:是指信息化工程建设中的信息网络系统、信息资源系统、信息应用系统的新建、升级、改造工程
信息系统工程监理是指在政府工商管理部门注册的且具有信息系统工程监理资质的单位,受建设单位委托,依据国家有关法律法规、技术标准和信息系统工程监理合同对信息系统工程项目实施的监督管理
信息系统工程监理单位是指具有独立企业法人资格,并具备规定数量的监理工程师和注册资金、必要的软硬件设备、完善的管理制度和质量保证体系、固定的工作场所和相关的监理工作业绩,取得信息产业部颁发的《信息系统工程监理资质证书》,从事信息系统工程监理业务的单位。
监理范围:国家级、省部级、地市级的信息系统工程;使用国家政策性银行或者国有商业银行贷款,规定需要实施监理的信息系统工程;使用国家财政性资金的信息系统工程;涉及国家安全、生产安全的信息系统工程;国家法律、法规规定应当实施监理的其他信息系统工程 监理内容:四控、三管、一协调
监理单位权利和义务:应当按照“守法、公平、公正、独立”原则;按照合同取得监理收入;不承包信息系统工程;不与被监项目的承建单位存在隶属关系和利益关系。不侵害建设和承建单位的知识产权;违犯法律法规,造成重大质量、安全事故的,承担相应经济法律责任 监理人员的权利和义务:根据监理合同独立执行工程监理业务;保守承建单位的技术和商业秘密;不同时从事相关技术和业务活动
监理工作程序:选择监理单位、签订监理合同、三方会议、组建监理项目组、编制监理计划-实施监理业务-参与工程验收-提交监理文档
项目管理重要性:1项目关系到国家、单位利益2需求未清就实施,并不停修改3往往不能按预定进度执行4投资往往超过预算5实施可视性差6信息系统项目管理往往不被重视 项目管理14要素:
1、 立项管理:立项准备、立项申请、立项审批、招投标及合同签订;立项阶段的关键在于明确业务需求。
2、 计划管理:项目计划是用来生成和协调诸如质量计划、进度计划、成本计划等所有计划的总计划,是指导整个项目执行和控制的文件
3、 人员管理:组织结构分职能型、领域型、矩阵型
4、 质量管理:由质量计划编制、质量保证和质量控制三方面构成
5、 成本管理:管理过程包括资源计划与成本预算、成本控制
6、 进度管理:
7、 风险管理:风险识别、风险分析、风险应对、风险控制 应对风险:规避、接受、减轻 风险管理计划、应急计划和应急储备
8、 合同管理:
9、 安全管理:五个层面:物理层面安全、网络层面安全、系统层面安全、应用层面安全和管理层面安全。技术要求的四个方面:物理安全、运行安全、信息安全、安全管理操作管理与行政管理等
10、 外购和外包管理:
11、 知识产权管理
12、 沟通与协调管理:确立沟通框架、项目进度及绩效报告、召开有效的会议、学习与掌握沟通技巧、使用基于电子信息技术和手段的沟通工具。
13、 评估与验收管理
14、 文档管理
监理体系建设:业务体系、质保体系、组织(管理)体系
监理工作的风险:行为责任风险:工作技能风险:技术资源风险;管理风险 风险防范:谨慎签订监理合同;严格履行合同;提高专业技能;提高管理水平
考前重点汇总
监理规划编制的要求:监理规划的编制应针对工程的实际情况,明确监理机构的工作目标,确定具体的监理工作制度、方法和措施。
监理规划编制的程序:在签订监理合同后,总监理工程师应主持编制监理规划;监理规划完成后,应经监理单位技术负责人审批;监理规划报送业主单位签认后生效。
监理规划编制的依据:与信息系统工程建设有关的法律、法规及项目审批文件等;与信息系统工程监理有关的法律、法规及管理办法等;与本工程项目有关的标准、设计文件、技术资料等,其中标准应包含公认应该遵循的相关国际标准、国家或地方标准;监理大纲、监理合同文件以及本项目建设相关的合同文件
监理规划内容:工程项目概况;监理的范围、内容与目标;监理项目部的组织结构与人员配备;监理的依据、程序、措施及制度;监理工具和设施
监理实施细则编制的要求:监理细则应符合监理规划的要求,结合工程项目的专业特点,具有可操作性。
监理实施细则编制的程序:总监理工程师组织专业监理工程师编制监理细则;监理细则应经总监理工程师批准。
监理实施细则编制的依据:已经批准的项目监理规划;与信息系统工程相关的国家、地方政策、法规和技术标准;与工程相关的设计文件和技术资料;实施组织设计;合同文件
监理实施细则的内容:1工程专业的特点;2监理流程;3监理的控制要点及目标;4监理方法及措施.在监理工作实施过程中,监理细则应根据情况补充、修改和完善,并报总监理工程师批准。 质量控制
质量:产品、服务或过程满足规定或潜在要求(或需求)的特征和特征的总和 质量控制:指在力求实现信息工程项目总目标的过程中,为满足信息工程项目总体质量要求所开展的有关的监督管理活动。
因素:工程项目的实体质量:工序、分项工程、单项工程、总体工程适量;功能和使用价值:实用性、可靠性、安全性、经济性。;工作质量:集成、开发及实施中的技术质量、管理质量;资源质量:人。应坚持“以人为控制核心”的原则,人既是工程质量控制的主体,又是质量控制的客体。
信息系统工程质量控制的原则:质量控制要与建设单位对工程质量的监督紧密结合;质量控制是一种系统过程的控制;质量控制要实施全面的控制 三方协同的质量控制
信息系统工程项目是由建设单位、承建单位和监理单位共同完成的,三方的最终目标是一致的,因此质量控制任务也应该由三方共同完成。三方都应该建立各自的质量保证体系。 招投标及准备阶段的质量控制
质量控制点:是指对信息系统工程项目的重点控制对象或重点建设进程,实施有效的质量控制而设置的一种管理模式
目的:通过对控制点的设置,可以将工程质量总目标分解为各控制点的分目标,以便通过对各控制点分目标的控制,来实现对工程质量总目标的控制
设置原则:选择的质量控制点应该突出重点;易于纠偏;要有利于参与工程建设的三方共同从事工程质量的控制活动;保持设置的灵活性和动态性
招投标质量控制要点:1协助建设单位提出工程需求方案,确定工程的整体质量目标;2参与标书的编制,并对工程的技术和质量、验收准则、投标单位资格等可能对工程质量有影响的因素明确提出要求;3协助招标公司和建设单位制定评标的评定标准;4对项目的招标文件进行审核,对招标书涉及的商务内容和技术内容进行确认;5监理在协助评标时,应对投标单位标书中的质量控制计划进行审查,提出监理意见;6对招标过程进行监控,如招标过程是否存在不公正的现象等问题;7协助建设单位与中标单位洽商并签订工程合同,在合同中要对工程质量目标提出明确的要求
考前重点汇总
设计阶段质量控制监理要点:1了解建设单位建设需求和对信息系统安全性的要求,协助建设单位制定项目质量目标规划和安全目标规划;2对各种设计文件,提出设计质量标准;3进行设计过程跟踪,及时发现质量问题,并及时与承建单位协调解决。4审查阶段性设计成果,并提出监理意见。5审查承建单位提交的总体设计方案。6审查承建单位对关键部位的测试方案;7协助承建单位建立质量保障体系;8协助承建单位完善现场质量管理制度;9组织设计文件及设计方案交底会,制定质量要求标准。 实施阶段质量控制的监理要点:1制订阶段性质量控制计划,是实施阶段性质量控制的基础。2进行工程各阶段分析,分清主次,抓住关键是阶段性工程结果质量控制的目的。3设置阶段性质量控制点,实施跟踪控制是工程质量控制的有效手段。4严格各过程间交接检查。 验收阶段质量控制的监理要点:对验收方案的审查和对验收过程的监控来完成的 控制手段:评审;测试;旁站;抽查 进度控制
进度控制是指对工程项目的个建设阶段的工作程序和持续时间进行规划、实施、检查、调整等一系列活动的总称
控制步骤:pdca 计划、执行、检查、行动:编制进度计划、实施进度计划、检查和调整进度计划、分析和总结进度计划。 目标:最终实现工程项目按计划的时间投入使用。通过各种有效措施保障工程项目在计划规定的时间内完成,即信息系统达到竣工验收、试运行及投入使用的计划时间 进度控制的范围:对工程建设全过程的控制;对分项目、分系统的控制
影响进度控制因素:1工程质量的影响;2设计变更的影响;3资源投入的影响;4资金的影响;5相关单位的影响;6可见的或不可见的各种风险因素的影响;7承建单位管理水平 准备阶段(任务):1参与招标前准备,协助编制本项目的工作计划;2协助分析项目内容和周期,提出安排工程进度的合理建议;3对合同涉及的产品和服务的供应周期等做详细的说明,建议建设单位做出合理安排;4对招标书中的工程实施计划及其保障措施提出建议,并在招标书中明确规定;5在协助评标时,对投标文件中的进度进行审查,提出审核意见 设计阶段(任务):1根据工程总工期的要求,协助建设单位确定合理的设计时限要求;2根据设计阶段性输出,由粗而细的制定项目进度计划,为项目进度控制提供前提和依据;3协调、监督个承建(设计)方进行整体性设计工作,使集成项目能按计划要求进行;4提请建设单位按合同要求向承建单位及时、准确、完整的提供设计所需要的基础资料和数据;5协调各有关部门,保证设计工作顺利进行。 实施阶段(任务):1根据工程招标和实施准备阶段的工程信息,进一步完善项目控制性进度计划,并据此进行实施阶段进度控制;2审查承建单位的施工进度计划,确认可行性并满足项目控制性进度计划要求3审查承建单位进度控制报告,监督承建单位做好施工进度控制,对施工进度进行跟踪,掌握施工动态;4研究制定预防工期索赔措施,做好处理工期索赔工作。5在实施过程中,做好投入控制及转换控制工作,做好对比和纠正;6开好进度协调会,及时协调各方关系;7及时处理工程延期申请 验收阶段(任务):1审核承建单位工程整改计划的可行性,控制整改进度;2建议建设单位要求承建单位以初验合格报告做为启动试运行的依据
进度控制程序:审查进度计划、进度计划的实施监控、工程进度计划的调整、工程进度报告 进度控制的技术手段:1图表控制法:简单直观,但程度不明;2香蕉曲线图法:可以分析进度的速度;3网络图计划法:明确关系、内容、时差
进度控制方法:1坚持动态管理与主动预控、2采用实际值与计划值进行比较的方法进行检查和评价、3运用行政方法、4发挥经济杠杆作用、5利于管理技术进行控制 进度控制的基本措施:组织措施,技术措施,合同措施,信息管理措施 投资控制:
资源计划:是确定为完成项目各活动需要什么资源(人、设备、材料)的种类,以及每种资考前重点汇总
源的需要量。
成本估算:是为完成项目各项任务所需要的资源成本的近似估算。 成本预算:将总投资估算分配了落实到各个单项工作上。 成本控制:控制预算的变更。
成本估算依赖的资料:1工作分解结构;2资源需求计划;3资源价格;4活动时间估计;5历史资料;6财务报表
成本控制技术经济分析方法的特点:综合性、系统性、实用性、数据化。 成本控制技术经济分析方法的步骤:(1)确定目标;(2)调查研究;(3)拟定各种可行方案;(4)方案评价 方案评价的方法:分析各种技术方案在技术上的优缺点;建立各种技术方案的经济指标和各种参数间的函数关系;计算与求解数学模型;技术方案的综合评价
信息系统工程概预算的类型:主要包含量级预算、预算估算和最终预算。
信息系统工程概预算的特点:工程项目的单件性、建设周期长且程序复杂;工期的差异性 预算工具(方法):类比预算法、自下而上估计法。
信息系统工程概预算存在问题:1信息系统工程建设的成本预算不准确;2进行信息系统工程成本预算的人没有太多的成本预算的经验。3而且有低估的倾向,因此,由信息系统工程建设监理工程师审核估计和询问重要问题以确保预算不产生偏差是十分必要的。
成本估算:对可能数量结果的估计------承建单位为提供产品或服务的花费是多少。
成本估算的方法:类比估计:用先前类似项目的实际数据作为估计现在项目的基础。参数建模:把项目的一些特征作为参数,通过建立一个数学模型预测项目成本。累加估计:单个工作的逐个估计,然后累加得到项目成本的总计。计算工具:项目管理软件用于成本控制。 信息系统工程计量是价款结算的基础。实际工作中 工程计量有下面两种情况1由承建单位负责工程计量,并提供计量工作的记录正本和计算结果,经监理工程师和驻地工程师定期检查确认。2如由监理工程师负责工程记录,则承建单位必须提供有关资料,监理工程师和现场工程师的每月工程计量,由承建单位审阅,作为施工付款的依据。 付款控制的方法:1按工程标志性任务完成结算2按旬(或半月)预支,按月结算3按月(或分次)预支,完工后一次结算4按工程进度预支,完工后一次结算 信息系统工程成本结算的概念:成本竣工结算是以实物量和货币为计量单位,综合反映竣工验收的项目的建设成果和财务状况的总结性文件。它是项目的实际造价和成本效益的总结,是项目竣工验收报告的重要组成部分,是项目竣工验收和验收结果的反映,是对项目进行财务监督的手段。
信息工程监理成本控制的主要措施:组织措施、技术措施、经济措施、合同措施
项目费用构成:工程监理费;工程前期费;咨询设计费;工程费用(直接费用-人工费、现场经费;实施方案设计费;硬件费用;软件费用;间接费用-企业管理费、财务费用;计划利润;税金);第三方测试费用;工程验收费用;系统运维费用;风险费用;其他费用 变更控制
工程变更的概念:是指在信息系统工程建设项目的实施过程中,由于项目环境或者其他的各种原因对项目的部分或项目的全部功能、性能、架构、技术、指标、集成方法、项目进度等方面做出的改变。
变更产生的原因:1项目外部环境发生变化,例如政府政策的变化。2项目总体设计,项目需求分析不够周密详细,有一定的错误或者遗漏。3新技术的出现,设计人员提出了新的设计方案或者新的实现手段。4建设单位由于机构重组等原因造成业务流程的变化。
变更控制的基本原则:1变更申请快速响应、2任何变更都要得到三方确认、3明确界定项目变更的目标、4三方都有权提出变更、5加强变更风险以及变更效果的评估、6及时公布变更信息、7选择冲击最小的方案、8防止变更范围的扩大化
考前重点汇总
变更流程:1了解变化、2接受变更申请、3变更的初审、4变更分析、5确定变更方法、6监控变更实施、7变更效果评估
需求变更的确立规则:1每个项目合同必须包括一个控制系统,通过它对项目计划、流程、预算、进度或可交付成果的变更进行评估。2每一项项目变更必须用变更申请单提出,它包括对需求批准的变更的描述以及该项变更在计划、流程、预算、进度或可交付的成果上可能引起的变更。3变更必须获得项目各方负责人的书面批准。4在准备审批变更申请单前,监理工程师必须与总监理工程师商议所有提出的变更。5变更申请单批准后,必须修改项目整体计划,使之反映出该项目变更,并且使变更成为这个计划的一部分。
进度变更的控制:进度计划的实际检查工作。处理好人员安排问题:授权,激励,纪律,谈判。
成本变更控制的方法:偏差控制法;成本分析表法;进度-成本同步控制法
合同变更的条件:1双方当事人确定自愿协商同意,并且不因此而损害国家利益和社会公共利益的;2由于不可抗力致使项目合同全部义务不能履行;3由于另一方在合同约定的期限内没有履行合同,且在被允许的推迟履行期限内仍未履行;4项目合同的变更给另一方当事人造成损失的,除依法可以免责的以外,应由责任方负责赔偿。
合同变更管理控制程序:1建设单位或承建单位提出的项目变更,应编制变更文件,提交总监理工程师,由总监理工程师组织审查。2监理应了解项目变更的实际情况,收集相关资料或信息。3总监理工程师应根据实际情况,参考变更文件及其他有关资料,按照项目合同的有关条款,指定工程师完成下列工作:(确定变更范围及实施难度;确定项目变更内容的工作量;确定项目变更的单价或总价。)4监理应就项目变更费用及工期的评估情况与建设单位、承建单位进行协商。5项目变更内容经建设单位、承建单位同意后进行签认。6监理应根据项目变更单监督承建单位实施。7总监理工程师签发项目变更单之前,承建单位不得实施项目变更。8监理应根据项目变更文件监督承建单位实施。9监理应及时协调合同纠纷,公平地调查分析,提出解决建议。 合同管理
合同管理的概念:是指对依法签订的项目合同进行管理的一种活动或制度。信息系统工程监理工作的合同管理是指对工程的设计、实施、开发有关的各类合同,从合同条件的拟定、协商、签署,到执行情况和分析等环节进行组织管理的工作,以达到通过双方签署的合同实现信息系统工程的目标和任务,同时也维护建设单位与承建单位及其相关方的正当权益。 信息系统工程合同的分类:按信息系统工程范围划分(总承包合同、单项项目承包合同、分包合同)按项目付款方式划分(总价合同、单价合同、成本加酬金合同)
信息系统合同的作用:1合同确定了信息系统工程实施和管理的主要目标,是合同双方在工程中各种经济活动的依据。2合同规定了双方的经济关系。3合同是监理工作的基本依据,利用合同可以对工程进行进度、质量和成本实施管理和控制。
信息系统工程合同的主要内容:1甲乙双方的权利和义务是合同的基本内容2建设单位提交有关基础资料的期限3项目质量要求4承建单位提交各阶段项目成果的期限5项目费用和项目款的支付方式6项目变更的约定7双方的其他协作条件8违约责任。
信息系统合同管理的原则:事前控制原则;实时纠偏原则;充分协商原则;公正处理原则 索赔的概念:索赔是在信息系统工程合同履行中,当事人一方由于另一方未履行合同所规定的义务而遭受损失时,向另一方提出赔偿要求的行为。
索赔程序:1索赔事件发生约定时间内,向建设单位和监理单位发出索赔意向通知。2发出索赔意向通知后约定时间内,向建设单位和监理单位提出延长工期和(或)补充经济损失的索赔报告及有关资料。3监理单位在收到承建单位送交的索赔报告及有关资料后,于约定时间内给予答复,或要求承建单位进一步补充索赔理由和证据。4监理单位在收到承建单位送交的索赔报告和有关资料后约定时间内未给予答复或为对承建单位做进一步要求,视为该索赔已经被认可。5当该索赔事件持续进行时,承建单位应当阶段性向监理单位发出索赔意向,考前重点汇总
在索赔事件终了约定时间内,向监理单位送交索赔的有关资料和最终的索赔报告。 合同争议的概念:是指合同当事人对于自己与他人之间的权利行使、义务履行与利益分配有不同的观点、意见、请求的法律事实。
合同争议的起因:建设单位违约引起的合同争议;承建单位违约引起的合同争议 合同争议的调解程序:无论是承建单位还是建设单位,都应以书面的形式向监理单位提出争议事宜,并程一份副本给对方。 1及时了解合同争议的全部情况,包括进行调查和取证。2及时与合同争议的双方进行磋商。3在项目监理机构提出调解方案后,由总监理工程师进行争议调解。4当调解未能达成一致时,总监理工程师应在实施合同规定的期限内提出处理该合同争议的意见:同时对争议做出监理决定,并将监理决定书面通知承建单位和建设单位。5争议事宜处理完毕,只要合同未被放弃或终止,监理工程师应要求承建单位继续精心组织实施。调解不成,两种解决:根据合同向约定的仲裁委员会申请仲裁;向有管辖权的人民法院起诉
知识产权界定的四个方面:商标及其相关标记,专利权和外观设计,著作权,商业秘密 信息安全管理
信息系统安全的定义:信息系统安全是指确保以电磁信号为主要形式的、在信息网络系统进行通信、处理和使用的信息内容,在各个物理位置、逻辑区域、存储和传输介质中,处于动态和静态过程中的保密性、完整性和可用性,以及与人、网络、环境有关的技术安全、结构安全和管理安全的综合。总的来说,信息系统安全就是要保证信息系统的用户在允许的时间内、从允许的地点、通过允许的方法,对允许范围内的信息进行所允许的处理。 信息系统安全属性分为三个方面:可用性、保密性和完整性。 完整地构建信息系统的安全体系框架,信息系统安全体系应当由技术体系、组织结构体系和管理体系共同构建。
安全管理制度主要内容:1计算机信息网络系统出入管理制度;2计算机信息网络系统各工作岗位的工作职责、操作规程;3计算机信息网络系统的升级、维护制度;4计算机信息网络系统工作人员人事管理制度;5计算机信息网络系统安全检查制度;6计算机信息网络系统应急制度;7计算机信息网络系统信息资料处理制度;8计算机信息网络系统工作人员安全教育、培训制度;9计算机信息网络系统工作人员循环任职、强制休假制度
物理访问管安全理注意事项:1硬件设施在合理范围内是否能防止强制入侵;2计算机设备的钥匙是否有良好的控制以降低未授权者进入的风险;3智能终端是否上锁或有安全保护,以防止电路板、芯片或计算机被搬移;4计算机设备在搬动时是否需要设备授权通行的证明。 应用环境的安全管理,监理安全管理策略:火灾的控制;水灾探测器的安置;计算机机房; 逻辑访问的安全管理,监理的主要原则:1了解信息处理的整体环境并评估其安全需求,2通过对一些可能进入系统访问路径进行记录复核,3通过相关测试数据访问控制点,评价安全系统的功能和有效性,4分析测试结果和其他审核结论,评价访问控制的环境并判断是否达到控制目标,5审核书面策略,观察实际操作和流程,与一般公认的信息安全标准相比较,评价组织环境的安全性及适当性等。
架构安全的住处网络系统:局域网的安全VLAN;C / S架构安全;互联网的威胁和安全;采用加密技术;网闸,即安全隔离与信息交换系统;防火墙技术;入侵检测系统;安全漏洞扫描;病毒防范;
数据备份的策略和方式:备份策略的选择:1备份策略包括:全备份、差分备份、增量备份和备份介质轮换。2数据备份与恢复技术涉及到的几个方面(存储设备:存储优化:存储保护:存储管理:备份与恢复技术。)
备份方式的选择:硬件备份:软件备份;人工备份;
灾难恢复的策略:1全自动恢复系统;2手动恢复系统;3数据备份系统;4监理单位法:(建议建设单位制定灾难恢复计划;灾难恢复计划的监理工作:)
1获得领导层的支持;2召开解决方案研讨会;3选定负责人;4进行业务影响分析;5评定考前重点汇总
保持业务持续性的战略;6组织全体人员熟悉此项计划;7提供全面的备份中心设施;8灾难恢复计划以文档形式在工作人员之间共享;9在系统上装载和运行必需的工具来衡量恢复解决方案的要求;10保证解决方案中的所有硬件、软件和网络部件的可用性;11提供可扩展的容量来满足组织的预期工作负荷。12进行恢复功能测试和灾难恢复模拟 信息系统工程信息是对参与各方主体从事信息系统工程项目管理(或监理)提供决策支持的一种载体,如项目建议书、可行性研究报告、设计说明书、售后服务协议以及实施标准等。 信息系统工程信息具有的特点:1现实性:是信息系统工程信息的最基本性质;2适时性:反映了信息系统工程信息具有突出的时间性的特点;3复杂性:4共用性和增值性
信息系统工程信息资料的划分:1按照工程建设信息的性质划分:引导信息;辨识信息。2用途:投资控制、进度、质量、合同、组织、其他。3按载体划分4按建设阶段信息划分 文档管理过程中应该注意的事项:文档的格式应该统一;文档版本要统一;文档的存档标准要统一规定。
监理在信息管理中的主要文档:1总控类文档:指承检合同、总体方案、项目组织实施方案、技术方案、项目进度计划、质量保证计划、资金分解计划、采购计划、监理规划及实施细则等文档;2监理实施类文档:工程项目变更监理文档、工程进度监理文档、工程质量监理文档、工程监理日报、工程监理月报、工程验收监理报告、工程监理总结报告;(了解每一种报告包含的主要内容)3监理回复(批复)类文件:总体监理意见、系统集成监理意见、软件开发监理意见、培训监理意见、专题监理意见、其它监理意见、提交资料回复单等。4监理日志及内部文件。
日报:针对近期的工程进度、工程质量、合同管理及其他事项进行综合、分析,提出必要的意见
月报:工程概况;监理工作统计;工程质量控制;工程进度控制;管理协调;监理总评价;下月监理计划
验收报告:工程竣工准备工作概述;验收测试方案与规范;测试结果与分析;验收测试结论 总结报告:工程概况;监理工作统计;工程质量概述;管理协调概述;监理总评价 组织协调的基本原则:公平、公正、独立的原则:即“一碗水端平”;守法原则;诚信原则;科学原则。
组织协调的监理单位常用方法:监理会议:项目监理例会;监理专题会议;监理报告:定期的监理周报、月报;不定期的监理报告;监理通知与回复;日常的监理文件;监理作业文件;应掌握的沟通原则:1排除第一印象干扰;2把握人际关系认知的规律;3创造良好的人际交往条件:(外表问题;态度的类似性;需求的互补性、时空上的接近性。)
信息网络系统:
信息网络系统的体系框架:网络基础平台、网络服务平台、网络安全平台、网络管理平台、环境平台
磁盘阵列主要用于网络系统中海量数据的即时存取;磁带库更多的是用于网络系统中海量数据的定期备份;光盘库则主要用于网络系统中海量数据的访问。
网络监理方法:评估、网络仿真、现场旁站、抽查测试、网络性能测试 信息网络系统的验收:网络设备的验收和网络系统的验收
信息网络系统建设准备阶段的过程划分:立项、工程准备、招标等。 立项评审的基本原则:简单性、灵活性、完整性、可靠性、经济性等。 招投标过程:招标、投标、开标、评标、决标、授予合同 立项阶段监理应协助业主做的工作(任务):了解业主现有的人力物力情况;为新系统的建考前重点汇总
设确定项目组织和人员配备;编制立项申请报告,并提交给上级主管部门;撰写项目可行性报告。
可行性分析的四个主要方面:经济可行性、技术可行性、系统生存环境可行性、各种可选方案。
可行性分析研究的内容:系统建设的必要性;系统实施计划;系统建设的经济效益。 招标阶段监理的重要工作:1.评估投标单位总体技术方案是重中之重;2.审查承建方是重点;3.把好工程投资关是关键。
设计阶段的监理工作主要包括以下内容:1结合信息工程项目特点,收集设计所需的技术经济资料。2配合设计单位对方案设计进行技术经济分析,优化设计。3协助业主进行设计文件的评审。4参与主要设备、材料的选型工作。5审核方案中主要设备、材料清单。6审核系统设计方案及其他详细设计文件。7组织设计文件的报批。8对方案设计内容进行知识产权保护监督。9审核技术放案中信息安全保障措施。10协助业主对工程建设周期总目标进行分析讨论。11审核承建方编制的工程项目总进度计划,并在项目实施过程中控制其执行。12如果与合同有冲突,应督促承建方调整工程进度计划。审核承建方编制的各分项工程阶段进度计划,根据实际环境的变化,督促承建方及时调整进度计划。13审核工程设计和承建方的设备/材料清单和采购计划,并检查、敦促其执行。
设计方案评审的基本原则:1标准化原则;2先进性和实用性原则;3可靠性和稳定性原则;4可扩展性原则;5安全性原则;6可管理性原则7对原有设备、资源合理整合的原则;8经济和效益性原则。
网络基础平台方案评审重点:网络整体规划、网络设备选型、服务器和操作系统选型、网络存储备份系统选型
网络服务平台方案评审重点:Internet网络服务系统规划和选型、多媒体业务网络规划和选型、数字证书系统规划和选型
网络安全和管理平台方案评审重点:防火墙系统;入侵监测和漏洞扫描系统;其他网络安全系统;网络管理系统
环境平台方案的评审重点:机房建设、综合布线系统
网络安全系统监理方应重视以下几方面的内容:1风险分析的有效性、准确性。2确保符合国家法令、法规的要求。3保证有关评审是在相关职能部门的主持下完成的。4从技术、市场、工程组织实施、售后服务等各个环节对网络系统的安全性进行整体和分项评估,避免出现任何技术和管理漏洞。 本阶段监理重点归纳:严把方案设计关。统筹规划、充分论证:技术路线、策略和容量配置。细化需求分析工作。跟踪最新行业标准。加强量化测试的重要性
信息网络系统建设实施阶段的监理:实施阶段的监理工作的重点就是“三控两管一协调”。主要监理内容包括:开工前的监理、实施准备阶段的监理、实施阶段的监理(网络集成与测试阶段)。
开工前:1审核实施方案2审核实施组织计划3审核实施进度计划4审核工程实施人员、承建方资质。
准备阶段:1审批开工日期2了解承建方设备订单的定购和运输情况3了解实施条件准备情况4了解承建方工程实施前期的人员到岗情况、实施设备到位的情况。
实施阶段:网络工程监理主要工作1组织布线、网络和安全系统方案设计评审;2检查布线施工和布线测试情况3进行布线系统的监理确认测试4网络硬件设备和配套软件的监理确认测试。 集成测试的监理主要工作1评审项目验收大纲及各子系统测试报告2评审承建方应交付的各类文档3组织计算机系统和网络系统的集成测试4组织网络系统的连通性测试5组织软件系统的集成测试。
设备采购的监理主要职责:1审核承建方的采购计划和采购清单;2设备质量、到货时间的审核;3订货、进货确认;4组织到货验收;5设备移交审核;6外购硬件和软件的监理。
考前重点汇总
设备采购监理的重点:1设备是否与工程量清单规定的规格相符
2、设备是否与合同所规定的设备清单相符3设备合格证明、规格、供应商保证等证明文件是否齐全4设备系统要按合同规定准时到货5配套软件是否成熟和满足规范。
设备采购环节的监理流程:1承建商提前三天通知设备到货地点、时间,并提交清单;2协助业主方做好到货验收准备,3进行设备验收并做好记录,4发现缺损要求设备提供商补发或免费更换;5提交设备到货验收监理报告。
机房工程的监理重点:1审查好施工组织方案,重点检查是否有保证工程质量的措施;2控制好施工人员资质,持证上岗3严格贯彻《建筑智能化系统工程实施及验收规范》;4深入现场落实随装随测的要求。
综合布线的监理综合布线工程包括综合布线设备安装、布放线缆、缆线端接三个环节。 综合布线的监理内容主要有两项:1按照国家关于综合布线的相关施工标准的规定审查承建方人员施工是否规范;2到场设备线缆验收。 隐蔽工程的监理
布线系统测试内容1工作间到设备间的连通状况2主干线连通情况3跳线测试4数据线参数测试。
UTP链路测试主要内容:接线图、链路长度、衰减、近端串扰损耗、连线长度、衰减量、近端串扰、SRL、等效原端串扰、综合原端串扰、回波损耗、特性阻抗、衰减串扰比 光缆测试方法:连通性测试,端-端的损耗测试,收发功率测试,损耗/衰减测试 网络系统安装调试的监理:任何一个网络系统的实施都至少包括两个部分,逻辑设计与物理实现。网络系统的调试与安装通常分为以下几步:1网络系统的详细逻辑设计;2全部网络设备加电测试;3模拟建网调试及连通性测试;4实际网络安装调试。
验收的前提条件:1所有建设项目按照批准设计方案要求全部建成,并满足使用要求。2各个分项工程全部初验合格。3各种技术文档和验收资料完备,符合集成合同的内容。4系统建设和数据处理符合信息安全的要求。5外购的操作系统、数据库、中间件、应用软件和开发工具符合知识产权相关政策法规的要求。6各种设备经加电试运行,状态正常。7经过用户同意
验收方案的审核与实施:1确认工程验收的基本条件(是否符合合同规定的各项内容,文档是否完备,售后服务和培训计划是否完备)。2建议业主、 承建方共同推荐人员组成验收组。3确认工程验收是应达到的标准和要求。4确认验收程序(验收准备—初步验收—正式验收—验收资料的保存)。
工程验收的组织:工程验收组一般由业主方组织,监理方、承建方共同参与;验收组应有明确分工,一般为测试小组、资料文档评审小组、工程质量鉴定小组。
售后服务与培训监理:督促承建方按照合同规定,向业主提供相应的培训服务。
验收监理主要内容:1系统整体功能、性能。2主要设备(或子系统)的功能、性能。3承建方提交文档的种类和内容。4系统设计、开发、实施、测试各个阶段涉及的工具和设备都具备合法的知识产权。5承建方的质量保证和售后服务体系。6承建方采取必要的管理和工程措施,以方便系统的扩容和升级。 网络基础平台的验收:
1网络基础平台的整体性能:网络整体性能(网络连通性能;网络传输性能;网络安全性能;网络可靠性能;网络管理性能);服务器整体性能(服务器设备连通性能;服务器设备提供的网络服务;服务器设备可靠性能;服务器设备的压力测试);系统整体压力测试验收(网络压力测试、系统运行监控测试)。
2网络设备:网络检测主要考虑的指标,吞吐量,包丢失,延时,背靠背性能 3服务器和操作系统 4数据存储和备份系统 服务平台的验收 Internet 网络服务:(电子邮件服务器;www服务器)
考前重点汇总
多媒体业务网络:(voip网络、视频会议系统) 数字证书系统(ca系统,ra系统) 网络安全和管理平台的验收
主要是对系统中的设备进行验收,包括:防火墙,入侵监测和漏洞扫描系统(入侵监测、漏洞扫描)、其他网络安全系统(网络防病毒、安全审计、Web信息防篡改系统)、网络管理系统(网络管理、系统管理、运行维护管理)等设备。 环境平台的验收
机房工程主要系统的验收:UPS电源系统,接地系统,门禁系统、消防系统、照明系统、空调系统。 综合布线系统:1环境的验收,主要是各配线间场地的选择以及温湿度的控制;2器材的验收,必须与合同规格等要求相符,符合相关的国家标准,线缆必须满足各项参数要求,机柜等的安装注意事项。3设备安装的验收
说明:信息网络系统的验收应以网络设计的总体设计为基础,主要验证系统的整体性能和主要设备运行性能。另外,在验收工作中,要认识到,应用是根本,应用系统是信息系统的核心。
信息应用系统:
软件概念:包括程序、数据及其相关文档的完整集合。 软件特点:1软件是一种逻辑实体,具有抽象性;2软件的质量控制必须着重在软件开发方面下功夫;3软件在使用过程中,有修改与维护;4软件的开发与运行依赖于计算机系统;5软件开发还是手工方式;6软件本身是复杂的;7软件成本昂贵;8软件工作涉及社会因素。 信息系统引入监理的必要性由于工程中甲乙双方的信息量的不对称性、信息管理的不对称性使得第三方介入的存在。 监理内容:四控三管一协调
监理目标是通过监理工程师的工作,力求在项目的成本、进度和质量目标内实现建设项目。 监理方的质量控制体系主要有质量管理组织、项目质量控制、设计质量控制程序、开发质量控制程序、测试质量控制程序和系统验收质量控制程序。
进度控制的目标是在规定的时间内,保质保量地完成应用软件系统建设的全部工作。内容:主要是监控项目的进度、比较实际进度与计划的差别、修改计划使项目能够返回预定“轨道”。 进度控制措施有组织、技术、合同、经济和信息管理措施。
进度控制的监理要点:1有明确项目控制的目的及工作任务。2加强来自各方面的综合、协调和督促。3要建立项目管理信息制度。4项目主管应及时向领导汇报工作执行情况,也应定期向客户报告,并随时向各职能部门介绍整个项目的的进程。5项目控制包括对未来情况的预测、对当时情况的衡量、预测情况和当时情况的比较和及时制定实现目标、进度或预算的修正方案。
成本控制的内容:1监控费用执行情况以确定与计划的偏差。2确使所有发生的变化被记录到费用线上。3避免不正确的、不合适的或者无效的变更反映到费用线上。4股东权益改变的各种信息
招投标阶段主要任务:是协助业主制定招标文件和评标标准,监督招标过程,对投标单位进行资质审查,确定中标单位后,参与业主和中标单位的合同谈判,协助业主确定合同条款并最终签订信息应用系统建设合同。 可行性研究包括四个方面的研究::经济可行性:指成本/效益分析,从经济角度判断系统是否“合算”。技术可行性:指技术风险评价,从建设基础、问题的复杂性等出发,判断系统开发在时间、费用等限制条件下成功的可能性。法律可行性:确定系统开发可能导致的任何侵权、妨碍和责任。方案的选择:评价系统或产品开发的几个可能的候选方案,并最终给出结论意见。
招标过程:招标:投标、开标:评标:中标:
考前重点汇总
确定招标方式:1若可以拟定详细的条件,而且服务的性质准许采用招标方式,则可采用公开或邀请招标的方式进行。2若不能确切拟定或最后拟定条件,或采购的服务相当复杂,可采用征求建议书、邀请建议书、两阶段招标、竞争性谈判、设计竞赛等方式。3与其他形式的服务相比,聘用专家提供咨询、研究、监理等服务更侧重对专家知识、技能、经验方面的考虑,故有独特的方式。
审查承建方单位资质:监理单位的主要工作是,协助业主单位对承建单位资质进行审查,如承建单位的软件企业认定情况、系统集成资质情况等,同时考察承建单位在以往的开发过程中是否从事过与本项目相关或相似的开发工作,帮助业主单位选择合格的承建单位,减小项目实施的风险。
审查承建方单位质量管理体系:承建方的质量管理体系是否提供相关认证或评估,标志着承建单位对质量管理的重视程度,也在一定程度上决定了承建单位产品或服务质量水平,因此监理方需对承建单位的质量管理体系进行审查,目前软件企业所遵循的质量管理体系主要有两种:软件能力成熟度模型;ISO质量管理体系
监督招标过程:开标过程监理、评标过程监理、决标过程监理 合同签订管理:监理工程师在与业主与承建单位订立合同的过程中要按条款逐条分析,若发现对业主产生风险较大的条款,要增加相应的抵御条款,要详细分析哪些条款与业主有关、与承建单位有关、与工程检查有关、与工期有关,分门别类分析各自责任和相互联系的关联,做到一清二楚,心中有数。
分析设计阶段监理对应软件工程过程中的软件需求分析和软件设计过程。 此阶段主要任务是评审承建单位提交的项目开发计划、质量保证计划和验收计划,这些计划可以作为合同的一部分或合同附件;对需求分析和设计进行质量控制,对由各种原因导致的变更进行控制,协调业主和承建单位的关系。 分析设计阶段的系统建设任务:需求分析阶段进入条件。需求分析的目标。需求分析的任务。需求分析阶段成果。设计阶段进入条件。软件设计的目标。软件设计的任务。软件设计的成果。分析设计阶段监理工作内容
项目计划监理的目的:对软件计划的相关内容(重点是组织、技术标准、开发计划、进度要求等)、项目计划过程、项目计划组织、文档格式进行审查,确认是否满足要求;给出是否符合要求的结论;确定其可否做为软件开发的前提和依据。
项目计划监理的基本准则:1承建单位制定了软件项目计划,同时该项目计划通过正式的评审,2软件项目计划对项目组织、进度计划、工程标准进行了承诺,3项目的风险分析合理,风险管理方案可行。4项目的阶段划分是明确的。 软件质量管理体系监理(软件管理过程监理的内容):1监督应用软件系统建设承建单位根据项目合同和业主应用软件系统需求,制定项目软件工程和管理活动,结合成为密切相关、定义完整的项目软件过程。2评估项目软件过程的技术合理性,包括是否符合标准和规范,是否符合项目合同和业主技术要求。3项目软件过程文档化,并得到批准;监督和控制承建单位的项目软件过程的状态,促使承建单位支持和实施项目软件过程,提高软件项目实施的计划性,减少软件项目实施的风险。4监督应用软件系统建设承建单位在软件开发过程中按照项目软件过程的规范实施,跟踪、记录和审查软件管理过程活动
软件质量保证计划监理:1确保项目遵循书面的承建单位管理策略来实施软件质量保证,承建单位成立了软件质量保证活动的组织。2控制承建单位依据书面规程,为软件项目制定软件质量保证计划,保障软件质量保证计划符合项目软件过程的规范要求。3参加承建单位的软件质量保证组按照软件质量保证计划进行的活动。4参加承建单位的软件质量保证组评审软件工程活动,验证软件工程活动与软件项目计划的一致性。5参加承建单位软件质量保证组审核指定的软件产品,依据指定的软件标准、规程和合同需求对可交付的软件产品进行评价,验证软件产品与软件项目计划的一致性。6控制承建单位依据书面规程,归档和处理软件活动和软件工作产品中的偏差,管理和控制不一致性问题的文档。7软件监理人员和业主考前重点汇总
的软件质量保证人员定期对软件质量保证组的活动和结果进行评审。8跟踪和记录软件质量保证活动的情况,审查软件质量保证活动,并给出软件质量保证监理报告。
软件配置管理监理:1确保应用软件系统建设承建单位的配置管理组织和环境按照软件项目计划的要求成立并配备。2控制承建单位依据书面规程,为应用软件系统建设项目制定软件配置管理计划。3监督承建单位使用审批通过的、文档化的软件配置管理计划作为实施软件配置管理活动的基础。4控制承建单位依据的书面规程,对所有配置项/单元的更改请求和问题报告实施初始准备、记录、评审、批准、和跟踪。5监督承建单位依据书面规程,控制对基线的更改。6控制承建单位编制软件配置管理报告,证明软件配置管理活动和软件基线库的内容,并提供给业主。7监督承建单位依据书面规程,进行软件基线库的审核,进行软件配置管理活动状态的跟踪和记录。8定期审查软件配置管理活动和软件配置管理基线,以验证它们与文档定义的一致性。9审核软件配置管理活动及其工作产品,并给出软件配置管理监理报告。
需求说明书评审内容: 清晰、完整、依从、一致、可行、可管理性 软件分包合同监理:定期审查软件分包合同的管理活动。根据实际需要随时跟踪和审查软件分包合同的管理活动。评审和(或)审核软件分包合同的管理活动及其产品,并报告结果 设计说明书:清晰、完整、依从、一致、可行性、数据使用、功能性、接口、可维护性、性能、可靠性、易测性、可追溯性
详细设计说明书:清晰、完整、依从、一致、正确性、数据使用、接口、可维护性、性能、可靠性、易测性、可追溯性
测试计划:完整、依从、一致、正确、详细级别/程度、易测性/可行性、可追溯性
软件编码规范评审:评审的目的是为使程序具有良好的风格,便于阅读。具体表现在:源程序文档化、数据说明、输入/输出等。
实施阶段的系统建设任务:编码阶段、测试阶段(单元测试、集成测试、确认测试、系统测试)试运行及培训阶段(试运行、培训)
编码阶段监理活动:1监督承建单位将合适的软件编码工程方法和工具集成到项目定义的软件过程中。2监督承建单位依据项目定义的软件过程,对软件编码进行开发、维护、建立文档和验证,以实现软件需求和软件设计。3软件监理组跟踪和记录软件编码产品的功能性和质量。
监理方法:定期审查、抽查、评审:1定期审查软件编码的工程活动和工程进度。2根据实际需要对软件编码工程活动、工作进度进行审查。3对软件编码工程活动和产品进行评审和(或)审核,并报告结果。
测试阶段监理活动:测试方法、文档管理、监督确认测试、监督系统测试、追踪测试结果。(监督承建单位将合适的软件测试工程方法和工具集成到项目定义的软件过程中。监督承建单位依据项目定义的软件过程,对软件测试进行开发、维护、建立文档和验证,以满足软件测试计划的要求。监督承建单位依据项目定义的软件过程、计划和实施软件的确认测试。计划和实施软件系统测试,实施系统测试以保证软件满足软件需求。软件监理组跟踪和记录软件测试的结果)
监理方法:定期检查、必要抽查、评审。1定期审查软件测试的工程活动和工作进度。2根据实际需要对软件测试工程活动进行跟踪、审查和评估。3对软件测试工程活动和产品进行评审和(或)审核,并报告结果。
试运行及培训阶段监理:试运行:记录问题、督促解决、监督培训。培训:监督培训计划、监督培训实施、记录培训效果
试运行监理重点:1协助业主方和承建单位处理系统试运行期间出现的各项问题,并予以记录;2对于一些重复出现的问题,在验收测试时给予必要的关注,督促承建单位必要的解决措施;3监督检查承建单位试运行阶段的培训工作。
技术培训监理重点:1监督承建单位按照合同和业主的要求制定培训计划;2审核培训计划考前重点汇总
的可操作性,要求在培训计划中明确培训对象、培训教材、培训时间、培训方式和培训师资;3监督技术培训计划的实施,对培训教材和师资进行评估,将培训计划执行的情况和效果通报给业主。
验收阶段监理 验收负责单位:业主组织、监理辅助、承建方配合;业主工作:审核承建方的验收方案确定验收方案。承建方工作:内部测试准备、验收准备工作、验收申请提交、验收方案准备
验收过程:1提出验收申请、2制定验收计划、3成立验收委员会、4进行验收测试和配置审计、5进行验收评审、6形成验收报告、7移交产品
验收阶段的监理工作:监理重点:软件配置审核、验收测试。具体分为文档审核、源代码审核、配置脚本审核、测试程序或脚本审核和可执行程序测试。
验收组织:1组织机构及人员组成(不少于5人的单数,验收测试组和配置审核组,三方加专家)2验收委员会的任务及权限(判定所验收的软件是否符合合同要求;审定验收环境;审定验收测试计划;组织验收测试和配置审核,进行验收评审,并形成验收报告)3验收的地点及条件(符合合同或验收方案规定)4验收记录及报告
验收的基本原则:1验收测试和配置审核是验收评审前必须完成的两项主要检查工作,由验收委员会主持。2测试组再认真审查需求规格说明、确认测试和系统测试的计划与分析结论的基础上制订验收测试计划。3配置审核组再需求规格说明、确认测试、系统测试等过程中形成的产品的变更管理及审核工作的基础上开展审计。4原有测试和审核结果凡可用的就可用,不必重做该项测试或审核;同时可根据业主单位的要求临时增加一些测试和审核内容。5测试组在完成测试验收的同时,完成功能配置审核,即验证软件功能和接口与“合同”的一致性。6配置审核组完成物理配置审核,检查程序和文档的一致性、文档和文档的一致性、交付的产品与“合同”要求的一致性及符合有关标准的情况。
配置审核:审查(程序、脚本;主要的开发类文档;主要的管理类文档)审核(计划、预审会议(可选)、准备阶段、审核会议、问题跟踪)
测试条件:1软件开发已经完成,并全部解决了已知的软件缺陷。2验收测试计划已经评审并批准,并且置于文档控制之下。3对软件需求说明书的审查已经完成。4对概要设计、详细设计的审查已经完成5。对所有关键模块的代码审查已经完成。6对单元、集成、系统测试计划和报告的审查已经完成。7所有的测试脚本已经完成,并至少执行过一次,且通过评审。8使用配置管理工具且代码置于配置控制之下。9软件问题处理流程已经就绪。10已经制定、评审并批准验收测试完成标准。 测试内容:安装(或升级)、启动与关机、功能测试、性能测试、压力测试、配置测试、平台测试、安全性测试、恢复测试、可靠性测试
验收准则:1软件产品符合“合同”或“验收标准”规定的全部功能和质量要求。2不同安全性关键等级的软件均通过《软件测试细则》文档要求的各项测试。3文档齐全,符合“合同”或“验收标准”要求及有关标准的规定。4文档和文档一致,程序和文档相符。5对被验收软件的可执行代码,在验收测试中查出的错误总数,依错误严重性不超过业主单位事先约定的限制值。6配置审核时查出的交付文档中的错误总数不超过业主单位事先约定的限制值。
验收报告内容:验收的各项内容、评价与验收结论、验收委员会全体成员签字。验收委员会主任意见。
验收未通过的处理:重新验收或合同争议。
移交监理实施:1审查承建单位的项目资料清单、2协助业主和承建单位交接项目资料、3确保软件文档和软件的一致性。4开发软件做好备份,保管在安全的地方,文件材料归档。 保障期监理:1督导承建单位按照“合同”规定及时进行系统保障,抽查系统保障的执行情况。2对项目业主方提出的质量问题进行记录。3督促承建单位进行修复和维护。4对承建单位进行修复的内容进行确认。
考前重点汇总
考前重点汇总