前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的信息安全整改方案主題范文,僅供參考,歡迎閱讀并收藏。
一、工作目標(biāo)
依據(jù)國家信息安全等級(jí)保護(hù)制度,遵循相關(guān)標(biāo)準(zhǔn)規(guī)范,在衛(wèi)生行業(yè)全面開展信息安全等級(jí)保護(hù)定級(jí)備案、建設(shè)整改和等級(jí)測評(píng)等工作,明確信息安全保障重點(diǎn),落實(shí)信息安全責(zé)任,建立信息安全等級(jí)保護(hù)工作長效機(jī)制,切實(shí)提高衛(wèi)生行業(yè)信息安全防護(hù)能力、隱患發(fā)現(xiàn)能力、應(yīng)急處置能力,為衛(wèi)生信息化健康發(fā)展提供可靠保障,全面維護(hù)公共利益、社會(huì)秩序和國家安全。
二、工作原則
(一)遵循標(biāo)準(zhǔn),重點(diǎn)保護(hù)。遵循國家信息安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)規(guī)范,結(jié)合衛(wèi)生行業(yè)信息系統(tǒng)特點(diǎn),優(yōu)先保護(hù)重要衛(wèi)生信息系統(tǒng),優(yōu)先滿足重點(diǎn)信息安全需求。
(二)行業(yè)指導(dǎo),屬地管理。衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作實(shí)行行業(yè)指導(dǎo)、屬地管理。地方各級(jí)衛(wèi)生行政部門要按照國家信息安全等級(jí)保護(hù)制度有關(guān)要求,做好本地區(qū)衛(wèi)生信息系統(tǒng)安全等級(jí)保護(hù)的指導(dǎo)和管理工作。衛(wèi)生行業(yè)各單位要按照“誰主管、誰負(fù)責(zé),誰運(yùn)營、誰負(fù)責(zé)”的要求,落實(shí)信息安全責(zé)任。
(三)同步建設(shè),動(dòng)態(tài)完善。在信息系統(tǒng)規(guī)劃設(shè)計(jì)與建設(shè)過程中,同步開展信息安全等級(jí)保護(hù)工作。因信息和信息系統(tǒng)的業(yè)務(wù)類型、應(yīng)用范圍等條件改變導(dǎo)致安全需求發(fā)生變化時(shí),應(yīng)當(dāng)重新調(diào)整信息系統(tǒng)安全保護(hù)等級(jí),及時(shí)完善安全保障措施。
三、工作機(jī)制
地方各級(jí)衛(wèi)生行政部門承擔(dān)本地衛(wèi)生信息安全責(zé)任,信息化工作領(lǐng)導(dǎo)小組統(tǒng)籌組織本地衛(wèi)生信息安全等級(jí)保護(hù)工作。衛(wèi)生部信息化工作領(lǐng)導(dǎo)小組負(fù)責(zé)對(duì)全國衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的組織協(xié)調(diào)、監(jiān)督指導(dǎo),并組織開展部機(jī)關(guān)信息安全等級(jí)保護(hù)工作。省級(jí)、地市級(jí)衛(wèi)生行政部門信息化工作領(lǐng)導(dǎo)小組負(fù)責(zé)對(duì)本地區(qū)衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的組織協(xié)調(diào)、監(jiān)督指導(dǎo),并組織開展本單位信息安全等級(jí)保護(hù)工作。
衛(wèi)生部建立信息安全等級(jí)保護(hù)工作聯(lián)絡(luò)員機(jī)制,各省級(jí)衛(wèi)生行政部門應(yīng)當(dāng)設(shè)置信息安全等級(jí)保護(hù)工作聯(lián)絡(luò)員。聯(lián)絡(luò)員職責(zé)是落實(shí)國家信息安全等級(jí)保護(hù)工作的有關(guān)政策和技術(shù)標(biāo)準(zhǔn),掌握本地區(qū)信息安全等級(jí)保護(hù)工作動(dòng)態(tài)和總體情況,代表本地區(qū)與衛(wèi)生部及同級(jí)信息安全等級(jí)保護(hù)管理部門進(jìn)行日常聯(lián)系和交流,協(xié)調(diào)落實(shí)本地區(qū)信息安全等級(jí)保護(hù)工作。
衛(wèi)生部和各省級(jí)衛(wèi)生行政部門應(yīng)當(dāng)分別建立信息安全技術(shù)專家委員會(huì),參與信息系統(tǒng)定級(jí)指導(dǎo)、備案審查、方案論證、安全咨詢、安全檢查等技術(shù)工作。信息安全技術(shù)專家委員會(huì)應(yīng)當(dāng)包含衛(wèi)生行業(yè)、公安機(jī)關(guān)及信息安全技術(shù)等專家。
四、工作任務(wù)
(一)定級(jí)備案。
1.衛(wèi)生行業(yè)各單位應(yīng)當(dāng)對(duì)本單位建設(shè)與運(yùn)營的衛(wèi)生信息系統(tǒng)進(jìn)行自查,對(duì)未定級(jí)、定級(jí)不準(zhǔn)的信息系統(tǒng),應(yīng)當(dāng)按照《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》開展定級(jí)工作。
國家信息安全等級(jí)保護(hù)制度將信息安全保護(hù)等級(jí)分為五級(jí):第一級(jí)為自主保護(hù)級(jí),第二級(jí)為指導(dǎo)保護(hù)級(jí),第三級(jí)為監(jiān)督保護(hù)級(jí),第四級(jí)為強(qiáng)制保護(hù)級(jí),第五級(jí)為專控保護(hù)級(jí)。以下重要衛(wèi)生信息系統(tǒng)安全保護(hù)等級(jí)原則上不低于第三級(jí):
(1)衛(wèi)生統(tǒng)計(jì)網(wǎng)絡(luò)直報(bào)系統(tǒng)、傳染性疾病報(bào)告系統(tǒng)、衛(wèi)生監(jiān)督信息報(bào)告系統(tǒng)、突發(fā)公共衛(wèi)生事件應(yīng)急指揮信息系統(tǒng)等跨省全國聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng);
(2)國家、省、地市三級(jí)衛(wèi)生信息平臺(tái),新農(nóng)合、衛(wèi)生監(jiān)督、婦幼保健等國家級(jí)數(shù)據(jù)中心;
(3)三級(jí)甲等醫(yī)院的核心業(yè)務(wù)信息系統(tǒng);
(4)衛(wèi)生部網(wǎng)站系統(tǒng);
(5)其他經(jīng)過信息安全技術(shù)專家委員會(huì)評(píng)定為第三級(jí)以上(含第三級(jí))的信息系統(tǒng)。
2.擬定為第三級(jí)以上(含第三級(jí))的衛(wèi)生信息系統(tǒng),應(yīng)當(dāng)經(jīng)信息安全技術(shù)專家委員會(huì)論證、評(píng)審。
3.衛(wèi)生行業(yè)各單位在確定信息系統(tǒng)安全保護(hù)等級(jí)后,對(duì)第二級(jí)以上(含第二級(jí))信息系統(tǒng),應(yīng)當(dāng)報(bào)屬地公安機(jī)關(guān)及衛(wèi)生行政部門備案。跨省全國聯(lián)網(wǎng)運(yùn)行并由衛(wèi)生部定級(jí)的信息系統(tǒng),由衛(wèi)生部報(bào)公安部備案;在各地運(yùn)行、應(yīng)用的分支系統(tǒng),應(yīng)當(dāng)報(bào)屬地公安機(jī)關(guān)備案。
(二)建設(shè)與整改。
1.對(duì)已確定安全保護(hù)等級(jí)的第二級(jí)以上(含第二級(jí))衛(wèi)生信息系統(tǒng),應(yīng)當(dāng)按照國家信息安全等級(jí)保護(hù)工作規(guī)范和《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等國家標(biāo)準(zhǔn),開展安全保護(hù)現(xiàn)狀分析,查找安全隱患及與國家信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)之間的差距,確定安全需求。
2.根據(jù)信息系統(tǒng)安全保護(hù)現(xiàn)狀分析結(jié)果,按照《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》、《信息安全技術(shù)信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》等國家標(biāo)準(zhǔn),制訂信息系統(tǒng)安全等級(jí)保護(hù)建設(shè)整改方案。第三級(jí)以上(含第三級(jí))衛(wèi)生信息系統(tǒng)安全建設(shè)整改方案應(yīng)當(dāng)經(jīng)信息安全技術(shù)專家委員會(huì)論證。
3.衛(wèi)生行業(yè)各單位應(yīng)當(dāng)按照信息系統(tǒng)安全建設(shè)整改方案,完善安全保護(hù)設(shè)施,建立安全管理制度,落實(shí)安全管理措施,形成信息安全技術(shù)防護(hù)體系和信息安全管理體系,有效保障衛(wèi)生信息系統(tǒng)安全。
(三)等級(jí)測評(píng)。
1.系統(tǒng)建設(shè)整改工作完成后,應(yīng)當(dāng)按照《信息安全等級(jí)保護(hù)管理辦法》要求,從全國信息安全等級(jí)保護(hù)測評(píng)機(jī)構(gòu)推薦目錄中選擇等級(jí)測評(píng)機(jī)構(gòu),對(duì)第三級(jí)以上(含第三級(jí))衛(wèi)生信息系統(tǒng)進(jìn)行等級(jí)測評(píng)。
2.測評(píng)合格后,應(yīng)當(dāng)將測評(píng)報(bào)告報(bào)屬地公安機(jī)關(guān)及衛(wèi)生行政部門備案。
3.應(yīng)當(dāng)每年對(duì)第三級(jí)以上(含第三級(jí))衛(wèi)生信息系統(tǒng)進(jìn)行等級(jí)測評(píng)。對(duì)于重要部門的第二級(jí)信息系統(tǒng),可參照上述要求進(jìn)行等級(jí)測評(píng)。
(四)宣傳培訓(xùn)。
1.各級(jí)衛(wèi)生行政部門信息化工作領(lǐng)導(dǎo)小組應(yīng)當(dāng)對(duì)本地區(qū)各級(jí)各類醫(yī)療衛(wèi)生機(jī)構(gòu)開展等級(jí)保護(hù)政策和標(biāo)準(zhǔn)規(guī)范培訓(xùn),提高各單位信息安全管理人員的技術(shù)能力和管理水平。
2.衛(wèi)生行業(yè)各單位應(yīng)當(dāng)開展內(nèi)部信息安全培訓(xùn),提升全員信息安全意識(shí),規(guī)范信息安全操作行為,提高信息安全保障能力。
(五)監(jiān)督檢查。
1.衛(wèi)生部信息化工作領(lǐng)導(dǎo)小組負(fù)責(zé)督導(dǎo)檢查各地醫(yī)療衛(wèi)生機(jī)構(gòu)信息安全等級(jí)保護(hù)工作落實(shí)情況,并督促部機(jī)關(guān)重要信息系統(tǒng)責(zé)任單位開展信息安全等級(jí)保護(hù)工作。
2.省級(jí)衛(wèi)生行政部門信息化工作領(lǐng)導(dǎo)小組負(fù)責(zé)督導(dǎo)檢查本地區(qū)衛(wèi)生行業(yè)各單位信息安全等級(jí)保護(hù)工作落實(shí)情況,并督促本單位開展信息安全等級(jí)保護(hù)工作。
3.省級(jí)衛(wèi)生行政部門信息化工作領(lǐng)導(dǎo)小組應(yīng)當(dāng)于每年年底,向衛(wèi)生部信息化工作領(lǐng)導(dǎo)小組報(bào)送本地區(qū)信息系統(tǒng)定級(jí)備案、建設(shè)整改、等級(jí)測評(píng)和自查等工作開展情況。
五、工作要求
(一)高度重視,加強(qiáng)領(lǐng)導(dǎo)。衛(wèi)生行業(yè)各單位要高度重視,充分認(rèn)識(shí)信息安全等級(jí)保護(hù)工作對(duì)保護(hù)居民健康信息安全、醫(yī)療衛(wèi)生機(jī)構(gòu)正常運(yùn)轉(zhuǎn)和社會(huì)穩(wěn)定的重要意義。各單位主要負(fù)責(zé)同志要負(fù)總責(zé),分管負(fù)責(zé)同志要具體抓,明確職責(zé)與任務(wù),突出重點(diǎn),將信息安全等級(jí)保護(hù)工作列入重要議事日程和工作績效考核指標(biāo),一級(jí)抓一級(jí),層層抓落實(shí)。
【關(guān)鍵字】 桌面終端 補(bǔ)丁 準(zhǔn)入管理 綜合網(wǎng)管
防患于未然――這是一句古話。這句話用在信息網(wǎng)絡(luò)安全中最能體會(huì)。
隨著信息化建設(shè)的逐步深入,網(wǎng)絡(luò)結(jié)構(gòu)日趨復(fù)雜,信息系統(tǒng)趨于多元化,信息安全面臨許多問題,如內(nèi)外網(wǎng)安全、主機(jī)安全、應(yīng)用系統(tǒng)安全、物理環(huán)境安全、桌面終端安全成為信息化建設(shè)的重中之重。桌面終端任意接入,安全策略得不到統(tǒng)一和有效控制,對(duì)資產(chǎn)信息采集統(tǒng)計(jì)與遠(yuǎn)程監(jiān)控手段不足,用戶行為難以控制,存在引發(fā)信息安全事件的風(fēng)險(xiǎn),終端維護(hù)成本較高等問題制約和影響著信息化健康持續(xù)發(fā)展。科學(xué)、合理的構(gòu)建和完善信息安全防護(hù)體系成為解決信息安全的有效途徑。
如何將信息安全隱患降到最低,如何抵御病毒、黑客的入侵,如何安心使用網(wǎng)絡(luò)這都是在信息行業(yè)中醒目的問題。
桌面安全管理系統(tǒng)是一個(gè)完全集成的模塊化桌面管理解決方案,可以管理企業(yè)所有Windows平臺(tái)設(shè)備。涵蓋了策略管理中心、設(shè)備管理、遠(yuǎn)程協(xié)助、移動(dòng)存儲(chǔ)介質(zhì)管理等模塊,對(duì)信息網(wǎng)絡(luò)安全起到了重要的作用。
設(shè)備和資產(chǎn)管理
隨著公司企業(yè)的發(fā)展,IT產(chǎn)業(yè)也在不斷擴(kuò)展,終端設(shè)備增加了不少。作為IT管理員,要將不同配置,位置分散的PC機(jī)等相關(guān)設(shè)備進(jìn)行統(tǒng)一管理,把設(shè)備臺(tái)帳做好做細(xì)是件比較費(fèi)時(shí)的事情。
在桌面管理系統(tǒng)里,每新增一臺(tái)終端設(shè)備,不管是PC機(jī)還是其他辦公設(shè)備等,只要設(shè)有IP地址,分配了部門,在終端上注冊(cè)了桌面管理系統(tǒng),都能在桌面安全管理系統(tǒng)內(nèi)監(jiān)測到。并且終端機(jī)的詳細(xì)參數(shù)配置、進(jìn)程、安裝軟件等都能一目了然,這對(duì)設(shè)備資產(chǎn)管理有很大的幫助。
遠(yuǎn)程協(xié)助和成本控制管理
桌面管理系統(tǒng)內(nèi)的遠(yuǎn)程協(xié)助,可以幫助網(wǎng)絡(luò)管理員遠(yuǎn)程運(yùn)維電腦終端,這樣不僅降低了故障響應(yīng)時(shí)間也提升信息運(yùn)維人員的工作效率,還可通過系統(tǒng)內(nèi)的點(diǎn)對(duì)點(diǎn)控制,遠(yuǎn)程取得計(jì)算機(jī)的安裝程序,應(yīng)用進(jìn)程,系統(tǒng)版本等關(guān)鍵資料和使用狀況。
遠(yuǎn)程控制使工程師在任何內(nèi)網(wǎng)接入的工作場所就能對(duì)任何出現(xiàn)的故障做出迅速的反應(yīng)并處理問題。這方面大大節(jié)約了工作人員的時(shí)間,降低了運(yùn)維成本。
桌面管理系統(tǒng)補(bǔ)丁管理
桌面終端管理系統(tǒng)重要的補(bǔ)丁下發(fā)功能可為公司內(nèi)網(wǎng)終端自動(dòng)下發(fā)并安裝最新的系統(tǒng)補(bǔ)丁,使系統(tǒng)保持最安全的運(yùn)行方式,可以根據(jù)各種計(jì)劃任務(wù),或者根據(jù)批處理策略統(tǒng)一下發(fā)下載補(bǔ)丁。當(dāng)系統(tǒng)監(jiān)測到有終端未安裝補(bǔ)丁時(shí),可對(duì)缺少的補(bǔ)丁進(jìn)行重新下發(fā)。并能夠?qū)ρa(bǔ)丁下載及安裝的情況進(jìn)行查詢,避免因病毒侵襲及應(yīng)用系統(tǒng)漏洞而導(dǎo)致?lián)p失。
違規(guī)外聯(lián)準(zhǔn)入管理
針對(duì)違規(guī)外聯(lián)進(jìn)行全面整改,不僅出臺(tái)了公司違規(guī)外聯(lián)事件整改方案,而且在管理上加強(qiáng)力度。一是做到定期病毒及安全使用公告,禁止手機(jī)聯(lián)入內(nèi)網(wǎng)充電;二是定期開展信息安全知識(shí)教育培訓(xùn),將違規(guī)外聯(lián)原理、違規(guī)外聯(lián)的嚴(yán)重性、可能發(fā)生違規(guī)外聯(lián)情況公示;三是全網(wǎng)粘貼內(nèi)網(wǎng)計(jì)算機(jī)標(biāo)簽標(biāo)識(shí),杜絕違規(guī)外聯(lián)誤操作。四是違規(guī)外聯(lián)堅(jiān)決執(zhí)行公司的規(guī)定,懲治力度決不放松。
防非法外聯(lián)系統(tǒng)在終端連接內(nèi)網(wǎng)前,通過安裝準(zhǔn)入系統(tǒng)認(rèn)證客戶端對(duì)計(jì)算機(jī)進(jìn)行健康狀況檢查,是否安裝防病毒軟件,是否安裝桌面管理系統(tǒng),對(duì)不滿足安全要求的終端禁止分配內(nèi)網(wǎng)合法IP地址,當(dāng)用戶完成入網(wǎng)的要求后,準(zhǔn)入系統(tǒng)會(huì)自動(dòng)識(shí)別系統(tǒng)狀態(tài)并分配合法的內(nèi)網(wǎng)IP地址,完整用戶終端的準(zhǔn)入流程,并通過桌面管理系統(tǒng)下發(fā)防違規(guī)外聯(lián)IP策略,進(jìn)一步控制非法外聯(lián)的發(fā)生。
移動(dòng)存儲(chǔ)介質(zhì)管理
移動(dòng)存儲(chǔ)的隨意接入網(wǎng)絡(luò)或者丟失出現(xiàn)信息數(shù)據(jù)泄密的都對(duì)信息安全造成很大威脅。桌面管理系統(tǒng)內(nèi)的移動(dòng)存儲(chǔ)管理可大大提高移動(dòng)存儲(chǔ)的安全性。通過桌面終端管理系統(tǒng)能夠安全的進(jìn)行移動(dòng)存儲(chǔ)的管理,防止信息泄密事件的發(fā)生,杜絕因移動(dòng)存儲(chǔ)介質(zhì)泄密對(duì)內(nèi)網(wǎng)安全的威脅。
雙數(shù)據(jù)區(qū)交互使用:專用U盤支持交換區(qū)和保密區(qū)。交換區(qū)在分配相同桌面標(biāo)簽的計(jì)算機(jī)上支持口令登錄使用;保密區(qū)在分配相同桌面標(biāo)簽的計(jì)算機(jī)上受限制使用,在不同標(biāo)簽的計(jì)算機(jī)上無法使用,插入即會(huì)報(bào)警。
綜合以上幾個(gè)模塊的功能,作為管理員能充分體會(huì)桌面管理系統(tǒng)在信息網(wǎng)絡(luò)安全中的起到的強(qiáng)大作用。
參 考 文 獻(xiàn)
[1]徐沛沛.統(tǒng)一桌面管理系統(tǒng)建設(shè)分析與研究 電力信息化 2012(10)
【 關(guān)鍵詞 】 信息安全;等級(jí)保護(hù);定性分析;定量分析
【 Abstract 】 Classified protection of information system has been a strong way to protect the important IT system. The current determination of level exist some flaws, such as lack of feasible method to judge the level and quantity analysis. This paper proposes a scheme which composed of both qualitative and quantitative analysis. By taking this scheme, the accuracy of classified protection of information system could be promoted.
【 Keywords 】 information security; classified protection; qualitative analysis; quantitative analysis
1 引言
按照國家相關(guān)法律和國家標(biāo)準(zhǔn),一些重要行業(yè)、重要單位需要根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度,信息系統(tǒng)遭到破壞后對(duì)國家安全、社會(huì)秩序、公共利益以及公民法人和其他組織的合法權(quán)益的危害程度等因素,對(duì)重要的信息系統(tǒng)確定其應(yīng)該達(dá)到的安全保護(hù)等級(jí)(分為五個(gè)級(jí)別),信息系統(tǒng)安全保護(hù)能力隨著其被確定的安全保護(hù)等級(jí)的增高,逐漸增強(qiáng)。在對(duì)信息系統(tǒng)進(jìn)行定級(jí)、采取安全防衛(wèi)措施后,還需要確認(rèn)該系統(tǒng)是否已經(jīng)達(dá)到相應(yīng)的保護(hù)等級(jí)及在未達(dá)到的情況下給出整改方案。
按照《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》等法規(guī)和標(biāo)準(zhǔn),信息系統(tǒng)的安全等級(jí)保護(hù)流程分為:確定等級(jí)、安全建設(shè)、等級(jí)測評(píng)、安全整改、安全檢查等五個(gè)步驟。
2 定級(jí)流程
現(xiàn)有方法在定級(jí)流程的第二和第三步,即評(píng)定定級(jí)對(duì)象的業(yè)務(wù)信息安全保護(hù)等級(jí)和系統(tǒng)服務(wù)安全保護(hù)等級(jí)時(shí),國家標(biāo)準(zhǔn)GB 17859-1999《信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》中建議各行業(yè)可根據(jù)本行業(yè)信息特點(diǎn)和系統(tǒng)服務(wù)特點(diǎn),制定客體被侵害程度的綜合評(píng)定方法。但現(xiàn)實(shí)中缺乏一套通用的準(zhǔn)則和方法,因此在評(píng)價(jià)客體被侵害程度時(shí)受到人為因素的影響程度較大,定級(jí)過程中人員的主觀性強(qiáng),對(duì)定級(jí)結(jié)果產(chǎn)生不利影響,如果定級(jí)不夠準(zhǔn)確,則將影響該信息系統(tǒng)的后續(xù)防護(hù)工作,即不能實(shí)施與國家標(biāo)準(zhǔn)中匹配的防護(hù)強(qiáng)度,給防護(hù)帶來較大的安全隱患。
本文主要針對(duì)現(xiàn)有定級(jí)工作定級(jí)缺乏可行的準(zhǔn)則,定級(jí)結(jié)果主觀成分大,定量不足的缺點(diǎn),提出一種定性與定量結(jié)合的定級(jí)方法,提高信息系統(tǒng)的安全保護(hù)等級(jí)的定級(jí)準(zhǔn)確性,從而安全建設(shè)環(huán)節(jié)根據(jù)定級(jí)結(jié)果做好重要信息系統(tǒng)的安全防護(hù)。
2.1 確定定級(jí)對(duì)象和受侵害的客體
為了體現(xiàn)重要部分重點(diǎn)保護(hù),有效控制信息安全建設(shè)成本,優(yōu)化信息安全資源配置的等級(jí)保護(hù)原則,將較大的信息系統(tǒng)劃分為若干個(gè)較小的、可能具有不同安全保護(hù)等級(jí)的定級(jí)對(duì)象。定級(jí)對(duì)象受到破壞時(shí)所侵害的客體包括國家安全、社會(huì)秩序、公眾利益以及公民、法人和其他組織的合法權(quán)益。
2.3 確定對(duì)客體的侵害程度
(1)侵害的客觀方面。由于業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全受到破壞所侵害的客體和對(duì)客體的侵害程度可能會(huì)有所不同,在定級(jí)過程中,需要分別處理這兩種危害方式。(2)綜合判定侵害程度。國家標(biāo)準(zhǔn)GB 17859-1999《信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》種,將不同危害后果的三種危害程度描述:一般損害、嚴(yán)重?fù)p害、特別嚴(yán)重?fù)p害。
2.4 確定定級(jí)對(duì)象的安全保護(hù)等級(jí)
根據(jù)業(yè)務(wù)信息安全被破壞時(shí)所侵害的客體以及對(duì)相應(yīng)客體的侵害程度,依據(jù)業(yè)務(wù)信息安全保護(hù)等級(jí)矩陣表,即可得到業(yè)務(wù)信息安全保護(hù)等級(jí)。根據(jù)系統(tǒng)服務(wù)安全被破壞時(shí)所侵害的客體以及對(duì)相應(yīng)客體的侵害程度,依據(jù)系統(tǒng)服務(wù)安全保護(hù)等級(jí)矩陣表,即可得到系統(tǒng)服務(wù)安全保護(hù)等級(jí)。作為定級(jí)對(duì)象的信息系統(tǒng)的安全保護(hù)等級(jí)由業(yè)務(wù)信息安全保護(hù)等級(jí)和系統(tǒng)服務(wù)安全保護(hù)等級(jí)的較高者決定。
3 基于層次分析法的定級(jí)
本文采用層次分析法來進(jìn)客體被侵害程度的定量確定。
3.1 建立層次分析模型
建立層次分析模型的過程:首先建立最高層(解決問題的目的);中間層(實(shí)現(xiàn)總目標(biāo)而采取的各種措施、必須考慮的準(zhǔn)則等,也可稱策略層、約束層、準(zhǔn)則層等);以電信業(yè)務(wù)這一客體被侵害時(shí)受到影響必須考慮的因素為例,通常需要考察電信業(yè)務(wù)的覆蓋區(qū)域(面積)、該電信業(yè)務(wù)覆蓋范圍內(nèi)的用戶人數(shù)、區(qū)域內(nèi)業(yè)務(wù)量(一定時(shí)間周期內(nèi)的用戶撥打和接聽電話的時(shí)間長度)三個(gè)指標(biāo),需要說明的是,電信業(yè)務(wù)客體受到侵害需要考慮的不止以上提到的三個(gè)因素,在實(shí)踐中,還可以考慮其他因素。
最低層(用于解決問題的各種措施、方案等,也稱為方案層)。備選的方案為國家標(biāo)準(zhǔn)GB 17859-1999《信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》中確定的五個(gè)等級(jí),分別是第一級(jí)、第二級(jí)、第三級(jí)、第四級(jí)和第五級(jí)。
針對(duì)確定客體被侵害程度問題建立的層次分析模型如圖1所示。
3.2 構(gòu)造成對(duì)比較矩陣
從層次分析模型的第二層開始,對(duì)于從屬于(或影響)上一層每個(gè)因素的同一層諸因素,用成對(duì)比較法和1-9比較尺度構(gòu)建成對(duì)比較矩陣,直到最下層。下面結(jié)合實(shí)例,構(gòu)造成對(duì)比較矩陣。以某地電信部門的電信系統(tǒng)的業(yè)務(wù)客體被侵害為例,得到三個(gè)指標(biāo)的重要性依次為:區(qū)域內(nèi)業(yè)務(wù)量>該電信業(yè)務(wù)區(qū)域的用戶人數(shù)>電信業(yè)務(wù)區(qū)域覆蓋范圍。在矩陣中令區(qū)域業(yè)務(wù)量為m11,當(dāng)前可用上傳帶寬為m22,電信業(yè)務(wù)區(qū)域覆蓋范圍為m33。
構(gòu)造一個(gè)三階矩陣Mij(3*3),根據(jù)長期積累的經(jīng)驗(yàn),其中m12=3,表示區(qū)域內(nèi)業(yè)務(wù)量相比該電信業(yè)務(wù)區(qū)域的用戶人數(shù)略重要,m13=5,表示區(qū)域內(nèi)業(yè)務(wù)量相比電信業(yè)務(wù)區(qū)域覆蓋范圍重要,m23=3,表示該電信業(yè)務(wù)區(qū)域的用戶人數(shù)比電信業(yè)務(wù)區(qū)域覆蓋范圍略重要,從而得到三階矩陣。
3.3 計(jì)算權(quán)向量并做一致性檢驗(yàn)
要求成對(duì)比較矩陣具備一定的一致性即可。由分析可知,對(duì)完全一致的成對(duì)比較矩陣,其絕對(duì)值最大的特征值等于該矩陣的維數(shù)。
檢驗(yàn)成對(duì)比較矩陣M一致性的步驟如下:計(jì)算衡量一個(gè)成對(duì)比矩陣M(n>1階方陣)不一致程度的指標(biāo)CI為:
CI=
其中max(M)是矩陣M 的最大特征值,n為矩陣的階數(shù)。
通過計(jì)算,λmax為3.0385,特征向量為(0.6370, 0.2583,0.1047),即權(quán)重分別為0.637, 0.258和0.104
CI==0.01925
CI=0,有完全的一致性。CI接近于0,有滿意的一致性,反之CI越大,不一致越嚴(yán)重
按公式計(jì)算成對(duì)比較矩陣M 的隨機(jī)一致性比率CR:
CR=
RI稱為平均隨機(jī)一致性指標(biāo),它只與矩陣的階數(shù)有關(guān),可從有關(guān)資料查出檢驗(yàn)成對(duì)比較矩陣M一致性的標(biāo)準(zhǔn)RI。查表得出三階矩陣對(duì)應(yīng)的RI為0.58,故有:
CR==0.033
判斷方法:(1) 當(dāng)CR
3.4 計(jì)算客體被侵害的程度
在計(jì)算出每個(gè)評(píng)價(jià)因素的權(quán)重后,由于每個(gè)評(píng)價(jià)因素的數(shù)值隸屬于不同體系,因此要在同一標(biāo)準(zhǔn)體系下進(jìn)行評(píng)價(jià),在本例中,區(qū)域是以平方公里為單位,業(yè)務(wù)受到影響的用戶數(shù)量以萬人為單位,業(yè)務(wù)量是以萬小時(shí)/天為單位,在實(shí)踐中將每個(gè)評(píng)價(jià)因素的實(shí)際數(shù)值采用Decimal scaling小數(shù)定標(biāo)標(biāo)準(zhǔn)化方法進(jìn)行歸一化,通過歸一化因子,將每個(gè)評(píng)價(jià)因素的取值范圍限定于[0,1]。
國家標(biāo)準(zhǔn)GB 17859-1999《信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》中將等級(jí)保護(hù)對(duì)象受到破壞后對(duì)客體造成侵害的程度歸結(jié)為三種:a.造成一般損害;b.造成嚴(yán)重?fù)p害;c.造成特別嚴(yán)重?fù)p害。
定義:損害值D(Oi)為客體Oi被侵害的分值。
:D(Oi)∈(0,0.3],則定義該客體受到的損害為一般損害
∈(0.3,0.8],則定義該客體受到的損害為嚴(yán)重?fù)p害
∈(0.8,1],則該客體受到的損害為特別嚴(yán)重?fù)p害
實(shí)踐中,可根據(jù)需要調(diào)整區(qū)間大小。
舉例來說,某市某區(qū)常住人口為60萬,電信業(yè)務(wù)量為平均80萬小時(shí)/每天,該區(qū)面積為250平方公里,通過歸一化公式X'=,其中,j是使得X'落入[0,1]的最小整數(shù)。
可計(jì)算出:
人口Pg=0.6,電信業(yè)務(wù)量Tg=0.8,業(yè)務(wù)覆蓋面積Sg=0.25 α=0.6370,β =0.2583 γ=0.1047,將歸一化后的三個(gè)評(píng)價(jià)因素,代入公式D(Oi)= αPg+βTg+γSg,求得D(Oi)=0.61。
從定義可以看出,客體受到“嚴(yán)重?fù)p害”,該客體屬于社會(huì)秩序和公眾利益范疇,根據(jù)業(yè)務(wù)信息安全保護(hù)等級(jí)矩陣表,侵害程度為第三級(jí),故該信息系統(tǒng)的業(yè)務(wù)信息安全等級(jí)被定為“三級(jí)” 。對(duì)該信息系統(tǒng)的系統(tǒng)服務(wù)安全等級(jí),可遵循同樣的方式計(jì)算得到,最后比較兩個(gè)等級(jí),取最高等級(jí)作為最終該信息系統(tǒng)的安全保護(hù)等級(jí)。
4 結(jié)束語
本文針對(duì)現(xiàn)有信息系統(tǒng)的安全保護(hù)定級(jí)工作缺乏可行的定級(jí)準(zhǔn)則,定級(jí)結(jié)果較大程度上取決于人的主觀感受、定性成分大和定量分析不足的缺點(diǎn),提出一種定性與定量結(jié)合的定級(jí)方法,提高信息系統(tǒng)的安全保護(hù)等級(jí)的定級(jí)準(zhǔn)確性,從而根據(jù)定級(jí)結(jié)果做好重要信息系統(tǒng)的安全防護(hù)。
參考文獻(xiàn)
[1] 姜政偉,趙文瑞,劉宇,劉寶旭.基于等級(jí)保護(hù)的云計(jì)算安全評(píng)估模型[J]. 計(jì)算機(jī)科學(xué), 2013(08).
[2] 陳志賓.基于等級(jí)保護(hù)思想的信息平臺(tái)安全研究與實(shí)現(xiàn)[D].河北工業(yè)大學(xué),2012.
[3] 曾穎.醫(yī)院信息系統(tǒng)等級(jí)保護(hù)安全體系設(shè)計(jì)[J].微型電腦應(yīng)用,2014(03).
[4] 肖國煜.信息系統(tǒng)等級(jí)保護(hù)測評(píng)實(shí)踐[J].信息網(wǎng)絡(luò)安全, 2011(07).
[5] 韓岳.高安全等級(jí)網(wǎng)站系統(tǒng)服務(wù)器安全研究[D].中國人民信息工程大學(xué),2011.
基金項(xiàng)目:
廣東省戰(zhàn)略性新型產(chǎn)業(yè)發(fā)展專項(xiàng)資金(高端新型電子信息產(chǎn)業(yè))項(xiàng)目資助(項(xiàng)目編號(hào):2012556028)。
作者簡介:
王偉(1983-),男,重慶人,博士;主要研究方向與關(guān)注領(lǐng)域:信息安全、云計(jì)算。
根據(jù)《基本要求》的規(guī)定,二級(jí)要求的系統(tǒng)防護(hù)能力為:信息系統(tǒng)具有抵御一般攻擊的能力,能防范常見計(jì)算機(jī)病毒和惡意代碼危害的能力,系統(tǒng)遭受破壞后,具有恢復(fù)系統(tǒng)主要功能的能力。數(shù)據(jù)恢復(fù)的能力要求為:系統(tǒng)具有一定的數(shù)據(jù)備份功能和設(shè)備冗余,在遭受破壞后能夠在有限的時(shí)間內(nèi)恢復(fù)部分功能。按照二級(jí)的要求,一般情況下分為技術(shù)層面和管理層面的兩個(gè)層面對(duì)信息系統(tǒng)安全進(jìn)行全面衡量,技術(shù)層面主要針對(duì)機(jī)房的物理?xiàng)l件、安全審計(jì)、入侵防范、邊界、主機(jī)安全審計(jì)、主機(jī)資源控制、應(yīng)用資源控制、應(yīng)用安全審計(jì)、通信完整性和數(shù)據(jù)保密性等多個(gè)控制點(diǎn)進(jìn)行測評(píng),而管理層面主要針對(duì)管理制度評(píng)審修訂、安全管理機(jī)構(gòu)的審核和檢查、人員安全管理、系統(tǒng)運(yùn)維管理、應(yīng)急預(yù)案等方面進(jìn)行綜合評(píng)測。其中技術(shù)類安全要求按照其保護(hù)的側(cè)重點(diǎn)不同分為業(yè)務(wù)信息安全類(S類)、系統(tǒng)服務(wù)安全類(A類)、通用安全防護(hù)類(G類)三類。水利信息系統(tǒng)通常以S和G類防護(hù)為主,既關(guān)注保護(hù)業(yè)務(wù)信息的安全性,又關(guān)注保護(hù)系統(tǒng)的連續(xù)可用性。
2水利科研院所信息安全現(xiàn)狀分析
水利科研院所信息系統(tǒng)結(jié)構(gòu)相對(duì)簡單,在管理制度上基本建立了機(jī)房管控制度、人員安全管理制度等,技術(shù)上也都基本達(dá)到了一級(jí)防護(hù)的要求。下面以某水利科研單位為例分析。某水利科研單位主機(jī)房選址為大樓低層(3層以下),且不臨街。機(jī)房大門為門禁電磁防盜門,機(jī)房內(nèi)安裝多部監(jiān)控探頭。機(jī)房內(nèi)部劃分為多個(gè)獨(dú)立功能區(qū),每個(gè)功能區(qū)均安裝門禁隔離。機(jī)房鋪設(shè)防靜電地板,且已與大樓防雷接地連接。機(jī)房內(nèi)按照面積匹配自動(dòng)氣體消防,能夠?qū)馂?zāi)發(fā)生進(jìn)行自動(dòng)報(bào)警,人工干預(yù)滅火。機(jī)房內(nèi)已安裝溫度濕度監(jiān)控探頭,對(duì)機(jī)房內(nèi)溫濕度自動(dòng)監(jiān)控并具有報(bào)警功能,機(jī)房配備較大功率UPS電源,能夠保障關(guān)鍵業(yè)務(wù)系統(tǒng)在斷電后2小時(shí)正常工作。機(jī)房采用通信線路上走線,動(dòng)力電路下走線方式。以上物理?xiàng)l件均滿足二級(jí)要求。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分為外聯(lián)區(qū)、對(duì)外服務(wù)區(qū)、業(yè)務(wù)處理區(qū)和接入?yún)^(qū)4大板塊,對(duì)外服務(wù)區(qū)部署有VPN網(wǎng)關(guān),外部人員可通過VPN網(wǎng)關(guān)進(jìn)入加密SSL通道訪問業(yè)務(wù)處理區(qū),接入?yún)^(qū)用戶通過認(rèn)證網(wǎng)關(guān)訪問互聯(lián)網(wǎng)。整個(gè)網(wǎng)絡(luò)系統(tǒng)未部署入侵檢測(IDS)系統(tǒng)、非法外聯(lián)檢測系統(tǒng)、網(wǎng)絡(luò)安全審計(jì)系統(tǒng)以及流量控制系統(tǒng)。由上述拓?fù)浣Y(jié)構(gòu)可以看出,現(xiàn)有的安全防護(hù)手段可基本保障信息網(wǎng)絡(luò)系統(tǒng)的安全,但按照二級(jí)要求,系統(tǒng)內(nèi)缺少IDS系統(tǒng)、網(wǎng)絡(luò)安全審計(jì)系統(tǒng)和非法外聯(lián)檢測系統(tǒng),且沒有獨(dú)立的數(shù)據(jù)備份區(qū)域,給整個(gè)信息網(wǎng)安全帶來一定的隱患。新的網(wǎng)絡(luò)系統(tǒng)在外聯(lián)區(qū)邊界防火墻下接入了入侵檢測系統(tǒng)(IDS),新規(guī)劃了獨(dú)立的數(shù)據(jù)備份區(qū)域,在核心交換機(jī)上部署了網(wǎng)絡(luò)審計(jì)系統(tǒng),并在接入?yún)^(qū)安裝了非法外聯(lián)檢測系統(tǒng)。形成了較為完整的信息網(wǎng)絡(luò)安全防護(hù)體系。
3信息系統(tǒng)安全等級(jí)測評(píng)的內(nèi)容
3.1信息系統(tǒng)等級(jí)保護(hù)的總體規(guī)劃
信息系統(tǒng)從規(guī)劃到建立是一個(gè)復(fù)雜漫長的過程,需要做好規(guī)劃。一般情況下,信息系統(tǒng)的安全規(guī)劃分為計(jì)算機(jī)系統(tǒng)、邊界區(qū)域、通信系統(tǒng)的安全設(shè)計(jì)。相應(yīng)的技術(shù)測評(píng)工作也主要圍繞這3個(gè)模塊展開。
3.2測評(píng)的要素
信息系統(tǒng)是個(gè)復(fù)雜工程,設(shè)備的簡單堆疊并不能有效保障系統(tǒng)的絕對(duì)安全,新建系統(tǒng)應(yīng)嚴(yán)格按照等保規(guī)劃設(shè)計(jì),已建系統(tǒng)要對(duì)信息系統(tǒng)進(jìn)行安全測試,對(duì)于測評(píng)不合格項(xiàng)對(duì)照整改。信息系統(tǒng)安全測試范圍很廣,主要在網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全、物理安全、管理安全六大方面展開測評(píng)。本文僅對(duì)測評(píng)內(nèi)容要素進(jìn)行描述,對(duì)具體測試方法及工具不作描述。
3.2.1網(wǎng)絡(luò)安全的測評(píng)
水利科研院所網(wǎng)絡(luò)安全的測評(píng)主要參照公安部編制《信息安全等級(jí)測評(píng)》條件對(duì)網(wǎng)絡(luò)全局、路由和交換設(shè)備、防火墻、入侵檢測系統(tǒng)展開測評(píng)。但應(yīng)結(jié)合科研院所實(shí)際有所側(cè)重。水利科研院所信息系統(tǒng)數(shù)據(jù)傳輸量大,網(wǎng)絡(luò)帶寬占用比例相對(duì)較高,因此,在網(wǎng)絡(luò)全局中主要測試網(wǎng)絡(luò)設(shè)備是否具備足夠的數(shù)據(jù)處理能力,網(wǎng)絡(luò)設(shè)備資源占用情況,確保網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力冗余性。科研院所地理位置相對(duì)分散,因此,需要合理的VLAN劃分,確保局部網(wǎng)絡(luò)攻擊不會(huì)引發(fā)全局癱瘓。科研院所擁有大量的研究生,這類人群對(duì)于制度的約束相對(duì)較差,網(wǎng)絡(luò)應(yīng)用多伴有P2P應(yīng)用,對(duì)出口帶寬影響極大,因此除了用經(jīng)濟(jì)杠桿的手段外,在技術(shù)上要求防火墻配置帶寬控制策略。同時(shí)對(duì)“非法接入和外聯(lián)”行為進(jìn)行檢查。網(wǎng)絡(luò)中應(yīng)配置IDS對(duì)端口掃描,對(duì)木馬、后門攻擊、網(wǎng)絡(luò)蠕蟲等常見攻擊行為監(jiān)視等等。
3.2.2主機(jī)安全測評(píng)
主機(jī)安全的測評(píng)主要對(duì)操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)展開測評(píng)。通常水利科研院所服務(wù)器種類繁多,從最多見的機(jī)架式服務(wù)器到曙光一類的大型并行服務(wù)器均有部署,同時(shí)操作系統(tǒng)有window系列、Linux、Unix、Solaris等多種操作系統(tǒng),數(shù)據(jù)庫以主流SQLSERVER、ORACLE為主,早期開發(fā)的系統(tǒng)還有Sybase,DB2等數(shù)據(jù)庫。對(duì)于window操作系統(tǒng)是容易被攻擊的重點(diǎn),因?yàn)槎?jí)等保為審計(jì)級(jí)保護(hù)所以重點(diǎn)在于身份鑒別、訪問控制、安全審計(jì)、入侵防范、惡意代碼4個(gè)方面進(jìn)行測評(píng),主要審計(jì)重要用戶行為、系統(tǒng)資源的異常使用和重要信息的命令使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件。對(duì)于LINUX等其他系統(tǒng)和數(shù)據(jù)庫,主要審計(jì)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的身份標(biāo)識(shí)唯一性,口令應(yīng)復(fù)雜程度以及限制條件等。
3.2.3應(yīng)用安全測評(píng)
水利科研院所內(nèi)部業(yè)務(wù)種類繁多,如OA系統(tǒng),科研管理系統(tǒng),內(nèi)部財(cái)務(wù)系統(tǒng)、網(wǎng)站服務(wù)器群,郵件服務(wù)器等,測評(píng)的重點(diǎn)主要是對(duì)這些業(yè)務(wù)系統(tǒng)逐個(gè)測評(píng)身份驗(yàn)證,日志記錄,訪問控制、安全審計(jì)等功能。
3.2.4數(shù)據(jù)安全的測評(píng)
數(shù)據(jù)安全的測評(píng)主要就數(shù)據(jù)的完整性、保密性已及備份和恢復(fù)可靠性、時(shí)效性展開測評(píng)。水利科研院所數(shù)據(jù)量十分龐大,一般達(dá)到上百TB級(jí)數(shù)據(jù)量,一旦遭受攻擊,恢復(fù)任務(wù)十分艱巨,因此備份區(qū)和應(yīng)用區(qū)應(yīng)該選用光纖直連的方式,避免電纜數(shù)據(jù)傳輸效率的瓶頸。日常情況下應(yīng)做好備份計(jì)劃,采用增量備份的方式實(shí)時(shí)對(duì)數(shù)據(jù)備份。
3.2.5物理安全測評(píng)
機(jī)房的物理安全測評(píng)主要是選址是否合理,機(jī)房大門防火防盜性能,機(jī)房的防雷擊、防火、防水防潮防靜電設(shè)施是否完好達(dá)標(biāo),溫濕度控制、電力供應(yīng)以及電磁防護(hù)是否符合規(guī)定等物理?xiàng)l件。
3.2.6安全管理測評(píng)
安全管理主要就制定的制度文檔和記錄文檔展開評(píng)測。制度文檔主要分為3類,流程管理,人員管理和設(shè)備管理。記錄文檔主要為制度文檔的具體實(shí)施形式。在滿足二級(jí)的條件下,一般需要制度文檔有《信息安全管理辦法》、《安全組織及職責(zé)管理規(guī)定》、《安全審核與檢查管理制度》、《授權(quán)和審批管理規(guī)定》、《信息安全制度管理規(guī)范》、《內(nèi)部人員安全管理規(guī)定》、《外部人員安全管理規(guī)定》、《系統(tǒng)設(shè)計(jì)和采購安全管理規(guī)定》、《系統(tǒng)實(shí)施安全管理規(guī)定》、《系統(tǒng)測試驗(yàn)收和交付安全管理規(guī)定》、《軟件開發(fā)安全管理規(guī)定》、《系統(tǒng)運(yùn)維和監(jiān)控安全管理規(guī)定》、《網(wǎng)絡(luò)安全管理規(guī)定》、《系統(tǒng)安全管理規(guī)定》、《賬號(hào)密碼管理規(guī)定》等基本規(guī)章制度。同時(shí)對(duì)管理制度本身進(jìn)行也要規(guī)范管理,如版本控制,評(píng)審修訂流程等。需要制定的記錄文檔有《機(jī)房出入登記記錄》、《機(jī)房基礎(chǔ)設(shè)施維護(hù)記錄》、《各類評(píng)審和修訂記錄》、《人員考核、審查、培訓(xùn)記錄》、《各項(xiàng)審批和批準(zhǔn)執(zhí)行記錄》、《產(chǎn)品的測試選型測試結(jié)果記錄》、《系統(tǒng)驗(yàn)收測試記錄報(bào)告》、《介質(zhì)歸檔查詢等的等級(jí)記錄》、《主機(jī)系統(tǒng),網(wǎng)絡(luò),安全設(shè)備等的操作日志和維護(hù)記錄》、《機(jī)房日常巡檢記錄》、《安全時(shí)間處理過程記錄》、《應(yīng)急預(yù)案培訓(xùn),演練,審查記錄》等。
4測評(píng)的方式方法
按照《基本要求》在等級(jí)測評(píng)中,對(duì)二級(jí)及二級(jí)以上的信息系統(tǒng)應(yīng)進(jìn)行工具測試。
4.1測試目的工具測試
是利用各種測試工具,通過對(duì)目標(biāo)系統(tǒng)的掃描、探測等操作,使其產(chǎn)生特定的響應(yīng)等活動(dòng),查看分析響應(yīng)結(jié)果,獲取證據(jù)以證明信息系統(tǒng)安全保護(hù)措施是否得以有效實(shí)施的一種方法。工具測試種類繁多,這里特指適用于等保測評(píng)過程中的工具測試。利用工具測試不僅可以直接獲得系統(tǒng)本身存在的漏洞,同時(shí)也可以通過不同的區(qū)域接入測試工具所得到的測試結(jié)果判斷出不同區(qū)域之間的訪問控制情況。利用工具測試并結(jié)合其他的核查手段能為測試結(jié)果提供客觀準(zhǔn)確的保障。
4.2測試流程
收集信息→規(guī)劃接入點(diǎn)→編制《工具測試作業(yè)指導(dǎo)書》→現(xiàn)場測試→結(jié)果整理。收集信息主要是對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)設(shè)備型號(hào)、IP地址、操作系統(tǒng)以及網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)等信息進(jìn)行收集。規(guī)劃接入點(diǎn)是保證不影響整個(gè)信息系統(tǒng)網(wǎng)絡(luò)正常運(yùn)行的前提下嚴(yán)格按照方案選定范圍進(jìn)行測試。接入點(diǎn)的規(guī)劃隨著網(wǎng)絡(luò)結(jié)構(gòu),訪問控制,主機(jī)位置等情況的不同而不同,但應(yīng)該遵循以下規(guī)則。(1)由低級(jí)別系統(tǒng)向高級(jí)別系統(tǒng)探測。(2)同一系統(tǒng)同等重要程度功能區(qū)域之間要互相探測。(3)由外聯(lián)接口向系統(tǒng)內(nèi)部探測。(4)跨網(wǎng)絡(luò)隔離設(shè)備(包括網(wǎng)絡(luò)設(shè)備和安全設(shè)備)要分段探測。
4.3測試手段
利用漏洞掃描器、滲透測試工具集、協(xié)議分析儀、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)生成工具更能迅速可靠地找到系統(tǒng)的薄弱環(huán)節(jié),為整改方案的編制提供依據(jù)。
5云計(jì)算與等級(jí)保護(hù)
近年來,隨著水利科研院各自的云計(jì)算中心相繼建立,云計(jì)算與以往的計(jì)算模式安全風(fēng)險(xiǎn)差異很大,面臨的風(fēng)險(xiǎn)也更大,因?yàn)橐酝南到y(tǒng)多數(shù)為集中式管理范圍較小,安全管理和設(shè)備資源是可控的,而云計(jì)算是分布式管理,是一個(gè)動(dòng)態(tài)變化的計(jì)算環(huán)境,這種環(huán)境在某種意義上是無序的,這種虛擬動(dòng)態(tài)的運(yùn)行環(huán)境更不可控,傳統(tǒng)的安全邊界消失。同時(shí),云計(jì)算在認(rèn)證、授權(quán)、訪問控制和數(shù)據(jù)保密這些方面這對(duì)于信息網(wǎng)絡(luò)安全也提出了更高的要求。由云安全聯(lián)盟和惠普公司列出了云計(jì)算面臨的7宗罪(風(fēng)險(xiǎn)),說明云安全的狀況變化非常快,現(xiàn)有的技術(shù)和管理體系并不完全適應(yīng)于云計(jì)算的模式,如何結(jié)合自身特點(diǎn)制定出適合云計(jì)算的等級(jí)保護(hù)體系架構(gòu)是今后研究的方向。
6結(jié)語
監(jiān)理服務(wù)技術(shù)方案
一、項(xiàng)目概述及要求
本項(xiàng)目負(fù)責(zé)提供四川省環(huán)境信息中心2021年環(huán)境信息化新建項(xiàng)目及部分應(yīng)用系統(tǒng)升級(jí)改造(政府采購和非政府采購)的監(jiān)理服務(wù)。根據(jù)2021年四川省信息化建設(shè)項(xiàng)目的主要技術(shù)規(guī)范及要求,供應(yīng)商應(yīng)提供全過程“五控、三管、一協(xié)調(diào)”的監(jiān)理服務(wù)。按事前、事中和事后三階段開展監(jiān)理工作,針對(duì)質(zhì)量控制、投資控制、進(jìn)度控制、保密控制、信息安全控制、合同管理、信息管理、安全管理和協(xié)調(diào)工作等方面提出詳細(xì)監(jiān)理規(guī)劃,并分別對(duì)系統(tǒng)集成建設(shè)方面提出監(jiān)理人員配備方案,對(duì)項(xiàng)目相關(guān)的省統(tǒng)一采購內(nèi)容(軟件等)進(jìn)行監(jiān)理。
二、監(jiān)理工作任務(wù)及目標(biāo)
監(jiān)理工作目標(biāo)是按照2021年四川省環(huán)境信息化建設(shè)、軟件項(xiàng)目的要求以及相關(guān)的國際、國家和行業(yè)的監(jiān)理標(biāo)準(zhǔn),結(jié)合各系統(tǒng)項(xiàng)目的建設(shè)特點(diǎn),對(duì)信息系統(tǒng)進(jìn)行包含項(xiàng)目規(guī)劃編制、招標(biāo)、項(xiàng)目詳細(xì)設(shè)計(jì)、項(xiàng)目實(shí)施和項(xiàng)目驗(yàn)收及質(zhì)保期五個(gè)階段的全過程監(jiān)理,確保項(xiàng)目按期、高質(zhì)、高效地完成,并順利通過驗(yàn)收。
(一)項(xiàng)目擬制階段
1. 充分運(yùn)用監(jiān)理單位的咨詢能力,在建設(shè)方案的編制階段根據(jù)業(yè)主的需求為業(yè)主單位提供相應(yīng)的咨詢服務(wù)。
2. 協(xié)助業(yè)主單位完成項(xiàng)目建設(shè)方案編制及建設(shè)方案的評(píng)審工作。
3. 協(xié)助業(yè)主單位收集項(xiàng)目資料、整理歸納項(xiàng)目文檔。
(二)項(xiàng)目招標(biāo)階段
1.協(xié)助業(yè)主單位明確項(xiàng)目需求,確定項(xiàng)目建設(shè)目標(biāo)。
2.促使業(yè)主單位、承建單位所簽訂的建設(shè)合同在技術(shù)、經(jīng)濟(jì)上合理有效,符合國家法律法規(guī)。
(三)項(xiàng)目設(shè)計(jì)階段
1.推動(dòng)業(yè)主單位、承建單位對(duì)項(xiàng)目需求和設(shè)計(jì)進(jìn)行規(guī)范化的技術(shù)描述,為項(xiàng)目實(shí)施提供優(yōu)化的設(shè)計(jì)方案。
2.促使項(xiàng)目計(jì)劃、設(shè)計(jì)方案滿足項(xiàng)目需求,符合相關(guān)的法律、法規(guī)和標(biāo)準(zhǔn),并與項(xiàng)目建設(shè)合同相符,具有可驗(yàn)證性。
3.方案審核階段,充分運(yùn)用監(jiān)理單位咨詢能力,要求具有咨詢能力的監(jiān)理工程師配合業(yè)主或其指定的專家對(duì)承建單位的需求、設(shè)計(jì)、實(shí)施類方案進(jìn)行質(zhì)量把關(guān)。協(xié)助業(yè)主單位、承建單位消除設(shè)計(jì)文檔在進(jìn)入項(xiàng)目實(shí)施前可預(yù)見的缺陷。
(四)項(xiàng)目實(shí)施階段
1.加強(qiáng)項(xiàng)目實(shí)施方案的合法性、合理性、與設(shè)計(jì)方案的符合性。
2.促使項(xiàng)目中所使用的產(chǎn)品和服務(wù)符合建設(shè)合同及國家相關(guān)法律、法規(guī)和標(biāo)準(zhǔn)。
3.明確項(xiàng)目實(shí)施計(jì)劃,對(duì)于計(jì)劃的調(diào)整應(yīng)合理、受控。
4.促使項(xiàng)目實(shí)施過程滿足建設(shè)合同的要求,并與項(xiàng)目設(shè)計(jì)方案、項(xiàng)目計(jì)劃相符。
5.促使項(xiàng)目文檔統(tǒng)一、規(guī)范,建立符合業(yè)主方要求的項(xiàng)目文檔管理體系。
6.網(wǎng)絡(luò)及安全類項(xiàng)目實(shí)施期間,要求具有信息安全測評(píng)能力的監(jiān)理工程師對(duì)項(xiàng)目設(shè)計(jì)和實(shí)施方案進(jìn)行內(nèi)審,協(xié)助第三方測評(píng)機(jī)構(gòu)完成規(guī)定的等級(jí)保護(hù)測評(píng)工作。
7.軟件研發(fā)類項(xiàng)目實(shí)施期間,要求具有軟件測評(píng)能力的監(jiān)理工程師督促承建單位進(jìn)行軟件自測,協(xié)助第三方測評(píng)單位對(duì)軟件功能及性能完成第三方軟件測評(píng)工作。
(五)項(xiàng)目驗(yàn)收及質(zhì)保期階段
1.明確項(xiàng)目測試驗(yàn)收方案(驗(yàn)收目標(biāo)、責(zé)任雙方、驗(yàn)收提交清單、驗(yàn)收標(biāo)準(zhǔn)、驗(yàn)收方式、驗(yàn)收環(huán)境等)的符合性及可行性。
2.促使項(xiàng)目的最終功能和性能符合建設(shè)合同、法律法規(guī)和標(biāo)準(zhǔn)的要求。
3.協(xié)助承建單位所提供的項(xiàng)目各階段形成的技術(shù)、管理文檔的內(nèi)容和種類符合相關(guān)標(biāo)準(zhǔn)。
4.對(duì)項(xiàng)目終驗(yàn)結(jié)束后質(zhì)保期內(nèi)業(yè)主單位反饋的問題督促承建方整改落實(shí)。
三、監(jiān)理工作范圍
項(xiàng)目實(shí)施范圍為四川省環(huán)境信息中心2021年環(huán)境信息化新建項(xiàng)目及部分應(yīng)用系統(tǒng)升級(jí)改造項(xiàng)目(政府采購和非政府采購)。
四、項(xiàng)目監(jiān)理總體要求
根據(jù)2021年四川省環(huán)境信息化建設(shè)、軟件項(xiàng)目主要技術(shù)規(guī)范及要求,信息項(xiàng)目、軟件項(xiàng)目建設(shè)監(jiān)理受業(yè)主方委托,代表業(yè)主方的利益,依法對(duì)本項(xiàng)目的全過程進(jìn)行監(jiān)督管理。監(jiān)理方應(yīng)嚴(yán)格按照國家電子政務(wù)管理辦法、業(yè)主方和承建方簽訂的合同、信息系統(tǒng)項(xiàng)目監(jiān)理規(guī)范及環(huán)保行業(yè)和計(jì)算機(jī)技術(shù)相關(guān)國家標(biāo)準(zhǔn)開展監(jiān)理工作。
根據(jù)本項(xiàng)目及項(xiàng)目內(nèi)各系統(tǒng)建設(shè)的特點(diǎn),監(jiān)理應(yīng)全程開展以下工作:
五控制:
質(zhì)量控制—硬件設(shè)備采購進(jìn)貨、軟件開發(fā)及測試和驗(yàn)收。
進(jìn)度控制—采取總體項(xiàng)目進(jìn)度管理方式,從整體協(xié)助業(yè)主進(jìn)行項(xiàng)目推進(jìn)管理;對(duì)每個(gè)分項(xiàng)進(jìn)行甘特圖管理,對(duì)每個(gè)分項(xiàng)之間交互界面進(jìn)行控制銜接管理;及時(shí)對(duì)照進(jìn)度計(jì)劃進(jìn)行進(jìn)度分析,及時(shí)糾偏。
投資控制—硬件設(shè)備采購進(jìn)貨、軟件開發(fā)投資及項(xiàng)目施工投資。
變更控制—施工過程中進(jìn)行變更管理。
保密控制—建設(shè)過程中,全程人員、信息、系統(tǒng)的保密管理。
三管理:
合同管理—采購、施工、系統(tǒng)集成及軟件開發(fā)等合同管理。
信息管理—投資控制管理、設(shè)備控制管理、施工管理及軟件管理。
安全管理—項(xiàng)目的施工安全管理,系統(tǒng)的信息安全管理兩部分。
一協(xié)調(diào):
采用現(xiàn)場和會(huì)議方式進(jìn)行協(xié)調(diào),實(shí)施業(yè)主、承建方和監(jiān)理的三方協(xié)調(diào)制度。
監(jiān)理機(jī)構(gòu)應(yīng)按事前、事中和事后三過程開展監(jiān)理工作。
(一)項(xiàng)目前期監(jiān)理要求
協(xié)助業(yè)主和承建單位對(duì)項(xiàng)目需求和設(shè)計(jì)進(jìn)行規(guī)范化的技術(shù)描述,為項(xiàng)目實(shí)施提供優(yōu)化的設(shè)計(jì)方案;
協(xié)助并配合業(yè)主進(jìn)行采購項(xiàng)目需求論證階段工作的進(jìn)行,使采購滿足項(xiàng)目需求、符合相關(guān)的法律、法規(guī)和標(biāo)準(zhǔn);
通過項(xiàng)目管理思路,建立整體項(xiàng)目計(jì)劃,方案滿足項(xiàng)目需求、符合相關(guān)的法律、法規(guī)和標(biāo)準(zhǔn),并與項(xiàng)目建設(shè)合同相符,具有里程碑可驗(yàn)證性;
協(xié)助業(yè)主,審核承建方技術(shù)方案,滿足項(xiàng)目整體需求,并與項(xiàng)目建設(shè)合同相符。
(二)項(xiàng)目中期監(jiān)理要求
加強(qiáng)項(xiàng)目實(shí)施方案的審核,確保其合法性、合理性、與設(shè)計(jì)方案的符合性;
加強(qiáng)各子項(xiàng)目質(zhì)量控制,確保項(xiàng)目中所使用的產(chǎn)品和服務(wù)、軟件開發(fā)符合建設(shè)合同及國家相關(guān)法律、法規(guī)和標(biāo)準(zhǔn);
監(jiān)督項(xiàng)目實(shí)施過程,指定具有相關(guān)專業(yè)能力和資質(zhì)的監(jiān)理工程師駐場監(jiān)理,確保滿足建設(shè)合同的要求,并與項(xiàng)目設(shè)計(jì)方案、項(xiàng)目計(jì)劃相符。
明確項(xiàng)目實(shí)施計(jì)劃及進(jìn)度,及時(shí)對(duì)計(jì)劃進(jìn)行調(diào)整,確保項(xiàng)目進(jìn)度和整體進(jìn)度相符合;
把握項(xiàng)目中投資、質(zhì)量、進(jìn)度的變更,規(guī)范項(xiàng)目變更流程;
對(duì)項(xiàng)目實(shí)施過程涉密部分,全程進(jìn)行保密管理;
推動(dòng)業(yè)主、各承建方之間的關(guān)系協(xié)調(diào)。
(三)項(xiàng)目后期監(jiān)理要求
明確項(xiàng)目測試驗(yàn)收方案的符合性(驗(yàn)收目標(biāo)、責(zé)任雙方、驗(yàn)收提交清單、驗(yàn)收標(biāo)準(zhǔn)、驗(yàn)收方式、驗(yàn)收環(huán)境等)及可行性;
明確項(xiàng)目的最終功能和性能符合建設(shè)合同、法律、法規(guī)和標(biāo)準(zhǔn)的要求;協(xié)助業(yè)主進(jìn)行各分項(xiàng)的驗(yàn)收工作;
保證承建單位提供的項(xiàng)目各階段形成的技術(shù)、管理文檔的內(nèi)容和種類符合相關(guān)標(biāo)準(zhǔn);
監(jiān)理機(jī)構(gòu)應(yīng)針對(duì)質(zhì)量控制、投資控制、進(jìn)度控制、知識(shí)產(chǎn)權(quán)控制、信息安全控制、合同管理、文檔管理和協(xié)調(diào)工作等方面提出詳細(xì)監(jiān)理規(guī)劃并分別針對(duì)系統(tǒng)集成建設(shè)方面提出監(jiān)理人員配備方案,并對(duì)項(xiàng)目相關(guān)的采購內(nèi)容(軟件等)進(jìn)行監(jiān)理。
五、監(jiān)理具體要求
監(jiān)理要與測評(píng)保持協(xié)調(diào)配合,并對(duì)監(jiān)理工作內(nèi)容進(jìn)行負(fù)責(zé)。監(jiān)理工作包含但不限于以下內(nèi)容:
(一)項(xiàng)目招標(biāo)前期階段監(jiān)理工作內(nèi)容
方案控制
項(xiàng)目招標(biāo)前期階段的方案控制內(nèi)容如下:
(1)監(jiān)理機(jī)構(gòu)應(yīng)協(xié)助業(yè)主單位完成項(xiàng)目建設(shè)方案編制及建設(shè)方案的評(píng)審工作。
(2)監(jiān)理機(jī)構(gòu)應(yīng)協(xié)助業(yè)主單位收集項(xiàng)目資料、整理歸納項(xiàng)目文檔。
(3)監(jiān)理機(jī)構(gòu)應(yīng)協(xié)助并配合業(yè)主進(jìn)行采購項(xiàng)目需求論證階段工作的進(jìn)行,使采購滿足項(xiàng)目需求、符合相關(guān)的法律、法規(guī)和標(biāo)準(zhǔn)。
(二)項(xiàng)目招標(biāo)階段監(jiān)理工作內(nèi)容
1.質(zhì)量控制
項(xiàng)目招標(biāo)階段的質(zhì)量控制內(nèi)容如下:
(1)監(jiān)理機(jī)構(gòu)應(yīng)了解業(yè)主單位的業(yè)務(wù)需求,并將其作為監(jiān)理工作的依據(jù)之一;
(2)監(jiān)理機(jī)構(gòu)應(yīng)對(duì)招標(biāo)技術(shù)需求的下列內(nèi)容提出監(jiān)理意見(輸出監(jiān)理意見):
技術(shù)和質(zhì)量的要求;
項(xiàng)目所涉及的主要產(chǎn)品和服務(wù)的要求;
投標(biāo)單位資格的要求;
驗(yàn)收方法、接受準(zhǔn)則;
時(shí)間進(jìn)度的要求;
2.進(jìn)度控制
項(xiàng)目招標(biāo)階段的進(jìn)度控制內(nèi)容如下:
(1)監(jiān)理機(jī)構(gòu)參與業(yè)主單位招標(biāo)前的準(zhǔn)備工作,協(xié)助業(yè)主單位編制本項(xiàng)目的工作計(jì)劃。工作計(jì)劃應(yīng)包含如下內(nèi)容:
項(xiàng)目建設(shè)內(nèi)容;
組織管理;
項(xiàng)目建設(shè)的準(zhǔn)備工作;
總包、分包方式;
項(xiàng)目建設(shè)的階段劃分及驗(yàn)收;
質(zhì)量管理計(jì)劃;
(2)監(jiān)理機(jī)構(gòu)應(yīng)分析項(xiàng)目的內(nèi)容及過程,應(yīng)對(duì)項(xiàng)目進(jìn)度提出監(jiān)理意見;
(3)監(jiān)理機(jī)構(gòu)對(duì)招標(biāo)書中項(xiàng)目進(jìn)度安排及項(xiàng)目進(jìn)度控制措施提出監(jiān)理意見;
(4)監(jiān)理機(jī)構(gòu)應(yīng)對(duì)本階段的工作進(jìn)度提出監(jiān)理意見;
(5)監(jiān)理機(jī)構(gòu)應(yīng)要求對(duì)項(xiàng)目合同中涉及的產(chǎn)品和服務(wù)的提供時(shí)間做出說明,并對(duì)業(yè)主單位的安排提出監(jiān)理意見。
3.投資控制
項(xiàng)目招標(biāo)階段的投資控制內(nèi)容如下:
(1)監(jiān)理機(jī)構(gòu)應(yīng)協(xié)助業(yè)主單位根據(jù)項(xiàng)目的目標(biāo)、范圍和功能界定提出意見,并提出項(xiàng)目預(yù)算的合理性;
(2)監(jiān)理機(jī)構(gòu)應(yīng)協(xié)助業(yè)主單位根據(jù)項(xiàng)目預(yù)算,在招標(biāo)技術(shù)需求中對(duì)項(xiàng)目的目標(biāo)、范圍、內(nèi)容和產(chǎn)品及服務(wù)的技術(shù)要求做出明確說明。
4.合同管理
項(xiàng)目招標(biāo)階段的合同管理內(nèi)容如下:
(1)監(jiān)理機(jī)構(gòu)應(yīng)參與建設(shè)合同的簽訂過程,在建設(shè)合同中應(yīng)明確要求承建單位接受監(jiān)理機(jī)構(gòu)的監(jiān)理;
(2)監(jiān)理機(jī)構(gòu)應(yīng)建議業(yè)主單位在建設(shè)合同中明確規(guī)定項(xiàng)目所包含的功能、技術(shù)要求、測試標(biāo)準(zhǔn)、驗(yàn)收要求和質(zhì)量責(zé)任;
(3)監(jiān)理機(jī)構(gòu)應(yīng)建議業(yè)主單位在建設(shè)合同中明確項(xiàng)目階段劃分及其質(zhì)量和進(jìn)度要求,并以此作為項(xiàng)目階段性付款的依據(jù)。
5.信息管理
項(xiàng)目招標(biāo)階段的信息管理內(nèi)容如下:
(1)監(jiān)理機(jī)構(gòu)應(yīng)與業(yè)主單位及相關(guān)單位建立信息溝通機(jī)制,保持各方對(duì)項(xiàng)目目標(biāo)、范圍和業(yè)務(wù)需求等理解的一致性;
(2)監(jiān)理機(jī)構(gòu)應(yīng)向業(yè)主單位提供與項(xiàng)目建設(shè)有關(guān)的法律、法規(guī)和標(biāo)準(zhǔn)等信息;
(3)監(jiān)理機(jī)構(gòu)應(yīng)妥善管理項(xiàng)目招標(biāo)階段所產(chǎn)生的與監(jiān)理相關(guān)的文檔資料,包括需求說明、招投標(biāo)文件和監(jiān)理文檔等;
(4)監(jiān)理機(jī)構(gòu)應(yīng)向業(yè)主單位和承建單位明確應(yīng)提交的文檔要求。
6.項(xiàng)目招標(biāo)階段的協(xié)調(diào)
項(xiàng)目招標(biāo)階段的協(xié)調(diào)內(nèi)容如下:
(1)監(jiān)理機(jī)構(gòu)應(yīng)與業(yè)主單位確定相互間工作協(xié)調(diào)的機(jī)制;
(2)項(xiàng)目合同簽訂后,業(yè)主單位與承建單位有關(guān)項(xiàng)目的協(xié)調(diào)工作由監(jiān)理機(jī)構(gòu)按照業(yè)主單位要求進(jìn)行。
7.產(chǎn)出物要求
監(jiān)理成果物要求包括但不限于:監(jiān)理周報(bào)、會(huì)議紀(jì)要、合同審核意見、項(xiàng)目聯(lián)系單、各環(huán)節(jié)監(jiān)理意見、溝通機(jī)制、文檔要求等。
(三)項(xiàng)目設(shè)計(jì)階段監(jiān)理工作內(nèi)容
1.質(zhì)量控制
(1)監(jiān)理機(jī)構(gòu)應(yīng)建議業(yè)主單位和承建單位充分考慮目標(biāo)系統(tǒng)與現(xiàn)有系統(tǒng)的兼容性和互操作性;
(2)監(jiān)理機(jī)構(gòu)應(yīng)審核設(shè)計(jì)文件與項(xiàng)目需求的符合性;項(xiàng)目關(guān)鍵技術(shù)的實(shí)現(xiàn)方法、流程及技術(shù)保障措施的合理性;項(xiàng)目實(shí)施的質(zhì)量保證措施的可行性、合理性及其文檔的完整性;
(3)監(jiān)理機(jī)構(gòu)應(yīng)協(xié)助業(yè)主單位組織專業(yè)人員初審項(xiàng)目設(shè)計(jì)方案,審核后,簽署監(jiān)理審核意見。
2.進(jìn)度控制
(1)承建單位提交項(xiàng)目進(jìn)度計(jì)劃報(bào)審表后,應(yīng)審核項(xiàng)目進(jìn)度計(jì)劃的可行性、合理性和各階段工作成果的判定依據(jù)及其可操作性,審核后簽署監(jiān)理審核意見;
(2)監(jiān)理機(jī)構(gòu)應(yīng)根據(jù)承建單位項(xiàng)目進(jìn)度計(jì)劃,確定階段性進(jìn)度監(jiān)督、控制的措施及方法,作為監(jiān)理細(xì)則的內(nèi)容。
3.投資控制
(1)監(jiān)理機(jī)構(gòu)應(yīng)依據(jù)招投標(biāo)文件、建設(shè)合同,審核項(xiàng)目計(jì)劃、設(shè)計(jì)方案中所說明的建設(shè)目標(biāo)、范圍、內(nèi)容、產(chǎn)品和服務(wù),對(duì)可能的投資變化,向采購人提出監(jiān)理意見;
(2)監(jiān)理機(jī)構(gòu)應(yīng)控制設(shè)計(jì)變更,變更應(yīng)由三方達(dá)成共識(shí),并做備忘錄。
4.合同管理
(1)監(jiān)理機(jī)構(gòu)應(yīng)及時(shí)處理采購人或承建單位合同變更的申請(qǐng),協(xié)助保持合同、協(xié)議及其附件內(nèi)容的實(shí)效性、一致性;
(2)監(jiān)理機(jī)構(gòu)應(yīng)及時(shí)會(huì)同采購人和承建單位對(duì)合同的變更做備忘錄。
5.信息管理
(1)監(jiān)理機(jī)構(gòu)應(yīng)與業(yè)主單位、承建單位建立信息溝通機(jī)制,并要求各方在項(xiàng)目工作中貫徹執(zhí)行;
(2)監(jiān)理機(jī)構(gòu)應(yīng)對(duì)設(shè)計(jì)階段三方共同參與的過程和活動(dòng)做項(xiàng)目備忘錄并由三方簽認(rèn);
(3)監(jiān)理機(jī)構(gòu)應(yīng)要求業(yè)主單位和承建單位妥善保管有關(guān)的文檔資料;
(4)監(jiān)理機(jī)構(gòu)應(yīng)妥善保管項(xiàng)目設(shè)計(jì)階段的文檔,如項(xiàng)目計(jì)劃、設(shè)計(jì)方案及監(jiān)理文檔,并監(jiān)督檢查項(xiàng)目文檔的時(shí)效性和可用性;
(5)監(jiān)理機(jī)構(gòu)應(yīng)對(duì)項(xiàng)目中各方提出保密要求的信息實(shí)施保密,尊重各方的知識(shí)產(chǎn)權(quán)。
6.協(xié)調(diào)
(1)監(jiān)理機(jī)構(gòu)應(yīng)與采購人、承建單位確定設(shè)計(jì)階段的協(xié)調(diào)形式和方法,如監(jiān)理例會(huì)和專題會(huì)議等,并在項(xiàng)目過程中執(zhí)行;
(2)監(jiān)理機(jī)構(gòu)應(yīng)協(xié)調(diào)采購人調(diào)動(dòng)適當(dāng)?shù)馁Y源,配合承建單位完成設(shè)計(jì)前期的調(diào)研工作;
(3)監(jiān)理機(jī)構(gòu)應(yīng)對(duì)設(shè)計(jì)階段出現(xiàn)的變更提出監(jiān)理意見,協(xié)調(diào)采購人和承建單位達(dá)成一致;
(4)監(jiān)理機(jī)構(gòu)應(yīng)對(duì)協(xié)調(diào)結(jié)果做備忘錄。
7.產(chǎn)出物要求
監(jiān)理成果物要求包括但不限于:監(jiān)理周報(bào)、會(huì)議紀(jì)要、設(shè)計(jì)文檔類監(jiān)理審核意見、監(jiān)理工作聯(lián)系函、監(jiān)理通知單、項(xiàng)目備忘錄。
(四)項(xiàng)目實(shí)施階段監(jiān)理工作內(nèi)容
1.質(zhì)量控制
(1)監(jiān)理機(jī)構(gòu)應(yīng)審核承建單位提交的質(zhì)量管理計(jì)劃申報(bào)表并簽署意見;
(2)監(jiān)理機(jī)構(gòu)應(yīng)組織采購人、承建單位召開項(xiàng)目實(shí)施準(zhǔn)備會(huì)議,做出會(huì)議紀(jì)要,并經(jīng)三方簽認(rèn);
(3)監(jiān)理機(jī)構(gòu)應(yīng)組織審核承建單位提交的實(shí)施方案從實(shí)施方案與法律、法規(guī)和標(biāo)準(zhǔn)的符合性;實(shí)施方案的合理性和可行性;實(shí)施方案與合同、設(shè)計(jì)方案和實(shí)施計(jì)劃的符合性;項(xiàng)目實(shí)施的組織機(jī)構(gòu)和人員配置是否滿足項(xiàng)目建設(shè)需求等方面把關(guān)出具監(jiān)理審核意見;
(4)監(jiān)理機(jī)構(gòu)對(duì)承建單位提供的產(chǎn)品及服務(wù)進(jìn)行驗(yàn)收,對(duì)驗(yàn)收結(jié)果作記錄,并經(jīng)三方簽認(rèn);
(5)監(jiān)理機(jī)構(gòu)應(yīng)檢查承建單位項(xiàng)目實(shí)施狀況、人員與實(shí)施方案的一致性;
(6)監(jiān)理機(jī)構(gòu)應(yīng)執(zhí)行階段性質(zhì)量監(jiān)督和控制,并做監(jiān)理日志;
(7)監(jiān)理機(jī)構(gòu)應(yīng)及時(shí)處理承建單位提交的關(guān)鍵環(huán)節(jié)的實(shí)施申請(qǐng),審核其合理性后簽認(rèn)并報(bào)采購人批準(zhǔn);
(8)監(jiān)理機(jī)構(gòu)應(yīng)審核項(xiàng)目變更申請(qǐng),保證項(xiàng)目總體不受影響;
(9)監(jiān)理機(jī)構(gòu)應(yīng)處理實(shí)施項(xiàng)目出現(xiàn)的各種質(zhì)量事故;
(10)監(jiān)理機(jī)構(gòu)應(yīng)在實(shí)施過程中,如發(fā)現(xiàn)存在重大質(zhì)量隱患,應(yīng)及時(shí)向承建單位簽發(fā)停工令,并報(bào)采購人。
2.進(jìn)度控制
(1)監(jiān)理機(jī)構(gòu)應(yīng)審核承建單位提交的項(xiàng)目實(shí)施計(jì)劃的合理性及實(shí)施計(jì)劃報(bào)審表,并簽署審核意見;
(2)監(jiān)理機(jī)構(gòu)應(yīng)審核承建單位提交的開工申請(qǐng),并檢查項(xiàng)目準(zhǔn)備情況,簽發(fā)開工令報(bào)采購人簽認(rèn),通知承建單位開始實(shí)施項(xiàng)目;
(3)監(jiān)理機(jī)構(gòu)應(yīng)審核承建單位提交的階段性進(jìn)度計(jì)劃報(bào)審表;
(4)監(jiān)理機(jī)構(gòu)應(yīng)定期檢查項(xiàng)目的實(shí)施進(jìn)度情況,確保實(shí)際進(jìn)度與計(jì)劃的一致性,并及時(shí)處理項(xiàng)目延期申請(qǐng);
(5)監(jiān)理機(jī)構(gòu)應(yīng)審查進(jìn)度糾偏措施的合理性、可行性,簽發(fā)監(jiān)理通知單,報(bào)采購人,并要求承建單位按計(jì)劃進(jìn)行修改。
3.投資控制
(1)監(jiān)理機(jī)構(gòu)應(yīng)審核承建單位提交的項(xiàng)目階段性報(bào)告和付款申請(qǐng),簽發(fā)項(xiàng)目款支付意見,報(bào)采購人簽認(rèn);
(2)監(jiān)理機(jī)構(gòu)應(yīng)審查項(xiàng)目的質(zhì)量、進(jìn)度和投資等方面的變更,并做項(xiàng)目備忘錄;
(3)監(jiān)理機(jī)構(gòu)應(yīng)及時(shí)處理各種索賠申請(qǐng)。
4.合同管理
(1)監(jiān)理機(jī)構(gòu)應(yīng)監(jiān)督合同執(zhí)行情況,定期向承建單位、采購人提交監(jiān)理報(bào)告;
(2)監(jiān)理機(jī)構(gòu)應(yīng)根據(jù)實(shí)際情況,參考變更文件及其他有關(guān)資料,按照建設(shè)合同的有關(guān)條款,對(duì)項(xiàng)目變更范圍、內(nèi)容、實(shí)施難度以及變更的投資和工期做出評(píng)估,處理項(xiàng)目實(shí)施中的各種變更并報(bào)采購人批準(zhǔn);
(3)監(jiān)理機(jī)構(gòu)應(yīng)及時(shí)協(xié)調(diào)合同糾紛,公正地調(diào)查分析,提出監(jiān)理意見。
5.信息管理
(1)監(jiān)理機(jī)構(gòu)應(yīng)妥善管理實(shí)施階段中所產(chǎn)生的開工令、停工令、監(jiān)理通知、監(jiān)理日志和項(xiàng)目備忘錄等資料;
(2)監(jiān)理機(jī)構(gòu)應(yīng)對(duì)項(xiàng)目實(shí)施階段三方共同參與的過程和活動(dòng)做項(xiàng)目備忘錄,并由三方確認(rèn);
(3)監(jiān)理機(jī)構(gòu)應(yīng)監(jiān)督采購人和承建單位按照既定的要求編制和管理項(xiàng)目文檔。
6.協(xié)調(diào)
(1)監(jiān)理機(jī)構(gòu)應(yīng)與采購人和承建單位共同建立實(shí)施階段協(xié)調(diào)的機(jī)制;
(2)監(jiān)理機(jī)構(gòu)應(yīng)及時(shí)組織專題會(huì)議,解決專項(xiàng)問題,做出會(huì)議紀(jì)要,并提交采購人和承建單位;
(3)監(jiān)理機(jī)構(gòu)應(yīng)協(xié)調(diào)采購人和承建單位對(duì)項(xiàng)目變更的范圍和內(nèi)容等達(dá)成一致性;
(4)監(jiān)理機(jī)構(gòu)應(yīng)協(xié)調(diào)采購人和承建單位對(duì)索賠意見達(dá)成一致;
(5)監(jiān)理機(jī)構(gòu)應(yīng)協(xié)調(diào)采購人配合承建單位的項(xiàng)目實(shí)施。
7.產(chǎn)出物要求
監(jiān)理成果物要求包括但不限于:開工令、復(fù)工令、停工令、項(xiàng)目款支付證書、監(jiān)理周報(bào)、會(huì)議紀(jì)要、監(jiān)理月報(bào)、實(shí)施文檔類監(jiān)理審核意見、監(jiān)理工作聯(lián)系函、監(jiān)理通知單、項(xiàng)目備忘錄、設(shè)施設(shè)備驗(yàn)貨臺(tái)賬、設(shè)備加電檢查記錄、專項(xiàng)項(xiàng)目監(jiān)理報(bào)告等。
(五)項(xiàng)目驗(yàn)收階段監(jiān)理的工作內(nèi)容
1.質(zhì)量控制
(1)監(jiān)理機(jī)構(gòu)應(yīng)及時(shí)處理承建單位提交的初驗(yàn)申請(qǐng),審核初驗(yàn)的必備條件,簽認(rèn)后報(bào)采購人簽認(rèn);
(2)監(jiān)理機(jī)構(gòu)應(yīng)協(xié)助采購人審核承建單位驗(yàn)收計(jì)劃及方案,明確驗(yàn)收目標(biāo)、各方責(zé)任、驗(yàn)收內(nèi)容、驗(yàn)收標(biāo)準(zhǔn)、驗(yàn)收方式和驗(yàn)收結(jié)果等內(nèi)容,審核后簽署意見;
(3)監(jiān)理機(jī)構(gòu)應(yīng)協(xié)助采購人對(duì)初驗(yàn)中發(fā)現(xiàn)的質(zhì)量問題進(jìn)行評(píng)估,并確定整改要求和驗(yàn)收方式;以監(jiān)理通知單告知承建單位。必要時(shí)組織重驗(yàn);
(4)監(jiān)理機(jī)構(gòu)應(yīng)敦促承建單位根據(jù)整改要求提出整改方案,并監(jiān)督整改過程;
(5)監(jiān)理機(jī)構(gòu)應(yīng)與采購人和承建單位共同對(duì)初驗(yàn)結(jié)果進(jìn)行確認(rèn),并共同簽署初驗(yàn)合格報(bào)告;
(6)監(jiān)理機(jī)構(gòu)應(yīng)監(jiān)督系統(tǒng)的試運(yùn)行;敦促承建單位解決試運(yùn)行出現(xiàn)的各種質(zhì)量問題;
(7)監(jiān)理機(jī)構(gòu)應(yīng)協(xié)助采購人組織項(xiàng)目驗(yàn)收;
(8)監(jiān)理機(jī)構(gòu)應(yīng)對(duì)項(xiàng)目中的關(guān)鍵性技術(shù)指標(biāo),要求承建單位出具第三方測試機(jī)構(gòu)的測試報(bào)告,第三方測試機(jī)構(gòu)應(yīng)由采購人和監(jiān)理機(jī)構(gòu)同意;
(9)監(jiān)理機(jī)構(gòu)應(yīng)督促承建單位完成項(xiàng)目實(shí)施方案中確定的培訓(xùn),并對(duì)培訓(xùn)進(jìn)行評(píng)估。
2.進(jìn)度控制
(1)監(jiān)理機(jī)構(gòu)應(yīng)對(duì)驗(yàn)收階段進(jìn)度安排提出監(jiān)理意見;
(2)監(jiān)理機(jī)構(gòu)應(yīng)審核承建單位初驗(yàn)、終驗(yàn)和項(xiàng)目整改計(jì)劃的可行性,并以通知單的形式告知采購人和承建單位;
(3)監(jiān)理機(jī)構(gòu)應(yīng)要求采購人和承建單位以初驗(yàn)合格報(bào)告作為啟動(dòng)試運(yùn)行的依據(jù),以終驗(yàn)報(bào)告作為項(xiàng)目驗(yàn)收結(jié)束的依據(jù)。
3.投資控制
(1)監(jiān)理機(jī)構(gòu)應(yīng)審核承建單位提交的階段性付款申請(qǐng),并根據(jù)合同規(guī)定簽發(fā)項(xiàng)目支付意見;
(2)監(jiān)理機(jī)構(gòu)應(yīng)協(xié)助采購人進(jìn)行項(xiàng)目結(jié)算。
4.合同管理
(1)監(jiān)理機(jī)構(gòu)應(yīng)及時(shí)向采購人、承建單位通報(bào)建設(shè)合同、協(xié)議及相關(guān)變更所規(guī)定項(xiàng)目內(nèi)容的執(zhí)行情況,提出監(jiān)理意見;
(2)監(jiān)理機(jī)構(gòu)應(yīng)協(xié)助采購人和承建單位簽署其他補(bǔ)充協(xié)議。
5.信息管理
(1)監(jiān)理機(jī)構(gòu)應(yīng)管理項(xiàng)目驗(yàn)收階段文檔;
(2)監(jiān)理機(jī)構(gòu)應(yīng)敦促采購人、承建單位按照事先約定,編制、簽署和妥善保存驗(yàn)收階段的項(xiàng)目文檔;
(3)監(jiān)理機(jī)構(gòu)應(yīng)督促采購人、承建單位及時(shí)整理項(xiàng)目文檔;
(4)監(jiān)理機(jī)構(gòu)應(yīng)整理與項(xiàng)目有關(guān)的全部監(jiān)理文檔,并提交采購人。
6.協(xié)調(diào)
(1)監(jiān)理機(jī)構(gòu)應(yīng)協(xié)調(diào)采購人和承建單位在驗(yàn)收計(jì)劃、驗(yàn)收目標(biāo)、驗(yàn)收范圍、驗(yàn)收內(nèi)容、驗(yàn)收方法和驗(yàn)收標(biāo)準(zhǔn)等方面的一致性,填報(bào)項(xiàng)目備忘錄,并經(jīng)三方簽認(rèn);
(2)監(jiān)理機(jī)構(gòu)應(yīng)協(xié)調(diào)采購人配合驗(yàn)收階段的工作;
(3)監(jiān)理機(jī)構(gòu)應(yīng)及時(shí)填報(bào)驗(yàn)收階段的項(xiàng)目備忘錄,并經(jīng)三方簽認(rèn);
(4)監(jiān)理機(jī)構(gòu)應(yīng)協(xié)助采購人和承建單位完成項(xiàng)目文檔整理歸檔和移交工作。
7.產(chǎn)出物要求
監(jiān)理成果物要求包括但不限于:復(fù)工令、停工令、項(xiàng)目款支付證書、監(jiān)理周報(bào)、會(huì)議紀(jì)要、監(jiān)理月報(bào)、實(shí)施文檔類監(jiān)理審核意見、監(jiān)理工作聯(lián)系函、監(jiān)理通知單、項(xiàng)目備忘錄、設(shè)施設(shè)備驗(yàn)貨臺(tái)賬、設(shè)備加電檢查記錄、專項(xiàng)項(xiàng)目監(jiān)理報(bào)告、測試記錄、初驗(yàn)報(bào)告、試運(yùn)行報(bào)告、完工移交書、項(xiàng)目竣工報(bào)告。
(六)售后服務(wù)要求
在規(guī)定的項(xiàng)目質(zhì)量保修期限內(nèi),負(fù)責(zé)檢查項(xiàng)目質(zhì)量狀況,組織鑒定質(zhì)量問題責(zé)任,督促責(zé)任單位維修或整改。
六、監(jiān)理團(tuán)隊(duì)要求
要求監(jiān)理單位具有較強(qiáng)的實(shí)力,并能統(tǒng)攬全局,能有效地組織、協(xié)調(diào)、監(jiān)管項(xiàng)目實(shí)施過程中各方面的工作,使本項(xiàng)目質(zhì)量達(dá)到一流水平,工期得到保證,成本得到控制。
要求針對(duì)2021年四川省環(huán)境信息化項(xiàng)目設(shè)立總監(jiān)1名,總監(jiān)代表1名,長駐現(xiàn)場監(jiān)理工程師1名,文檔管理員1名,各項(xiàng)目集中調(diào)研、開發(fā)測試、階段性驗(yàn)收準(zhǔn)備時(shí)應(yīng)增加駐場人數(shù),確保滿足各項(xiàng)目同時(shí)推進(jìn)的要求。
現(xiàn)場服務(wù)的項(xiàng)目總監(jiān)和長駐現(xiàn)場監(jiān)理工程師需和投標(biāo)文件響應(yīng)一致,接受業(yè)主單位考勤管理,不得更換,如出現(xiàn)不可抗力原因需更換的,必須向采購人提交書面申請(qǐng),并詳細(xì)說明更換的原因、替代人員的資質(zhì)等,經(jīng)采購人書面同意后,方可更換。
1、項(xiàng)目監(jiān)理部須編制監(jiān)理規(guī)劃,應(yīng)包含目標(biāo)規(guī)劃、動(dòng)態(tài)控制措施、監(jiān)理紀(jì)律守則和人員的定崗、職責(zé)等;根據(jù)建設(shè)方確定的項(xiàng)目分組情況,配置固定專門的監(jiān)理人員。
2、參加項(xiàng)目的總監(jiān)必須具備五年以上監(jiān)理工作經(jīng)驗(yàn),并具有高級(jí)項(xiàng)目管理執(zhí)業(yè)資格。
3、項(xiàng)目監(jiān)理部及其人員需自行配備交通、通信、生活、辦公、檢測等設(shè)備、設(shè)施或儀表,以確保監(jiān)理工作的順利實(shí)施。
4、項(xiàng)目監(jiān)理部須協(xié)助業(yè)主收集、整理、歸納項(xiàng)目資料,并且形成電子文檔。
5、從事項(xiàng)目監(jiān)理活動(dòng)能遵循“守法、誠信、公正、科學(xué)”的準(zhǔn)則。
6、監(jiān)理單位應(yīng)根據(jù)項(xiàng)目情況,制定適宜的表格來加強(qiáng)對(duì)設(shè)計(jì)、實(shí)施、驗(yàn)收的控制力度,包括但不限于如下方面:
針對(duì)關(guān)鍵環(huán)節(jié),制定項(xiàng)目進(jìn)度計(jì)劃詳表,在監(jiān)理規(guī)劃中報(bào)送;
監(jiān)理周報(bào)、月報(bào);
主要工作量記錄表,在監(jiān)理月報(bào)中報(bào)送;
安全情況記錄表,在監(jiān)理周報(bào)中報(bào)送;
其它現(xiàn)場驗(yàn)收表格。
我部自年月成立以來,能夠緊緊圍繞聯(lián)社發(fā)展目標(biāo),有序開展各項(xiàng)工作,立足于聯(lián)社系統(tǒng)內(nèi)電子化設(shè)備的正常管理,做好綜合業(yè)務(wù)系統(tǒng)、信貸管理系統(tǒng)、報(bào)表管理系統(tǒng)的維護(hù)工作,確保計(jì)算機(jī)系統(tǒng)安全運(yùn)行,強(qiáng)化科技支撐,加強(qiáng)網(wǎng)絡(luò)管理,為聯(lián)社又好又快發(fā)展提供安全、快捷、優(yōu)質(zhì)的科技信息服務(wù)。現(xiàn)對(duì)本部門的工作回報(bào)如下。
一、完善制度,規(guī)范聯(lián)社科技管理流程
為確保聯(lián)社科技信息安全、穩(wěn)定運(yùn)行,我部繼續(xù)完善和補(bǔ)充聯(lián)社的科技管理制度,對(duì)聯(lián)社金融科技的發(fā)展、建設(shè)、服務(wù)、管理等工作進(jìn)行全面細(xì)化、規(guī)范。一是制定了計(jì)算機(jī)管理辦法,涵蓋了機(jī)房管理、計(jì)算機(jī)安全管理、自動(dòng)柜員機(jī)管理、卡業(yè)務(wù)管理、計(jì)算機(jī)保密管理、監(jiān)控設(shè)備管理等方面內(nèi)容;二是制定了綜合業(yè)務(wù)系統(tǒng)和柜員管理辦法。通過制度建設(shè),建立了有效的督促約束機(jī)制,進(jìn)一步完善了聯(lián)社內(nèi)控管理,規(guī)范了柜員操作,有效防范了制度管理風(fēng)險(xiǎn)。
二、強(qiáng)化管理,確保業(yè)務(wù)系統(tǒng)安全穩(wěn)定運(yùn)行
隨著應(yīng)用系統(tǒng)和新產(chǎn)品的不斷增多,保障各項(xiàng)系統(tǒng)安全、平穩(wěn)運(yùn)行成為我部的基本工作任務(wù),我部始終把計(jì)算機(jī)系統(tǒng)安全運(yùn)行管理擺在工作的首位,加大了對(duì)硬件運(yùn)行的技術(shù)支持和系統(tǒng)運(yùn)維管理力度,各項(xiàng)系統(tǒng)運(yùn)行平穩(wěn),運(yùn)行質(zhì)量明顯有所提高,一方面保障了基層個(gè)網(wǎng)點(diǎn)的正常營業(yè),另一方面有效防范了操作風(fēng)險(xiǎn),至目前沒有發(fā)生一起重大計(jì)算機(jī)安全責(zé)任事故。一是實(shí)施了計(jì)算機(jī)安全生產(chǎn)責(zé)任制,實(shí)行重大責(zé)任事故責(zé)任追究制。對(duì)聯(lián)社中心機(jī)房明確專人管理,對(duì)基層網(wǎng)點(diǎn)進(jìn)行了工程師的分工包片,責(zé)作到人,切實(shí)保障了系統(tǒng)、設(shè)備的安全。二是針對(duì)以前業(yè)務(wù)核心系統(tǒng)運(yùn)行中存在的問題,及時(shí)反饋到省中心,進(jìn)一步完善了系統(tǒng)功能,提高了系統(tǒng)應(yīng)用水平。三是更新了網(wǎng)絡(luò)通信線路,與電信聯(lián)合對(duì)全縣所有機(jī)構(gòu)的網(wǎng)絡(luò)線路進(jìn)行了升級(jí)改造,統(tǒng)一安裝了2M光纖,明顯提高了業(yè)務(wù)辦理速度。四是對(duì)駐城網(wǎng)點(diǎn)進(jìn)行了前置機(jī)后移,將這些網(wǎng)點(diǎn)的前置機(jī)全部歸并社中心機(jī)房。
三、強(qiáng)化服務(wù),提供優(yōu)質(zhì)技術(shù)和業(yè)務(wù)支持
一是成立二級(jí)管理中心對(duì)全縣綜合業(yè)務(wù)系統(tǒng)進(jìn)行專項(xiàng)維護(hù),中心人員執(zhí)行每周7天工作制,對(duì)基層業(yè)務(wù)操作中遇到的賬務(wù)問題及時(shí)解決,2個(gè)月來共處理問題300多筆,每天在保證所有基層業(yè)務(wù)系統(tǒng)正常簽退后才離崗。二是做好基層業(yè)務(wù)設(shè)備硬件維護(hù)保養(yǎng)工作,對(duì)因長期使用老化的計(jì)算機(jī)、打印機(jī)等業(yè)務(wù)設(shè)備做到定期保養(yǎng),有損壞的立即調(diào)劑更換,集中修理,對(duì)因業(yè)務(wù)發(fā)展需要增加設(shè)備的單位,能夠上門安裝到位,保證了基層柜面業(yè)務(wù)的正常辦理,沒有發(fā)生一起因設(shè)備原因造成業(yè)務(wù)中斷事件。三是積極協(xié)助監(jiān)保部做好監(jiān)控設(shè)備的維護(hù)工作,對(duì)故障能夠立即督促維保單位進(jìn)行排除,對(duì)達(dá)不到安全保衛(wèi)要求的立即提出整改方案。四是做好聯(lián)社機(jī)關(guān)辦公設(shè)備的維護(hù)工作,對(duì)機(jī)關(guān)各部門的辦公設(shè)備保障能夠隨叫隨辦。
四、高效快捷,為聯(lián)社提供準(zhǔn)確的統(tǒng)計(jì)數(shù)據(jù)
一是做好項(xiàng)目電報(bào),明確專人每天提前上班導(dǎo)出數(shù)據(jù)、統(tǒng)計(jì)分析,為聯(lián)社領(lǐng)導(dǎo)提供科學(xué)的決策依據(jù)。二是做好基層員工協(xié)儲(chǔ)臺(tái)賬下發(fā),能夠每天下發(fā)全縣員工組織資金考核臺(tái)賬,提高了全縣員工考核的透明度。三是做好信貸電子數(shù)據(jù)的導(dǎo)出工作,能夠按月導(dǎo)出并傳送業(yè)務(wù)拓展部和風(fēng)險(xiǎn)控制部。四是配合稽核審計(jì)部做好工資考核工作,每月月初及時(shí)統(tǒng)計(jì)業(yè)務(wù)量、現(xiàn)金流量、定期提前支取的數(shù)據(jù),送交稽核部考核兌現(xiàn)。
五、不斷創(chuàng)新,力撐中間業(yè)務(wù)健康快速發(fā)展
中間業(yè)務(wù)對(duì)我縣聯(lián)社的存款份額、經(jīng)營收入的貢獻(xiàn)率越來越大,我部能夠首先做好傳統(tǒng)的國稅代扣、財(cái)政集中支付、工資的系統(tǒng)保障和業(yè)務(wù)輔導(dǎo),確保能夠滿足財(cái)政、國稅等大客戶的需求,使得聯(lián)社財(cái)政性存款、工資性存款逐年上升;其次為進(jìn)一步推廣圓鼎卡,增加市場份額和卡業(yè)務(wù)手續(xù)費(fèi)收入,我部按照照聯(lián)社決策按排,一方面迅速安裝了18臺(tái)ATM自動(dòng)柜員機(jī),改善用卡環(huán)境,并對(duì)基層業(yè)務(wù)骨干進(jìn)行操作培訓(xùn),安裝使用后能夠經(jīng)常督促維保單位進(jìn)行日常保養(yǎng),保證了ATM良好的使用狀態(tài),受到了用卡客戶的好評(píng)。另一方面主動(dòng)協(xié)助業(yè)務(wù)拓展部,開展駐城商鋪POS消費(fèi)刷卡機(jī)的安裝,至目前共安裝了27臺(tái),并且使用狀良很好,提升了聯(lián)社的知名度。
六、求真務(wù)實(shí),扎實(shí)做好電子設(shè)備采購工作
設(shè)備采購申請(qǐng)對(duì)照聯(lián)社采購管理辦法,以避免資源重復(fù)配置與浪費(fèi)為原則,嚴(yán)格技術(shù)把關(guān)。對(duì)需招標(biāo)采購的,扎實(shí)做好前期準(zhǔn)備,認(rèn)真審查招標(biāo)文件中的設(shè)備配置,保證合同中權(quán)利、義務(wù)條款最大限度地維護(hù)聯(lián)社利益,選擇“產(chǎn)品優(yōu)秀、服務(wù)優(yōu)質(zhì)、價(jià)格優(yōu)惠”的供應(yīng)商進(jìn)行招標(biāo);對(duì)不需招標(biāo)采購的,能夠積極協(xié)助財(cái)務(wù)、監(jiān)察、審計(jì)和辦公室進(jìn)行詢價(jià)采購。
2008年,科技信息部將本著以強(qiáng)化科技安全為原則,以服務(wù)基層為職責(zé),做好綜合業(yè)務(wù)、信貸管理、報(bào)表統(tǒng)計(jì)三大系統(tǒng)的維護(hù)工作,加快全縣電子化建設(shè),提高科技應(yīng)用水平,為聯(lián)社又好又快的發(fā)展提供科技保障,現(xiàn)對(duì)做好科技工作提出如下工作意見:
一、總體思路
認(rèn)真貫徹落實(shí)縣聯(lián)社工作會(huì)議精神,以完善制約和監(jiān)督機(jī)制,強(qiáng)化科技安全防范為宗旨;加快科技建設(shè),不斷普及科技應(yīng)用水平,實(shí)現(xiàn)全轄業(yè)務(wù)電子信息化、辦公自動(dòng)化、操作規(guī)化;整合信息資源,在金融服務(wù)創(chuàng)新方面求突破,不斷拓展業(yè)務(wù)品種,以優(yōu)異的科技手段有力支撐我縣聯(lián)社持續(xù)的科學(xué)發(fā)展。
二、工作目標(biāo)
1、嚴(yán)格內(nèi)部管理,確保計(jì)算機(jī)全年安全運(yùn)行無事故。
2、加大系統(tǒng)運(yùn)行維護(hù)力度,確保系統(tǒng)平衡高效運(yùn)行。
3、優(yōu)化用卡環(huán)境,做活中間業(yè)務(wù),提高業(yè)務(wù)競爭力。
4、增強(qiáng)科技人員技術(shù)本領(lǐng),有效提升部門形象。
5、強(qiáng)化業(yè)務(wù)技能培訓(xùn),提高一線人員操作水平。
6、強(qiáng)化網(wǎng)站更新,施行OA系統(tǒng),提升聯(lián)社形象。
7、加大設(shè)備保障力度,確保基層正常營業(yè)。
8、補(bǔ)充管理制度,加強(qiáng)檢查輔導(dǎo),提高科技管理水平。
9、采取有力措施,切實(shí)防范計(jì)算機(jī)突發(fā)風(fēng)險(xiǎn)。
10、積極探索新業(yè)務(wù),努力拓展業(yè)務(wù)品種。
三、主要工作措施
為實(shí)現(xiàn)以上目標(biāo),我部將采取以下措施,精心組織、逐步開展。
1、完善制度,規(guī)范聯(lián)社科技管理流程。
為確保聯(lián)社科技信息安全穩(wěn)定運(yùn)行,我部將繼續(xù)完善和補(bǔ)充聯(lián)社的科技管理制度,對(duì)聯(lián)社金融科技的發(fā)展、建設(shè)、服務(wù)、管理等工作進(jìn)行全面細(xì)化、規(guī)范。準(zhǔn)備建立《電子設(shè)設(shè)管理辦法》、《科技檔案管理辦法》、《計(jì)算機(jī)系統(tǒng)故障處理辦法》、《局域網(wǎng)管理辦法》、《聯(lián)社中心機(jī)房管理辦法》、《科技機(jī)構(gòu)及崗位設(shè)置辦法》等制度。進(jìn)一步完善聯(lián)社內(nèi)控管理,建立有效的督促約束機(jī)制,規(guī)范電子設(shè)備、科技檔案、局域網(wǎng)、中心機(jī)房的管理,進(jìn)一步明確科技人員的崗位職責(zé),有效防范制度管理風(fēng)險(xiǎn)。
2、注重實(shí)效,推動(dòng)各項(xiàng)制度落實(shí)到
在制度建設(shè)時(shí)注重做好以下三個(gè)方面的工作,首先要仔細(xì)研究,字斟句酌,確保有法可依、有章可循。其次要充份調(diào)研,民主討論,確保切合實(shí)際、方便操作。最后狠抓落實(shí),推動(dòng)實(shí)施,確保得到執(zhí)行到位。一是組織培訓(xùn)和學(xué)習(xí),在制度出臺(tái)之后立即組織相關(guān)人員進(jìn)行培訓(xùn)和學(xué)習(xí);二是組織檢查和輔導(dǎo),實(shí)行定期輔導(dǎo)和不定期檢查,輔導(dǎo)時(shí)貫徹“量、質(zhì)”方針,即輔導(dǎo)每月不少于一次,每次不少于一天,力求足“量”;輔導(dǎo)結(jié)果要達(dá)到讓被輔導(dǎo)對(duì)象完全理解、熟練操作,力求足“質(zhì)”。檢查時(shí)貫徹“全、細(xì)、深、實(shí)、糾”五字方針,即:檢查內(nèi)容面面俱到;檢查過程深入細(xì)致,一絲不茍;發(fā)現(xiàn)線索,一查到底,堅(jiān)決不搞下不為例;對(duì)發(fā)現(xiàn)的問題,有證有據(jù);查處的問題及時(shí)督促改正。通過檢查輔導(dǎo),將制度規(guī)定及時(shí)傳達(dá)到基層業(yè)務(wù)一線,普及科技應(yīng)用水平,有效防范操作風(fēng)險(xiǎn)。
3、防患未然,強(qiáng)化突發(fā)事件處置預(yù)案。
在增強(qiáng)抗擊計(jì)算機(jī)突發(fā)性事件能力方面,我部將做好以下五項(xiàng)工作。一是硬件備份,對(duì)縣中心與基層和省中心網(wǎng)絡(luò)實(shí)行電信、聯(lián)通2M光纖雙備份,計(jì)劃對(duì)聯(lián)社中心機(jī)房核心的7206路由器進(jìn)行備份,對(duì)報(bào)表系統(tǒng)、信貸系統(tǒng)、中間業(yè)務(wù)系統(tǒng)的服務(wù)器進(jìn)行備份,配備若干臺(tái)備用主機(jī)和安裝好程序的硬盤,對(duì)聯(lián)社中心機(jī)房和各信用社實(shí)行UPS熱備份;二是實(shí)時(shí)監(jiān)控,首先實(shí)施內(nèi)、外網(wǎng)的物理分離,其次在所有系統(tǒng)安裝防火墻和殺毒軟件,最后在聯(lián)社中心機(jī)房明確專人,在業(yè)務(wù)高峰期隨時(shí)監(jiān)控主機(jī)CPU、內(nèi)存、交換空間、頁面調(diào)度、I/O的負(fù)荷情況,發(fā)現(xiàn)瓶頸環(huán)節(jié)及時(shí)主動(dòng)處理;三是外部溝通,與省中心、電信部門做好溝通,在故障自身不能解決時(shí),能夠迅速得到幫助;四是做好物防,計(jì)劃對(duì)聯(lián)社中心機(jī)房、各信用社機(jī)房深化改造,努力達(dá)到安全合格標(biāo)準(zhǔn),堅(jiān)決達(dá)到防火、防潮、防靜電、防雷擊的要求;五是長期備戰(zhàn),我部所有人員將繼續(xù)執(zhí)行24小時(shí)工作制度,對(duì)全轄系統(tǒng)故障隨叫隨到,并在最短的時(shí)間內(nèi)處置完畢。通過多種措施,能夠有郊防范突發(fā)意外風(fēng)險(xiǎn)。
4、盡心竭力,精心維護(hù)保養(yǎng)硬件設(shè)備。
在終端、辦公電腦,特別是打印機(jī)、監(jiān)控等硬件設(shè)備維護(hù)方面我部將做好以下四項(xiàng)工作。一是主動(dòng)維護(hù)、定期保養(yǎng)基層業(yè)務(wù)設(shè)備,以損壞頻率較高的打印機(jī)為重點(diǎn),按使用單位、型號(hào)、購置日期登記臺(tái)賬,詳細(xì)掌握每臺(tái)設(shè)備動(dòng)態(tài)情況,按新舊程度進(jìn)行每季不少于一次的主動(dòng)上門保養(yǎng),延長使用壽命,有損壞的立即調(diào)劑更換,集中修理,對(duì)已超過使用壽命沒有修理價(jià)值的,及時(shí)淘汰更新,對(duì)因業(yè)務(wù)發(fā)展需要增加設(shè)備的單位,做到上門安裝到位。二是積極協(xié)助監(jiān)察保衛(wèi)部做好監(jiān)控設(shè)備的維護(hù)工作,對(duì)故障立即督促維保單位進(jìn)行排除,對(duì)達(dá)不到安全保衛(wèi)要求的,立即提出切實(shí)可行的整改方案。三是做好聯(lián)社機(jī)關(guān)辦公設(shè)備的維護(hù)工作,對(duì)機(jī)關(guān)各部門辦公設(shè)備的保障做到隨叫隨修。四是嚴(yán)格考核,開展設(shè)備管理競賽活動(dòng),對(duì)能合規(guī)使用的先進(jìn)單位進(jìn)行獎(jiǎng)勵(lì),對(duì)因不按規(guī)定使用設(shè)備的人員進(jìn)行經(jīng)濟(jì)處罰,造成損壞的,堅(jiān)決要求當(dāng)事人進(jìn)行現(xiàn)金賠償。通過優(yōu)質(zhì)維保,堅(jiān)決保證不發(fā)生因硬件損壞影響正常辦理業(yè)務(wù)的情況。
5、嚴(yán)謹(jǐn)務(wù)實(shí),強(qiáng)化二級(jí)管理中心管理職能。
在核心業(yè)務(wù)系統(tǒng)管理和提高一線柜員操作能力方面,我部將做好以下四項(xiàng)工作,一是進(jìn)一步提高維護(hù)速度,對(duì)合規(guī)的賬務(wù)修改、業(yè)務(wù)需求,按照流程到達(dá)我部后,保證在5分鐘之內(nèi)處理完畢。二是進(jìn)一步提高業(yè)務(wù)指導(dǎo)能力,對(duì)基層的業(yè)務(wù)咨詢做到耐心細(xì)致,并舉一反三的進(jìn)行解釋指導(dǎo),對(duì)每次的程序升級(jí)及時(shí)下發(fā)書面通知,傳達(dá)升級(jí)精神,同時(shí)每季下發(fā)一份綜合業(yè)務(wù)系統(tǒng)運(yùn)行簡報(bào),對(duì)新業(yè)務(wù)介紹、新問題注意事項(xiàng)進(jìn)行全縣通報(bào)。三是進(jìn)一步提高業(yè)務(wù)培訓(xùn)力度,計(jì)劃在每個(gè)季度舉辦一期一線柜面青年員工操作實(shí)用技能培訓(xùn)班,推行漢字五筆輸入、規(guī)范輸入指法,實(shí)現(xiàn)數(shù)字小鍵盤和英文大鍵盤的盲打輸入,切實(shí)提高柜面人員業(yè)務(wù)辦理速度。四是進(jìn)一步提高系統(tǒng)操作監(jiān)督力度,從機(jī)房管理入手,直至操作號(hào)、密碼、授權(quán)卡使用和加班監(jiān)督、機(jī)構(gòu)簽退管理等相互制約制度的執(zhí)行,進(jìn)行全方面的監(jiān)督,切實(shí)履行崗位職責(zé)。
6、推陳出新,優(yōu)化開發(fā)中間業(yè)務(wù)外掛程序。
在中間業(yè)務(wù)程序開發(fā)、維護(hù)方面我部將努力做到人無我有、人有我新、人新我優(yōu)。一是對(duì)財(cái)政集中支付、國稅代扣、代收交通罰款程序進(jìn)一步優(yōu)化,不斷提高穩(wěn)定性,同時(shí)將根據(jù)財(cái)政、國稅、公安等客戶的需求,對(duì)程序進(jìn)一步升級(jí)改造,不斷提高適用性。二是進(jìn)一步簡化工資程序,簡便操作過程,方便基層操作。三是適時(shí)開發(fā)各類程序,將根據(jù)業(yè)務(wù)發(fā)展需要,自主開發(fā)適應(yīng)性、針對(duì)性強(qiáng)的程序。通過優(yōu)化開發(fā)各類程序,為業(yè)務(wù)創(chuàng)新提供強(qiáng)有力的技術(shù)支持。
7、循序漸進(jìn),安裝推廣自助銀行和POS機(jī)。
在優(yōu)化用卡環(huán)境,有效推廣圓鼎卡,有力搶占市場份額方面,我部將做好以下六項(xiàng)工作,一是迅速安裝ATM,對(duì)已購置的ATM計(jì)劃在1月底前安裝到位,使得ATM基本履蓋全部網(wǎng)點(diǎn)。二是主動(dòng)協(xié)助業(yè)務(wù)拓展部,開展駐城商鋪POS消費(fèi)刷卡機(jī)的安裝,今年計(jì)劃在人民路、新建路繁華地段的商鋪至少安裝20臺(tái)。三是適時(shí)開展卡積分活動(dòng),準(zhǔn)備在春節(jié)期間開展圓鼎卡刷卡消費(fèi)積分獎(jiǎng)勵(lì)活動(dòng),提高圓鼎卡的使用頻率。四是大力開辦無人自動(dòng)銀行,以為客戶提供晝夜存取款、賬務(wù)查詢、轉(zhuǎn)賬、自動(dòng)繳費(fèi)服務(wù)的自助場所,逐步取代效益低的網(wǎng)點(diǎn)。五是加大培訓(xùn)和維護(hù)力度,對(duì)基層操作人員定期進(jìn)行培訓(xùn),經(jīng)常督促維保單位進(jìn)行日常保養(yǎng),保證ATM良好的使用狀態(tài)。六是搞好宣傳,計(jì)劃利用現(xiàn)有自助銀行的空間,進(jìn)行全縣統(tǒng)一模式的廣告宣傳。通過有效推廣使用圓鼎卡,有效增加卡業(yè)務(wù)手續(xù)費(fèi)收入。
8、提高效率,實(shí)現(xiàn)自動(dòng)無紙化網(wǎng)絡(luò)辦公。
在提高全縣辦公水平和現(xiàn)代化辦公能力,進(jìn)一步提升聯(lián)社對(duì)外形象方面我部將做到,一是加大網(wǎng)站更新力度,今年我部將與聯(lián)社辦公室繼續(xù)共同維護(hù)聯(lián)社網(wǎng)站,及時(shí)刷新主頁,開辦信合論壇,力求辦成象信合369一樣高點(diǎn)擊率的網(wǎng)站,從多方面提升聯(lián)社形象。二是開發(fā)使用OA系統(tǒng),實(shí)行辦公自動(dòng)化,實(shí)現(xiàn)公文流轉(zhuǎn)、數(shù)據(jù)采集、三戶經(jīng)濟(jì)檔案、報(bào)表傳送、信息通知、業(yè)務(wù)咨詢、制度匯編、財(cái)產(chǎn)保管、物資領(lǐng)用、任務(wù)進(jìn)度、考核兌現(xiàn)、檢查通報(bào)、人事教育、企業(yè)文化建設(shè)、黨務(wù)建設(shè)、紀(jì)檢監(jiān)察、工作請(qǐng)示等全部網(wǎng)絡(luò)共享。通過實(shí)現(xiàn)辦公網(wǎng)絡(luò)化,進(jìn)一步促進(jìn)提高整個(gè)聯(lián)社部門的辦事效率。
9、不甘人后,積極摸索現(xiàn)代銀行科技思路。
隨著十七大的順利閉幕,我國經(jīng)濟(jì)社會(huì)發(fā)展進(jìn)入新的階段,金融業(yè)的重要地位和作用更加突出。但隨著外資銀行攜帶的新金融工具、業(yè)務(wù)品種、營銷理念和新服務(wù)手段進(jìn)入中國市場,金融機(jī)構(gòu)之間的競爭日趨激烈,農(nóng)村信用社傳統(tǒng)的金融產(chǎn)品和服務(wù)手段,越來越無法適應(yīng)發(fā)展的新要求。因此,金融創(chuàng)新勢(shì)在必行,只有不斷創(chuàng)新才能持續(xù)健康發(fā)展,才能提高我聯(lián)社的競爭力。在金融創(chuàng)新中科技創(chuàng)新是保障、是基礎(chǔ),所以我部將做到一是加強(qiáng)自身學(xué)習(xí),本著缺什么補(bǔ)什么,干什么學(xué)什么,將來需要什么、現(xiàn)在準(zhǔn)備什么的原則,開展學(xué)習(xí)競賽活動(dòng),做到有計(jì)劃、有筆記、有體會(huì)、有進(jìn)步,提高科技人員的業(yè)務(wù)本領(lǐng)。二是探索新業(yè)務(wù)、做好理論準(zhǔn)備,在項(xiàng)目評(píng)估、公司理財(cái)、信息咨詢、代保管、國際業(yè)務(wù)、貸記信用卡、基金代銷與托管、代客理財(cái)、企業(yè)年金、賬戶管理、網(wǎng)上銀行、VIP客戶服務(wù)、債券代銷等方面做好科技準(zhǔn)備。