时间:2022-09-22 23:34:46
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇信息安全整改方案,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
一、工作目标
依据国家信息安全等级保护制度,遵循相关标准规范,在卫生行业全面开展信息安全等级保护定级备案、建设整改和等级测评等工作,明确信息安全保障重点,落实信息安全责任,建立信息安全等级保护工作长效机制,切实提高卫生行业信息安全防护能力、隐患发现能力、应急处置能力,为卫生信息化健康发展提供可靠保障,全面维护公共利益、社会秩序和国家安全。
二、工作原则
(一)遵循标准,重点保护。遵循国家信息安全等级保护相关标准规范,结合卫生行业信息系统特点,优先保护重要卫生信息系统,优先满足重点信息安全需求。
(二)行业指导,属地管理。卫生行业信息安全等级保护工作实行行业指导、属地管理。地方各级卫生行政部门要按照国家信息安全等级保护制度有关要求,做好本地区卫生信息系统安全等级保护的指导和管理工作。卫生行业各单位要按照“谁主管、谁负责,谁运营、谁负责”的要求,落实信息安全责任。
(三)同步建设,动态完善。在信息系统规划设计与建设过程中,同步开展信息安全等级保护工作。因信息和信息系统的业务类型、应用范围等条件改变导致安全需求发生变化时,应当重新调整信息系统安全保护等级,及时完善安全保障措施。
三、工作机制
地方各级卫生行政部门承担本地卫生信息安全责任,信息化工作领导小组统筹组织本地卫生信息安全等级保护工作。卫生部信息化工作领导小组负责对全国卫生行业信息安全等级保护工作的组织协调、监督指导,并组织开展部机关信息安全等级保护工作。省级、地市级卫生行政部门信息化工作领导小组负责对本地区卫生行业信息安全等级保护工作的组织协调、监督指导,并组织开展本单位信息安全等级保护工作。
卫生部建立信息安全等级保护工作联络员机制,各省级卫生行政部门应当设置信息安全等级保护工作联络员。联络员职责是落实国家信息安全等级保护工作的有关政策和技术标准,掌握本地区信息安全等级保护工作动态和总体情况,代表本地区与卫生部及同级信息安全等级保护管理部门进行日常联系和交流,协调落实本地区信息安全等级保护工作。
卫生部和各省级卫生行政部门应当分别建立信息安全技术专家委员会,参与信息系统定级指导、备案审查、方案论证、安全咨询、安全检查等技术工作。信息安全技术专家委员会应当包含卫生行业、公安机关及信息安全技术等专家。
四、工作任务
(一)定级备案。
1.卫生行业各单位应当对本单位建设与运营的卫生信息系统进行自查,对未定级、定级不准的信息系统,应当按照《信息安全技术信息系统安全等级保护定级指南》开展定级工作。
国家信息安全等级保护制度将信息安全保护等级分为五级:第一级为自主保护级,第二级为指导保护级,第三级为监督保护级,第四级为强制保护级,第五级为专控保护级。以下重要卫生信息系统安全保护等级原则上不低于第三级:
(1)卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生事件应急指挥信息系统等跨省全国联网运行的信息系统;
(2)国家、省、地市三级卫生信息平台,新农合、卫生监督、妇幼保健等国家级数据中心;
(3)三级甲等医院的核心业务信息系统;
(4)卫生部网站系统;
(5)其他经过信息安全技术专家委员会评定为第三级以上(含第三级)的信息系统。
2.拟定为第三级以上(含第三级)的卫生信息系统,应当经信息安全技术专家委员会论证、评审。
3.卫生行业各单位在确定信息系统安全保护等级后,对第二级以上(含第二级)信息系统,应当报属地公安机关及卫生行政部门备案。跨省全国联网运行并由卫生部定级的信息系统,由卫生部报公安部备案;在各地运行、应用的分支系统,应当报属地公安机关备案。
(二)建设与整改。
1.对已确定安全保护等级的第二级以上(含第二级)卫生信息系统,应当按照国家信息安全等级保护工作规范和《信息安全技术信息系统安全等级保护基本要求》等国家标准,开展安全保护现状分析,查找安全隐患及与国家信息安全等级保护标准之间的差距,确定安全需求。
2.根据信息系统安全保护现状分析结果,按照《信息安全技术信息系统安全等级保护基本要求》、《信息安全技术信息系统等级保护安全设计技术要求》等国家标准,制订信息系统安全等级保护建设整改方案。第三级以上(含第三级)卫生信息系统安全建设整改方案应当经信息安全技术专家委员会论证。
3.卫生行业各单位应当按照信息系统安全建设整改方案,完善安全保护设施,建立安全管理制度,落实安全管理措施,形成信息安全技术防护体系和信息安全管理体系,有效保障卫生信息系统安全。
(三)等级测评。
1.系统建设整改工作完成后,应当按照《信息安全等级保护管理办法》要求,从全国信息安全等级保护测评机构推荐目录中选择等级测评机构,对第三级以上(含第三级)卫生信息系统进行等级测评。
2.测评合格后,应当将测评报告报属地公安机关及卫生行政部门备案。
3.应当每年对第三级以上(含第三级)卫生信息系统进行等级测评。对于重要部门的第二级信息系统,可参照上述要求进行等级测评。
(四)宣传培训。
1.各级卫生行政部门信息化工作领导小组应当对本地区各级各类医疗卫生机构开展等级保护政策和标准规范培训,提高各单位信息安全管理人员的技术能力和管理水平。
2.卫生行业各单位应当开展内部信息安全培训,提升全员信息安全意识,规范信息安全操作行为,提高信息安全保障能力。
(五)监督检查。
1.卫生部信息化工作领导小组负责督导检查各地医疗卫生机构信息安全等级保护工作落实情况,并督促部机关重要信息系统责任单位开展信息安全等级保护工作。
2.省级卫生行政部门信息化工作领导小组负责督导检查本地区卫生行业各单位信息安全等级保护工作落实情况,并督促本单位开展信息安全等级保护工作。
3.省级卫生行政部门信息化工作领导小组应当于每年年底,向卫生部信息化工作领导小组报送本地区信息系统定级备案、建设整改、等级测评和自查等工作开展情况。
五、工作要求
(一)高度重视,加强领导。卫生行业各单位要高度重视,充分认识信息安全等级保护工作对保护居民健康信息安全、医疗卫生机构正常运转和社会稳定的重要意义。各单位主要负责同志要负总责,分管负责同志要具体抓,明确职责与任务,突出重点,将信息安全等级保护工作列入重要议事日程和工作绩效考核指标,一级抓一级,层层抓落实。
【关键字】 桌面终端 补丁 准入管理 综合网管
防患于未然――这是一句古话。这句话用在信息网络安全中最能体会。
随着信息化建设的逐步深入,网络结构日趋复杂,信息系统趋于多元化,信息安全面临许多问题,如内外网安全、主机安全、应用系统安全、物理环境安全、桌面终端安全成为信息化建设的重中之重。桌面终端任意接入,安全策略得不到统一和有效控制,对资产信息采集统计与远程监控手段不足,用户行为难以控制,存在引发信息安全事件的风险,终端维护成本较高等问题制约和影响着信息化健康持续发展。科学、合理的构建和完善信息安全防护体系成为解决信息安全的有效途径。
如何将信息安全隐患降到最低,如何抵御病毒、黑客的入侵,如何安心使用网络这都是在信息行业中醒目的问题。
桌面安全管理系统是一个完全集成的模块化桌面管理解决方案,可以管理企业所有Windows平台设备。涵盖了策略管理中心、设备管理、远程协助、移动存储介质管理等模块,对信息网络安全起到了重要的作用。
设备和资产管理
随着公司企业的发展,IT产业也在不断扩展,终端设备增加了不少。作为IT管理员,要将不同配置,位置分散的PC机等相关设备进行统一管理,把设备台帐做好做细是件比较费时的事情。
在桌面管理系统里,每新增一台终端设备,不管是PC机还是其他办公设备等,只要设有IP地址,分配了部门,在终端上注册了桌面管理系统,都能在桌面安全管理系统内监测到。并且终端机的详细参数配置、进程、安装软件等都能一目了然,这对设备资产管理有很大的帮助。
远程协助和成本控制管理
桌面管理系统内的远程协助,可以帮助网络管理员远程运维电脑终端,这样不仅降低了故障响应时间也提升信息运维人员的工作效率,还可通过系统内的点对点控制,远程取得计算机的安装程序,应用进程,系统版本等关键资料和使用状况。
远程控制使工程师在任何内网接入的工作场所就能对任何出现的故障做出迅速的反应并处理问题。这方面大大节约了工作人员的时间,降低了运维成本。
桌面管理系统补丁管理
桌面终端管理系统重要的补丁下发功能可为公司内网终端自动下发并安装最新的系统补丁,使系统保持最安全的运行方式,可以根据各种计划任务,或者根据批处理策略统一下发下载补丁。当系统监测到有终端未安装补丁时,可对缺少的补丁进行重新下发。并能够对补丁下载及安装的情况进行查询,避免因病毒侵袭及应用系统漏洞而导致损失。
违规外联准入管理
针对违规外联进行全面整改,不仅出台了公司违规外联事件整改方案,而且在管理上加强力度。一是做到定期病毒及安全使用公告,禁止手机联入内网充电;二是定期开展信息安全知识教育培训,将违规外联原理、违规外联的严重性、可能发生违规外联情况公示;三是全网粘贴内网计算机标签标识,杜绝违规外联误操作。四是违规外联坚决执行公司的规定,惩治力度决不放松。
防非法外联系统在终端连接内网前,通过安装准入系统认证客户端对计算机进行健康状况检查,是否安装防病毒软件,是否安装桌面管理系统,对不满足安全要求的终端禁止分配内网合法IP地址,当用户完成入网的要求后,准入系统会自动识别系统状态并分配合法的内网IP地址,完整用户终端的准入流程,并通过桌面管理系统下发防违规外联IP策略,进一步控制非法外联的发生。
移动存储介质管理
移动存储的随意接入网络或者丢失出现信息数据泄密的都对信息安全造成很大威胁。桌面管理系统内的移动存储管理可大大提高移动存储的安全性。通过桌面终端管理系统能够安全的进行移动存储的管理,防止信息泄密事件的发生,杜绝因移动存储介质泄密对内网安全的威胁。
双数据区交互使用:专用U盘支持交换区和保密区。交换区在分配相同桌面标签的计算机上支持口令登录使用;保密区在分配相同桌面标签的计算机上受限制使用,在不同标签的计算机上无法使用,插入即会报警。
综合以上几个模块的功能,作为管理员能充分体会桌面管理系统在信息网络安全中的起到的强大作用。
参 考 文 献
[1]徐沛沛.统一桌面管理系统建设分析与研究 电力信息化 2012(10)
【 关键词 】 信息安全;等级保护;定性分析;定量分析
【 Abstract 】 Classified protection of information system has been a strong way to protect the important IT system. The current determination of level exist some flaws, such as lack of feasible method to judge the level and quantity analysis. This paper proposes a scheme which composed of both qualitative and quantitative analysis. By taking this scheme, the accuracy of classified protection of information system could be promoted.
【 Keywords 】 information security; classified protection; qualitative analysis; quantitative analysis
1 引言
按照国家相关法律和国家标准,一些重要行业、重要单位需要根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民法人和其他组织的合法权益的危害程度等因素,对重要的信息系统确定其应该达到的安全保护等级(分为五个级别),信息系统安全保护能力随着其被确定的安全保护等级的增高,逐渐增强。在对信息系统进行定级、采取安全防卫措施后,还需要确认该系统是否已经达到相应的保护等级及在未达到的情况下给出整改方案。
按照《中华人民共和国计算机信息系统安全保护条例》、《计算机信息系统安全保护等级划分准则》等法规和标准,信息系统的安全等级保护流程分为:确定等级、安全建设、等级测评、安全整改、安全检查等五个步骤。
2 定级流程
现有方法在定级流程的第二和第三步,即评定定级对象的业务信息安全保护等级和系统服务安全保护等级时,国家标准GB 17859-1999《信息系统安全保护等级定级指南》中建议各行业可根据本行业信息特点和系统服务特点,制定客体被侵害程度的综合评定方法。但现实中缺乏一套通用的准则和方法,因此在评价客体被侵害程度时受到人为因素的影响程度较大,定级过程中人员的主观性强,对定级结果产生不利影响,如果定级不够准确,则将影响该信息系统的后续防护工作,即不能实施与国家标准中匹配的防护强度,给防护带来较大的安全隐患。
本文主要针对现有定级工作定级缺乏可行的准则,定级结果主观成分大,定量不足的缺点,提出一种定性与定量结合的定级方法,提高信息系统的安全保护等级的定级准确性,从而安全建设环节根据定级结果做好重要信息系统的安全防护。
2.1 确定定级对象和受侵害的客体
为了体现重要部分重点保护,有效控制信息安全建设成本,优化信息安全资源配置的等级保护原则,将较大的信息系统划分为若干个较小的、可能具有不同安全保护等级的定级对象。定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织的合法权益。
2.3 确定对客体的侵害程度
(1)侵害的客观方面。由于业务信息安全和系统服务安全受到破坏所侵害的客体和对客体的侵害程度可能会有所不同,在定级过程中,需要分别处理这两种危害方式。(2)综合判定侵害程度。国家标准GB 17859-1999《信息系统安全保护等级定级指南》种,将不同危害后果的三种危害程度描述:一般损害、严重损害、特别严重损害。
2.4 确定定级对象的安全保护等级
根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度,依据业务信息安全保护等级矩阵表,即可得到业务信息安全保护等级。根据系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度,依据系统服务安全保护等级矩阵表,即可得到系统服务安全保护等级。作为定级对象的信息系统的安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者决定。
3 基于层次分析法的定级
本文采用层次分析法来进客体被侵害程度的定量确定。
3.1 建立层次分析模型
建立层次分析模型的过程:首先建立最高层(解决问题的目的);中间层(实现总目标而采取的各种措施、必须考虑的准则等,也可称策略层、约束层、准则层等);以电信业务这一客体被侵害时受到影响必须考虑的因素为例,通常需要考察电信业务的覆盖区域(面积)、该电信业务覆盖范围内的用户人数、区域内业务量(一定时间周期内的用户拨打和接听电话的时间长度)三个指标,需要说明的是,电信业务客体受到侵害需要考虑的不止以上提到的三个因素,在实践中,还可以考虑其他因素。
最低层(用于解决问题的各种措施、方案等,也称为方案层)。备选的方案为国家标准GB 17859-1999《信息系统安全保护等级定级指南》中确定的五个等级,分别是第一级、第二级、第三级、第四级和第五级。
针对确定客体被侵害程度问题建立的层次分析模型如图1所示。
3.2 构造成对比较矩阵
从层次分析模型的第二层开始,对于从属于(或影响)上一层每个因素的同一层诸因素,用成对比较法和1-9比较尺度构建成对比较矩阵,直到最下层。下面结合实例,构造成对比较矩阵。以某地电信部门的电信系统的业务客体被侵害为例,得到三个指标的重要性依次为:区域内业务量>该电信业务区域的用户人数>电信业务区域覆盖范围。在矩阵中令区域业务量为m11,当前可用上传带宽为m22,电信业务区域覆盖范围为m33。
构造一个三阶矩阵Mij(3*3),根据长期积累的经验,其中m12=3,表示区域内业务量相比该电信业务区域的用户人数略重要,m13=5,表示区域内业务量相比电信业务区域覆盖范围重要,m23=3,表示该电信业务区域的用户人数比电信业务区域覆盖范围略重要,从而得到三阶矩阵。
3.3 计算权向量并做一致性检验
要求成对比较矩阵具备一定的一致性即可。由分析可知,对完全一致的成对比较矩阵,其绝对值最大的特征值等于该矩阵的维数。
检验成对比较矩阵M一致性的步骤如下:计算衡量一个成对比矩阵M(n>1阶方阵)不一致程度的指标CI为:
CI=
其中max(M)是矩阵M 的最大特征值,n为矩阵的阶数。
通过计算,λmax为3.0385,特征向量为(0.6370, 0.2583,0.1047),即权重分别为0.637, 0.258和0.104
CI==0.01925
CI=0,有完全的一致性。CI接近于0,有满意的一致性,反之CI越大,不一致越严重
按公式计算成对比较矩阵M 的随机一致性比率CR:
CR=
RI称为平均随机一致性指标,它只与矩阵的阶数有关,可从有关资料查出检验成对比较矩阵M一致性的标准RI。查表得出三阶矩阵对应的RI为0.58,故有:
CR==0.033
判断方法:(1) 当CR
3.4 计算客体被侵害的程度
在计算出每个评价因素的权重后,由于每个评价因素的数值隶属于不同体系,因此要在同一标准体系下进行评价,在本例中,区域是以平方公里为单位,业务受到影响的用户数量以万人为单位,业务量是以万小时/天为单位,在实践中将每个评价因素的实际数值采用Decimal scaling小数定标标准化方法进行归一化,通过归一化因子,将每个评价因素的取值范围限定于[0,1]。
国家标准GB 17859-1999《信息系统安全保护等级定级指南》中将等级保护对象受到破坏后对客体造成侵害的程度归结为三种:a.造成一般损害;b.造成严重损害;c.造成特别严重损害。
定义:损害值D(Oi)为客体Oi被侵害的分值。
:D(Oi)∈(0,0.3],则定义该客体受到的损害为一般损害
∈(0.3,0.8],则定义该客体受到的损害为严重损害
∈(0.8,1],则该客体受到的损害为特别严重损害
实践中,可根据需要调整区间大小。
举例来说,某市某区常住人口为60万,电信业务量为平均80万小时/每天,该区面积为250平方公里,通过归一化公式X'=,其中,j是使得X'落入[0,1]的最小整数。
可计算出:
人口Pg=0.6,电信业务量Tg=0.8,业务覆盖面积Sg=0.25 α=0.6370,β =0.2583 γ=0.1047,将归一化后的三个评价因素,代入公式D(Oi)= αPg+βTg+γSg,求得D(Oi)=0.61。
从定义可以看出,客体受到“严重损害”,该客体属于社会秩序和公众利益范畴,根据业务信息安全保护等级矩阵表,侵害程度为第三级,故该信息系统的业务信息安全等级被定为“三级” 。对该信息系统的系统服务安全等级,可遵循同样的方式计算得到,最后比较两个等级,取最高等级作为最终该信息系统的安全保护等级。
4 结束语
本文针对现有信息系统的安全保护定级工作缺乏可行的定级准则,定级结果较大程度上取决于人的主观感受、定性成分大和定量分析不足的缺点,提出一种定性与定量结合的定级方法,提高信息系统的安全保护等级的定级准确性,从而根据定级结果做好重要信息系统的安全防护。
参考文献
[1] 姜政伟,赵文瑞,刘宇,刘宝旭.基于等级保护的云计算安全评估模型[J]. 计算机科学, 2013(08).
[2] 陈志宾.基于等级保护思想的信息平台安全研究与实现[D].河北工业大学,2012.
[3] 曾颖.医院信息系统等级保护安全体系设计[J].微型电脑应用,2014(03).
[4] 肖国煜.信息系统等级保护测评实践[J].信息网络安全, 2011(07).
[5] 韩岳.高安全等级网站系统服务器安全研究[D].中国人民信息工程大学,2011.
基金项目:
广东省战略性新型产业发展专项资金(高端新型电子信息产业)项目资助(项目编号:2012556028)。
作者简介:
王伟(1983-),男,重庆人,博士;主要研究方向与关注领域:信息安全、云计算。
根据《基本要求》的规定,二级要求的系统防护能力为:信息系统具有抵御一般攻击的能力,能防范常见计算机病毒和恶意代码危害的能力,系统遭受破坏后,具有恢复系统主要功能的能力。数据恢复的能力要求为:系统具有一定的数据备份功能和设备冗余,在遭受破坏后能够在有限的时间内恢复部分功能。按照二级的要求,一般情况下分为技术层面和管理层面的两个层面对信息系统安全进行全面衡量,技术层面主要针对机房的物理条件、安全审计、入侵防范、边界、主机安全审计、主机资源控制、应用资源控制、应用安全审计、通信完整性和数据保密性等多个控制点进行测评,而管理层面主要针对管理制度评审修订、安全管理机构的审核和检查、人员安全管理、系统运维管理、应急预案等方面进行综合评测。其中技术类安全要求按照其保护的侧重点不同分为业务信息安全类(S类)、系统服务安全类(A类)、通用安全防护类(G类)三类。水利信息系统通常以S和G类防护为主,既关注保护业务信息的安全性,又关注保护系统的连续可用性。
2水利科研院所信息安全现状分析
水利科研院所信息系统结构相对简单,在管理制度上基本建立了机房管控制度、人员安全管理制度等,技术上也都基本达到了一级防护的要求。下面以某水利科研单位为例分析。某水利科研单位主机房选址为大楼低层(3层以下),且不临街。机房大门为门禁电磁防盗门,机房内安装多部监控探头。机房内部划分为多个独立功能区,每个功能区均安装门禁隔离。机房铺设防静电地板,且已与大楼防雷接地连接。机房内按照面积匹配自动气体消防,能够对火灾发生进行自动报警,人工干预灭火。机房内已安装温度湿度监控探头,对机房内温湿度自动监控并具有报警功能,机房配备较大功率UPS电源,能够保障关键业务系统在断电后2小时正常工作。机房采用通信线路上走线,动力电路下走线方式。以上物理条件均满足二级要求。网络拓扑结构分为外联区、对外服务区、业务处理区和接入区4大板块,对外服务区部署有VPN网关,外部人员可通过VPN网关进入加密SSL通道访问业务处理区,接入区用户通过认证网关访问互联网。整个网络系统未部署入侵检测(IDS)系统、非法外联检测系统、网络安全审计系统以及流量控制系统。由上述拓扑结构可以看出,现有的安全防护手段可基本保障信息网络系统的安全,但按照二级要求,系统内缺少IDS系统、网络安全审计系统和非法外联检测系统,且没有独立的数据备份区域,给整个信息网安全带来一定的隐患。新的网络系统在外联区边界防火墙下接入了入侵检测系统(IDS),新规划了独立的数据备份区域,在核心交换机上部署了网络审计系统,并在接入区安装了非法外联检测系统。形成了较为完整的信息网络安全防护体系。
3信息系统安全等级测评的内容
3.1信息系统等级保护的总体规划
信息系统从规划到建立是一个复杂漫长的过程,需要做好规划。一般情况下,信息系统的安全规划分为计算机系统、边界区域、通信系统的安全设计。相应的技术测评工作也主要围绕这3个模块展开。
3.2测评的要素
信息系统是个复杂工程,设备的简单堆叠并不能有效保障系统的绝对安全,新建系统应严格按照等保规划设计,已建系统要对信息系统进行安全测试,对于测评不合格项对照整改。信息系统安全测试范围很广,主要在网络安全、主机安全、应用安全、数据安全、物理安全、管理安全六大方面展开测评。本文仅对测评内容要素进行描述,对具体测试方法及工具不作描述。
3.2.1网络安全的测评
水利科研院所网络安全的测评主要参照公安部编制《信息安全等级测评》条件对网络全局、路由和交换设备、防火墙、入侵检测系统展开测评。但应结合科研院所实际有所侧重。水利科研院所信息系统数据传输量大,网络带宽占用比例相对较高,因此,在网络全局中主要测试网络设备是否具备足够的数据处理能力,网络设备资源占用情况,确保网络设备的业务处理能力冗余性。科研院所地理位置相对分散,因此,需要合理的VLAN划分,确保局部网络攻击不会引发全局瘫痪。科研院所拥有大量的研究生,这类人群对于制度的约束相对较差,网络应用多伴有P2P应用,对出口带宽影响极大,因此除了用经济杠杆的手段外,在技术上要求防火墙配置带宽控制策略。同时对“非法接入和外联”行为进行检查。网络中应配置IDS对端口扫描,对木马、后门攻击、网络蠕虫等常见攻击行为监视等等。
3.2.2主机安全测评
主机安全的测评主要对操作系统、数据库系统展开测评。通常水利科研院所服务器种类繁多,从最多见的机架式服务器到曙光一类的大型并行服务器均有部署,同时操作系统有window系列、Linux、Unix、Solaris等多种操作系统,数据库以主流SQLSERVER、ORACLE为主,早期开发的系统还有Sybase,DB2等数据库。对于window操作系统是容易被攻击的重点,因为二级等保为审计级保护所以重点在于身份鉴别、访问控制、安全审计、入侵防范、恶意代码4个方面进行测评,主要审计重要用户行为、系统资源的异常使用和重要信息的命令使用等系统内重要的安全相关事件。对于LINUX等其他系统和数据库,主要审计操作系统和数据库系统的身份标识唯一性,口令应复杂程度以及限制条件等。
3.2.3应用安全测评
水利科研院所内部业务种类繁多,如OA系统,科研管理系统,内部财务系统、网站服务器群,邮件服务器等,测评的重点主要是对这些业务系统逐个测评身份验证,日志记录,访问控制、安全审计等功能。
3.2.4数据安全的测评
数据安全的测评主要就数据的完整性、保密性已及备份和恢复可靠性、时效性展开测评。水利科研院所数据量十分庞大,一般达到上百TB级数据量,一旦遭受攻击,恢复任务十分艰巨,因此备份区和应用区应该选用光纤直连的方式,避免电缆数据传输效率的瓶颈。日常情况下应做好备份计划,采用增量备份的方式实时对数据备份。
3.2.5物理安全测评
机房的物理安全测评主要是选址是否合理,机房大门防火防盗性能,机房的防雷击、防火、防水防潮防静电设施是否完好达标,温湿度控制、电力供应以及电磁防护是否符合规定等物理条件。
3.2.6安全管理测评
安全管理主要就制定的制度文档和记录文档展开评测。制度文档主要分为3类,流程管理,人员管理和设备管理。记录文档主要为制度文档的具体实施形式。在满足二级的条件下,一般需要制度文档有《信息安全管理办法》、《安全组织及职责管理规定》、《安全审核与检查管理制度》、《授权和审批管理规定》、《信息安全制度管理规范》、《内部人员安全管理规定》、《外部人员安全管理规定》、《系统设计和采购安全管理规定》、《系统实施安全管理规定》、《系统测试验收和交付安全管理规定》、《软件开发安全管理规定》、《系统运维和监控安全管理规定》、《网络安全管理规定》、《系统安全管理规定》、《账号密码管理规定》等基本规章制度。同时对管理制度本身进行也要规范管理,如版本控制,评审修订流程等。需要制定的记录文档有《机房出入登记记录》、《机房基础设施维护记录》、《各类评审和修订记录》、《人员考核、审查、培训记录》、《各项审批和批准执行记录》、《产品的测试选型测试结果记录》、《系统验收测试记录报告》、《介质归档查询等的等级记录》、《主机系统,网络,安全设备等的操作日志和维护记录》、《机房日常巡检记录》、《安全时间处理过程记录》、《应急预案培训,演练,审查记录》等。
4测评的方式方法
按照《基本要求》在等级测评中,对二级及二级以上的信息系统应进行工具测试。
4.1测试目的工具测试
是利用各种测试工具,通过对目标系统的扫描、探测等操作,使其产生特定的响应等活动,查看分析响应结果,获取证据以证明信息系统安全保护措施是否得以有效实施的一种方法。工具测试种类繁多,这里特指适用于等保测评过程中的工具测试。利用工具测试不仅可以直接获得系统本身存在的漏洞,同时也可以通过不同的区域接入测试工具所得到的测试结果判断出不同区域之间的访问控制情况。利用工具测试并结合其他的核查手段能为测试结果提供客观准确的保障。
4.2测试流程
收集信息→规划接入点→编制《工具测试作业指导书》→现场测试→结果整理。收集信息主要是对网络设备、安全设备、主机设备型号、IP地址、操作系统以及网络拓扑结构等信息进行收集。规划接入点是保证不影响整个信息系统网络正常运行的前提下严格按照方案选定范围进行测试。接入点的规划随着网络结构,访问控制,主机位置等情况的不同而不同,但应该遵循以下规则。(1)由低级别系统向高级别系统探测。(2)同一系统同等重要程度功能区域之间要互相探测。(3)由外联接口向系统内部探测。(4)跨网络隔离设备(包括网络设备和安全设备)要分段探测。
4.3测试手段
利用漏洞扫描器、渗透测试工具集、协议分析仪、网络拓扑结构生成工具更能迅速可靠地找到系统的薄弱环节,为整改方案的编制提供依据。
5云计算与等级保护
近年来,随着水利科研院各自的云计算中心相继建立,云计算与以往的计算模式安全风险差异很大,面临的风险也更大,因为以往的系统多数为集中式管理范围较小,安全管理和设备资源是可控的,而云计算是分布式管理,是一个动态变化的计算环境,这种环境在某种意义上是无序的,这种虚拟动态的运行环境更不可控,传统的安全边界消失。同时,云计算在认证、授权、访问控制和数据保密这些方面这对于信息网络安全也提出了更高的要求。由云安全联盟和惠普公司列出了云计算面临的7宗罪(风险),说明云安全的状况变化非常快,现有的技术和管理体系并不完全适应于云计算的模式,如何结合自身特点制定出适合云计算的等级保护体系架构是今后研究的方向。
6结语
监理服务技术方案
一、项目概述及要求
本项目负责提供四川省环境信息中心2021年环境信息化新建项目及部分应用系统升级改造(政府采购和非政府采购)的监理服务。根据2021年四川省信息化建设项目的主要技术规范及要求,供应商应提供全过程“五控、三管、一协调”的监理服务。按事前、事中和事后三阶段开展监理工作,针对质量控制、投资控制、进度控制、保密控制、信息安全控制、合同管理、信息管理、安全管理和协调工作等方面提出详细监理规划,并分别对系统集成建设方面提出监理人员配备方案,对项目相关的省统一采购内容(软件等)进行监理。
二、监理工作任务及目标
监理工作目标是按照2021年四川省环境信息化建设、软件项目的要求以及相关的国际、国家和行业的监理标准,结合各系统项目的建设特点,对信息系统进行包含项目规划编制、招标、项目详细设计、项目实施和项目验收及质保期五个阶段的全过程监理,确保项目按期、高质、高效地完成,并顺利通过验收。
(一)项目拟制阶段
1. 充分运用监理单位的咨询能力,在建设方案的编制阶段根据业主的需求为业主单位提供相应的咨询服务。
2. 协助业主单位完成项目建设方案编制及建设方案的评审工作。
3. 协助业主单位收集项目资料、整理归纳项目文档。
(二)项目招标阶段
1.协助业主单位明确项目需求,确定项目建设目标。
2.促使业主单位、承建单位所签订的建设合同在技术、经济上合理有效,符合国家法律法规。
(三)项目设计阶段
1.推动业主单位、承建单位对项目需求和设计进行规范化的技术描述,为项目实施提供优化的设计方案。
2.促使项目计划、设计方案满足项目需求,符合相关的法律、法规和标准,并与项目建设合同相符,具有可验证性。
3.方案审核阶段,充分运用监理单位咨询能力,要求具有咨询能力的监理工程师配合业主或其指定的专家对承建单位的需求、设计、实施类方案进行质量把关。协助业主单位、承建单位消除设计文档在进入项目实施前可预见的缺陷。
(四)项目实施阶段
1.加强项目实施方案的合法性、合理性、与设计方案的符合性。
2.促使项目中所使用的产品和服务符合建设合同及国家相关法律、法规和标准。
3.明确项目实施计划,对于计划的调整应合理、受控。
4.促使项目实施过程满足建设合同的要求,并与项目设计方案、项目计划相符。
5.促使项目文档统一、规范,建立符合业主方要求的项目文档管理体系。
6.网络及安全类项目实施期间,要求具有信息安全测评能力的监理工程师对项目设计和实施方案进行内审,协助第三方测评机构完成规定的等级保护测评工作。
7.软件研发类项目实施期间,要求具有软件测评能力的监理工程师督促承建单位进行软件自测,协助第三方测评单位对软件功能及性能完成第三方软件测评工作。
(五)项目验收及质保期阶段
1.明确项目测试验收方案(验收目标、责任双方、验收提交清单、验收标准、验收方式、验收环境等)的符合性及可行性。
2.促使项目的最终功能和性能符合建设合同、法律法规和标准的要求。
3.协助承建单位所提供的项目各阶段形成的技术、管理文档的内容和种类符合相关标准。
4.对项目终验结束后质保期内业主单位反馈的问题督促承建方整改落实。
三、监理工作范围
项目实施范围为四川省环境信息中心2021年环境信息化新建项目及部分应用系统升级改造项目(政府采购和非政府采购)。
四、项目监理总体要求
根据2021年四川省环境信息化建设、软件项目主要技术规范及要求,信息项目、软件项目建设监理受业主方委托,代表业主方的利益,依法对本项目的全过程进行监督管理。监理方应严格按照国家电子政务管理办法、业主方和承建方签订的合同、信息系统项目监理规范及环保行业和计算机技术相关国家标准开展监理工作。
根据本项目及项目内各系统建设的特点,监理应全程开展以下工作:
五控制:
质量控制—硬件设备采购进货、软件开发及测试和验收。
进度控制—采取总体项目进度管理方式,从整体协助业主进行项目推进管理;对每个分项进行甘特图管理,对每个分项之间交互界面进行控制衔接管理;及时对照进度计划进行进度分析,及时纠偏。
投资控制—硬件设备采购进货、软件开发投资及项目施工投资。
变更控制—施工过程中进行变更管理。
保密控制—建设过程中,全程人员、信息、系统的保密管理。
三管理:
合同管理—采购、施工、系统集成及软件开发等合同管理。
信息管理—投资控制管理、设备控制管理、施工管理及软件管理。
安全管理—项目的施工安全管理,系统的信息安全管理两部分。
一协调:
采用现场和会议方式进行协调,实施业主、承建方和监理的三方协调制度。
监理机构应按事前、事中和事后三过程开展监理工作。
(一)项目前期监理要求
协助业主和承建单位对项目需求和设计进行规范化的技术描述,为项目实施提供优化的设计方案;
协助并配合业主进行采购项目需求论证阶段工作的进行,使采购满足项目需求、符合相关的法律、法规和标准;
通过项目管理思路,建立整体项目计划,方案满足项目需求、符合相关的法律、法规和标准,并与项目建设合同相符,具有里程碑可验证性;
协助业主,审核承建方技术方案,满足项目整体需求,并与项目建设合同相符。
(二)项目中期监理要求
加强项目实施方案的审核,确保其合法性、合理性、与设计方案的符合性;
加强各子项目质量控制,确保项目中所使用的产品和服务、软件开发符合建设合同及国家相关法律、法规和标准;
监督项目实施过程,指定具有相关专业能力和资质的监理工程师驻场监理,确保满足建设合同的要求,并与项目设计方案、项目计划相符。
明确项目实施计划及进度,及时对计划进行调整,确保项目进度和整体进度相符合;
把握项目中投资、质量、进度的变更,规范项目变更流程;
对项目实施过程涉密部分,全程进行保密管理;
推动业主、各承建方之间的关系协调。
(三)项目后期监理要求
明确项目测试验收方案的符合性(验收目标、责任双方、验收提交清单、验收标准、验收方式、验收环境等)及可行性;
明确项目的最终功能和性能符合建设合同、法律、法规和标准的要求;协助业主进行各分项的验收工作;
保证承建单位提供的项目各阶段形成的技术、管理文档的内容和种类符合相关标准;
监理机构应针对质量控制、投资控制、进度控制、知识产权控制、信息安全控制、合同管理、文档管理和协调工作等方面提出详细监理规划并分别针对系统集成建设方面提出监理人员配备方案,并对项目相关的采购内容(软件等)进行监理。
五、监理具体要求
监理要与测评保持协调配合,并对监理工作内容进行负责。监理工作包含但不限于以下内容:
(一)项目招标前期阶段监理工作内容
方案控制
项目招标前期阶段的方案控制内容如下:
(1)监理机构应协助业主单位完成项目建设方案编制及建设方案的评审工作。
(2)监理机构应协助业主单位收集项目资料、整理归纳项目文档。
(3)监理机构应协助并配合业主进行采购项目需求论证阶段工作的进行,使采购满足项目需求、符合相关的法律、法规和标准。
(二)项目招标阶段监理工作内容
1.质量控制
项目招标阶段的质量控制内容如下:
(1)监理机构应了解业主单位的业务需求,并将其作为监理工作的依据之一;
(2)监理机构应对招标技术需求的下列内容提出监理意见(输出监理意见):
技术和质量的要求;
项目所涉及的主要产品和服务的要求;
投标单位资格的要求;
验收方法、接受准则;
时间进度的要求;
2.进度控制
项目招标阶段的进度控制内容如下:
(1)监理机构参与业主单位招标前的准备工作,协助业主单位编制本项目的工作计划。工作计划应包含如下内容:
项目建设内容;
组织管理;
项目建设的准备工作;
总包、分包方式;
项目建设的阶段划分及验收;
质量管理计划;
(2)监理机构应分析项目的内容及过程,应对项目进度提出监理意见;
(3)监理机构对招标书中项目进度安排及项目进度控制措施提出监理意见;
(4)监理机构应对本阶段的工作进度提出监理意见;
(5)监理机构应要求对项目合同中涉及的产品和服务的提供时间做出说明,并对业主单位的安排提出监理意见。
3.投资控制
项目招标阶段的投资控制内容如下:
(1)监理机构应协助业主单位根据项目的目标、范围和功能界定提出意见,并提出项目预算的合理性;
(2)监理机构应协助业主单位根据项目预算,在招标技术需求中对项目的目标、范围、内容和产品及服务的技术要求做出明确说明。
4.合同管理
项目招标阶段的合同管理内容如下:
(1)监理机构应参与建设合同的签订过程,在建设合同中应明确要求承建单位接受监理机构的监理;
(2)监理机构应建议业主单位在建设合同中明确规定项目所包含的功能、技术要求、测试标准、验收要求和质量责任;
(3)监理机构应建议业主单位在建设合同中明确项目阶段划分及其质量和进度要求,并以此作为项目阶段性付款的依据。
5.信息管理
项目招标阶段的信息管理内容如下:
(1)监理机构应与业主单位及相关单位建立信息沟通机制,保持各方对项目目标、范围和业务需求等理解的一致性;
(2)监理机构应向业主单位提供与项目建设有关的法律、法规和标准等信息;
(3)监理机构应妥善管理项目招标阶段所产生的与监理相关的文档资料,包括需求说明、招投标文件和监理文档等;
(4)监理机构应向业主单位和承建单位明确应提交的文档要求。
6.项目招标阶段的协调
项目招标阶段的协调内容如下:
(1)监理机构应与业主单位确定相互间工作协调的机制;
(2)项目合同签订后,业主单位与承建单位有关项目的协调工作由监理机构按照业主单位要求进行。
7.产出物要求
监理成果物要求包括但不限于:监理周报、会议纪要、合同审核意见、项目联系单、各环节监理意见、沟通机制、文档要求等。
(三)项目设计阶段监理工作内容
1.质量控制
(1)监理机构应建议业主单位和承建单位充分考虑目标系统与现有系统的兼容性和互操作性;
(2)监理机构应审核设计文件与项目需求的符合性;项目关键技术的实现方法、流程及技术保障措施的合理性;项目实施的质量保证措施的可行性、合理性及其文档的完整性;
(3)监理机构应协助业主单位组织专业人员初审项目设计方案,审核后,签署监理审核意见。
2.进度控制
(1)承建单位提交项目进度计划报审表后,应审核项目进度计划的可行性、合理性和各阶段工作成果的判定依据及其可操作性,审核后签署监理审核意见;
(2)监理机构应根据承建单位项目进度计划,确定阶段性进度监督、控制的措施及方法,作为监理细则的内容。
3.投资控制
(1)监理机构应依据招投标文件、建设合同,审核项目计划、设计方案中所说明的建设目标、范围、内容、产品和服务,对可能的投资变化,向采购人提出监理意见;
(2)监理机构应控制设计变更,变更应由三方达成共识,并做备忘录。
4.合同管理
(1)监理机构应及时处理采购人或承建单位合同变更的申请,协助保持合同、协议及其附件内容的实效性、一致性;
(2)监理机构应及时会同采购人和承建单位对合同的变更做备忘录。
5.信息管理
(1)监理机构应与业主单位、承建单位建立信息沟通机制,并要求各方在项目工作中贯彻执行;
(2)监理机构应对设计阶段三方共同参与的过程和活动做项目备忘录并由三方签认;
(3)监理机构应要求业主单位和承建单位妥善保管有关的文档资料;
(4)监理机构应妥善保管项目设计阶段的文档,如项目计划、设计方案及监理文档,并监督检查项目文档的时效性和可用性;
(5)监理机构应对项目中各方提出保密要求的信息实施保密,尊重各方的知识产权。
6.协调
(1)监理机构应与采购人、承建单位确定设计阶段的协调形式和方法,如监理例会和专题会议等,并在项目过程中执行;
(2)监理机构应协调采购人调动适当的资源,配合承建单位完成设计前期的调研工作;
(3)监理机构应对设计阶段出现的变更提出监理意见,协调采购人和承建单位达成一致;
(4)监理机构应对协调结果做备忘录。
7.产出物要求
监理成果物要求包括但不限于:监理周报、会议纪要、设计文档类监理审核意见、监理工作联系函、监理通知单、项目备忘录。
(四)项目实施阶段监理工作内容
1.质量控制
(1)监理机构应审核承建单位提交的质量管理计划申报表并签署意见;
(2)监理机构应组织采购人、承建单位召开项目实施准备会议,做出会议纪要,并经三方签认;
(3)监理机构应组织审核承建单位提交的实施方案从实施方案与法律、法规和标准的符合性;实施方案的合理性和可行性;实施方案与合同、设计方案和实施计划的符合性;项目实施的组织机构和人员配置是否满足项目建设需求等方面把关出具监理审核意见;
(4)监理机构对承建单位提供的产品及服务进行验收,对验收结果作记录,并经三方签认;
(5)监理机构应检查承建单位项目实施状况、人员与实施方案的一致性;
(6)监理机构应执行阶段性质量监督和控制,并做监理日志;
(7)监理机构应及时处理承建单位提交的关键环节的实施申请,审核其合理性后签认并报采购人批准;
(8)监理机构应审核项目变更申请,保证项目总体不受影响;
(9)监理机构应处理实施项目出现的各种质量事故;
(10)监理机构应在实施过程中,如发现存在重大质量隐患,应及时向承建单位签发停工令,并报采购人。
2.进度控制
(1)监理机构应审核承建单位提交的项目实施计划的合理性及实施计划报审表,并签署审核意见;
(2)监理机构应审核承建单位提交的开工申请,并检查项目准备情况,签发开工令报采购人签认,通知承建单位开始实施项目;
(3)监理机构应审核承建单位提交的阶段性进度计划报审表;
(4)监理机构应定期检查项目的实施进度情况,确保实际进度与计划的一致性,并及时处理项目延期申请;
(5)监理机构应审查进度纠偏措施的合理性、可行性,签发监理通知单,报采购人,并要求承建单位按计划进行修改。
3.投资控制
(1)监理机构应审核承建单位提交的项目阶段性报告和付款申请,签发项目款支付意见,报采购人签认;
(2)监理机构应审查项目的质量、进度和投资等方面的变更,并做项目备忘录;
(3)监理机构应及时处理各种索赔申请。
4.合同管理
(1)监理机构应监督合同执行情况,定期向承建单位、采购人提交监理报告;
(2)监理机构应根据实际情况,参考变更文件及其他有关资料,按照建设合同的有关条款,对项目变更范围、内容、实施难度以及变更的投资和工期做出评估,处理项目实施中的各种变更并报采购人批准;
(3)监理机构应及时协调合同纠纷,公正地调查分析,提出监理意见。
5.信息管理
(1)监理机构应妥善管理实施阶段中所产生的开工令、停工令、监理通知、监理日志和项目备忘录等资料;
(2)监理机构应对项目实施阶段三方共同参与的过程和活动做项目备忘录,并由三方确认;
(3)监理机构应监督采购人和承建单位按照既定的要求编制和管理项目文档。
6.协调
(1)监理机构应与采购人和承建单位共同建立实施阶段协调的机制;
(2)监理机构应及时组织专题会议,解决专项问题,做出会议纪要,并提交采购人和承建单位;
(3)监理机构应协调采购人和承建单位对项目变更的范围和内容等达成一致性;
(4)监理机构应协调采购人和承建单位对索赔意见达成一致;
(5)监理机构应协调采购人配合承建单位的项目实施。
7.产出物要求
监理成果物要求包括但不限于:开工令、复工令、停工令、项目款支付证书、监理周报、会议纪要、监理月报、实施文档类监理审核意见、监理工作联系函、监理通知单、项目备忘录、设施设备验货台账、设备加电检查记录、专项项目监理报告等。
(五)项目验收阶段监理的工作内容
1.质量控制
(1)监理机构应及时处理承建单位提交的初验申请,审核初验的必备条件,签认后报采购人签认;
(2)监理机构应协助采购人审核承建单位验收计划及方案,明确验收目标、各方责任、验收内容、验收标准、验收方式和验收结果等内容,审核后签署意见;
(3)监理机构应协助采购人对初验中发现的质量问题进行评估,并确定整改要求和验收方式;以监理通知单告知承建单位。必要时组织重验;
(4)监理机构应敦促承建单位根据整改要求提出整改方案,并监督整改过程;
(5)监理机构应与采购人和承建单位共同对初验结果进行确认,并共同签署初验合格报告;
(6)监理机构应监督系统的试运行;敦促承建单位解决试运行出现的各种质量问题;
(7)监理机构应协助采购人组织项目验收;
(8)监理机构应对项目中的关键性技术指标,要求承建单位出具第三方测试机构的测试报告,第三方测试机构应由采购人和监理机构同意;
(9)监理机构应督促承建单位完成项目实施方案中确定的培训,并对培训进行评估。
2.进度控制
(1)监理机构应对验收阶段进度安排提出监理意见;
(2)监理机构应审核承建单位初验、终验和项目整改计划的可行性,并以通知单的形式告知采购人和承建单位;
(3)监理机构应要求采购人和承建单位以初验合格报告作为启动试运行的依据,以终验报告作为项目验收结束的依据。
3.投资控制
(1)监理机构应审核承建单位提交的阶段性付款申请,并根据合同规定签发项目支付意见;
(2)监理机构应协助采购人进行项目结算。
4.合同管理
(1)监理机构应及时向采购人、承建单位通报建设合同、协议及相关变更所规定项目内容的执行情况,提出监理意见;
(2)监理机构应协助采购人和承建单位签署其他补充协议。
5.信息管理
(1)监理机构应管理项目验收阶段文档;
(2)监理机构应敦促采购人、承建单位按照事先约定,编制、签署和妥善保存验收阶段的项目文档;
(3)监理机构应督促采购人、承建单位及时整理项目文档;
(4)监理机构应整理与项目有关的全部监理文档,并提交采购人。
6.协调
(1)监理机构应协调采购人和承建单位在验收计划、验收目标、验收范围、验收内容、验收方法和验收标准等方面的一致性,填报项目备忘录,并经三方签认;
(2)监理机构应协调采购人配合验收阶段的工作;
(3)监理机构应及时填报验收阶段的项目备忘录,并经三方签认;
(4)监理机构应协助采购人和承建单位完成项目文档整理归档和移交工作。
7.产出物要求
监理成果物要求包括但不限于:复工令、停工令、项目款支付证书、监理周报、会议纪要、监理月报、实施文档类监理审核意见、监理工作联系函、监理通知单、项目备忘录、设施设备验货台账、设备加电检查记录、专项项目监理报告、测试记录、初验报告、试运行报告、完工移交书、项目竣工报告。
(六)售后服务要求
在规定的项目质量保修期限内,负责检查项目质量状况,组织鉴定质量问题责任,督促责任单位维修或整改。
六、监理团队要求
要求监理单位具有较强的实力,并能统揽全局,能有效地组织、协调、监管项目实施过程中各方面的工作,使本项目质量达到一流水平,工期得到保证,成本得到控制。
要求针对2021年四川省环境信息化项目设立总监1名,总监代表1名,长驻现场监理工程师1名,文档管理员1名,各项目集中调研、开发测试、阶段性验收准备时应增加驻场人数,确保满足各项目同时推进的要求。
现场服务的项目总监和长驻现场监理工程师需和投标文件响应一致,接受业主单位考勤管理,不得更换,如出现不可抗力原因需更换的,必须向采购人提交书面申请,并详细说明更换的原因、替代人员的资质等,经采购人书面同意后,方可更换。
1、项目监理部须编制监理规划,应包含目标规划、动态控制措施、监理纪律守则和人员的定岗、职责等;根据建设方确定的项目分组情况,配置固定专门的监理人员。
2、参加项目的总监必须具备五年以上监理工作经验,并具有高级项目管理执业资格。
3、项目监理部及其人员需自行配备交通、通信、生活、办公、检测等设备、设施或仪表,以确保监理工作的顺利实施。
4、项目监理部须协助业主收集、整理、归纳项目资料,并且形成电子文档。
5、从事项目监理活动能遵循“守法、诚信、公正、科学”的准则。
6、监理单位应根据项目情况,制定适宜的表格来加强对设计、实施、验收的控制力度,包括但不限于如下方面:
针对关键环节,制定项目进度计划详表,在监理规划中报送;
监理周报、月报;
主要工作量记录表,在监理月报中报送;
安全情况记录表,在监理周报中报送;
其它现场验收表格。
一、完善制度,规范联社科技管理流程
为确保联社科技信息安全、稳定运行,我部继续完善和补充联社的科技管理制度,对联社金融科技的发展、建设、服务、管理等工作进行全面细化、规范。一是制定了计算机管理办法,涵盖了机房管理、计算机安全管理、自动柜员机管理、卡业务管理、计算机保密管理、监控设备管理等方面内容;二是制定了综合业务系统和柜员管理办法。通过制度建设,建立了有效的督促约束机制,进一步完善了联社内控管理,规范了柜员操作,有效防范了制度管理风险。
二、强化管理,确保业务系统安全稳定运行
随着应用系统和新产品的不断增多,保障各项系统安全、平稳运行成为我部的基本工作任务,我部始终把计算机系统安全运行管理摆在工作的首位,加大了对硬件运行的技术支持和系统运维管理力度,各项系统运行平稳,运行质量明显有所提高,一方面保障了基层29个网点的正常营业,另一方面有效防范了操作风险,至目前没有发生一起重大计算机安全责任事故。一是实施了计算机安全生产责任制,实行重大责任事故责任追究制。对联社中心机房明确专人管理,对基层网点进行了工程师的分工包片,责作到人,切实保障了系统、设备的安全。二是针对以前业务核心系统运行中存在的问题,及时反馈到省中心,进一步完善了系统功能,提高了系统应用水平。三是更新了网络通信线路,与电信联合对全县所有机构的网络线路进行了升级改造,统一安装了2M光纤,明显提高了业务办理速度。四是对驻城网点进行了前置机后移,将这些网点的前置机全部归并社中心机房。
三、强化服务,提供优质技术和业务支持
一是成立二级管理中心对全县综合业务系统进行专项维护,中心人员执行每周7天工作制,对基层业务操作中遇到的账务问题及时解决,2个月来共处理问题300多笔,每天在保证所有基层业务系统正常签退后才离岗。二是做好基层业务设备硬件维护保养工作,对因长期使用老化的计算机、打印机等业务设备做到定期保养,有损坏的立即调剂更换,集中修理,对因业务发展需要增加设备的单位,能够上门安装到位,保证了基层柜面业务的正常办理,没有发生一起因设备原因造成业务中断事件。三是积极协助监保部做好监控设备的维护工作,对故障能够立即督促维保单位进行排除,对达不到安全保卫要求的立即提出整改方案。四是做好联社机关办公设备的维护工作,对机关各部门的办公设备保障能够随叫随办。
四、高效快捷,为联社提供准确的统计数据
一是做好项目电报,明确专人每天提前上班导出数据、统计分析,为联社领导提供科学的决策依据。二是做好基层员工协储台账下发,能够每天下发全县员工组织资金考核台账,提高了全县员工考核的透明度。三是做好信贷电子数据的导出工作,能够按月导出并传送业务拓展部和风险控制部。四是配合稽核审计部做好工资考核工作,每月月初及时统计业务量、现金流量、定期提前支取的数据,送交稽核部考核兑现。
五、不断创新,力撑中间业务健康快速发展
中间业务对我县联社的存款份额、经营收入的贡献率越来越大,我部能够首先做好传统的国税代扣、财政集中支付、工资的系统保障和业务辅导,确保能够满足财政、国税等大客户的需求,使得联社财政性存款、工资性存款逐年上升;其次为进一步推广圆鼎卡,增加市场份额和卡业务手续费收入,我部按照照联社决策按排,一方面迅速安装了18台ATM自动柜员机,改善用卡环境,并对基层业务骨干进行操作培训,安装使用后能够经常督促维保单位进行日常保养,保证了ATM良好的使用状态,受到了用卡客户的好评。另一方面主动协助业务拓展部,开展驻城商铺POS消费刷卡机的安装,至目前共安装了27台,并且使用状良很好,提升了联社的知名度。
六、求真务实,扎实做好电子设备采购工作
设备采购申请对照联社采购管理办法,以避免资源重复配置与浪费为原则,严格技术把关。对需招标采购的,扎实做好前期准备,认真审查招标文件中的设备配置,保证合同中权利、义务条款最大限度地维护联社利益,选择“产品优秀、服务优质、价格优惠”的供应商进行招标;对不需招标采购的,能够积极协助财务、监察、审计和办公室进行询价采购。
2008年,科技信息部将本着以强化科技安全为原则,以服务基层为职责,做好综合业务、信贷管理、报表统计三大系统的维护工作,加快全县电子化建设,提高科技应用水平,为联社又好又快的发展提供科技保障,现对做好科技工作提出如下工作意见:
一、总体思路
认真贯彻落实县联社工作会议精神,以完善制约和监督机制,强化科技安全防范为宗旨;加快科技建设,不断普及科技应用水平,实现全辖业务电子信息化、办公自动化、操作规化;整合信息资源,在金融服务创新方面求突破,不断拓展业务品种,以优异的科技手段有力支撑我县联社持续的科学发展。
二、工作目标
1、严格内部管理,确保计算机全年安全运行无事故。
2、加大系统运行维护力度,确保系统平衡高效运行。
3、优化用卡环境,做活中间业务,提高业务竞争力。
4、增强科技人员技术本领,有效提升部门形象。
5、强化业务技能培训,提高一线人员操作水平。
6、强化网站更新,施行OA系统,提升联社形象。
7、加大设备保障力度,确保基层正常营业。
8、补充管理制度,加强检查辅导,提高科技管理水平。
9、采取有力措施,切实防范计算机突发风险。
10、积极探索新业务,努力拓展业务品种。
三、主要工作措施
为实现以上目标,我部将采取以下措施,精心组织、逐步开展。
1、完善制度,规范联社科技管理流程。
为确保联社科技信息安全稳定运行,我部将继续完善和补充联社的科技管理制度,对联社金融科技的发展、建设、服务、管理等工作进行全面细化、规范。准备建立《电子设设管理办法》、《科技档案管理办法》、《计算机系统故障处理办法》、《局域网管理办法》、《联社中心机房管理办法》、《科技机构及岗位设置办法》等制度。进一步完善联社内控管理,建立有效的督促约束机制,规范电子设备、科技档案、局域网、中心机房的管理,进一步明确科技人员的岗位职责,有效防范制度管理风险。
2、注重实效,推动各项制度落实到
在制度建设时注重做好以下三个方面的工作,首先要仔细研究,字斟句酌,确保有法可依、有章可循。其次要充份调研,民主讨论,确保切合实际、方便操作。最后狠抓落实,推动实施,确保得到执行到位。一是组织培训和学习,在制度出台之后立即组织相关人员进行培训和学习;二是组织检查和辅导,实行定期辅导和不定期检查,辅导时贯彻“量、质”方针,即辅导每月不少于一次,每次不少于一天,力求足“量”;辅导结果要达到让被辅导对象完全理解、熟练操作,力求足“质”。检查时贯彻“全、细、深、实、纠”五字方针,即:检查内容面面俱到;检查过程深入细致,一丝不苟;发现线索,一查到底,坚决不搞下不为例;对发现的问题,有证有据;查处的问题及时督促改正。通过检查辅导,将制度规定及时传达到基层业务一线,普及科技应用水平,有效防范操作风险。
3、防患未然,强化突发事件处置预案。
在增强抗击计算机突发性事件能力方面,我部将做好以下五项工作。一是硬件备份,对县中心与基层和省中心网络实行电信、联通2M光纤双备份,计划对联社中心机房核心的7206路由器进行备份,对报表系统、信贷系统、中间业务系统的服务器进行备份,配备若干台备用主机和安装好程序的硬盘,对联社中心机房和各信用社实行UPS热备份;二是实时监控,首先实施内、外网的物理分离,其次在所有系统安装防火墙和杀毒软件,最后在联社中心机房明确专人,在业务高峰期随时监控主机CPU、内存、交换空间、页面调度、I/O的负荷情况,发现瓶颈环节及时主动处理;三是外部沟通,与省中心、电信部门做好沟通,在故障自身不能解决时,能够迅速得到帮助;四是做好物防,计划对联社中心机房、各信用社机房深化改造,努力达到安全合格标准,坚决达到防火、防潮、防静电、防雷击的要求;五是长期备战,我部所有人员将继续执行24小时工作制度,对全辖系统故障随叫随到,并在最短的时间内处置完毕。通过多种措施,能够有郊防范突发意外风险。
4、尽心竭力,精心维护保养硬件设备。
在终端、办公电脑,特别是打印机、监控等硬件设备维护方面我部将做好以下四项工作。一是主动维护、定期保养基层业务设备,以损坏频率较高的打印机为重点,按使用单位、型号、购置日期登记台账,详细掌握每台设备动态情况,按新旧程度进行每季不少于一次的主动上门保养,延长使用寿命,有损坏的立即调剂更换,集中修理,对已超过使用寿命没有修理价值的,及时淘汰更新,对因业务发展需要增加设备的单位,做到上门安装到位。二是积极协助监察保卫部做好监控设备的维护工作,对故障立即督促维保单位进行排除,对达不到安全保卫要求的,立即提出切实可行的整改方案。三是做好联社机关办公设备的维护工作,对机关各部门办公设备的保障做到随叫随修。四是严格考核,开展设备管理竞赛活动,对能合规使用的先进单位进行奖励,对因不按规定使用设备的人员进行经济处罚,造成损坏的,坚决要求当事人进行现金赔偿。通过优质维保,坚决保证不发生因硬件损坏影响正常办理业务的情况。
5、严谨务实,强化二级管理中心管理职能。
在核心业务系统管理和提高一线柜员操作能力方面,我部将做好以下四项工作,一是进一步提高维护速度,对合规的账务修改、业务需求,按照流程到达我部后,保证在5分钟之内处理完毕。二是进一步提高业务指导能力,对基层的业务咨询做到耐心细致,并举一反三的进行解释指导,对每次的程序升级及时下发书面通知,传达升级精神,同时每季下发一份综合业务系统运行简报,对新业务介绍、新问题注意事项进行全县通报。三是进一步提高业务培训力度,计划在每个季度举办一期一线柜面青年员工操作实用技能培训班,推行汉字五笔输入、规范输入指法,实现数字小键盘和英文大键盘的盲打输入,切实提高柜面人员业务办理速度。四是进一步提高系统操作监督力度,从机房管理入手,直至操作号、密码、授权卡使用和加班监督、机构签退管理等相互制约制度的执行,进行全方面的监督,切实履行岗位职责。
6、推陈出新,优化开发中间业务外挂程序。
在中间业务程序开发、维护方面我部将努力做到人无我有、人有我新、人新我优。一是对财政集中支付、国税代扣、代收交通罚款程序进一步优化,不断提高稳定性,同时将根据财政、国税、公安等客户的需求,对程序进一步升级改造,不断提高适用性。二是进一步简化工资程序,简便操作过程,方便基层操作。三是适时开发各类程序,将根据业务发展需要,自主开发适应性、针对性强的程序。通过优化开发各类程序,为业务创新提供强有力的技术支持。
7、循序渐进,安装推广自助银行和POS机。
在优化用卡环境,有效推广圆鼎卡,有力抢占市场份额方面,我部将做好以下六项工作,一是迅速安装ATM,对已购置的ATM计划在1月底前安装到位,使得ATM基本履盖全部网点。二是主动协助业务拓展部,开展驻城商铺POS消费刷卡机的安装,今年计划在人民路、新建路繁华地段的商铺至少安装20台。三是适时开展卡积分活动,准备在春节期间开展圆鼎卡刷卡消费积分奖励活动,提高圆鼎卡的使用频率。四是大力开办无人自动银行,以为客户提供昼夜存取款、账务查询、转账、自动缴费服务的自助场所,逐步取代效益低的网点。五是加大培训和维护力度,对基层操作人员定期进行培训,经常督促维保单位进行日常保养,保证ATM良好的使用状态。六是搞好宣传,计划利用现有自助银行的空间,进行全县统一模式的广告宣传。通过有效推广使用圆鼎卡,有效增加卡业务手续费收入。
8、提高效率,实现自动无纸化网络办公。
在提高全县办公水平和现代化办公能力,进一步提升联社对外形象方面我部将做到,一是加大网站更新力度,今年我部将与联社办公室继续共同维护联社网站,及时刷新主页,开办信合论坛,力求办成象信合369一样高点击率的网站,从多方面提升联社形象。二是开发使用OA系统,实行办公自动化,实现公文流转、数据采集、三户经济档案、报表传送、信息通知、业务咨询、制度汇编、财产保管、物资领用、任务进度、考核兑现、检查通报、人事教育、企业文化建设、党务建设、纪检监察、工作请示等全部网络共享。通过实现办公网络化,进一步促进提高整个联社部门的办事效率。
9、不甘人后,积极摸索现代银行科技思路。
随着十七大的顺利闭幕,我国经济社会发展进入新的阶段,金融业的重要地位和作用更加突出。但随着外资银行携带的新金融工具、业务品种、营销理念和新服务手段进入中国市场,金融机构之间的竞争日趋激烈,农村信用社传统的金融产品和服务手段,越来越无法适应发展的新要求。因此,金融创新势在必行,只有不断创新才能持续健康发展,才能提高我联社的竞争力。在金融创新中科技创新是保障、是基础,所以我部将做到一是加强自身学习,本着缺什么补什么,干什么学什么,将来需要什么、现在准备什么的原则,开展学习竞赛活动,做到有计划、有笔记、有体会、有进步,提高科技人员的业务本领。二是探索新业务、做好理论准备,在项目评估、公司理财、信息咨询、代保管、国际业务、贷记信用卡、基金代销与托管、代客理财、企业年金、账户管理、网上银行、VIP客户服务、债券代销等方面做好科技准备。