1、项目编号:XXXXXXXXXXXX监控系统工程监 理 规 划总监理工程师: (签字)工程部负责人: (签字)XXXXXXX信息工程监理有限公司(工程章)XXXX年XX月XX日 XXXXX监控系统工程监理规划目 录第1章 项目概况11.1 项目基本情况11.2 项目建设目标11.3 项目建设内容11.4 项目情况31.5 编写目的3第2章 监理工作依据42.1 监理服务依据42.2 相关国家标准、规范42.2.1 网络质量控制的有关国家、行业标准42.2.2 软件开发的有关国家标准、规范52.2.3 通讯部分标准62.2.4 音视频部分标准92.2.5 机房部分参照标准:102.2.6 信息安全
2、部分参照标准112.2.7 电力保障部分参照标准:112.2.8 综合布线部分参照标准:122.2.9 国际标准:12第3章 监理工作范围13第4章 监理工作目标和措施174.1 工程质量控制目标和措施174.1.1 项目质量目标174.1.2 质量控制措施174.2 工程进度控制目标和措施184.2.1 项目进度目标184.2.2 进度控制的措施184.3 工程投资控制目标和措施184.3.1 投资控制目标184.3.2 投资控制的措施184.4 施工合同及信息管理等措施184.4.1 建设各方合同结构图184.4.2 施工合同管理制度184.4.3 合同管理执行措施184.4.4 索赔18
3、4.4.5 信息管理目录表184.4.6 信息管理制度18第5章 项目监理机构的组织形式19第6章 项目监理机构的人员配备计划20第7章 项目监理机构的人员岗位职责217.1 总监理工程师的职责217.2 总监理工程师代表岗位职责217.3 监理工程师岗位职责227.4 监理员的职责227.5 信息管理员岗位职责22第8章 监理工作制度248.1 文档审查制度248.2 文件交接制度248.3 施工前施工设计文件评审制度258.4 工程监理例会制度258.5 工程开工申请制度258.6 工程材料、设备检验制度258.7 隐蔽工程检查制度258.8 工程变更复核签审制度268.9 工程质量事故处
4、理制度268.10 施工进度监督及报告制度268.11 工程建设随机抽查制度268.12 工程阶段付款签证制度268.13 监理报告制度278.14 工程验收预检制度278.15 项目监理组织内部制度27第9章 监理设备29第10章 监理工作内容3010.1 监控系统集成3010.1.1 合同阶段3010.1.2 实施阶段3010.1.3 试运行阶段3210.1.4 验收阶段32第11章 监理工作程序34第12章 监理工作方法及措施3512.1 监理基本工作方法3512.1.1 目标规划3512.1.2 动态控制3512.1.3 组织协调3512.1.4 信息管理3612.1.5 合同管理36
5、12.2 监理主要措施3612.2.1 组织措施3612.2.2 技术措施3712.2.3 经济和合同措施37附件1监理工作用表38XXXXXXX信息工程监理有限公司 第2页第1章 项目概况1.1 项目基本情况项目名称:XXXXXX道路监控系统工程;项目投资额: ¥xxxx元;项目建设方:XXXXXX党政办;基本工期:合同签订次日起80天;建设地点:XXXXXX。1.2 项目建设目标在XXXXXX建立一个统一的数字视频信息存储和点播系统以解决所有前端应用图像信息的存储、交换、传输、桌面显示和调用等问题,为将来图像通信全面数字化打好基础。1.3 项目建设内容XXXXXX监控系统工程是基于IP网络
6、的全数字化监控系统,包括:一个主控中心和十个分控中心,主控中心和分控中心分别设置大屏幕投影拼接墙系统和监视器墙系统,主控中心和分控中心设置千兆三层网络交换机100个摄像监控点,监控点的摄像机拍摄的视频信号由编码器转化成数字化视频流,然后用IP组播的传输方式经网络(传输网络提供商提供)传输到主控中心和分控中心所有监控点的图像质量需达到4CIF质量,并在监控中心进行24小时X 10天的集中实时存储和调用5个智能卡口,28条车道,将通过的所有车辆抓拍和存储,并对车辆牌号进行实时识别、报警本工程范围包括外场立杆及基础、设备箱及基础、视频摄像机、视频编码器、网络交换机、视频服务器、磁盘阵列、视频解码器、
7、大屏幕投影拼接墙、电视墙、控制工作站、UPS、相关软件等的采购、安装、开发和调试,同时包括外场施工所需的土建和设备供电的施工。1.4 项目情况具体如下表:名 称承建方项目负责人主要建设内容开工日期备注1.5 编写目的一、指导监理工程师开展监理工作;二、指导各个分项监理工程师编写各专项监理细则;三、监理工作的纲要。第2章 监理工作依据2.1 监理服务依据信息系统工程监理规范建设单位单位与承包商签订的承包合同建设单位单位与监理单位签订的监理合同本工程招标书、招标过程文件、各中标商的投标书国家有关合同、招投标、政府采购的法律法规部颁、地方政府的信息工程、信息工程监理的管理办法建设工程和信息工程相关的
8、国家行业标准和规范建设工程和信息工程技术监督、工程验收规范与工程相关的技术资料其他与本项目适用的法律、法规和标准本公司质量管理体系文件2.2 相关国家标准、规范2.2.1 网络质量控制的有关国家、行业标准ISO 7498 OSI七层参考模型IEEE 802.3快速以太网标准规范IEEE 802.3千兆以太网标准规范IEEE 802.5令牌环标准规范IEEE 802.10虚拟网络标准规范ANSI X3T9.5 光纤分布式数据接口标准规范2.2.2 软件开发的有关国家标准、规范GB/T 16260-1996(ISO/IEC9126.1991)信息技术、软件产品、质量特性及其使用指南ISO9000
9、1997,质量管理和质量保证标准第三部分ISO9001-1994在计算机软件开发、供应、安装和维护中的应用指南GB9385-88计算机软件需求说明编写指南GB9386-88计算机软件测试文件编制规范GB/T 12504-90计算机软件质量标准保证计划规范GB/T 12505-90计算机软件配置管理计划规范ISO/IEC 12207-1995信息技术、软件生存周期过程GB/T 14079-93计算机软件维护指南GB/T 14394-93计算机软件可靠性和可维护性管理GB/T 15532-95计算机软件单元测试GB/T 11457-1995软件工程术语GB/T1526-1989信息处理数据流程图、
10、程序流程图、系统流程图、程序网络图和系统资源图的文件编制符号及约定GB/T8566-2001信息技术软件生存过程GB/T8567-1988计算机软件产品开发文件编制指南GB/T13502-1992信息处理程序构造及其表示的约定GB/T13702-1992计算机软件分类与代码GB/T14085-1993信息处理系统计算机系统配置图符号及其约定GB/T15535-1995信息处理单命中判定表规范GB/T15538-1995软件工程标准分类法GB/T15697-1995信息处理按记录组处理顺序文卷的程序流程GB/T16260-1995信息技术软件产品评价质量特性及其使用指南GB/T16680-199
11、6软件文档管理指南GB/T17544-1998信息技术软件包质量要求和测试2.2.3 通讯部分标准GB7611-87脉冲编码调制通信系统网路数字接口参数GBT14731-93同步数字体系的比特率GBT15409-94同步数字体系信号的帧结构GBT15940-95同步数字体系信号的基本复用结构GBT15941-95同步数字体系(SDH)光缆线路系统进网要求GBT16712-1997同步数字体系(SDH)复用设备技术要求GBT16814-1997同步数字体系(SDH)光缆线路系统测试方法YDT724-95同步传送模块STM-1、Sm-4的帧结构和复用YDT748-95PDH数字通道差错性能的维护限
12、值YDT767-95同步数字系列设备和系统的光接口技术要求YDT768-95同步数字系列光缆数字线路系统技术要求YDT852-1996电信管理网(TMN)总体设计原则YDT871-1996电信管理网(TMN)通用信息模型YDT877-1996SDH复用设备和系统的电接口技术要求YDT878-19962048Kbits接入端口的64Kbits交叉连接设备进网要求YDT879-1996Q3接口的告警监测YDT880-1996Q3接口的性能管理YDT882-1996STM-1、STM-4、STM-16再生中继设备主要技术要求YDT886-1996STM-N的基本帧结构YDT900-1997SDH设备
13、技术要求时钟YDT902-1997STM-1、STM-4、STM-16再生中继设备测试方法YDT912-1997Q3和X接口的低层协议框架YDT9141997 SDH系统的误码YDT947-1998Q3接口的高层协议框架YDT966-1998SDH性能分析仪技术条件YDT967-1998同步数字体系(SDH)网络和设备术语YDT 973-1998SDH 155 MbitS和622 Mbits光发送模块和光接收模块技术要求及测试方法YDT 974-1998SDH数字交叉连接设备(SDXC)技术要求和测试方法YDT 975-1998评估STM-N接口差错性能的测量设备的要求YDT 986-1998
14、155 Mbits和622 Mbits光收发合一模块技术条件YDT 987-1998TSPC型单模光纤光缆活动连接器技术条件YDT 1015-1999 用于传输设备的0接口适配器技术要求YDT 1017-1999 同步数字体系(SDH)网络节点接口YDN 002-1996 SDH数字交叉连接设备(SDXC)技术要求YDN026-1997 SDH传输网技术要求-SDH数字通道和复用段的投入业务和维护性能限值YDN 027-1997 SDH传输技术要求环形网YDN 028-1997 SDH光缆系统及设备的保护线性复用段、自愈环及其它类型结构YDN 029-1997 在PDH用络中传送SDH单元-帧
15、与复用结构以及设备的功能描述YDN 037-1997 同步数字体系(SDH)管理网管理功能、ECC和Q3接口协议规范YDN 045-1997 同步数字体系(SDH)管理网网元(NE)信息模型的基本规范YDN 086-1998 SDH传送网网络管理技术体制YDN 099-1998 光同步传送网技术体制YDN 105-1998 同步数字体系(SDH)复用终端设备测试方法YDN 114-1999 同步数字体系(SDH)网元管理功能验证和协议栈检测YDN 121-1999 SDH网的同步状态信息技术规范YDN 123-1999 SDH网传送同步网定时的方法YDN 5019-96 同步数字系列(SDH)
16、微波接力通信系统工程设计暂行规定YDN 5021-96 同步数字系列(SDH)长途光缆传输工程设计暂行规定YDN 5024-96 本地电话网局间中继同步数字系列(SDH)光缆传输工程设计规范YDN 5044-97 同步数字系列(SDH)光缆传输设备安装工程验收暂行规定2.2.4 音视频部分标准厅堂扩声系统声学特性指标(GYJ25-86)厅堂扩声特性测量方法(GB/T4959-1995)电声系统设备互连的优选配接值(GB14197-93)客观评价厅堂语言可懂度的RASTI法(GBJ76-84)厅堂混响时间测量规范(GBJ76-84)64K-1920Kbit/s会议电视进网技术要求GB/T1583
17、9-199564K-1920Kbps会议网络技术体制TZ-20-95会议电视系统工程设计规范YD5032-97会议电视系统工程验收规范YD5033-97全国电子办公系统示范工程建设要点与技术导则民用闭路监视电视系统技术规范 (GB50198-94)工业企业通讯设计规范GBJ42-81工业企业通信接地设计规范GBJ115-872.2.5 机房部分参照标准:电子计算机机房设计规范(GB50174-93)计算站场地技术要求(GB2887-89)计算站场地安全技术(GB9361-88)计算机机房用活动地板的技术要求(GB6650-86)电子计算机机房施工及验收规范(SJ/T30003-93)建筑设计防
18、火规范(TJ16)通风与空调工程施工及验收规范(GB50243-97)高层民用建筑设计防火规范(GB T4 5)火灾自动报警系统设计规范(GBJ116-88)建筑物防雷设计规范(GB50057-94)智能建筑设计标准 (DBJ08-47-95)2.2.6 信息安全部分参照标准涉及国家秘密的计算机信息系统保密技术要求(BMZI 2000)电磁干扰器技术要求和测试方法(3MB420()0)涉密信息设备使用现场的电磁泄漏发射防护要求(BMB 5-2000)信息技术设备的无线电干扰极限值和测量方法(GB9254-88)计算机信息系统保密管理暂行规定2.2.7 电力保障部分参照标准:低压配电设计规范(G
19、B50054-95)供配电系统设计规范(GB50052-95)民用建筑电气设计规范(JGJ/T16-92)电气装置安装工程接地装置施工及验收规范(GB50169-92)电气装置安装工程1KV以下配线工程施工及验收规范(GB50171-92)电气装置安装工程电气照明装置施工及验收规范(GB50150-91)2.2.8 综合布线部分参照标准:建筑与建筑群综合布线系统工程设计规范(GBT 50311-2000)建筑与建筑群综合布线系统工程验收规范(GBT/T 50312-2000)AVAYA SYSTIMAX结构化布线系统设计总则2.2.9 国际标准:EIA/TIA568 工业标准及国际商务建筑布线
20、标准ANSI X3T9.5第3章 监理工作范围根据谈判文件和承诺的内容,本次监理活动的服务范围为:一、项目的整体设计、组织及实施方案的总体把关;1) 协助业主单位共同审核和确认整体设计方案、业务方案、技术实施方案、确保方案符合项目总体目标;2) 审核和确认承建单位的实施人员组织和计划安排;3)审核和确认承建单位的质量保证计划;4)审核确认承建单位的进度控制计划。二、项目的质量控制;1) 对设备和集成工程制定有效的检测方案,保证设备和工程质量符合招投标文件的要求;2) 对硬件设备、系统软件的安装调试进行验收审核;3)对采购的硬件设备、系统软件的质量进行检验、测试和验收审核。三、项目的进度控制;1
21、) 审核承建单位的进度分解计划,确认分解计划可以保证总体计划目标;2) 对项目的实施进行实时跟踪,并要求承建单位对进度计划进行动态调整,以确保总体目标的实施;3) 避免工期出现严重偏差,如出现严重偏差,及时指出并督促承建单位尽快采取措施。四、项目的合同管理;1) 跟踪检查合同的执行情况,确保承建单位按时履约;2) 对合同工期的延误和延期进行解释;3) 对合同变更、索赔等事宜进行协调和确认;4) 根据合同约定,对承建单位提交的付款申请,提出付款建议。五、项目的信息管理;监理单位在本项目负责以下文档的编写:1) 项目建设监理日记、周报、月报及项目大事记;2) 项目协调会、技术研讨会等各类会议的纪要
22、;3) 阶段性项目总结、阶段性项目监理总结、各类监理通知;4) 项目实施期间各类技术文件;5) 合同执行过程中的各类往来文件及存档;六、项目的安全管理;1) 负责监督项目建设过程中所涉及的政府数据和资料的安全保护,保证不被非授权使用;2) 负责项目建设施工过程中安全控制,确保不出现安全事故。七、项目会议制度;为保证监理会工作的开展和实施协调,监理方可组织必要的会言来保证:1) 项目协调会;2) 项目周例会;3) 项目专题研讨会;4) 项目问题通报会;5) 项目阶段及最终验收会。6) 项目专家谁评审会;7) 项目阶段工作总结会。八、设备的开箱检验;按照各批设备的实施计划在设备开箱点对设备进行开箱
23、检验,并造册登记。对于集中安装软件再发送到地市安装实施的,要对开箱设备进行清点并造册登记,对开箱设备的组装和软件安装过程进行全面监督,对组装好的设备贴好封条并每天检查封条是否完好。设备发送到地市后,对设备进行适当抽检,保证每台设备各部件均为原开箱的全新部件且按发货清单配置。九、实施过程规范控制;在设备的实施和软硬件安装的全过程,派出监理人员全程监督,保证实施过程符合规范和工程质量得到保证。十、系统验收。对各套设备中标供应商提出的设备(设备清单及实施地点见项目介绍)验收办法进行审核,助招标人制定合理的系统验收办法,并按验收办法和有关设备的检测方案的要求协同招标人用户集成商对实施完毕的设备进行系统
24、验。第4章 项目控制及主要措施 4.1 工程质量控制目标和措施4.1.1 项目质量目标质量要求就是对整个信息工程与其实施过程所提出的“满足规定或潜在需求的特征和特征的总和” 。质量的考察一般从功能、性能、安全性、可靠性易用性但最根本的是要看工程完成后所能够满足建设单位预期的要求。从本项目的需求来看就是确保高新区道路监控系统的集成、设备、材料、工艺等各项达到合同及相关标准的质量要求以便满足用户的使用要求。4.1.1.1 质量控制方法在监理过程中,主要采用以下方法完成以上任务:1. 组织方法建立健全监理组织,落实质量控制责任。监督承建单位建立健全项目组织,落实质量控制责任。协助建立健全三方的项目实
25、施组织,协调质量控制问题。2. 技术方法协助业主作好需求调研和分析。审核设计方的设计方案审核系统承建单位的细化技术方案。审核系统承建单位的施工方案,对投入物(包括系统软件、第三方控件、人力资源等)进行质量控制,从源头上确保项目能得以高质量地完成。认真把好设备、材料的进场关。认真监督承建单位按方案施工。严格审核变更。做好对系统的综合测试和验收。3. 经济和合同约束方法协助建设单位与承建单位签订工程合同,并在合同中详细约定质量验收要求及验收不符合要求时相应的惩罚处理措施。4.1.1.2 质量控制主要措施1、系统设计质量控制,确保系统设计方案符合项目的建设目标;2、协助建设单位组织工程招投标,选择最
26、好的工程承建单位;3、审查承建单位是否已经建立起其内部的质量保证体系及其运行情况,人员配备及到位情况,审查承建单位质量保证部门质量手册的内容,承建单位项目管理政策,承建单位项目生命周期是否适应本项目的要求。 4、审查系统总集成方案。5、对工程实施过程的质量进行控制,严格按照有关法律法规、信息技术标准,监督工程关键性过程和检查工程阶段性结果,在整个监理过程中强调对工程质量的事前控制,事中监督和事后评估,以确保工程质量合格。6、对项目所要求采购的系统软件等进行质量检查。7、对采购的硬件设备及网络环境的综合质量进行检验、测试和验收8、对系统集成进行总体验收9、审查承建单位提交的技术方案和项目开发计划
27、;10、检查承建单位的试验、测试设备;11、核签测试报告和质量检查记录等;12、组织工程质量评定;13、严格质检和验收,按进度和合同规定的质量要求验收并支付工程款。不符合合同规定的质量要求者,拒付工程款或扣除质量保证金,对质量发生严重事故者将按合同约定予以惩罚。14、审核其他技术文件资料;15、组织整个工程项目的竣工预验收、参与验收;16、在工程质保期内,对各项目的应用情况进行跟踪,协助建设单位监督检查承建单位的工作。4.2 工程进度控制目标和措施4.2.1 项目进度目标信息系统工程进度控制的总目标是通过托各种有效措施保障工程项目在计划时间内完成,即在计划时间内达到竣工验收、试运行和使用。本项
28、目进度目标就是依据工程承包合同所约定的工期目标(在合同签订次日后60天完工),在确保工程质量和安全的原则下,采用动态的控制方法,对工程进度进行主动控制,确保工程按规定的工期完工。4.2.2 进度控制的方法1、组织方法落实进度控制的责任,建立进度控制协调制度。总监理工程师:全面负责进度控制工作,审查工程施工总进度计划。总监理工程师代表:负责施工现场进度控制工作,审查工程施工阶段进度计划。现场监理工程师和监理员:在监理日记中做好进度动态记录。2、 技术方法审核项目总进度计划和各阶段实施计划,跟踪检查监督进度计划的实施。3、 经济和合同约束方法协助建设单位与承建单位签订工程合同,在工程合同中要明确工
29、期要求,并约定工程延期惩罚措施。4.2.3 进度控制的措施1、审查工程施工总进度计划和阶段性计划;2、协助建设单位按时提供开发环境和运行环境;3、进行工程进度动态管理,及时采取纠偏措施,每月向建设单位提交工程进度报告;4、采用承建单位据理申请延期的制度。5、严格审查有关进度方面的签证;6、组织召开监理会议,协调处理工程中出现的包括进度、质量、费用、安全方面的问题;7、当工程目标出现偏离时,应向供应商及时指出,并提出对策和建议,同时督促供应商尽快采取措施;8、监理方除了要定期听取项目组的报告,还要务求精细,对项目组各成员的进度进行把控,同时和项目的质量保证部门保持密切沟通,监督项目的执行情况4.
30、3 工程投资控制目标和措施4.3.1 投资控制目标投资控制的工作目标是确保建设项目按照工程投资计划,确保各项目按照招投标确定的合同价款实施,力求使项目在满足质量和进度要求的前提下实现工程项目实际投资不超过计划投资。确保工程费用控制在合同规定的范围内,并追求项目成果最大化。4.3.2 投资控制的方法1、组织方法建立健全监理组织,完善职责分工及有关制度,落实投资控制的责任。2、技术方法审核项目开发计划和技术方案,审核工程预算、工程款支付,严格控制工程变更。3、经济和合同约束方法协助建设单位与承建单位签订工程合同,在工程合同中要明确费用计算方法,一般采用固定价格合同,并约定对于项目的需求变更在一定比
31、例内,费用不变,控制承建单位因需求变更而要求多付工程款的风险,合理控制投资,保障建设单位利益4.3.3 投资控制的措施1、为编制投资预算提供咨询意见,与工程总体进度计划相协调;2、根据工程投资总预算和各子项目分解预算审查系统设计方案,督促设计单位优化设计,并对技术方案提出合理化建议,控制和节约投资;3、在工程招投标阶段审查中标单位的设备材料清单以及相应的合同条款,控制投资风险;4、协助建设方作好项目支付预算的现金流量表,将支付合同款项进度与工程质量进度相结合,促使履行合同;5、在工程实施过程中严格进行工程计量;6、严格审查进度款申报表,并出具付款凭证;7、严格控制和审查工程变更,核算成本和变化
32、量,报建设单位审批;8、按合同条款支付工程款,防止过早、过量的现金支付;9、审核工程结算;10、全面履约,减少对方提出索赔的条件和机会4.4 知识产权控制在项目监理的整个过程中,对建设单位和承建单位有关技术方案、软件源代码及有关技术秘密等涉及知识产权的内容进行检查、监督和保护。在信息系统工程中,对建设单位和承包单位的需求信息、设计方案、技术文档的保密是一个非常重要的问题,同时还涉及到知识产权保护的问题。这个问题在一般的建设工程中显得不很突出,但信息系统则不同,主要是因为:(1)信息系统在建成后可修改、容易受到恶意的破坏。(2)信息系统一般是根据建设单位业务运作的特点设计的,其中包含大量建设单位
33、的运作的流程、系统参数、客户资料等,如果泄露出去,可能会影响建设单位的正常运作。一些重要的政府部门的信息系统更是如此,比如政府机关、公安系统等。(3)信息系统的实施中(特别是方案设计和软件开发)涉及承包单位的知识产权,有些系统的建设单位得到的仅仅是软件的使用权,知识产权仍然属于承包单位,如果泄露出去,就侵犯了承包单位的合法权益。所以,监理单位必须制定严密的保密措施,同时必须注意保护承包单位的知识产权。4.5 信息安全控制在信息系统工程项目实施过程中,应逐阶段审核系统安全方案的实施情况,以及对系统安全的监理;通过技术和管理手段加强信息系统的安全性。安全的主要内容包括安全防范设施和安全保障机制。要
34、求承建单位在系统设计时充分考虑了应用系统的安全可靠问题,以有效降低系统风险和操作风险,并预防利用计算机系统犯罪。主要包括以下几个方面:4.5.1 安全管理组织安全管理组织的主要任务是:制定计算机信息技术安全管理制度,广泛开展计算机信息技术安全教育,定期或不定期进行,保证计算机系统安全运行。在系统实施过程中,至少设立1名信息技术安全管理人员。4.5.2 建立开发环境安全管理制度1、建立完整的计算机运行日志、操作记录及其它与安全有关的资料;2、由专人负责软件配置管理;3、每天对开发的程序代码进行备份;4、定期检查安全保障设备,确保其处于正常工作状态;5、建立并严格执行机房进出管理制度,无关人员未经
35、安全责任人批准严禁进出机房;6、严禁易燃易爆和强磁物品及其它与机房工作无关的物品进入机房;4.5.3 建立操作安全管理制度1、应采取严密的安全措施,防止无关用户进入系统;2、数据库管理系统的口令必须由专人掌管,并定期更换。禁止同一人掌管操作系统口令和数据库管理系统口令;3、操作人员应有互不相同的用户名操作权限,定期更换操作口令。操作人员认真做好操作记录,严禁泄露自己的操作口令;4、必须启用系统软件提供的安全审计留痕功能;5、各岗位操作权限要严格按岗位职责设置。应定期检查操作员的权限;6、重要岗位的登录过程应增加必要的限制措施;7、必须建立系统开发、维护与使用分离的安全操作原则;8、建立和完善系
36、统,定期进行系统的安全性、稳定性、可靠性和异常操作等方面的监管;9、各部门的计算机应定人管理,禁止非本部门人员操作或从事与本部门业务工作无关的工作。4.5.4 建立计算机系统病毒防范制度1、指定专人负责计算机病毒防范工作。定期进行病毒检测,发现病毒立即处理并报告;2、新系统安装前应进行病毒例行检测;3、经远程通信传送的程序或数据,必须经过检测确认无病毒后方可使用;4、禁止运行未经审核批准的软件;5、采用国家许可的正版防病毒软件并及时更新软件版本。4.6 硬件设施安全措施4.6.1 计算机机房安全措施计算机机房建设应符合国标GB2887-89计算机场地技术条件和GB9361-88(计算站场地安全
37、要求,并根据情况及时维护和完善。机房应单独从大楼总配电间引独立的线路到机房,采用双路供电并有单独的配电柜,计算机系统要设有专用的供配电线路,其容量有一定的余量。机房配备不间断电源设备,其容量应保证机房设备和关键交易设备在断电情况下维持到后备电源供电。无备用发电机时,不间断电源设备应能够持续供电2小时以上。机房的温湿度、空气洁净度、电磁干扰须符合相关国家标准。机房应有完善的防雷接地、防浪涌系统,电源防雷到少三级,进出机房的弱电线(光纤除外)须安装相应的防雷器,机房须有等电位系统。机房有防火、防潮、防尘、防盗、防磁、防鼠等设施。 机房配置备用应急照明装置。4.6.2 服务器安全措施1、服务器全部采
38、用国际上知名品牌服务器,系统稳定。2、服务器内存、硬盘有充足的容量。3、办公自动化系统务器、应用服务器全部采用双机热备份系统。当一台服务器出现问题可以立即切换到另一台。保证系统的稳定运行。4、配备安全可靠的数据存储磁盘阵列柜。4.6.3 网络安全措施1、网络结构合理可靠。2、网络设备应兼具技术先进性和产品成熟性,具有防攻击等功能。3、网络设备有一定的冗余备份。4、通信速率满足正常业务开展的需要。5、应设置好访问控制策略。6、重要网络与公网物理隔离。7、局域与外部网络之间须加防火墙并作好策略设置。4.6.4 设备管理安全措施1、应由专人负责计算机设备的管理。2、计算机设备的登记、保养、维修及报废
39、等必须严格按规定手续办理,重大设备应建立维护档案。3、选用的设备符合国家有关标准的规定,满足可靠性与兼容性要求。4、新购置的设备应经过测试,测试合格后方能投入使用。5、定期对计算机设备进行专业维护保养。6、未经许可,不得擅自开拆设备或调换设备配件。4.6.5 应用软件安全措施应用软件开发严格按照ISO9000质量管理,并结合CMM体系的优点进行管理。(1)软件开发过程符合GB8566-88计算机软件开发规范。(2)开发维护人员与操作人员实行岗位分离,开发环境和现场必须与运行环境和现场隔离。软件设计方案、数据结构、加密算法、源代码等技术资料严禁散失和外泄。(3)应用软件在正式投入使用前经过内部评
40、审,确认系统功能、测试结果和试运行结果均满足设计要求,技术文档齐全,并经批准。(4)应用软件开发人员和安装人员经过严格的操作培训和安全教育。(5)建立应用软件的文档管理制度、版本管理制度及软件分发制度,防止软件的盗用、误用、流失及越权使用。(6)使用的系统软件和应用软件具有统一性。(7)技术人员不得擅自进行软件维护和系统参数调整。(8)采取有效措施,防止对应用软件的非法修改。对软件的正常升级、修改,必须进行严格地全面测试无误后方可投入使用。4.6.6 数据管理安全措施(1)对业务数据实行专人管理。信息技术人员未经许可不得拥有数据库管理员操作口令。(2)按如下要求进行数据备份:1)每个工作日结束
41、后必须制作数据的备份,数据应至少备份在两种不同的介质上并异地存放,保证系统发生故障时能够快速恢复;2)备份的数据由专人负责保管,由计算机信息技术人员按规定的方法同数据保管员进行数据的交接。交接后的备份数据应在指定的数据保管室或指定的场所保管;3)数据保管员对备份数据进行规范的登记管理;4)备份数据不得更改;5)备份数据保管地点有防火、防热、防潮、防尘、防磁、防盗设施。(3)制定系统数据管理制度,对系统数据实施严格的安全与保密管理,并定期对系统数据进行备份, 防止系统数据的非法生成、变更、泄漏、丢失与破坏。系统数据主要包括数据字典、权限设置、存贮分配、网络地址、硬件配置及其它系统配置参数。必须设
42、置系统管理员岗位,对系统数据实行专人管理。系统数据不得泄露。保存系统数据,并定期进行核对。4.6.7 技术事故的防范与处理技术事故是指由于硬件故障、软件故障和操作失误等原因引起系统无法运行,经启动备用系统仍未恢复正常,导致交易中断并造成经济损失的事件。技术事故的防范和处理原则是:预防为主,处理及时, 力争把事故的损失降低到最小程度。应当建立健全技术事故的防范对策,严格按本规范要求建设、管理信息技术系统的硬件设施和软件环境,定期进行事故防范演习,针对薄弱环节不断改进完善。应制定技术事故发生时的应急计划:(1)应急计划必须形成文字;(2)应急计划应针对可能发生的故障制定紧急处理程序;(3)紧急处理
43、程序应张贴在规定的地方;(4)对执行应急计划的全体人员进行专项培训,定期进行演习; (5)根据演习结果不断完善应急计划。4.7 风险控制4.7.1 风险评估又称风险预测,常采用两种方法估价每种风险。一种是估计风险发生的可能性或概率,另一种是估计如果风险发生时所产生的后果。一般来讲,监理方要与项目计划人员、技术人员及其他管理人员一起执行四种风险控制活动:a) 建立一个标准(尺度),以反映风险发生的可能性。b) 描述风险的后果。c) 估计风险对项目和产品的影响。d) 确定风险的精确度,以免产生误解。4.7.2 风险监控风险监控的目的有三个:一是监视风险的状况,例如风险是已经发生、仍然存在还是已经消
44、失;二是检查风险的对策是否有效,监控机制是否在运行;三是不断识别新的风险并制定对策。风险监控常用的方法有:风险审计:专人检查监控机制是否得到执行。并定期作风险审核,例如在大的阶段点重新识别风险并进行分析,对没有预计到的风险制定新的应对计划。偏差分析:与基准计划比较,分析成本和时间上的偏差。例如,未能按期完工、超出预算等都是潜在的问题。技术指标:比较原定技术指标和实际技术指标差异。例如,测试未能达到性能要求,缺陷数大大超过预期等。4.7.3 风险应对方法规避。通过变更项目计划消除风险或风险的触发条件,使目标免受影响。这是一种事前的风险应对策略。例如,采用更熟悉的工作方法、澄清不明确的需求、增加资源和时间、减少项目工作范围、避免不熟悉的分包商等。转移。不消除风险,而是将项目风险的结果连同应对的权力转移给第三方(第三方应该知道这是风险并有承受能力)。这也是一种事前的应对策略,例如,签订不同种类的合同,或签订补偿性合同。 弱化。将风险事件的概率或结果降低到一个可以接受的程度,当然降低概率更为有效。例如,选择更简单的流程、进行更多的实验、建造原型系统