【文章內(nèi)容簡介】 統(tǒng)安全的監(jiān)理；通過技術和管理手段加強信息系統(tǒng)的安全性。安全的主要內(nèi)容包括安全防范設施和安全保障機制。要求承建單位在系統(tǒng)設計時充分考慮了應用系統(tǒng)的安全可靠問題，以有效降低系統(tǒng)風險和操作風險，并預防利用計算機系統(tǒng)犯罪。主要包括以下幾個方面： 安全管理組織安全管理組織的主要任務是：制定計算機信息技術安全管理制度，廣泛開展計算機信息技術安全教育，定期或不定期進行，保證計算機系統(tǒng)安全運行。在系統(tǒng)實施過程中，至少設立1名信息技術安全管理人員。 建立開發(fā)環(huán)境安全管理制度建立完整的計算機運行日志、操作記錄及其它與安全有關的資料；由專人負責軟件配置管理；每天對開發(fā)的程序代碼進行備份；定期檢查安全保障設備,確保其處于正常工作狀態(tài)；建立并嚴格執(zhí)行機房進出管理制度,無關人員未經(jīng)安全責任人批準嚴禁進出機房；嚴禁易燃易爆和強磁物品及其它與機房工作無關的物品進入機房； 建立操作安全管理制度應采取嚴密的安全措施,防止無關用戶進入系統(tǒng)；數(shù)據(jù)庫管理系統(tǒng)的口令必須由專人掌管,并定期更換。禁止同一人掌管操作系統(tǒng)口令和數(shù)據(jù)庫管理系統(tǒng)口令；操作人員應有互不相同的用戶名操作權限,定期更換操作口令。操作人員認真做好操作記錄,嚴禁泄露自己的操作口令；必須啟用系統(tǒng)軟件提供的安全審計留痕功能；各崗位操作權限要嚴格按崗位職責設置。應定期檢查操作員的權限；重要崗位的登錄過程應增加必要的限制措施；必須建立系統(tǒng)開發(fā)、維護與使用分離的安全操作原則；建立和完善系統(tǒng),定期進行系統(tǒng)的安全性、穩(wěn)定性、可靠性和異常操作等方面的監(jiān)管；各部門的計算機應定人管理,禁止非本部門人員操作或從事與本部門業(yè)務工作無關的工作。 建立計算機系統(tǒng)病毒防范制度指定專人負責計算機病毒防范工作。定期進行病毒檢測,發(fā)現(xiàn)病毒立即處理并報告；新系統(tǒng)安裝前應進行病毒例行檢測；經(jīng)遠程通信傳送的程序或數(shù)據(jù),必須經(jīng)過檢測確認無病毒后方可使用；禁止運行未經(jīng)審核批準的軟件；采用國家許可的正版防病毒軟件并及時更新軟件版本。 硬件設施安全措施 計算機機房安全措施計算機機房建設應符合國標GB288789《計算機場地技術條件》和GB936188(《計算站場地安全要求》,并根據(jù)情況及時維護和完善。機房應單獨從大樓總配電間引獨立的線路到機房，采用雙路供電并有單獨的配電柜,計算機系統(tǒng)要設有專用的供配電線路,其容量有一定的余量。機房配備不間斷電源設備,其容量應保證機房設備和關鍵交易設備在斷電情況下維持到后備電源供電。無備用發(fā)電機時,不間斷電源設備應能夠持續(xù)供電2小時以上。機房的溫濕度、空氣潔凈度、電磁干擾須符合相關國家標準。機房應有完善的防雷接地、防浪涌系統(tǒng)，電源防雷到少三級，進出機房的弱電線（光纖除外）須安裝相應的防雷器，機房須有等電位系統(tǒng)。機房有防火、防潮、防塵、防盜、防磁、防鼠等設施。 機房配置備用應急照明裝置。 服務器安全措施服務器全部采用國際上知名品牌服務器，系統(tǒng)穩(wěn)定。服務器內(nèi)存、硬盤有充足的容量。辦公自動化系統(tǒng)務器、應用服務器全部采用雙機熱備份系統(tǒng)。當一臺服務器出現(xiàn)問題可以立即切換到另一臺。保證系統(tǒng)的穩(wěn)定運行。配備安全可靠的數(shù)據(jù)存儲磁盤陣列柜。 網(wǎng)絡安全措施網(wǎng)絡結(jié)構(gòu)合理可靠。網(wǎng)絡設備應兼具技術先進性和產(chǎn)品成熟性,具有防攻擊等功能。網(wǎng)絡設備有一定的冗余備份。通信速率滿足正常業(yè)務開展的需要。應設置好訪問控制策略。重要網(wǎng)絡與公網(wǎng)物理隔離。局域與外部網(wǎng)絡之間須加防火墻并作好策略設置。 設備管理安全措施應由專人負責計算機設備的管理。計算機設備的登記、保養(yǎng)、維修及報廢等必須嚴格按規(guī)定手續(xù)辦理,重大設備應建立維護檔案。選用的設備符合國家有關標準的規(guī)定,滿足可靠性與兼容性要求。新購置的設備應經(jīng)過測試,測試合格后方能投入使用。定期對計算機設備進行專業(yè)維護保養(yǎng)。未經(jīng)許可,不得擅自開拆設備或調(diào)換設備配件。 應用軟件安全措施（一般是與設備配套的成熟軟件，如需開發(fā)則有必要）應用軟件開發(fā)嚴格按照ISO9000質(zhì)量管理，并結(jié)合CMM體系的優(yōu)點進行管理。(1)軟件開發(fā)過程符合GB856688《計算機軟件開發(fā)規(guī)范》。(2)開發(fā)維護人員與操作人員實行崗位分離,開發(fā)環(huán)境和現(xiàn)場必須與運行環(huán)境和現(xiàn)場隔離。軟件設計方案、數(shù)據(jù)結(jié)構(gòu)、加密算法、源代碼等技術資料嚴禁散失和外泄。(3)應用軟件在正式投入使用前經(jīng)過內(nèi)部評審,確認系統(tǒng)功能、測試結(jié)果和試運行結(jié)果均滿足設計要求,技術文檔齊全,并經(jīng)批準。(4)應用軟件開發(fā)人員和安裝人員經(jīng)過嚴格的操作培訓和安全教育。(5)建立應用軟件的文檔管理制度、版本管理制度及軟件分發(fā)制度,防止軟件的盜用、誤用、流失及越權使用。(6)使用的系統(tǒng)軟件和應用軟件具有統(tǒng)一性。(7)技術人員不得擅自進行軟件維護和系統(tǒng)參數(shù)調(diào)整。(8)采取有效措施,防止對應用軟件的非法修改。對軟件的正常升級、修改,必須進行嚴格地全面測試無誤后方可投入使用。 數(shù)據(jù)管理安全措施（只是針對視頻備份的保存，不存在數(shù)據(jù)庫，如有也是固值數(shù)據(jù)庫吧？對監(jiān)控視頻的調(diào)用需進行管理）(1)對業(yè)務數(shù)據(jù)實行專人管理。信息技術人員未經(jīng)許可不得擁有數(shù)據(jù)庫管理員操作口令。(2)按如下要求進行數(shù)據(jù)備份：1)每個工作日結(jié)束后必須制作數(shù)據(jù)的備份,數(shù)據(jù)應至少備份在兩種不同的介質(zhì)上并異地存放,保證系統(tǒng)發(fā)生故障時能夠快速恢復；2)備份的數(shù)據(jù)由專人負責保管,由計算機信息技術人員按規(guī)定的方法同數(shù)據(jù)保管員進行數(shù)據(jù)的交接。交接后的備份數(shù)據(jù)應在指定的數(shù)據(jù)保管室或指定的場所保管；3)數(shù)據(jù)保管員對備份數(shù)據(jù)進行規(guī)范的登記管理；4)備份數(shù)據(jù)不得更改；5)備份數(shù)據(jù)保管地點有防火、防熱、防潮、防塵、防磁、防盜設施。(3)制定系統(tǒng)數(shù)據(jù)管理制度,對系統(tǒng)數(shù)據(jù)實施嚴格的安全與保密管理,并定期對系統(tǒng)數(shù)據(jù)進行備份, 防止系統(tǒng)數(shù)據(jù)的非法生成、變更、泄漏、丟失與破壞。系統(tǒng)數(shù)據(jù)主要包括數(shù)據(jù)字典、權限設置、存貯分配、網(wǎng)絡地址、硬件配置及其它系統(tǒng)配置參數(shù)。必須設置系統(tǒng)管理員崗位,對系統(tǒng)數(shù)據(jù)實行專人管理。系統(tǒng)數(shù)據(jù)不得泄露。保存系統(tǒng)數(shù)據(jù),并定期進行核對。 技術事故的防范與處理技術事故是指由于硬件故障、軟件故障和操作失誤等原因引起系統(tǒng)無法運行,經(jīng)啟動備用系統(tǒng)仍未恢復正常,導致交易中斷并造成經(jīng)濟損失的事件。技術事故的防范和處理原則是：預防為主,處理及時, 力爭把事故的損失降低到最小程度。應當建立健全技術事故的防范對策,嚴格按本規(guī)范要求建設、管理信息技術系統(tǒng)的硬件設施和軟件環(huán)境,定期進行事故防范演習,針對薄弱環(huán)節(jié)不斷改進完善。應制定技術事故發(fā)生時的應急計劃：(1)應急計劃必須形成文字；(2)應急計劃應針對可能發(fā)生的故障制定緊急處理程序；(3)緊急處理程序應張貼在規(guī)定的地方；(4)對執(zhí)行應急計劃的全體人員進行專項培訓,定期進行演習； (5)根據(jù)演習結(jié)果不斷完善應急計劃。 風險控制 風險評估又稱風險預測，常采用兩種方法估價每種風險。一種是估計風險發(fā)生的可能性或概率，另一種是估計如果風險發(fā)生時所產(chǎn)生的后果。一般來講，監(jiān)理方要與項目計劃人員、技術人員及其他管理人員一起執(zhí)行四種風險控制活動：a) 建立一個標準（尺度），以反映風險發(fā)生的可能性。b) 描述風險的后果。c) 估計風險對項目和產(chǎn)品的影響。d) 確定風險的精確度，以免產(chǎn)生誤解。 風險監(jiān)控風險監(jiān)控的目的有三個：一是監(jiān)視風險的狀況，例如風險是已經(jīng)發(fā)生、仍然存在還是已經(jīng)消失；二是檢查風險的對策是否有效，監(jiān)控機制是否在運行；三是不斷識別新的風險并制定對策。風險監(jiān)控常用的方法有：風險審計：專人檢查監(jiān)控機制是否得到執(zhí)行。并定期作風險審核，例如在大的階段點重新識別風險并進行分析，對沒有預計到的風險制定新的應對計劃。偏差分析：與基準計劃比較，分析成本和時間上的偏差。例如，未能按期完工、超出預算等都是潛在的問題。技術指標：比較原定技術指標和實際技術指標差異。例如，測試未能達到性能要求，缺陷數(shù)大大超過預期等。 風險應對方法規(guī)避。通過變更項目計劃消除風險或風險的觸發(fā)條件，使目標免受影響。這是一種事前的風險應對策略。例如，采用更熟悉的工作方法、澄清不明確的需求、增加資源和時間、減少項目工作范圍、避免不熟悉的分包商等。轉(zhuǎn)移。不消除風險，而是將項目風險的結(jié)果連同應對的權力轉(zhuǎn)移給第三方（第三方應該知道這是風險并有承受能力）。這也是一種事前的應對策略，例如，簽訂不同種類的合同，或簽訂補償性合同。 弱化。將風險事件的概率或結(jié)果降低到一個可以接受的程度，當然降低概率更為有效。例如，選擇更簡單的流程、進行更多的實驗、建造原型系統(tǒng)、增加備份設計等。 接受。不改變項目計劃（或沒有合適的策略應付風險），而考慮發(fā)生后如何應對。例如制定應急計劃或退卻計劃、甚至僅僅進行應急儲備和監(jiān)控，待發(fā)生時隨機應變。 建立項目風險列表（有點不搭）軟件項目風險管理是一種特殊的規(guī)劃方式，當對軟件項目有較高的期望值時，一般都要進行風險分析。進行過大中型項目開發(fā)的人都親身體驗到許多事情可能出錯，最成功的項目就是采取積極的步驟對要發(fā)生或即將發(fā)生的風險進行管理。對任何一個軟件項目，可以有最佳的期望值，但更應該要有最壞的準備，“最壞的準備”在項目管理中就是進行項目的風險分析。所以我們建議在實施信息化系統(tǒng)項目時應該冷靜的分析項目存在的風險，建立項目風險列表，盡量減小項目風險。 安全生產(chǎn)文明施工控制安全生產(chǎn)是施工管理的一項重要內(nèi)容，也是監(jiān)理的一項工作責職，本公司將通過以下措施來控制安全文明施工。 施工組織方案深化階段控制措施要求承建方建立安全文明生產(chǎn)的完整體系。聽取業(yè)主對安全文明施工的要求，并要求承建方加到體系中去。審核安全文明生產(chǎn)體系方案，確保承建方嚴格服從監(jiān)理公司和用戶要求，有專門人員負責施工隊伍的安全生產(chǎn)和文明施工，職責明確，在人員安全，機械正常，成品保護，職工紀律和隊風建設各方面有效把關。承建方的安全文明生產(chǎn)體系應包含如下內(nèi)容。 明確安全生產(chǎn)組織管理體系及職責成立安全生產(chǎn)（施工）領導小組，由項目經(jīng)理擔任組長，項目經(jīng)理和技術總監(jiān)擔任副組長：組員：工程技術人員，質(zhì)檢人員、施工隊長。項目經(jīng)理負責工程整體安全管理和協(xié)調(diào)工作。項目經(jīng)理負責施工人員、設備，施工過程等安全；技術總監(jiān)負責施工技術安全。 明確安全措施(1) 保證施工實施安全178。 施工人員進入施工現(xiàn)場前，進行安全生產(chǎn)教育，并在每次調(diào)度會上，都將安全生產(chǎn)放到議事日程上，做到處處不忘安全生產(chǎn)，時刻注意安全生產(chǎn)。178。 施工現(xiàn)場工作人員必須嚴格按照安全生產(chǎn)、文明施工的要求，積極推行施工現(xiàn)場的標準化管理，按施工組織設計，科學組織施工。178。 按照施工總平面圖設置臨時設施，嚴禁侵占場內(nèi)道路及安全防護等設施。178。 施工現(xiàn)場全體人員必須嚴格執(zhí)行《建筑安裝工程安全技術規(guī)程》和《建筑安裝工人安全技術操作規(guī)程》。178。 施工人員應正確使用勞動保護用品，進入施工現(xiàn)場必須戴安全帽，高處作業(yè)必須拴安全帶。嚴格執(zhí)行操作規(guī)程和施工現(xiàn)場的規(guī)章制度，禁止違章指揮和違章作業(yè)。178。 施工用電、現(xiàn)場臨時電線路、設施的安裝和使用必須按照建設部頒發(fā)的《施工臨時用電安全技術防范》（JGJ4688）規(guī)定操作，嚴禁私自拉電或帶電作業(yè)。178。 使用電氣設備、電動工具應有可靠保護接地，隨身攜帶和使用的工具應擱置于順手穩(wěn)妥的地方，防發(fā)生事故傷人。178。 高處作業(yè)必須設置防護措施，并符合JGJ8091《建筑施工高處作業(yè)安全技術規(guī)范》的要求。178。 施工用的高凳、梯子、人字梯、高架車等，在使用前必須認真檢查其牢固性。梯外端應采取防滑措施，并不得墊高使用。在通道處使用梯子，應有人監(jiān)護或設圍欄。178。 人字梯距梯腳4060cm處要設拉繩，施工中，不準站在梯子最上一層工作，且嚴禁在這上面放工具和材料。178。 吊裝作業(yè)時，機具、吊索必須先經(jīng)嚴格檢查，不合格的禁用，防止發(fā)生事故。178。 立桿時，應有統(tǒng)一指揮，緊密配合，防止桿身擺動，在桿上作業(yè)時，應系好安全繩。178。 在豎井內(nèi)作業(yè)，嚴禁隨意蹬踩電纜或電纜支架；在井道內(nèi)作業(yè)，要有充分照明；安裝電梯中的線纜時，若有相鄰電梯，應加倍小心注意相鄰電梯的狀態(tài)。178。 遇到不可抗力的因素（如暴風、雷雨），影響某些作業(yè)施工安全，按有關規(guī)定辦理停止作業(yè)手續(xù)，以保障人身、設備等安全。178。 當發(fā)生安全事故時，由安全生產(chǎn)領導小組負責查原因，提出改進措施，上報項目經(jīng)理，由項目經(jīng)理與有關方面協(xié)商處理；發(fā)生重大安全事故時，公司應立即報告有關部門和用戶，按政府有關規(guī)定處理，做到四不放過，即事故原因不明不放過，事故不查清責任不放過，事故不吸取教訓不放過，事故不采取措施不放過。178。 安全生產(chǎn)領導小組負責現(xiàn)場施工技術安全的檢查和督促工作，并做好記錄。178。 夜間施工注意事項（噪聲、光污染等，開挖管道、基坑危險警戒提示等避免人員傷亡，）；工程施工車輛（登高車以及水泥灌裝車）市區(qū)工作注意事項（特種工作持證操作，車輛周圍必須安全警戒等）；施工現(xiàn)場清理（出土堆放；水泥攪拌；草坪恢復等施工清理）(2)防火安全措施178。 工地項目管理設防火責任人建立完善的安全防火責任制。178。 消防滅火器材必須按規(guī)定配置足夠，定期檢查有效性，并放置在明顯的地方。178。 施工現(xiàn)場應邊施工，邊清理，收工時，應再打掃一遍，確保施工現(xiàn)場整潔有序（放錯位置了吧）。178。 施工現(xiàn)場嚴禁吸煙，凡有焊接構(gòu)件的都要與甲方協(xié)商作好防火工作，配備滅火用水或來火器，焊完下班前檢查是否留下火種，及時清理。178。 經(jīng)常檢查電線電纜，防止絕緣老化漏電或短路而引起火災及觸電事故。178。 機房安裝防火措施（帶電操作以及帶電試運行）機房日常防火措施（氣體滅火器；氣態(tài)噴淋；安全教育；機房管理等等軟硬件措施）(3)用電安全178。 仔細檢查在工作區(qū)域內(nèi)是否存在潛在的危險，比如電源未接地、電源接地不可靠，地面潮濕等。178。 在設備安裝前，要知道設備安裝所屬區(qū)域的緊急電源開關的位置