【正文】 252。 總監(jiān)理工程師簽發(fā)項目變更單之前，承建單位不得實施項目變更。216。 監(jiān)理單位應根據(jù)項目變更文件監(jiān)督承建單位實施。216。 監(jiān)理單位及時協(xié)調合同糾紛，公平地調查分析，提出解決建議。 信息安全控制方法和措施和“遼寧金稅三期”工程的其它部分相比，安全平臺的復雜性和專業(yè)性決定了監(jiān)理對于確保平臺的安全具有重要作用，這種作用主要通過以下幾個方面體現(xiàn)出來：216。 幫助建設單位做好安全需求分析，確保安全需求真實、準確地反映了用戶信息安全的要求，能夠切實保護系統(tǒng)，降低系統(tǒng)的安全風險；216。 幫助建設單位確認安全方案是否符合有關國家標準和規(guī)定；216。 幫助建設單位優(yōu)選安全方案；216。 幫助建設單位審核安全工程承建單位的資質；216。 在工程實施階段，代表建設單位對系統(tǒng)承建單位進行監(jiān)督、管理，幫助用戶控制安全工程的進度、成本和工程質量；216。 組織和審核系統(tǒng)安全整體測試，組織工程的安全驗收工作。安全平臺的監(jiān)理不僅僅是一個純粹的技術問題，也不是一個簡單的管理問題，而是同時從技術和管理的角度，對安全平臺的實施過程進行控制和管理，確保信息系統(tǒng)安全策略和安全技術滿足建設單位的需求，并按照設計方案保質保量地實施，最終提供工程監(jiān)理報告，實現(xiàn)預期的目標。信息系統(tǒng)安全工程的監(jiān)理要從質量、進度和成本等方面進行控制。 質量控制承建單位的質量管理與網(wǎng)絡工程類似，安全承建單位的質量管理體現(xiàn)了承建單位本身的管理水平及工程實施的能力，它將直接影響到信息系統(tǒng)安全工程的實施和完成后的質量。信息系統(tǒng)安全工程的承建單位必須取得國家相關主管部門頒發(fā)的相關資質。國家對于若干領域（如：涉及國家秘密領域）信息系統(tǒng)的建設實施非常嚴格的資質管理制度。承建單位內部應建立完整的質量保證體系，對公司內部及所實施的工程項目進行質量管理。監(jiān)理要對承建單位的內部管理體系、質量保證體系、各種資質進行查驗。設計階段的質量控制在設計階段，應對以下內容進行質量控制：216。 安全系統(tǒng)的設計更改；216。 安全產品測試規(guī)范；216。 安全設計的審核和確認；216。 安全設計評審。此外，在監(jiān)理過程中我們要在以下幾個方面加以重視，這是安全平臺工程不同于其它工程監(jiān)理的重要內容：216。 風險分析的有效性、準確性。風險分析是確定安全需求的基礎，風險分析的有效性、準確性是確保系統(tǒng)安全的基礎，監(jiān)理需要從風險分析的方法、流程、結論等方面，把握分析結論的科學性、準確性，從而保證其“可信度”；216。 確保符合國家法令、法規(guī)的要求。信息安全是一個政策性非常強的領域，符合國家法令、法規(guī)是對信息系統(tǒng)安全的基本要求；216。 保證有關評審是在相關職能部門的主持下完成的。信息安全的特殊性、有關法令決定了其評審單位必須是有關職能部門，監(jiān)理應協(xié)助用戶保證這一點，督促承建單位進行方案的評審。采購過程的質量控制信息安全工程采購過程的質量控制除了要保證進場的各種物資符合設計規(guī)定的功能、性能要求外，還必須保證采購的設備具有合法銷售許可證、由合法供應商供應并滿足相關的規(guī)定。國家對于不同類型的信息系統(tǒng)，對其安全產品的選購有明確規(guī)定，如：涉密信息系統(tǒng)只能采購國產自主安全設備和技術，監(jiān)理要幫助建設單位保證所采購的產品滿足國家規(guī)定。216。 明確設計要求（技術規(guī)范和訂貨合同），識別產品偏差；216。 協(xié)助建設單位選擇合格的供貨單位：國家對安全產品的供應廠家資質和產品有非常明確的要求，原則上，所有的安全產品都必須是通過指定部門安全評測的產品，供應廠家具有相應的供貨資質。監(jiān)理必須檢驗廠家所提供產品和供貨資質證明材料的合法性；216。 到貨檢驗：監(jiān)理應確保所到貨安全設備與廠家所提供產品資質和供貨資質一致，國家所頒發(fā)的安全產品資質都有非常明確的型號規(guī)定和有效期規(guī)定。監(jiān)理應督促承建單位及時進行檢查。工程中質量的控制信息安全的實施專業(yè)化程度很高，同時又與其它系統(tǒng)密切相關，與其它工程實施進度上可能交叉進行，涉及的協(xié)調面多，容易出質量問題，而實施過程中的質量缺陷有可能直接導致安全漏洞和缺陷的存在，因此工程質量的控制尤為重要。與其他工程類似,常用的質量控制措施列舉如下：216。 系統(tǒng)實施必須按照最新的圖紙、生效的設計方案進行；216。 通過現(xiàn)場協(xié)調會議等手段及時解決工程中出現(xiàn)的問題；216。 工程人員的資質必須嚴格審查,避免非正常工程帶來的危害；216。 必須督促承建單位嚴格遵守相關工程管理規(guī)定。安全工程實施中，配置漏洞占了安全漏洞的絕大多數(shù),是系統(tǒng)安全運行中的最大隱患。監(jiān)理中，對系統(tǒng)是否按照設計進行配置必須非常關注。驗收階段質量控制監(jiān)理在驗收階段主要進行如下幾方面的質量控制：216。 審核承建單位提交的信息系統(tǒng)安全工程驗收大綱；216。 檢查安全設備的安裝配置是否達到實施方案中的技術指標和性能；216。 審查安全性能的測試結果；216。 檢查各種技術文檔是否齊全。信息系統(tǒng)安全工程驗收由建設單位組織，承建單位參加，委托相關職能部門（如：安全評測機構）或者組織專家委員進行驗收。驗收工作應根據(jù)信息系統(tǒng)的特點，應符合國家相關法律法規(guī)及標準的要求。監(jiān)理在驗收階段重點是確保各項與驗收相關的文檔和數(shù)據(jù)滿足驗收要求，并保證這些文檔和數(shù)據(jù)真實反映信息系統(tǒng)的安全實際情況。 進度控制信息系統(tǒng)安全工程的進度控制與其他工程類似，主要內容有：216。 工程設計階段，對總工期進行控制；監(jiān)督設計單位設計進度計劃的執(zhí)行審核材料和設備采購進度計劃；216。 工程實施階段，完善項目控制進度計劃，審查承建單位工程進度計劃，做好各項動態(tài)控制工作，協(xié)調各單位關系，預防并處理好工程延期造成的索賠，以求實際的工程進度達到計劃工程進度的要求。 成本控制信息系統(tǒng)安全工程的成本控制與其它工程類似，采用相似的方法開展工作。需要說明的是，監(jiān)理單位除了代表建設單位盡可能降低成本外，還應幫助建設單位確保信息安全的合理投入，保證信息安全的投入比例滿足相關規(guī)定。與其它工程不同，信息安全投入的不足導致安全保障能力的降低，后果可能是整個系統(tǒng)失去使用的價值，或使用意義大打折扣，蘊藏對建設單位信息價值的嚴重損害。 工程技術文檔與管理為了便于監(jiān)理單位監(jiān)督和控制承建單位對信息系統(tǒng)安全工程文檔的編制和管理，下面介紹工程的技術文檔和管理文檔等內容。對工程技術文檔的嚴格要求是系統(tǒng)安全工程的一個特點，前面曾經(jīng)提到監(jiān)理的作用是直接通過工程文檔體現(xiàn)出來。一套完善、準確的工程文檔將全面反映工程的實際情況，不僅為項目驗收、測評提供依據(jù)，也是今后運行、維護、改進、提高的基礎。信息系統(tǒng)安全工程技術文檔的管理與其它工程比較類似，但在以下幾個方面需要注意：216。 文檔的準確性。監(jiān)理必須對信息安全文檔的準確性負責。實際工作中，應對文檔的準確性和真實性進行嚴格檢查；216。 文檔的詳細程度。監(jiān)理必須保障若干重要的信息安全建設內容相關文檔的詳細程度，否則，會對項目的驗收和開通造成困難；216。 文檔的格式和構成。信息系統(tǒng)安全性的評測、評估的一項重要內容就是對工程文檔進行審查、分析，因此，為避免不必要的工作量，監(jiān)理應該熟知各相關部門對工程文檔的要求，在文檔編制時，對其格式、內容進行控制和管理。 知識產權保護控制隨著國家、行業(yè)和地區(qū)的有關法律、法規(guī)、規(guī)定的頒布和實施，知識產權保護制度越來越顯得重要。目前，已頒布實施的法律法規(guī)有《中華人民共和國著作權法》、《計算機軟件保護條例》、《北京市政務與公共服務信息化工程建設管理辦法》和《關于政府部門使用正版計算機軟件工作的意見》等，另外還有一些法律正在醞釀中?！斑|寧金稅三期”工程中在系統(tǒng)方案、需求方案、軟件等方面涉及較多的知識產權問題。因此，監(jiān)理機構進行知識產權保護控制時，應該堅持全過程的控制。具體知識產權保護目標包括：216。 方案設計階段知識產權保護目標；216。 設備、材料、系統(tǒng)軟件、管理軟件采購階段知識產權保護目標；216。 系統(tǒng)開發(fā)階段知識產權保護目標。知識產權保護措施：組織措施216。 建立健全監(jiān)理組織，完善職責分工及有關知識產權保護監(jiān)督制度。技術措施216。 方案設計階段，協(xié)助方案設計單位完善知識產權保護制度；216。 設備采購階段，建立健全設備檢查驗收制度，嚴防假冒產品、未按正常渠道進關產品、非正版產品進場；216。 系統(tǒng)開發(fā)階段，建立健全知識產權保護制度，嚴格要求工程各方互相尊重對方的知識產權。經(jīng)濟措施216。 建立健全知識產權保護制度，使工程實施和運行過程發(fā)生知識產權事故時對責任單位賞罰分明。5 監(jiān)理工作內容 各個階段的監(jiān)理內容 招標投標階段1. 協(xié)助建設單位編寫招標文件；2. 協(xié)助建設單位與中標單位談判簽訂項目承包合同。 方案設計監(jiān)理1. 協(xié)助建設單位編寫設計要求文件（需求說明書等）；2. 協(xié)助建設單位和專家委員會審查和選擇設計單位；3. 配合中標的設計單位對方案設計進行技術經(jīng)濟分析，優(yōu)化設計；4. 組織審核技術方案；5. 審核技術方案中的信息安全保障措施；6. 審核方案中主要設備、材料清單及其適用性；7. 協(xié)助組織設計文件的報批；8. 對方案設計進行知識產權保護監(jiān)督。 軟件開發(fā)監(jiān)理1． 軟件開發(fā)監(jiān)理的主要工作：216。 資源配置檢查：開發(fā)人員、軟硬件開發(fā)環(huán)境等檢查；216。 參與需求分析，開發(fā)計劃：系統(tǒng)和子系統(tǒng)的月、周計劃檢查和評審；216。 質量計劃檢查：執(zhí)行標準、測試、調試計劃等檢查和評審；216。 組織需求評審；216。 參加設計評審；216。 檢查編程進度；216。 檢查模塊、子系統(tǒng)測試情況；216。 進行開發(fā)環(huán)境下的系統(tǒng)集成監(jiān)理確認測試；216。 軟件文檔的審查；216。 試運行驗收。 設備采購和安裝監(jiān)理1. 工程材料、硬件設備、系統(tǒng)軟件的質量、到貨時間的審核；2. 網(wǎng)絡主機系統(tǒng)工程實施階段的質量、進度監(jiān)理和驗收；1. 針對項目特點和承建單位專業(yè)分工實施專業(yè)監(jiān)理，包括外購硬件和軟件；2. 承建單位開發(fā)的軟件；布線、網(wǎng)絡系統(tǒng)集成等；重點控制開發(fā)軟件和系統(tǒng)集成；3. 外購硬件和軟件監(jiān)理的主要工作：外購硬件：主機、pc機、網(wǎng)絡和通訊設備等檢查；外購軟件：數(shù)據(jù)庫、操作系統(tǒng)、開發(fā)工具、防火墻等軟件檢查；外購材料、配件：線纜、信息插座、橋架等檢查。 工程實施監(jiān)理1. 工程開工前的監(jiān)理：1) 審核實施設計方案：開工前，由監(jiān)理單位組織實施方案的審核，內容包括設計交底，了解工程需求、質量要求，依據(jù)設計招標文件，審核總體設計方案和有關的技術合同附件，以避免因設計失誤造成工程實施的障礙。2) 審批實施組織設計：對實施單位的實施準備情況進行監(jiān)督。3) 審核實施進度計劃：對實施單位的實施進度計劃進行評估和審查。4) 審核工程實施人員，審核承建單位資質。 2. 實施準備階段的監(jiān)理1) 審批開工申請，確定開工日期2) 了解承建單位設備訂單的定購和運輸情況3) 了解實施條件準備情況4) 了解承建單位工程實施前期的人員組織、實施設備到位情況3. 實施及驗收階段的監(jiān)理1) 組織審查系統(tǒng)試運行方案和項目驗收大綱；2) 檢查系統(tǒng)的試運行工作日志或紀錄；3) 審查各專業(yè)（布線、網(wǎng)絡、軟件）的初步驗收測試報告；4) 組織計算機網(wǎng)絡系統(tǒng)驗收測試；5) 組織應用系統(tǒng)的驗收測試；6) 監(jiān)查系統(tǒng)的調試和試運行情況，記錄系統(tǒng)試運行數(shù)據(jù)；7) 對試運行期系統(tǒng)進行檢測，做出檢測報告；8) 對試運行期間系統(tǒng)出現(xiàn)的質量問題進行記錄，并責成有關單位解決；解決問題后，進行二次監(jiān)測；9) 組織項目的考核和驗收的評審會議工作；10) 協(xié)助辦理系統(tǒng)和文檔的交付；編寫并提交項目監(jiān)理總結報告；11) 系統(tǒng)驗收完畢進入保修階段的審核與簽發(fā)移交證書；12) 核實已完成工程的數(shù)量、質量，報送建設單位做為支付工程價款的依據(jù)。 工程結束后的移交1. 系統(tǒng)的設計方案、設計圖紙的全部移交2. 設備、軟件、材料等的驗收文檔核實3. 工程實施文檔的移交4. 工程竣工文檔的移交5. 工程項目的整體移交 軟件開發(fā)過程的監(jiān)理 軟件管理過程的監(jiān)理承建單位軟件管理過程是保證應用軟件系統(tǒng)建設質量的重要基礎，軟件管理過程監(jiān)理關心的內容是應用軟件系統(tǒng)建設承建單位的軟件管理能力。應用軟件系統(tǒng)建設承建單位軟件管理過程監(jiān)理的目標是確保軟件承建單位制定具有規(guī)范的、標準的項目軟件過程；承建單位依據(jù)項目軟件過程對項目進行計劃和管理。軟件管理過程監(jiān)理的主要內容包括：l 監(jiān)督應用軟件系統(tǒng)建設承建單位根據(jù)項目合同和應用軟件系統(tǒng)需求，制定項目軟件工程和管理活動，結合成為密切相關、定義完整的項目軟件過程；l 評估項目軟件過程的技術合理性，包括是否符合標準和規(guī)范，是否符合項目合同和建設單位技術要求；l 項目軟件過程文檔化，并得到批準；監(jiān)督和控制承建單位的項目軟件過程的狀態(tài)，促使承建單位支持和實施項目軟件過程，提高軟件項目實施的計劃性，減少軟件項目實施的風險；l 監(jiān)督應用軟件系統(tǒng)建設承建單位在軟件開發(fā)過程中按照項目軟件過程的規(guī)范實施，跟蹤、記錄和審查軟件管理過程活動。 軟件項目計劃監(jiān)理軟件項目計劃為實施和管理軟件項目活動提供基礎，并根據(jù)軟件項目資源、約束條件和能力向建設單位提出承諾。軟件項目計劃監(jiān)理的目標是：l 監(jiān)督承建單位形成軟件規(guī)模估計文檔，以供計劃和跟蹤軟件項目使用；l 監(jiān)督承建單位制定軟件項目的活動和約定，并形成文檔。l 軟件項目計劃監(jiān)理的主要活動包括以下方面：l 確保軟件承建單位在項目軟件過程規(guī)范約定的基礎上制定軟件項目計劃；l 監(jiān)督承建單位為實施軟件工程和管理軟件項目制定合理的軟件項目計劃，包括進行軟件規(guī)模估計和軟件風險分析，建立軟件項目組織，確定軟件項目生命周期，進行軟件項目策劃，確定必要的約定；l 監(jiān)督承建單位依據(jù)書面規(guī)程制定項目的軟件項目計劃，確認計劃內容是否滿足標準、規(guī)范及合同要求；l 審查承建單位編寫的軟件項目計劃文檔，軟件項目計劃包括：軟件項目的用途、范圍、目標和對象，軟件開發(fā)計劃，軟件配置管理，軟件質量保證，軟件框架設計，問題跟蹤與排除方法，軟件度量；l 審查承建單位標明、建立和保持對軟件項目的控制所必需的軟件工作產品；l 審查承建單位依據(jù)書面規(guī)程估計軟件工作產品規(guī)模，估計軟件項目的工作量和成本，估計項目的關鍵計算機資源；l 監(jiān)督承建單位依據(jù)書面規(guī)程制定項目的軟件進度計劃，分析承建單位制定項目的軟件工程設備和支持工具計劃的合理性、可行性，分析軟件進度計