信息系统监理考试重点总结.doc

信息系统工程是指信息化工程建设中的信息网络系统、信息资源系统、信息应用系统的新建、升级、改造工程。信息网络系统是指以信息技术为主要手段建立的信息处理、传输、交换和分发的计算机网络系统。信息资源系统是指以信息技术为主要手段建立的信息资源采集、存储、处理的资源系统。 信息应用系统是指以信息技术为主要手段建立的各类业务管理的应用系统。信息系统工程监理是指在政府工商管理部门注册的且具有信息系统工程监理资质的单位，受建设单位委托，依据国家有关法律法规、技术标准和信息系统工程监理合同，对信息系统工程项目实施的监督管理。信息系统工程监理单位 广义地说，从事信息系统工程监理业务的单位称为信息系统工程监理单位。从行业管理的角度讲，信息系统工程监理单位是指具有独立企业法人资格，并具备规定数量的监理工程师和注册资金、必要的软硬件设备、完善的管理制度和质量保证体系、固定的工作场所和相关的监理工作业绩，取得信息产业部颁发的信息系统工程监理资质证书，从事信息系统工程监理业务的单位。本书所称监理单位一般是指持有监理资质证书的单位。监理内容监理活动的主要内容被概括为“四控、三管、一协调”。1)四控 信息系统工程质量控制: 信息系统工程进度控制; 信息系统工程投资控制:信息系统工程变更控制。2)三管 信息系统工程合同管理; 信息系统工程信息管理;信息系统工程安全管理3)一协调在信息系统工程实施过程中协调有关单位及人员间的工作关系。信息系统项目管理的要素1立项管理1）立项阶段的主要工作内容(1)立项准备:在应用驱动下，经过调查研究和需求分析，准确描述出项目的目标和可交付的成果。(2)立项申请:形成立项申请书或者更细化地分成项目建议书和项目可行性研究报告。(3)立项审批:根据业务需求、预定目标、可行性、资金实力、效益分析等要素进行。 (4)招投标及合同签订:进行招标(邀标)、投标、评标(议标)、商务谈判，选定信息系统集成商和信息系统监理单位签订合同。2）系统方法系统方法是解决复杂问题的一种整体分析方法，包括系统观念、系统分析和系统管理。系统观念是指一整套系统地思考事物的思维模式。当事人需要对项目有全盘的考虑，认清项目在整个单位，有时甚至需要超出本单位所处的位置、作用和环境使该项目建成后能有效地服务于本单位需求。系统分析是研究问题的一种方法。当事人首先要确定本项目所覆盖的范围和所要达到的总目标，然后将其分解为各个组成要素，识别和评价各要素存在的问题、机会、约束和需求，最终找到一个最优的、至少是满意的解决方案或行动计划，并考查其在整个系统中的可行性。 系统管理是指在系统发生变革的情况下处理诸如业务、技术和组织等方面的事宜，以使综合效果最佳。项目经理在整个项目管理中都应采用系统方法，在立项阶段，特别要强调系统观念和系统分析。2计划管理项目计划是用来生成和协调诸如质量计划、进度计划、成本计划等所有计划的总计划，是指导整个项目执行和控制的文件。项目计划的主要内容1)项目简介2)项目进度 (1)阶段的划分，各阶段完成日期、交付的成果。(2)列出项目活动间的相互依赖关系。 (3)提出为保证项目进度所需的条件。(4)形成进度管理计划的基础。3)项目预算 (1)提出对项目所需资金的整体估算及按年度或月度的预算估算。 (2)指出预算的可伸缩程度可浮动范围或不可更改。 (3)项目成本构成。(4)形成成本管理计划的基础。3人员管理1.项目组织方式与单位组织结构密切相关 单位组织结构的三种类型为职能型、领域型和矩阵型。(1)单位按职能类别划分部门(2)单位按应用业务领域类别划分部门(3)单位由职能部门和项目组构成2.项目团队建设1)确定团队结构，定编定岗2)团队建设的核心:用人和教人3.项目经理要有权力、能力和魅力(1)激励项目组成员(2)要重视人员培训1)项目经理的权力(1)获取项、目组人员及进行任务分配的权力:(2)获取项目组所需环境条件的权力;(3)支配相应的预算及资金权力;(4)按公司规定奖励优秀员工的权力;(5)按公司规定对失职、未完成任务等事或人进行处理甚至处罚的权力;(6)根据项目进展需要在紧急情况下进行随机处置的权力2)项目经理要具有的能力 (1)判断与决策能力(2)用人能力知人善任 (3)专业技术能力(4)应变应急处置能力 (5)不断学习和不断创新的能力。(6)善于运用所掌握的权力的能力4质量管理 项目质量管理由质量计划编制、质量保证和质量控制三方面构成。1、质量计划编制包括: (1)综合合同中或标准中的相关条款，形成本项目的质量标准; (2)确认在项目的实施过程中达到项目质量标准的主要方法及组织落实; (3)必要时可供采取的纠正措施。信息系统项目的质量范围主要包括:系统功能和特色，系统界面和输出，系统性能，系统可靠性，系统可维护性等。2、质量保证质量保证是指为实现质量计划和不断改进质量所开展的所有活动。承建单位投入到该项目的全体人员在质量保证中的活动起决定性作用，监理单位在质量管理中的另一个职能是在质量控制中发挥主导作用。3、质量控制质量控制是指信息系统工程实施过程中在对信息系统质量有重要影响的关键时段进行质量检查、确认、决策及采取相应措施。1)检查通过测试等方法检查该阶段实施过程及其结果的质量状况。 2)确认在对质量状况进行分析的基础上，分别对成绩、事故及事故预兆进行确认。3)决策处理事故，例如决定是否返工，是否需要组织专门的小组负责解决和纠正质量问题。4)采取措施(1)通过采取适当措施之后使不合格项达到预定要求;(2)采取过程调整等预防措施以防止进一步质量问题的发生。5)使用质量控制工具和技术(1)测试:单元测试、综合测试、系统测试等。(2)统计抽样和标准差、6等。(3)帕累托分析。(4)其他。成本控制的目标和作用是: (1)尽量使项目的执行不超出原定预算; (2)必要时提出预算修正案; (3)对实际发生的预算事件提出纠正措施，分析原因，总结教训。成本控制中常采用辅助工具和技术:典型的有挣值分析等。6进度管理1.任务分解与排序1)任务分解(1)本工作单元的目标; (2)本工作单元预期历时、成本和资源要求; (3)与别的工作单元的关系; (4)其他相关信息，例如约束条件等任务排序的输出是形成项目的各子任务及工作单元的关系与次序图。例如项目网络图、箭线图(ADM )、双代号网络图(AOA)、前导图( PDM)等。建立进度计划常用工具和方法有:(1)甘特图; (2)关键路径法(CPM ) ; (3)计划评审技术(PERT )。7变更与风险管理风险是指可能发生的损失、损害及危险。首先要识别风险来源，由此可预测风险事件的发生与识别风险症状。可采用流程图(或称鱼刺图)和访谈等工具、方法帮助我们识别风险。风险分析：要尽量采用量化方法进行风险分析风险应对 (1)应对风险的三项基本措施:规避、接受和减轻。(2)制定风险应对计划并执行，包括:风险管理计划、应急计划和应急储备。风险控制 风险控制包括:随时追踪风险己经、正在和将要发生的变化;预测和判断风险的应对是否会引起更新的风险发生;对用于风险管理的资源配置进行调整;调整风险应对计划;采取临时紧急应变措施等。1) 信息系统安全的五个层面：物理层面安全、网络层面安全、系统层面安全、应用层面安全和管理层面安全。信息系统安全技术要求分为四个方面。 (1)物理安全:包括设备、设施、环境和介质; (2)运行安全:包括风险分析、检测监控、审计、防病毒、备份与故障恢复等; (3)信息安全:包括标识与鉴别、标识与访问控制、保密性、完整性和密码支持等;(4)安全管理、操作管理与行政管理等。 3)信息系统安全保护的五个等级 从安全保护的程度和等级的角度，信息系统安全划分为五个等级。 (1)用户自主保护级; (2)系统审计保护级; (3)安全标记保护级; (4)结构化保护级;(5)访问验证保护级。TCB是“计算机系统内保护装置的总体，包括硬件、软件，固件和负责执行安全策略的组合体。它建立了一个基本的保护环境，并提供一个可信计算机信息系统所要求的附加用户服务”。简单地说，TCB描述的是安全保障，包括: (1) TCB自身安全保护。保护安全机制自身的安全; (2) TCB安全设计和实现。从设计及其实现过程确保安全机制达到安全要求;(3) TCB安全管理。从管理角度确保安全机制达到安全要求。沟通与协调的原则是:目标共同、信息共享、要点共识、携手共进召开有效的会议，这仍然是沟通和协调的重要方法。但须注意:(1) 会议要有明确的目的和期望的结果;(2)会议议题要集中;(3)参会人员要充分而且必要，以便缩小会议规模;(4)做好会议准备工作;(5)若可用更简单办法解决问题则不必开会。信息系统项目的实施涉及主建方、承建单位、监理单位三方，而三方都需要采用项目管理的方法(简称“三方一法”)以完成其在项目实施中所肩负的责任。有进度、成本、质量、变更与风险(这四项构成了“四控”);合同、安全、文档(这三项构成了“三管”);“沟通与协调”(此形成了“一协调”)和评估与验收(可融入四控、三管、一协调中)。3)编写质量体系文件包括质量手册、质量体系程序、详细作业指导书。质量手册是阐明单位的质量方针，并描述其质量体系的文件，它是质量体系文件中的纲领性文件，通常质量手册至少应包括质量方针、质量手册评审修改控制的规定等内容。质量体系程序是一套文件化的程序，用以描述为实施质量体系要素所涉及的各职能部门的活动。程序文件是对与质量有关的管理、技术人员的控制的依据，必须具有可操作性和可检查性。详细作业指导书是描述程序文件中某个具体过程、事物形成的技术性细节的文件， 可按照程序文件的要求，结合监理单位的实际情况编制。监理单位的行为准则： 1)守法 2)公正3)独立 4)科学 5)保密监理工作的风险类别 1.行为责任风险 行为责任风险来自三个方面: (1)监理工程师超出建设单位委托的工作范围，从事了自身职责外的工作，并造成了工作上的损失; (2)监理工程师未能正确地履行合同中规定的职责，在工作中发生失职行为造成损失;(3)监理工程师由于主观上的无意行为未能严格履行职责并造成了损失。2.工作技能风险监理工程师由于他在某些方面工作技能的不足，尽管履行了合同中建设单位委托的职责，实际上并未发现本应该发现的问题和隐患。现代信息技术日新月异，并不是每一位监理工程师都能及时、准确、全面地掌握所有的相关知识和技能的，无法完全避免这一类风险的发生。3.技术资源风险即使监理工程师在工作中没有行为上的过错，仍然有可能承受一些风险。例如在软件开发过程中，监理工程师按照正常的程序和方法，对开发过程进行了检查和监督，并未发现任何问题，但仍有可能出现由于系统设计留有缺陷而导致不能全部满足实际应用的情况。众所周知，某些工程上质量隐患的暴露需要一定的时间和诱因，利用现有的技术手段和方法，并不可能保证所有问题都能及时发现。同时，由于人力、财力和技术资源的限制，监理无法对施工过程的所有部位、所有环节的问题都能及时进行全面细致的检查发现，必然需要面对风险。4.管理风险 明确的管理目标、合理的组织机构、细致的职责分工、有效的约束机制，是监理组织管理的基本保证。如果管理机制不健全，即使有高素质的人才，也会出现这样或那样的问题。一般来说，监理单位应于委托监理合同签订后10个工作日内将监理项目部的组织形式、人员构成及对总监理工程师的任命书书面通知建设单位。当总监理工程师需要调整时，监理单位应征得建设单位同意并书面通知承建单位;当专业监理工程师需要调整时，总监理工程师应书面通知建设单位和承建单位。监理工作的计划 在监理工作实施前，包括签订监理委托合同和组建监理项目部的前后，监理单位就要以总监理工程师和专业监理工程师为主，开始逐步进行监理工作的计划。在这期间，产生的计划性文件主要包括监理大纲、监理规划和监理实施细则，它们将成为监理工程师实施具体工作的重要指导文件。监理大纲是在建设单位选择合适的监理单位时，监理单位为了获得监理任务，在项目监理招标阶段编制的项目监理单位案性文件 监理规划则是在监理委托合同签订后，由监理单位制定的指导监理工作开展的纲领性文件。 监理实施细则则是在监理规划指导下，监理项目部已经建立，各项专业监理工作责任制己经落实，配备的专业监理工程师已经上岗，再由专业监理工程师根据专业项目特点及本专业技术要求所编制的、具有实施性和可操作性的业务性文件。监理大纲、监理规划和监理实施细则三者之间有一定的联系性监理规划的作用1)监理规划是监理项目部职能的具体体现2)监理规划是指导监理项目部全面开展工作的纲领性文件3)监理规划是信息系统工程监理管理部门对监理单位进行监督管理的主要内容4)监理规划是建设单位检查监理单位是否能够认真、全面履行信息系统工程监理委托合同的重要依据5)监理规划是具有合同效力的一种文件监理规划的内容1.工程项目概况 2.监理的范围、内容与目标 3.监理项目部的组织结构与人员配备 4.监理依据、程序、措施及制度 5.监理工具和设施编制监理细则的意义：监理细则是指导监理工作开展的文件与备忘录。监理单位将一份切合工程实际的监理实施细则提供给建设单位，使通过对工程的监理工作的具体全面周到的叙述，来体现监理的水平，从而消除建设单位对监理工程师素质的怀疑，有利于取得建设单位对监理的信任与支持。从而有利于建设单位对工程的管理和控制。监理实施细则的内容1.工程专业的特点2.监理流程3.监理的控制要点及目标4.监理单位法及措施信息系统工程质量控制的原则1.质量控制要与建设单位对工程质量监督紧密结合2.质量控制是一种系统过程的控制3.质量控制要实施全面控制整个项目的质量控制过程也就包括建设单位的质量控制过程、承建单位的质量控制过程和监理的质量控制过程。承建单位建立信息系统工程质量保证体系的原则是: (1)在签订合同后，承建单位应按合同要求建立工程质量保证体系。 (2)承建单位要满足建设单位的使用功能要求，并符合质量标准、技术规范及现行法规。(3)质量保证体系要满足建设单位和承建单位双方的需要。设置质量控制点的意义 (l)通过质量控制点设置，便于对工程质量总目标的分解，可以将复杂的工程质量总目标分化为一系列简单分项的目标控制; (2)设置质量控制点，有利于监理工程师和承建单位的控制管理人员及时分析和掌握控制点所处的环境因素，易于分析各种干扰条件对有关分项目标产生的影响及其影响程度的测定; (3)设置质量控制点，有利于监理工程师和承建单位的控制管理人员监测分项控制目标，计算分项控制目标值与实际标值的偏差: (4)由于质量控制点目标单一，且千扰因素便于测定，有利于监理工程师和承建单位的控制管理人员制定、实施纠偏措施和控制对策;(5)通过对下层级质量控制点分项目标的实现，对上层级质量控制点分项目标提供保证，从而可以保证上层级质量控制点分项控制目标的实现，直到工程质量总目标的最终实现。质量控制点的设置原则 1)选择的质量控制点应该突出重点2)选择的质量控制点应该易于纠偏 3)质量控制点设置要有利于参与工程建设的三方共同从事工程质量的控制活动4)保持控制点设置的灵活性和动态性质量控制手段一、评审二、测试1、监理单位主要工作内容 1)监督评审承建单位的测试计划、测试方案、测试实施以及测试结果 主要包括以下内容: (1)督促承建单位建立项目测试体系，成立独立的测试小组。 (2)督促承建单位制定全过程的测试计划，从项目需求分析阶段开始直到项目结束，要进行不间断的测试，并且随着项目的进展，制定分系统的测试计划和详细的测试方案。 (3)对测试方案和测试计划进行审核，对承建单位选择的测试工具的有效性进行确认。 (4)对测试结果的正确性进行审查。(5)对测试问题改进过程进行跟踪。 2)对重要环节监理单位要亲自进行测试 主要包括以下内容: (1)现场抽查测试。当现场监理工程师发现质量疑点时，要进行现场抽查测试，比如对于综合布线阶段，监理工程师除了在隐蔽工程实施过程中要旁站外，还要通过手持式或台式网络测试仪对布线质量进行抽测，以便能够分析网络综合布线的效果，可以有效保证网络综合布线的质量。另外对于设备进货也要进行现场抽验。(2)对于软件开发项目，监理单位要对重要的功能、性能、安全性等进行模拟测试，以判断阶段性开发成果是否满足质量要求，并且要作为进度控制以及成本控制的依据。3)对委托的第三方测试的结果进行评估 在重要的里程碑阶段或者验收阶段，一般要请专业的第三方测试机构对项目进行全面的测试，监理单位的主要工作包括: (1)协助建设单位选择权威的第三方测试机构，一般要审查第三方测试机构的资质、测试经验以及承担该项目测试工程师情况。 (2)对第三方测试机构提交的测试计划进行确认。 (3)协调承建单位、建设单位以及第三方测试机构的工作关系，并为第三方测试机构的工作提供必要的帮助。(4)对测试问题和测试结果进行评估。2.测试依据 测试依据根据不同的测试阶段和测试对象有所不同，主要包括: (1)需求说明书; (2)设计说明书; (3)行业标准;(4)国家标准。三、旁站四、抽查进度控制的意义 1.有利于尽快发挥投资效益2.有利于维持良好的管理秩序3.有利于提高企业经济效益4.有利于降低信息系统工程项目的投资风险图表控制法进度控制的线性图表，通常是横道式进度图表(也称甘特图)和进度曲线表。利用甘特图进行进度控制，细线表示计划进度，粗线表示实际进度工程施工进度曲线的切线斜率即为施工进度速度，它是由施工速度决定的。网络图计划法双代号网络图又称箭线式网络图，它以箭线表示工作，以节点表示工作的开始或结束状及工作之间的连接点，以工作两端节点的编号代表一项工作单代号网络图又称节点式网络图，它以节点及其编号表示工作，以箭线表示工作之间的逻辑关系投资控制的原则1)投资最优化原则2)全面成本控制原则 3)动态控制原则4)目标管理原则 5)责、权、利相结合的原则单方案的经济评价方法1)成本回收期法成本回收期分为静态成本回收期与动态成本回收期 2)等效年值法3)净现值法与净现值指数法4)内部收益率法多方案经济评价的可比性1)追加成本回收期与计算费用法2)年成本法3)追加成本净现值法4)追加成本内部收益率法挣值管理的三个基本参数及两个重要指标（1） BCWS (Budgeted Cost of Work Scheduled，计划工作预算费用)（2） BCWP (Budgeted Cost of Work Performed，完成工作预算费用)（3） ACWP (Actual Cost of Work Performed，完成工作实际费用)成本估算的工具和方法1)类比估计2)参数建模3)累加估计4)计算工具预算工具和技术信息系统工程的成本估算有四个基本的工具:类比预算法、自下而上估计法、参数模型预算法和计算化的工具。成本预算的控制 1.全面审核法其具体计算和审核过程与编制过程基本相同。优点是全面细致、质量高、差错少，缺点是工作量过大，需要组织一批分专业的计划预算工程师、经济师进行。2.重点审核法如选择工程量大，或造价高的项目重点审核，对补充单价和定额外设备价及差价进行审核，以及对计取各项费用和计算方法进行重点审核，在重点审核中如发现问题较多时应扩大审核范围。3.经验审核法即监理工程师根据以往的实践经验，审核容易发生差错的那些工程细目的方法4.分解对比审核法（每种方法优缺点、适用范围） 如把一个单位工程，按直接费、间接费进行分解，然后把直接费按工种工程和分部工程进行分解。分别与审定的标准图预算进行对比分析的方法，称为分解对比审核法。边分解边对比，哪里出入较大，如超过标准预算的3%以上部分，就要审核该部分价格成本控制方法项目成本控制方法包括两类，一类是分析和预测项目影响要素的变动与项目成本发展变化趋势的项目成本控制方法，另一类是控制各种要素变动而实现项目成本管理目标的方法。这方面的方法主要有: ·项目变更控制体系 ·项目成本绩效度量方法 ·附加计划法·计算机软件工具法信息系统工程竣工结算的意义1.可正确分析成本效果2.可分析工程建设计划和设计预算实际执行情况 3.可分析总结项目成本使用中的经验和教训 4.为修订预界定额提供依据资料变更控制的基本原则1、对变更申请快速响应2、任何变更都要得到三方确认3、明确界定项目变更的目标4、防止变更范围的扩大化5、三方都有权提出变更6、加强变更风险以及变更效果的评估7、及时公布变更信息8、选择冲击最小的方案变更控制的工作程序1、了解变化2、接受变更申请3、变更的初审4、变更分析5、确定变更方法6、监控变更的实施7、变更效果评估项目暂停与复工的管理1) 项目暂停的管理在下列情况发生时，总监理工程师可以签发“项目部分暂停令”：·应承建单位的要求，项目需要暂停实施时; ·由于项目质量问题，必须进行停工处理时; ·发生必须暂停实施的紧急事件时。2)项目复工的管理在项目暂停后，经处理达到可以继续实施，复工办法如下:(1)如项目暂停是由于建设单位原因，或非承建单位原因时，监理工程师应在暂停原因消失，具备复工条件时，及时签发“监理通知单”，指令承建单位复工; (2)如项目暂停是由于承建单位原因，承建单位在具备复工条件时，应填写“复工报审表”报项目监理部审批，由总监理工程师签发审批意见;， (3)承建单位在接到同意复工的指令后，才能继续实施。分包合同管理时也有相应的禁止性规定，这些禁止性规定包括:禁止转包禁止将项目分包给不具备相应资质条件的单位。禁止再分包禁止分包主体结构合同管理的原则1.事前预控原则2.实时纠偏原则3.充分协商原则4.公正处理原则索赔事件处理的原则1)预防为主的原则2)必须以合同为依据3)公平合理原则4)协商原则5)授权的原则6)必须注意资料的积累7)及时、合理地处理索赔为了系统地、完整地构建信息系统的安全体系框架，信息系统安全体系应当由技术体系、组织机构体系和管理体系共同构建。1.技术体系技术体系是全面提供信息系统安全保护的技术保障系统。该体系由两大类构成。1)物理安全技术物理安全技术包括机房安全和设施安全。 2)系统安全技术国家秘密分为秘密、机密和绝密三个等级在制度建立过程中，监理工程师要建议建设单位遵循有以下原则:(1)授权最小化 (2)授权分散化 (3)授权规范化入侵检测系统入侵行为主要是指对系统资源的非授权使用，可以造成系统数据的丢失和破坏、系统拒绝服务等危害。 入侵检测通过对计算机网络或计算机系统中的若干关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合就是入侵检测系统(1)备份策略·全备份，将系统中所有的数据信息全部备份; ·差分备份，只备份上次备份后系统中变化过的数据信息; ·增量备份，只备份上次完全备份后系统中变化过的数据信息;·备份介质轮换，避免因备份介质过于频繁地使用，以提高备份介质的寿命(2)数据备份与恢复技术通常涉及的几个方面 ·存储设备:磁盘阵列、磁带、光盘、SAN设备 ·存储优化:DAS、 NAS、 SAN ·存储保护:磁盘阵列、双机容错、集群、备份与恢复 ·存储管理:文件与卷管理、复制、SAN管理·备份与恢复技术信息系统工程信息资料的划分1.按工程建设信息的性质划分1)引导信息2)辨识信息2.按工程建设信息的用途划分信息系统工程建设信息可以划分为投资控制信息、进度控制信息、质量控制信息、合同管理信息、组织协调信息及其他用途的信息等。文档管理是建设单位的需要，对文档进行有效管理，是建设单位的要求，高效的文档管理，也是监理单位自身的需要。一是，为了成功对工程进行监理，必须有一套严谨的文档分类管理办法，这样，工程的详细情况才可能被监理项目组准确掌握，.从而也为建设单位所准确掌握;二是，监理单位需要对监理人员的工作情况进行考核，以决定人员的报酬和职位进行奖惩升降，而这些最主要的依据，则是监理的文档;三是，监理文档本身就是监理工作经验最好的总结，是监理工作最好的培训资料，从培养人员的角度上来说，一套完善的文档管理体制非常必要。监理工程师在归集监理资料时注意事项 (1)监理资料应及时整理、真实完整、分类有序; (2)监理资料的管理应由总监理工程师负责，并指定专人具体实施; (3)监理资料应在各阶段监理工作结束后及时整理归档; (4)监理档案的编制及保存应按有关规定执行。监理单位对文档工作的责任(1)建立编制、登记、出版、分发系统文档和软件文档的各种策略; (2)把文档计划作为整个开发工作的一个组成部分; (3)建立确定文档质量、测试质量和评审质量的各种方法的规程; (4)为文档的各个方面确定和准备各种标准和指南; (5)积极支持文档工作以形成在开发工作中自觉编制文档的团队风气;(6)不断检查己建立起来的过程，以保证符合策略和各种规程并遵守有关标准和指南项目监理单位在项目开发前应决定的事项 (1)要求哪些类型的文档; (2)提供多少种文档; (3)文档包含的内容; (4)达到何种级别的质量水平; (5)何时产生何种文档; (6)如何保存、维护文档以及如何进行通信; (7)如果一个软件合同是有效的，应要求文档满足所接受的标准，并规定所提供的文档类型、每种文档的质量水平以及评审和通过的规程。总控类文档是指承建合同、总体方案、项目组织实施方案、技术方案、项目进度计划、质量保证计划、资金分解计划、采购计划、监理规划及实施细则等文档。其他文档逻辑上都是从总控文档派生出来的或者说是该文档的上层文档理实施类文档(工程作业记录)主要包括:项目变更文档、进度监理文档、质量监理文档、质量回归监理文档、监理日报、监理月报、专题监理报告、验收报告、总结报告等。工程验收监理报告工程监理验收报告的主体应该是验收测试结论与分析，必须包含以下几个要素。1)工程竣工准备工作综述2)验收测试方案与规范3)测试结果与分析 4)验收测试结论工程监理总结报告1)工程概况 2)监理工作统计3)工程质量综述4)工程进度综述5)管理协调综述6)监理总评价监理的主要回复文件可分为:总体监理意见、系统集成监理意见、软件开发监理意见、培训监理意见、专题监理意见、其他监理意见、提交资料回复单等。监理日志由现场监理工程师编写。组织协调的基本原则1、公平、公正、独立原则公平、公正、独立原则体现在(l)监理单位应是独立的第三方，不能同时既做信息系统工程的监理，又做系统集成业务。 (2)监理单位在处理事务时，敢于坚持正确观点，实事求是，不惟上级领导和建设单位的意见是从。 (3)监理单位在处理实际监理事务中，要有次局观，要全面地分析和思考，保持对问题的综合分析能力，不要被表面现象或局部问题所干扰。(4)信息系统工程涉及的技术一日千里、变化快，监理工程师要在不断提高个人的专业技能并在实践中不断丰富个人的从业经验的同时，也要不断提高对相关知识的综合应用能力，对事物熟练的判断能力和处理能力，更要学会把专业知识和相关的技术规范、法规、法律等运用到监理实践活动中。2、守法原则3、诚信原则4、科学的原则监理实施类文件主要包括;项目变更文件、进度监理文件、质量监理文件、质量回归监理文件、监理日报、监理月报、专题监理报告、验收报告、总结报告等必要文件。 信息网络系统的体系框架l.网络基础平台 2.网络服务平台 3.网络安全平台4.网络管理平台5.环境平台网络传输技术常用的传输系统主要有:DWDM(波分复用)、综合布线系统(PDS)、同步数字序列(SDH )、准同步数字序列(PDH )、数字微波传输系统、VSAT数字卫星通信系统及有线电视网(CATV)等。报文交换是指通信双方以报文为单位交换数据，无专用线路，通过节点的多次“存储转发”，将报文传送到目的地。附属存储SAS、直接附属存储DASSAN的最大特点就是可以实现网络服务器与存储设备之间的多对多连接，而且，这种连接是本地的高速连接。网络安全主要包括 (1)防火墙技术，防止网络外部“敌人”的侵犯。目前，常用的防火墙技术有分组过滤、代理服务器和应用网关。 (2)数据加密技术，防止“敌人”从通信信道窃取信息。目前，常用的加密技术主要有对称加密算法(如DES )和非对称加密算法(如RSA ) o (3)入侵监测和漏洞扫描技术。 (4)物理隔离技术，如网闸。 (5)访问限制，主要方法有用户口令、密码、访问权限设置等。采用公开招标方式时，评审主要依据：1.企业资质2.质量管理体系3.相关项目的实施经验4.公司实力计算机信息系统集成资质管理办法(试行)规定计算机信息系统集成资质等级分一、二、三、四级。下面介绍各等级所对应的承担工程的能力。 ·一级:具有独立承担国家级、省(部)级、行业级、地(市)级(及其以下)、大、中、小型企业级等各类计算机信息系统建设的能力。 ·二级:具有独立承担省(部)级、行业级、地(市)级(及其以下)、大、中、小型企业级或合作承担国家级的计算机信息系统建设的能力。·三级:具有独立承担中、小型企业级或合作承担大型企业级(或相当规模)的计算机信息系统建设的能力。·四级:具有独立承担小型企业级或合作承担中型企业级(或相当规模)的计算机信息系统建设的能力。防火墙的功能和性能监理评审要素(1)支持透明和路由两种工作模式。 (2)集成VPN网关功能。 (3)支持广泛的网络通信协议和应用协议，包括IPSEC、 H.323等，能够满足网络视频会议、VOD和IP电话等多媒体数据流的传输要求。支持多种协议及控制，满足应用需要及应用控制严格性要求，支持TCP/IP, IPX, ICMP/ARP/RARP, OSPF, NETBEUI,SNMP, 802.1Q, VOIP, DNS等相关协议及控制。 (4)支持多种入侵监测类型，包括扫描探测、DoS, Web攻击、特洛伊木马等。 (5)支持SSH远程安全登录。 (6)支持对HTTP, FTP, SMTP等服务类型的访问控制。 (7)支持静态、动态和双向的NAT 。 (8)支持域名解析，支持链路自动切换。 (9)支持对日志的统计分析功能，同时日志是否可以存储在本地和网络数据库上。 (10)对防火墙本身或受保护网段的非法攻击系统提供多种告警方式以及多种级别的告警。(11)提供策略备份和恢复功能。管理员可以灵活地定制和应用不同的策略，可以方便地进行策略的备份和还原，并可用于灾难恢复。 (12)具备检测DoS攻击的能力，例如可以检测SYN Flood, Tear Drop, Ping of Death, IP Spoofing等攻击，默认数据包拒绝，过滤源路由IP，动态过滤访问等。 (13)支持对接口和策略的带宽和流量管理。 (14)支持SCMIADS客户隧道配置参数自动集中管理。 (15)支持负载均衡。 (16)支持双机热备。 (17)支持Web自动页面恢复。(18)实现与入侵监测系统的联动。人侵监测和漏洞扫描系统1.入侵监测系统的功能和性能要素 主要包括: (1)在检测到入侵事件时，自动执行切断服务、记录入侵过程、邮件报警等动作。 (2)支持攻击特征信息的集中式发布和攻击取证信息的分布式上载。 (3)提供多种方式对监视引擎和检测特征的定期更新服务。(4)内置网络使用状况监控工具和网络监听工具。2.漏洞扫描系统的功能和性能要素 主要包括: (1)定期或不定期地使用安全性分析软件对整个内部系统进行安全扫描，及时发现系统的安全漏洞、报警并提出补救建议。 (2)支持与入侵监测系统的联动。 (3)检测规则应与相应的国际标准漏洞相对应，包括CVE, BugTrap, WhiteHats等国际标准漏洞库。(4)支持灵活的事件和规则自定义功能，允许用户修改和添加自定义检测事件和规则，支持事件查询。 (5)支持快速检索事件和规则信息的功能，方便用户通过事件名、详细信息、检测规则等关键字对事件进行快速查询。 (6)可以按照风险级别进行事件分级。 (7)控制台应能提供事件分析和事后处理功能，应具有对报警事件的源地址进行地址解析，分析主机名，分析攻击来源的功能。 (8)传感器应提供TCP连接的检测报警能力。 (9)提供安全事件统计概要报表，并按照风险等级进行归类。 (10)通过数据库管理工具统计数据库建立时间以及当前记录数目。 (11)支持对Teardrop, s.cgi缓冲区溢出攻击的检测。网闸的功能和性能要素 (1)应选择正式通过公安部或其他权威机构检测的设备。 (2)不改变原有网络和业务系统，即插即用。 (3)既保证外网不能直接访问内网，内网也不能直接访问内网，又保证授权的业务请求和业务数据能得到及时的、安全的处理和响应，并自动截断非法网络动作和非授权信息传输。 (4)既能防止来自Internet的网络入侵，又能防止业务系统的泄密。 (5)技术体系具备自主的知识产权。