企业IT系统的信息安全研究
摘要:伴随着网络通讯技术的快速发展,信息安全正在企业IT系统中扮演着越来越重要的角色。当前企业IT系统的信息安全面临着怎样的挑战;如何才能加强企业IT系统建设的安全性;这些问题的解决将会成为企业信息安全的主要保障。
关键词:企业管理;信息安全;IT技术
一、企业IT系统信息安全的重要性
信息时代的到来意味着随着计算机技术应用的更加广泛和各领域信息化步伐的不断加快,信息化在各领域都在朝着更加深入、更加高效的方向发展。伴随着各领域对信息化的依赖性越来越大,计算机信息系统的安全性问题在企业信息化过程中显得愈加重要。企业的管理者和企业IT系统的使用者对企业网络及信息系统的安全性提出了更高的要求,如何才能满足企业IT系统安全性要求的逐渐加大和应对当前企业信息安全中主要问题是每个信息化企业所要解决的问题。由于企业IT系统的特殊性,系统的持续运作能力是系统稳定性的重要保证。为此,企业的信息系统管理人员必須加强系统的安全性管理力度,保障对企业IT系统以及企业网络的管理和控制权限,确保网络的连接、系统模块的协调运作和硬件系统的稳定及安全运行。建立完善的企业信息监控系统,准确的跟踪信息流的完整性和安全性,并且最终达到审计和识别的目的。
二、企业IT系统信息安全的现状及主要问题
(一)硬件和运维问题
硬件的运维和管理是企业IT系统安全保障中最容易实现的环节,但是正因为如此,这一环境也最容易被管理人员忽视。信息系统安全管理中的很多的服务中断和企业信息丢失往往是因为硬件设备断电、网络连接错误和硬件损坏等硬件运维环节中出现的问题。如果没有专门的硬件保证机制,一次意外的通信电缆损坏或是断裂都会造成企业IT系统的服务终止和信息丢失,这不但会给企业带来巨大的经济损失并且会给企业的声誉带来影响。由此观之,硬件的运维在企业IT系统安全性管理中至关重要。当前常见的几种硬件系统保障机制包括:首先,为信息系统的主服务器设置UPS不间断电源来保障系统的持续性运行,同时能够避免因为系统供电能力不足带来的信息安全问题;另外,对信息系统网络中的节点设备定期清查和检测保障系统网络的连接稳定性。最后是加强硬件设备的安全管理,拆除服务器的多余数据端口防止企业信息丢失和窃取,同时为数据信息存储服务器设置物理锁,避免非法操作。在条件允许的前提下,管理人员可以通过采用RDP远程登录服务器的方式来保障服务器的绝对安全。
(二)入侵威胁
不同于拥有固定代码的计算机病毒运行的机械化,入侵威胁是由非法人员人为操作的信息窃取或信息系统攻击的手段。它的特点是灵活多变难以用固定的方法进行防范。在企业IT系统中商业信息的巨大利益驱使下,非法系统入侵人员越来越专业化,从早期的单纯为了炫耀自身的黑客技术的即兴攻击发展为现如今的商业信息窃取和信息诈骗。尽管企业信息化系统规范和相关的法律都在逐渐完善,但是企业IT系统的入侵威胁仍然不可避免。如何才能为黑客的入侵威胁设置障碍和防范信息窃取,通常来讲是有规律可循的。黑客的入侵攻击需要一定的条件,这些条件主要是指信息系统或软件中存在的漏洞。黑客的入侵手段不外乎是通过专业软件检测系统漏洞并且配合远程控制软件进行系统操作。特定的防范方法包括:关闭系统中多余的端口、定期安装系统漏洞补丁和设置入侵检测模块做到早发现早处理。
(三)病毒防范
针对计算机病毒的防范,信息系统的正确配置和操作至关重要。企业信息平台的操作系统是信息系统安全的基础,错误的配置会给病毒带来可乘之机。早期的计算机病毒会造成服务器的故障和破坏数据信息,这种病毒在企业IT系统中造成的损害,有限并且由于防火墙的设置和杀毒软件的设置早期的病毒难以入侵系统。对企业的信息系统危害较大的是间谍软件、木马、行为记录软件和非法数据共享软件等。这些软件可以被划归为新型计算机病毒,它们超出了早期计算机病毒的功能范畴,不但会对系统稳定性造成影响并且会对系统信息安全性构成威胁甚至会导致现有的安全机制全面崩溃。常见的病毒防范方法中最重要的一点是杀毒软件的设置和保证软件的实时更新。这一方法可以在一定范围内保证系统的稳定性和安全性。除此之外,企业要设置系统的定期数据备份和每天的日常备份。
三、企业IT系统信息安全的关键技术
(一)防火墙技术
防火墙是企业网络及系统安全的重要保证,在没有防火墙的前提下,单独依靠信息系统的安全配置是远远不能满足企业IT系统安全性要求的。从特定角度来说,各个主系统的安全性必须保证同步才能将整个系统的安全性保持在可以接受的范围内。除了主系统之外,每个子网要规定特定的规格,子网越大,主系统安全性保持同步的难度将会递增,但是随着企业信息化网络的逐步完善子网的扩充不可避免。这这一前提下,只有防火墙技术才能保障系统的安全。
防火墙的工作机制并不是对信息系统中的每个终端进行保护操作,而是设置系统中的终端信息交换点,并且对外仅仅开放这些信息交换点而不是整个网络架构,最终通过着重保护这些信息交换点来达到保护整个系统的目的。可以将防火墙理解为企业内部网络与外界互联网络的信息屏障,通过特定的安全策略来监控和保护信息系统中的数据信息流。
(二)数据加密技术
数据的加密和解密技术不仅仅是运用在企业信息安全保障领域中,并且数据的加密和解密技术早在信息化普及之前就已经拥有了漫长的发展历史。所以在信息系统安全保障中,数据加密和解密技术应用了大量的经典数据加密解密算法和规则。加密数据只有在拥有特定的密钥或是解密算法的前提下才能被正确读取,即便是加密数据被非法窃取也不会造成商业信息泄露。在企业IT系统安全性应用中,数据加密不仅仅被利用在商业信息中,系统数据同样可以通过加密技术增强系统安全性和稳定性。
(三)入侵检测技术
通过以往的企业IT系统的安全管理经验可以得知,只是依赖防火墙来保障系统的安全性对于企业来说是远远不够的。由于系统中往往会存在着许多不可避免的后门和安全漏洞,入侵者经常会利用这些漏洞来达到入侵系统的目的。除此以外,防火墙的另一个弊端是不能对系统的内部袭击进行安全防护,对于通过系统内部进行非法操作的行为,防火墙无能为力。另外由于固有的性能问题,防火墙的入侵检测能力同样不尽人意。
由此可知,专业的入侵检测系统在企业信息安全管理中占有很大的比重。它的重要性可以概括为:能够为企业IT系统提供良好的入侵检测并且采取相应的应对手段。它不仅可以弥补防火墙技术的不足更能够通过跟踪、恢复系统和断开连接等手段为企业收集入侵证据。入侵检测技术的工作机制是为企业信息网络设置多个关键点并且通过这些关键点进行取样分析。在分析结果中获取违反安全策略或者疑似遭到入侵攻击的异常现象。当前的入侵检测系统包括以下三种:基于网络的入侵检测、基于主机的入侵检测和古典型查找检测。在常规的应用中三种方法协作使用相辅相成。
(四)网络访问保护
对于企业IT系统管理人员来说,网络的访问权限能够规范企业信息平台操作人员。信息系统容易受到非法权限和临时接入用户权限的扰乱,使得系统对用户访问权限的管理混乱。怎样帮助系统分辨健康用户和非法用戶是管理人员的主要研究内容。在很多操作系统中自带了网络访问保护模块,例如在WINDOWS VISTA系统中带有NAP客户端管理模块,它能够强制执行网络健康用户规范并且能够简化管理人员对用户网络访问权限的管理操作。并且它准许由于误操作造成的非健康用户在接入信息系统之前恢复健康权限并且正常访问系统。比如说,在系统面对某台拥有非健康权限的终端提出的访问请求时,系统中的NAP模块能够将其权限升级为健康权限或者为其分配一个隔离网络供其单独访问。
四、总结
总而言之,信息安全是一个企业赖以生存的基础保障,只有信息安全得到保障,企业的网络系统才有其存在的价值。网络安全是一项系统的工程,需要我们综合考虑很多实际的需求问题,灵活运用各种网络安全技术才能组建一个高效、稳定、安全的企业网络系统。
参考文献:
[1]赵涛,金妙光.企业信息系统安全的恢复与实践[J].天津大学学报,2007,03
[2]蔡立军.计算机网络安全技术,2002
[3]耿雪峰.中小企业计算机信息系统的安全,2006
[4]陈涛.信息系统安全影响因素及对策[J].商情,2010,22
[5]王相林.组网技术与配置[M].清华大学出版社,2010
[6]田丽.企业信息安全法制建设研究[J].科技创新导报,2007,36
[7]李智渊.高速网络技术及其应用[M].电子科技大学出版社,2007
作者:胡心远
摘 要:现阶段我国的企业改革正如火如荼的进行着,企业要想在市场竞争中获得发展优势,就要注重信息化建设,并能保障IT系统信息安全。但是在实际当中,企业IT系统的信息安全问题还比较突出,影响了企业的进一步发展。本文主要就企业IT系统信息安全保障的重要性和存在的问题详细分析,然后结合实际,对企业IT系统的信息安全策略实施详细探究,希望能通过此次理论研究,对企业IT系统信息安全保障起到促进作用。
关键词:企业 IT系统 信息安全
一、引言
信息安全管理的强化,对保障企业信息系统的安全性提高企业竞争力有着积极作用,这也是企业IT系统应用管理的重要内容。只有充分保障IT系统信息安全,才能提高企业整体管理水平,对企业在市场当中的进一步发展也有着促进作用。
二、企业IT系统信息安全保障的重要性和存在的问题
1.企业IT系统信息安全保障的重要性。面对新的发展时代,加强企业IT信息的安全保障就显得比较重要,计算机技术的应用促进了企业的发展,尤其是对通信企业而言,保障系统的信息安全也是保护用户的隐私。在信息化进程的进一步加快发展背景下,各个领域的发展对信息化的依赖也比较大,通信企业的计算机系统安全问题在信息化的发展进程中就更为突出,在信息安全保障的要求上也有着加强,满足IT系统的安全性要求更加注重科学措施的实施。通信企业信息系统管理人员,在安全管理工作上就要进一步加强,对网络的连接以及系统模块的协调运作等更加重视,构建完善企业信息监控系统就显得比较重要,从而保障信息流的完整安全。
2.企业IT系统信息安全问题分析。根据相应的统计,企业信息安全的攻击种类的种类已经不下20种,这对企业的信息安全就带来了直接性的影响。多元化的发展环境下,通信企业的IT信息安全面临的威胁也比较多,这些安全威胁的存在对通信企业的进一步发展就有着很大阻碍。主要的威胁问题有以下几种:
其一,软硬件的运维安全问题。通信企业的IT系统的信息安全影响因素中,由于在软硬件的运维管理上没有得到加强,对信息安全就造成了很大影响。硬件的管理是信息安全中比较容易实现的,但往往会在管理中忽视,信息的丢失以及服务中断,通常是硬件设备的断电以及硬件损坏所致,在硬件的运行维护工作上没有得到重视,从而就对信息的安全造成了危险。硬件的科学运维管理是对信息安全保障的基础,在实际的管理中还有待进一步加强。
其二,病毒的威胁问题。通信企业IT系统的信息安全威胁中,病毒是最为主要的威胁方式,在随着计算机网络技术的进一步发展下,病毒的种类也变得更多,多种多样的病毒方式对计算机系统的信息安全就造成了很大威胁。在最早的病毒会造成服务器故障,以及破坏数据信息等,这对通信企业的IT系统信息安全造成的损害比较大,其中间谍软件以及木马和行为记录软件等是比较重要的病毒威胁方式。在新的发展时期,计算机病毒对通信企业的IT信息安全造成的威胁进一步加大,病毒的变异使得在防御上也增加了难度,在信息安全的保障方面面临着巨大的挑战。
其三,黑客攻击的问题。通信企业在IT信息安全管理上有着重大任務,一旦造成信息系统的攻击问题,就会带来严重的损害。在黑客技术的进一步提高下,入侵威胁的危害也进一步加大,在IT系统中的商业信息比较多,受到利益的趋势,就使得非法系统侵入的人员也愈来愈专业化。一些黑客为了炫耀技术,就对计算机系统进行攻击,造成信息的丢失等安全问题。
三、企业IT系统信息安全保障措施
为保障通信企业IT系统的信息安全,就要制定科学完善的方案,保障信息的安全。笔者结合实际的信息安全问题,制定了相应防范措施,如下所述:
1.信息安全管理措施。第一,构建完善信息安全网络架构。保障通信企业的IT系统信息安全,就要充分重视从安全网络架构方面进行完善建立。通信企业信息安全系统的实现当中,对主机系统以及网络和应用层安全网络架构进行建立。可对内外网实施有效划分,保障网络边界的清晰,以及设置Choke Point,并设置诸如防火墙的安全设备,对通信企业的内部网络安全要能保证。安全关口在系统失败时就要对所有网络连接进行端口。第二,要能构建完善的信息安全中心。保障网络数据的备份,对通信企业的信息安全进行有效保护。要能实现对通信企业信息安全的综合性分析,在网络管理工作站的作用下,对信息系统综合性的分析,对存在的信息安全问题要及时性的进行反馈。网络信息安全的实时监测工作要加强,多元化的网络发展环境,系统漏洞也比较多,通过进行实时的监控,就能有助于保障信息的安全。第三,加强构建完善网络信息安全机制。对信息安全的保障方面,需要从制度上着手实施,通过制度的规制保障网络信息的安全性。在具体的措施实施上,就要对网络受到攻击时的及时性反应进行加强,构建完善快速的预警机制。构建有效的信息安全监测机制,对通信企业的网络运行数据及时性的监测收集,保障信息系统的安全性。再有就要构建访问管理的机制,没有经过允许以及没有权限的访问加强管理,拒绝访问要求。第四,强化IT设备的管理。为能保障系统信息安全,就要充分重视设备的安全管理,对网络的正常运行下,在相应设备的安全管理工作妥善实施,保障信息安全。管理人员严格按照规章制度进行操作,最大化的保障设备的安全。
2.信息安全技术防御措施。第一,信息数据加密技术的应用。保障通信企业IT系统信息安全,在数据加密技术的应用上是比较重要的,数据加密以及解密技术应用了大量经典数据加密算法以及规则。在加密技术的应用中只有拥有特定密钥或解密算法才能读取信息,这一技术的应用对保障通信企业的信息安全就发挥着重要作用,在商业信息当中以及系统的安全稳定保护方面都能进行应用。第二,信息安全防火墙技术应用。保障通信企业IT系统的信息安全,通过防火墙技术的应用就能发挥积极作用。防火墙的技术应用设置系统中终端信息交换点,对外只是开放信息交换点,不是整个网络架构,对保护系统的信息交换点,就能保障整体的系统安全,能通过特定的安全策略进行监控保护信息系统的数据信息流。防火墙技术也是对信息安全保护的基础性应用技术。第三,信息安全入侵检测技术应用。对通信企业IT系统信息安全保障,在入侵检测技术的应用下能发挥重要作用,能有效对系统中可疑的信息进行检测,及时发展问题查杀。专业的入侵检测技术的应用,能有效弥补防火墙技术的不足,在恢复以及跟踪等手段应用下,对企业收集入侵证据起到了重要作用。
四、结语
总而言之,通信企业IT系统的信息安全保护是系统性的工作,只有在安全管理上以及防护技术的综合应用下,才能真正保障信息安全。由于受到篇幅的限制,不能进一步深化研究,希望能通过此次理论研究,有助于实际信息安全的保护。
参考文献:
[1]陈宪宇.企业IT管理和控制研究[J]. 工业技术经济. 2015(09).
[2]惠志斌.企业IT风险管理的体系构建与实现路径[J]. 科技管理研究. 2014(02).
[3]李秋迪,左美云,周军杰.基于复杂适应系统理论的电子商务企业IT能力研究[J]. 管理学报. 2013(09).
[4]朱治国,吴连勇,孙毅.新集成IT系统在线运行评价系统的研究[J]. 电信科学. 2016(12).
[5]郑龙.企业IT系统的安全性分析和防护[J]. 信息与电脑(理论版). 2015(05).
作者简介:赵青(1972—)女。民族:汉。宁夏回族自治区中卫市人。本科,工作单位:中国电信股份有限公司宁夏分公司。研究方向:企业信息化、数据挖掘。
作者:赵青
[摘要]建立信息化建设的第三方监督对保证信息化建设的效益最大化至关重要。本文通过信息系统监理和信息系统审计的概念、产生动因等进行比较,分析我国信息系统监理面临的新问题、新要求,并介绍美国信息系统审计的实践经验,在此基础上提出对我国信息系统监理事业发展的若干建议。
[关键词]信息系统信息系统监理信息系统审计比较独立性
引言
“信息化带动工业化”是我国长期的重要发展战略,江泽民同志在十六大的报告中指出:“实现工业化仍然是我国现代化进程中艰巨的历史性任务。信息化是我国加快实现工业化和现代化的必然选择。坚持以信息化带动工业化,以工业化促进信息化,走出一条科技含量高、经济效益好、资源消耗低、环境污染少、人力资源优势得到充分发挥的新型工业化路子。”这段论述表现了我们党对信息化建设的高度重视,也指明信息化带出一条新型工业化路子的光明前景。
目前,各地区、各部门都在认真贯彻十六大精神,十分重视推进信息化工作,我国信息化建设已经进入新的阶段,我国信息化事业已发展到一个新的阶段。各级政府正在积极推进“电子政务”,许多城市及企业也已着手整合与升级其信息化应用系统。可以预计,全国将有更多、更大的信息系统建设项目展开。但是,在信息化推进过程中,存在不同程度上的一些问题,主要表现在规划制订不够科学,项目管理不够严格,监理机制不够健全,系统运行效益不够明显。致使相当一部分信息化项目失败或未能实现预期目标,浪费了大量资源。究其根源主要原因之一是信息化建设第三方监管机制的缺失和标准的不健全。
国内外的实践表明:信息化是有风险的,信息系统规模越大,功能越复杂,风险也就越大。英国Kalido于英国时间2001年12月12日公布了有关企业信息管理的调查结果。调查显示,96%的企业对于本公司的信息管理系统感到不满。关于目前正在使用的信息系统,认为"所制作的报告缺乏一贯性"或者是"核对信息花费了太多时间"的企业约占70%。特别引人深思的是该调查是由美国HarteHanks以全球500强企业以及财富1000企业中的171家公司为对象通过问卷方式实施的。调查对象中,40%以上的企业年交易额超过20亿美元。其他主要调查结果如下∶回答目前的信息系统不能灵活因应变化的企业约占60%;对于数据的精度表示担心的企业约占60%;60%以上的企业正在策划有关数据及信息的整合计划。这充分说明,信息系统的建设项目较之传统工业工程项目成功率更低,风险也更加突出。
中央领导同志在国家信息化领导小组第一次会议中特别强调:信息化建设一定要讲求效益,不能搞花架子。因此建立并逐步完善我国信息系统审计制度是健康、有序地推进信息化和落实领导小组会议精神的一项重要措施。
目前,在国内的信息化项目工程建设中,绝大多数用户(业主)无法组织队伍对信息系统建设进行专业化管理,难以胜任从可行性分析、规划设计、招标、方案评审到工程监理和工程验收全过程的管理与组织协调工作,建设方和承建方在信息建设过程中存在严重的信息不对称问题。这表现为借助外援进行工程管理咨询的案例越来越多,一些省市的行业主管部门也开始在信息系统建设中推行由监理进行工程质量管理的做法。但是,监理介 入信息系统在我国还处于一个探索的过程中。
我国加入WTO后,鉴于我国IT服务业未来巨大的增长空间,国际知名咨询顾问公司、专业技术服务提供商等纷纷抢滩我国市场。在信息系统第三方鉴证业务方面,他们提供符合国际标准的信息系统审计服务。因此当前监理事业的发展面临新的形势,监理工作外部环境发生了深刻变化,势将对我国监理企业形成严重冲击,本土监理企业面临前所未有的严峻挑战。监理事业往何处去?这是摆在每一个监理人面前的重大课题。每一个监理企业必须以发展的眼光、动态的观点、创新的思想和创新的理论正确认识和判断当前的监理形势,增强危机感和紧迫感,迎接新的挑战。
信息系统监理
信息系统监理概念
依据信息产业部《信息系统工程监理暂行规定》,信息系统工程监理是指依法设立且具备相应资质的信息系统工程监理单位,受业主单位委托,依据国家有关法律法规、技术标准和信息系统工程监理合同,对信息系统工程项目实施的监督管理。
信息系统监理产生动因及其发展
1、信息系统监理产生动因分析
监理工作、监理企业是我国在计划经济向市场经济转变的过程中在建设领域中应运而生的,并取得了有目共睹的显著成效,直接促进了工程监理业的繁荣发展,这也导致在通信业工程建设、信息系统建设等方面监理的出现。因此,回顾建设工程监理的发展,将有助于对信息系统监理的认识。
1988年7月建设部发布了《关于开展建设监理工作的通知》,随后又于1988年11月印发了《关于开展建设监理试点问题的若干意见》,使得试点工作有章可循。1989年,根据初步试点取得的经验,建设部制定了《建设监理试行规定》,这是我国第一个比较完备的关于工程建设监理的法规文件,勾画出具有我国特色的工程建设监理制度的初步框架。1991年又分别制定颁发了《建设监理单位资质管理试行办法》和《监理工程师资格考试及注册试行办法》,建设监理法规制度进一步配套完善。1993年,上海市开始了工程设备监理制度的试点工作。1998年,国务院机构改革后赋予了国家质量技术监督局“协调建立设备工程监理制度”的职能要求,随后,国家质量技术监督局拟定了《协调建立设备工程监理制度的方案》,在国家发展计划委员会的指导和具体参与下,会同国务院有关部门,在国内有关技术及咨询机构的帮助、支持下,完成了设备监理制度中有关规章的起草工作。此间,世界银行、国家开发银行等亦曾规定,其贷款的有关项目要有监理公司监理,并作为申请贷款的项目单位获得贷款的基本条件。由此开始推行建设工程监理制度,监理事业得到持续快速发展,从而积累了一定经验,取得了积极成效。发展至今建立了一套比较完整的监理法规体系,组成了一支规模较大的监理队伍,监理出一批优良的工程项目,监理工作在工程建设中发挥了重要作用,得到了各级领导的支持,得到了社会的普遍认可,正逐步向规范化、制度化、科学化方向迈进
但同时我国工程监理事业经过十多年的发展,虽然取得了一定成绩,但也存在不少问题。如:监理人员整体素质不高、监理工作缺位、监理取费普遍较低、监理市场竞争机制不健全、监理企业缺乏自我积累和发展能力、监理责任不明确、监理工作缺乏系统的理论研究、宣传工作滞后等问题比较突出。
2、信息系统监理的发展
目前信息系统工程的现状类似于二十世纪八十年代以前建筑工程的状态。自1988年建设部颁布《关于开展建设监理工作的通知》以后,特别是1996年建设监理全面推行后,建筑工程的质量普遍提高,业主和承建商之间的纠纷普遍减少,凡是出问题的工程,监理也有问题。因此,要求参考建筑工程的管理办法对信息工程实施监理的呼声日益高涨,这既是信息工程用户(业主)的愿望,也是系统集成商的愿望,信息工程市场呼唤“第三方”—信息系统工程监理的出现。
早在1995年,原电子工业部就出台了《电子工程建设监理规定(试行)》。1996年,深圳市成立了全国第一家信息工程质量监督机构—信息工程质量监督检验总站。1998年,西安协同软件股份有限公司经西安技术监督局和西安市科委批准,获得“计算机管理信息系统工程监理”资质认证,成为国内第一家获此资格的公司。1999年6月,深圳市政府在国内率先出台了包括实施信息工程监理条款在内的《深圳市信息工程管理办法》,并要求首届我国国际高新技术成果交易会信息网络工程实施监理。2000年7月,深圳市信息化建设委员会办公室制订了《深圳市信息工程建设管理办法实施意见》,要求“市、区、镇人民政府及其所属部门使用财政性资金(包括预算内资金、预算外资金、事业收入等),投资规模在100万元以上的信息工程建设项目必须遵照本实施意见进行立项、招投标、监理、质量监督、验收”。2002年7月,北京市信息化工作办公室制定了《北京市信息系统工程监理管理办法(试行)》,要求“本市推行信息系统工程监理制度,建设单位应当通过协议或者招标的方式优先选择具有相应资质等级的信息系统工程监理单位承担监理业务。各级财政全部补助或者部分补助以及为社会提供公共服务的重大信息化工程项目必须通过招标的方式选择信息系统工程监理单位,实行强制监理。”2002年11月,国家质量监督检验检疫总局公布《设备监理单位资格管理办法》,在该管理办法的21类设备工程专业中,涉及信息工程的共有三类,即信息网络系统、信息资源开发系统和信息应用系统。最近,在国家信息办和国家标准管理委员会直接领导下,信息化系统监理规范化项目正在加紧制定中,并且是作为电子政务标准化项目的一个子项目而提出的。预计在今年年底,监理规范就要完成,经过试用和修改后,将上升为国家标准。2002年12月,信息产业部在广泛征求意见和开展试点工作的基础上,正式颁布《信息系统工程监理暂行规定》,这标志着我国信息工程监理开始迈向科学化、专业化和规范化,也预示着在我国即将出现一个新的中介服务行业,将很快涌现一批监理机构和执业人员,从此信息系统工程监理工程师也将逐步成为国民经济和社会信息化的“警察”。
但我国的信息系统工程监理目前仅仅是处在起步阶段,事实上根据对国内信息化应用程度较高的行业部门(如银行、证券、保险、气象、社保、旅游等)和部分大型企业(如华北制药、哈尔滨轴承集团、哈尔滨飞机制造企业、跃进汽车集团、我国石化等)30个样本作为调查对象的调查结果显示,对于大多数企业来说,项目监理是个新概念。只有30%的被调查者表示在某些信息化项目中使用过监理服务。在70%未使用过项目监理的被调查者中,5%表示听说过,95%表示知道建筑工程有监理,但在IT信息化项目中引入监理还是第一次听说。
图1监理服务内容重要程度(引自胡敏《市场呼唤项目监理》)
目前,我国还没有一套完善的IT项目监理制度,相应的监理法规、监理内容、收费标准等也都没有制定。特别是收费标准问题,大多数用户采用协商解决。以北京城域网项目的监理费为例,其采用了建筑行业的监理服务收费标准(2%10%),支付的服务费占整个项目资金支出的2%。广大用户也反映,项目监理的标准如何才能做到公正、科学,项目监理的工作流程是否也应该规范,如何界定和权衡监理公司、用户、IT厂商三方利益?监理过程中出了问题,该怎么办?,这一系列问题都需要不断探索。原北京市信息中心主任华平澜表示,只有使监理更加规范化,才能更好地推进监理工作,才能使信息系统的建设更加顺利。事实上,与建筑等其他发展很成熟的行业的监理相比,对IT项目的监理要难得多。并且由于信息技术是一个新兴技术,它本身还在不断发展和完善,因此,即使制定出的监理的内容和标准也不能僵化,需要不断地变更和完善。
信息系统监理的基本理论
信息系统监理的中心任务是科学地规划和控制工程项目的投资、进度和质量三大目标;监理的基本方法是目标规划、动态控制、组织协调和合同管理;监理工作贯穿规划、设计、实施和验收的全过程。信息工程监理正是通过投资控制、进度控制、质量控制以及合同管理和信息管理来对工程项目进行监督和管理,保证工程的顺利进行和工程质量。
1、成本控制
成本控制的任务,主要是在建设前期进行可行性研究,协助建设单位正确地进行投资决策;在设计阶段对设计方案、设计标准、总概(预)算进行审查;在建设准备阶段协助确定标底和合同造价;在实施阶段审核设计变更,核实已完成的工程量,进行工程进度款签证和索赔控制;在工程竣工阶段审核工程结算。
2、进度控制
进度控制首先要在建设前期通过周密分析研究确定合理的工期目标,并在实施前将工期要求纳入承包合同;在建设实施期通过运筹学、网络计划技术等科学手段,审查、修改实施组织设计和进度计划,做好协调与监督,排除干扰,使单项工程及其分阶段目标工期逐步实
现,最终保证项目建设总工期的实现。
3、质量控制
质量控制要贯穿在项目建设从可行性研究、设计、建设准备、实施、竣工、启用及用后维护的全过程。主要包括组织设计方案评比,进行设计方案磋商及图纸审核,控制设计变更;在施工前通过审查承建单位资质等;在施工中通过多种控制手段检查监督标准、规范的贯彻;以及通过阶段验收和竣工验收把好质量关等。
3、合同管理
合同管理是进行投资控制、工期控制和质量控制的手段。因为合同是监理单位站在公正立场采取各种控制、协调与监督措施,履行纠纷调解职责的依据,也是实施三大目标控制的出发点和归宿。
4、信息管理
信息管理包括投资控制管理、设备控制管理、实施管理及软件管理。
5、协调
协调贯穿在整个信息系统工程从设计到实施再到验收的全过程。主要采用现场和会议方式进行协调。
总之,三控两管一协调,构成了监理工作的主要内容。为完满地完成监理基本任务,监理单位首先要协助建设单位确定合理、优化的三大目标,同时要充分估计项目实施过程中可能遇到的风险,进行细致的风险分析与评估,研究防止和排除干扰的措施以及风险补救对策。使三大目标及其实现过程建立在合理水平和科学预测基础之上。其次要将既定目标准确、完整、具体地体现在合同条款中,绝不能有含糊、笼统和有漏洞的表述。最后才是在信息工程建设实施中进行主动的、不间断的、动态的跟踪和纠偏管理。
信息系统监理的主要业务和依据
1、信息系统监理的主要业务
信息系统监理的主要业务范围有信息网络系统、信息资源系统、信息应用系统的新建、升级、改造工程。根据国内信息系统监理的实践,其涵盖计算机工程、网络工程、通信工程、结构化布线工程、智能大厦工程、软件工程、系统集成工程以及有关计算机和信息化建设的工程及项目。其业务内容具体如下:
帮助建设单位做好项目需求分析,协助建设单位选择合适的承建单位;
审定承建单位的开工报告、系统实施方案、施工进度计划;
对项目实施的各个阶段进行有效的监督和控制,帮助建设单位控制工程进度、投资和质量;
审查和处理工程变更;
参与工程质量和其他事故调查;
调解建设单位与承包单位的合同争议,处理索赔、审批工程延期;
组织进行竣工验收测试。
组织建设单位和承建单位完成工程移交。
2、信息系统监理的依据
信息系统监理的依据如下:
国务院颁发的《质量振兴纲要》;
现行国家、各省、市、自治区的有关法律、法规、规定;
国际、国内IT行业质量标准规范;
建设单位和承建单位的合同;
将来还有国家标准,例如《信息化工程监理规范》等。
信息系统监理的程序
图3信息系统监理的程序
信息系统工程监理的特点是全过程监理,主要包括四个阶段的监理工作:招投标阶段、设计阶段、实施阶段、验收阶段。监理的目标、方法和程序都体现在这四个阶段的监理工作中。
信息系统审计
信息系统审计概念
信息系统审计是全部审计过程的一个部分,信息系统审计(ISaudit)目前还没有固定通用的定义,美国信息系统审计的权威专家RonWeber将它定义为“收集并评估证据以决定一个计算机系统(信息系统)是否有效做到保护资产、维护数据完整、完成组织目标,同时最经济的使用资源”。
信息系统审计的目的是评估并提供反馈、保证及建议。其关注之处可被分为如下三类:
可用性——商业高度依赖的信息系统能否在任何需要的时刻提供服务?信息系统是否被完好保护以应对各种的损失和灾难?
保密性——系统保存的信息是否仅对需要这些信息的人员开放,而不对其他任何人开放?
完整性——信息系统提供的信息是否始终保持正确、可信、及时?能否防止未授权的对系统数据和软件的修改?
信息系统审计产生动因及其发展
1、信息系统审计产生动因分析
关于信息系统审计的产生动因,目前国际上存在两种观点:一种观点认为是从会计审计发展到计算机审计再发展到信息系统审计(计算机审计的范围扩展,最后涵盖整个信息系统)演变过来的;另外一种认为由于信息系统尤其是大型信息系统的建设是一项庞大的系统工程,它投资大、周期长、高技术、高风险,在系统的建设过程中,对工程进行严格、规范的管理和控制至关重要。而正是由于信息系统工程所具有的这些特点,建设单位往往由于技术力量有限,无力对项目的技术、设备、进度、质量和风险进行控制,无法保证项目的实施成功。所以需要有第三方进行独立审计。
2、信息系统审计在国际上的发展
信息系统审计的发展是伴随着信息技术的发展而发展的。在数据处理电算化的初期,由于人们对计算机在数据处理中的应用所产生的影响没有足够的认识,认为计算机处理数据准确可靠,不会出现错弊,因而很少对数据处理系统进行审计,主要是对计算机打印出的一部分资料进行传统的手工审计。随着计算机在数据处理系统中应用的逐步扩大,利用计算机犯罪的案件不断出现,使审计人员认识到要应用计算机辅助审计技术对电子数据处理系统本身进行审计,即EDI审计。同时随着社会经济的发展,审计对象、范围越来越大,审计业务也越来越复杂,利用传统的手工方法已不能及时完成审计任务,必须应用计算机辅助审计技术(CAATs)进行审计。八十年代、九十年代信息技术的进一步发展与普及,使得企业越来越依赖信息及产生信息的信息系统。人们开始更多的关注信息系统的安全性、保密性、完整性及其实现企业目标的效率、效果,真正意义的信息系统审计才出现。随着电子商务的全球普及,信息系统的审计对象、范围及内容将逐渐扩大,采用的技术也将日益复杂。到目前为止,信息系统审计在全球来看,还是一个新的业务,从美国五大会计师事务所的数据看1990年拥有信息系统审计师12名到近百名,1995年已有500名,到2000年时,信息系统审计师正以40%——50%的速度增加,说明信息系统审计正逐渐受到重视。
美国在计算机进入实用阶段时就开始提出系统审计(SYSTEMAUDIT),从成立电子数据处理审计协会(EDPAA后更名为ISACA)以来,从事系统审计活动已有三十多年历史,成为信息系统审计的主要推动者,在全球建有一百多个分会,推出了一系列信息系统审计准则、职业道德准则等规范性文件,并开展了大量的理论研究,IT控制的开放式标准COBIT(ControlObjectivesforInformationandRelatedTechnology)已出版了第三版。
3、信息系统审计在国内的发展
目前国内有学者提出计算机审计,电算化审计,但基本上停留在对会计信息系统的审计上,延伸手工会计信息系统审计,尚未全面探讨信息时代给审计业务带来的深刻变化。以我国在1999年颁布了独立审计准则第20号——计算机信息系统环境下的审计为例,其更多关注的是会计信息系统。在信息时代,面对加入WTO后全球一体化市场,我国IT服务业面临巨大的挑战,开展信息系统审计业务不失为推动我国IT服务业发展的一次绝佳机会。
信息系统审计的理论基础
信息系统审计不仅仅是传统审计业务的简单扩展,信息技术不单影响传统审计人员执行鉴证业务的能力,更重要的是公司和信息系统管理者都认识到信息资产是组织最有价值的资产,和传统资产一样需要控制,组织同时需要审计人员提供对信息资产控制的评价。因此信息系统审计是一门边缘性学科,跨越多学科领域。
如图3所示,信息系统审计是建立在四个理论基础之上的:
传统审计理论。传统审计理论为信息系统审计提供了丰富的内部控制理论与实践经验,以保证所有交易数据都被正确处理。同时收集并评价证据的方法论也在信息系统审计中广泛应用,最为重要的是传统审计给信息系统审计带来的控制哲学,即用谨慎的眼光审视信息系统在保护资产安全、保证信息完整,并能有效地实现企业目标的能力。
信息系统管理理论。信息系统管理理论是一门关于如何更好地管理信息系统的开发与运行过程的理论,它的发展提高了系统保护资产安全、保证信息完整,并能有效地实现企业目标的能力。
行为科学理论。人是信息系统安全最薄弱的环节,信息系统有时会因为人的问题而失败,比如对系统不满的用户故意破坏系统及其控制。因此审计人员必须了解哪些行为因素可能导致系统失败。这方面行为科学特别是组织学理论解释了组织中产生的“人的问题”。
计算机科学。计算机科学本身的发展也在关注如何保护资产安全、保证信息完整,并能有效地实现企业目标。但是技术是一把双刃剑,计算机科学的发展可以使审计人员降低对系统组件可靠性的关注,信息技术的进步也可能启发犯罪,例如一个重要的问题是信息技术在会计制度中的应用是否给罪犯提供了较多缓冲时间?如果是,那么今天网络犯罪产生的社会威胁较以往任何时候都要大。
图4 :IS审计的理论基础
信息系统审计的基本业务和依据
1、信息系统审计的基本业务
信息系统审计业务将随着信息技术的发展而发展,为满足信息使用者不断变化的需要而增加新的服务内容,目前其基本业务如下:
系统开发审计,包括开发过程的审计、开发方法的审计,为IT规划指导委员会及变革控制委员会提供咨询服务;
主要数据中心、网络、通讯设施的结构审计,包括财务系统和非财务系统的应用审计;
支持其他审计人员的工作,为财务审计人员与经营审计人员提供技术支持和培训;
为组织提供增值服务,为管理信息系统人员提供技术、控制与安全指导;推动风险自评估程序的执行;
软件及硬件供应商及外包服务商提供的方案、产品及服务质量是否与合同相符审计;
灾难恢复和业务持续计划审计;
对系统运营效能、投资回报率及应用开发测试审计;
系统的安全审计;
网站的信誉审计;
全面控制审计等。
一个信息系统不等同于一台计算机。今天的信息系统是复杂的,由多个部分组成以做出商业解决方案。只有各个组成部分通过了评估,判定安全,才能保证整个信息系统的正常工作。对一个信息系统审计的主要组成部分分成以下几类:
信息系统的管理、规划与组织——评价信息系统的管理、计划与组织方面的策略、政策、标准、程序和相关实务。
信息系统技术基础设施与操作实务——评价组织在技术与操作基础设施的管理和实施方面的有效性及效率,以确保其充分支持组织的商业目标.
资产的保护——对逻辑、环境与信息技术基础设施的安全性进行评价,确保其能支持组织保护信息资产的需要,防止信息资产在未经授权的情况下被使用、披露、修改、损坏或丢失。
灾难恢复与业务持续计划——这些计划是在发生灾难时,能够使组织持续进行业务,对这种计划的建立和维护流程需要进行评价。
应用系统开发、获得、实施与维护——对应用系统的开发、获得、实施与维护方面所采用的方法和流程进行评价,以确保其满足组织的业务目标。
业务流程评价与风险管理——评估业务系统与处理流程,确保根据组织的业务目标对相应风险实施管理。
2、信息系统审计的依据
信息系统审计师须了解规划、执行及完成审计工作的步骤与技术,并尽量遵守国际信息系统审计与控制协会的一般公认信息系统审计准则、控制目标和其他法律与规定。
一般公认信息系统审计准则——包括职业准则、ISACA公告和职业道德规范。职业准则可归类为:审计规章、独立性、职业道德及规范、专业能力、规划、审计工作的执行、报告、期后审计。ISACA公告是信息系统审计与控制协会对信息系统审计一般准则所做的说明。ISACA职业道德及规范提供针对协会会员或信息系统审计认证(CISA)持有者有关职业上及个人的指导规范。
信息系统的控制目标——信息系统审计与控制协会在1996年公布的COBIT(ControlObjectivesforInformationandrelatedTechnology)被国际上公认是最先进、最权威的安全与信息技术管理和控制的标准,目前已经更新至第三版。它在商业风险、控制需要和技术问题之间架起了一座桥梁,以满足管理的多方面需要。面向业务是COBIT的主题。它不仅设计用于用户和审计师,而且更重要的是可用于全面指导管理者与业务过程的所有者。商业实践中越来越多的包含了对业务过程所有者的全面授权,因此他们承担着业务过程所有方面的全部责任。特别的是,这其中包含着要提供足够的控制。Cobit框架为业务过程所有者提供了一个工具,以方便他们承担责任。其框架包括四大部分:架构、控制目标、审计指南及执行概要。COBIT架构着重各项处理的高层次控制,控制目标则着重于各项IT处理或对该架构所包括的34项IT处理的特定详细控制目标,每一项IT处理都有5至25个详细控制目标,控制目标使整体架构和详细控制目标密切对应,相互一致。详细控制目标有18种主要来源,涵盖现行的及法定有关IT的国际性准则与规定。这包括对各项IT工作所建置的控制程序拟达到的预期结果或目标的叙述,以提供全球所有的产业有关IT控制的明确方针及实际最佳的应用。
其他法律及规定。每个组织不论规模大小或属于何种产业,都需要遵守政府或外部对与电脑系统运作、控制,及电脑、程序、信息的使用情况等有关的规定或要求,对于一向受严格管制的行业,尤其要注意遵守。以国际性银行为例,若因不良备份及复原程序而无法提供适当的服务水准,其公司及员工将受严重处罚。此外,由于对EDP及信息系统的依赖性加重,许多国家极力建立更多有关信息系统审计的规定。这些规定内容是关于建置、组织、责任与财务及业务操作审计功能的关联性。有关的管理阶层人员必须考虑与组织目标、计划及与信息服务部门/职能/工作的责任及工作等有关的外部规定或要求。
信息系统审计流程
开始审计工作的准备包括收集背景信息,估计完成审计需要的资源和技巧。包括合理进行人员分工。与负责的高级经理举行一次正式的开始审计会议,最后决定范围,理解特别关注之处,如果有的话,制定日程,解释审计方法。这样的会议有高级经理的参与,使人们互相认识,阐明问题强调商业关注点,使得审计工作得以顺利进行。类似的,在审计完成后,也召开一次正式会议,向高级经理交流审计结果,提出改进建议。这将确保进一步的理解,增加审计建议的接纳程度。也给了被审计者一个机会来表达他们对提出问题的观点。会议之后书写报告,可以大大增加审计的效果。
开始审计工作预备工作了解内部控制结构评价控制风险是否信赖内部控制?是否仍可信赖内部控制?内部控制测试评价控制风险是否提高内部控制的信赖程度?扩大实质性测试有限的实质性测试形成审计意见出具审计报告是否是是否结束否
基于风险的审计方法
很多组织意识到技术能带来的潜在好处。然而,成功的组织还能够理解和管理好与采用新技术相关的很多风险。因此,审计从基于控制(ControlBased)演变为基于风险(RiskBased)的方法,其内涵包括企业风险、确定风险、风险评估、风险管理、风险沟通。
每个组织使用许多信息系统。对不同功能和活动有不同的应用软件,在不同的地理区域可能有众多的计算机配置。审计者面临的问题是审计什么,什么时候及审计频率。其答案是接纳基于风险的方法。信息系统有着与生俱来的风险,这些风险用不同方式冲击信息系统。对繁忙的零售超市,信息系统哪怕一个小时的不可用都会对营业系统造成严重影响。未授权的修改可能造成对在线银行系统的欺诈及潜在损失。系统运行的技术环境也可能影响系统的运行风险。
基于风险方法来进行审计的步骤是:
编制组织使用的信息系统清单并对其进行分类。
决定哪些系统影响关键功能和资产。
评估哪些风险影响这些系统及对商业运做的冲击。
在上述评估的基础上对系统分级,决定审计优先值,资源,进度和频率。审计者可以制定审计计划,罗列出一年之中要进行的审计项目。
信息系统监理与信息系统审计之对比分析
从前面两部分的介绍可知,信息系统审计在国际上已经体系化、标准化、程序化,而 我国信息系统监理仅有最基本的轮廓,积累了一些经验,但尚没有形成完整的方法论。因此,目前只能从概念、发展动因等方面做较为宽泛的对比。不过,对比国际通用体系,可为我国发展信息系统监管体系以及制定相应的管理制度或实施细则提供借鉴。
信息系统监理与信息系统审计之对比,可归纳出以下特点:
两者性质相同,都是第三方监督,但对独立性的要求有差别。
两者都是立足在第三方的立场,公平对待委托方与被监督方,并要求确保公正性、公平性,以《北京市信息系统工程监理管理办法》为例,其第十四条是“信息系统工程监理单位应当客观、公平、公正地执行监理任务”,但是对这一行业赖以存在并得以发展的信条和灵魂——独立性没做明确要求。而信息系统审计对第三方的超然独立要求极其严格,也因此在保证客观、公正上更有可操作性。
客观公正应当是每个信息系统审计师和监理工程师职业道德方面追求的最高目标,但是人们很难衡量其在执行业务时是否已经达到了客观公正,如果只作精神上的要求,那么准则和要求将变成牧师的布道,职业人员很难执行,社会公众很难观察,所以信息系统审计准则中有关于审计师独立性的要求。有关独立性问题的系统研究当首推罗伯特.K.莫茨(R.K.Mautz)和侯赛因.A.夏拉夫(H.A.sharaf)1961年出版的《审计哲学》(ThephilosophyofAuditing)。其中对独立性的讨论包含了两个方面:执业者的独立性(Practitionerindependence)和职业的独立性(Professionindependence)。前者包括审计计划的独立性、审计过程的独立性和审计报告的独立性;后者则是指社会公众对注册会计师行业的一种印象。曾任美国注册会计师协会职业道德委员会主席的托马斯.G.希金斯(ThomasGHiggins)在1962年对独立性的概念又进行了进一步的提升与概括,他认为:“注册会计师必须拥有的独立性,实际上有两种,实质上的独立性和形式上的独立性”。所谓形式上的独立性,是指注册会计师必须与被审查企业或个人没有任何特殊的利益关系,如不得拥有被审查企业股权或担任其高级职务,不能是企业的主要贷款人、资产受托人或与管理当局有亲属关系,等等。否则,就会影响注册会计师公正地执行业务。形式上的独立性又可进一步分为组织上的独立性、经济上的独立性与人员上的独立性三种。所谓实质上的独立性,又称为精神独立性,即认为独立性是一种精神状态、一种自信心以及在判断时不依赖和屈从于外界的压力和影响。它要求注册会计师在执业过程中严格保持超然性,不能主观袒护任何一方当事人,尤其不应使自己的结论依附或屈从于持反对意见利益集团或人士的影响和压力。由上可知,实质上的独立性是无形的,通常是难以观察和度量的,而形式上的独立性则是有形的和可以观察的。社会公众通常是透过注册会计师形式上的独立性来推测其实质上的独立性。因此,从这个意义上来说,形式上的独立性是实质上的独立性的载体和重要前提。由此可见,形式上独立很重要,因为它很好界定,便于准则规范,在现实环境中有很好的可执行性。因此我们认为,信息系统监理行业如果不能在独立性的制度建设上取得重大突破,整个行业的社会信任度大打折扣,而诚信和道德水准的提升对制度缺陷的修正也会很难在实质上取得成效。信息系统监理行业发展中所面临的各种问题都很重要,但围绕信息系统监理职业独立性的建设可能是各项工作中的重中之重。(本文对注册会计师的讨论同样适用于信息系统审计师)。
国外信息系统审计已经发展为较完善的行业监督体系。
目前国内信息系统审计刚刚起步,而信息工程监理还不够规范。国家缺乏相应的法律、法规和标准,至今还没有有效的管理手段,在委托方和被委托方之间也没有一种协调的机制来建立两者之间的信任。并且我国行业不规范的责任往往被轻易地归咎于政府监管的不力;同样轻易得到的结论,是因此要“加强监管机构的权力和范围”。美国的会计行业规范不是这么一种逻辑。在规范行业行为中,政府监管是一个重要的辅助措施;而真正起决定性作用的,是市场中的制衡力量,以及为这些制衡力量切实发挥作用而形成的各种正式 或非正式的制度安排。
美国注册会计师行业的管理机制——行业自我管理和外部约束向结合发挥了重要作用。行业自我管理是通过行业组织、准则和规则、监督来实现的,行业外部约束通过政府组织、准则和规则、监督和实施来实现。如美国国会和SEC监管下的行业自律。外部监管以加强管制的可能性来对行业施加约束。而较强的行政管制,将在很大程度上限制会计行业自主发展的权利和业务拓展空间,损害所有从业者的利益,因此行业总体上需要以行业自律来换取行业自我管制。如果行业不能自律,公众要求国会加强行政管制的压力使得这种可能性现实存在。
两者业务范围和目的均有所差别。
信息系统工程监理和信息系统审计都是对质量控制的再控制,但两者业务范围和目的均有所差别。
1、两者业务范围差别
信息系统工程监理是指具有信息系统工程监理资质的单位,接受建设单位的委托,依据国家和本市有关规定、信息系统工程建设标准和工程承建、监理合同,对信息系统工程的质量、进度和投资方面实施监督。目前主要应用在信息化工程建设阶段。
信息系统审计是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。它是立足于组织的战略目标,为有效的实现组织战略目标而采取的一切活动过程都在审计师的业务之内。其业务范围包括与信息系统有关的所有领域,例如信息系统安全审计、网誉审计、PKI/CA审计、电子签名审计业务等。
2、两者目的差别
信息系统工程监理的目的是保证工程建设质量、进度和投资额满足建设要求。监理活动随着工程的完成而结束。信息系统审计的目的是合理保证信息系统能够保护资产的安全、数据的完整、系统有效地实现组织目标并有效率的利用组织资源,其核心是信息系统的效率、效果。不仅包括对建设过程的审计,更重要的是对信息系统的运营审计,向公众出具审计报告,鉴证信息系统能否保护企业资产安全,其产生、传递的信息是否完整,整个系统是否有效地实现组织目标并有效率的利用组织资源。只要信息系统在运行,审计活动一直存在。
另外,信息系统工程监理的过程是可见的,即对项目成本、进度和质量与目标出现的偏差是可见的,及时纠正也方便。但信息系统审计对信息系统的安全性、可靠性与有效性的认定具有不可见性,这也正是信息系统比工程项目复杂的主要原因。信息系统建设完毕,这仅仅是信息化的开始,大量的问题将出现在信息系统运维阶段,因此,从这个角度而言,信息系统审计是保证信息系统质量的行之有效的方法。
信息系统审计与方法研究具有科学化、规范化、智能化和系统化的特点。
所谓科学化,是指现代审计技术与方法的研究,已经超越了传统的经验论,非常强调把科学手段和经验总结相结合。比较典型的例子就是分析性复核技术的发展。所谓分析性复核,其实质就是将审计人员掌握的一些客观规律总结出来,测算出被审计事项的合理预期值,再与被审计事项的实际值相比较,进一步评估差异的合理性之后,确定是否还需要对被审计事项进行详细测试。这一个过程,实际上被许多审计人员不自觉地运用了多年,但通过公式和比率等形式总结出来,主动指导审计人员的实践,却是最近20年来审计技术与方法研究的一大突出特点。科学化的另一个表现就是数学和统计学技术在审计中的运用日益广泛,抽样统计技术的全面推广就是例证。
所谓规范化,是指审计机构将审计程序设计与审计技术方法的运用有机结合,规范和引导审计人员运用适当的审计技术和方法。以往,审计人员在运用审计技术和方法的过程中容易有较大的随意性,用与不用,在什么时候用,如何使用,都没有规范和约束,导致整个审计机构的标准不统一,质量没有保证。随着程序导向式审计软件平台的开发和广泛运用,越来越多的审计机构开始把审计技术与方法融入到规范的审计程序之中,要求并指导审计人员合理运用审计技术。
所谓智能化,强调的就是将历史经验总结、科学规律推导和审计人员的专业判断结合起来,指导审计人员得出合理的审计结论。在审计过程中,数学、统计学的分析结果,都不能完全替代审计人员的专业判断,因为在其利用的数学公式中,仍然有许多变量需要审计人员主观确定。在这种情况下,越来越多的审计机构,倾向于在审计软件中为审计人员的决策提供参考。目前,许多审计机构不惜花巨资,邀请审计领域的专家,分析在各种情况下常见的审计策略或方法以及对不同审计结果的判断标准。当然,对审计而言,智能化永远都是一个相对的概念,电脑和机器永远不能替代审计人员的决策,但提供决策辅助和参考意见,确实非常必要。
所谓系统化,是指审计战略(策略)和审计技术方法的全面协调。审计战略(策略)解决的是要审什么、想达到什么目的,审计技术和方法解决的是怎么审和怎么达到目的,这两者的协调是审计技术与方法的研究成果得以全面运用的关键。回顾最近20多年来审计技术与方法的研究历程,可以清晰地发现,审计技术的研究和运用完全是在风险基础审计理论指导下的开拓和发展,而脱离理论指导的实践经验总结相对越来越少。这一点给我们的启示在于,审计技术与方法的研究,不能超越基本审计理论和审计目标的研究,也不能脱离审计战略和审计目标的总体要求。
信息系统审计具有较完善的职业教育和认证体系。
国际信息
系
统
审
计
与
控
制
协
会
ISACA(InformationSystemAuditandControlAssociation)是唯一有权授予国际信息系统审计师资格的跨国界、跨行业专业机构,该协会成立于1969年,总部在美国的芝加哥。目前在世界上100多个国家设有160多个分会,现有会员两万多人。注册信息系统审计师CISA(CertifiedInformationSystemAuditor)资格由ISACA授予,是信息系统审计领域的唯一职业资格,受到全世界的广泛认可。由于信息技术的国际性,国际信息系统审计师资格在世界任何一个国家的使用都不会受到任何制约。自1978年以来,国际信息系统审计师CISA认证已经成为在信息系统审计、控制与安全专业领域中取得成绩的标准,并得到了全世界的公认。在世界各地,每年都要举行一次认证考试和若干次后续教育,目前在我国香港、台湾、北京、上海、广州、深圳设有考点。经过认证的信息系统审计师最擅长鉴别信息系统的有效性,最安全和最稳定的系统不一定是最有效的系统,而效率不高的系统就会消耗企业大量的资源,信息系统审计师的优势就是对财经管理和信息技术融会贯通,为企业信息系统的改造提供建议。
鉴于信息安全市场的高速增长,最近国际信息系统审计与控制协会又迅速推出了信息安全管理师认证CISM,以配合市场对安全人才的巨大需求。
对信息系统监理的建议
目前,我国的信息系统监理业巨大的发展空间吸引着越来越多的国际咨询公司和专业服务提供商抢滩我国市场。据不完全统计,目前在我国的海外咨询足有百余家。随着摩立特集团(我国)公司日前在北京成立,国际上最著名的咨询公司如麦肯锡、科尔尼、埃森哲、BCG、PWC、罗兰贝格、德勤等皆已在我国登陆,给国内的咨询包括监理机构带来了巨大的压力,其丰富的案例库、数据库、知识库,数十甚至百年创下的品牌,短时期内本土咨询业与其的差距依然较大。
面对机遇和挑战,如何借鉴国际上先进的经验,推动我国信息系统监理的健康发展,避免其他中介服务行业曾走过的弯路,我们在广泛的理论分析和实证研究的基础上提出如下具体建议:
建立健全的管理体制与法律法规体系,尽快形成统
一、规范、竞争、有序的信息系统工程监理服务市场。
各级信息化主管部门,在规范政府管理职能的同时(政府部门要避免管的过多、过细,应过多关注整个监理市场的宏观管理和调控),注重加强行业自律管理,避免其他中介服务行业曾出现过的多种问题。例如,个别人凭借权利强行包揽监理业务,采取高回扣等不正当手段,以及为独揽业务,不惜损害其他方和当事人的权益等。
鉴于信息系统工程监理具有专业性强和风险大的特点,建议把执业队伍的业务素质和职业道德素质的提高作为一项重要工作常抓不懈,使信息系统工程监理工程师真正成为国民经济和社会信息化的“警察”。
尽快建立信息系统工程监理的标准和执业规范。
推动信息系统工程监理工业的分化整合,探索信息系统工程监理公司扩大规模的方式和途径。在我国加入WTO的新形势下,面对国际IT服务咨询业巨头的竞争,我国信息系统工程监理行业刚起步,监理公司如何脱颖而出、迅速成长,参与国内甚至国际信息系统中介服务市场的竞争,将是重中之重的工作。
开展信息系统工程监理公司内部管理机制研究。努力提高信息系统工程监理行业的监理质量。
执业程序要统一。“四大”发展到今天这样的规模,执业程序的统一是其基石。这些程序历经多年的经验积累而形成,并针对新出现的问题随时加以完善。从某种意义上将,客户对“四大”的统一的执业程序的认同,超过了对其名称品牌的认同。
培训统一。为保证执业程序的统一,首先要做到培训统一。信息系统监理工程师在开始执业前要经过严格的培训,定期培训当然更不可少。建议信息系统监理公司设立专门的培训部门,并将每年收入相当大的比重用于培训。另外,严格、规范的培训也是监理公司能够吸引众多高素质从业人员的一个重要因素。
人事管理在一定范围内统一。建议将监理工程师的级别进行细分,并且不要出现一个地方的人员比另外一个地方同一级别的人员水平明显高的情况。这种管理方式,对于监理机构来说非常重要。
总之,我国信息系统监理事业发展几年来,虽然取得了一定成绩,但在思想认识、理论研究、管理体制、法规建设及实际操作中仍存在诸多问题,监理企业面临前所未有的严峻挑战。但是机遇与挑战同在,我国本土的咨询和监理企业最了解我国的国情环境。我们要充分利用这一优势,发挥自身的能动力量,积极参与竞争,加强与国际同行的合作交流,借鉴国际咨询机构和专业服务提供商的经验、知识、规则乃至在实施过程中的具体方法,把我国的信息系统监理事业做稳、做实、做大,做出我国的监理和咨询品牌。
特约撰稿人:孙强孟秀转
[摘要]建立信息化建设的第三方监督对保证信息化建设的效益最大化至关重要。本文通过信息系统监理和信息系统审计的概念、产生动因等进行比较,分析我国信息系统监理面临的新问题、新要求,并介绍美国信息系统审计的实践经验,在此基础上提出对我国信息系统监理事业发展的若干建议。
[关键词]信息系统信息系统监理信息系统审计比较独立性
引言
“信息化带动工业化”是我国长期的重要发展战略,江泽民同志在十六大的报告中指出:“实现工业化仍然是我国现代化进程中艰巨的历史性任务。信息化是我国加快实现工业化和现代化的必然选择。坚持以信息化带动工业化,以工业化促进信息化,走出一条科技含量高、经济效益好、资源消耗低、环境污染少、人力资源优势得到充分发挥的新型工业化路子。”这段论述表现了我们党对信息化建设的高度重视,也指明信息化带出一条新型工业化路子的光明前景。
目前,各地区、各部门都在认真贯彻十六大精神,十分重视推进信息化工作,我国信息化建设已经进入新的阶段,我国信息化事业已发展到一个新的阶段。各级政府正在积极推进“电子政务”,许多城市及企业也已着手整合与升级其信息化应用系统。可以预计,全国将有更多、更大的信息系统建设项目展开。但是,在信息化推进过程中,存在不同程度上的一些问题,主要表现在规划制订不够科学,项目管理不够严格,监理机制不够健全,系统运行效益不够明显。致使相当一部分信息化项目失败或未能实现预期目标,浪费了大量资源。究其根源主要原因之一是信息化建设第三方监管机制的缺失和标准的不健全。
国内外的实践表明:信息化是有风险的,信息系统规模越大,功能越复杂,风险也就越大。英国Kalido于英国时间2001年12月12日公布了有关企业信息管理的调查结果。调查显示,96%的企业对于本公司的信息管理系统感到不满。关于目前正在使用的信息系统,认为所制作的报告缺乏一贯性或者是核对信息花费了太多时间的企业约占70%。特别引人深思的是该调查是由美国HarteHanks以全球500强企业以及财富1000企业中的171家公司为对象通过问卷方式实施的。调查对象中,40%以上的企业年交易额超过20亿美元。其他主要调查结果如下∶回答目前的信息系统不能灵活因应变化的企业约占60%;对于数据的精度表示担心的企业约占60%;60%以上的企业正在策划有关数据及信息的整合计划。这充分说明,信息系统的建设项目较之传统工业工程项目成功率更低,风险也更加突出。
中央领导同志在国家信息化领导小组第一次会议中特别强调:信息化建设一定要讲求效益,不能搞花架子。因此建立并逐步完善我国信息系统审计制度是健康、有序地推进信息化和落实领导小组会议精神的一项重要措施。
目前,在国内的信息化项目工程建设中,绝大多数用户(业主)无法组织队伍对信息系统建设进行专业化管理,难以胜任从可行性分析、规划设计、招标、方案评审到工程监理和工程验收全过程的管理与组织协调工作,建设方和承建方在信息建设过程中存在严重的信息不对称问题。这表现为借助外援进行工程管理咨询的案例越来越多,一些省市的行业主管部门也开始在信息系统建设中推行由监理进行工程质量管理的做法。但是,监理介入信息系统在我国还处于一个探索的过程中。
我国加入WTO后,鉴于我国IT服务业未来巨大的增长空间,国际知名咨询顾问公司、专业技术服务提供商等纷纷抢滩我国市场。在信息系统第三方鉴证业务方面,他们提供符合国际标准的信息系统审计服务。因此当前监理事业的发展面临新的形势,监理工作外部环境发生了深刻变化,势将对我国监理企业形成严重冲击,本土监理企业面临前所未有的严峻挑战。监理事业往何处去?这是摆在每一个监理人面前的重大课题。每一个监理企业必须以发展的眼光、动态的观点、创新的思想和创新的理论正确认识和判断当前的监理形势,增强危机感和紧迫感,迎接新的挑战。
信息系统监理
信息系统监理概念
依据信息产业部《信息系统工程监理暂行规定》,信息系统工程监理是指依法设立且具备相应资质的信息系统工程监理单位,受业主单位委托,依据国家有关法律法规、技术标准和信息系统工程监理合同,对信息系统工程项目实施的监督管理。
信息系统监理产生动因及其发展
1、信息系统监理产生动因分析
监理工作、监理企业是我国在计划经济向市场经济转变的过程中在建设领域中应运而生的,并取得了有目共睹的显著成效,直接促进了工程监理业的繁荣发展,这也导致在通信业工程建设、信息系统建设等方面监理的出现。因此,回顾建设工程监理的发展,将有助于对信息系统监理的认识。
1988年7月建设部发布了《关于开展建设监理工作的通知》,随后又于1988年11月印发了《关于开展建设监理试点问题的若干意见》,使得试点工作有章可循。1989年,根据初步试点取得的经验,建设部制定了《建设监理试行规定》,这是我国第一个比较完备的关于工程建设监理的法规文件,勾画出具有我国特色的工程建设监理制度的初步框架。1991年又分别制定颁发了《建设监理单位资质管理试行办法》和《监理工程师资格考试及注册试行办法》,建设监理法规制度进一步配套完善。1993年,上海市开始了工程设备监理制度的试点工作。1998年,国务院机构改革后赋予了国家质量技术监督局“协调建立设备工程监理制度”的职能要求,随后,国家质量技术监督局拟定了《协调建立设备工程监理制度的方案》,在国家发展计划委员会的指导和具体参与下,会同国务院有关部门,在国内有关技术及咨询机构的帮助、支持下,完成了设备监理制度中有关规章的起草工作。此间,世界银行、国家开发银行等亦曾规定,其贷款的有关项目要有监理公司监理,并作为申请贷款的项目单位获得贷款的基本条件。由此开始推行建设工程监理制度,监理事业得到持续快速发展,从而积累了一定经验,取得了积极成效。发展至今建立了一套比较完整的监理法规体系,组成了一支规模较大的监理队伍,监理出一批优良的工程项目,监理工作在工程建设中发挥了重要作用,得到了各级领导的支持,得到了社会的普遍认可,正逐步向规范化、制度化、科学化方向迈进。
但同时我国工程监理事业经过十多年的发展,虽然取得了一定成绩,但也存在不少问题。如:监理人员整体素质不高、监理工作缺位、监理取费普遍较低、监理市场竞争机制不健全、监理企业缺乏自我积累和发展能力、监理责任不明确、监理工作缺乏系统的理论研究、宣传工作滞后等问题比较突出。
2、信息系统监理的发展
目前信息系统工程的现状类似于二十世纪八十年代以前建筑工程的状态。自1988年建设部颁布《关于开展建设监理工作的通知》以后,特别是1996年建设监理全面推行后,建筑工程的质量普遍提高,业主和承建商之间的纠纷普遍减少,凡是出问题的工程,监理也有问题。因此,要求参考建筑工程的管理办法对信息工程实施监理的呼声日益高涨,这既是信息工程用户(业主)的愿望,也是系统集成商的愿望,信息工程市场呼唤“第三方”—信息系统工程监理的出现。
但我国的信息系统工程监理目前仅仅是处在起步阶段,事实上根据对国内信息化应用程度较高的行业部门(如银行、证券、保险、气象、社保、旅游等)和部分大型企业(如华北制药、哈尔滨轴承集团、哈尔滨飞机制造企业、跃进汽车集团、我国石化等)30个样本作为调查对象的调查结果显示,对于大多数企业来说,项目监理是个新概念。只有30的被调查者表示在某些信息化项目中使用过监理服务。在70未使用过项目监理的被调查者中,5表示听说过,95表示知道建筑工程有监理,但在IT信息化项目中引入监理还是第一次听说。
图1监理服务内容重要程度(引自胡敏《市场呼唤项目监理》)
信息系统监理的基本理论
信息系统监理的中心任务是科学地规划和控制工程项目的投资、进度和质量三大目标;监理的基本方法是目标规划、动态控制、组织协调和合同管理;监理工作贯穿规划、设计、实施和验收的全过程。信息工程监理正是通过投资控制、进度控制、质量控制以及合同管理和信息管理来对工程项目进行监督和管理,保证工程的顺利进行和工程质量。
1、成本控制
成本控制的任务,主要是在建设前期进行可行性研究,协助建设单位正确地进行投资决策;在设计阶段对设计方案、设计标准、总概(预)算进行审查;在建设准备阶段协助确定标底和合同造价;在实施阶段审核设计变更,核实已完成的工程量,进行工程进度款签证和索赔控制;在工程竣工阶段审核工程结算。
2、进度控制
3、质量控制
质量控制要贯穿在项目建设从可行性研究、设计、建设准备、实施、竣工、启用及用后维护的全过程。主要包括组织设计方案评比,进行设计方案磋商及图纸审核,控制设计变更;在施工前通过审查承建单位资质等;在施工中通过多种控制手段检查监督标准、规范的贯彻;以及通过阶段验收和竣工验收把好质量关等。
3、合同管理
合同管理是进行投资控制、工期控制和质量控制的手段。因为合同是监理单位站在公正立场采取各种控制、协调与监督措施,履行纠纷调解职责的依据,也是实施三大目标控制的出发点和归宿。
4、信息管理
信息管理包括投资控制管理、设备控制管理、实施管理及软件管理。
5、协调
协调贯穿在整个信息系统工程从设计到实施再到验收的全过程。主要采用现场和会议方式进行协调。
总之,三控两管一协调,构成了监理工作的主要内容。为完满地完成监理基本任务,监理单位首先要协助建设单位确定合理、优化的三大目标,同时要充分估计项目实施过程中可能遇到的风险,进行细致的风险分析与评估,研究防止和排除干扰的措施以及风险补救对策。使三大目标及其实现过程建立在合理水平和科学预测基础之上。其次要将既定目标准确、完整、具体地体现在合同条款中,绝不能有含糊、笼统和有漏洞的表述。最后才是在信息工程建设实施中进行主动的、不间断的、动态的跟踪和纠偏管理。 图2监理内容示意图:
IT 基础设施运维管理规范 文件编号:运维-002-V1.0
目录
运维管理规范-------------- 4 1. 目的 ------------------------ 4 2. 适用范围 ------------------ 4 3. 规范性引用及参考 ----- 4 4. 本文术语,定义和缩略语 --------------------------- 5 5. 基本要求 ------------------ 6
5.1运维管理原则----- 6 5.2制度和流程管理6 5.5供应商管理 -------- 7 5.6督促检查 ----------- 7 6. 运行维护 ------------------ 8
6.1日常操作及监控分析 -------------------------- 8 6.2 数据与介质管理 - 8 6.3机房管理 ----------- 9 6.4 网络管理 ---------- 9 6.5 弱电管理 --------- 10 6.6桌面维护 ---------- 10 6.7服务器及系统变更 ---------------------------- 11
6.8 配置管理 --------- 12 6.9 事件与问题管理 12 7. 应急管理 ----------------- 12
7.1应急准备 ---------- 12 7.2应急处置 ---------- 13
运维管理规范
1. 目的
为规范公司运维工作,使相关工作具有持续改善及相互协作性,同时加强计算机设备的管理及维护,确保维修工作的及时性,降低计算机设备的报修率,实现业务与技术的融合,将业务部门与IT 部门紧密结合在一起,根据公司管理要求及计算机应用的需要,由运维部制定。
2. 适用范围
本规范规定了运维管理工作的要求。
本规范适用于维信理财集团(中国) 总部,包括全国各分部及门店。
3. 规范性引用及参考
◆ IT 服务管理国际标准ISO/IEC 20000 ◆ 企业获得ISO/IEC 20000认证的权威指南 ◆ 全球著名IT 服务管理书库(ITSM Library) ◆ IT 服务质量管理原则
◆ 理解ISO/IEC 20000在IT 服务中的地位 ◆ ISO/IEC 20000规范和实践准则 ◆ IT 服务管理国际标准ISO/IEC 20000 ◆ GB/T 20269—2006 信息安全技术 信息系统安全管理要求
◆ ISO 31000:2009 风险管理 原则和指南(Risk management -- Principles and guidelines)
◆ JR-T 0060—2010 金融信息系统安全等级保护基本要求 ◆ JR/T 0074-2012 金融IT 服务管理基本规范 ◆ 中国金融标准化报告(2011)
4. 本文术语,定义和缩略语
1、 IT: Information Technology 信息技术
2、 DNS: Domain Name Service 域名服务
3、 DHCP: Dynamic Host Configuration Protocol 动态主机配置协议
4、 VPN: Virtual Private Network 虚拟专用网
5、 OA: Office Automation 办公自动化系统
6、 ISO: International Organization for Standardization 国际标准化组织 编订日期:30.7.2014 批准日期: 生效日期:
7、故障: IT设备或系统丧失规定的功能,导致服务中断或降质,或对正常运行造成潜在威胁。
8、异常: IT设备或系统的状态发生超出预期的变化或性能指标参数超出正常范围,有可能引发或已经引发故障,需要引起运维人员关注或处理。
9、资料: IT设备或系统的运行记录,包括IT 设备或系统的配置、故障历史记录、软硬件扩容或调整记录、权限变更申请记录等。
10、运行维护:本规范中的运行维护包括IT 基础设施维护、IT 应用系统运维维护、安全管理、网络接入、内容信息以及综合管理等。
5. 基本要求
5.1运维管理原则
公司按集中与分散相结合的原则,设立机房、各部门配备电脑。计算机系统本着“总体规划、分步建设”的方式实施建立。
计算机系统建设应综合考虑成本、费用、效率、效果、先进性及适用性,选择最优技术、经济方案。
5.2制度和流程管理
运维管理制度应包括但不限于机房管理、网络与系统管理、数据和介质管理、配置管理、安全管理、监控管理、文档管理、设备和软件管理、供应商管理等制度。
运维操作流程应包括但不限于日常操作、事件处理、问题处理、系统变更、应急处置等流程。
5.3 文档管理
对运维过程中涉及的各类文档进行管理,可按照制度文档、技术文档、合同文档、审批记录、日志记录等进行分类,并妥善保存。 5.3.2 对文档的版本应当进行控制。
文档在使用时应能读取、使用较新版本,防止作废文件的逾期使用。
5.4设备和软件管理
建立计算机相关设备和软件管理制度,对设备和软件的使用、安装、维修(升级)等进行规范。明确设备和软件管理责任人。对设备进行标识,标识应放在设备明显位置。
规定设备和软件的使用年限,定期进行盘点,并对设备状态进行评估和更新。
对外送设备的维修进行严格管理,防止数据泄露。
对拟下线和拟报废设备的存储介质中的全部信息进行清除或销毁。对正式下线设备和软件交指定部门统一管理、保存或处置,并保留相应记录。设备和软件报废应符合公司现行资产管理规定。
5.5供应商管理
对供应商支持运维服务的相关活动进行统一管理。
在与供应商签订的合同中明确其应承担的责任、义务,并约定服务要求和范围等内容。
应定期收集、更新供应商信息,组织对供应商的服务质量、履约情况、人员工作情况等内容进行评价,并跟踪和记录供应商改进情况。加强运维外包服务管理,主要包括:
a) 明确外包公司应当承担的责任及追究方式;
b) 明确界定外包人员的工作职责、活动范围、操作权限; c) 对外包人员工作情况进行监督和检查,并留存相应记录; d) 对驻场外包人员的入场和离场进行管理; e) 定期评估外包的服务质量; f) 制定外包服务意外终止的应急措施。
5.6督促检查
定期检查审计,对运维制度的执行情况和运维工作开展情况定期进行检查和审计,以督促运维工作持续改进。
指定人员负责对日常操作执行情况进行检查,确保运维管理制度和操作流程的有效执行。对检查和审计结果采取纠正、预防措施。
6. 运行维护
6.1日常操作及监控分析
未经许可,任何人不得随便使用电脑及相关设备。不得更换电脑硬件和软件,拒绝使用来历不明的软件和移动设备。
电脑发生故障时,使用者作简易处理仍不能排除的,应立即报告IT ,非专业管理人员不得擅自拆开机箱或调换设备配件。
计算机及其相关设备的报废需经过IT 部门或专职人员鉴定,确认不符合使用要求后方可申请报废。
运维应采取各种监控措施,配备视频、语音、系统监控和报警工具,对影响信息系统正常运行的关键对象,包括机房环境、网络、通信线路、主机、存储、数据库、核心交易业务相关的应用系统、安全设备等进行监控。
主要监控指标具体如下:
a) 机房:电力状态、空调运行状态、消防设施状态、温湿度、漏水、人员及设备进出等;
b) 网络与通信:设备运行状态、中央处理器使用率、通信连接状态、网络流量、核心节点间网络
延时、丢包率等;
c) 主机:设备运行状态、中央处理器使用率、内存利用率、磁盘空间利用率、通信端口状态等;
d) 存储:设备运行状态、数据交换延时、存储电池状态等;
e) 安全设备:设备运行状态、中央处理器使用率、内存利用率、端口状态、数据流量、并发连接数、安全事件记录情况等;
6.2 数据与介质管理
配合数据应用部,对核心业务数据进行周备份,并每季度进行恢复性测试。
对设备和人员出入进行管理。进入机房应限制和监控其活动范围,并有专人陪同;未经批准不得接入生产环境。
6.3机房管理
对机房环境、供电、空调、消防、安防等基础设施的运行维护、设备和人员出入、机房工作人员等进行规范管理。
应指定机房管理负责人。 确保机房环境整洁和安全,包括:
a) 应定期检查防水、防雷、防火、防潮、防尘、防鼠、防静电等措施的有效性;
b) 应保持机房环境卫生,设备摆放合理,归类; c) 不得随意出入机房。
d) 未经审批不得接入其它用电设备。
6.4 网络管理
确保网络、系统的正常运行。网络管理应包括: a) 绘制网络拓扑图,并保持更新;
b) 应保持网络设备的可用性,及时维修、更换故障设备; c) 应负责网络系统的参数配置、调优; d) 应定期对系统容量进行检查和评估;
e) 应定期检查网络设备的用户、口令及权限设置的正确性;
f) 应定期对整个网络连接进行检查,确保所有交换机端口处于受控状态; g) 应对网络信息点进行管理,编制信息点使用表,并及时维护和更新,确保与实际情况一致。计
算机网络跳线应整齐干净,跳线标识清晰;
h) 应制定网络访问控制策略,应合理设置网络隔离设施上的访问控制列表,关闭与业务无关的端口;编制文档并保持更新;访问控制策略的变更应履行审批手续。
权限管理应包括如下要求:
a) 权限分配应履行审批手续,权限设置后应复核; b) 应按照最小安全访问原则分配用户权限; c) 应在用户账户变化时,同时变更或撤销其权限; d) 应定期检查权限设置的有效性。
6.5 弱电管理
严格按图纸施工,在保证系统功能质量的前提下,提高工艺标准要求,确保施工质量。质量检查制度,现场管理人员将定期进行质量检查并贯穿到整个施工过程中。统运行验收:当设备安装完毕并调试运行无误后,由公司派现场调试人员进行系统联调,并向上级汇报调试结果。运维对弱电设备的综合管理,包括技术资料、档案的收集。同时,每月一次对弱电设备运行状况进行检查,并及时处理汇报问题。
6.6桌面维护
日常数据注意事项:
a. 个人文件(Excel 、Word 、PDF 等)建议员工不要存放在系统盘(通常为C 盘),可以存放在其它盘符。
b. 工程师可通过多种方式或途径来告知员工如何进行日常文件的备份,如:口述、邮件、培训等。
c. 未经许可,禁止使用U 盘,移动硬盘,手机或其它外设,如:网盘、邮箱等,盗取公司内部文件。
重装系统前注意事项:
a. 询问用户有哪些相关数据需要备份,如桌面、我的文档、收藏夹、邮件等。b. 用户Email 的备份:如客户端为Outlook 则导出相关OST 或PST 文件;硬件损坏需更换或维修时,运维人员进行测试,明确是否真实异常,不可随意更换。
关于账号、权限、密码
a. 必须严格按照公司制定的IT 策略进行管理,不可私自制定规范。 b. 禁止私自把个人管理员权限借给他人或告知他人。
c. 禁止为他人开设规定以外的权限,如:本地管理员、其他部门目录访问权限、上网权限、电话权限等。
d. 更改任何类型用户权限时需得到相关审批层级确认才可执行。 e. 如电脑无特殊应用需求,则一律为“user”普通权限。
f. 人员离职时,总部和分部应及时通过OA 确认,删除离职人员的相关账号与信息。
g. 妥善保管自己所知的密码。
6.7服务器及系统变更
不得在服务器上使用带有病毒和木马的软件、光盘和可移动存贮设备,使用上述设备前一定要先做好病毒检测;不得利用服务器从事工作以外的事情,无工作需要不得擅自拆卸服务器零部件,严禁更换服务器配套设备。不得擅自删除、移动、更改服务器数据;不得故意破坏服务器系统;不得擅自修改服务器系统时间。
使用空闲主机,对服务器系统补丁进行升级测试,运行平稳后,各服务器升级安装补丁,弥补系统漏洞;为服务器系统做好病毒及木马的实时监测,及时升级病毒库。
管理员对管理员账户与口令严格保密、重要数据库,网站,APP 等服务器由研发配合定期修改密码,以保证系统安全,防止对系统的非法入侵。
任何无关人员不得擅自进入主机房,需要进入的须征得服务器管理人员同意。应注意保护机房内的设备和物品,未经允许的非管理人员不得擅自操作机房内设备。
严禁携带易燃易爆和强磁物品及其它与机房工作无关的物品进入机房,机房内严禁吸咽。除管理员外,任何人不得随意改动服务器内系统及环境配置。
除系统管理员或授权参加系统管理的人员外,任何用户不得以任何方式获取(或企图获取)超级用户权限。
6.8 配置管理
明确配置管理负责人。
建立配置文档库,对服务器、存储、网络、安全设备,操作系统、应用软件、数据库等进行管理。
定期对配置进行备份及文档库归类。
及时检查并定期审计,对发现的不一致情况及时纠正修改。
6.9 事件与问题管理
对运维事件的处理进行规范,对发生的所有事件,根据事件的影响程度和影响范围评估事件处理优先级并及时处理。
对所有事件响应、处理、结束等过程进行跟踪、监督及检查。对问题进行分析、提出解决方案,通过变更管理审批后部署实施。
7.应急管理
7.1应急准备
明确网络、系统等事件的应急指挥决策机制,负责网络与系统事件的预防预警、应急处置、报告和调查处理工作。
网络与系统应急管理应遵循“谁主管谁负责、谁运行谁负责”、“统一指挥、密
切协同;注重预防、减少风险;科学处置、及时报告;以人为本、公平优先”的原则。
应急准备应符合如下要求:
a) 系统管理员、网络管理员、安全管理员等关键岗位应熟练掌握应急预案,能有效处置相关事件;
b) 在自身力量不足以满足应急要求的情况下,应与相关供应商签署服务保障协议。协议内容应包
括双方联系人、联系方式、服务内容及范围、应急处理方式等。应定期检查和评估协议的执行情况,确保服务保障措施落实到位,确保在应急处置中相关单位能提供及时有效的技术支持;
c) 应建立有效的应急通讯联络系统,确保信息畅通;
7.2应急处置
在发生网络与系统事件后,迅速采取应急措施,尽快恢复信息系统正常运行,如有重要情况应及时上报。
暂时无法确定事件原因、责任和结论的,应先给出事件的初步分析判断,并组织力量尽快查找原因,给出解决方法,采取整改措施。
信息系统监理(A)
选择题(20)
2010下半年软考信息系统监理师考试试题(上午)
39、关于监理人员的权利和义务中,不正确的是( C ) A 监理人员应根据监理合同独立执行工程监理任务 B 监理人员应保守承建单位的技术秘密和商业秘密 C 监理人员必须满足建设单位的要求和指令
D 监理人员不得同时从事与被监理项目相关的技术和业务活动 40、属于项目分析设计阶段监理工作的内容是( B ) A 审查承建单位的资质 B 审核项目需求规格说明书 C 检查软件测试的工作进度 D 编写项目监理总结报告
41、根据工业和信息化部计算机信息系统集成资质认证工作办公室发布的规定,自2011年1月1日起,申请信息工程监理部临时资质的单位,取得的监理工程师资格人数应不少于( B )人 A 10
B 15
C 20
D 30
42、监理单位和承建单位按照下列( C )的方式开展工作
A 监理单位和承建单位均按监理合同和工程建设合同开展监理或建设监理 B 监理单位按工程建设合同开展监理工作,承建单位按监理合同接受监理 C 监理单位按监理合同开展监理工作,承建单位按工程建设合同接受监理
D 监理单位按监理合同开展监理工作,承建单位按监理合同和工程建设合同接受监理
44、监理大纲应在( B )阶段编制
A 监理合同签订
B 监理招投标
C 监理实施
D 监理总结
45、监理单位把( B )提供给承建单位,能起到工作联系单或通知书的作用 A 监理总结
B 监理细则
C 监理规划
D 监理大纲
48、在工程设计阶段,不属于监理审核内容的是( C ) A 需求范围
B 系统构架
C 测试用例
D 业务流程
49、一般来说,设计阶段需要由( B )对各设计实施方案进行审核。 A 专家
B 监理工程师
C 总监理工程师
D 监理代表
53、某机房改造工程,由于业主单位原因,导致增容的不间断电源系统没有使用房间而迟迟不能就位,项目总体进度已在延期,一下说法正确的是( C ) A 因属于非承建单位导致的进度延期,所以监理单位应审核同意承建单位工期顺眼的申请
B 监理单位应召集业主单位、承建单位召开专题讨论会,要求承建单位就房间问题提供解决方案
C 就此进度延期的问题监理单位向业主单位提交专题报告,建议其尽快解决房间问题
D 如果承建单位就该进度延期提出索赔要求,监理单位应驳回该索赔申请
54、下列费用中不属于工程前期费用的是( A )。
A 监理费
B 可行性分析、论证费
C 造价评估费
D 招投标费
58、监理在评价变更合理( D )
A 变更是否会影响工作范围、成本、质量、进度 B 性能是否有保证,对选用设备的影响
C 变更是否影响项目的投资回报率和净现值 D 变更是否可以平衡各方利益
59、监理在监控变更实施的过程中,发现如继续按照变更后的方案实施,将可能造成更大的损失。这种情况下,监理单位首先应该( D ) A 组织专家对变更做进一步的论证,确定变更风险 B 建议建设单位组织召开专题讨论会,评估变更方案
C 通知承建单位废除变更后的方案,按照原有方案继续实施 D 通知承建单位暂停实施工作,等待进一步监理指令
60、某信息系统项目总包单位A将机房的空调工程分包给B单位,单位工程师经过勘察现场,提出变更冷媒管路由的新方案。以下关于该方案变更的描述,正确的是( C )
A 变更申请由B单位提出
B 由于B单位负责安装维护,因此变更无需经过审核 C 变更需要通过A单位办理
D 由于B单位工程师专业性更强,因此监理单位不必再次勘察与评审
61、某网络系统项目按总价合同方式约定订购3000米高规格铜缆,由于建设单位的原因,工期暂停半个月,待回复建工后,承建单位以近期铜价上涨为理由,要求建设单位赔偿购买电缆增加的费用,并要求适当延长工期。一下说法正确的是( D )
A 索赔是挽回成本损失的重要手段,因此建设单位应该赔偿承建单位采购电缆增加的费用
B 监理单位应保护承建单位的合法利益,因此应该支持承建单位的索赔要求 C 索赔是合同双方利益的体现,因此承建单位要求增加采购费用是风险费用的转移,可以使项目造价更趋于合理
D 铜价上涨是承建单位应承担的项目风险,不应该要求赔偿费用
67、某信息系统工程由于承建单位原因,导致实施进度严重超期,监理单位准备就此问题召集业主单位、承建单位召开专题会议协商解决,此时给承建单位发出( C )最合适的。
A 监理通知单
B 专题监理报告
C 监理工作联系单
D 停工令 2012上半年信息系统监理师(上午)试题及答案
32、以下关于监理资料整理、归档的描述,不正确的是( A ) A 监理资料应在监理工作结束后统一整理归档
B 监理档案的编制及保存应符合国家法律法规和标准规范的要求 C 监理资料的管理应由总监工程师负责,并指定专人具体实施 D 监理资料应按时整理、真实完整、分类有序
33、监理方在编制工程验收监理报告时,应重点说明( C ) A 工程竣工准备工作综述 B 验收测试方案与规范 C 验收测试结论与分析 D 项目监理工作总结
34、( C )不属于工程监理验收报告必须包括的内容 A 工程竣工的准备工作综述 B 验收测试方案与规范 C 监理工作流程 D 验收测试结论
39、工程监理单位不按照委托监理合同的约定履行监理义务,对应当监督检查的项目不检查或者不按照规定检查,给建设单位造成损失的,应当( C ) A 被处以罚款
B 吊销其资格证书
C 承担相应的赔偿责任 D 承担连带赔偿责任
40、下列不属于违约变更的是( C )
A 因业主方未按时提供项目建设所需要材料所导致的进度延期 B 因前置机房建设任务未竣工而导致的装修延期 C 因地震引起的设备延迟到货而导致的进度延期
D 因承建方指派项目经理经验不足而导致的进度延期
46、当信息工程项目实施过程中出现进度超度的情况时,监理工程师( B ) A 应该感到高兴,因为工程可以提前完成
B 需分析进度超前对后续工作产生的影响,并同承建单位协商,合理地调整进度方案
C 督促其余多个平行的承建单位加快进度,以便工程早日完工 D 不必干预
48、监理单位应在信息化建设工程实施完成以后参加单位组织的工程验收,签署( D )意见。
A 业主
B 总监理工程师
C 承建单位
D 监理单位
49、以下关于质量控制点设置原则的叙述,不正确的是( C ) A 质量控制点应突出重点 B 质量控制点应易于纠偏
C质量控制点应避免干扰,不能该表 D 质量控制点应利于三方的质量控制
51、以下对监理规划理解不正确的是( D )
A 总监理工程师对监理机构的监理规划和它在工程监理过程中的实施效果进行检查
B 监理规划是对监理委托合同的签订双方责、权、利的进一步细化,具有合同效力
C 监理规划的依据包括建设单位与承建单位签订的合同
D 监理规划应对所有监理项目中的关键点和实施难点设置“质量控制点”
52、监理单位为获得监理任务而编制的文件是( A ) A 监理大纲
B 监理规划
C 监理细化
D 监理合同
53、监理合同是监理单位开展工作的依据之一,以下关于监理合同的说法不正确的是( D )
A 监理合同规定了监理工作的成果
B 监理合同规定了主要监理设备由监理单位提供 C 监理合同规定了监理工作的范围
D监理合同规定了由承建单位支付监理费用
54、某信息系统建设项目,由于承建单位项目经历突然离职,造成项目进度延期,并导致监理合同约定的实施周期延长,针对上述情况,( D )的做法是妥当的。
A 监理单位向承建单位索赔,挽回建立损失 B 承建单位要求追加实施费用 C 建设单位立即终止建设合同 D 监理单位要求追加监理费用
55、通过质量认证的企业年审时若质量体系不符合认证要求,认证机构可采取的警告措施是( C )
A 企业通报
B 监督检查
C 认证暂停
D 认证注销
57、由承建单位采购的设备,采购前要向( B )提交设备采购方案,经审查同意后,方可实施。
A 总监理工程师
B 监理工程师
C 总工程师
D设备安装工程师
58、总包单位依法将建设工程分包时,分包工程发生的质量问题应( B ) A 由总包单位负责
B 由总包单位负责,分包单位承担连带责任 C 由分包单位负责
D 由总包单位、分包单位、监理单位共同负责 60、项目质量管理由( A )、质量控制和质量保证三方面构成。 A 质量计划
B 质量体系
C 质量方针
D 质量措施 简答题:
1、什么是信息系统工程监理? 答:信息系统工程监理是指在政府工商部门注册的且具有信息工程监理资质的单位,受建设单位委托,依据国家有关法律法规、技术标准和信息系统工程监理合同,对信息系统工程项目实施的监督管理。
2、简述监理实现协调的主要方法?
答:协调工作分为监理内部和外部两部分。 项目监理部内部协调: 内部监理人员的工作,既有专业的分工负责又有协作配合。这种协调工作由项目总监理工程师进行。
(1)建立定期的内部工作协调会议;
(2)建立内部各专业监理工作的协调工作程序(即各专业监理工作之间相互关系的流程图);
(3)建立各专业监理工作之间相互配合的制度和规定,如隐检签认的回签制度。 项目监理部的外部协调
(1)建立现场各有关单位参加的总协调例会;
(2)计划调度的协调,要审查和优化施工总承包到位提出的施工网络计划,计划的分解落实,人工投入、物资材料供应、机械设备的配置等等;
(3)施工安装组织设计的协调,要审核和优化施工安装组织设计方案,组织设计方案的落实,分段施工作业流水的配合,各专业施工安装的穿插和协调配合,施工作业的交叉和衔接;
(4)费用控制方面的协调,合计方法、原则的统一,计划标准的统一;
(5)合同管理的协调,总承包合同的变更和补充,合同纠纷的调解,按合同的规定进行具体的划项,主要设备、材料的采购和分叉等等;
(6)设计方面的协调,设计图纸的会审;施工图纸供应的计划、设计的变更、施工洽商、设计优化;
(7)业主直接分包的施工安装与总承包单位之间的配合与协调; (8)工程质量的验收标准和检验方法;质量问题的处理协调; (9)工程阶段验收的组织协调;
(10)工程竣工的初验的组织与协调。
3、简述监理实现质量控制的主要手段 答:(1)现场监理。监理人员在承建单位施工期间,用全部或大部分时间在施工现场,对承建单位的各项工程活动进行跟踪监理;
(2)测量。工程中的测量贯穿整个施工监理的全过程。在施工过程中也常采用测量手段进行施工控制;对已完成的工程,也要采取测量手段。在整个监理过程中始终离不开测量手段;
(3)试验。在信息工程质量监理中,对任何项目或项目中的任何部分的质量评估,以判断是否达到标准,其唯一的依据就是试验数据。单纯采用经验的方法,或仅依据目测、感觉,对信息工程质量的任何评价都是不允许的。
(4)严格执行监理程序。只要坚持监理程序,就能控制承建单位的施工程序,这对保证信息工程质量是非常必要的。
(5)指令性文件。采取指令性文件,对承建单位的施工质量进行管理,而承建单位要严格履行和坚持监理工程师对任何事项发出的指示。在质量管理中,监理工程师应当充分利用指令性文件对承建单位进行质量控制;
(6)利用支付控制手段。质量监理是以计量支付为保障手段的,承建单位的任何工程款项的支付,均需由监理工程师开具支付证明。它是保证信息工程质量的根本措施,也是监理工程师在质量监理中的有力手段。
4、简述监理实现进度控制的主要措施
答:进度控制的措施包括组织措施、技术措施、合同措施、经济措施和信息管理措施等。
组织措施主要有:
(1)落实项目监理班子中进度控制部门的人员,具体控制任务和管理职责分工; (2)进行项目分解,如按项目结构分、按项目进展阶段分、按合同结构分,并建立编码体系;
(3)确定进度协工作制度,包括协调会议举行的时间、协调会议的参加人员等等;
(4)对影响进度目标实现的干扰和风险因素进行分析。风险分析要有依据,主要是根据许多统计资料的积累,对各种因素影响进度的概率及进度拖延的损失值进行计算和预测,并应考虑有关项目审批项目对进度的影响等等; 技术措施是采用它以加快施工进度;
合同措施主要有分段发包、提前施工,以及各合同的合同期与进度计划的协调等等;
④经济措施是采用它以保障资金供应;
⑤信息管理措施主要是通过计划进度与实际进度的动态比较,定期地向建设单位提供比较报告;
对于进度工作,应明确一个基本思想:计划不变是相对的,而变是绝对的;平衡是相对的,不平衡是绝对的。要针对变化采取对策,定期地、经常地调整进度计划。
5、业主单位合同违约的原因有哪些? 答:(1)可确认建设单位违约:
建设单位不按时支付项目预付款;
建设单位不按合同约定支付项目款,导致实施无法进行;
建设单位无正当理由不支付项目竣工结算款;
建设单位不履行合同义务或不按合同约定履行业务的其他情况;
(2)建设单位违约包括以下集中情况:
●违反信息系统工程合同设计部分的责任:
未按合同规定的时间提供有关的文件、资料及工作条件等,应承担由此造成的承建单位设计提供的损失;
由于改变计划或提供的资料不准确,而造成的设计返工或增加工作量,应按实际工作量增加设计费用。
●违反信息工程合同实施不分的责任:
未按实际合同规定的时间和要求提供实施场地、实施条件、技术资料、设备、资金等,除将项目日期顺延外,还应偿付承建单位而因此造成停工、窝工的实际损失等;
项目中途停工停建、缓建,应采取措施弥补或减少损失或减少损失;
验收或拨付项目费超过期限,应偿付逾期违约金。
第1部分:总则 5.监理阶段及其目标 5.1 一般要求
监理工作可分为工程招标、工程设计、工程实施和工程验收四个阶段,宜采用全过程监理。本规范所确定的各阶段监理目标可根据实际情况加以调整。监理工作起始和结束的具体时间可由业主单位与监理单位根据工程实际情况,依据监理合同中有关条款执行。 5.2工程招标阶段的主要监理目标
5.2.1 协助业主单位明确工程需求,确定工程建设目标。
5.2.2促使业主单位、承建单位所签订的承建合同在技术、经济上合理有效。 5.3工程设计阶段的主要监理目标
5.3.1 推动业主单位、承建单位对工程需求和设计进行规范化的技术描述,为工程实施提供优化的设计方案。
5.3.2促使工程计划、设计方案满足工程需求,符合相关的法律、法规和标准,并与工程建设合同相符,具有可验证性。
5.3.3协助业主单位、承建单位消除设计文档在进入工程实施前町预见的缺陷。 5.4工程实施阶段的主要监理目标
5.4.1 加强工程实施方案的合法性、合理性、与设计方案的符合性。 5.4.2促使工程中所使用的产品和服务符合承建合同及国家相关法律、法规和标准。
5.4.3 明确工程实施计划,对于计划的调整应合理、受控。
5.4.4促使工程实施过程满足承建合同的要求,并与工程设计方案、工程计划相符。
5.5工程验收阶段的主要监理目标
5.5.1 明确工程测试验收方案(验收目标、责任双方、验收提交清单、验收标准、验收方式、验收环境等)的符合性及可行性。
5.5.2促使工程的最终功能和性能符合承建合同、法律、法规和标准的要求。 5.5.3推动承建单位所提供的工程各阶段形成的技术、管理文档的内容和种类符合相关标准。 6.监理内容 6.1工程招标阶段
6.1.1 工程招标阶段的质量控制
工程招标阶段的质量控制内容如下:
a)监理机构应了解业主单位的业务需求,并将其作为监理工作的依据之-;
b)监理机构宜参与招标书的编制;
c)监理机构应对招标书的下列内容提出监理意见:
1)技术和质量的要求,
2)工程所涉及的主要产品和服务的要求;
3)投标单位资格的要求;
4)验收方法、接收准则;
5)时间进度的要求;
d)监理机构可参与招标答疑工作,协助业主单位对工程所涉及的功能、技术指标向投标单位解
释,并保存会议纪要(参见表C.6)和相关文件;
e)监理机构宜对评标的评定标准提出监理意见;
f)监理机构可协助评标,对投标书与招标书的符合性及投标书的合理性提出监理意见。
6.1.2工程招标阶段的进度控制
工程招标阶段的进度控制内容如下:
a)监理机构宜参与业主单位招标前的准备工作,协助业主单位编制本工程的工作计划。工作计
划应包含如下内容:
1)工程建设内容;
2)组织管理;
3)工程建设的准备工作;
4)总包、分包方式;
5)工程建设的阶段划分及验收;
6)质量管理计划;
b)监理机构应分析工程的内容及过程,应对工程进度提出监理意见;
c)监理机构可对招标书中工程进度安排及工程进度控制措施提出监理意见;
d)监理机构应对本阶段的工作进度提出监理意见;
e)监理机构应要求对工程合同中涉及的产品和服务的提供时间做出说明,并对业主单位的安排提出监理意见。 6.1.3工程招标阶段的投资控制
工程招标阶段的投资控制内容如下:
a)监理机构应协助业主单位对工程的目标、范围和功能进行界定,并确定工程的预算;
b)监理机构应协助业主单位根据工程预算,在招标书中对工程的目标、范围、内容和产品及服务的技术要求做出明确说明。 6.1.4工程招标阶段的合同管理
工程招标阶段的合同管理内容如下:
a)监理机构应参与承建合同的签订过程,在承建合同中应明确要求承建单位接受监理机构的监理;
b)监理机构应建议业主单位在承建合同中明确规定工程所包含的功能、技术要求、测试标准、验收要求和质量责任;
c)监理机构应建议业主单位在承建合同中明确工程阶段划分及其质量和进度要求,并以此作为工程阶段性付款的依据。 6.1.5工程招标阶段的信息管理
工程招标阶段的信息管理内容如下:
a)监理机构应与业主单位及相关单位建立信息沟通机制,保持各方对工程目标、范围和业务需求
等理解的一致性;
b)监理机构应向业主单位提供与工程建设有关的法律、法规和标准等信息;
c)监理机构应妥善管理工程招标阶段所产生的与监理相关的文档资料,包括需求说明、招投标文件和监理文档等;
d)监理机构应向业主单位和承建单位明确应提交的文档要求。 6.1.6工程招标阶段的协调
工程招标阶段的协调内容如下:
a)监理机构应与业主单位确定相互间工作协调的机制;
b)监理机构应对工程招标阶段协调结果做工程备忘录(参见表C.5)
c)工程合同签订后,业主单位与承建单位有关工程的协调工作应通过监理机构进行。 6.2工程设计阶段
6.2.1 工程设计阶段的质量控制
工程设计阶段的质量控制内容如下:
a)监理机构应建议业主单位和承建单位充分考虑目标系统与现有系统的兼容性和互操作性;
b)承建单位提交工程设计方案报审表(参见表B.1)后,监理机构应审核如下内容:
1)与项目需求的符合性,
2)工程关键技术的实现方法、流程及技术保障措施的合理性;
3)工程实施的质量保证措施的可行性、合理性及其文档的完整性;
4)其他必要的内容;
内容审核后,签署监理审核意见。:[程设计方案无问题时,监理机构应在工程设计方案报审表(参见表B.1)中签认;否则,监理机构应签发监理通知单(参见表C.8),责令承建单位整改;
c)必要时,监理机构应协助业主单位组织专业人员评审工程设计方案,工程设计方案存在缺陷时,监理机构应签发监理通知单(参见表c.8),责令承建单位整改,并跟踪承建单位对“评审整改意见”的落实;
d)监理机构应根据业主单位设计方案,确定对工程进行阶段性质量监督、控制的措施及方法,作为监理细则的内容;
e)承建单位提交工程阶段性测试验收方案报审表(参见表B.6)后,监理机构应组织业主单位及相关人员对工程阶段性测试验收方案进行审核;审核后签署监理审核意见;工程阶段性测试验收方案无问题时,监理机构应在测试验收方案报审表中(参见表B.6)签认;否则,监理机构应签发监理通知单(参见表C.8),责令承建单位整改。 6.2.2工程设计阶段的进度控制
工程设计阶段的进度控制内容如下:
a)承建单位提交设计阶段进度计划报审表(参见表B.1)后,监理机构应依据承建合同对设计阶段进度计划进行审核,审核后签署监理审核意见。设计阶段进度计划无问题时,监理机构应在 进度计划报审表(参见表B.1)中签认;否则,监理机构应签发监理通知单(参见表C.8),责令承建单位整改;
b)承建单位提交工程进度计划报审表(参见表B.1)后,监理机构应审核工程进度计划的可行性、合理性和各阶段工作成果的判定依据及其可操作性,审核后签署监理审核意见。工程进度方案无问题时,监理机构应在进度计划报审表(参见表B.1)中签认;否则,监理机构应签发监理通知单(参见表C.8),责令承建单位整改;
c)监理机构应根据承建单位工程进度计划,确定阶段性进度监督、控制的措施及方法,作为监理细则的内容。 6.2.3工程设计阶段的投资控制
工程设计阶段的投资控制内容如下:
a)监理机构应依据招投标文件、承建合同,审核工程计划、设计方案中所说明的工程目标、范围、内容、产品和服务,对可能的投资变化,向业主单位提出监理意见;
b)监理机构应控制设计变更,变更应由三方达成共识,并做工程备忘录(参见表C.5)。
6.2.4工程设计阶段的合同管理
工程设计阶段的合同管理内容如下:
a)监理机构应及时处理业主单位或承建单位合同变更的申请,协助保持合同、协议及其附件内容的时效性、一致性;
b)监理机构应及时对合同的变更结果做工程备忘录(参见表C.5)。 6.2.5工程设计阶段的信息管理
工程设计阶段的信息管理内容如下:
a)监理机构应与业主单位、承建单位建立信息沟通机制,并要求各方在项目工作中贯彻执行;
b)监理机构应对设计阶段三方共同参与的过程和活动做工程备忘录(参见表C.5),并由三方签认;
c)监理机构应要求业主单位和承建单位妥善保管有关的文档资料;
d)监理机构应妥善保管工程设计阶段的文档,如工程计划、设计方案及监理文档,并监督检查工程文档的时效性和可用性;
e)监理机构应对工程中各方提出保密要求的信息实施保密,尊重各方的知识产权。6.2.6工程设计阶段的协调
工程设计阶段的协调内容如下:
a)
监理机构应与业主单位、承建单位确定工程设计阶段的协调形式和方法,如监理例会和专题会议等,并在项目过程中执行,
b)监理机构应协调业主单位调动适当的资源,配合承建单位完成工程设计前期的调查和分析工作;
c)监理机构应对设计阶段出现的变更提出监理意见,协调业主单位、承建单位达成一致;
d)监理机构应对没汁阶段协调的结果做工程备忘录(参见表C.5)。 6.2.7工程设计阶段的监理流程
工程设计阶段的监理流程参见图A.1。 6.3工程实施阶段
6.3.1 工程实施阶段的质量控制
工程实施阶段的质量控制内容如下:
a)工程实施前,承建单位应提交质最管理计划报审表(参见表B.1),由监理机构组织审核,审核后签署监理审核意见。质量管理计划无问题时.监理机构应在质量管理计划报审表(参见表B.1)中签认,否则,监理机构应签发监理通知单(参见表C.8),责令承建单位整改;
b)工程实施前,监理机构应组织业主单位、承建单位召开工程实施准备会议,要求承建单位落实实施计划、实施方案和必要的准备工作,会议内容做会议纪要(参见表C.6),并经三方签认;
c)工程实施前,承建单位应提交工程实施方案报审表(参见表B.1),由监理机构组织审核实施方
案,审核后签署监理意见。工程实施方案无问题时,监理机构应在工程实施方案报审表(参见表B.1)中签认;否则,监理机构应签发监理通知单(参见表C.8),责令承建单位整改。监理机构应审核的内容如下:
1)实施方案与法律、法规和标准的符合性;
2)实施方案的合理性和可行性;
3)实施方案与合同、设计方案和实施计划的符合性;
4)工程实施的组织机构;
d)监理机构应组织对承建单位提供的产品及服务进行验收,对验收结果做验收记录,并经三方签认;对不符合合同或相关标准规定的产品及服务应拒绝签认。没有被签认的产品及服务不得在工程实施中应用。产品及服务验收应包括如下内容:
1)产品及服务应与承建合同要求和产品文档的说明一致;
2)产品及服务的有效性和真实性#
3)必要时,监理机构可依据承建合同、技术标准或事先约定的方法检测产品及服务的质量,对于数量较大的同类型产品及服务,监理机构可采取抽样方法;
4)必要时,监理机构应要求承建单位提交第三方测试机构出具的测试报告,并核验产品认证证书、检测报告的真实性、有效性;第三方测试机构应经业主单位和监理机构同意;
e)监理机构应按计划检查承建单位工程实施状况、人员与实施方案的一致性;
f)监理机构应执行已确定的阶段性质量监督、控制措施及方法,并做监理日志(参见表C.7);出现工程质量问题时,经确认后监理机构签发监理通知单(参见表C.8),报业主单位、承建单位,责令承建单位整改;
g)监理机构应及时处理承建单位提交的工程中关键环节的实施申请(参见表B.7),审核其合理性后签认,报业主单位批准;
h)必要时,监理机构应检查承建单位重要工程步骤的衔接工作,做监理日志(参见表C.7)。未经监理工程师检查认可,承建单位不能进行与之相关的下-步骤的实施;
i)
监理机构应及时处理工程变更申请,审核变更的合理性(具体按6.3.4.b)处理),保证工程总体 质量不受影响;
j)有分包单位时,监理机构应组织审核分包单位的工程实施资格(参见表B.2),禁止不具备工程实施资格的分包单位参与工程施工;
k)监理机构可参照以下程序处理工程中出现的质量事故:
1)监理机构应要求承建单位在事故发生后立即采取措施,尽可能控制其影响范围,并及时签发停工令(参见表C.2),报业主单位;
2)监理机构应在接到事故申报后立即组织有关人员检查事故状况、分析原因,与业主单位、承建单位共同确认初步处理意见;
3)监理机构应监督承建单位采取措施,查清事故原因,审核承建单位提出的事故解决方案及预防措施,提出监理意见,提交业主单位签认;
4)监理机构应审查承建单位报送的事故报告及复工申请(参见表B.4),条件具备时,经总监理工程师签发复工令(参见表C.3);
l) 监理机构若发现工程实施过程存在重大质量隐患,应及时向承建单位签发停工令,并报业主单位,监督承建单位进行整改。整改完毕后,及时处理承建单位的复工申请(参见表B.4)。 6.3.2工程实施阶段的进度控制
工程实施阶段的进度控制内容如下:
a)监理机构应审核承建单位工程实施计划的合理性,审核后签署监理审核意见。实施计划无问
题时,监理机构应在实施计划报审表(参见表B.1)中签认;否则,监理机构应签发监理通知单参见表C.8),责令承建单位整改;
b)承建单位提交开工申请后,监理机构应审核开工申请(参见表B.3),检查工程准备情况。工程实施条件具备时,总监理工程师应签发开工令(参见表C.1),并报业主单位签认,通知承建单位开始工程实施;
c)承建单位提交阶段性进度计划报审表(参见表B.1)后,监理机构审核阶段性进度计划合理性,
审核后签署监理审核意见。阶段性进度计划无问题时,监理机构应在阶段性进度计划报审表(参见表B.1)中签认;否则,监理机构应签发监理通知单(参见表C.8);
d)监理机构应定期检查、记录工程的实际进度情况,确保实际进度与计划相一致}
e)监理机构应及时处理工程延期申请(参见表D.2),宜按下述程序处理工程延期:
1)监理机构应根据工程情况确认其合理性,并与业主单位、承建单位协商确认后,由总监理
工程师对工程延期申请予以签认;
2)工程延期影响工程总体进度计划时,监理机构应要求承建单位修改工程总体进度计划,经三方签认后,做工程备忘录(参见表C.5);
f)监理机构应组织审查进度纠偏措施的合理性、可行性,签发监理通知单(参见表C.8),报业主单位,并要求承建单位按计划进行修改。 6.3.3工程实施阶段的投资控制
工程实施阶段的投资控制内容如下:
a)总监理工程师应依据承建合同及其补充协议,审核承建单位提交的工程阶段性报告和付款申请(参见表B.5),总监理工程师签发工程款支付意见(参见表C.4),报业主单位签认;
b)监理机构应从目标系统的质量、进度和投资等方面审查工程变更,由于变更引起投资的改变应按照合同的相关条款执行。在合同中没有规定的,应在变更实施前与业主单位、承建单位协商确定变更导致的投资变化,并做工程备忘录(参见表C.5);
c)监理机构应及时处理索赔申请(参见表D.1),宜按下列程序处理:
1)申请方应在合同规定的期限内向监理机构提交索赔申请;
2)总监理工程师指定监理工程师收集与索赔有关的资料;
3)总监理工程师进行索赔审查,与承建单位和业主单位协商索赔费用; 4)总监理工程师应在承建合同规定的期限内签发索赔通知,或在承建合同规定的期限内发出要求申请方提交详细资料的监理通知(参见表C.8); 5)当申请方的索赔要求与工程延期要求相关联时,总监理工程师应综合考虑工程延期和费用索赔的关系,做出费用索赔和工程延期的建议。 6.3.4工程实施阶段的合同管理
工程实施阶段的合同管理内容如下:
a)监理机构应监督合同执行情况,定期向业主单位、承建单位提交监理报告;
b)监理机构宜按以下程序处理工程变更:
1)业主单位或承建单位提出的工程变更(参见表D.3),应编制变更文件,提交总监理工程师,由总监理工程师组织审核,并由三方在工程变更单上(参见表D.3)予以签认;
2)监理机构应了解工程变更的实际情况,收集相关资料或信息;
3)监理机构应根据实际情况,参考变更文件及其他有关资料,按照承建合同的有关条款,对工程变更范围、内容、实施难度以及变更的投资和工期做出评估,签发监理通知单(参见表C.8),并报业主单位、承建单位;
4)监理机构应对工程变更过程及结果做工程备忘录(参见表C.5)。监理机构应要求承建单位在变更文件签署前,不得实施工程变更;
5)监理机构应根据工程变更文件监督承建单位实施;
c)监理机构应及时协调合同纠纷,公正地调查分析,提出监理意见。 6.3.5工程实施阶段的信息管理
工程实施阶段的信息管理内容如下:
a)监理机构应妥善管理工程实施阶段所产生的开工令、停工令、监理通知、监理报告、监理日志和工程备忘录等资料;
b)监理机构应对工程实施阶段三方共同参与的过程和活动做工程备忘录(参见表C.5),并由三方确认;
c)监理机构应监督业主单位、承建单位按照既定的要求编制和管理工程文档,如实施计划、实施方案、产品及服务验收报告、索赔申请和变更申请等。 6.3.6工程实施阶段的协调
工程实施阶段的协调内容如下:
a)监理机构应与业主单位、承建单位共同建立实施阶段协调的机制,如监理例会、专题会议等;
b)监理工程师应根据需要及时组织专题会议,解决工程实施过程中的各种专项问题,并做会议纪要(参见表C.6),提交业主单位和承建单位;
c)监理机构应协调业主单位和承建单位对工程变更的范围和内容等,达成一致意见;
d)监理机构应协调业主单位和承建单位对索赔的意见达成一致;
e)监理机构协调业主单位配合承建单位的工程实施。 6.3.7工程实施阶段的监理流程
T程实施阶段的监理流程参见图A.2。 6.4工程验收阶段
6.4.1 工程验收阶段的质量控制
工程验收阶段的质量控制内容如下:
a)
监理机构应及时处理承建单位提交的初验申请(参见表B.6),审核初验的必备条件。监理机构签认后,报业主单位签认。具备初验条件时,监理机构在初验报审表(参见表B.6)中予以签认,并报业主单位签认;否则,监理机构应签发监理通知单(参见表C.8),责令承建单位整改;
b)监理机构应协助业主单位审核承建单位提交的验收计划及其方案,明确验收目标、各方责任、验收内容、验收标准、验收方式和验收结果等内容,审核后签署监理审核意见。验收计划及其方案无问题时,监理机构应在初验报审表(参见表B.6)中予以签认;否则,监理机构应签发监理通知单(参见表c.8),责令承建单位整改;
c)监理机构应协助业主单位对初验中发现的质量问题进行评估,根据质最问题的性质和影响范围,确定整改要求和整改后的验收方式,以监理通知单的形式告知承建单位。必要时,应组织重新验收;
d)监理机构应敦促承建单位根据整改要求提出整改方案,并监督整改过程;
c)监理机构与业主单位和承建单位-起对初验结果进行确认,共同签署初验合格报告;
f)监理机构应有计划地监督系统的试运行,督促承建单位解决试运行中出现的质量问题;
g)监理机构协助业主单位组织工程终验。监理机构应及时处理承建单位提交的终验申请,终验报审表(参见表B.6)由监理机构签认后报业主单位签认。具备终验条件时,监理机构在终验报审表中予以签认,并报业主单位签认;否则,监理机构应签发监理通知单(参见表C.8),责令承建单位犍改;
h)
对于工程中的关键性技术指标,监理机构应要求承建单位出具第三方测试机构的测试报告。第三方测试机构应经业主单位和监理机构同意;
i)监理机构应督促承建单位完成项目实施方案中确定的培训,并对培训效果做出评估。
6.4.2工程验收阶段的进度控制
工程验收阶段的进度控制内容如下:
a)
监理机构应对验收阶段进度安排提出监理意见;
b)监理机构应审核承建单位初验、终验和工程整改计划的可行性,以监理通知单(参见表C.8)的形式告知业主单位和承建单位;
c)监理机构应要求业主单位、承建单位以初验合格报告作为启动试运行的依据,以终验报告作为工程验收结束的依据。 6.4.3工程验收阶段的投资控制
工程验收阶段的投资控制内容如下:
a)总监理工程师审核承建单位提交的阶段性付款申请(参见表B.5),根据承建合同规定的付款条件,签发工程款支付意见(参见表C.4);
b)监理机构应协助业主单位进行工程决算。 6.4.4工程验收阶段的合同管理
工程验收阶段的合同管理内容如下:
a)监理机构应及时向业主单位、承建单位通报承建合同、协议及相关变更所规定工程内容的执行情况,提出监理意见;
b)监理机构宜协助业主单位与承建单位签署其他补充协议。 6.4.5工程验收阶段的信息管理
工程验收阶段的信息管理内容如下:
a)监理机构应管理工程验收阶段的文档,如初验报审、初验报告、终验报审和终验报告等相关文档;
b)监理机构应敦促业主单位、承建单位按照事先约定,编制、签署和妥善保存验收阶段的工程文档;
c)监理机构应敦促业主单位、承建单位及时整理工程文档;
d)监理机构应整理与工程有关的全部监理文档,并提交业主单位。6.4.6工程验收阶段的协调工程验收阶段的协调内容如下:
a)监理机构应协调业主单位和承建单位在验收计划、验收目标、验收范围、验收内容、验收方法和验收标准等方面达成一致,填报工程备忘录(参见表C.5),并经三方签认;
b)监理机构应协调业主单位配合验收阶段的工作;
c)监理机构应及时对验收阶段协调的结果填报工程备忘录(参见表C.5),并经三方签认;
d)监理机构应协助业主单位和承建单位完成工程移交工作。 6.4.7 工程验收阶段的监理流程
工程验收阶段的监理流程参见图A.3。 输入承建单位监理机构业主单位输出阶段开始设计、测试、计划方案报审表标准规范设计文件需求说明书承建合同整改否符合?是方案审查监理通知设计报审请求文档完整性审查整改方案监理通知设计、测试、计划方案标准规范设计变更文件整改方案需求说明书承建合同方案修改否符合?是三方签认整改方案工程备忘录被签认的报审表阶段结束变更请求变更请求变更请求审查变更申请变更方案合理?是三方签认工程备忘录否结束监理通知设计变更图A.1 工程设计阶段监理流程图 输入承建单位监理机构业主单位输出阶段开始质量管理、实施、进度计划报审表/开工申请表工程实施申请承建合同设计方案实施方案质量管理计划整改否符合?是设计方案质量管理、实施、进度计划方案审查整改方案监理通知实施过程监理开工令监理日志承建合同实施变更方案整改方案阶段性测试方案复工申请付款申请整改否工程备忘录符合?是签认监理通知单分包单位资格审查表被签认的报审表工程实施报告阶段结束会议纪要停工令复工令变更申请延期申请索赔申请相关证明材料承建合同变更申请延期申请索赔申请审查否变更申请延期申请索赔申请工程款支付证书监理通知单工程备忘录不允许变更变更方案工程变更单合理?是变更修改三方签认图A.2 工程实施阶段监理流程图输入承建单位监理机构业主单位输出阶段开始初验报审表承建合同初验方案初验申请审查整改否符合?是同意初验初验审查监理通知单整改方案测试记录监理通知单整改方案被签认的报审表测试方案整改测试报告初验方案否符合?是监理签认、业主单位批准试运行监督初验报告监理通知单试运行方案整改否符合?是监理签认、业主单位批准终验报审表承建合同标准规范工程文档否整改符合?是监理签认、业主单位批准被签认的报审表整改方案试运行日志试运行报告终验申请审查监理通知单整改方案监督终验过程终验方案工程文档标准和规范付款申请提交各类监理文档资料阶段结束整改否符合?是签署竣工验收合格终验测试记录监理通知单整改方案竣工验收合格书工程款支付证书图A.3 工程验收阶段监理流程图
第2部分 5工程招标阶段 5.1 监理目标
监理机构通过监理工作,应实现如下目标:
a)理解工程的需求、目标和范围;
b)促使招标文件与工程的需求、目标和范围相符合;
c)协助业主单位选定合适的承建单位;
d)促使承建合同在技术、经济上合理有效。 5.2监理内容
工程招标阶段的监理工作主要内容如下:
a)协助业主单位明确工程需求;
b)宜参与招标前的准备工作,协助业主单位编制通用布缆系统工程的工作计划;
c)对本阶段的工作进度提出监理意见;
d)宜了解业主单位估算的工程总投资;
e)协助业主单位参与招标文件的编制或对招标文件提出监理意见;
f)可协助评标,对投标书与招标书的符合性及投标书的合理性提出监理意见;
g)应参与承建合同的签订过程,促使合同相关条款符合业主单位招标文件的要求,并且在承建合同中明确要求承建单位接受监理机构的监理;
h)与业主单位、承建单位以及相关单位建立信息沟通和T作协调机制,明确本阶段需要各方提交的文档要求,并向业主单位提供所需信息。 5.3监理要点 5.3.1工程应用需求
监理机构协助业主单位明确工程应用需求时.应考察确定通用布缆系统的如下方面:
a)传输媒体的类型支持的带宽;
b)通用布缆系统的稳定性、可靠性和安全性的要求;
c)建筑物的相关图纸和建设规划;
d)建筑物的结构、功能等信息;
e)施工环境和施工限制情况;
f)通用布缆系统管线路由与建筑物其他子系统,如供配电、给排水、暖通空调、自动控制等管线路由的关系等。 5.3.2招标文件
监理机构宜参与招标文件的编制,或对其提出监理意见,招标文件应包括如下内容:
a)工程概括;
b)投标单位的资质或能力要求;
c)工程的质量要求;
d)工程工期要求;
e)系统测试标准;
f)工程验收方法等。 5.3.3承建合同
监理机构应协助业主单位在承建合同中明确如下方面内容:
a)合同各方的责任、权利和义务;
b)工程建设的目标、范围和内容;
c)工程质量要求;
d)工程建设依据的标准;
e)工程验收的标准、方式和条件要求;
f)工程款支付的方式和支付条件等。 6工程设计阶段
6.1 监理目标
监理机构通过监理工作。应实现如下目标:
a)促使形成可行的、优化的工程设计方案l
b)协助业主单位明确工程施工的关键点,明确工程施工的要求。 6.2监理内容
工程设计阶段的监理工作主要内容如下:
a)推动业主单位和承建单f市明确工程建设的具体需求,规范工程设计过程;
b)确定工程各方往来文档的种类、格式、签批人等事宜;
c)审核承建单位提交的设计需求说明书,经确认的设计需求说明书作为工程设计的依据;
d)协助业主单位组织召开设计技术交流会,澄清设计技术细节,并做会议纪要;
e)协调业主单位和承建单位就设计变更内容达成一致;
f)审核设计变更的合理性,并对变更引起的质量、进度和投资变化提出监理意见;
g)审核承建单位提交的工程设计方案,并提出监理意见。 6.3监理要点 6.3.1设计需求说明书
监理机构对承建单位提交的设计需求说明书的如下内容进行审核,并提出监理意见:
a)通用布缆系统结构;
b)室内外管线路由;
c)配线间的布局及位置;
d)电信插座的位置;
e)电源的要求;
f)无线设备的位置等。 6.3.2设计方案
监理机构应审核承建单位提交的工程设计方案:
a)承建单位应提交经技术负责人审核签认的工程设计方案,工程设计方案至少应包括:
1)工程名称、范围、内容、目标;
2)设计依据;
3)线缆材料选择说明;
4)施工工艺要求;
5)测试验收方案;
6)设计图纸(系统结构图、平面布置图等)等;
b)监理机构应根据招标书、投标书、设计需求说明书等文件,对通用布缆系统工程设计方案的如
下方面进行审核:
1)工程设计所依据的标准及文件应为现行可用,且符合业主单位需求;
2)工程设计应满足工程应用需求,并符合相关设计规范要求;
3)通用布缆系统设计一般应包括园区主干、楼宇主干、水平布缆三个布缆子系统;
4)通用布缆系统的结构应能支持总线型、星型、环型等不同的拓扑结构;
5)线缆材料类别和型号选择符合工程应用需求;
6)设备间内的环境要求明确且符合设计规范;
7)屏蔽系统的接地措施符合设计规范或要求;
8)关键施工点的工艺流程符合施工规范或要求;
9)隐蔽工程实施方案应明确;
10)图纸与实际环境的相符性等;
c)监理机构应审查工程设计方案中无线局域网部署技术关键点,要点如下:
1)设备与天线的选型符合标准规范;
2)每个无线点的天线增益、高度、方位及信道的选择符合设计规范;
3)天线架设位置应合适,接收发射信号方向上应无遮挡物,所有天线位置应在避雷针的保护范围内;
4)架设天线的支架或铁塔应与接地系统良好连接,天线接地电阻满足标准要求。 7工程实施阶段 7.1 监理目标
监理机构通过监理工作,应实现如下目标:
a)促使工程质量满足设计要求和工程应用需求;
b)促使工程在预定工期内完成,
c)促使工程投资受控且合理。 7.2 监理内容
工程实施阶段的监理工作主要内容如下:
a)审核承建单位提交的工程实施组织设计方案,并提出监理意见;
b)根据工程实施组织设计方案及相关标准制定监理实施细则;
c)根据工程设计方案、工程实施组织设计方案、标准及规范,对工程实施的质量进行监理,核实施工人员,并按照既定程序处理工程实施中的质量事故;
d)根据工程实施组织设计方案,对承建单位的实施计划进行审核并监督执行;
e)审查工程分包单位的资质,确认其具备完成所分包部分的能力;
f)检查验收进场的线材和连接硬件,并出具验收报告;
g)检查确认承建单位的示范施工;
h)响应承建单位提出的隐蔽工程报验,并对隐蔽工程进行检查签认;
i)响应承建单位提出的工程变更申请,审核工程变更的可行性、合理性、经济性;
j)审核承建单位提交的付款申请,并根据合同和工程实际实施的进度和质量,签认付款证书;
k)按照既定程序处理工程索赔申请;
1)根据监理规划和监理实施细则,做好实施阶段的信息管理和协调工作。 7.3监理要点
7.3.1工程实施组织设计方案
监理机构应对承建单位提交的工程实施组织设计方案的如下方面进行审核:
a)施工组织结构配置的合理性,配备的项目经理、安全员和质量检查员等应符合工程建设要求;
b)施工进度计划应合理,应和其他系统建设的进度计划协调一致;
c)施工进度计划应包括人力配备计划、设备配备计划、材料供应计划、实施进度计划等; d)施工工艺应符合技术规范,工序合理,符合设计方案要求;
e)隐蔽工程工序应合理,有质量检验保证措施;
f)测试仪器设备精度应满足设计方案中规定的测试规范要求;
g)测试计划方案应满足相关标准及设计方案要求;
h)系统维护计划及培训计划合理。 7.3.2工程分包
监理机构应审查工程分包的如下内容:
a)范围;
b)质量要求;
c)工期要求;
d)检测验收标准或要求,
e)分包单位的能力;
f)分包单位的施工组织方案等。 7.3.3施工准备
监理机构应及时检查承建单位工程施工准备情况,如满足要求,应签认承建单位的开工申请。监理机构应检查承建单位的下述准备内容:
a)施工方案签批情况;
b)关键施J二工具、施工人员到位情况;
c)关键质量检测设备到位情况;
d)关键线材和连接硬件到货情况等。 7.3.4质量保证措施
监理机构应从如下方面审核承建单位的质量保证措施:
a)布缆产品入场质量检查措施;
b)关键施工点的质量检查措施;
c)隐蔽工程的工序及报验措施;
d)通用布缆链路测试标准和方案等。 7.3.5线材、连接硬件验收
监理机构对承建单位进场使用的线材、连接硬件进行检查验收。
a)监理机构在通用布缆系统工程主要材料到场后,应及时组织业主单位、承建单位进行验收,检查相关证明材料,验收合格后出具验收报告;
b)进场线材和连接硬件的检查要点如下:
1)线材和连接硬件数量、规格、质量与合同、设计方案的符合性;
2)线材和连接硬件的合格证、检验报告等资料的真实性、有效性;
c)必要时,监理机构对进场的线材进行抽检测试,并出具抽检测试报告;
d)检查验收不合格或抽检测试不合格的线缆和连接硬件不得进场使用。 7.4示范施工
监理机构应按照如下程序对示范施工进行检查确认:
a)督促承建单位根据工程特点,组织示范施工,示范施工应包括布缆施工及主要的材料、设备;
b)监理机构利用抽检测试等方法对示范施工的施工工艺及施工质量进行监督、测试、评估;
c)督促承建单位整改示范施工出现的问题,整改后的部分需经监理机构检查确认;
d)确认符合工程设计方案和工程实施组织设计方案的示范施工,并要求承建单位按照示范施工的施工工艺标准进行实施。 7.5隐蔽工程
监理机构应按照如下程序对隐蔽工程施工进行监理: a)承建单位在隐蔽工程开工前必须进行报验;
b)处理承建单位提交的隐蔽工程报验申请和隐蔽程检查记录,并在隐蔽工程施工过程中按照监理实施细则确定的程序,进行现场监理;
c)现场检查隐蔽工程,并对符合设计要求的隐蔽工程进行签认;
d)未经验收或验收不合格的隐蔽工程,监理机构应拒绝签认,并要求承建单位不得进行下-道工序的实施。 7.6施工过程
监理机构应对施工过程中的如下方面进行检查:
a)根据监理实施细则确定的检查控制点,对承建单位的施工进行现场检查,并做检查记录。
b)对承建单位的施工进行阶段性的监理抽检测试,并形成报告。 c)保护设施安装的检查工作:
1)安装位置、路由和设计方案的符合性;
2)桥架与线槽联接的紧密性;
3)金属桥架接地联接的可靠性;
4)桥架及线槽的密闭性;
5)室外立杆或管道施工与相关标准的符合性;
6)对于屏蔽布缆系统,屏蔽和等电位联结应完整、可靠且连续。屏蔽系统接地应符合设计规范。
d)机柜、机架安装的检查工作:
1)安装符合技术规范要求;
2)安装应牢固;
3)接地极进行可靠连接;
4)配线架标识规范。
e)电信插座安装的检查工作:
1)安装位置和设计方案的相符性;
2)安装应牢固;
3)施工符合施工规范;
4)电信插座标识规范。 f)连接硬件安装的检查工作:
1)园区主干子系统、楼宇主干子系统和水平布缆子系统设备间的连接硬件安装应符合规范要求;
2)连接硬件应使用压接跳线或快接跳线; 3)连接硬件应有标识和管理手段。
g)线缆敷设的检查工作:
1)路由与设计方案的符合性;
2)线缆标识应满足技术标准的要求;
3)线缆在管、槽中的填充量应符合规范要求;
4)线缆敷设转弯处弯曲半径应符合设计规范;
5)敷设时应有消除拉伸、急剧弯折和紧捆线缆引起的线缆张力的保护措旌;
6)铜缆与其他系统线缆之间的距离应满足相关技术标准要求。
h)标识、记录的检查工作:
1)所有线材和连接硬件应标识并记录;
2)变更的线缆或连接硬件应做记录。 i)无线施工的检查工作:
1)设备放置位置的温湿度应符合设备工作要求,馈线长度符合要求;
2)天线、馈线安装时不能有碰撞,防止受力变形,影响技术性能;
3)天线安装的高度和方位,各安装部件要紧固良好;
4)馈线弯曲和扭转时,弯曲半径和扭转角度要符合馈线安装要求;
5)天线接地应可靠,馈线固定应牢固;
6)馈线衰耗值符合设计要求;
7)所需线缆的类型应合适,敷设应规范。 8工程验收阶段 8.1监理目标
监理机构通过监理工作,应实现如下目标:
a)形成符合设计要求和工程应用需求的测试验收方案;
b)测试验收通过的工程顺利移交。 8.2监理内容
工程验收阶段的监理工作主要内容如下:
a)审核承建单位提交的测试验收方案,并提出监理意见;
b)审核并确认工程的验收条件}
c)监督检查承建单位工程自测,并审核承建单位自测报告;
d)如有必要,协助业主单位委托第三方检测机构对通用布缆系统进行检测;
e)督促承建单位按照业主单位存档要求编制竣工文档,并审核竣工文档;
f)编制工程监理总结报告,整理并向业主单位提交工程全部监理文档;
g)协助业主单位组织验收,协助完成工程移交。 8.3监理要点 8.3.1工程自测
承建单位应对完成的工程进行自测,监理机构对承建单位自测的以下方面进行检查:
a)检查承建单位的测试仪器的有效性和可用性;
b)要求承建单位对通用布缆系统工程包括的所有链路进行测试,并提交自测报告;
c)审核承建单位提交的测试报告,测试应符合设计方案依据的验收标准;
d)对于测试不合格的链路,监理机构应要求承建单位在测试报告中记录,采取整改措施,并复测;
e)监理机构应对布缆系统进行抽检测试,验证承建单位施工及测试情况,并向业主单位提交抽检测试报告。 8.3.2验收方案
承建单位应向监理机构提交验收方案,监理机构对承建单位提交的验收方案的如下方面进行审核:
a)验收目的、范围、内容与承建合同的一致性;
b)验收计划安排的合理性;
c)验收的标准;
d)测试的方法和设备。 8.3.3初验条件
监理机构应核实初验的如下条件:
a)除承建单位、业主单位同意,并签认工程备忘录的未完成工作外,工程建设全部完成;
b)工程建设文档齐备,且经监理机构审核确认;
c)验收方案经审核确认;
d)承建单位工程自测、监理机构抽检测试或第三方测试已完成,承建单位对于不合格项进行了整改并复测。 8.3.4竣工文档
承建单位竣工文档主要包括如下内容:
a)承建合同;
b)招标文件;
c)投标文件;
d)设计方案;
e)工程实施组织设计方案;
f)工程施工报告;
g)隐蔽工程记录;
h)变更记录;
i)自测报告;
j)信息点分布图(表);
k)园区、楼宇、水平配线表; l)竣工图纸等。
第3部分 5工程招标阶段 5.1监理目标
监理机构通过监理工作,应实现如下目标:
a)理解工程的需求、目标和范围;
b)促使招标文件与工程的需求、目标和范围相符合;
c)协助业主单位选定合适的承建单位;
d)促使承建合同在技术、经济上合理有效。 5.2监理内容
工程招标阶段的监理工作主要内容如下:
a)协助业主单位明确工程需求;
b)宜参与招标前的准备工作,协助业主单位编制电子设备机房系统工程的工作计划;
c)对本阶段的工作进度提出监理意见;
d)宜了解业主单位估算的.T=程总投资;
e)协助业主单位参与招标文件的编制或对招标文件提出监理意见;
f)可协助评标,对投标书与招标书的符合性及投标书的合理性提出监理意见;
g)应参与承建合同的签订过程,促使承建合同相关条款符合业主单位招标文件的要求,并且在承建合同中明确要求承建单位接受监理机构的监理;
h)与业主单位、承建单位以及相关单位建立信息沟通和工作协调机制,明确本阶段需要各方提交的文档要求,并向业主单位提供所需信息。 5.3监理要点 5.3.1项目需求
监理机构应从如下方面理解业主单位对电子设备机房系统工程的需求:
a)工程建设目标;
b)工程建设范围;
c)电子设备机房系统工程的功能、性能需求;
d)工程投资规模;
e)工程进度计划;
f)工程建设应遵循的法律、法规、技术标准和管理标准;
g)若存在现有网络系统,应考虑目标网络系统与现有网络系统的兼容性,以保护业主单位的原有投资。
5.3.2招标文件
监理机构宜参与招标文件的编制,并对如下内容提出监理意见:
a)项目需求;
b)投标单位的资质要求;
c)工程的技术和质量要求;
d)工程的时间和进度要求;
e)主要设备、产品及服务的要求;
f)验收方法、接收准则;
g)投标文件的要求;
h)分包合同的要求;
i)合同主要条款或合同草案。 5.3.3承建合同
监理机构应参与承建合同的签订,协助业主单位对承建合同的如下内容进行检查,并提出监理意见:
a)工程建设目标、范围;
b)业主单位和承建单位的责任;
c)工程使用的主要技术标准;
d)电子设备机房系统的功能和性能要求、测试和验收要求;
e)要求承建单位按照项目管理计划实施工程建设;
f)明确监理机构在工程款支付中的作用;
g)工程阶段划分及其质量和进度要求,以及和工程付款相关的约束关系;
h)主要设备的保修条款以及系统的运行维护等相关服务的要求;
i)各阶段需要承建单位提交的工程文档,以及需要完成的培训等相关服务内容;
j)为工程变更和扩展问题规定的处理方法。 6工程设计阶段 6.1 监理目标
监理机构通过监理工作,应实现如下目标:
a)推动业主单位、承建单位对电子设备机房系统工程项目需求和设计进行规范化的技术描述,为工程实施提供优化的设计方案;
b)促使电子设备机房系统工程计划、设计方案满足项目需求,符合相关的法律、法规和标准,并与工程承建合同相符。 6.2监理内容
工程设计阶段的监理工作主要内容如下:
a)要求承建单位组织人员对电子设备机房系统工程需求进行调研和分析,并形成文档。监理机构对其内容进行审核后提出监理意见。
b)协助业主单位与承建单位签订工程设计委托合同,明确双方的责、权、利及设计文件的质量要求。
c)审核设计概算及施工图预算的合理性和业主单位投资能力的可行性。
d)全面审查设计合同的执行情况,核定设计费用。 7工程实施阶段 7.1监理目标
监理机构通过监理工作,应实现如下目标:
a)加强电子设备机房系统工程实施方案的合法性、合理性、与设计方案的符合性;
b)促使电子设备机房系统_T程所使用的产品和服务符合承建合同及国家相关法律法规、电子设备机房系统工程技术规范与标准;
c)明确电子设备机房系统工程实施计划、对于计划的调整应合理、受控;
d)促使电子设备机房系统工程实施过程满足承建合同的要求,并与工程设计方案、工程实施方案、工程实施计划相符。 7.2监理内容
工程实施阶段的监理工作主要内容如下:
a)组织监理人员进场,熟悉监理合同和承建合同,对监理人员进行合理分工,建立监理人员岗位责任制,编制和审批监理实施细则。
b)审查承建单位的资质,符合国家相应的规定方准进场施工。
c)审核承建单位报审的工程实旌组织设计方案、工程实施方案、工程实施计划,并签署意见,督促承包商实施,其审核内容主要有以下几点:
1)施工采用的标准是否适宜;
2)工程实施计划编制是否符合实际情况要求;
3)关键工序的施工工艺是否符合规范要求;
4)施工安全保护措施是否全面和可行性;
5)项目组织机构人员配置是否满足施工要求,相关人员是否具备相应的资格证书或上岗证。
d)组织图纸会审,并形成图纸会审纪要。 8工程验收阶段 8.1监理目标
监理机构通过监理工作,应实现如下目标:
a)确认工程达到验收条件,明确电子设备机房系统工程测试验收方案的可行性、与承建合同的符合性;
b)确认按照验收方案所规定的验收程序,实施初验、试运行和终验,促使电子设备机房系统工程的最终功能和性能符合承建合同、法律、法规和相关技术标准的要求;
c)推动承建单位所提供的工程各阶段形成的技术、管理文档的内容和种类符合相关标准。 8.2监理内容
工程验收阶段的监理工作主要内容如下:
a)协调业主单位和承建单位在验收计划、验收目标、验收范围、验收内容、验收方法和验收标准达成一致,并填报工程备忘录;
b)处理承建单位提交的工程验收申请,审核其中的验收计划、验收方案等,并签署监理意见;
c)审核并确认承建单位达到验收条件;
d)敦促业主单位、承建单位按照事先约定,编制、签署并妥善保存验收阶段的各类工程文档;
e)敦促业主单位和承建单位及时整理并妥善保管整个工程相关文档;
f)协助业主单位完成验收T作;
g)协助业主单位和承建单位完成工程移交工作;
h)督促承建单位完成项目实施方案中确定的培训,并对培训效果做出评估;
i)编制项目监理总结报告,整理并向业主单位提交与工程有关的全部监理文档。
9各子系统工程的监理要点 9.1供配电系统工程 9.1.1 设计阶段 9.1.1.1 供配电
监理机构应从如下方面进行监理工作:
a)协助业主单位及时、准确、完整地向承建单位提供经业主单位签字的设计所需基础数据和原始资料;
b)审查设计文件中供配电的容量配置、各项技术指标是否满足用电设备、设施的需求。 9.1.1.2不间断电源(UPS)设备
监理机构应从如下方面进行监理工作:
a)协助业主单位及时、准确、完整地向承建单位提供经业主单位签字的不间断电源(UPS)需求数据和原始资料;
b)审查设计文件中UPS类型、容量、负荷计算、冗余、运行时间、转换时间、充放电时间、远程监控接口、维修旁路、噪声、设备型号规格等是否满足要求;
c)审查不问断电源(UPS)的安装位置及地板承重能力,应符合现场情况的要求。 9.1.1.3蓄电池
审查设计文件中蓄电池的类型、电池容量、运行环境是否满足使用、维护和安全的需要。
9.1.1.4电缆桥架和桥架内电缆敷设
检查电缆桥架的设计是否满足电缆敷设数量要求,设计的路由走向、标高是否符合现场要求。
9.1.1.5 电线电缆导管和线槽及线缆敷设
检查电线电缆导管和线槽的设计规格是否满足电线电缆敷设要求。 9.1.1.6照明、应急照明
监理机构应从如下方面进行监理工作:
a)检查设计的灯具型号、数量和安装位置是否合理,能否满足电子设备机房对照度、亮度、均匀度等的技术要求;
b)应急照明灯应有双路电源供电。 9.1.1.7开关、插座
监理机构应从如下方面进行监理工作:
a)检查设计的开关、插座的规格型号、数量、安装位置是否符合电子设备机房要求;
b)各类型号的开关、插座必须符合相关国家标准和行业标准要求。 9.1.1.8防雷及接地装置
监理机构应从如下方面进行监理工作:
a)检查防雷及接地装置的设计等级是否满足电子设备机房内各类设备的要求;
b)电子设备机房的防雷及接地装置的设计必须符合GB 50057-1994的规范要求。 9.1.2 实施阶段 9.1.2.1 配电
监理机构应从如下方面进行监理工作:
a)供配电设备的型号规格等应符合设计要求;
b)供配电设备的安装应符合相关规范。 9.1.2.2不问断电源(UPS)设备
监理机构应从如下方面进行监理工作:
a)不间断电源(LTPS)设备的型号规格等应符合设计要求;
b)不间断电源(LJPS)设备的安装应符合相关规范及厂家的技术要求。 9.1.2.3蓄电池
监理机构应从如下方面进行监理工作:
a)蓄电池设备的型号规格等应符合设计要求;
b)蓄电池设备的安装应符合相关规范及厂家的技术要求。 9.1.2.4 电缆桥架和桥架内电缆敷设
监理机构应从如下方面进行监理工作:
a)对超过规范规定长度电缆桥架设置伸缩节;
b)电缆桥架和桥架内电缆的型号规格等应符合设计要求;
c)电缆桥架和桥架内电缆的安装应符合相关规范的技术要求。 9.1.2.5电线电缆导管和线槽敷设
监理机构应从如下方面进行监理工作:
a) 电线电缆导管和线槽的型号规格等应符合设计要求;
b)电线电缆导管和线槽的敷设应符合相关规范。 9.1.2.6 开关、插座
监理机构应从如下方面进行监理工作:
a)开关、插座的型号规格等应符合设计要求;
b)开关、插座的安装应符合相关规范;
c)当接插有触电危险电器的电源时,采用能断开电源的带开关插座,开关断开相线。
9.1.2.7电缆头制作、接线和绝缘测试
监理机构应从如下方面进行监理工作:
a)电线、电缆的接线、并联运行电线和电缆的型号、规格、相位等应符合设计要求;
b)电缆头制作、接线和绝缘测试要严格按照相关标准及规范实施。 9.1.2.8照明、应急照明
监理机构应从如下方面进行监理工作:
a)照明、应急照明灯具的型号规格等应符合设计要求;
b)照明、应急照明灯具的安装应符合相关规范。 9.1.2.9防雷及接地装置
监理机构应从如下方面进行监理工作:
a)电子设备机房的防雷及接地装置的接地电阻测试必须符合设计及规范要求;
b)电子设备机房内设备的防过流、过压的接地装置、防电磁干扰屏蔽的接地装置、防静电接地装置应连接可靠,其设置应符合设计要求。 9.1.3验收阶段
9.1.3.1供配电的验收测试
监理机构应从如下方面进行监理工作:
a)供配电的测试检查结果必须符合GB 50303-2002及设计文件的要求;
b)供配电等电气设备系统交接试验结果应符合相关交接试验标准、设计文件和产品规范要求a9.1.3.2不间断电源(UPS)设备的验收测试不问断电源(UPS)的各项技术性能指标的测试结果必须符合设计文件和产品规范要求。 9.1.3.3蓄电池的验收测试
确认设备的各项技术指标应符合设计及产品规范的要求。 9.1.3.4电缆桥架和桥架内电缆敷设的测试验收
桥架安装定位应符合设计要求及相关规范。 9.1.3.5电线电缆导管和线槽敷设的测试验收
监理机构应从如下方面进行监理工作:
a)金属导管和线槽必须可靠接地或接零;
b)不同导管和线槽其接地符合GB50303-2002中14.1.1的规定。 9.1.3.6电缆头制作、接线和绝缘测试的测试验收
监理机构应从如下方面进行监理工作:
a)低压电线和电缆,其线间和线对地问的绝缘电阻值必须满足相应规范要求;
b)芯线与电器设备的连接应符合GB50303-2002中18.2.1的规定。 9.1.3.7照明、应急照明的测试验收
监理机构应从如F方面进行监理工作:
a)导线绝缘测试合格,才能进行灯具接线,灯具的导线线芯最小截面应符合GB50303-2002中19.2.1的规定;
b)灯具的安装高度、位置和使用电压等级应符合设计要求,设计无要求时,应满足GB 50303-2002中19.1.5的规定;
c)应急照明在正常电源切断后,电源转换时间应符合设计要求和相应规范。
9.1.3.8开关、插座的测试验收插座接线应符合设计和GB 50303-2002中22.1.2的规定。
9.1.3.9防雷及接地装置的测试验收监理机构应从如下方面进行监理工作:
a)电子设备机房的防雷及接地系统应与依据GB 50303-2002验收合格的建筑共用接地装置;采用建筑物金属体作为接地装置时,接地电阻不宜大于1;
b 电子设备机房电源系统中各设备应按YD5078-1998中5.2的规定加装避雷器和浪涌吸收 装置;
c)电子设备机房电源系统所装防雷避雷器的残压应符合YD5078-1998中附录B的规定;
d)电子设备机房电源系统耐雷电冲击指标应符合YD5078-1998中4.0.1和4.0.3的规定;
e)电子设备机房的接地装置应符合YD5078-1998中第6章的规定;
f)电子设备机房与建筑物作等电位联结应符合GB50303-2002中的相关规定。
9.2空调系统工程 9.2.1 设计阶段
监理机构应从如下方面进行监理工作:
a)审查承担电子设备机房空调工程的承建单位和设计人员必须具有相应资质;
b)协助业主制定电子设备机房内空调工程项目的需求及空调设备、主要材料的质量目标要求;
c)窄调设备的选型及设备性能的稳定性需保障电子设备机房的需求;
d)审查设计图纸的合理性、可靠性及安全性。 9.2.2 实施阶段 9.2.2.1准备工作
监理机构应从如下方面进行监理工作:
a)协助业主单位组织各承建单位参加的施工图纸会审和设计交底会,领会设计意图,了解工程特点和工程质量要求,对图纸中的问题提出监理意见。
b)审查施工单位是否具有相应资质,特殊工种人员需持证上岗。
c)审核施丁单位提交的工程实施组织设计和工程实施方案,重点审查有无可靠的组织措施、技术措施和安全措施,有无完整的质保体系。经批准后方可实施。
d)电子设备机房空词工程所使用设备、主要材料必须具有质量合格证明文件,产品型号、规格及性能检测报告应符合国家技术标准、设计要求及合同规定要求,随带技术文件齐全,进口设备还应有商检证明。 9.2.2.2空调机组设备安装
监理机构应从如下方面进行监理工作:
a)设备基础的位置、强度、尺寸、标高、预留孔洞及预埋件应符合设计要求;
b)设备的搬运和吊装应符合产品技术文件和GB 50243-2002中7.1.5的规定;
c)设备稳固性、设备安装垂直及水平度应符合设计及规范要求;
d)组合式空调机组及柜式空调机组的组装应符合设计规定顺序和要求;
e)分体式空调机组的室外机和风冷式空调机组冷却器的安装,除应满足冷却风循环空间的要求外,还应符合卫生环境保护有关的规定;
f)分体式空调机组的室内机的位置应正确,并保持水平,冷凝排放应畅通,管道穿墙处需有相应防雨水措施;
g)风冷式空词机组管道的连接应严密、无渗漏,四周应留有相应的维修空间。
9.2.2.3风管制作监理机构应从如下方面进行监理工作:
a)风管制作的材料品种、规格与性能等应符合设计和现行国家产品标准的规定;
b)风管下料、咬口、加固、法兰制作应按GB 50243-2002相关要求进行设计及施工。
9.2.2.4风管及部件安装监理机构应从如下方面进行监理工作:
a)检查水平风管安装后的水平度和垂直风管安装后的垂直度;检查风管安装的位置、标高、走向;检查支、吊、托架排列距离,预埋件或膨胀螺栓牢固度;检查法兰连接风管的连接垫片及连接后的严密性和牢固性,其检查结果必须符合设计及GB 50243-2002的要求;
b)检查双层活动百叶风口叶片松紧程度;检查风口与风管连接的严密度、牢固度;其检查结果必须符合设计及GB 50243-2002的要求;
c)检查各类风阀的安装位置;检查转动装置灵活和可靠性及阀板关闭的严密性;检查防火阀、止回阀安装位置及安装方向;其检查结果必须符合设计及GB 50243-2002的要求。 9.2.2.5管道安装
监理机构应从如下方面进行监理工作:
a)管道布放安装位置符合设计要求,管道排列安装工艺及管道焊接工艺应符合GB50235-1997 和GB50236-1998的要求;
b)制冷管道的接驳工艺检查;
c)冷凝水管的安装应符合设计及规范要求;
d)支吊架的型式、位置、问距、标高应符合设计文件要求;
e)各种管道密闭性检查应符合设计及GB 50235-1997的要求;
f)风管、管道的安装应符合设计及GB 50264-1997的要求。 9.2.3验收阶段
监理机构应从如下方面进行监理工作:
a)根据不同空调机型,空调系统调试记录及其检查测试结果必须符合设计、通信机房的安全可靠特殊性要求、GB50243-2002的要求;
b)空调系统综合效能试验检测调试结果必须符合空调设备技术文件、设计文件及在保证通信机房安全、可靠情况下节能高效运行。 9.3装饰装修系统工程 9.3.1设计阶段
监理机构应从如下方面进行监理工作:
a)装饰装修工程设计必须保证建筑物的结构安全和主要使用功能。当涉及主体和承重结构改动或增加荷载时,必须由原结构承建单位或具备相应资质的承建单位核查有关原始资料,对既有建筑结构的安全性进行核验、确认,或进行加固处理。
b)审核承建单位的资质和设计人员资格,必须满足相应工程等级的要求。
c)工程设计前,协助业主单位与承建单位沟通,将业主单位的需求形成书面意见,在工程设计前由业主单位签认。
d)协助业主单位与承建单位签订工程设计委托合同,明确双方的责、权、利及设计文件的质量要求。
e)审核设计文件与业主单位需求的符合性,重点审查平面及天花布置、墙体分隔、装修标准是否满足业主单位的需求。
f)审核设计文件的质量及设计深度是否满足设计规范及相关标准的要求。
g)装修系统工程设计必须符合城市规划、消防、环保、节能等有关规定。 9.3.2实施阶段 9.3.2.1准备工作
监理机构应从如下方面进行监理工作:
a)组织或协助业主单位组织各参建单位参加的施工图纸会审和设计交底会,领会设计意图,了解工程特点和工程质量要求,对图纸中的问题提出监理意见;
b)审核施工单位提交的工程实施组织设计方案和工程实施方案,重点审查有无可靠的组织措施、技术措施和安全措施,有无完整的质保体系,经批准后方可实施;
c)审查承建单位的施工资质、施工组织架构及人员配置、施工机械是否满足施工合同及投标书的要求,并作出相应的批复或监理意见;
d)电子设备机房装饰装修系统工程所使用设备、主要材料必须具有质量合格证明文件,产品型号、规格及性能检测报告应符合国家技术标准、设计要求及合同规定要求,随带技术文件齐全,进口设备还应有商检证明;
e)审查承建单位的施工基线、标高,对承建单位的施工基线、标高进行复测和验收。 9.3.2.2地面工程
监理机构应从如下方面进行监理工作:
a)基层找平及相关工作的检查结果必须符合GB50209-2002的要求;
b)磨石地面工程及相关工作的检查结果必须符合设计及GB50209-2002的要求;
c)大理石、花岗石、瓷砖等板材地面工程及相关工作的检查结果必须符合设计及GB50209-2002的要求;
d)活动地板地面工程及相关工作的检查结果必须符合设计及GB50209-2002的要求。
e)塑料板地面工程及相关工作的检查结果必须符合设计及GB50209-200
2、GB50325-200l的要求。 9.3.2.3 吊顶工程
监理机构应从如下方面进行监理工作:
a)监理工程师应检查吊顶的标高、尺寸、起拱和造型,以上检查结果必须符合设计及GB50210-2001的要求;
b)吊顶工程的吊杆、龙骨、饰面材料的安装必须牢固,饰面材料的材质、品种、规格、图案、颜色应满足设计要求;
c)吊杆、龙骨的材质、规格、安装间距及连接方式应符合设计及GB 50210-2001的要求;
d)吊顶工程安装的允许偏差应满足GB 50210-2001的6.2.11的要求;
e)采用上走线方式的电子设备机房不应吊顶,天花工程执行涂饰工程的标准。
9.3.2.4隔断墙工程
监理机构应从如下方面进行监理工作:
a)砖隔墙工程及相关工作的检查结果必须符合设计及GB50203-200l的要求;
b)板材隔墙工程及相关工作的检查结果必须符合设计及GB502lO-2001的要求;
c)骨架隔墙工程及相关工作的检查结果必须符合设计及GB502lO-2001的要求;
d)活动隔墙工程及相关工作的检查结果必须符合设计及GB50210-200l的要求;
e)玻璃隔墙工程及相关工作的检查结果必须符合设计及GB50210-2001的要求。
9.3.2.5抹灰工程
抹灰工程及其相关工作的检查结果必须符合设计及GB50210-200l的要求。 9.3.2.6 门窗工程
监理机构应从如下方面进行监理工作:
a)木门窗制作与安装工程及相关工作的检查结果必须符合设计及GB502l0-2001的要求;
b)金属门窗安装工程及相关工作的检查结果必须符合设计及GB50210-2001的要求;
c)塑料门窗安装工程及相关工作的检查结果必须符合设计及GB50210-2001的要求;
d)特种门安装及相关工作的检查结果必须符合设计及GB502l0-2001的要求。 9.3.2.7涂饰工程
监理机构应从如下方面进行监理工作:
a)基层处理及相关工作的检查结果必须符合设计及JG/T 3409-1998的要求;
b)水性涂料涂饰工程及相关工作的检查结果必须符合设计及GB50210-2001的要求;
c)溶剂型涂料涂饰工程及相关工作的检查结果必须符合设计及GB50210-200l的要求;
d)美术涂饰工程及相关工作的检查结果必须符合设计及GB 50210-200l的要求。 9.3.3 验收阶段
监理机构应从如下方面进行监理工作:
a)工程验收阶段的质量控制按照GB/T 19668.1-2005的相关条文进行;
b)协助业主与承建单位签订工程保修协议,明确工程质量缺陷保修的质量标准和保修期限;
c)工程验收阶段的质量控制以及工程修补、修复的质量控制与实施阶段一致;
d)对工程修补、修复的质量作出评价。 9.4消防系统工程 9.4.1 设计阶段
监理机构应从如下方面进行监理工作:
a)消防系统工程的设计应针对电子设备机房的特点,遵循安全适用、技术先进、经济合理的原则。
b)电子设备机房的耐火等级为特级和-级,设有自动灭火设备时,可按二级耐火等级的要求。电子设备机房的火灾自动报警系统按-级保护进行设计。电子设备机房的火灾自动报警系统形式宜按集中报警系统或控制中心报警系统进行选择。
c)火灾自动报警控制器和消防联动控制设备在消防控制室内的布置,应按现行国家标准GB50045-1995等的有关规定执行;
d)消防联动控制系统设计应按现行国家标准GB50116-1998的有关规定执行;
e)火灾应急广播的设置应符合相关规范规定;
f)工程设计前,协助业主单位与设计单位沟通,尽可能将业主单位的需求形成书面意见,在工程设计前由业主单位签认;
g)协助业丰单位与设计单位签订工程设计委托合同,明确双方的责、权、利及设计文件的质量要求。 9.4.2实施阶段 9.4.2.1准备工作
监理机构应从如下方面进行监理工作:
a)审查承建单位的施工基线、标高,对承建单位的施工基线、标高进行复测和验收;
b)消防产品及设备,应采用经国家有关产品监督检测单位检验合格的产品;
c)消防系统工程的施工,必须受国家工程建设的有关政策及公安消防监督机构监督。
9.4.2.2火灾自动报警系统工程
监理机构应从如下方面进行监理工作:
a)火灾自动报警系统的布线施工应符合GB50254-199
6、GB50255-199
6、GB50256-199
6、GB5025-1996及GB 50166-1992的有关规定。
b)设备安装过程:
1)点型火灾探测器的安装位置,应符合设计文件、GB/T 50314-2006和有关规定;
2)探测器、报警按钮、火灾报警控制器、引入控制器、消防控制设备的外接导线、消防控制设备盘(柜)、工作接地线与保护接地线的检查结果应符合GB50116-199
8、GB50166- 1992及设计文件的要求。 9.4.2.3气体灭火系统工程
监理机构应从如下方面进行监理工作:
a)一般规定:
1)气体灭火系统应采用洁净气体灭火剂:惰性气体、七氟丙烷、三氟甲烷、二氧化碳;
2)防护区宜为单个封闭空间,一个防护区的面积不宜大于500 ㎡,容积不宜大于2000m3;防护区内的围护结构应能承受1.2 kPa的压力;防护区内应设置泄压口,并应位于防护区净高的2/3以上。 b)系统组件的外观检查,应符合设计文件及相关规定。
c)安装前应检查灭火剂贮存容器内的充装量与充装压力,应符合设计文件及相关规定。
d)气体灭火系统安装前应对选择阀、液体单向阀、高压软管和阀驱支装置中的气体单向阀逐个进行水压强度试验和气压严密性试验,应符合设计文件及相关规定。
e)在气体灭火系统安装前应对阀驱动装置进行检查,应符合设计文件及相关规定。
f)灭火剂贮存容器的安装,应符合设计文件及相关规定。 g)集流管的制作与安装,应符合设计文件及相关规定。 h)阀的安装,应符合设计文件及相关规定。
i)灭火剂输送管道的施工,应符合设计文件及相关规定。
j)喷嘴的数量和口径应满足喷嘴最大保护半径和灭火剂喷放量的要求,喷嘴的最犬安装高度为5m,超过5m时应在高度方向另加装喷嘴。 9.4.3验收阶段
监理机构应从如下方面进行监理工作:
a)监理工程师应按GB50166-199
2、GB50300-2001的有关标准和检验办法对已完成的消防系统工程进行检验评定,保证工程质量;
b)消防系统工程在交付使用前必须经过公安消防监督机构验收;
c)对工程整改的质量控制与实施阶段一致,对工程整改的质量作出评价;
d)各阶段的进度与投资控制、合同管理与信息管理及协调工作按照GB/T19668.1-2005的相关条文进行。 9.5安全防范系统工程 9.5.1设计阶段
监理机构应从如下方面进行监理工作:
a)安伞防范系统工程设计的防护级别必须符合被保护对象的风险等级,配置先进、可靠、合理、适用;
b)审核设计文件与业主单位需求的符合性,重点审查门禁控制的房间以及通道、摄像机监视范围、入侵报警探测范围和巡更路线是否满足业主单位的需求;
c)安全防范系统工程设计必须符合国家公共安全行业的有关规定。 9.5.2 实施阶段 9.5.2.1 准备工作
监理机构应从如下方面进行监理工作:
a)组织监理人员进场,熟悉监理合同和承建合同,对监理人员进行合理分工,建立监理人员岗位责任制,编制和审批监理实施细则;
b)审查承建单位的资质,符合国家相应的规定方准进场施工;
c)审核承建单位报审的工程实施组织殴计、实施方案,并签署意见,督促承建单位实施,其审核内容如下:
1)施工采用的标准是否适宜;
2)施工计划编制是否符合实际情况要求;
3)关键工序的施工工艺是否符合规范要求;
4)施工安全保护措施是否全面和可行性;
5)项目组织机构人员配置是否满足施工要求,相关人员是否具备相应的资格证书或上岗证。
d)组织图纸会审,并形成图纸会审纪要。 9.5.2.2质量控制
监理机构应从如下方面进行监理工作:
a)安全防范系统施工质量检查和观感质量验收,应根据合同技术文件、设计施工图从以下几方面
进行监理:
1)电(光)缆敷设与布线应检验管线的防水、防潮,电缆排列位置,布放、绑扎质量,桥架的架设质量,缆线在桥架内的安装质量,焊接及插接头安装质量和接线盒接线质量等;
2)对接地线应检验接地材料、接地线焊接质量、接地电阻等,
3)对系统的各类探测器、摄像机、云台、防护罩、控制器、辅助电源、电锁、对讲设备等的安装部位、安装质量和观感质量等进行检验应符合GB 50348-2004的有关规定;
4)同轴电缆的敷设、摄像机、机架、监视器等的安装质量检验应符合GB 50198-1994的有关规定;
5)控制柜、箱与控制台等的安装质量检验应遵照GB 50303-2002的有关规定执行;
b)督促承建单位对各类探测器、控制器、执行器等部件的电气性能和功能进行自检,自检采用逐点测试的形式进行;
c)检查承建单位用于工程的材料、构配件必须符合国家相应的法律、法规和标准的要求,并与正式设计文件、工程合同的内容相符合,设备及器材的进场验收按照GB 50339-2003的相关规定执行;
d)系统联动功能检测应包括与出人口管理系统、入侵报警系统、巡更管理系统等的联动控制功能。
e)视频安全防范监控系统的图像记录保存时间应满足管理要求。 9.5.2.5入侵报警系统
监理机构应从如下方面进行监理工作:
a)探测器的盲区检测,防动物功能检测;
b)探测器的防破坏功能检测应包括报警器的防拆报警功能,信号线开路、短路报警功能,电源线被剪的报警功能;
c)探测器的灵敏度检测;
d)系统控制功能检测应包括系统的撤防、布防功能,关机报警功能,系统后备电源自动切换功能等;
e)系统通信功能检测应包括报警信息传输、报警响应功能;
f)系统的联动功能检测应包括报警信号对相关报警现场照明系统的自动触发、对监控摄像机的自动启动、视频安全防范监视画面的自动澜入,相关出入口的自动启闭,录像设备的自动启动等,
g)报警系统管理软件(含电子地图)功能检测;
h)报警信号联网上传功能的检测;
i)报警系统报警事件存储记录的保存时间应满足管理要求。 9.5.2.6巡更管理系统
监理机构应从如下方面进行监理工作:
a)按照巡更路线图检查系统的巡更终端、读卡机的响应功能;
b)检查巡更管理系统编程、修改功能以及撤防、布防功能f
c)检查系统的运行状态、信息传输、故障报警和指示故障位置的功能;
d)检查巡更管理系统对巡更人员的监督和记录情况、安全保障措施和对意外情况及时报警的处理手段;
e)对在线联网式巡更管理系统还需要检查电r地图上的显示信息,遇有故障时的报警信号以及视频安全防范监控系统等的联动功能;
f)巡更系统的数据存储记录保存时间应满足管理要求。 9.5.2.7防鼠害
监理机构应从如下方面进行监理工作:
a)机房内所有的孔洞在施工完后都必须及时封堵;
b)所有的线槽都必须盖好、密封;
c)所有电缆竖井都必须用防火泥封堵。 9.5.3验收阶段
监理机构应从如下方面进行监理工作:
a)安全防范系统工程的验收应按照GA308-200l的有关规定执行,以确认其符合承建合同、法律、法规及相关标准的要求;
b)对工程整改的质量控制与实施阶段一致,对工程整改的质量作出评价;
c)各阶段的进度与投资控制、合同管理与信息管理及协调工作按照GB/T19668.1-2005的相关条文进行。 9.6环境系统工程 9.6.1 设计阶段
审核设计文件是否符合相关的法律、法规和标准,并与工程建设合同相符,具有可验证性。9.6.2 实施阶段 9.6.2.1 室内空间环境
监理机构应从如下方面进行监理工作:
a)结构工程掺加剂的控制,不宜使用早强剂、膨胀剂,严格控制掺加剂用量;
b)围护结构玻璃的控制,不宜使用浮法透明玻璃;
c)装饰材料进场和使用控制,应符合GB 50325--2001的规定;
d)装饰材料放射性抽样检验报告(原件)的检查;
e)装饰工程结束后有害气体的检验报告(原件)的检查,检测值应符合设计要求;
f)室内通风和日照条件的满足情况检查:
1)室内净空高度应符合要求;
2)门窗设置须满足窗台高度和外墙面积比要求。 9.6.2.2 电磁环境
监理机构应从如下方面进行监理工作:
a)材料、设备质量控制检查,应符合国家有关电磁辐射防护标准和设计文件技术要求,宜进行相应的检验。
b)传输线缆应检查布置位置、防干扰接地质量。
c)进线管道的布置位置和施工质量的检查。
d)强弱电线管的走线方式和接地装置质量的检查。
e)卫星接收天线、自动移动通信接收发射设备、电器设备是否满足防电磁干扰或抗电磁干扰性能指标。对达不到防干扰标准的设备应采取屏蔽措施。
f)卫星接收天线、自动移动通信接收发射设备、电器设备的安装位置是否符合设计文件的要求。
g)相关设备的无线电干扰测试的要求:
1)信息技术设备、金融和贸易结算电子设备应满足GB9254-1998要求;
2)陆地移动通信设备传导发射(CE)、辐射发射(RE)应满足GB/T15540-2006的要求;
3)射频设备应满足GB 4824--2004的要求;
4)声音、电视广播接收机和有关设备应满足GB13837--2003的要求;
5)电源设备及照明设备应满足GB17743--1999的要求;
6)空调制冷设备应满足GB4343.1-2003的要求。
h)相关设备的无线电抗扰度测试的要求:
1)信息技术设备、金融和贸易结算电子设备、安全防范设备应满足GB9254-1998要求;
2)声音和电视信号的电缆分配系统设备与部件应满足GB 13836-2000的要求;
3)电源设备、空调制冷设备及照明设备应满足GB 17625.1-2003的要求;
4)陆地移动通信设备的传导敏感度(CS)、辐射敏感度(RS)应满足GB/T15540-2006的要求。
i)各类丰机房及监控室室内电磁场强的检测。
i)ITE分级检测指标中准峰值、平均峰值、准峰极限值、测量距离的检测。 9.6.2.3 室内空气环境
监理机构应从如下方面进行监理工作:
a)室内空气洁净度和有害气体的检验检测,其检验检测结果应符合GB 50325-2001的规定;
b)室内通风条件和换气条件检查验收;
c)室内日照条件检查验收;
d)室内温、湿度条件的检查验收;
e)室内风速的检查验收;
f)相应检查验收、检验测量的书面报告(原件)的检查复核。 9.6.2.4 室内照明
监理机构应从如下方面进行监理工作:
a)材料、设备验收:
1)应满足工作环境的特殊要求和设计指标要求;
2)硬件设备,包括灯具、遥控/手动开关、红外线传感器、同步门锁、控制接收器、自然光控设备等质保材料验收和设计技术性能指标的满足性验收。
b)安装位置和光源控制质量验收:
1)照度质量验收包括:照度水平、亮度分布、照度均匀度、阴影、眩光控制、颜色和照度稳定性;
2)自然采光系统质量验收和相应控制设备设施的质量验收。 9.6.2.5 室内噪声
监理机构应从如下方面进行监理工作:
a)降低噪声,防止噪声扩散的措施检查验收;
b)建筑布局和设备安装位置对噪声控制的影响以及处理措施的检查验收;
c)高噪声环境中的特殊措施的检查验收;
d)隔绝材料和隔绝措施的质量验收;
e)室内噪声控制测试控制值应满足相应规范和设计技术要求。 9.6.3验收阶段
监理机构应从如下方面进行监理工作:
a)依据工程承建合同、设计文件以及国家有关强制性标准、规范,检查工程质量是否符合相关文件的要求;
b)各阶段的进度与投资控制、合同管理与信息管理及协调工作按照GB/T19668.1-2005的相关条文进行。
第4部分 5.1 监理目标
监理机构通过监理工作,应实现如下目标:
a)理解工程的需求、目标和范围;
b)促使招标文件与工程的需求、目标和范围相符合;
c)协助业主单位选定合适的承建单位;
d)促使承建合同在技术、经济上合理有效。 5.2监理内容
工程招标阶段的监理工作主要内容如下:
a)协助业主单位明确工程需求;
b)宜参与招标前的准备工作.协助业主单位编制计算机网络系统工程的工作计划;
c)对本阶段的工作进度提出监理意见;
d)宜了解业主单位估算的工程总投资;
e)协助业主单位参与招标文件的编制或对招标文件提出监理意见;
f)可协助评标,对投标书与招标书的符合性及投标书的合理性提出监理意见;
g)应参与承建合同的签订过程,促使合同相关条款符合业主单位招标文件的要求,并且在承建合同中明确要求承建单位接受监理机构的监理;
h)与业主单位、承建单位以及相关单位建立信息沟通和工作协调机制,明确本阶段需要各方提交的文档要求,并向业主单位提供所需信息。 5.3监理要点 5.3.1 项目需求
监理机构应从如下方面理解业主单位对计算机网络系统工程的需求:
a)工程建设目标;
b)工程建设范围;
c)计算机网络系统的需求,如网络基础设施的需求、网络服务和应用的需求、网络管理的需求、网络功能、性能、可靠性和安全性需求等;
d)工程投资规模;
e)工程进度计划;
f)工程建设应遵循的法律、法规、技术标准和管理标准;
g)若存在现有网络系统,应考虑目标网络系统与现有网络系统的兼容性,以保护业主单位的原有投资。 5.3.2招标文件
监理机构宜参与招标文件的编制,并对如下内容提出监理意见:
a)项目需求;
b)投标单位的资质要求;
c)工程的技术和质量要求;
d)工程的时间和进度要求;
e)主要网络设备、产品及服务的要求;
f)验收方法、接收准则;
g)投标文件的要求;
书山有路勤为径
信息系统监理与审计 我国实践与美国的经验
一、 引言
"信息化带动工业化"是我国长期的重要发展战略,江泽民同志在十六大的报告中指出:"实现工业化仍然是我国现代化进程中艰巨的历史性任务。信息化是我国加快实现工业化和现代化的必然选择。坚持以信息化带动工业化,以工业化促进信息化,走出一条科技含量高、经济效益好、资源消耗低、环境污染少、人力资源优势得到充分发挥的新型工业化路子。"这段论述表现了我们党对信息化建设的高度重视,也指明信息化带出一条新型工业化路子的光明前景。
目前,各地区、各部门都在认真贯彻十六大精神,十分重视推进信息化工作,我国信息化建设已经进入新的阶段,我国信息化事业已发展到一个新的阶段。各级政府正在积极推进"电子政务",许多城市及企业也已着手整合与升级其信息化应用系统。可以预计,全国将有更多、更大的信息系统建设项目展开。但是,在信息化推进过程中,存在不同程度上的一些问题,主要表现在规划制订不够科学,项目管理不够严格,监理机制不够健全,系统运行效益不够明显。致使相当一部分信息化项目失败或未能实现预期目标,浪费了大量资源。究其根源主要原因之一是信息化建设第三方监管机制的缺失和标准的不健全。
国内外的实践表明:信息化是有风险的,信息系统规模越大,功能越复杂,风险也就越大。英国Kalido于英国时间2001年12月12日公布了有关企业信息管理的调查结果。调查显示,96%的企业对于本公司的信息管理系统感到不满。关于目前正在使用的信息系统,认为"所制作的报告缺乏一贯性"或者是"核对信息花费了太多时间"的企业约占70%。特别引人深思的是该调查是由美国Harte-Hanks以全球500强企业以及财富1000企业中的171家公司为对象通过问卷方式实施的。调查对象中,40%以上的企业年交易额超过20亿美元。其他主要调查结果如下∶回答目前的信息系统不能灵活因应变化的企业约占60%;对于数据的精度表示担心的企业约占60%;60%以上的企业正在策划有关数据及信息的整合计划。这充分说明,信息系统的建设项目较之传统工业工程项目成功率更低,风险也更加突出。
中央领导同志在国家信息化领导小组第一次会议中特别强调:信息化建设一定要讲求效益,不能搞花架子。因此建立并逐步完善我国信息系统审计制度是健康、有序地推进信息化和落实领导小组会议精神的一项重要措施。
目前,在国内的信息化项目工程建设中,绝大多数用户(业主)无法组织队伍对信息系统建设进行专业化管理,难以胜任从可行性分析、规划设计、招标、方案评审到工程监理和工程验收全过程的管理与组织协调工作,建设方和承建方在信息建设过程中存在严重的信息不对称问题。这表现为借助外援进行工程管理咨询的案例越来越多,一些省市的行业主管部门也开始在信息系统建设中推行由FROM:及时雨
书山有路勤为径
监理进行工程质量管理的做法。但是,监理介入信息系统在我国还处于一个探索的过程中。
我国加入WTO后,鉴于我国IT服务业未来巨大的增长空间,国际知名咨询顾问公司、专业技术服务提供商等纷纷抢滩我国市场。在信息系统第三方鉴证业务方面,他们提供符合国际标准的信息系统审计服务。因此当前监理事业的发展面临新的形势,监理工作外部环境发生了深刻变化,势将对我国监理企业形成严重冲击,本土监理企业面临前所未有的严峻挑战。监理事业往何处去?这是摆在每一个监理人面前的重大课题。每一个监理企业必须以发展的眼光、动态的观点、创新的思想和创新的理论正确认识和判断当前的监理形势,增强危机感和紧迫感,迎接新的挑战。
二、 信息系统监理
(一) 信息系统监理概念
依据信息产业部《信息系统工程监理暂行规定》,信息系统工程监理是指依法设立且具备相应资质的信息系统工程监理单位,受业主单位委托,依据国家有关法律法规、技术标准和信息系统工程监理合同,对信息系统工程项目实施的监督管理。
(二) 信息系统监理产生动因及其发展
1、信息系统监理产生动因分析
监理工作、监理企业是我国在计划经济向市场经济转变的过程中在建设领域中应运而生的,并取得了有目共睹的显著成效,直接促进了工程监理业的繁荣发展,这也导致在通信业工程建设、信息系统建设等方面监理的出现。因此,回顾建设工程监理的发展,将有助于对信息系统监理的认识。
1988年7月建设部发布了《关于开展建设监理工作的通知》,随后又于1988年11月印发了《关于开展建设监理试点问题的若干意见》,使得试点工作有章可循。1989年,根据初步试点取得的经验,建设部制定了《建设监理试行规定》,这是我国第一个比较完备的关于工程建设监理的法规文件,勾画出具有我国特色的工程建设监理制度的初步框架。1991年又分别制定颁发了《建设监理单位资质管理试行办法》和《监理工程师资格考试及注册试行办法》,建设监理法规制度进一步配套完善。1993年,上海市开始了工程设备监理制度的试点工作。1998年,国务院机构改革后赋予了国家质量技术监督局"协调建立设备工程监理制度"的职能要求,随后,国家质量技术监督局拟定了《协调建立设备工程监理制度的方案》,在国家发展计划委员会的指导和具体参与下,会同国务院有关部门,在国内有关技术及咨询机构的帮助、支持下,完成了设备监理制度中有关规章的起草工作。此间,世界银行、国家开发银行等亦曾规定,其贷款的有关项目要有监理公司监理,并作为申请贷款的项目单位获得贷款的基本条件。由此开始推行建设工程监理制度,监理事业得到持续快速发展,从而积累了一定经验,FROM:及时雨
书山有路勤为径
取得了积极成效。发展至今建立了一套比较完整的监理法规体系,组成了一支规模较大的监理队伍,监理出一批优良的工程项目,监理工作在工程建设中发挥了重要作用,得到了各级领导的支持,得到了社会的普遍认可,正逐步向规范化、制度化、科学化方向迈进。
但同时我国工程监理事业经过十多年的发展,虽然取得了一定成绩,但也存在不少问题。如:监理人员整体素质不高、监理工作缺位、监理取费普遍较低、监理市场竞争机制不健全、监理企业缺乏自我积累和发展能力、监理责任不明确、监理工作缺乏系统的理论研究、宣传工作滞后等问题比较突出。
2、信息系统监理的发展
目前信息系统工程的现状类似于二十世纪八十年代以前建筑工程的状态。自1988年建设部颁布《关于开展建设监理工作的通知》以后,特别是1996年建设监理全面推行后,建筑工程的质量普遍提高,业主和承建商之间的纠纷普遍减少,凡是出问题的工程,监理也有问题。因此,要求参考建筑工程的管理办法对信息工程实施监理的呼声日益高涨,这既是信息工程用户(业主)的愿望,也是系统集成商的愿望,信息工程市场呼唤"第三方"-信息系统工程监理的出现。
早在1995年,原电子工业部就出台了《电子工程建设监理规定(试行)》。1996年,深圳市成立了全国第一家信息工程质量监督机构-信息工程质量监督检验总站。1998年,西安协同软件股份有限公司经西安技术监督局和西安市科委批准,获得"计算机管理信息系统工程监理"资质认证,成为国内第一家获此资格的公司。1999年6月,深圳市政府在国内率先出台了包括实施信息工程监理条款在内的《深圳市信息工程管理办法》,并要求首届我国国际高新技术成果交易会信息网络工程实施监理。2000年7月,深圳市信息化建设委员会办公室制订了《深圳市信息工程建设管理办法实施意见》,要求"市、区、镇人民政府及其所属部门使用财政性资金(包括预算内资金、预算外资金、事业收入等),投资规模在100万元以上的信息工程建设项目必须遵照本实施意见进行立项、招投标、监理、质量监督、验收"。2002年7月,北京市信息化工作办公室制定了《北京市信息系统工程监理管理办法(试行)》,要求"本市推行信息系统工程监理制度,建设单位应当通过协议或者招标的方式优先选择具有相应资质等级的信息系统工程监理单位承担监理业务。各级财政全部补助或者部分补助以及为社会提供公共服务的重大信息化工程项目必须通过招标的方式选择信息系统工程监理单位,实行强制监理。" 2002年11月,国家质量监督检验检疫总局公布《设备监理单位资格管理办法》,在该管理办法的21类设备工程专业中,涉及信息工程的共有三类,即信息网络系统、信息资源开发系统和信息应用系统。最近,在国家信息办和国家标准管理委员会直接领导下,信息化系统监理规范化项目正在加紧制定中,并且是作为电子政务标准化项目的一个子项目而提出的。预计在今年年底,监理规范就要完成,经过试用和修改后,将上升为国家标准。 2002年12月,信息产业部在广泛征求意见和开展试点工作的基础上,正式颁布《信息系统工程监理暂行规定》,这标志着我国信息工程监理开始迈向科学化、专业化和规范化,也预示着在我国即将出现一个新的中介服务行业,将很快涌现一批监理机构和执业人员,从此信息系统工程监理工程师也将逐步成为国民经济和社会FROM:及时雨
书山有路勤为径
信息化的"警察"。
但我国的信息系统工程监理目前仅仅是处在起步阶段,事实上根据对国内信息化应用程度较高的行业部门(如银行、证券、保险、气象、社保、旅游等)和部分大型企业(如华北制药、哈尔滨轴承集团、哈尔滨飞机制造企业、跃进汽车集团、我国石化等)30个样本作为调查对象的调查结果显示,对于大多数企业来说,项目监理是个新概念。只有30%的被调查者表示在某些信息化项目中使用过监理服务。在70%未使用过项目监理的被调查者中,5%表示听说过,95%表示知道建筑工程有监理,但在IT信息化项目中引入监理还是第一次听说。
图1 监理服务内容重要程度(引自胡敏《市场呼唤项目监理》)
目前,我国还没有一套完善的IT项目监理制度,相应的监理法规、监理内容、收费标准等也都没有制定。特别是收费标准问题,大多数用户采用协商解决。以北京城域网项目的监理费为例,其采用了建筑行业的监理服务收费标准(2%-10%),支付的服务费占整个项目资金支出的2%。广大用户也反映,项目监理的标准如何才能做到公正、科学,项目监理的工作流程是否也应该规范,如何界定和权衡监理公司、用户、IT厂商三方利益?监理过程中出了问题,该怎么办?,这一系列问题都需要不断探索。原北京市信息中心主任华平澜表示,只有使监理更加规范化,才能更好地推进监理工作,才能使信息系统的建设更加顺利。事实上,与建筑等其他发展很成熟的行业的监理相比,对IT项目的监理要难得多。并且由于信息技术是一个新兴技术,它本身还在不断发展和完善,因此,即使制定出的监理的内容和标准也不能僵化,需要不断地变更和完善。
(三) 信息系统监理的基本理论
信息系统监理的中心任务是科学地规划和控制工程项目的投资、进度和质量三大目标;监理的基本方法是目标规划、动态控制、组织协调和合同管理;监理FROM:及时雨
书山有路勤为径
工作贯穿规划、设计、实施和验收的全过程。信息工程监理正是通过投资控制、进度控制、质量控制以及合同管理和信息管理来对工程项目进行监督和管理,保证工程的顺利进行和工程质量。
1、成本控制
成本控制的任务,主要是在建设前期进行可行性研究,协助建设单位正确地进行投资决策;在设计阶段对设计方案、设计标准、总概(预)算进行审查;在建设准备阶段协助确定标底和合同造价;在实施阶段审核设计变更,核实已完成的工程量,进行工程进度款签证和索赔控制;在工程竣工阶段审核工程结算。
2、进度控制
进度控制首先要在建设前期通过周密分析研究确定合理的工期目标,并在实施前将工期要求纳入承包合同;在建设实施期通过运筹学、网络计划技术等科学手段,审查、修改实施组织设计和进度计划,做好协调与监督,排除干扰,使单项工程及其分阶段目标工期逐步实现,最终保证项目建设总工期的实现。
3、质量控制
质量控制要贯穿在项目建设从可行性研究、设计、建设准备、实施、竣工、启用及用后维护的全过程。主要包括组织设计方案评比,进行设计方案磋商及图纸审核,控制设计变更;在施工前通过审查承建单位资质等;在施工中通过多种控制手段检查监督标准、规范的贯彻;以及通过阶段验收和竣工验收把好质量关等。
3、合同管理
合同管理是进行投资控制、工期控制和质量控制的手段。因为合同是监理单位站在公正立场采取各种控制、协调与监督措施,履行纠纷调解职责的依据,也是实施三大目标控制的出发点和归宿。
4、信息管理
信息管理包括投资控制管理、设备控制管理、实施管理及软件管理。
5、协调
协调贯穿在整个信息系统工程从设计到实施再到验收的全过程。主要采用现场和会议方式进行协调。
总之,三控两管一协调,构成了监理工作的主要内容。为完满地完成监理基本任务,监理单位首先要协助建设单位确定合理、优化的三大目标,同时要充分估计项目实施过程中可能遇到的风险,进行细致的风险分析与评估,研究防止和FROM:及时雨
书山有路勤为径
排除干扰的措施以及风险补救对策。使三大目标及其实现过程建立在合理水平和科学预测基础之上。其次要将既定目标准确、完整、具体地体现在合同条款中,绝不能有含糊、笼统和有漏洞的表述。最后才是在信息工程建设实施中进行主动的、不间断的、动态的跟踪和纠偏管理。
图2监理内容示意图
FROM:及时雨
书山有路勤为径
(四) 信息系统监理的主要业务和依据
1、信息系统监理的主要业务
信息系统监理的主要业务范围有信息网络系统、信息资源系统、信息应用系统的新建、升级、改造工程。根据国内信息系统监理的实践,其涵盖计算机工程、网络工程、通信工程、结构化布线工程、智能大厦工程、软件工程、系统集成工程以及有关计算机和信息化建设的工程及项目。其业务内容具体如下:
¢ 帮助建设单位做好项目需求分析,协助建设单位选择合适的承建单位;
¢ 审定承建单位的开工报告、系统实施方案、施工进度计划;
¢ 对项目实施的各个阶段进行有效的监督和控制,帮助建设单位控制工程进度、投资和质量;
¢ 审查和处理工程变更;
¢ 参与工程质量和其他事故调查;
¢ 调解建设单位与承包单位的合同争议,处理索赔、审批工程延期;
¢ 组织进行竣工验收测试。
¢ 组织建设单位和承建单位完成工程移交。
2、信息系统监理的依据
信息系统监理的依据如下:
¢ 国务院颁发的《质量振兴纲要》;
¢ 现行国家、各省、市、自治区的有关法律、法规、规定;
¢ 国际、国内IT行业质量标准规范;
¢ 建设单位和承建单位的合同;
¢ 将来还有国家标准,例如《信息化工程监理规范》等。
(五) 信息系统监理的程序
FROM:及时雨
书山有路勤为径
信息系统工程监理的特点是全过程监理,主要包括四个阶段的监理工作:招投标阶段、设计阶段、实施阶段、验收阶段。监理的目标、方法和程序都体现在这四个阶段的监理工作中。
三、 信息系统审计
(一) 信息系统审计概念
信息系统审计是全部审计过程的一个部分,信息系统审计(IS audit)目前还没有固定通用的定义,美国信息系统审计的权威专家Ron Weber将它定义为"收集并评估证据以决定一个计算机系统(信息系统)是否有效做到保护资产、维护数据完整、完成组织目标,同时最经济的使用资源"。
信息系统审计的目的是评估并提供反馈、保证及建议。其关注之处可被分为如下三类:
¢ 可用性--商业高度依赖的信息系统能否在任何需要的时刻提供服务?信息系统是否被完好保护以应对各种的损失和灾难?
¢ 保密性--系统保存的信息是否仅对需要这些信息的人员开放,而不对其他任何人开放?
¢ 完整性--信息系统提供的信息是否始终保持正确、可信、及时?能否防止未授权的对系统数据和软件的修改?
(二) 信息系统审计产生动因及其发展
1、信息系统审计产生动因分析
关于信息系统审计的产生动因,目前国际上存在两种观点:一种观点认为是从会计审计发展到计算机审计再发展到信息系统审计(计算机审计的范围扩展,最后涵盖整个信息系统)演变过来的;另外一种认为由于信息系统尤其是大型信息系统的建设是一项庞大的系统工程,它投资大、周期长、高技术、高风险,在系统的建设过程中,对工程进行严格、规范的管理和控制至关重要。而正是由于信息系统工程所具有的这些特点,建设单位往往由于技术力量有限,无力对项目的技术、设备、进度、质量和风险进行控制,无法保证项目的实施成功。所以需要有第三方进行独立审计。
2、信息系统审计在国际上的发展
信息系统审计的发展是伴随着信息技术的发展而发展的。在数据处理电算化的初期,由于人们对计算机在数据处理中的应用所产生的影响没有足够的认识,认为计算机处理数据准确可靠,不会出现错弊,因而很少对数据处理系统进行审计,主要是对计算机打印出的一部分资料进行传统的手工审计。随着计算机在数据处理系统中应用的逐步扩大,利用计算机犯罪的案件不断出现,使审计人员认FROM:及时雨
书山有路勤为径
识到要应用计算机辅助审计技术对电子数据处理系统本身进行审计,即EDI审计。同时随着社会经济的发展,审计对象、范围越来越大,审计业务也越来越复杂,利用传统的手工方法已不能及时完成审计任务,必须应用计算机辅助审计技术(CAATs)进行审计。八十年代、九十年代信息技术的进一步发展与普及,使得企业越来越依赖信息及产生信息的信息系统。人们开始更多的关注信息系统的安全性、保密性、完整性及其实现企业目标的效率、效果,真正意义的信息系统审计才出现。随着电子商务的全球普及,信息系统的审计对象、范围及内容将逐渐扩大,采用的技术也将日益复杂。到目前为止,信息系统审计在全球来看,还是一个新的业务,从美国五大会计师事务所的数据看1990年拥有信息系统审计师12名到近百名,1995年已有500名,到2000年时,信息系统审计师正以40%--50%的速度增加,说明信息系统审计正逐渐受到重视。
美国在计算机进入实用阶段时就开始提出系统审计(SYSTEM AUDIT),从成立电子数据处理审计协会(EDPAA后更名为ISACA)以来,从事系统审计活动已有三十多年历史,成为信息系统审计的主要推动者,在全球建有一百多个分会,推出了一系列信息系统审计准则、职业道德准则等规范性文件,并开展了大量的理论研究,IT控制的开放式标准COBIT(Control Objectives for Information and Related Technology )已出版了第三版。
3、信息系统审计在国内的发展
目前国内有学者提出计算机审计,电算化审计,但基本上停留在对会计信息系统的审计上,延伸手工会计信息系统审计,尚未全面探讨信息时代给审计业务带来的深刻变化。以我国在1999年颁布了独立审计准则第20号--计算机信息系统环境下的审计为例,其更多关注的是会计信息系统。在信息时代,面对加入WTO后全球一体化市场,我国IT服务业面临巨大的挑战,开展信息系统审计业务不失为推动我国IT服务业发展的一次绝佳机会。
(三) 信息系统审计的理论基础
信息系统审计不仅仅是传统审计业务的简单扩展,信息技术不单影响传统审计人员执行鉴证业务的能力,更重要的是公司和信息系统管理者都认识到信息资产是组织最有价值的资产,和传统资产一样需要控制,组织同时需要审计人员提供对信息资产控制的评价。因此信息系统审计是一门边缘性学科,跨越多学科领域。
如图3所示,信息系统审计是建立在四个理论基础之上的:
¢ 传统审计理论。传统审计理论为信息系统审计提供了丰富的内部控制理论与实践经验,以保证所有交易数据都被正确处理。同时收集并评价证据的方法论也在信息系统审计中广泛应用,最为重要的是传统审计给信息系统审计带来的控制哲学,即用谨慎的眼光审视信息系统在保护资产安全、保证信息完整,并能有效地实现企业目标的能力。
FROM:及时雨
书山有路勤为径
¢ 信息系统管理理论。信息系统管理理论是一门关于如何更好地管理信息系统的开发与运行过程的理论,它的发展提高了系统保护资产安全、保证信息完整,并能有效地实现企业目标的能力。
¢ 行为科学理论。人是信息系统安全最薄弱的环节,信息系统有时会因为人的问题而失败,比如对系统不满的用户故意破坏系统及其控制。因此审计人员必须了解哪些行为因素可能导致系统失败。这方面行为科学特别是组织学理论解释了组织中产生的"人的问题"。
¢ 计算机科学。计算机科学本身的发展也在关注如何保护资产安全、保证信息完整,并能有效地实现企业目标。但是技术是一把双刃剑,计算机科学的发展可以使审计人员降低对系统组件可靠性的关注,信息技术的进步也可能启发犯罪,例如一个重要的问题是信息技术在会计制度中的应用是否给罪犯提供了较多缓冲时间?如果是,那么今天网络犯罪产生的社会威胁较以往任何时候都要大。
(四) 信息系统审计的基本业务和依据
1、信息系统审计的基本业务
信息系统审计业务将随着信息技术的发展而发展,为满足信息使用者不断变化的需要而增加新的服务内容,目前其基本业务如下:
¢ 系统开发审计,包括开发过程的审计、开发方法的审计,为IT规划指导委员会及变革控制委员会提供咨询服务;
¢ 主要数据中心、网络、通讯设施的结构审计,包括财务系统和非财务系统的应用审计;
¢ 支持其他审计人员的工作,为财务审计人员与经营审计人员提供技术支持和培训;
FROM:及时雨
书山有路勤为径
¢ 为组织提供增值服务,为管理信息系统人员提供技术、控制与安全指导;推动风险自评估程序的执行;
¢ 软件及硬件供应商及外包服务商提供的方案、产品及服务质量是否与合同相符审计;
¢ 灾难恢复和业务持续计划审计;
¢ 对系统运营效能、投资回报率及应用开发测试审计;
¢ 系统的安全审计;
¢ 网站的信誉审计;
¢ 全面控制审计等。
一个信息系统不等同于一台计算机。今天的信息系统是复杂的,由多个部分组成以做出商业解决方案。只有各个组成部分通过了评估,判定安全,才能保证整个信息系统的正常工作。对一个信息系统审计的主要组成部分分成以下几类:
¢ 信息系统的管理、规划与组织--评价信息系统的管理、计划与组织方面的策略、政策、标准、程序和相关实务。
¢ 信息系统技术基础设施与操作实务--评价组织在技术与操作基础设施的管理和实施方面的有效性及效率,以确保其充分支持组织的商业目标.
¢ 资产的保护--对逻辑、环境与信息技术基础设施的安全性进行评价,确保其能支持组织保护信息资产的需要, 防止信息资产在未经授权的情况下被使用、披露、修改、损坏或丢失。
¢ 灾难恢复与业务持续计划--这些计划是在发生灾难时,能够使组织持续进行业务,对这种计划的建立和维护流程需要进行评价。
¢ 应用系统开发、获得、实施与维护--对应用系统的开发、获得、实施与维护方面所采用的方法和流程进行评价,以确保其满足组织的业务目标。
¢ 业务流程评价与风险管理--评估业务系统与处理流程,确保根据组织的业务目标对相应风险实施管理。
2、信息系统审计的依据
信息系统审计师须了解规划、执行及完成审计工作的步骤与技术,并尽量遵守国际信息系统审计与控制协会的一般公认信息系统审计准则、控制目标和其他法律与规定。
¢ 一般公认信息系统审计准则--包括职业准则、ISACA公告和职业道德规范。职业准则可归类为:审计规章、独立性、职业道德及规范、专业能力、规划、审计工作的执行、报告、期后审计。ISACA公告是信息系统审计与控制协会对信息系统审计一般准则所做的说明。ISACA职业道德及规范提供针对协会会员或信FROM:及时雨
书山有路勤为径
息系统审计认证(CISA)持有者有关职业上及个人的指导规范。
¢ 信息系统的控制目标--信息系统审计与控制协会在1996年公布的COBIT(Control Objectives for Information and related Technology)被国际上公认是最先进、最权威的安全与信息技术管理和控制的标准,目前已经更新至第三版。它在商业风险、控制需要和技术问题之间架起了一座桥梁,以满足管理的多方面需要。面向业务是COBIT的主题。它不仅设计用于用户和审计师,而且更重要的是可用于全面指导管理者与业务过程的所有者。商业实践中越来越多的包含了对业务过程所有者的全面授权,因此他们承担着业务过程所有方面的全部责任。特别的是,这其中包含着要提供足够的控制。Cobit 框架为业务过程所有者提供了一个工具,以方便他们承担责任。其框架包括四大部分:架构、控制目标、审计指南及执行概要。COBIT架构着重各项处理的高层次控制,控制目标则着重于各项IT处理或对该架构所包括的34项IT处理的特定详细控制目标,每一项IT处理都有5至25个详细控制目标,控制目标使整体架构和详细控制目标密切对应,相互一致。详细控制目标有18种主要来源,涵盖现行的及法定有关IT的国际性准则与规定。这包括对各项IT工作所建置的控制程序拟达到的预期结果或目标的叙述,以提供全球所有的产业有关IT控制的明确方针及实际最佳的应用。
¢ 其他法律及规定。每个组织不论规模大小或属于何种产业,都需要遵守政府或外部对与电脑系统运作、控制,及电脑、程序、信息的使用情况等有关的规定或要求,对于一向受严格管制的行业,尤其要注意遵守。以国际性银行为例,若因不良备份及复原程序而无法提供适当的服务水准,其公司及员工将受严重处罚。此外,由于对EDP及信息系统的依赖性加重,许多国家极力建立更多有关信息系统审计的规定。这些规定内容是关于建置、组织、责任与财务及业务操作审计功能的关联性。有关的管理阶层人员必须考虑与组织目标、计划及与信息服务部门/职能/工作的责任及工作等有关的外部规定或要求。
(五) 信息系统审计流程
开始审计工作的准备包括收集背景信息,估计完成审计需要的资源和技巧。包括合理进行人员分工。与负责的高级经理举行一次正式的开始审计会议,最后决定范围,理解特别关注之处,如果有的话,制定日程,解释审计方法。这样的会议有高级经理的参与,使人们互相认识,阐明问题强调商业关注点,使得审计工作得以顺利进行。类似的,在审计完成后,也召开一次正式会议,向高级经理交流审计结果,提出改进建议。这将确保进一步的理解,增加审计建议的接纳程度。也给了被审计者一个机会来表达他们对提出问题的观点。会议之后书写报告,可以大大增加审计的效果。
FROM:及时雨
书山有路勤为径
(六) 基于风险的审计方法
很多组织意识到技术能带来的潜在好处。然而,成功的组织还能够理解和管理好与采用新技术相关的很多风险。因此,审计从基于控制(Control-Based)演变为基于风险(Risk-Based)的方法,其内涵包括企业风险、确定风险、风险评估、风险管理、风险沟通。
每个组织使用许多信息系统。对不同功能和活动有不同的应用软件,在不同的地理区域可能有众多的计算机配置。审计者面临的问题是审计什么,什么时候及审计频率。其答案是接纳基于风险的方法。信息系统有着与生俱来的风险,这些风险用不同方式冲击信息系统。对繁忙的零售超市,信息系统哪怕一个小时的不可用都会对营业系统造成严重影响。未授权的修改可能造成对在线银行系统的欺诈及潜在损失。系统运行的技术环境也可能影响系统的运行风险。
基于风险方法来进行审计的步骤是:
¢ 编制组织使用的信息系统清单并对其进行分类。
FROM:及时雨
书山有路勤为径
¢ 决定哪些系统影响关键功能和资产。
¢ 评估哪些风险影响这些系统及对商业运做的冲击。
¢ 在上述评估的基础上对系统分级,决定审计优先值,资源,进度和频率。审计者可以制定审计计划,罗列出一年之中要进行的审计项目。
四、 信息系统监理与信息系统审计之对比分析
从前面两部分的介绍可知,信息系统审计在国际上已经体系化、标准化、程序化,而我国信息系统监理仅有最基本的轮廓,积累了一些经验,但尚没有形成完整的方法论。因此,目前只能从概念、发展动因等方面做较为宽泛的对比。不过,对比国际通用体系,可为我国发展信息系统监管体系以及制定相应的管理制度或实施细则提供借鉴。
信息系统监理与信息系统审计之对比,可归纳出以下特点:
(一) 两者性质相同,都是第三方监督,但对独立性的要求有差别
两者都是立足在第三方的立场,公平对待委托方与被监督方,并要求确保公正性、公平性,以《北京市信息系统工程监理管理办法》为例,其第十四条是"信息系统工程监理单位应当客观、公平、公正地执行监理任务",但是对这一行业赖以存在并得以发展的信条和灵魂--独立性没做明确要求。而信息系统审计对第三方的超然独立要求极其严格,也因此在保证客观、公正上更有可操作性。
客观公正应当是每个信息系统审计师和监理工程师职业道德方面追求的最高目标,但是人们很难衡量其在执行业务时是否已经达到了客观公正,如果只作精神上的要求,那么准则和要求将变成牧师的布道,职业人员很难执行,社会公众很难观察,所以信息系统审计准则中有关于审计师独立性的要求。有关独立性问题的系统研究当首推罗伯特.K.莫茨(R.K.Mautz)和侯赛因.A.夏拉夫(H.A.sharaf)1961年出版的《审计哲学》(The philosophy of Auditing)。其中对独立性的讨论包含了两个方面:执业者的独立性(Practitioner-independence)和职业的独立性(Profession-independence)。前者包括审计计划的独立性、审计过程的独立性和审计报告的独立性;后者则是指社会公众对注册会计师行业的一种印象。曾任美国注册会计师协会职业道德委员会主席的托马斯.G.希金斯(Thomas G Higgins)在1962年对独立性的概念又进行了进一步的提升与概括,他认为:"注册会计师必须拥有的独立性,实际上有两种,实质上的独立性和形式上的独立性"。所谓形式上的独立性,是指注册会计师必须与被审查企业或个人没有任何特殊的利益关系,如不得拥有被审查企业股权或担任其高级职务,不能是企业的主要贷款人、资产受托人或与管理当局有亲属关系,等等。否则,就会影响注册会计师公正地执行业务。形式上的独立性又可进一步分为组织上的独立性、经济上的独立性与人员上的独立性三种。所谓实质上的独立性,又称为精神独立性,即认为独立性是一种精神状态、一种自信心以及在判断时不依赖和屈从于外界的压力和影响。它要求注册会计师在执业过程中严格保持超然性,不能主观袒护任何一方当事人,尤其不应使自己的结论依附或屈从于持反对意见利益集团或人士的影响和压力。由上可知,实质上的独立性是无形的,通常是难以观察和度量的,而形式上的独立性则是有形的和可以观察的。社会公众通常是透过FROM:及时雨
书山有路勤为径
注册会计师形式上的独立性来推测其实质上的独立性。因此,从这个意义上来说,形式上的独立性是实质上的独立性的载体和重要前提。由此可见,形式上独立很重要,因为它很好界定,便于准则规范,在现实环境中有很好的可执行性。因此我们认为,信息系统监理行业如果不能在独立性的制度建设上取得重大突破,整个行业的社会信任度大打折扣,而诚信和道德水准的提升对制度缺陷的修正也会很难在实质上取得成效。信息系统监理行业发展中所面临的各种问题都很重要,但围绕信息系统监理职业独立性的建设可能是各项工作中的重中之重。(本文对注册会计师的讨论同样适用于信息系统审计师)。
(二) 国外信息系统审计已经发展为较完善的行业监督体系
目前国内信息系统审计刚刚起步,而信息工程监理还不够规范。国家缺乏相应的法律、法规和标准,至今还没有有效的管理手段,在委托方和被委托方之间也没有一种协调的机制来建立两者之间的信任。并且我国行业不规范的责任往往被轻易地归咎于政府监管的不力;同样轻易得到的结论,是因此要"加强监管机构的权力和范围"。美国的会计行业规范不是这么一种逻辑。在规范行业行为中,政府监管是一个重要的辅助措施;而真正起决定性作用的,是市场中的制衡力量,以及为这些制衡力量切实发挥作用而形成的各种正式或非正式的制度安排。
美国注册会计师行业的管理机制--行业自我管理和外部约束向结合发挥了重要作用。行业自我管理是通过行业组织、准则和规则、监督来实现的,行业外部约束通过政府组织、准则和规则、监督和实施来实现。如美国国会和SEC监管下的行业自律。外部监管以加强管制的可能性来对行业施加约束。而较强的行政管制,将在很大程度上限制会计行业自主发展的权利和业务拓展空间,损害所有从业者的利益,因此行业总体上需要以行业自律来换取行业自我管制。如果行业不能自律,公众要求国会加强行政管制的压力使得这种可能性现实存在。
(三) 两者业务范围和目的均有所差别
信息系统工程监理和信息系统审计都是对质量控制的再控制,但两者业务范围和目的均有所差别。
1、两者业务范围差别
信息系统工程监理是指具有信息系统工程监理资质的单位,接受建设单位的委托,依据国家和本市有关规定、信息系统工程建设标准和工程承建、监理合同,对信息系统工程的质量、进度和投资方面实施监督。目前主要应用在信息化工程建设阶段。
信息系统审计是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。它是立足于组织的战略目标,为有效的实现组织战略目标而采取的一切活动过程都在审计师的业务之内。其业务范围包括与信息系统有关的所有领域,例如信息系统安全审计、网誉审计、PKI/CA审计、电子签名审计业务等。
FROM:及时雨
书山有路勤为径
2、两者目的差别
信息系统工程监理的目的是保证工程建设质量、进度和投资额满足建设要求。监理活动随着工程的完成而结束。信息系统审计的目的是合理保证信息系统能够保护资产的安全、数据的完整、系统有效地实现组织目标并有效率的利用组织资源,其核心是信息系统的效率、效果。不仅包括对建设过程的审计,更重要的是对信息系统的运营审计,向公众出具审计报告,鉴证信息系统能否保护企业资产安全,其产生、传递的信息是否完整,整个系统是否有效地实现组织目标并有效率的利用组织资源。只要信息系统在运行,审计活动一直存在。
| 另外,信息系统工程监理的过程是可见的,即对项目成本、进度和质量与目标出现的偏差是可见的,及时纠正也方便。但信息系统审计对信息系统的安全性、可靠性与有效性的认定具有不可见性,这也正是信息系统比工程项目复杂的主要原因。信息系统建设完毕,这仅仅是信息化的开始,大量的问题将出现在信息系统运维阶段,因此,从这个角度而言,信息系统审计是保证信息系统质量的行之有效的方法。
(四) 信息系统审计与方法研究具有科学化、规范化、智能化和系统化的特点
所谓科学化,是指现代审计技术与方法的研究,已经超越了传统的经验论,非常强调把科学手段和经验总结相结合。比较典型的例子就是分析性复核技术的发展。所谓分析性复核,其实质就是将审计人员掌握的一些客观规律总结出来,测算出被审计事项的合理预期值,再与被审计事项的实际值相比较,进一步评估差异的合理性之后,确定是否还需要对被审计事项进行详细测试。这一个过程,实际上被许多审计人员不自觉地运用了多年,但通过公式和比率等形式总结出来,主动指导审计人员的实践,却是最近20年来审计技术与方法研究的一大突出特点。科学化的另一个表现就是数学和统计学技术在审计中的运用日益广泛,抽样统计技术的全面推广就是例证。
所谓规范化,是指审计机构将审计程序设计与审计技术方法的运用有机结合,规范和引导审计人员运用适当的审计技术和方法。以往,审计人员在运用审计技术和方法的过程中容易有较大的随意性,用与不用,在什么时候用,如何使用,都没有规范和约束,导致整个审计机构的标准不统一,质量没有保证。随着程序导向式审计软件平台的开发和广泛运用,越来越多的审计机构开始把审计技术与方法融入到规范的审计程序之中,要求并指导审计人员合理运用审计技术。
所谓智能化,强调的就是将历史经验总结、科学规律推导和审计人员的专业判断结合起来,指导审计人员得出合理的审计结论。在审计过程中,数学、统计学的分析结果,都不能完全替代审计人员的专业判断,因为在其利用的数学公式中,仍然有许多变量需要审计人员主观确定。在这种情况下,越来越多的审计机构,倾向于在审计软件中为审计人员的决策提供参考。目前,许多审计机构不惜花巨资,邀请审计领域的专家,分析在各种情况下常见的审计策略或方法以及对FROM:及时雨
书山有路勤为径
不同审计结果的判断标准。当然,对审计而言,智能化永远都是一个相对的概念,电脑和机器永远不能替代审计人员的决策,但提供决策辅助和参考意见,确实非常必要。
所谓系统化,是指审计战略(策略)和审计技术方法的全面协调。审计战略(策略)解决的是要审什么、想达到什么目的,审计技术和方法解决的是怎么审和怎么达到目的,这两者的协调是审计技术与方法的研究成果得以全面运用的关键。回顾最近20多年来审计技术与方法的研究历程,可以清晰地发现,审计技术的研究和运用完全是在风险基础审计理论指导下的开拓和发展,而脱离理论指导的实践经验总结相对越来越少。这一点给我们的启示在于,审计技术与方法的研究,不能超越基本审计理论和审计目标的研究,也不能脱离审计战略和审计目标的总体要求。
(五) 信息系统审计具有较完善的职业教育和认证体系
国际信息系统审计与控制协会ISACA(Information System Audit and Control Association)是唯一有权授予国际信息系统审计师资格的跨国界、跨行业专业机构,该协会成立于1969年,总部在美国的芝加哥。目前在世界上100多个国家设有160多个分会,现有会员两万多人。注册信息系统审计师CISA(Certified Information System Auditor)资格由ISACA授予,是信息系统审计领域的唯一职业资格,受到全世界的广泛认可。由于信息技术的国际性,国际信息系统审计师资格在世界任何一个国家的使用都不会受到任何制约。自1978年以来,国际信息系统审计师CISA认证已经成为在信息系统审计、控制与安全专业领域中取得成绩的标准,并得到了全世界的公认。在世界各地,每年都要举行一次认证考试和若干次后续教育,目前在我国香港、台湾、北京、上海、广州、深圳设有考点。经过认证的信息系统审计师最擅长鉴别信息系统的有效性,最安全和最稳定的系统不一定是最有效的系统,而效率不高的系统就会消耗企业大量的资源,信息系统审计师的优势就是对财经管理和信息技术融会贯通,为企业信息系统的改造提供建议。
鉴于信息安全市场的高速增长,最近国际信息系统审计与控制协会又迅速推出了信息安全管理师认证CISM,以配合市场对安全人才的巨大需求。
五、对信息系统监理的建议
目前,我国的信息系统监理业巨大的发展空间吸引着越来越多的国际咨询公司和专业服务提供商抢滩我国市场。据不完全统计,目前在我国的海外咨询足有百余家。随着摩立特集团(我国)公司日前在北京成立,国际上最著名的咨询公司如麦肯锡、科尔尼、埃森哲、BCG、PWC、罗兰贝格、德勤等皆已在我国登陆,给国内的咨询包括监理机构带来了巨大的压力,其丰富的案例库、数据库、知识库,数十甚至百年创下的品牌,短时期内本土咨询业与其的差距依然较大。
面对机遇和挑战,如何借鉴国际上先进的经验,推动我国信息系统监理的健康发展,避免其他中介服务行业曾走过的弯路,我们在广泛的理论分析和实证研FROM:及时雨
书山有路勤为径
究的基础上提出如下具体建议:
(一) 建立健全的管理体制与法律法规体系,尽快形成统
一、规范、竞争、有序的信息系统工程监理服务市场。各级信息化主管部门,在规范政府管理职能的同时(政府部门要避免管的过多、过细,应过多关注整个监理市场的宏观管理和调控),注重加强行业自律管理,避免其他中介服务行业曾出现过的多种问题。例如,个别人凭借权利强行包揽监理业务,采取高回扣等不正当手段,以及为独揽业务,不惜损害其他方和当事人的权益等。
(二) 鉴于信息系统工程监理具有专业性强和风险大的特点,建议把执业队伍的业务素质和职业道德素质的提高作为一项重要工作常抓不懈,使信息系统工程监理工程师真正成为国民经济和社会信息化的"警察"。
(三) 尽快建立信息系统工程监理的标准和执业规范。
(四) 推动信息系统工程监理工业的分化整合,探索信息系统工程监理公司扩大规模的方式和途径。在我国加入WTO的新形势下,面对国际IT服务咨询业巨头的竞争,我国信息系统工程监理行业刚起步,监理公司如何脱颖而出、迅速成长,参与国内甚至国际信息系统中介服务市场的竞争,将是重中之重的工作。
(五) 开展信息系统工程监理公司内部管理机制研究。
(六) 努力提高信息系统工程监理行业的监理质量,具体需要落实以下方面。
1. 执业程序要统一。"四大"发展到今天这样的规模,执业程序的统一是其基石。这些程序历经多年的经验积累而形成,并针对新出现的问题随时加以完善。从某种意义上将,客户对"四大"的统一的执业程序的认同,超过了对其名称品牌的认同。
2. 培训统一。为保证执业程序的统一,首先要做到培训统一。信息系统监理工程师在开始执业前要经过严格的培训,定期培训当然更不可少。建议信息系统监理公司设立专门的培训部门,并将每年收入相当大的比重用于培训。另外,严格、规范的培训也是监理公司能够吸引众多高素质从业人员的一个重要因素。
3. 人事管理在一定范围内统一。建议将监理工程师的级别进行细分,并且不要出现一个地方的人员比另外一个地方同一级别的人员水平明显高的情况。这种管理方式,对于监理机构来说非常重要。
总之,我国信息系统监理事业发展几年来,虽然取得了一定成绩,但在思想认识、理论研究、管理体制、法规建设及实际操作中仍存在诸多问题,监理企业面临前所未有的严峻挑战。但是机遇与挑战同在,我国本土的咨询和监理企业最FROM:及时雨
书山有路勤为径
了解我国的国情环境。我们要充分利用这一优势,发挥自身的能动力量,积极参与竞争,加强与国际同行的合作交流,借鉴国际咨询机构和专业服务提供商
FROM:及时雨
注:本文为网友上传,旨在传播知识,不代表本站观点,与本站立场无关。若有侵权等问题请及时与本网联系,我们将在第一时间删除处理。E-MAIL:iwenmi@163.com。举报文章
