前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的信息安全整改方案主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：信息安全整改方案范文

一、工作目標

依據國家信息安全等級保護制度，遵循相關標準規范，在衛生行業全面開展信息安全等級保護定級備案、建設整改和等級測評等工作，明確信息安全保障重點，落實信息安全責任，建立信息安全等級保護工作長效機制，切實提高衛生行業信息安全防護能力、隱患發現能力、應急處置能力，為衛生信息化健康發展提供可靠保障，全面維護公共利益、社會秩序和國家安全。

二、工作原則

（一）遵循標準，重點保護。遵循國家信息安全等級保護相關標準規范，結合衛生行業信息系統特點，優先保護重要衛生信息系統，優先滿足重點信息安全需求。

（二）行業指導，屬地管理。衛生行業信息安全等級保護工作實行行業指導、屬地管理。地方各級衛生行政部門要按照國家信息安全等級保護制度有關要求，做好本地區衛生信息系統安全等級保護的指導和管理工作。衛生行業各單位要按照“誰主管、誰負責，誰運營、誰負責”的要求，落實信息安全責任。

（三）同步建設，動態完善。在信息系統規劃設計與建設過程中，同步開展信息安全等級保護工作。因信息和信息系統的業務類型、應用范圍等條件改變導致安全需求發生變化時，應當重新調整信息系統安全保護等級，及時完善安全保障措施。

三、工作機制

地方各級衛生行政部門承擔本地衛生信息安全責任，信息化工作領導小組統籌組織本地衛生信息安全等級保護工作。衛生部信息化工作領導小組負責對全國衛生行業信息安全等級保護工作的組織協調、監督指導，并組織開展部機關信息安全等級保護工作。省級、地市級衛生行政部門信息化工作領導小組負責對本地區衛生行業信息安全等級保護工作的組織協調、監督指導，并組織開展本單位信息安全等級保護工作。

衛生部建立信息安全等級保護工作聯絡員機制，各省級衛生行政部門應當設置信息安全等級保護工作聯絡員。聯絡員職責是落實國家信息安全等級保護工作的有關政策和技術標準，掌握本地區信息安全等級保護工作動態和總體情況，代表本地區與衛生部及同級信息安全等級保護管理部門進行日常聯系和交流，協調落實本地區信息安全等級保護工作。

衛生部和各省級衛生行政部門應當分別建立信息安全技術專家委員會，參與信息系統定級指導、備案審查、方案論證、安全咨詢、安全檢查等技術工作。信息安全技術專家委員會應當包含衛生行業、公安機關及信息安全技術等專家。

四、工作任務

（一）定級備案。

1．衛生行業各單位應當對本單位建設與運營的衛生信息系統進行自查，對未定級、定級不準的信息系統,應當按照《信息安全技術信息系統安全等級保護定級指南》開展定級工作。

國家信息安全等級保護制度將信息安全保護等級分為五級：第一級為自主保護級，第二級為指導保護級，第三級為監督保護級，第四級為強制保護級，第五級為專控保護級。以下重要衛生信息系統安全保護等級原則上不低于第三級：

（1）衛生統計網絡直報系統、傳染性疾病報告系統、衛生監督信息報告系統、突發公共衛生事件應急指揮信息系統等跨省全國聯網運行的信息系統；

（2）國家、省、地市三級衛生信息平臺，新農合、衛生監督、婦幼保健等國家級數據中心；

（3）三級甲等醫院的核心業務信息系統；

（4）衛生部網站系統；

（5）其他經過信息安全技術專家委員會評定為第三級以上（含第三級）的信息系統。

2.擬定為第三級以上（含第三級）的衛生信息系統，應當經信息安全技術專家委員會論證、評審。

3.衛生行業各單位在確定信息系統安全保護等級后，對第二級以上（含第二級）信息系統，應當報屬地公安機關及衛生行政部門備案?？缡∪珖摼W運行并由衛生部定級的信息系統，由衛生部報公安部備案；在各地運行、應用的分支系統，應當報屬地公安機關備案。

（二）建設與整改。

1.對已確定安全保護等級的第二級以上（含第二級）衛生信息系統，應當按照國家信息安全等級保護工作規范和《信息安全技術信息系統安全等級保護基本要求》等國家標準，開展安全保護現狀分析，查找安全隱患及與國家信息安全等級保護標準之間的差距，確定安全需求。

2.根據信息系統安全保護現狀分析結果，按照《信息安全技術信息系統安全等級保護基本要求》、《信息安全技術信息系統等級保護安全設計技術要求》等國家標準，制訂信息系統安全等級保護建設整改方案。第三級以上（含第三級）衛生信息系統安全建設整改方案應當經信息安全技術專家委員會論證。

3.衛生行業各單位應當按照信息系統安全建設整改方案，完善安全保護設施，建立安全管理制度，落實安全管理措施，形成信息安全技術防護體系和信息安全管理體系，有效保障衛生信息系統安全。

（三）等級測評。

1.系統建設整改工作完成后，應當按照《信息安全等級保護管理辦法》要求，從全國信息安全等級保護測評機構推薦目錄中選擇等級測評機構，對第三級以上（含第三級）衛生信息系統進行等級測評。

2.測評合格后，應當將測評報告報屬地公安機關及衛生行政部門備案。

3.應當每年對第三級以上（含第三級）衛生信息系統進行等級測評。對于重要部門的第二級信息系統，可參照上述要求進行等級測評。

（四）宣傳培訓。

1.各級衛生行政部門信息化工作領導小組應當對本地區各級各類醫療衛生機構開展等級保護政策和標準規范培訓，提高各單位信息安全管理人員的技術能力和管理水平。

2.衛生行業各單位應當開展內部信息安全培訓，提升全員信息安全意識，規范信息安全操作行為，提高信息安全保障能力。

（五）監督檢查。

1.衛生部信息化工作領導小組負責督導檢查各地醫療衛生機構信息安全等級保護工作落實情況，并督促部機關重要信息系統責任單位開展信息安全等級保護工作。

2.省級衛生行政部門信息化工作領導小組負責督導檢查本地區衛生行業各單位信息安全等級保護工作落實情況，并督促本單位開展信息安全等級保護工作。

3.省級衛生行政部門信息化工作領導小組應當于每年年底，向衛生部信息化工作領導小組報送本地區信息系統定級備案、建設整改、等級測評和自查等工作開展情況。

五、工作要求

（一）高度重視，加強領導。衛生行業各單位要高度重視，充分認識信息安全等級保護工作對保護居民健康信息安全、醫療衛生機構正常運轉和社會穩定的重要意義。各單位主要負責同志要負總責，分管負責同志要具體抓，明確職責與任務，突出重點，將信息安全等級保護工作列入重要議事日程和工作績效考核指標，一級抓一級，層層抓落實。

第2篇：信息安全整改方案范文

【關鍵字】 桌面終端 補丁 準入管理 綜合網管

防患于未然――這是一句古話。這句話用在信息網絡安全中最能體會。

隨著信息化建設的逐步深入，網絡結構日趨復雜，信息系統趨于多元化，信息安全面臨許多問題，如內外網安全、主機安全、應用系統安全、物理環境安全、桌面終端安全成為信息化建設的重中之重。桌面終端任意接入，安全策略得不到統一和有效控制，對資產信息采集統計與遠程監控手段不足，用戶行為難以控制，存在引發信息安全事件的風險，終端維護成本較高等問題制約和影響著信息化健康持續發展?？茖W、合理的構建和完善信息安全防護體系成為解決信息安全的有效途徑。

如何將信息安全隱患降到最低，如何抵御病毒、黑客的入侵，如何安心使用網絡這都是在信息行業中醒目的問題。

桌面安全管理系統是一個完全集成的模塊化桌面管理解決方案，可以管理企業所有Windows平臺設備。涵蓋了策略管理中心、設備管理、遠程協助、移動存儲介質管理等模塊，對信息網絡安全起到了重要的作用。

設備和資產管理

隨著公司企業的發展，IT產業也在不斷擴展，終端設備增加了不少。作為IT管理員，要將不同配置，位置分散的PC機等相關設備進行統一管理，把設備臺帳做好做細是件比較費時的事情。

在桌面管理系統里，每新增一臺終端設備，不管是PC機還是其他辦公設備等，只要設有IP地址，分配了部門，在終端上注冊了桌面管理系統，都能在桌面安全管理系統內監測到。并且終端機的詳細參數配置、進程、安裝軟件等都能一目了然，這對設備資產管理有很大的幫助。

遠程協助和成本控制管理

桌面管理系統內的遠程協助，可以幫助網絡管理員遠程運維電腦終端，這樣不僅降低了故障響應時間也提升信息運維人員的工作效率，還可通過系統內的點對點控制，遠程取得計算機的安裝程序，應用進程，系統版本等關鍵資料和使用狀況。

遠程控制使工程師在任何內網接入的工作場所就能對任何出現的故障做出迅速的反應并處理問題。這方面大大節約了工作人員的時間，降低了運維成本。

桌面管理系統補丁管理

桌面終端管理系統重要的補丁下發功能可為公司內網終端自動下發并安裝最新的系統補丁，使系統保持最安全的運行方式，可以根據各種計劃任務，或者根據批處理策略統一下發下載補丁。當系統監測到有終端未安裝補丁時，可對缺少的補丁進行重新下發。并能夠對補丁下載及安裝的情況進行查詢，避免因病毒侵襲及應用系統漏洞而導致損失。

違規外聯準入管理

針對違規外聯進行全面整改，不僅出臺了公司違規外聯事件整改方案，而且在管理上加強力度。一是做到定期病毒及安全使用公告，禁止手機聯入內網充電；二是定期開展信息安全知識教育培訓，將違規外聯原理、違規外聯的嚴重性、可能發生違規外聯情況公示；三是全網粘貼內網計算機標簽標識，杜絕違規外聯誤操作。四是違規外聯堅決執行公司的規定，懲治力度決不放松。

防非法外聯系統在終端連接內網前，通過安裝準入系統認證客戶端對計算機進行健康狀況檢查，是否安裝防病毒軟件，是否安裝桌面管理系統，對不滿足安全要求的終端禁止分配內網合法IP地址，當用戶完成入網的要求后，準入系統會自動識別系統狀態并分配合法的內網IP地址，完整用戶終端的準入流程，并通過桌面管理系統下發防違規外聯IP策略，進一步控制非法外聯的發生。

移動存儲介質管理

移動存儲的隨意接入網絡或者丟失出現信息數據泄密的都對信息安全造成很大威脅。桌面管理系統內的移動存儲管理可大大提高移動存儲的安全性。通過桌面終端管理系統能夠安全的進行移動存儲的管理，防止信息泄密事件的發生，杜絕因移動存儲介質泄密對內網安全的威脅。

雙數據區交互使用：專用U盤支持交換區和保密區。交換區在分配相同桌面標簽的計算機上支持口令登錄使用；保密區在分配相同桌面標簽的計算機上受限制使用，在不同標簽的計算機上無法使用，插入即會報警。

綜合以上幾個模塊的功能，作為管理員能充分體會桌面管理系統在信息網絡安全中的起到的強大作用。

參 考 文 獻

[1]徐沛沛.統一桌面管理系統建設分析與研究 電力信息化 2012（10）

第3篇：信息安全整改方案范文

【 關鍵詞 】 信息安全；等級保護；定性分析；定量分析

【 Abstract 】 Classified protection of information system has been a strong way to protect the important IT system. The current determination of level exist some flaws， such as lack of feasible method to judge the level and quantity analysis. This paper proposes a scheme which composed of both qualitative and quantitative analysis. By taking this scheme， the accuracy of classified protection of information system could be promoted.

【 Keywords 】 information security； classified protection； qualitative analysis； quantitative analysis

1 引言

按照國家相關法律和國家標準，一些重要行業、重要單位需要根據信息系統在國家安全、經濟建設、社會生活中的重要程度，信息系統遭到破壞后對國家安全、社會秩序、公共利益以及公民法人和其他組織的合法權益的危害程度等因素，對重要的信息系統確定其應該達到的安全保護等級（分為五個級別），信息系統安全保護能力隨著其被確定的安全保護等級的增高，逐漸增強。在對信息系統進行定級、采取安全防衛措施后，還需要確認該系統是否已經達到相應的保護等級及在未達到的情況下給出整改方案。

按照《中華人民共和國計算機信息系統安全保護條例》、《計算機信息系統安全保護等級劃分準則》等法規和標準，信息系統的安全等級保護流程分為：確定等級、安全建設、等級測評、安全整改、安全檢查等五個步驟。

2 定級流程

現有方法在定級流程的第二和第三步，即評定定級對象的業務信息安全保護等級和系統服務安全保護等級時，國家標準GB 17859-1999《信息系統安全保護等級定級指南》中建議各行業可根據本行業信息特點和系統服務特點，制定客體被侵害程度的綜合評定方法。但現實中缺乏一套通用的準則和方法，因此在評價客體被侵害程度時受到人為因素的影響程度較大，定級過程中人員的主觀性強，對定級結果產生不利影響，如果定級不夠準確，則將影響該信息系統的后續防護工作，即不能實施與國家標準中匹配的防護強度，給防護帶來較大的安全隱患。

本文主要針對現有定級工作定級缺乏可行的準則，定級結果主觀成分大，定量不足的缺點，提出一種定性與定量結合的定級方法，提高信息系統的安全保護等級的定級準確性，從而安全建設環節根據定級結果做好重要信息系統的安全防護。

2.1 確定定級對象和受侵害的客體

為了體現重要部分重點保護，有效控制信息安全建設成本，優化信息安全資源配置的等級保護原則，將較大的信息系統劃分為若干個較小的、可能具有不同安全保護等級的定級對象。定級對象受到破壞時所侵害的客體包括國家安全、社會秩序、公眾利益以及公民、法人和其他組織的合法權益。

2.3 確定對客體的侵害程度

（1）侵害的客觀方面。由于業務信息安全和系統服務安全受到破壞所侵害的客體和對客體的侵害程度可能會有所不同，在定級過程中，需要分別處理這兩種危害方式。（2）綜合判定侵害程度。國家標準GB 17859-1999《信息系統安全保護等級定級指南》種，將不同危害后果的三種危害程度描述：一般損害、嚴重損害、特別嚴重損害。

2.4 確定定級對象的安全保護等級

根據業務信息安全被破壞時所侵害的客體以及對相應客體的侵害程度，依據業務信息安全保護等級矩陣表，即可得到業務信息安全保護等級。根據系統服務安全被破壞時所侵害的客體以及對相應客體的侵害程度，依據系統服務安全保護等級矩陣表，即可得到系統服務安全保護等級。作為定級對象的信息系統的安全保護等級由業務信息安全保護等級和系統服務安全保護等級的較高者決定。

3 基于層次分析法的定級

本文采用層次分析法來進客體被侵害程度的定量確定。

3.1 建立層次分析模型

建立層次分析模型的過程：首先建立最高層（解決問題的目的）；中間層（實現總目標而采取的各種措施、必須考慮的準則等，也可稱策略層、約束層、準則層等）；以電信業務這一客體被侵害時受到影響必須考慮的因素為例，通常需要考察電信業務的覆蓋區域（面積）、該電信業務覆蓋范圍內的用戶人數、區域內業務量（一定時間周期內的用戶撥打和接聽電話的時間長度）三個指標，需要說明的是，電信業務客體受到侵害需要考慮的不止以上提到的三個因素，在實踐中，還可以考慮其他因素。

最低層（用于解決問題的各種措施、方案等，也稱為方案層）。備選的方案為國家標準GB 17859-1999《信息系統安全保護等級定級指南》中確定的五個等級，分別是第一級、第二級、第三級、第四級和第五級。

針對確定客體被侵害程度問題建立的層次分析模型如圖1所示。

3.2 構造成對比較矩陣

從層次分析模型的第二層開始，對于從屬于（或影響）上一層每個因素的同一層諸因素，用成對比較法和1-9比較尺度構建成對比較矩陣，直到最下層。下面結合實例，構造成對比較矩陣。以某地電信部門的電信系統的業務客體被侵害為例，得到三個指標的重要性依次為：區域內業務量>該電信業務區域的用戶人數>電信業務區域覆蓋范圍。在矩陣中令區域業務量為m11，當前可用上傳帶寬為m22，電信業務區域覆蓋范圍為m33。

構造一個三階矩陣Mij（3*3），根據長期積累的經驗，其中m12=3，表示區域內業務量相比該電信業務區域的用戶人數略重要，m13=5，表示區域內業務量相比電信業務區域覆蓋范圍重要，m23=3，表示該電信業務區域的用戶人數比電信業務區域覆蓋范圍略重要，從而得到三階矩陣。

3.3 計算權向量并做一致性檢驗

要求成對比較矩陣具備一定的一致性即可。由分析可知，對完全一致的成對比較矩陣，其絕對值最大的特征值等于該矩陣的維數。

檢驗成對比較矩陣M一致性的步驟如下：計算衡量一個成對比矩陣M（n>1階方陣）不一致程度的指標CI為：

CI=

其中max（M）是矩陣M 的最大特征值，n為矩陣的階數。

通過計算，λmax為3.0385，特征向量為（0.6370， 0.2583，0.1047），即權重分別為0.637， 0.258和0.104

CI==0.01925

CI=0，有完全的一致性。CI接近于0，有滿意的一致性，反之CI越大，不一致越嚴重

按公式計算成對比較矩陣M 的隨機一致性比率CR：

CR=

RI稱為平均隨機一致性指標，它只與矩陣的階數有關，可從有關資料查出檢驗成對比較矩陣M一致性的標準RI。查表得出三階矩陣對應的RI為0.58，故有：

CR==0.033

判斷方法：（1） 當CR

3.4 計算客體被侵害的程度

在計算出每個評價因素的權重后，由于每個評價因素的數值隸屬于不同體系，因此要在同一標準體系下進行評價，在本例中，區域是以平方公里為單位，業務受到影響的用戶數量以萬人為單位，業務量是以萬小時/天為單位，在實踐中將每個評價因素的實際數值采用Decimal scaling小數定標標準化方法進行歸一化，通過歸一化因子，將每個評價因素的取值范圍限定于[0，1]。

國家標準GB 17859-1999《信息系統安全保護等級定級指南》中將等級保護對象受到破壞后對客體造成侵害的程度歸結為三種：a.造成一般損害；b.造成嚴重損害；c.造成特別嚴重損害。

定義：損害值D（Oi）為客體Oi被侵害的分值。

：D（Oi）∈（0，0.3]，則定義該客體受到的損害為一般損害

∈（0.3，0.8]，則定義該客體受到的損害為嚴重損害

∈（0.8，1]，則該客體受到的損害為特別嚴重損害

實踐中，可根據需要調整區間大小。

舉例來說，某市某區常住人口為60萬，電信業務量為平均80萬小時/每天，該區面積為250平方公里，通過歸一化公式X'=，其中，j是使得X'落入[0，1]的最小整數。

可計算出：

人口Pg=0.6，電信業務量Tg=0.8，業務覆蓋面積Sg=0.25 α=0.6370，β =0.2583 γ=0.1047，將歸一化后的三個評價因素，代入公式D（Oi）= αPg+βTg+γSg，求得D（Oi）=0.61。

從定義可以看出，客體受到“嚴重損害”，該客體屬于社會秩序和公眾利益范疇，根據業務信息安全保護等級矩陣表，侵害程度為第三級，故該信息系統的業務信息安全等級被定為“三級” 。對該信息系統的系統服務安全等級，可遵循同樣的方式計算得到，最后比較兩個等級，取最高等級作為最終該信息系統的安全保護等級。

4 結束語

本文針對現有信息系統的安全保護定級工作缺乏可行的定級準則，定級結果較大程度上取決于人的主觀感受、定性成分大和定量分析不足的缺點，提出一種定性與定量結合的定級方法，提高信息系統的安全保護等級的定級準確性，從而根據定級結果做好重要信息系統的安全防護。

參考文獻

[1] 姜政偉，趙文瑞，劉宇，劉寶旭.基于等級保護的云計算安全評估模型[J]. 計算機科學， 2013（08）.

[2] 陳志賓.基于等級保護思想的信息平臺安全研究與實現[D].河北工業大學，2012.

[3] 曾穎.醫院信息系統等級保護安全體系設計[J].微型電腦應用，2014（03）.

[4] 肖國煜.信息系統等級保護測評實踐[J].信息網絡安全， 2011（07）.

[5] 韓岳.高安全等級網站系統服務器安全研究[D].中國人民信息工程大學，2011.

基金項目：

廣東省戰略性新型產業發展專項資金（高端新型電子信息產業）項目資助（項目編號：2012556028）。

作者簡介：

王偉（1983-），男，重慶人，博士；主要研究方向與關注領域：信息安全、云計算。

第4篇：信息安全整改方案范文

根據《基本要求》的規定，二級要求的系統防護能力為：信息系統具有抵御一般攻擊的能力，能防范常見計算機病毒和惡意代碼危害的能力，系統遭受破壞后，具有恢復系統主要功能的能力。數據恢復的能力要求為：系統具有一定的數據備份功能和設備冗余，在遭受破壞后能夠在有限的時間內恢復部分功能。按照二級的要求，一般情況下分為技術層面和管理層面的兩個層面對信息系統安全進行全面衡量，技術層面主要針對機房的物理條件、安全審計、入侵防范、邊界、主機安全審計、主機資源控制、應用資源控制、應用安全審計、通信完整性和數據保密性等多個控制點進行測評，而管理層面主要針對管理制度評審修訂、安全管理機構的審核和檢查、人員安全管理、系統運維管理、應急預案等方面進行綜合評測。其中技術類安全要求按照其保護的側重點不同分為業務信息安全類（S類）、系統服務安全類（A類）、通用安全防護類（G類）三類。水利信息系統通常以S和G類防護為主，既關注保護業務信息的安全性，又關注保護系統的連續可用性。

2水利科研院所信息安全現狀分析

水利科研院所信息系統結構相對簡單，在管理制度上基本建立了機房管控制度、人員安全管理制度等，技術上也都基本達到了一級防護的要求。下面以某水利科研單位為例分析。某水利科研單位主機房選址為大樓低層(3層以下)，且不臨街。機房大門為門禁電磁防盜門，機房內安裝多部監控探頭。機房內部劃分為多個獨立功能區，每個功能區均安裝門禁隔離。機房鋪設防靜電地板，且已與大樓防雷接地連接。機房內按照面積匹配自動氣體消防，能夠對火災發生進行自動報警，人工干預滅火。機房內已安裝溫度濕度監控探頭，對機房內溫濕度自動監控并具有報警功能，機房配備較大功率UPS電源，能夠保障關鍵業務系統在斷電后2小時正常工作。機房采用通信線路上走線，動力電路下走線方式。以上物理條件均滿足二級要求。網絡拓撲結構分為外聯區、對外服務區、業務處理區和接入區4大板塊，對外服務區部署有VPN網關，外部人員可通過VPN網關進入加密SSL通道訪問業務處理區，接入區用戶通過認證網關訪問互聯網。整個網絡系統未部署入侵檢測（IDS）系統、非法外聯檢測系統、網絡安全審計系統以及流量控制系統。由上述拓撲結構可以看出，現有的安全防護手段可基本保障信息網絡系統的安全，但按照二級要求，系統內缺少IDS系統、網絡安全審計系統和非法外聯檢測系統，且沒有獨立的數據備份區域，給整個信息網安全帶來一定的隱患。新的網絡系統在外聯區邊界防火墻下接入了入侵檢測系統（IDS），新規劃了獨立的數據備份區域，在核心交換機上部署了網絡審計系統，并在接入區安裝了非法外聯檢測系統。形成了較為完整的信息網絡安全防護體系。

3信息系統安全等級測評的內容

3.1信息系統等級保護的總體規劃

信息系統從規劃到建立是一個復雜漫長的過程，需要做好規劃。一般情況下,信息系統的安全規劃分為計算機系統、邊界區域、通信系統的安全設計。相應的技術測評工作也主要圍繞這3個模塊展開。

3.2測評的要素

信息系統是個復雜工程，設備的簡單堆疊并不能有效保障系統的絕對安全，新建系統應嚴格按照等保規劃設計，已建系統要對信息系統進行安全測試，對于測評不合格項對照整改。信息系統安全測試范圍很廣，主要在網絡安全、主機安全、應用安全、數據安全、物理安全、管理安全六大方面展開測評。本文僅對測評內容要素進行描述，對具體測試方法及工具不作描述。

3.2.1網絡安全的測評

水利科研院所網絡安全的測評主要參照公安部編制《信息安全等級測評》條件對網絡全局、路由和交換設備、防火墻、入侵檢測系統展開測評。但應結合科研院所實際有所側重。水利科研院所信息系統數據傳輸量大，網絡帶寬占用比例相對較高，因此，在網絡全局中主要測試網絡設備是否具備足夠的數據處理能力，網絡設備資源占用情況，確保網絡設備的業務處理能力冗余性?？蒲性核乩砦恢孟鄬Ψ稚?，因此，需要合理的VLAN劃分，確保局部網絡攻擊不會引發全局癱瘓。科研院所擁有大量的研究生，這類人群對于制度的約束相對較差，網絡應用多伴有P2P應用，對出口帶寬影響極大，因此除了用經濟杠桿的手段外，在技術上要求防火墻配置帶寬控制策略。同時對“非法接入和外聯”行為進行檢查。網絡中應配置IDS對端口掃描，對木馬、后門攻擊、網絡蠕蟲等常見攻擊行為監視等等。

3.2.2主機安全測評

主機安全的測評主要對操作系統、數據庫系統展開測評。通常水利科研院所服務器種類繁多，從最多見的機架式服務器到曙光一類的大型并行服務器均有部署，同時操作系統有window系列、Linux、Unix、Solaris等多種操作系統，數據庫以主流SQLSERVER、ORACLE為主，早期開發的系統還有Sybase，DB2等數據庫。對于window操作系統是容易被攻擊的重點，因為二級等保為審計級保護所以重點在于身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼4個方面進行測評，主要審計重要用戶行為、系統資源的異常使用和重要信息的命令使用等系統內重要的安全相關事件。對于LINUX等其他系統和數據庫，主要審計操作系統和數據庫系統的身份標識唯一性，口令應復雜程度以及限制條件等。

3.2.3應用安全測評

水利科研院所內部業務種類繁多，如OA系統，科研管理系統，內部財務系統、網站服務器群，郵件服務器等，測評的重點主要是對這些業務系統逐個測評身份驗證，日志記錄，訪問控制、安全審計等功能。

3.2.4數據安全的測評

數據安全的測評主要就數據的完整性、保密性已及備份和恢復可靠性、時效性展開測評。水利科研院所數據量十分龐大，一般達到上百TB級數據量，一旦遭受攻擊，恢復任務十分艱巨，因此備份區和應用區應該選用光纖直連的方式，避免電纜數據傳輸效率的瓶頸。日常情況下應做好備份計劃，采用增量備份的方式實時對數據備份。

3.2.5物理安全測評

機房的物理安全測評主要是選址是否合理，機房大門防火防盜性能，機房的防雷擊、防火、防水防潮防靜電設施是否完好達標，溫濕度控制、電力供應以及電磁防護是否符合規定等物理條件。

3.2.6安全管理測評

安全管理主要就制定的制度文檔和記錄文檔展開評測。制度文檔主要分為3類，流程管理，人員管理和設備管理。記錄文檔主要為制度文檔的具體實施形式。在滿足二級的條件下，一般需要制度文檔有《信息安全管理辦法》、《安全組織及職責管理規定》、《安全審核與檢查管理制度》、《授權和審批管理規定》、《信息安全制度管理規范》、《內部人員安全管理規定》、《外部人員安全管理規定》、《系統設計和采購安全管理規定》、《系統實施安全管理規定》、《系統測試驗收和交付安全管理規定》、《軟件開發安全管理規定》、《系統運維和監控安全管理規定》、《網絡安全管理規定》、《系統安全管理規定》、《賬號密碼管理規定》等基本規章制度。同時對管理制度本身進行也要規范管理，如版本控制，評審修訂流程等。需要制定的記錄文檔有《機房出入登記記錄》、《機房基礎設施維護記錄》、《各類評審和修訂記錄》、《人員考核、審查、培訓記錄》、《各項審批和批準執行記錄》、《產品的測試選型測試結果記錄》、《系統驗收測試記錄報告》、《介質歸檔查詢等的等級記錄》、《主機系統，網絡，安全設備等的操作日志和維護記錄》、《機房日常巡檢記錄》、《安全時間處理過程記錄》、《應急預案培訓，演練，審查記錄》等。

4測評的方式方法

按照《基本要求》在等級測評中，對二級及二級以上的信息系統應進行工具測試。

4.1測試目的工具測試

是利用各種測試工具，通過對目標系統的掃描、探測等操作，使其產生特定的響應等活動，查看分析響應結果，獲取證據以證明信息系統安全保護措施是否得以有效實施的一種方法。工具測試種類繁多，這里特指適用于等保測評過程中的工具測試。利用工具測試不僅可以直接獲得系統本身存在的漏洞，同時也可以通過不同的區域接入測試工具所得到的測試結果判斷出不同區域之間的訪問控制情況。利用工具測試并結合其他的核查手段能為測試結果提供客觀準確的保障。

4.2測試流程

收集信息→規劃接入點→編制《工具測試作業指導書》→現場測試→結果整理。收集信息主要是對網絡設備、安全設備、主機設備型號、IP地址、操作系統以及網絡拓撲結構等信息進行收集。規劃接入點是保證不影響整個信息系統網絡正常運行的前提下嚴格按照方案選定范圍進行測試。接入點的規劃隨著網絡結構，訪問控制，主機位置等情況的不同而不同,但應該遵循以下規則。（1）由低級別系統向高級別系統探測。（2）同一系統同等重要程度功能區域之間要互相探測。（3）由外聯接口向系統內部探測。（4）跨網絡隔離設備（包括網絡設備和安全設備）要分段探測。

4.3測試手段

利用漏洞掃描器、滲透測試工具集、協議分析儀、網絡拓撲結構生成工具更能迅速可靠地找到系統的薄弱環節，為整改方案的編制提供依據。

5云計算與等級保護

近年來，隨著水利科研院各自的云計算中心相繼建立，云計算與以往的計算模式安全風險差異很大，面臨的風險也更大，因為以往的系統多數為集中式管理范圍較小，安全管理和設備資源是可控的，而云計算是分布式管理，是一個動態變化的計算環境，這種環境在某種意義上是無序的，這種虛擬動態的運行環境更不可控，傳統的安全邊界消失。同時，云計算在認證、授權、訪問控制和數據保密這些方面這對于信息網絡安全也提出了更高的要求。由云安全聯盟和惠普公司列出了云計算面臨的7宗罪（風險），說明云安全的狀況變化非?？欤F有的技術和管理體系并不完全適應于云計算的模式，如何結合自身特點制定出適合云計算的等級保護體系架構是今后研究的方向。

6結語

第5篇：信息安全整改方案范文

監理服務技術方案

 

 

一、項目概述及要求

本項目負責提供四川省環境信息中心2021年環境信息化新建項目及部分應用系統升級改造（政府采購和非政府采購）的監理服務。根據2021年四川省信息化建設項目的主要技術規范及要求，供應商應提供全過程“五控、三管、一協調”的監理服務。按事前、事中和事后三階段開展監理工作，針對質量控制、投資控制、進度控制、保密控制、信息安全控制、合同管理、信息管理、安全管理和協調工作等方面提出詳細監理規劃，并分別對系統集成建設方面提出監理人員配備方案，對項目相關的省統一采購內容（軟件等）進行監理。

二、監理工作任務及目標

監理工作目標是按照2021年四川省環境信息化建設、軟件項目的要求以及相關的國際、國家和行業的監理標準，結合各系統項目的建設特點，對信息系統進行包含項目規劃編制、招標、項目詳細設計、項目實施和項目驗收及質保期五個階段的全過程監理，確保項目按期、高質、高效地完成，并順利通過驗收。

（一）項目擬制階段

1. 充分運用監理單位的咨詢能力，在建設方案的編制階段根據業主的需求為業主單位提供相應的咨詢服務。

2. 協助業主單位完成項目建設方案編制及建設方案的評審工作。

3. 協助業主單位收集項目資料、整理歸納項目文檔。

（二）項目招標階段

1.協助業主單位明確項目需求，確定項目建設目標。

2.促使業主單位、承建單位所簽訂的建設合同在技術、經濟上合理有效，符合國家法律法規。

（三）項目設計階段

1.推動業主單位、承建單位對項目需求和設計進行規范化的技術描述，為項目實施提供優化的設計方案。

2.促使項目計劃、設計方案滿足項目需求，符合相關的法律、法規和標準，并與項目建設合同相符，具有可驗證性。

3.方案審核階段，充分運用監理單位咨詢能力，要求具有咨詢能力的監理工程師配合業主或其指定的專家對承建單位的需求、設計、實施類方案進行質量把關。協助業主單位、承建單位消除設計文檔在進入項目實施前可預見的缺陷。

（四）項目實施階段

1.加強項目實施方案的合法性、合理性、與設計方案的符合性。

2.促使項目中所使用的產品和服務符合建設合同及國家相關法律、法規和標準。

3.明確項目實施計劃，對于計劃的調整應合理、受控。

4.促使項目實施過程滿足建設合同的要求，并與項目設計方案、項目計劃相符。

5.促使項目文檔統一、規范，建立符合業主方要求的項目文檔管理體系。

6.網絡及安全類項目實施期間，要求具有信息安全測評能力的監理工程師對項目設計和實施方案進行內審，協助第三方測評機構完成規定的等級保護測評工作。

7.軟件研發類項目實施期間，要求具有軟件測評能力的監理工程師督促承建單位進行軟件自測，協助第三方測評單位對軟件功能及性能完成第三方軟件測評工作。

（五）項目驗收及質保期階段

1.明確項目測試驗收方案（驗收目標、責任雙方、驗收提交清單、驗收標準、驗收方式、驗收環境等）的符合性及可行性。

2.促使項目的最終功能和性能符合建設合同、法律法規和標準的要求。

3.協助承建單位所提供的項目各階段形成的技術、管理文檔的內容和種類符合相關標準。

4.對項目終驗結束后質保期內業主單位反饋的問題督促承建方整改落實。

三、監理工作范圍

項目實施范圍為四川省環境信息中心2021年環境信息化新建項目及部分應用系統升級改造項目（政府采購和非政府采購）。

四、項目監理總體要求

根據2021年四川省環境信息化建設、軟件項目主要技術規范及要求，信息項目、軟件項目建設監理受業主方委托，代表業主方的利益，依法對本項目的全過程進行監督管理。監理方應嚴格按照國家電子政務管理辦法、業主方和承建方簽訂的合同、信息系統項目監理規范及環保行業和計算機技術相關國家標準開展監理工作。

根據本項目及項目內各系統建設的特點，監理應全程開展以下工作：

五控制：

質量控制—硬件設備采購進貨、軟件開發及測試和驗收。

進度控制—采取總體項目進度管理方式，從整體協助業主進行項目推進管理；對每個分項進行甘特圖管理，對每個分項之間交互界面進行控制銜接管理；及時對照進度計劃進行進度分析，及時糾偏。

投資控制—硬件設備采購進貨、軟件開發投資及項目施工投資。

變更控制—施工過程中進行變更管理。

保密控制—建設過程中，全程人員、信息、系統的保密管理。

三管理：

合同管理—采購、施工、系統集成及軟件開發等合同管理。

信息管理—投資控制管理、設備控制管理、施工管理及軟件管理。

安全管理—項目的施工安全管理，系統的信息安全管理兩部分。

一協調：

采用現場和會議方式進行協調，實施業主、承建方和監理的三方協調制度。

監理機構應按事前、事中和事后三過程開展監理工作。

（一）項目前期監理要求

協助業主和承建單位對項目需求和設計進行規范化的技術描述，為項目實施提供優化的設計方案；

協助并配合業主進行采購項目需求論證階段工作的進行，使采購滿足項目需求、符合相關的法律、法規和標準；

通過項目管理思路，建立整體項目計劃，方案滿足項目需求、符合相關的法律、法規和標準，并與項目建設合同相符，具有里程碑可驗證性；

協助業主，審核承建方技術方案，滿足項目整體需求，并與項目建設合同相符。

（二）項目中期監理要求

加強項目實施方案的審核，確保其合法性、合理性、與設計方案的符合性；

加強各子項目質量控制，確保項目中所使用的產品和服務、軟件開發符合建設合同及國家相關法律、法規和標準；

監督項目實施過程，指定具有相關專業能力和資質的監理工程師駐場監理，確保滿足建設合同的要求，并與項目設計方案、項目計劃相符。

明確項目實施計劃及進度，及時對計劃進行調整，確保項目進度和整體進度相符合；

把握項目中投資、質量、進度的變更，規范項目變更流程；

對項目實施過程涉密部分，全程進行保密管理；

推動業主、各承建方之間的關系協調。

（三）項目后期監理要求

明確項目測試驗收方案的符合性（驗收目標、責任雙方、驗收提交清單、驗收標準、驗收方式、驗收環境等）及可行性；

明確項目的最終功能和性能符合建設合同、法律、法規和標準的要求；協助業主進行各分項的驗收工作；

保證承建單位提供的項目各階段形成的技術、管理文檔的內容和種類符合相關標準；

監理機構應針對質量控制、投資控制、進度控制、知識產權控制、信息安全控制、合同管理、文檔管理和協調工作等方面提出詳細監理規劃并分別針對系統集成建設方面提出監理人員配備方案，并對項目相關的采購內容（軟件等）進行監理。

五、監理具體要求

監理要與測評保持協調配合，并對監理工作內容進行負責。監理工作包含但不限于以下內容：

（一）項目招標前期階段監理工作內容

方案控制

項目招標前期階段的方案控制內容如下：

（1）監理機構應協助業主單位完成項目建設方案編制及建設方案的評審工作。

（2）監理機構應協助業主單位收集項目資料、整理歸納項目文檔。

（3）監理機構應協助并配合業主進行采購項目需求論證階段工作的進行，使采購滿足項目需求、符合相關的法律、法規和標準。

（二）項目招標階段監理工作內容

1.質量控制

項目招標階段的質量控制內容如下：

（1）監理機構應了解業主單位的業務需求，并將其作為監理工作的依據之一；

（2）監理機構應對招標技術需求的下列內容提出監理意見（輸出監理意見）：

技術和質量的要求；

項目所涉及的主要產品和服務的要求；

投標單位資格的要求；

驗收方法、接受準則；

時間進度的要求；

2.進度控制

項目招標階段的進度控制內容如下：

（1）監理機構參與業主單位招標前的準備工作，協助業主單位編制本項目的工作計劃。工作計劃應包含如下內容：

項目建設內容；

組織管理；

項目建設的準備工作；

總包、分包方式；

項目建設的階段劃分及驗收；

質量管理計劃；

（2）監理機構應分析項目的內容及過程，應對項目進度提出監理意見；

（3）監理機構對招標書中項目進度安排及項目進度控制措施提出監理意見；

（4）監理機構應對本階段的工作進度提出監理意見；

（5）監理機構應要求對項目合同中涉及的產品和服務的提供時間做出說明，并對業主單位的安排提出監理意見。

3.投資控制

項目招標階段的投資控制內容如下：

（1）監理機構應協助業主單位根據項目的目標、范圍和功能界定提出意見，并提出項目預算的合理性；

（2）監理機構應協助業主單位根據項目預算，在招標技術需求中對項目的目標、范圍、內容和產品及服務的技術要求做出明確說明。

4.合同管理

項目招標階段的合同管理內容如下：

（1）監理機構應參與建設合同的簽訂過程，在建設合同中應明確要求承建單位接受監理機構的監理；

（2）監理機構應建議業主單位在建設合同中明確規定項目所包含的功能、技術要求、測試標準、驗收要求和質量責任；

（3）監理機構應建議業主單位在建設合同中明確項目階段劃分及其質量和進度要求，并以此作為項目階段性付款的依據。

5.信息管理

項目招標階段的信息管理內容如下：

（1）監理機構應與業主單位及相關單位建立信息溝通機制，保持各方對項目目標、范圍和業務需求等理解的一致性；

（2）監理機構應向業主單位提供與項目建設有關的法律、法規和標準等信息；

（3）監理機構應妥善管理項目招標階段所產生的與監理相關的文檔資料，包括需求說明、招投標文件和監理文檔等；

（4）監理機構應向業主單位和承建單位明確應提交的文檔要求。

6.項目招標階段的協調

項目招標階段的協調內容如下：

（1）監理機構應與業主單位確定相互間工作協調的機制；

（2）項目合同簽訂后，業主單位與承建單位有關項目的協調工作由監理機構按照業主單位要求進行。

7.產出物要求

監理成果物要求包括但不限于：監理周報、會議紀要、合同審核意見、項目聯系單、各環節監理意見、溝通機制、文檔要求等。

（三）項目設計階段監理工作內容

1.質量控制

（1）監理機構應建議業主單位和承建單位充分考慮目標系統與現有系統的兼容性和互操作性；

（2）監理機構應審核設計文件與項目需求的符合性；項目關鍵技術的實現方法、流程及技術保障措施的合理性；項目實施的質量保證措施的可行性、合理性及其文檔的完整性；

（3）監理機構應協助業主單位組織專業人員初審項目設計方案，審核后，簽署監理審核意見。

2.進度控制

（1）承建單位提交項目進度計劃報審表后，應審核項目進度計劃的可行性、合理性和各階段工作成果的判定依據及其可操作性，審核后簽署監理審核意見；

（2）監理機構應根據承建單位項目進度計劃，確定階段性進度監督、控制的措施及方法，作為監理細則的內容。

3.投資控制

（1）監理機構應依據招投標文件、建設合同，審核項目計劃、設計方案中所說明的建設目標、范圍、內容、產品和服務，對可能的投資變化，向采購人提出監理意見；

（2）監理機構應控制設計變更，變更應由三方達成共識，并做備忘錄。

4.合同管理

（1）監理機構應及時處理采購人或承建單位合同變更的申請，協助保持合同、協議及其附件內容的實效性、一致性；

（2）監理機構應及時會同采購人和承建單位對合同的變更做備忘錄。

5.信息管理

（1）監理機構應與業主單位、承建單位建立信息溝通機制，并要求各方在項目工作中貫徹執行；

（2）監理機構應對設計階段三方共同參與的過程和活動做項目備忘錄并由三方簽認；

（3）監理機構應要求業主單位和承建單位妥善保管有關的文檔資料；

（4）監理機構應妥善保管項目設計階段的文檔，如項目計劃、設計方案及監理文檔，并監督檢查項目文檔的時效性和可用性；

（5）監理機構應對項目中各方提出保密要求的信息實施保密，尊重各方的知識產權。

6.協調

（1）監理機構應與采購人、承建單位確定設計階段的協調形式和方法，如監理例會和專題會議等，并在項目過程中執行；

（2）監理機構應協調采購人調動適當的資源，配合承建單位完成設計前期的調研工作；

（3）監理機構應對設計階段出現的變更提出監理意見，協調采購人和承建單位達成一致；

（4）監理機構應對協調結果做備忘錄。

7.產出物要求

監理成果物要求包括但不限于：監理周報、會議紀要、設計文檔類監理審核意見、監理工作聯系函、監理通知單、項目備忘錄。

（四）項目實施階段監理工作內容

1.質量控制

（1）監理機構應審核承建單位提交的質量管理計劃申報表并簽署意見；

（2）監理機構應組織采購人、承建單位召開項目實施準備會議，做出會議紀要，并經三方簽認；

（3）監理機構應組織審核承建單位提交的實施方案從實施方案與法律、法規和標準的符合性；實施方案的合理性和可行性；實施方案與合同、設計方案和實施計劃的符合性；項目實施的組織機構和人員配置是否滿足項目建設需求等方面把關出具監理審核意見；

（4）監理機構對承建單位提供的產品及服務進行驗收，對驗收結果作記錄，并經三方簽認；

（5）監理機構應檢查承建單位項目實施狀況、人員與實施方案的一致性；

（6）監理機構應執行階段性質量監督和控制，并做監理日志；

（7）監理機構應及時處理承建單位提交的關鍵環節的實施申請，審核其合理性后簽認并報采購人批準；

（8）監理機構應審核項目變更申請，保證項目總體不受影響；

（9）監理機構應處理實施項目出現的各種質量事故；

（10）監理機構應在實施過程中，如發現存在重大質量隱患，應及時向承建單位簽發停工令，并報采購人。

2.進度控制

（1）監理機構應審核承建單位提交的項目實施計劃的合理性及實施計劃報審表，并簽署審核意見；

（2）監理機構應審核承建單位提交的開工申請，并檢查項目準備情況，簽發開工令報采購人簽認，通知承建單位開始實施項目；

（3）監理機構應審核承建單位提交的階段性進度計劃報審表；

（4）監理機構應定期檢查項目的實施進度情況，確保實際進度與計劃的一致性，并及時處理項目延期申請；

（5）監理機構應審查進度糾偏措施的合理性、可行性，簽發監理通知單，報采購人，并要求承建單位按計劃進行修改。

3.投資控制

（1）監理機構應審核承建單位提交的項目階段性報告和付款申請，簽發項目款支付意見，報采購人簽認；

（2）監理機構應審查項目的質量、進度和投資等方面的變更，并做項目備忘錄；

（3）監理機構應及時處理各種索賠申請。

4.合同管理

（1）監理機構應監督合同執行情況，定期向承建單位、采購人提交監理報告；

（2）監理機構應根據實際情況，參考變更文件及其他有關資料，按照建設合同的有關條款，對項目變更范圍、內容、實施難度以及變更的投資和工期做出評估，處理項目實施中的各種變更并報采購人批準；

（3）監理機構應及時協調合同糾紛，公正地調查分析，提出監理意見。

5.信息管理

（1）監理機構應妥善管理實施階段中所產生的開工令、停工令、監理通知、監理日志和項目備忘錄等資料；

（2）監理機構應對項目實施階段三方共同參與的過程和活動做項目備忘錄，并由三方確認；

（3）監理機構應監督采購人和承建單位按照既定的要求編制和管理項目文檔。

6.協調

（1）監理機構應與采購人和承建單位共同建立實施階段協調的機制；

（2）監理機構應及時組織專題會議，解決專項問題，做出會議紀要，并提交采購人和承建單位；

（3）監理機構應協調采購人和承建單位對項目變更的范圍和內容等達成一致性；

（4）監理機構應協調采購人和承建單位對索賠意見達成一致；

（5）監理機構應協調采購人配合承建單位的項目實施。

7.產出物要求

監理成果物要求包括但不限于：開工令、復工令、停工令、項目款支付證書、監理周報、會議紀要、監理月報、實施文檔類監理審核意見、監理工作聯系函、監理通知單、項目備忘錄、設施設備驗貨臺賬、設備加電檢查記錄、專項項目監理報告等。

（五）項目驗收階段監理的工作內容

1.質量控制

（1）監理機構應及時處理承建單位提交的初驗申請，審核初驗的必備條件，簽認后報采購人簽認；

（2）監理機構應協助采購人審核承建單位驗收計劃及方案，明確驗收目標、各方責任、驗收內容、驗收標準、驗收方式和驗收結果等內容，審核后簽署意見；

（3）監理機構應協助采購人對初驗中發現的質量問題進行評估，并確定整改要求和驗收方式；以監理通知單告知承建單位。必要時組織重驗；

（4）監理機構應敦促承建單位根據整改要求提出整改方案，并監督整改過程；

（5）監理機構應與采購人和承建單位共同對初驗結果進行確認，并共同簽署初驗合格報告；

（6）監理機構應監督系統的試運行；敦促承建單位解決試運行出現的各種質量問題；

（7）監理機構應協助采購人組織項目驗收；

（8）監理機構應對項目中的關鍵性技術指標，要求承建單位出具第三方測試機構的測試報告，第三方測試機構應由采購人和監理機構同意；

（9）監理機構應督促承建單位完成項目實施方案中確定的培訓，并對培訓進行評估。

2.進度控制

（1）監理機構應對驗收階段進度安排提出監理意見；

（2）監理機構應審核承建單位初驗、終驗和項目整改計劃的可行性，并以通知單的形式告知采購人和承建單位；

（3）監理機構應要求采購人和承建單位以初驗合格報告作為啟動試運行的依據，以終驗報告作為項目驗收結束的依據。

3.投資控制

（1）監理機構應審核承建單位提交的階段性付款申請，并根據合同規定簽發項目支付意見；

（2）監理機構應協助采購人進行項目結算。

4.合同管理

（1）監理機構應及時向采購人、承建單位通報建設合同、協議及相關變更所規定項目內容的執行情況，提出監理意見；

（2）監理機構應協助采購人和承建單位簽署其他補充協議。

5.信息管理

（1）監理機構應管理項目驗收階段文檔；

（2）監理機構應敦促采購人、承建單位按照事先約定，編制、簽署和妥善保存驗收階段的項目文檔；

（3）監理機構應督促采購人、承建單位及時整理項目文檔；

（4）監理機構應整理與項目有關的全部監理文檔，并提交采購人。

6.協調

（1）監理機構應協調采購人和承建單位在驗收計劃、驗收目標、驗收范圍、驗收內容、驗收方法和驗收標準等方面的一致性，填報項目備忘錄，并經三方簽認；

（2）監理機構應協調采購人配合驗收階段的工作；

（3）監理機構應及時填報驗收階段的項目備忘錄，并經三方簽認；

（4）監理機構應協助采購人和承建單位完成項目文檔整理歸檔和移交工作。

7.產出物要求

監理成果物要求包括但不限于：復工令、停工令、項目款支付證書、監理周報、會議紀要、監理月報、實施文檔類監理審核意見、監理工作聯系函、監理通知單、項目備忘錄、設施設備驗貨臺賬、設備加電檢查記錄、專項項目監理報告、測試記錄、初驗報告、試運行報告、完工移交書、項目竣工報告。

（六）售后服務要求

在規定的項目質量保修期限內，負責檢查項目質量狀況，組織鑒定質量問題責任，督促責任單位維修或整改。

六、監理團隊要求

要求監理單位具有較強的實力，并能統攬全局，能有效地組織、協調、監管項目實施過程中各方面的工作，使本項目質量達到一流水平，工期得到保證，成本得到控制。

要求針對2021年四川省環境信息化項目設立總監1名，總監代表1名，長駐現場監理工程師1名，文檔管理員1名，各項目集中調研、開發測試、階段性驗收準備時應增加駐場人數，確保滿足各項目同時推進的要求。

現場服務的項目總監和長駐現場監理工程師需和投標文件響應一致，接受業主單位考勤管理，不得更換，如出現不可抗力原因需更換的，必須向采購人提交書面申請，并詳細說明更換的原因、替代人員的資質等，經采購人書面同意后，方可更換。

1、項目監理部須編制監理規劃，應包含目標規劃、動態控制措施、監理紀律守則和人員的定崗、職責等；根據建設方確定的項目分組情況，配置固定專門的監理人員。

2、參加項目的總監必須具備五年以上監理工作經驗，并具有高級項目管理執業資格。

3、項目監理部及其人員需自行配備交通、通信、生活、辦公、檢測等設備、設施或儀表，以確保監理工作的順利實施。

4、項目監理部須協助業主收集、整理、歸納項目資料，并且形成電子文檔。

5、從事項目監理活動能遵循“守法、誠信、公正、科學”的準則。

6、監理單位應根據項目情況，制定適宜的表格來加強對設計、實施、驗收的控制力度，包括但不限于如下方面：

針對關鍵環節，制定項目進度計劃詳表，在監理規劃中報送；

監理周報、月報；

主要工作量記錄表，在監理月報中報送；

安全情況記錄表，在監理周報中報送；

其它現場驗收表格。

第6篇：信息安全整改方案范文

我部自年月成立以來，能夠緊緊圍繞聯社發展目標，有序開展各項工作，立足于聯社系統內電子化設備的正常管理，做好綜合業務系統、信貸管理系統、報表管理系統的維護工作，確保計算機系統安全運行，強化科技支撐，加強網絡管理，為聯社又好又快發展提供安全、快捷、優質的科技信息服務?，F對本部門的工作回報如下。

一、完善制度，規范聯社科技管理流程

為確保聯社科技信息安全、穩定運行，我部繼續完善和補充聯社的科技管理制度，對聯社金融科技的發展、建設、服務、管理等工作進行全面細化、規范。一是制定了計算機管理辦法，涵蓋了機房管理、計算機安全管理、自動柜員機管理、卡業務管理、計算機保密管理、監控設備管理等方面內容；二是制定了綜合業務系統和柜員管理辦法。通過制度建設，建立了有效的督促約束機制，進一步完善了聯社內控管理，規范了柜員操作，有效防范了制度管理風險。

二、強化管理，確保業務系統安全穩定運行

隨著應用系統和新產品的不斷增多，保障各項系統安全、平穩運行成為我部的基本工作任務，我部始終把計算機系統安全運行管理擺在工作的首位，加大了對硬件運行的技術支持和系統運維管理力度，各項系統運行平穩，運行質量明顯有所提高，一方面保障了基層個網點的正常營業，另一方面有效防范了操作風險，至目前沒有發生一起重大計算機安全責任事故。一是實施了計算機安全生產責任制，實行重大責任事故責任追究制。對聯社中心機房明確專人管理，對基層網點進行了工程師的分工包片，責作到人，切實保障了系統、設備的安全。二是針對以前業務核心系統運行中存在的問題，及時反饋到省中心，進一步完善了系統功能，提高了系統應用水平。三是更新了網絡通信線路，與電信聯合對全縣所有機構的網絡線路進行了升級改造，統一安裝了2M光纖，明顯提高了業務辦理速度。四是對駐城網點進行了前置機后移，將這些網點的前置機全部歸并社中心機房。

三、強化服務，提供優質技術和業務支持

一是成立二級管理中心對全縣綜合業務系統進行專項維護，中心人員執行每周7天工作制，對基層業務操作中遇到的賬務問題及時解決，2個月來共處理問題300多筆，每天在保證所有基層業務系統正常簽退后才離崗。二是做好基層業務設備硬件維護保養工作，對因長期使用老化的計算機、打印機等業務設備做到定期保養，有損壞的立即調劑更換，集中修理，對因業務發展需要增加設備的單位，能夠上門安裝到位，保證了基層柜面業務的正常辦理，沒有發生一起因設備原因造成業務中斷事件。三是積極協助監保部做好監控設備的維護工作，對故障能夠立即督促維保單位進行排除，對達不到安全保衛要求的立即提出整改方案。四是做好聯社機關辦公設備的維護工作，對機關各部門的辦公設備保障能夠隨叫隨辦。

四、高效快捷，為聯社提供準確的統計數據

一是做好項目電報，明確專人每天提前上班導出數據、統計分析，為聯社領導提供科學的決策依據。二是做好基層員工協儲臺賬下發，能夠每天下發全縣員工組織資金考核臺賬，提高了全縣員工考核的透明度。三是做好信貸電子數據的導出工作，能夠按月導出并傳送業務拓展部和風險控制部。四是配合稽核審計部做好工資考核工作，每月月初及時統計業務量、現金流量、定期提前支取的數據，送交稽核部考核兌現。

五、不斷創新，力撐中間業務健康快速發展

中間業務對我縣聯社的存款份額、經營收入的貢獻率越來越大，我部能夠首先做好傳統的國稅代扣、財政集中支付、工資的系統保障和業務輔導，確保能夠滿足財政、國稅等大客戶的需求，使得聯社財政性存款、工資性存款逐年上升；其次為進一步推廣圓鼎卡，增加市場份額和卡業務手續費收入，我部按照照聯社決策按排，一方面迅速安裝了18臺ATM自動柜員機，改善用卡環境，并對基層業務骨干進行操作培訓，安裝使用后能夠經常督促維保單位進行日常保養，保證了ATM良好的使用狀態，受到了用卡客戶的好評。另一方面主動協助業務拓展部，開展駐城商鋪POS消費刷卡機的安裝，至目前共安裝了27臺，并且使用狀良很好，提升了聯社的知名度。

六、求真務實，扎實做好電子設備采購工作

設備采購申請對照聯社采購管理辦法，以避免資源重復配置與浪費為原則，嚴格技術把關。對需招標采購的，扎實做好前期準備，認真審查招標文件中的設備配置，保證合同中權利、義務條款最大限度地維護聯社利益，選擇“產品優秀、服務優質、價格優惠”的供應商進行招標；對不需招標采購的，能夠積極協助財務、監察、審計和辦公室進行詢價采購。

第7篇：信息安全整改方案范文

2008年，科技信息部將本著以強化科技安全為原則，以服務基層為職責，做好綜合業務、信貸管理、報表統計三大系統的維護工作，加快全縣電子化建設，提高科技應用水平，為聯社又好又快的發展提供科技保障，現對做好科技工作提出如下工作意見：

一、總體思路

認真貫徹落實縣聯社工作會議精神，以完善制約和監督機制，強化科技安全防范為宗旨；加快科技建設，不斷普及科技應用水平，實現全轄業務電子信息化、辦公自動化、操作規化；整合信息資源，在金融服務創新方面求突破，不斷拓展業務品種，以優異的科技手段有力支撐我縣聯社持續的科學發展。

二、工作目標

1、嚴格內部管理，確保計算機全年安全運行無事故。

2、加大系統運行維護力度，確保系統平衡高效運行。

3、優化用卡環境，做活中間業務，提高業務競爭力。

4、增強科技人員技術本領，有效提升部門形象。

5、強化業務技能培訓，提高一線人員操作水平。

6、強化網站更新，施行OA系統，提升聯社形象。

7、加大設備保障力度，確?；鶎诱I業。

8、補充管理制度，加強檢查輔導，提高科技管理水平。

9、采取有力措施，切實防范計算機突發風險。

10、積極探索新業務，努力拓展業務品種。

三、主要工作措施

為實現以上目標，我部將采取以下措施，精心組織、逐步開展。

1、完善制度，規范聯社科技管理流程。

為確保聯社科技信息安全穩定運行，我部將繼續完善和補充聯社的科技管理制度，對聯社金融科技的發展、建設、服務、管理等工作進行全面細化、規范。準備建立《電子設設管理辦法》、《科技檔案管理辦法》、《計算機系統故障處理辦法》、《局域網管理辦法》、《聯社中心機房管理辦法》、《科技機構及崗位設置辦法》等制度。進一步完善聯社內控管理，建立有效的督促約束機制，規范電子設備、科技檔案、局域網、中心機房的管理，進一步明確科技人員的崗位職責，有效防范制度管理風險。

2、注重實效，推動各項制度落實到

在制度建設時注重做好以下三個方面的工作，首先要仔細研究，字斟句酌，確保有法可依、有章可循。其次要充份調研，民主討論，確保切合實際、方便操作。最后狠抓落實，推動實施，確保得到執行到位。一是組織培訓和學習，在制度出臺之后立即組織相關人員進行培訓和學習；二是組織檢查和輔導，實行定期輔導和不定期檢查，輔導時貫徹“量、質”方針，即輔導每月不少于一次，每次不少于一天，力求足“量”；輔導結果要達到讓被輔導對象完全理解、熟練操作，力求足“質”。檢查時貫徹“全、細、深、實、糾”五字方針，即：檢查內容面面俱到；檢查過程深入細致，一絲不茍；發現線索，一查到底，堅決不搞下不為例；對發現的問題，有證有據；查處的問題及時督促改正。通過檢查輔導，將制度規定及時傳達到基層業務一線，普及科技應用水平，有效防范操作風險。

3、防患未然，強化突發事件處置預案。

在增強抗擊計算機突發性事件能力方面，我部將做好以下五項工作。一是硬件備份，對縣中心與基層和省中心網絡實行電信、聯通2M光纖雙備份，計劃對聯社中心機房核心的7206路由器進行備份，對報表系統、信貸系統、中間業務系統的服務器進行備份，配備若干臺備用主機和安裝好程序的硬盤，對聯社中心機房和各信用社實行UPS熱備份；二是實時監控，首先實施內、外網的物理分離，其次在所有系統安裝防火墻和殺毒軟件，最后在聯社中心機房明確專人，在業務高峰期隨時監控主機CPU、內存、交換空間、頁面調度、I/O的負荷情況，發現瓶頸環節及時主動處理；三是外部溝通，與省中心、電信部門做好溝通，在故障自身不能解決時，能夠迅速得到幫助；四是做好物防，計劃對聯社中心機房、各信用社機房深化改造，努力達到安全合格標準，堅決達到防火、防潮、防靜電、防雷擊的要求；五是長期備戰，我部所有人員將繼續執行24小時工作制度，對全轄系統故障隨叫隨到，并在最短的時間內處置完畢。通過多種措施，能夠有郊防范突發意外風險。

4、盡心竭力，精心維護保養硬件設備。

在終端、辦公電腦，特別是打印機、監控等硬件設備維護方面我部將做好以下四項工作。一是主動維護、定期保養基層業務設備，以損壞頻率較高的打印機為重點，按使用單位、型號、購置日期登記臺賬，詳細掌握每臺設備動態情況，按新舊程度進行每季不少于一次的主動上門保養，延長使用壽命，有損壞的立即調劑更換，集中修理，對已超過使用壽命沒有修理價值的，及時淘汰更新，對因業務發展需要增加設備的單位，做到上門安裝到位。二是積極協助監察保衛部做好監控設備的維護工作，對故障立即督促維保單位進行排除，對達不到安全保衛要求的，立即提出切實可行的整改方案。三是做好聯社機關辦公設備的維護工作，對機關各部門辦公設備的保障做到隨叫隨修。四是嚴格考核，開展設備管理競賽活動，對能合規使用的先進單位進行獎勵，對因不按規定使用設備的人員進行經濟處罰，造成損壞的，堅決要求當事人進行現金賠償。通過優質維保，堅決保證不發生因硬件損壞影響正常辦理業務的情況。

5、嚴謹務實，強化二級管理中心管理職能。

在核心業務系統管理和提高一線柜員操作能力方面，我部將做好以下四項工作，一是進一步提高維護速度，對合規的賬務修改、業務需求，按照流程到達我部后，保證在5分鐘之內處理完畢。二是進一步提高業務指導能力，對基層的業務咨詢做到耐心細致，并舉一反三的進行解釋指導，對每次的程序升級及時下發書面通知，傳達升級精神，同時每季下發一份綜合業務系統運行簡報，對新業務介紹、新問題注意事項進行全縣通報。三是進一步提高業務培訓力度，計劃在每個季度舉辦一期一線柜面青年員工操作實用技能培訓班，推行漢字五筆輸入、規范輸入指法，實現數字小鍵盤和英文大鍵盤的盲打輸入，切實提高柜面人員業務辦理速度。四是進一步提高系統操作監督力度，從機房管理入手，直至操作號、密碼、授權卡使用和加班監督、機構簽退管理等相互制約制度的執行，進行全方面的監督，切實履行崗位職責。

6、推陳出新，優化開發中間業務外掛程序。

在中間業務程序開發、維護方面我部將努力做到人無我有、人有我新、人新我優。一是對財政集中支付、國稅代扣、代收交通罰款程序進一步優化，不斷提高穩定性，同時將根據財政、國稅、公安等客戶的需求，對程序進一步升級改造，不斷提高適用性。二是進一步簡化工資程序，簡便操作過程，方便基層操作。三是適時開發各類程序，將根據業務發展需要，自主開發適應性、針對性強的程序。通過優化開發各類程序，為業務創新提供強有力的技術支持。

7、循序漸進，安裝推廣自助銀行和POS機。

在優化用卡環境，有效推廣圓鼎卡，有力搶占市場份額方面，我部將做好以下六項工作，一是迅速安裝ATM，對已購置的ATM計劃在1月底前安裝到位，使得ATM基本履蓋全部網點。二是主動協助業務拓展部，開展駐城商鋪POS消費刷卡機的安裝，今年計劃在人民路、新建路繁華地段的商鋪至少安裝20臺。三是適時開展卡積分活動，準備在春節期間開展圓鼎卡刷卡消費積分獎勵活動，提高圓鼎卡的使用頻率。四是大力開辦無人自動銀行，以為客戶提供晝夜存取款、賬務查詢、轉賬、自動繳費服務的自助場所，逐步取代效益低的網點。五是加大培訓和維護力度，對基層操作人員定期進行培訓，經常督促維保單位進行日常保養，保證ATM良好的使用狀態。六是搞好宣傳，計劃利用現有自助銀行的空間，進行全縣統一模式的廣告宣傳。通過有效推廣使用圓鼎卡，有效增加卡業務手續費收入。

8、提高效率，實現自動無紙化網絡辦公。

在提高全縣辦公水平和現代化辦公能力，進一步提升聯社對外形象方面我部將做到，一是加大網站更新力度，今年我部將與聯社辦公室繼續共同維護聯社網站，及時刷新主頁，開辦信合論壇，力求辦成象信合369一樣高點擊率的網站，從多方面提升聯社形象。二是開發使用OA系統，實行辦公自動化，實現公文流轉、數據采集、三戶經濟檔案、報表傳送、信息通知、業務咨詢、制度匯編、財產保管、物資領用、任務進度、考核兌現、檢查通報、人事教育、企業文化建設、黨務建設、紀檢監察、工作請示等全部網絡共享。通過實現辦公網絡化，進一步促進提高整個聯社部門的辦事效率。

9、不甘人后，積極摸索現代銀行科技思路。

隨著十七大的順利閉幕，我國經濟社會發展進入新的階段，金融業的重要地位和作用更加突出。但隨著外資銀行攜帶的新金融工具、業務品種、營銷理念和新服務手段進入中國市場，金融機構之間的競爭日趨激烈，農村信用社傳統的金融產品和服務手段，越來越無法適應發展的新要求。因此，金融創新勢在必行，只有不斷創新才能持續健康發展，才能提高我聯社的競爭力。在金融創新中科技創新是保障、是基礎，所以我部將做到一是加強自身學習，本著缺什么補什么，干什么學什么，將來需要什么、現在準備什么的原則，開展學習競賽活動，做到有計劃、有筆記、有體會、有進步，提高科技人員的業務本領。二是探索新業務、做好理論準備，在項目評估、公司理財、信息咨詢、代保管、國際業務、貸記信用卡、基金代銷與托管、代客理財、企業年金、賬戶管理、網上銀行、VIP客戶服務、債券代銷等方面做好科技準備。