系統(tǒng)安全保障及運維保障服務方案

安全保障方案項目質(zhì)量保證質(zhì)量方針和質(zhì)量目標本公司的質(zhì)量方針是：產(chǎn)品和服務倶佳，上海XXX與客戶共贏。產(chǎn)品和服務倶佳——配備高素質(zhì)的開發(fā)團隊，選用先進、穩(wěn)定的開發(fā)工具和方法，開發(fā)全過程實行嚴格、規(guī)范的質(zhì)量控制，確保系統(tǒng)集成項目和軟件產(chǎn)品的實用、可靠；采用多種形式的客戶支持，具備專業(yè)的服務水準，保證為客戶提供主動、熱情、及時的服務。本公司的質(zhì)量目標由四方面構成，即產(chǎn)品質(zhì)量目標、管理質(zhì)量目標、服務質(zhì)量目標和過程質(zhì)量目標。公司按年度確定具體質(zhì)量目標值。本公司的質(zhì)量承諾是：準確理解質(zhì)量方針，努力達成質(zhì)量目標。質(zhì)量管理組織結(jié)構及技術力量為了有效地對公司業(yè)務的各方面進行質(zhì)量控制，本公司在組織結(jié)構上加強了對質(zhì)量的管理工作，專門成立了一些部門(機構)力抓質(zhì)量管理。由總經(jīng)理負責的質(zhì)量管理委員會是公司質(zhì)量管理的決策機構，由總經(jīng)理委任的管理者代表具體負責公司的過程質(zhì)量管理工作和產(chǎn)品質(zhì)量控制工作。質(zhì)量和項目管理部負責公司質(zhì)量管理體系標準過程及文件的建立和維護，以及公司各項目實施過程的質(zhì)量保證工作。質(zhì)量管理組織結(jié)構如下圖所示：從上節(jié)的描述可以看出，本信息系統(tǒng)項目的建設包括多個階段。在每一個階段內(nèi)，用戶和本投標方分別承擔著不同的角色和任務步驟，如何保證整個工程項目能夠按時、保質(zhì)、保量完成是這其中最重要的問題。在項目實施過程中，本投標方承諾在項目質(zhì)量控制管理中做好下列工作：提交正式的質(zhì)量計劃，明確質(zhì)量控制點、控制內(nèi)容、質(zhì)量要求、檢查記錄要求，并經(jīng)招標人審核、批準。在項目實施過程中開展質(zhì)量保證活動，所提交的進度報告應包括質(zhì)量報告內(nèi)容，對質(zhì)量問題制定改進措施并有效執(zhí)行。接受招標人的質(zhì)量監(jiān)督檢查，提供真實有效的相關質(zhì)量活動記錄、證據(jù)，無條件接受招標方提出的質(zhì)量問題整改要求，承擔質(zhì)量責任及因質(zhì)量問題導致的進度延遲責任。提供詳細測試方案，包括采用測試技術、測試方法和測試報告提交形式。在工程實施過程中，先擬出一個測試方案，具體到每一個測試步驟，與用戶討論通過后，方可按計劃進行測試。本投標方質(zhì)量體系在本項目中的實施本投標方的質(zhì)量體系要素貫穿了此項目的方方面面，為了對這些要素的實施提供支持，本公司在質(zhì)量體系中建立了作業(yè)文件，它由表格、模板、記錄、作業(yè)指導書等組成。每個作業(yè)文件均對應著一個質(zhì)量要素，同時這些質(zhì)量要素也基本上對應著項目的不同階段。需要說明的是，在本投標方所有的作業(yè)文件中，有一部分是從公司內(nèi)部角度出發(fā)的，并不是所有的作業(yè)文件都是直接與客戶相關聯(lián)的，但目標是一致的，直接或者間接都是為了保障項目的實施進度和質(zhì)量。不管是否提交給客戶，這些文檔在信息系統(tǒng)項目建設過程中都是不可缺少和十分重要的。質(zhì)量監(jiān)控措施項目管理部成立專門的質(zhì)量監(jiān)督組，并由專人進行負責整個系統(tǒng)的施工質(zhì)量，嚴格按照公司質(zhì)量管理體系要求行使其職責；進行合理的施工設計，指定施工的計劃進度表，施工組織中的各個小組均需要按時、按計劃完成相關工作，例如設備的采購、運送、設備的安裝調(diào)試；施工前進行認真的技術交底，主要技術問題及主要分部工程開工前，應由項目經(jīng)理組織交底，并有書面記錄。嚴格執(zhí)行質(zhì)量計劃中的工序檢驗時間、檢驗項目、檢驗方法、檢驗依據(jù)、合格標準及質(zhì)量記錄。堅持過程檢驗和試驗，使全過程始終處于受控狀態(tài)。項目經(jīng)理負責各個方面的協(xié)調(diào)工作，并嚴格對項目的實施質(zhì)量和進度進行定期檢查，如果與計劃進度不一致，則需要作及時的調(diào)整工作。按照IS09002標準體系4.18培訓要素對全員進行上崗培訓及“百年大計、質(zhì)量第一、用戶至上”的教育，使全面提高質(zhì)量意識。按質(zhì)量管理系統(tǒng)控制原則，建立項目質(zhì)量保證體系，按規(guī)定的質(zhì)量手冊、程序文件開展質(zhì)量保證活動，強化質(zhì)量體系運轉(zhuǎn)。抓好重點部位、關鍵部位的施工和管理。項目協(xié)調(diào)組負責所采購的設備必須是近期生產(chǎn)的、全新的、未使用過的和用一流的工藝并用優(yōu)質(zhì)材料制成，且能全面符合本招標文件技術條款所規(guī)定的質(zhì)量、規(guī)格和性能的要求，否則公司將追究相關人員的職責。工程實施組、質(zhì)量監(jiān)督組負責對所采購的設備以及工程的所有部位及施工工藝，進行全過程的質(zhì)量檢查，詳細作好質(zhì)量檢查記錄，編制工程質(zhì)量報表，提交監(jiān)理人審查。工程實施組在施工時能夠嚴格按照施工計劃進行，并對每一個具體安裝環(huán)節(jié)進行仔細檢查，做好安裝日志，不能解決的問題按照規(guī)定及時進行通報并處理。對于釆購、驗收、施工過程發(fā)現(xiàn)的設備缺陷問題，我們將負責在收到通知后24小時內(nèi)進行及時的免費維修或更換有缺陷的設備或部件。文明施工規(guī)范在抓好工程正常施工的基礎上，同時積極做好安全文明施工的督促檢查工作。具體工作中按照有關法律、法規(guī)和章程，以及合同的有關規(guī)定，檢查、監(jiān)督施工安全工作的實施，嚴格按合同規(guī)定履行其安全職責，制定相關安全操作規(guī)程，設置必要的安全管理機構和配備專職的安全人員，配備必要的安全生產(chǎn)設施和勞動保護用具，加強對其職工進行施工安全教育，做好防寒、防滑、防火、防盜、防爆、防觸電和交通安全等各項工作。同時，定期做好施工安全和施工環(huán)境的檢查，對檢查中所發(fā)現(xiàn)存在的安全隱患和不安全因素，及時提出改正，并采取有效措施給予糾正和限期整改。文明施工方面保持施工區(qū)和生活區(qū)的環(huán)境衛(wèi)生，及時清除垃圾和廢棄物，進入現(xiàn)場的材料和設備必須按要求有序置放，防止任意堆放器材、雜物而堵塞工作場地周圍的通道和破壞環(huán)境?，F(xiàn)場工程師需要保持良好形象，需要遵守下列原則：遵守施工守則以及客戶的各種規(guī)章制度；及時做好現(xiàn)場工作環(huán)境遺留物的整理、清理工作；給客戶工程師的現(xiàn)場培訓，并準備給客戶的考試；完成開箱驗貨，代表公司在驗貨單上簽字，同時獲得客戶的簽字或蓋章；每組有一名負責人員，需要每天報告現(xiàn)場的情況，如完成安裝的數(shù)量，有無問題，第二天的計劃等；和客戶保持良好的關系；督導工程人員完成機房準備，設備的安裝，并做好質(zhì)量關。離開每個安裝地點之前，需要總結(jié)該小組在此地完成的工作，遺留的問題等，并需要客戶簽字，復印件交給項目經(jīng)理留存工期監(jiān)控措施強化項目管理，實行項目經(jīng)理負責制，對施工全過程負責，統(tǒng)一組織，加強和甲方的聯(lián)系，確保工期。項目經(jīng)理負責各個方面的協(xié)調(diào)工作,并嚴格對項目的實施質(zhì)量和進度進行定期檢查，如果與計劃進度不一致，則需要做及時的調(diào)整工作。商務協(xié)調(diào)組負責所采購的設備必須是近期生產(chǎn)的、全新的、未使用過的和用一流的工藝并用優(yōu)質(zhì)材料制成，且能全面符合本招標文件技術條款所規(guī)定的質(zhì)量、規(guī)格和性能的要求，否則公司將追究相關人員的職責。工程實施組、質(zhì)量監(jiān)督組負責對所采購的設備以及工程的所有部位及其施工工藝，進行全過程的質(zhì)量檢查，詳細作好質(zhì)量檢查記錄，編制工程質(zhì)量報表，提交監(jiān)理人審查。工程實施組在施工時能夠嚴格按照施工計劃進行，并對每一個具體安裝環(huán)節(jié)進行仔細檢查，做好安裝日志，不能解決的問題按照規(guī)定及時進行通報并處理。對于采購、驗收、施工過程發(fā)現(xiàn)的設備缺陷問題，我們將負責在收到通知7天內(nèi)進行及時的免費維修或更換有缺陷的設備或部件。項目經(jīng)理按照總計劃工期，分階段、分專業(yè)進行控制，采用大流水的施工方法，安排好施工，科學管理和先進技術相結(jié)合，提高工程進度。做好各項施工前的準備工作，認真做好施工設計，并要求各個小組進行熟悉設計（圖紙），做好設計（圖紙）會審、技術交底工作，積極磋商各專業(yè)之間的圖紙問題，預先安排好計劃，為順利施工做好準備。建立例會制度，在總進度控制下，安排月、周作業(yè)計劃。在例會上對主要控制點的進度計劃進行檢查，如有拖延應及時調(diào)整解決，并對存在的問題及時予以處理。安排好施工順序，組織平行、立體交叉施工，各工序互相創(chuàng)造條件，確保工序按計劃進行。提前落實采購、運輸、存儲、檢查等工作，不得因材料供應不及時或者質(zhì)量不合格影響進度。優(yōu)化生產(chǎn)要素配置，組織專業(yè)化隊伍，充分發(fā)揮項目參與人員的積極性，提高工作效率。安全體系和措施項目安全目標：項目安全目標就是保證不影響用戶現(xiàn)有正常工作和業(yè)務運行的情況下順利的完成本次項目的施工。安全技術措施的制定：充分考慮現(xiàn)場環(huán)境，了解熟悉現(xiàn)有系統(tǒng)運行數(shù)據(jù)，設備具體型號、規(guī)格，技術參數(shù)，確認可行性方案。充分了解現(xiàn)場環(huán)境，電源、接地、防雷、通風等現(xiàn)場條件制定周密的安全技術措施。安全保證計劃：項目經(jīng)理根據(jù)合同規(guī)定和項目安全目標的要求配置必要的人力和物力資源，確保安全目標的實現(xiàn)。項目安全保證計劃為項目安全工作的指導性計劃，應在項目開工前編制，經(jīng)項目經(jīng)理(或/和甲方代表)批準后實施。項目安全保證計劃的內(nèi)容包括：指導手冊，控制程序，控制目標，組織結(jié)構，職責權限，規(guī)章制度，資源配置，安全措施，檢查評價。項目經(jīng)理根據(jù)工程特點、現(xiàn)場環(huán)境、安全法規(guī)和標準的要求，采取可靠的事前措施，消除安全隱患，保證項目實施全過程的數(shù)據(jù)信息安全。對可能發(fā)生的安全事件，事前都要做針對性急救預案，防止事故擴大。對本次項目分別制定單項安全技術方案和措施，并對管理人員和技術人員的安全作業(yè)資格進行合格審查。安全保證計劃的實施項目經(jīng)理根據(jù)安全實施責任制的要求，把安全責任目標分解到崗，落實到人。安全實施責任制必須經(jīng)項目經(jīng)理批準后實施。項目經(jīng)理的安全職責包括：認真貫徹安全實施計劃、政策、法規(guī)和各項規(guī)章制度，制定和執(zhí)行安全實施管理辦法，嚴格執(zhí)行安全考核指標，嚴格執(zhí)行安全技術措施和安全技術措施交底制度；每天組織安全實施檢查和分析，針對可能產(chǎn)生的安全隱患制定相應的預防措施；當項目實施過程中發(fā)生安全事故時，項目經(jīng)理將按安全事故處理的有關規(guī)定和程序及時上報和處置，并制定防止同類事故再次發(fā)生的措施。項目人員安全職責包括：認真學習并嚴格執(zhí)行安全技術操作規(guī)程，不違規(guī)作業(yè)；自覺遵守安全實施規(guī)章制度，執(zhí)行安全技術交底和有關安全實施的規(guī)定；服從安全監(jiān)督人員的指導，對本次操作所使用的工具、設備、防護用品及作業(yè)環(huán)境進行安全檢查，消除安全隱患，檢查安全標識是否按照規(guī)定設置，標識方法和內(nèi)容是否正確完整；愛護安全設施；對不安全作業(yè)提出意見，拒絕違章指揮。項目實施中發(fā)生安全事件時，項目經(jīng)理必須按合同和國家法律法規(guī)的相關規(guī)定及時報告并協(xié)助有關人員進行處理。安全技術交底的實施項目開工前，技術負責人必須將作業(yè)指導書、實施方法、實施程序、安全技術措施，向承擔實施的技術人員進行交底。安全保密管理管理機構安全保密管理機構由領導小組、日常維護小組、安全保密檢查小組和安全保密應急響應小組組成，如下所示：圖6：安全管理機構示意圖機構職責1、領導小組主要職責批準安全保密策略；批準安全保密責任分工；批準安全保密安全考核指標；制訂安全事故報告流程；檢查安全保密制度執(zhí)行；安全保密體系的重大事宜決策。2、日常維護小組主要職責該機構是負責整個政務內(nèi)網(wǎng)日常安全保密工作的各項事宜的常設機構。主要職責包括：維護整個政務內(nèi)網(wǎng)安全運行；執(zhí)行安全保密策略；執(zhí)行安全保密制度；制訂安全規(guī)劃；安全保密設備采購；執(zhí)行上級主管部門的安全保密要求。3、安全保密檢查小組主要職責安全保密檢查小組的主要職責包括：每季度對整個政務內(nèi)網(wǎng)進行檢查，發(fā)現(xiàn)問題、堵塞漏洞、消除隱患；對涉密人員進行保密監(jiān)管，開展安全保密教育培訓。4、應急響應小組主要職責該小組負責對涉密系統(tǒng)突發(fā)安全事故的緊急響應和系統(tǒng)恢復，該小組在安全事件發(fā)生時，按照報告制度向有關領導匯報的同時，采取一切必要手段處理安全事故，并與上級部門和有關安全專業(yè)機構合作，在合適的情況下進行事故的分析和取證。信息安全的責任人員包括涉密系統(tǒng)的維護者和使用者。對維護者我們采取了嚴格的甄別和管理措施，確保政治可靠、技術過硬，并進行檢查和培訓，按規(guī)定進行輪崗。對使用者進行安全培訓，保證每人每年的安全培訓不少于1小時，要求他們有強烈的安全意識，并將安全目標落實到人；當其離崗或調(diào)動時采取全面的安全保護措施，如立即更換密碼、進行文檔和介質(zhì)回收。管理人員人員安排的科學性和合理性對政務內(nèi)網(wǎng)網(wǎng)絡安全管理的實施效果具有重大影響。人員相應職責如下：系統(tǒng)管理員：主要負責系統(tǒng)的日常運行維護工作，包括網(wǎng)絡設備、服務器的維護、管理等。安全保密管理員：主要負責系統(tǒng)的日常安全保密管理工作，包括用戶賬戶管理、安全保密設備管理和系統(tǒng)產(chǎn)生日志的審查分析。安全審計員：主要負責對系統(tǒng)管理員、安全保密管理員的操作行為進行審計跟蹤分析和監(jiān)督檢查，以及時發(fā)現(xiàn)違規(guī)行為，并向系統(tǒng)安全保密管理機構匯報相關情況。投標階段的保密管理從公司涉密人員中篩選合適的人員，組成投標工作小組。對投標小組進行保密教育培訓，落實保密責任，責任到人。積極配合項目建設單位做好對本公司的背景、保密資質(zhì)的審查工作，積極提供相應的審查材料;積極配合項目建設單位對本公司的現(xiàn)場考察工作;積極配合項目建設單位做好擬參與項目管理與實施的班子成員及參與投標等人員的背景審查工作。避免“密從口出”、“密從手出”，切實維護國家涉密信息的安全；與招標單位簽訂保密責任書，明確承擔的保密義務與責任;在投標文件中編制詳細的項目全周期的保密方案;簽訂工程項目合同時，將保密協(xié)議納入合同管理。項目準備與立項階段的保密管理組建項目組，所有項目組成員必須為本公司涉密人員;成立項目安全保密組織機構，歸屬公司保密管理辦公室管轄，項目安全保密組織由項目負責人及“三員"共同構成。項目經(jīng)理負責項目安全保密工作的統(tǒng)指揮和領導，并負責上級保密文件及相關指示的有效傳達，確保各項保密管理工作落實到位:“三員”即系統(tǒng)管理員、保密管理員及安全審計管理員，其中，系統(tǒng)管理員負責執(zhí)行項目保密管理工作，安全審計管理員負責對前二者的行為實施審計、核查。落實保密責任。涉密軟件項目管理應依據(jù)“業(yè)務工作誰主管，保密工作誰負責”的原則，將項目過程中的保密責任落實到人，做到依法管理，有法可依，違法必究，責任落實到位。明確項目負責人兼任項目保密責任人。其他項目組成員作為其所負責的相關涉密工作的直接責任人。對項目組成員進行保密教育培訓，重申公司保密制度和項目實施保密方案。與項目組成員簽訂保密承諾書，明確保密義務與責任和相關的獎懲措施。明確項目過程中獲取、產(chǎn)生的項目各階段性成果的知悉范圍，保密責任人，涉密文件的存儲、傳遞、權限管理措施等。為保密措施落到實處，真正發(fā)揮保密作用，應建立完善的監(jiān)督檢查機制。設置監(jiān)督檢查小組，對涉密項目各項管理要求的實施，定期進行檢查核實。檢查小組成員，可由項目組以外的人員組成或者由不同項目分別抽取人員組成。避免檢查包庇、舞弊現(xiàn)象。檢查時間、可采用定期和突擊檢查相結(jié)合的方式，例如每月例行檢查，對“三員”崗位職責、保密宣傳培訓、設備管理、機房管理、計算機及其存儲介質(zhì)管理等各方面，做現(xiàn)場檢查，并記錄實際情況。如果發(fā)現(xiàn)異常情況，更加應詳細記錄異常原因、發(fā)生異常時間、具體異常等，即使上報處理。對于檢查結(jié)果應及時分析、總結(jié)經(jīng)驗、吸取教訓。異常情況，在及時處理妥善的同時，更要追究異常的根本原因，及時調(diào)整保密措施，做到防患于未然。做好項目保密風險評估工作，對項目全過程的保密風險點進行全面的識別與分析，并制定具體的風險應對措施。需求分析與設計階段保密管理在客戶現(xiàn)場進行需求調(diào)研時，嚴格遵守現(xiàn)場保密管理規(guī)定;需求調(diào)研后產(chǎn)生的調(diào)研報告，

用戶需求書以及編制的需求規(guī)格書依據(jù)項目保密方案中的要求進行保密管理，紙質(zhì)和磁存儲介質(zhì)等涉密載體的保密管理嚴格按照公司《保密工作制度匯編》中的涉密介質(zhì)管理辦法。打印、傳遞、銷毀等嚴格遵守審批程序。嚴格控制涉密內(nèi)容的知悉范圍。設計階段產(chǎn)生的設計文檔，

包括技術架構設計、數(shù)據(jù)庫設計、詳細設計等文檔按項目的密級進行保密管理。需求研討和評審會、

設計討論和評審會、工作例會等會議以工作需要原則和知悉范圍最小化原則嚴格控制參會人員，非涉密人員不得參與。會議按照相關保密制度組織召開，加強安全保密措施與參會人員的教育等，并對與會人員進行登記備案，會議記錄按涉密成果管理。系統(tǒng)開發(fā)與內(nèi)部測試階段保密管理技術架構、技術實現(xiàn)原理、程序源代碼、可執(zhí)行代碼等按涉密文件進行管理，對上述文件內(nèi)容進行瀏覽、復制、打印應該嚴格遵守公司保密制度和項目保密管理方案的要求進行，履行嚴格的登記審批手續(xù)，嚴格控制知悉范圍，存儲上述文件的紙介質(zhì)與磁介質(zhì)按公司保密管理制度的涉密載體管理要求進行保密管理。程序開發(fā)人員對項目前階段所產(chǎn)生的階段性成果如需求文檔、設計文檔等的瀏覽或復制、打印要求應嚴格按照工作需要原則和最小知悉范圍原則進行審批登記。嚴格限制項目組成員必須在公司保密場所進行相關程序的開發(fā)，嚴格控制必須使用保密計算機進行程序代碼的開發(fā)。內(nèi)部形成的測試報告依據(jù)項目密級作為涉密文件進行管理。保密監(jiān)督檢查小組定期或隨機對項目的保密工作進行監(jiān)督檢查，及時發(fā)現(xiàn)問題，及時上報，及時整改。

項目實施的保密管理

1)提交運行前審批申請

涉密信息系統(tǒng)在上線運行前需要向保密部門提出系統(tǒng)運行審批申請,并組織最終審批結(jié)論專家做論證。

2)提交系統(tǒng)審批資料

根據(jù)國家保密部門所屬審批單位范圍向授權的系統(tǒng)測評機構要求提供所有審批必要的資料。

3)客戶現(xiàn)場實施

項目實施的現(xiàn)場管理按照公司《保密管理制度匯編》第十章“涉密項目實施現(xiàn)場管理”的規(guī)定執(zhí)行。項目驗收與歸檔的保密管理組織開展項目的信息安全風險評估：形成風險評估報告等相關文檔;該 文檔作為建設單位向?qū)徟块T提出項目竣工驗收申請時的資料。項目初步驗收:形成初步驗收報告，對項目進行整體評價。

對項目的組織管理，項目建設完成情況，項目建設關鍵事宜和項目建設成果，保密管理情況進行闡述。

對項目使用了何種技術路線和手段來支撐建設內(nèi)容，對技術實現(xiàn)、技術運行情況、系統(tǒng)測試情況、技術成果與技術創(chuàng)新點進行闡述。確保驗收文檔與相關資料檔案的完整、準確、系統(tǒng)和安全。重點是檔案的齊全完整性(相對于項目建設內(nèi)容的契合性)、法律效力性(保存正本、原件及簽字蓋章完整)、規(guī)范性(按要求整理歸檔)。項目竣工驗收

初步驗收合格后，配合建設部門向項目審批部門提交竣工驗收申請報告。將項目建設總結(jié)、初步驗收報告、財務報告、審計報告和信息安全風險評估報告等文件作為附件一并上報。

4)項目竣工驗收完成后，由項目經(jīng)理負責組織人員對項目文檔進行清理歸檔，填寫《涉密項目歸檔備案表》，將相關資料準備齊全后與公司保密員進行保密文檔的移交手續(xù)，公司保密管理辦公室對項目文檔的歸檔與移交等進行監(jiān)督與審批。

5)保密管理辦公室與項目經(jīng)理及項目組相關人員對項目的保密管理工作進行總結(jié)與評估。運行與維護的保密管理制定安全保密管理制度,涉密信息系統(tǒng)上線運行后，根據(jù)分級保護管理規(guī)范制定管理策略、組建管理機構，設置專職保密管理人員并監(jiān)督制定的執(zhí)行。

2)定期風險自查

涉密信息系統(tǒng)上線運行后，根據(jù)使用單位具體情況進行定期或不定期風險自評估工作，及時對系統(tǒng)運行、技術、管理新出現(xiàn)的安全威脅制定安全策略與補充措施，并嚴格管理評估數(shù)據(jù)。

3)動態(tài)調(diào)整安全防護技術

涉密信息系統(tǒng)上線運行后，根據(jù)使用單位系統(tǒng)更新情況與風險自評估數(shù)據(jù)及時發(fā)現(xiàn)存在的風險，并動態(tài)調(diào)整安全策略適時補充完善技術、管理的措施。例行保密管理對涉密載體的保密管理、對涉密人員的管理、對公司涉密部門與涉密場所的管理，以及對涉密設備設施的管理等參考公司《保密工作制度匯編》中的相關條款執(zhí)行。人員保障管理針對本項目的實施，XXX以項目領導小組為實施核心，對整個項目的實施、質(zhì)量監(jiān)督、測試保障進行把控。并成立項目調(diào)研組、項目實施組、系統(tǒng)研發(fā)組、測試檢驗組以及質(zhì)量保證組，以確保浙江省安全軟件管理適配改造項目順利開展。XXX項目實施團隊具有信創(chuàng)內(nèi)網(wǎng)項目經(jīng)驗的技術實施團隊，華東地區(qū)團隊人員數(shù)量≥35人。XXX在浙江有授權代理服務機構，并且在每個地市都有1-2名技術服務人員，團隊人數(shù)≥12人，每位工程師都具有我公司頒發(fā)的授權認證證明以及保密承諾書。（1）建立或指定專門工作機構，負責涉密項目保密管理工作；制定保密管理方案，明確保密要素和關鍵部門、部分，明確保密責任和人員分工。（2）人員范圍包括涉及的涉密項目的所有參建人員。（3）各參建單位應設置安全保密管理員，負責項目的日常安全保密管理工作，發(fā)現(xiàn)異常情況及時匯報。（4）參建單位應簽署保密協(xié)議，相關人員需簽訂保密承諾書。（5）承建單位定期對項目人員開展安全保密形勢教育，宣傳安全保密規(guī)定，并有相關記錄。（6）項目建設過程中，相關人員離崗離職必須清退個人持有和使用的涉密載體及信息設備，簽訂保密承諾書，根據(jù)相關規(guī)定辦理移交手續(xù)。（7）進入項目現(xiàn)場，承建單位應對外部來訪人員進行登記，向其會見人員核實身份，并查驗相關證件；所有進入項目現(xiàn)場進行維修、服務、參觀等的外部人員，需由承建單位人員全程旁站陪同。（8）工作人員臨時離開辦公環(huán)境應將信息設備鎖定；工作人員下班或節(jié)假日期間，應關閉信息設備，鎖好門窗，切斷電源，涉密介質(zhì)及相關保密設備應放入保密柜。（9）應將涉密機房、設備間和涉密程度較高的辦公室等地點劃定為保密要害部門、部位，進行標識，禁止外部人員接近或進入。確因工作需要進入的，經(jīng)過審查批準后嚴格按照批準的范圍、路線和要求進入，應對其全程旁站陪同。文檔管理建立文檔管理制度文檔管理的目標是通過對運維服務過程中使用的文檔進行統(tǒng)一管理，達到充分利用文檔提升服務質(zhì)量的目的，確保運維資源符合運維服務的要求。文檔資源包括運維體系文檔、項目軟件文檔資料、服務質(zhì)量管理文檔以及服務報告文檔等。項目實施過程的一個重要環(huán)節(jié)是嚴格的文檔管理，項目文檔是項目實施的原始檔案，項目每個階段的結(jié)果都有嚴密而詳實的文檔記錄，在項目規(guī)劃階段，就嚴格制定出每個階段需要提交的文檔和技術手冊，嚴謹?shù)奈臋n將忠實地記錄工作的全過程，項目文檔對系統(tǒng)長期維護至關重要。同樣，規(guī)范文檔也是確保項目質(zhì)量的重要手段，是對項目工作質(zhì)量審查的重要依據(jù)和線索。在本項目中，各類文檔的管理由專人負責。在項目之初，項目組就約定了項目文檔統(tǒng)一規(guī)范。每份文檔都經(jīng)歷：構思、寫作、驗證、修改、初稿、再修改、定稿的全過程。根據(jù)本次項目要求，文檔至少要包括隨機附帶的技術文檔(使用說明書和操作手冊、維護說明書及維護命令手冊、測試手冊、設備技術說明書、硬件工作原理、軟件使用說明書和操作手冊等)、實施文檔、測試文檔、驗收文檔。上海XXX提供的技術文檔與項目實施成果（包括軟硬件產(chǎn)品）相一致，技術文檔保證全面、詳細，準確。實施本項目所提供的文檔滿足如下要求：滿足正確性：在項目實施的各個階段所編寫的文檔的內(nèi)容，將真實地反映該階段的工作語言表達清晰、準確簡煉。滿足簡明性：規(guī)劃，計劃文檔應當簡潔明了，主要內(nèi)容包括工作范圍，時間安排，影響范圍等方面內(nèi)容。滿足可操作性：實施文檔可供客戶專業(yè)技術人員重復操作，并得到同樣的結(jié)果，文檔中明確實施步驟和過程。滿足規(guī)范性：在實施階段所編寫的各種文檔具有良好的規(guī)范性。文檔的規(guī)范性是指文檔的封面、目錄大綱、格式等符合統(tǒng)一規(guī)范，術語的含義以及圖示符號等符合有關技術規(guī)范的規(guī)定。文檔管理方法做好項目實施與資料的同步項目實施與資料的同步是工程質(zhì)量的有力保證，資料是否及時、正確，是直接反映企業(yè)技術力量和管理素質(zhì)，必須做到項目開展到什么程度，資料反映到什么程度，保證有正確的數(shù)據(jù)資料，定期檢查。及時辦理項目變更手續(xù)從“為用戶著想，為用戶服務”出發(fā)，積極配合用戶所提出的各類設計變更而進行的各類修改工作，并及時辦理項目變更相關各項手續(xù)，修改以手續(xù)為見證，為今后用戶檢修提供依據(jù)。未經(jīng)用戶或設計同意不得擅自修改項目中的一切內(nèi)容。文件管理方法由項目主管確認項目文件的有效性和執(zhí)行計劃；由文檔人員負責文件正確建檔、查詢、保管和分發(fā)到有關的專業(yè)小組；管理人員負責監(jiān)督、檢查現(xiàn)場技術文件的執(zhí)行情況；管理人員負責完整、準確按規(guī)定填寫項目記錄文件表格，及時地收集、整理技術資料并上交秘書分類分冊歸檔，設計方對要求有改變時，及時進行變更。工作文檔規(guī)范在項目實施過程中，本投標方承諾在文檔交付上做好下列工作：及時提供驗收規(guī)范、產(chǎn)品文檔、質(zhì)保書、設計文檔、施工文檔、檢測文檔、項目管理文檔等有關文檔。提供軟硬件安裝、操作、使用、測試、維護手冊。嚴格按照國家軟件工程規(guī)范進行，根據(jù)開發(fā)進度及時提供其他有關文檔。建立運維知識庫問題處理完成后，由現(xiàn)場維護人員對問題處理過程和結(jié)果進行總結(jié)分析，并進行歸類，將相關信息登記在《運維知識庫》中，加入《運維知識庫》的信息應正確歸類，并保證各項內(nèi)容描述簡潔、清晰、易懂，同類相似的問題應歸類待同一條知識庫記錄?！哆\維知識庫》主要內(nèi)容如下：問題定義：分為各個軟件、咨詢、其他等；問題類型：根據(jù)軟件類型按故障現(xiàn)象進行分類，例如XXX主機審計系統(tǒng)，可能出現(xiàn)的故障包括無法上線、終端責任人不一致等；問題現(xiàn)象：對問題現(xiàn)象簡要描述，同類相似的故障現(xiàn)象盡量保持同一描述。問題原因：問題原因的簡要描述；解決方案：排除此問題的處理措施的簡要描述；關聯(lián)表單編號：列舉本條知識庫記錄是從哪些相關表單中獲取的信息。我公司項目經(jīng)理不定期地檢查《運維知識庫》，發(fā)現(xiàn)相似的問題描述是應合并成一條知識庫記錄，如果發(fā)現(xiàn)有更好的解決方案時，應將該方案更新到《運維知識庫》中。安全保障基礎設施信息化系統(tǒng)安全基礎設施主要包括以下內(nèi)容：安全隔離措施網(wǎng)絡防病毒系統(tǒng)監(jiān)控檢測系統(tǒng)設備可靠性設計備份恢復系統(tǒng)安全隔離措施根據(jù)信息化系統(tǒng)部署方案與安全域劃分，需要將內(nèi)外網(wǎng)與其他BD通信網(wǎng)絡采取適當?shù)陌踩綦x措施，如可以通過VLAN、防火墻保護安全域邊界安全，項目實施中根據(jù)已有網(wǎng)絡安全情況確定。防病毒系統(tǒng)網(wǎng)絡防病毒用于預防病毒在信息化系統(tǒng)所在安全域內(nèi)傳播、感染和發(fā)作，后續(xù)項目利用網(wǎng)絡防病毒系統(tǒng)防范病毒入侵和傳播。監(jiān)控檢測系統(tǒng)監(jiān)控檢測系統(tǒng)用于及時發(fā)現(xiàn)操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應用系統(tǒng)以及網(wǎng)絡協(xié)議安全漏洞，防止安全漏洞引起的安全隱患，同時保護信息化系統(tǒng)不受侵害，后續(xù)項目利用漏洞掃描系統(tǒng)解決漏洞掃描問題，發(fā)現(xiàn)和修補安全漏洞，對各種入侵和破壞行為進行檢測和預警，項目實施是統(tǒng)籌考慮。設備可靠性設計信息化系統(tǒng)應考慮設備可靠性設計問題，系統(tǒng)關鍵設備服務器應考慮避免單點故障問題，建議：服務器系統(tǒng)采用栓劑加磁盤柜模式，應用系統(tǒng)與數(shù)據(jù)庫分別安裝在兩臺服務器上，其中一臺作為應用系統(tǒng)生產(chǎn)機，另一臺作為數(shù)據(jù)庫生產(chǎn)機，兩臺服務器連接磁盤柜，應用系統(tǒng)提供生產(chǎn)機為數(shù)據(jù)庫系統(tǒng)提供備份支持，數(shù)據(jù)庫生產(chǎn)機為應用系統(tǒng)提供備份支持，兩臺互相備份，以提高系統(tǒng)的可靠性。備份恢復系統(tǒng)信息化系統(tǒng)應建立有效的備份恢復系統(tǒng)，確保在系統(tǒng)出現(xiàn)故障的情況下能夠重建恢復到出現(xiàn)故障前的狀態(tài)，建議系統(tǒng)采用磁帶機作為離線備份工具。系統(tǒng)應用安全信息系統(tǒng)設計歸結(jié)起來要解決資源、用戶、權限三類問題，在三大要素中，用戶是安全的主題，應用系統(tǒng)的安全也就是圍繞用戶展開的。因此用戶身份的驗證邊成了應用系統(tǒng)必須解決的第一個問題，解決身份問題之后，第二個要解決的問題便是授權，就是確保每個用戶都能授予合適的權限，第三位解決資源的安全性與安全審計問題，需要解決數(shù)據(jù)完整性的問題，這些構成應用系統(tǒng)安全的主體。身份認證系統(tǒng)信息化系統(tǒng)用戶采用實名制，建立統(tǒng)一的用戶信息庫，微系統(tǒng)提供身份認證服務，只有合法用戶才能對信息化系統(tǒng)進行訪問。基于分級保護的測了，身份認證系統(tǒng)支持用戶名、口令認證方式，并支持CA數(shù)字證書認證方式，身份認證應事先一下具體功能：提供分級用戶管理模式，可根據(jù)需要有系統(tǒng)管理授權二級管理員分別管理維護所轄區(qū)域的用戶，以解決大量用戶管理維護的問題。統(tǒng)一認證支持多種身份認證方式，支持用戶名、口令與CA數(shù)據(jù)證書認證方式，在保證信息安全的前提下，滿足不同用戶對系統(tǒng)不同內(nèi)容的訪問需求。統(tǒng)一認證應能對用戶信息、用戶訪問信息、業(yè)務安全保護等級等內(nèi)容進行有效的管理和維護。用戶權限管理可以為用戶設置不同的訪問權限，允許用戶在權限范圍內(nèi)訪問系統(tǒng)不同的功能模塊。信息化系統(tǒng)的授權管理采用集中授權、分級管理的工作模式，即通過系統(tǒng)管理員為二級系統(tǒng)管理員授權管理本機構用戶權限的方式，實現(xiàn)分級授權管理，二級系統(tǒng)管理員管理本機內(nèi)的資源、角色定義、權限分配、權限認證等工作。權限管理主要由管理員進行資源分類配置、用戶角色定義及授權等操作，采用基于角色的訪問控制策略，能夠?qū)τ脩艉徒巧M行靈活授權，在定義角色是，可以采用職稱、職務、部門等多種形式，靈活反應各種業(yè)務模式的管理需求。權限認證主要是根據(jù)用戶身份對其進行權限判斷，以決定改用戶具有訪問相應資源的權限，授權管理系統(tǒng)與統(tǒng)一認證相結(jié)合，為信息化系統(tǒng)提供方便、簡單的、可靠的授權服務，從而對用戶進行整體的、有效的訪問控制，保護系統(tǒng)資源不被非法或越權訪問，防止信息泄露。信息訪問控制建立信息訪問控制機制，對系統(tǒng)功能和數(shù)據(jù)進行分級管理，根據(jù)需要，不僅能夠為合法用戶分配不同級別的功能和數(shù)據(jù)的訪問權限，而且能夠?qū)γ恳粭l信息設置不同的訪問權限，用戶登錄后只能訪問已授權的系統(tǒng)信息。信息系統(tǒng)的資源分為系統(tǒng)資源和業(yè)務資源兩類，系統(tǒng)資源指系統(tǒng)菜單、功能模塊、用戶、角色等系統(tǒng)資源，業(yè)務資源是指相關的業(yè)務數(shù)，如數(shù)據(jù)、文檔等，通過與授權功能的結(jié)合，解決資源的訪問控制。信息訪問控制是授權管理中的一部分。系統(tǒng)日志與審計當用戶對資源進行操作時，系統(tǒng)會對用戶進行認證，認證完了之后是權限檢測，接著執(zhí)行相應的操作。整個過程可以配置日志記錄功能，比如認證日志、權限檢測日志、和操作日志。審計是系統(tǒng)管理員檢查各種日志，發(fā)現(xiàn)安全隱患的過程，比如對同一個賬號的多次認證企圖可能是賬號攻擊，多次權限檢測失敗可能是某個賬號企圖訪問非授權資源，操作日志可以察看每次操作的內(nèi)容，甚至可以用來做數(shù)據(jù)恢復。為了靈活性、系統(tǒng)日志可以由系統(tǒng)管理員配置，對于那些高可靠性的資源可以配置操作日志，對于那些高級密性的業(yè)務系統(tǒng)可以配置認證日志和權限檢測日志。對用戶訪問行為進行跟蹤、記錄，便于事前、事中、事后的安全管理，并為建立有效責任機制和監(jiān)督機制奠定技術基礎。數(shù)據(jù)完整性數(shù)據(jù)完整性指對信息化系統(tǒng)中存儲、傳輸?shù)臄?shù)據(jù)進行數(shù)據(jù)完整性保護。在系統(tǒng)設計與開發(fā)中要解決數(shù)據(jù)可靠存儲的問題，在長距離數(shù)據(jù)傳輸中要充分考慮網(wǎng)絡傳輸質(zhì)量對數(shù)據(jù)完整性的影響，并采取必要的數(shù)據(jù)可靠性傳輸技術手段，確保數(shù)據(jù)的完整性。運行維護保障運維服務目標及服務范圍運維服務目標系統(tǒng)運行維護的最終目標，就是在運行維護管理管理體系基礎之上，提供一個可集中管理、開放維護、高度可擴展、快速響應的運行環(huán)境，實現(xiàn)所有與系統(tǒng)正常運行相關的資源能夠獲得集中管理和按需分配的目的，目標如下：保障軟件的穩(wěn)定性和可靠性；保障軟件的安全性和可恢復性；故障問題的及時響應和修復；人員的技術培訓服務；額外的信息化建設規(guī)劃、方案制定等咨詢服務。運維服務范圍本次服務范圍為浙江省內(nèi)網(wǎng)安全軟件管理適配改造項目安全可靠應用替代工作中的安全軟件，主要包括如下：軟件清單：序號軟件名稱型號/配置數(shù)量1XXX涉密專用配置管理及三合一管理融合系統(tǒng)(融合一)V2.0服務端13客戶端200002XXX打印刻錄安全監(jiān)控與審計系統(tǒng)(涉密專用計算機平臺版)V4.0服務端10客戶端200003XXX主機、服務器監(jiān)控與審計系統(tǒng)(涉密專用計算平臺版)V4.0服務端11客戶端200004XXX涉密專用服務器安全保密授權管理融合系統(tǒng)V2.0服務端（PC機）2客戶端10005XXX終端安全登錄系統(tǒng)(涉密專用計算平臺版)V4.0服務端6客戶端20000服務內(nèi)容依據(jù)客戶現(xiàn)場已部署的軟件清單，我公司對浙江省內(nèi)網(wǎng)安全軟件管理適配改造項目提供如下服務內(nèi)容：服務項說明對用戶提供咨詢服務向用戶解答關于產(chǎn)品功能方面的問題對產(chǎn)品提供技術支持向用戶提供技術支持，包括對問題的判斷，提出可行的解決辦法并最終解決問題。對產(chǎn)品提供缺陷修復服務迅修復正在系統(tǒng)使用中出現(xiàn)的錯誤，保障系統(tǒng)日常業(yè)務的順利運轉(zhuǎn)。對用戶提供數(shù)據(jù)維護服務數(shù)據(jù)維護主要分為以下幾類情況：對因用戶誤操作引起的數(shù)據(jù)問題及業(yè)務問題進行補救，保障相關業(yè)務部門日常業(yè)務的順利進行。配合業(yè)務部門完成一些隨機性或靈活度較大的報表統(tǒng)計或清單的查詢。分析系統(tǒng)中存在的數(shù)據(jù)問題（如:數(shù)據(jù)結(jié)構缺陷等問題），根據(jù)實際情況提出不同的數(shù)據(jù)修正辦法；對可以用技術手段修正的數(shù)據(jù)，進行批量的數(shù)據(jù)調(diào)整。提供用戶調(diào)整服務根據(jù)相關業(yè)務部門提交的書面要求，對系統(tǒng)用戶、角色、權限進行維護操作。產(chǎn)品使用情況的回訪與改善對產(chǎn)品的使用情況進行回訪和總結(jié)，了解用戶對產(chǎn)品的意見與建議并提出系統(tǒng)改善方案。配合相關業(yè)務部門完成產(chǎn)品普及培訓。配合相關業(yè)務部門進一步推廣產(chǎn)品使用，對用戶進行產(chǎn)品的培訓工作。依據(jù)客戶提供的采購的清單，我公司浙江省提供如上服務內(nèi)容。運行維護體系運維組織結(jié)構介紹我公司將在此運維項目中投入業(yè)務水平高、技術能力強的運維人員，采用本公司嚴格規(guī)范的運維管理模式，進行全方面管理。為了進一步確保本項目的進度與質(zhì)量，我公司在本項目運維階段、質(zhì)量管理、技術文檔等方位進行嚴密規(guī)范部署。我公司運維隊伍的組成包括：項目總負責人；運維管理委員會；運維駐點服務小組；技術支持專家組；服務人員準備依據(jù)運維服務方案，我公司培訓相應數(shù)量、具備相應技術資質(zhì)的專業(yè)人員，并向用戶提供人員的：身份證明；健康證明；勞動關系證明；社保繳納證明；學歷和技術專業(yè)資質(zhì)證明。運維成員職責項目經(jīng)理職責：主管運維團隊內(nèi)部管理，制定、分配項目運維工作；與相關人員共同編制、修訂各類項目文檔；與用戶溝通需求等問題；制定需求方案、新增功能模塊研制方案等；協(xié)助項目合作各方溝通；定期檢查運維各項工作執(zhí)行情況，確保運維質(zhì)量；指導、參與運維收尾相關工作。駐點技術支持工程師職責：負責對軟件問題的申報事件進行處理和解決；負責服務端日常性能和運行狀況的監(jiān)控，對問題進行分析處理及建立預警機制；負責整理歸納日常運維知識庫，提交至項目經(jīng)理處；協(xié)助進行項目運維工作規(guī)劃；依據(jù)項目要求與規(guī)劃，負責項目運維的具體實施工作；現(xiàn)場服務、技術支持，并對進行相應故障排查；與研發(fā)相關人員溝通程序調(diào)整問題；測試程序調(diào)整功能，反饋測試問題，并與用戶確認；定期整理、上報月度運維報告；與用戶協(xié)商，確保整個項目運維順利實施，達到預期項目目標。技術支持專家職責：為客戶提供7X24小時的故障響應電話支持；接聽客戶服務熱線電話和介紹（電話/Email/等）客戶服務請求；通過網(wǎng)絡或電話為駐點工程師及客戶提供即時的遠程支持，包括軟件的故障診斷和排除，客戶端軟件的安裝和設置；協(xié)調(diào)多方資源，即時跟進未完成的服務請求。運行維護計劃當系統(tǒng)通過測試、人員培訓、運行環(huán)境搭建等相關工作后，開始正式運行。我公司承諾，系統(tǒng)通過終驗之日起需要提供六年的報修和維護服務。為此，我公司將根據(jù)實際情況以及實際需求，制定運行維護管理計劃，在實際執(zhí)行中，將根據(jù)實際需要進行調(diào)整和完善，結(jié)合定期提交的運行維護管理情況總結(jié)，對下一步計劃實行有效的調(diào)整和改進。運維流程及服務方式服務方式針對本次項目我公司為保證系統(tǒng)的穩(wěn)定可靠的運行，我公司根據(jù)該項目要求提供兩種方式的技術支持服務，分別為：現(xiàn)場服務、遠程技術支持服務。駐點現(xiàn)場支持服務對客戶的系統(tǒng)進行現(xiàn)場維護和巡檢，技術支持工程師對各個系統(tǒng)完成定期巡檢，同時輸出巡檢報告提交給客戶，技術支持工程師還應對客戶的故障問題進行處理，為了讓客戶得到更及時和更快服務，技術支持工程師提供7X24小時的故障相應電話支持。遠程技術支持服務遠程技術服務主要是通過電話過著其他方式受理客戶和技術支持工程師的疑難問題，通過溝通來幫助技術支持工程師解決問題，同時遠程現(xiàn)場運維工程師還可通過電話或者其他方式與客戶主動溝通來提高客戶管理和運維能力。技術培訓服務在多年的系統(tǒng)實施經(jīng)驗，我公司積累并總結(jié)了一套成熟的培訓體系，其中涵蓋了網(wǎng)絡系統(tǒng)、網(wǎng)絡安全、系統(tǒng)維護、設備維護等多方面內(nèi)容，通過系統(tǒng)的、有針對性的培訓，可以讓系統(tǒng)的使用者、維護者對涉及的問題有系統(tǒng)、全面的了解，幫助用戶充分發(fā)揮系統(tǒng)的性能，獨立的進行系統(tǒng)的維護。運行維護服務方案針對本項目的運行維護需求提供以下維護服務：日常運行維護服務應用系統(tǒng)專項維護服務應用系統(tǒng)優(yōu)化調(diào)整服務突發(fā)情況處理服務日常運行維護服務日常運行維護服務將對維護范圍內(nèi)的各類系統(tǒng)的應用情況進行定期巡檢，同時提供解答疑問、誤操作補救、用戶補充培訓和使用情況回訪等服務，并定期提交報告。

定期巡檢本系統(tǒng)采取定期巡檢的方式。日常巡檢采用定期每月一次，發(fā)生故障時適當加大巡檢頻率。巡檢工作主要為了確保系統(tǒng)的正常使用，定期巡檢將出具《系統(tǒng)巡檢報告》。解答疑問對用戶在系統(tǒng)使用、功能等方面的問題，予以解答。誤操作補救根據(jù)