监理对集成商的要求.docx
《监理对集成商的要求.docx》由会员分享,可在线阅读,更多相关《监理对集成商的要求.docx(65页珍藏版)》请在冰豆网上搜索。
监理对集成商的要求
1.监理对承建单位提交项目集成审核要求
承建单位应对整个工程的实施过程予以记录,形成工程实施日记。
监理工程师有权对日记的真实性和内容的完整性予以检查,对内容不符部分,承建单位应予以及时改正。
承建单位应及时提供完善的工程文档,包括网络设备连接物理、逻辑结构图,网络设备配置、服务器、终端、网管设备的配置,综合布线方案,传输介质的选型、综合布线系统品牌选择、价格表等,以及所有计算机和网络设备的中文简明安装、使用、日常维护、管理、出错处理手册。
监理工程师有权对这些手册内容的完整性、正确性进行检查。
承建单位应按工程承包合同提供的图纸,在施工过程中,根椐实际情况的变化,对设计方案作出修改,并及时向本监理单位、建设单位项目组等进行信息传递。
承建单位应对整个工程的实施过程予以记录,形成工程实施日记。
监理工程师有权对日记的真实性和内容的完整性予以检查,对内容不符部分,承建单位应予以及时改正。
承建单位应按工程承包合同提供的图纸,在施工过程中,根椐实际情况的变化,对设计方案作出修改,并及时向本监理单位、建设单位项目组等进行信息传递。
按国家档案管理条例及建设单位的要求,信息工程竣工验收时要提供齐全的竣工资料,经过分析整理、编制归档。
监理工程师在对信息工程实体和应用软件系统进行全面验收之前,首先要对全套完整的工程资料和文档进行全面验收。
督促承建单位及时整理必须报送的信息系统的设计方案、设计图纸、设备/软件/材料等的验收文档、施工记录、检测报告、竣工图纸、软件文档和源代码,经监理单位检查、审核后,签字并加盖公章,移交建设单位项目组。
2监理对承建单位软件工程审核要求
在软件的开发工程中,监理将督促承建单位注意文档的编写工作,以确保每一阶段的结果都能清楚地描述和审查。
文档
计划
需求分析
设计
编码
测试
进行维护
可行性研究报告
项目开发计划
软件需求规格说明
数据需求规格说明
测试计划
概要设计说明
详细设计说明
数据库设计说明
模块开发卷宗
用户手册
操作手册
测试分析报告
开发进度月报
项目开发总结
表1软件生命周期各个阶段的文档编制
根据GB8567-1988《计算机软件产品开发设计编制指南》,在软件开发的各个阶段最多应编制14种软件文档(详见上表)。
在软件开发过程中,可以根据实际情况将其中某些文档合并成一个文档。
以下两表分别就工程所包括的应用子系统和网站系统的文档在软件生命周期各阶段监理控制提出了具体要求。
部分
阶段
质量控制要点
质量控制手段
验收方式
应用系统
需求
分析
调研提纲,包括:
调研的对象、内容、程序和时间;
需求分析报告,包括:
业务流程图、数据流程图、软件规格说明书和初步用户手册;
软件规格说明书,包括:
系统目标、软件功能描述、软件性能和软件安全需求说明、软件规则描述和关键数据项的编码标准
建设单位确认
技术评审
建设单位签字
评审意见
系统
设计
系统详细设计报告,包括:
数据字典、功能模块划分、功能模块说明、模块接口说明、与现行系统接口说明、界面设计、编程规范、测试标准
技术评审
评审意见
程序
编写
编程的时间控制
编程计划
进度报告
技术评审
监理意见
评审意见
系统
测试
培训安排、培训教材、培训考核
测试模型
测试用例
技术评审
技术评审
评审意见
评审意见
系统
试运行
出现的问题修改
汇总问题清单
程序修改确认
系统
验收
竣工文件
验收方案
参加验收工作
监理意见
表2应用子系统文档的监理阶段控制表
3对承建单位信息系统安全工程文件审核要求
信息系统安全工程技术文档的管理,在以下几个方面尤其要重视:
(1)文档的准确性。
监理在实际工作中,对文档的准确性和真实性进行严格检查;
(2)文档的详细程度。
监理对若干重要的信息安全建设内容相关文档的详细程度进行严格检查;
(3)文档的格式和构成。
为避免不必要的工作量,监理要熟知各相关部门对工程文档的要求,在承建单位文档编制时,对其格式、内容进行控制和管理;
(4)常用的信息安全工程文档如下,具体工程可以按照有关规定并根据实际情况进行选择调整。
3.1监理对承建单位管理文档审核要求
(1)管理制度。
包括下列内容:
●工程适用的法律法规;
●管理部门颁发批准的信息安全策略文档资料;
●安全策略审查和评估的相关规定;
●对应不同保密等级的不同保密规程及分类指南;
●信息资产管理规定;
●安全事故处理规程;
●有关物理安全的规定;
●办公设施的保护措施相关文档;
●资产移交的管理规定;
●电源的管理规定;
●信息处理设施管理规程;
●事故管理规程;
●系统数据检验和控制规程;
●系统中软件的管理和措施文档;
●程序源代码库访问规程;
●用户口令管理规定;
●备份策略规程;
●计算机媒体介质操作规程;
●信息处置和存储规程;
●使用网络和网络服务政策;
●系统工具使用规程;
●系统审计规程;
(二)人员、机构与职责。
包括下列内容:
●安全决策机构组成的机构图及职责分工表;
●安全管理人员的职责分工表;
●安全顾问的聘任书;
●安全管理人员履历及专业资格证书;
●人员保密协议范本;
●人员岗位职责规定。
(三)安全运行资料。
包括下列内容:
●安全策略有效性审查和评估的记录;
●召开安全管理会议的会议纪要;
●安全专家的建议记录;
●设备维护记录;
●访问控制策略文档;
●定期的审计分析报告;
●异常情况审计日志和安全事件记录。
3.2监理对系统自测试文档审核要求
包括下列内容:
●测评机构进行测评的测试过程和测试报告及其结论;
●技术测试小组提供的测试大纲、测试报告和测试结论;
●承建单位进行测试的方法和测试报告;
●系统功能测试所采用的方法和检测手段。
3.3监理对工程实施文档审核要求
包括以下内容:
●施工管理文件;
●设计变更文件;
●系统调试分析报告;
●系统培训文件;
●系统移交清单及文件。
3.4需监理审核的其它文档
包括以下内容:
●与第三方合作时签订的合约;
●产品的法定安全测评机构的评估证书;
●外部承包人管理信息处理设施的合同;
●外包软件开发方的资料;
●外包工作人员合约;
●质量手册;
●以上未涉及的且与系统安全相关的文档资料。
4承建单位技术支持与服务文件清单
4.1监理对工程技术支持文档审核要求
监理在审核工程技术支持服务文档前一定要严格审核承建单位的质量检测手段和质量保证体系,产品和服务符合国家标准和行业标准。
承建单位的所有技术文件均符合相应的国际标准、中国国家标准、各行业的相应标准、国际标准化组织标准。
承建单位提供产品和服务都按国内外通行的现行标准和相应的技术规范执行。
4.2监理对工程技术支持与服务文档审核内容
●产品安装与现场培训服务文档检查
检查承建单位是否按合同中提供软件全部完成安装调试或买方派遣技术人员参与整套软件的安装和调试,检查在安装调试过程中卖方的技术人员是否培训和说明软件的安装步骤和应该注意的事项,安装的每一件软件应作安装详细记录。
在安装、调试过程中造成的软件损坏,承建单位已经负全责并解决软件问题,保证系统的正常业务应用。
检查和跟踪从软件到达场地至最终验收签字完成期间,用户掌握系统的情况和承建单位24小时技术支持和服务情况。
产品安装时提供必要的现场培训服务,以便买方技术人员达到独立安装、使用的要求。
●产品正规用户培训服务
对于重要的基础产品(如Web服务器、应用服务器软件)提供正规的用户培训计划和培训文档,并要求承建单位做好培训记录。
●质量保证期内的服务
检查承建单位质量保证期内服务的支持情况,由于技术支持要求五年的服务期,因此监理跟踪和监督承建单位对各种故障及时解决的情况,要求承建单位对一般故障应在接到故障通知后两小时内电话给予解答,仍然无法解决的故障卖方应在24小时内派技术人员到达现场,并于到达现场48小时内解决,特殊情况时协调承建单位动用其公司的所用资源来解除故障,不能影响业务的正常运行。
●质量保证期外的服务
1、热线服务
监理监督承建单位是否提供一条免费热线电话为服务。
2、故障解决服务
检查承建单位是否提供有偿的故障解决方案并提供相应的服务。
4.3监理对工程技术支持与服务文档移交审核
●用户手册
用户的使用手册。
包括系统安装部署手册,系统管理维护手册和最终用户使用手册。
●培训教材
用于培训各种用户(包括安装部署的技术人员,管理维护员,各级统计部门的专业用户以及企业用户)的相关资料,包括纸质的培训材料,用于幻灯演示的电子文档等。
●系统文档
系统在整个开发过程中生成的各种工作文件与技术文档。
包括项目计划文档(项目概要计划、项目实施计划、质量保证计划、配置管理计划、测试方案)、工作各阶段总结与报告(周报、月报)、设计文档(总体设计、概要设计、数据库设计、数据模型实体关系图、界面设计、详细设计等)、开发文档、程序代码、测试报告以及评审报告等。
5监理工作的工程文档移交要求
监理工程档案分为两部分:
一是工程交工技术档案,主要包括能证明工程实施过程中保证质量的主要环节的有关材料,随工程交工一并提交给业主存档备用;另一部分是承建单位积累的实施技术资料、经济资料和管理资料。
主要移交的文件包括:
(一)监理记录类文件
●《工程方案计划报审表》
●《分包单位资格审查申请表》
●《工程阶段测试验收报审表》
●《工程材料设备报审表》
●《工程阶段施工申请表》
●《工程阶段验收报审表》
●《工程变更报审表》
●《监理通知单》
●《工程项目进度计划审核表》
●《工程变更单》
●《软件问题报告》
●《硬件问题报告》
●《监理日志》
●《监理备忘》
●《工程会议纪要》
●《监理周报》
●《顾客文档接收记录表》
●《文档发送记录表》
●《咨询监理项目工作总结》
(二)备档文件
●软件、设备出厂合格证及证明
●所有设备、软件的安装、调试、配置、管理和诊断等全部手册
●自检记录和安装调整测量记录
●隐蔽工程检验记录
●试运行记录
●分项、分部、单位工程质量检验评定、验收报告
●如有必要,工程重要活动、关键部位的声像、图片资料。
(三)重要技术文档
●项目总体需求分析方案
●项目分项、各模块需求分析方案
●项目运行数据分析方案
●项目总体开发设计方案
●项目模块设计方案
●程序设计方案
●开发计划进度方案
●项目系统环境设计方案
●项目实施规划方案
●项目实施记录方案
●接口数据标准手册
●关键模块访问技术操作手册
●管理使用手册
(四)其他文件
●工程数据标准
●工程管理制度
●其他文件
6监理审查承建单位配置管理
6.1审查承建单位软件配置管理的目的
对于项目来说,开发出满足用户需求的、高质量的软件产品是其追求的目标。
而要实现这一目标的关键是建立起一个稳定、可控、可重用的软件流程(SoftwareProcess)。
因为某一软件产品的成败可能维系于关键技术的突破和创新;但对于软件组织而言,要想永葆竞争优势并不断取得成功,那就必须不断地改进它的软件流程。
要进行软件流程改进(SoftwareProcessImprovement)就需要有明确的、量化的对现状的分析和对未来的预期,这些数据来源于对软件过程的度量,而进行度量的前提和基础就是承建档位是否建立了软件配置管理。
因此软件配置管理贯穿于软件开发活动的始终,覆盖了开发活动的各个环节,监理严格要求承建单位指定制定并执行配置管理重要作用之一就是要全面的管理保存各个配置项,监控各配置项的状态,并向项目经理及相关的人员报告,从而实现项目各方对软件过程的控制。
监理要求承建单位按已经审核通过的配置项进行管理不只是为了保存项目信息,而是努力地把开发人员个人的成功经验转化为团队的以及整个组织的经验;当承建单位需要在开发组织内部迅速的共享以往的成果时,配置管理就能发挥作用了。
这样使承建单位工作效率大为提高,很多常见的容易引起管理混乱的问题都能尽量得以避免,从而提高项目效率。
所以,监理在对软件配置管理工作时应以整个软件流程的改进为目标,为软件项目管理和软件工程的其它领域打好基础,以便于稳步推进项目整个软件组织的能力成熟度。
6.2审查承建单位软件配置管理工具选择
古语有云:
“工欲善其事,必先利其器。
”软件配置管理是一项十分繁琐的工作,同时又和整个软件的开发活动紧密地联系在一起,所以在实际工作中更需要有得力的工具辅助。
目前常用的配置管理工具主要有MSSourceSafe、RationalClearCase等,这些工具各有所长,因而只有根据项目的预算和开发组织的些实际情况出发来选择,正所谓“好用就好”。
监理在审查承建单位配置管理工具的选择时主要把握以下几点:
首先,配置管理工具应该提供完善的版本管理的功能。
在该工具的所管理的配置库中,所有的配置项都应清晰、完整的得到保存,相应的操作纪录完备,使得开发组织中的任何人员都能迅速的了解任一配置项的演进过程,并快捷的找到所需的资源。
其次,配置管理工具应具备一定的工作空间的管理功能。
因为项目设计复杂,多个项目同时进行着开发,为了最大程度的利用组织的经验、共享成果,我们有必要在一个共同的配置库里提供多视角的观察手段,在逻辑上按照不同的角色分工来组织信息的选取规则和显示方式,从而能根据需要,在开发人员间灵活的进行分工合作。
由于我们把配置管理工作立足于软件过程的改进,那么我们所选用的工具最好能具有一定的过程控制的能力,能利用它按照本身的开发流程来灵活的建立相应的电子流,并在此过程中记录用于过程度量的相关数据,整合软件过程管理的各个环节,以便于客观的发现问题,高效的解决问题。
另外,监理要求承建单位选取得工具一定要操作简便,不能给开发人员增加过多的负担,因为过多的形式化的约束往往带来人们的反感,使得大家不约而同的选择规避的措施,其结果只能是事倍功半,甚至和我们的目标南辕北辙。
6.3审查承建单位软件配置管理实现的策略
监理在检查承建单位实现配置管理的具体内容主要是从角色、工作职责、工作流程、变更、管理等进行检查和监督,从而实现对项目过程管理和监控。
1.配置库的设置
项目配置库的结构是配置管理活动的重要基础。
首先确认承建单位那种组织形式:
是按配置项类型分类建库和按任务建库:
(1)按配置项的类型分类建库的方式经常为一些咨询服务公司所推荐,它适用于通用的应用软件开发组织。
这样的组织一般产品的继承性较强,工具比较统一,对并行开发有一定的需求。
使用这样的库结构有利于对配置项的统一管理和控制,同时也能提高编译和发布的效率。
但由于这样的库结构并不是面向和各个开发团队的开发任务的,所以可能会造成开发人员的工作目录结构过于复杂,带来一些不必要的麻烦,因此监理建议不要采用这种建库方式。
(2)而按任务建立相应的配置库则适用于专业软件的研发组织。
在这样的组织内,使用的开发工具种类繁多,开发模式以线性发展为主,所以就没有必要把配置项严格的分类存储,人为增加目录的复杂性。
这种建库比较适合项目复杂性和开发单位的需求,因此,监理认为对于研发性的软件组织来说,还是采用这种设置策略比较灵活。
2.分支的划分
在实际的开发活动中系统中,为了让每个开发人员和各个开发团队能更好的分工合作,同时又互不干扰,我们基本上为每个配置项从建立开始就划分成3个不同的分支,让它们分别对应3类工作空间。
(1)私有分支
私有分支对应的是开发人员的私有开发空间。
开发人员根据任务分工获得对相应配置项的操作许可之后,他即在自己的私有开发分支上工作,他的所有工作成果体现为在该配置项的私有分支上的版本的推进,除该开发人员外,其他人员均无权操作该私有空间中的元素。
(2)集成分支
集成分支对应的是开发团队的公共空间。
凡是要为同组人员共享的配置项都从该分支获得。
即各开发人员必须将私有工作空间中的开发成果归并(Merge)到该分支后才能进入下一个开发活动。
所有涉及多人协调的开发工作(如集成测试等)都必须工作在这一空间中。
该开发团队拥有对该集成分支的读写权限,而其他成员只有只读权限。
该分支的管理工作由系统集成员及相关指定人员负责。
(3)公共(主干)分支
公共分支对应的是整个软件开发组织的公共空间。
各个开发小组在现阶段的任务完成后,将可以发布的版本归并到该分支上,将来需要查阅相关资料时,以该分支上的版本为准。
该分支对组织内的全体软件人员开放只读权限。
该分支的管理工作由系统集成员负责。
上面定义的3类工作空间(分支)由配置管理员统一管理,根据各开发阶段的实际情况定制相应的版本选取规则,来保证开发活动的正常运作。
在变更发生时,应及时做好基线的推进。
3.变更控制
对于大型的软件开发项目,无控制的变更将迅速导致混乱,变更控制就是通过结合人的规程和自动化工具,以提供一个变化控制的的机制。
本文所涉及的变更控制的对象主要指配置库中的各基线配置项。
变更管理的一般流程是:
A)由开发人员或系统集成员提出变更需求;
B)由SCCB(软件变更控制委员会)审核并决定是否批准;
C)配置管理员根据SCCB的决定临时开放相应的权限,并备案;
D)系统集成员执行相应的变更。
在这里,将要涉及的变更控制分为两类:
一类是基线的变更控制,另一类是软件版本的变更控制。
(1)基线的变更控制
基线的变更是指在一个软件版本的开发周期内对基线配置项的变更,主要包括基线的应用和更新等活动。
基线变更所涉及的操作主要包括基线标签的定义和标签的使用。
基线标签属于严格受控的配置项,它的命名必须严格按照相关的命名规范来进行。
基线在建立时,按照角色职责的分工,须经SCCB同意并以正式的将该基线的标识和作用范围通知系统集成员,由后者负责执行;基线一旦划定,由该基线控制的各配置项的历史版本均处于锁定或严格受控状态,任何对基线位置的变更请求都必须按变更控制流程,提交SCCB批准,然后由系统集成员执行。
(2)软件版本的变更
监理检查承建单位软件版本的命名规范是否事先制定,并按照开发计划予以发布使用。
在软件版本的演进过程中既需要从以前的版本中继承,又需要相对的独立性。
所以在对于一个子版本(例如某特定用户的定制版本)就需要对一系列配置项从统一的开发起始基线所确定的版本上建立新的分支,然后在此分支上开发新的版本。
因此在这样的变更控制流程中,受控的对象还应包括特定的分支类型,以及工作视图的选取规则,同时配置管理员将在这一过程中担负更多的操作职责。
4.状态统计
承建单位是否已经制定了记录并报告构件和修改请求的状态的机制,并收集关于产品构件的重要统计信息。
例如,它将解决修改这个错误会影响多少个文件的问题等预防和解决方案。
5.审计和审查
城建单位确认产品的完整性并维护构件间的一致性,即确保产品是一个严格定义的构件集合。
例如,它将解决目前发布的产品所用的文件的版本是否正确的问题。
6.过程管理
承建单位是否确保软件组织的规程、方针和软件周期得以正确贯彻执行。
它将解决要交付给用户的产品是否经过测试和质量检查的问题。
7监理对承建单位安全管理的工作要求
安全管理主要任务是在信息系统安全工程中对网络系统、操作系统、应用系统进行管理,对项目安全系统的质量、进度、成本进行控制,并对工程文档进行管理,确保整个信息系统安全工程满足建设单位的信息安全需求,保证整个信息系统安全工程符合国家相关法律法规的规定。
系统安全管理的目标就是确保信息安全系统的“可信度”,主要的监理工作是帮助建设单位确定信息系统的安全风险,通过信息安全相关系统工程的实施,使信息系统的安全风险降到建设单位可以承受的范围内。
重点是:
●监理单位对安全系统的控制主要体现在三个方面:
安全系统方案的审核、安全产品的选择与安装的监督、安全系统的测试与验收。
●帮助客户做好安全需求分析,确保安全需求真实、准确地反映了建设单位用户信息安全的要求,能够切实保护信息系统,降低信息系统的安全风险;
●审核承建单位系统安全方案中安全需求真实、准确地反映了建设单位用户信息安全的需求;
●确认安全方案是否符合有关的国家标准和规定;
●优选安全方案;
●审核安全工程承建单位的资质;
●监督项目安全措施的落实;
●组织和审核系统安全整体测试工作,组织工程的安全验收工作。
●对软件支撑平台,监理单位将重点监督和控制证书认证服务系统、密钥管理中心及密码服务系统、可信时间戳服务系统、授权管理服务系统、基础安全防护系统等方面。
●监理在验收阶段会对系统达到的安全级别进行验收,届时会请具有相关资质的专家或政府授权具有认证资格的权威机构对网络的安全现状进行评估。
信息系统安全工程监理不仅仅是一个纯粹的技术问题,也不是一个简单的管理问题,而是同时从技术和管理的角度,对信息系统安全工程的实施过程进行控制和管理,确保信息系统安全策略和安全技术满足用户的需求,并按照设计方案保质保量地实施,最终提供工程监理报告,实现预期的目标。
信息系统安全工程的监理要从质量、进度和成本等方面进行控制。
7.1保护项目系统数据和资料的安全
工程由于参建单位众多,工程建设过程中会涉及大量的政府机密数据资料,因此本项目的安全保密要求也就异常严格,体现在如下四个方面:
●包括国家、省、地市和县四级系统与主要业务数据的采集和应用的安全。
●系统自上而下的控制流和自下而上数据流安全。
●工程技术数据和资料。
●工程管理数据和资料。
在项目的开发实施过程中,监理必须协助建设单位和各承建单位树立安全保密意识,分别根据工程要求建立起一套严格的适合自身状况的安全保密制度,以确保在整个项目开发实施过程中杜绝出现各类的政府机密数据和资料流失或被非授权使用。
(一)监理对承建单位安全保密制度的审查
行政手段和措施的要求
●承建单位须和该子项目的业主单位签订保密协议:
对于涉及国家机密的工程,要求承建单位应具有国家颁发的涉密资质,在项目合同签订的同时,要求承建单位和该项目的业主单位签订保密协议,在协议中明确规定相关保密政策,制定保密制度等一系列保密管理方法,从管理上堵塞泄密漏洞。
●保密制度教育:
要求和监督承建单位定期对所有参与本项目开发实施的员工重新进行保密工作教育,提高员工的保密意识,消除麻痹思想。
同时建立一套严格的奖惩措施,保证所有员工都对这项工作具有足够的意识程度。
技术手段和措施的要求
●严格保密权限管理:
在开发实施人员中建立不同的涉密权限,保证机密数据在最小范围之内,不会轻易扩散。
●严格项目开发配置管理:
在设计阶段,所有设计文件统一存放于文件服务器中,不允许设计人员在本地进行存储,所有设计工作均在收控的服务器上进行。
在开发阶段,开发人员每次从软件配置库中获得设计文件,进行开发,每日工作结束后,将开发内容提交到临时配置库中,不允许将开发内容保留在本地机器上。
●严格进行载体控制:
所有开发人员的机器配置,均不得配备软盘,移动存
升级会员 