信息系统监理师复习重点

信息系统监理师复习重点（精选7篇）

1.信息系统监理师复习重点 篇一

信息安全概论期末复习提纲

１、试从密码哈希函数、密钥交换、数字签名和证书等几方面论述加密技术在信息安全方面的应用。

（1）密码哈希函数

主要用于保证数据的完整性，该函数必须依赖于被密封文件或数据的所有位，这样，文件或数据的每一位的变化都会影响到校验和的结果。

（2）密钥交换

公钥加密体制可以在两个主体建立加密通道以前，安全地交换相应的对称会话密钥。假设S和R(发送者和接受者)想得到一个共享的对称密钥，假定S和R都已经拥有了用于普通加密算法的公钥，S和R的私钥、公钥分别为kPRIV_S、kPUB_S和kPRIV_R、kPUB_R，S任意选出一个对称密钥K，想把它安全地发给R，并且让R确认该密钥是S所发，则S可以发送E(kPUB_R ,E(kPRIV_S,K))给R。

（3）数字签名

数字签名是指用户用自己的私钥对原始数据的哈希摘要进行加密所得的数据。信息接收者使用信息发送者的公钥对附在原始信息后的数字签名进行解密后获得哈希摘要，并通过与自己用收到的原始数据产生的哈希哈希摘要对照，便可确信原始信息是否被篡改。这样就保证了数据传输的不可否认性。

（4）证书

数字证书是各类实体(持卡人/个人、商户/企业、网关/银行等)在网上进行信息交流及商务活动的身份证明，在电子交易的各个环节，交易的各方都需验证对方证书的有效性，从而解决相互间的信任问题。证书是一个经证书认证中心（CA）数字签名的包含公开密钥拥有者信息以及公开密钥的文件。

从证书的用途来看，数字证书可分为签名证书和加密证书。签名证书主要用于对用户信息进行签名，以保证信息的不可否认性；加密证书主要用于对用户传送信息进行加密，以保证信息的真实性和完整性。

简单的说，数字证书是一段包含用户身份信息、用户公钥信息以及身份验证机构数字签名的数据。认证中心（CA）的数字签名可以确保证书信息的真实性。

２、消息认证有哪些方式？试分析其实现过程。

３、常见的古典密码（替换密码、置换密码）以及现代密码的原理与实现过程。４、何为缓冲区溢出漏洞？其可能产生的危害是什么？（回答要点）

缓冲区是用来存放数据的空间，缓冲区大小是有限的，一旦存放的数据超过了缓冲区的容量就会产生缓冲区溢出，其主要可能的危害有：

（１）（２）（３）（４）

当数据溢出到用户代码区域时，就会使应用程序执行错误代码而运行错误； 当数据溢出到用户的数据空间时，可能覆盖已存在的变量值，使计算结果错误； 当数据溢出到系统的代码区域时，会使系统执行错误指令异常而停机； 当数据溢出到系统的数据空间时，也会导致计算结果错误；

（５）攻击者可能利用缓冲区溢出修改系统代码；

（６）攻击者可能修改旧堆栈指针或改变返回地址，当程序定位到他希望的地方，造成更严重的安全问题。

５、举例说明何为“检查时刻到使用时刻(TOCTTOU)”漏洞？简述其解决方案。（回答要点）（1）选择一个实例说明时关键要讲清楚检查时刻与使用时刻的主体是不同的。（2）可以通过在检查后对主体进行数字签字的方式来防止检查后主体被修改。６、计算机病毒的特点以及运行机制。（传统计算机病毒、宏病毒以及蠕虫病毒）

计算机病毒可分初始化驻留、病毒的传染与传播、病毒表现、反跟踪调试四个部分来讨论其运行机制。

（１）初始化驻留

计算机病毒一般都要加载到系统，驻留于内存，并截取相关的中断，以便进行病毒的传染与传播，控制病毒的潜伏与表现，为此很多病毒还会通过修改系统系统注册表等方法，把自己设置成能够自动加载的程序，当然系统引导性病毒附着于系统引导程序，自然可以保证在系统启动加载。

（２）病毒的传染与传播

传统计算机病毒可通过存储介质间的拷贝和网络进行主动传播，主要是通过截取磁盘读写等一些常用的中断，以便在系统进行磁盘读写或可执行文件加载到内存时对其进行传染，有较强的隐蔽性；而蠕虫病毒主要是利用系统或应用程序的一些漏洞，入侵系统并获取控制权来进行蠕虫病毒在网络上的传播或安装，当然也有通过Email、伪装成常用的工具或游戏软件方法进行间接的传播，蠕虫病毒也可以利用Java、ActiveX等技术“潜伏”在网页中，用户浏览该网页时就有机会进行传播；而宏病毒是利用word等文档中采用的宏，将病毒代码插入这些文档的自动宏、标准宏以及常用的一些模板文件中。

（３）病毒表现

很多病毒进行系统后并不马上表现出一些相关的病毒特征，而是处于潜伏状态，静静地进行病毒的复制与传播，只有在满足一定条件的情况下才会发作，表现出相应的干扰或破坏。很多病毒都有专门的代码时刻检测病毒表现的条件是否满足，通常是把这些代码插入或替换跟时钟有关的一些中断服务程序。

（４）反跟踪调试

很多病毒有专门对付跟踪调试的代码，使得对病毒的分析难以进行，通常是把这部分代码插入或替换单步中断、断点中断等跟程序调试有关的中断服务程序。

而蠕虫病毒主要是利用系统或应用程序的一些漏洞，入侵系统并获取控制权来进行蠕虫病毒在网络上的传播或安装，当然也有通过Email、伪装成常用的工具或游戏软件方法进行间接的传播，蠕虫病毒也可以利用Java、ActiveX等技术“潜伏”在网页中，用户浏览该网页时就有机会进行病毒传播。

蠕虫病毒的主要危害是进行病毒复制传播时，大量激增的数据通信会使网络阻塞，有些蠕虫病毒还会攻击系统的一些安全漏洞使被入侵的系统无法正常工作（如反复启动、死机等），以上这些实际上成了一种拒绝服务攻击。有些蠕虫病毒还跟一些黑客手段结合，如在被入侵的系统中

安装木马，以此达到对被入侵目标的更完全的控制。

宏病毒主要是利用了Office软件提供的宏功能，是一种寄存在Word文档或模板的宏中的计算机病毒。一旦打开这样的文档，宏病毒就会被激活，转移到计算机上，并驻留在 Normal 模板上。从此以后，所有自动保存的文档都会感染上这种宏病毒，如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。为了确保自己有机会运行进驻系统，宏病毒通常感染标准宏、自动宏以及一些通用模板。

７、木马程序的特点、功能以及运行机制。（从程序结构、植入方式、控制等几方面阐述）特洛伊木马程序往往采用的是C/S结构，其Server端程序要先植入被入侵的主机，攻击者使用其Client端程序通过Server程序达到控制被入侵主机的目的。

木马Server端程序采用直接入侵和间接入侵两种植入方法。直接入侵就是通过探测扫描大量主机以寻找入侵主机目标，入侵有安全漏洞的主机并获得控制权，即可在这些主机上安装木马Server端程序，并可利用已入侵主机继续进行扫描和入侵。而间接入侵主要通过伪装软件法、Email法和网页法欺骗用户安装木马Server端程序。木马程序往往通过修改系统注册表等方法，把自己设置成能够自动加载的程序。

木马程序一般具有一下功能：

（１）远程主机的Windows资源浏览(上下载、远程执行)。（２）远程屏幕显示以及键盘、鼠标控制。

（３）Email飞鸽传书功能。通过这一功能一旦被入侵者上网，木马Server端程序就可以及时通过Email通知攻击者，并提供被入侵主机IP地址的和木马Server端程序的端口等重要信息。

８、何为间谍程序(Spyware)、Salami攻击？试分析其运行机制以及主要危害。

Salami是指一种意大利香肠，Salami攻击类似于香肠制作过程，是一种积少成多的非法获取利益的攻击过程。比如每次都将交易的零星小数从总额中扣下，存入自设的账户，日积月累往往可以达到可观的数目，而每次扣掉的金额很小，一般很难被发现，有较好的隐蔽性。

９、何为隐蔽通道？

１０、试简述操作系统对一般对象常用的访问控制方法，分析这些方法的特点并比较之。操作系统中，对一般对象的访问控制采用访问目录、访问控制列表和访问控制矩阵三种控制方法。

采用访问目录的控制方法，每个用户都需要一张访问目录表，该列表指定了该用户可以访问的对象以及访问权限，该方法易于实现。但主要有三个问题，首先，如果所有用户都可访问的共享对象太多，将造成列表太大；另一个问题是如果要撤消某一个共享对象的访问权限，要更新的列表可能很多，开销很大。第三个问题跟文件别名有关。

采用访问控制列表的控制方法，每个对象都有一个列表，列表中包含可以访问该对象的所有主体，以及主体具有的访问权限。这一控制方法可以在列表包含默认用户以及相应的访问权限，这样，特殊用户可以在列表的前面说明其访问权限，而其他用户则是默认的访问权限，这一方法可以大大地减小控制列表，使维护更加方便。

访问控制矩阵是一张表格，每一行代表一个主体，每一列代表一个对象，表中的每个元素都表示一个主体对某一个对象的访问权限。总的说来，访问控制矩阵是一个稀疏矩阵，因为许多主

体对大多数对象没有访问权。访问控制矩阵可以用一个形式为<主体，对象，权限>的三元组表示。但是查找大量的三元组效率太低，故很少使用。

１１、试简述unix系统中Suid访问许可的特点以及应用。

在unix系统中，可以通过对一个可执行文件设置Suid位，使其他用户在运行该程序时获得文件主的访问权限，可以对该文件主的其他文件也有完全的访问权限，而一旦退出该程序，用户恢复其原来的权限。

可以利用Suid访问许可的特点做很多有关系统安全方面的工作，unix系统的口令修改程序就是一个很好的例子，任何用户都可以且只能通过运行该程序来修改自己的口令，而用户自己则不能直接修改口令文件，保证了系统的安全。

１２、何为salt口令？其作用是什么？采用salt口令时的用户鉴别过程。

salt口令的作用是防止在密文口令系统中通过查找相同的口令密文来猜测口令，具体的做法是在原来的口令中加上扩展信息(即salt)，这样即使口令相同，由于每个口令的salt不同，最后口令的密文也不同，避免了从相同的口令密文推测口令的可能性。salt可以是用户的ID+口令创建时间，创建用户的同时，在口令表中要登记相应的salt，这样在用户登录时，根据用户输入的用户名，可以找到口令表中相应的表目，再根据用户输入的口令附加上对应的salt，按照相应的单向加密算法，求得相应的口令密文，跟口令表中的口令密文做比对，以此来确定用户身份的合法性。

１３、试简述数据库的两阶段更新方案。

如果在修改数据的途中计算系统出现故障，则数据库的完整性有可能被破坏，为了解决此问题，数据库系统通常采用两阶段更新方案。

第一阶段称为意向阶段，在这个阶段计算结果，并将其保存于一些临时变量中，这个阶段不会对数据库做任何修改，所以如果在期间系统出现故障，所有的操作可以等系统恢复时重做。

第一阶段的最后事件是设置提交标记，意味着系统进入第二阶段，即永久更新阶段，在这个阶段数据库将前一个阶段保存于临时变量的计算结果复制到相应的数据库字段中，如果在这个阶段系统出现故障，则等系统恢复后只需重复第二阶段的操作即可。提交标记为０或１是区分系统在哪个更新阶段出现故障的依据，数据库系统可以根据不同的情况做不同的处理。

１４、举例说明数据库统计推理攻击的原理以及常用的对策。

数据库统计推理攻击是一种通过非敏感数据(如一些敏感数据的统计结果)推断或推导敏感数据的方法。例如可以综合利用一些敏感数据的“和”和“计数”的统计结果，揭露某个计数为１的分类的个体敏感数据。推理问题是数据库安全中的一个很微妙的弱点，常用的对策有查询控制和数据项控制，其中数据项控制包括有限响应禁止、组合结果、随即样本和随机数据扰乱几种方法。

１５、钓鱼网站攻击原理以及预防方法

钓鱼网站的攻击原理是伪装，通过将黑客控制的网站伪装成另一网站，并发布在互联网上，吸引用户点击链接并输入私密信息，然后进行网络欺诈，严重危害互联网用户的利益，这种诱捕式的攻击类似钓鱼活动，故叫钓鱼网站攻击。常用方式有混淆域名和覆盖受害者主页。

预防方法：

（１）准确记忆常用网址，输入时进入小心校对，以免疏忽大意进入此类网站。（２）不要轻易打开陌生人给的网址，或不熟悉网址，谨防受骗。

（３）安装个人防火墙进行保护，并及时升级病毒库和补丁更新。也可以有安装专门拦截钓鱼网站的安全软件，一旦发现此类网站便将其过滤掉。

１６、对称和非对称加密体制下的中间人（MITM）攻击的原理以及实施过程。

中间人攻击就是一个恶意的中间人可以通过截取加密通信的密钥，偷听甚至修改某些通信内容。假如用户A和用户B要通过公钥体制进行加密通信，则中间人攻击的实施过程如下：

（1）截取用户A发往密钥服务器的要求用户B的公钥的请求，代之以其对用户B的公钥请求，传送给服务器。

（2）当服务器用用户B的公钥进行响应的时候，他又将它截取下来，并将他自己的公钥发送给用户A。

（3）用户A用获取的公钥（实际上是中间人的公钥）对数据进行加密，中间人将截取并解密，读取甚至修改其中的内容，而后重新用用户B的公钥进行加密后，发送给用户B。而以上这些情况用户A和用户B都很难有所察觉。

１７、常见的拒绝服务(DoS)攻击有哪些？试分析各自的特点以及原理；何为分布式拒绝服务(DDoS)攻击？试分析其特点以及运行机制。

DoS是Denial of Service的简称，即拒绝服务，造成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法的用户请求就无法通过。连通性攻击指用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。

（１）连接洪泛是利用ICMP(Internet Control Message Protocol, 网间控制报文协议)的一种网络攻击，而同步洪泛则是利用使用面向会话的TCP协议组的缺陷来实施攻击，它们的本质都是拒绝服务攻击。

（２）以常见的连接洪泛攻击为例，如响应索取、死亡之Ping和Smurf攻击等，说明其原理以及拒绝服务攻击的本质。

（３）同步洪泛攻击则要着重说明三次连接握手的过程，要解释被攻击利用的面向会话TCP协议组的缺陷。

分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力。通常，攻击者利用系统或应用程序的一些漏洞，入侵系统并获取控制权,将DDoS主控程序安装在一个计算机上，在一个设定的时间主控程序将与大量代理程序通讯，代理程序已经通过与主控程序类似的入侵方法被安装在Internet上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术，主控程序能在几秒钟内激活成百上千次代理程序的运行。

拒绝服务攻击是通过一定方式干扰或淹没服务器或个人通信系统，使其无法向用户提供正常

服务的攻击方式。

实例：

(1)同步洪泛：基于TCP/IP协议的对等层次间三次握手，建立对话的机制，攻击者发送大量SYN请求，而不以ACK进行响应，以占满受害者的SYN-RECV连接队列，这样当有真正请求发过来时，其请求将会被丢失。

(2)流量重定向：路由器工作在网络层，负责路由寻址，假设有一个路由器向附近路由器报告它到所有目标地址都有最佳路径，那么其他路由器将会把信息发到该路由器上，该路由器会因被淹没而丢失信息，或直接将所有信息一丢了之，这样就造成了拒绝服务。

DNS攻击是通过系统的漏洞控制一个DNS服务器，修改其中的地址转换表表目，使相应的域名不能转换到正确的IP地址，进而不能访问到相应的网页，这样就造成了拒绝服务。

１８、何为通信流推理威胁？简述对付通信流推理威胁的常用方法。

所谓通信流推理攻击是指通过分析网络通信流量变化和通信的源地址和目标地址，来推理一些敏感的信息。通常采用维护节点间流量平衡来抵御流量分析，还可以洋葱式路由的通信控制方式来隐匿源节点和目标节点的地址，，１９、SSL（Secure Sockets Layer）建立安全通信通道的过程。SSL加密的实施过程如下：（１）客户请求一个SSL会话。

（２）服务器用它的公钥证书响应，以便客户可以确认服务器的真实性（３）客户返回用服务器公钥加密的对称会话密钥，服务器用它的私钥解开。（４）双方用共享的会话密钥进行加密通信。２０、签名代码的机制以及实现过程

签名代码是让一个值得信赖的第三方对代码进行签名，言外之意，使代码更值得信赖，通过数字签名来证实软件来源及发布者的真实身份，签名后代码将不能被恶意修改，这也保证了代码完整性，用户下载到软件包时，也可以验证代码的可信度。

实现过程：

（1）可信任的第三方对代码计算哈希值，并用其私钥进行数字签名。

（2）用户下载代码后，用该第三方的公钥对其进行解密并得到该代码原来的哈希值。

（3）重新求代码哈希值并与原来的哈希值对比，若相同，则说明该代码的真实性由第三方保证，并且该代码没有被恶意修改过。

２１、何为链路加密和端对端加密？试分析它们各自的特点以及利弊。

２２、试简述口令攻击的一般方法，并讨论一个安全的口令选择要注意什么？如何构造一个安全的鉴别系统？

口令攻击有在线口令攻击和离线口令两种。

在线口令攻击是通过截取口令，如果口令是加密的，还要采用暴力攻击、字典攻击或猜测用户可能的口令等方法对口令进行解密。

离线口令攻击则通过分析系统中的口令文件来获得相关的口令。如果口令文件是加密的，则可以采用暴力攻击、字典攻击或猜测用户可能的口令等方法对相关的口令进行解密；如果口令文

件是明文，则系统一般是通过设置访问权限的方法控制对口令文件的访问，攻击者可以通过利用操作系统缺陷来获取对口令文件的访问权限、分析口令可能存放的内存区或利用系统备份来获取相关的口令。

可以通过以下方法来构造一个安全的鉴别系统：（１）帐户封锁。多次登陆错误，就封锁相关的帐户。

（２）鉴别程序响应延时。发生一次登陆错误后，延时显示登陆界面。（３）采用一次性口令。（４）采用质询响应系统。

（５）采用组合健保证安全鉴别。（６）采用生物特征鉴别方式。

２３、一次性口令（包括口令列表、口令令牌）、质询响应系统的实施方案（原理、用户鉴别过程）以及特点比较。

在一次性口令系统中，每个口令就只使用一次，每次鉴别采用不同的口令。可以采用口令列表或口令令牌的方式来管理一次性口令。口令列表中存放着可用的口令，每次鉴别使用一个口令，用户和主机使用相同的口令列表，口令列表方式中对于口令列表的维护是个难题；口令令牌方式使用硬件设备来产生不可预测的口令序列，采用的是同步令牌，这种设备能定时地（如每分钟）产生一个随机数，用户读取设备显示的数据，将它作为一个一次性口令输入，接收端主机执行算法产生适合于当前时刻的口令，如与用户输入的口令相符，则用户可通过鉴别。采用口令令牌方式要解决设备间的时间偏差问题，另外两个口令之间的一个时间间隔内，原来这个口令是可以重用的，截取者有可能会利用这一弱点。

质询响应中，质询和响应设备看起来更象一个简单的计算器，用户先到设备上进行鉴别（通常使用PIN），远程系统就会发送一个称为“质询”的随机数，用户将它输入到设备中，然后将该设备的响应数字传递给系统。这种方式消除了用户重用一个时间敏感的口令的弱点，而且没有PIN，响应生成器即使落到其他人手中也是安全的。

２４、以请求访问文件服务器中的一个文件F为例，试从用户身份鉴别、访问请求授权、访问请求的实现三方面来阐述Kerberos系统的运行机制以及特点。

在Kerberos系统中，该过程分以下三步实现：（１）启动一个Kerberos会话

在用户登陆时，用户工作站将用户的身份发送给Kerberos服务器，在验证该用户是已授权的合法用户后，Kerberos服务器发送给用户工作站一个会话密钥SG和票据授权服务器(G)的一个票据TG，其中用于与票据授权服务器的通信，使用用户的口令进行加密：E(SG+TG, pw);同时给票据授权服务器一个会话密钥SG的拷贝和用户的身份，用Kerberos服务器与票据授权服务器之间共享的KS-TGS密钥加密。

如果用户可以使用它的口令pw成功解密E(SG+TG, pw)，则该用户通过了鉴别，事实上也认证了Kerberos服务器的真实性。用户的口令存放于Kerberos服务器中，没有在网络上传送，保证了系统的基本安全。

（２）获得访问文件的票据

用户U向票据授权服务器发送一个用SG加密的访问文件F的请求，票据授权服务器对U的访问许可进行验证后，它会返回一个票据和一个会话密钥SF，其中SF将用于与文件服务器的通信，返回的票据包含了U的已鉴别身份、F的说明、允许的访问权限、会话密钥SF以及该票据的有效日期等，票据使用一个票据授权服务器与文件服务器之间共享的TGS-F密钥加密，用户以及其他人不能读取、修改或伪造它，其中的时间戳也在一定程度上保证了该票据不能被重用。

已加密的票据和会话密钥SF通过SG加密后返回给用户U，用户解密后即可获得SF，以上这一个过程事实上也认证了票据授权服务器的真实性。

（３）向文件服务器请求访问文件F

用户U向文件服务器发送已用TGS-F密钥加密的服务票据，文件服务器用TGS-F密钥解密后，分析允许的访问权限、票据的时间戳等后，根据要求提供服务，随后的文件传送数据是用会话密钥SF加密的。

文件服务器能用TGS-F解密相应的服务票据，也就认证了其身份的真实性。

２５、试从邮件（电子支票）的机密性、完整性、发送者身份的鉴别和加密密钥的交换四个方面阐述安全邮件系统（电子支票系统）的实现方案。

安全邮件系统通常结合了公钥（非对称）加密体制、密钥（对称）加密体制和数字签名技术，来保证邮件系统的安全性和效率。

邮件系统的机密性通过对邮件的加密来实现，考虑加密解密的效率，通常采用密钥（对称）加密体制，发送者用系统随机产生的对称密钥对邮件进行加密后，再用接受者的公钥对该对称蜜钥进行加密，并将其附在加密后的邮件中，这样接受者收到加密的邮件后，可以先用其私钥解密发送者事先用接受者公钥加密的对称加密密钥，取得该对称密钥，就能够解密邮件，取得邮件明文。

在发送者对邮件进行加密以前，可以先取得该邮件的消息摘要，并用其私钥对该消息摘要进行数字签名，并将数字签名后的邮件消息摘要附在加密邮件中，这样接受者可以用发送者的公钥解密加密的消息摘要，并计算邮件当前的消息摘要，如果与原来保存的一致，就证明邮件没有被篡改，同时也确认了发送者的身份。

试卷组成（１）（２）（３）（４）

单选题 判断题 简答题 综合题

30分 22分

28分 20分

2.信息系统监理师复习重点 篇二

在整个复杂的监理过程中, 又以监理的启动工作最为关键。关系到项目后序工作开展是否可以顺利开展。在项目启动阶段需要特别注意以下工作内容:

1) 明确项目业主单位真正的需求, 信息工程建设前期阶段, 业主单位对需求并不清楚, 不知道自己到底要建成一个什么样的系统。很多工程, 特别是政府工程, 只是因为上级领导部门要求建设, 作为一个形象工程在做, 完全当成了一项政治任务。这样项目的需求是偏离的, 很容易造成投资浪费或者达不到最终使用要求。使用需求才是客户需求的原动力, 把握好使用需求才能建设出真正的优秀项目。在项目建设过程中业主单位领导的需求是很重要的, 但是如果领导对项目了解不透彻, 提出的需求有明显的错误的话, 不能一味的迁就, 不要因为不敢得罪领导而放弃原则。要知道领导是善变的, 如果等到他知道他的要求是过分的时候, 他不会将责任全部揽在自己身上, 反而会说监理没有履行监理责任;2) 严格审核承建单位资质, 妥善处理各个承建单位的关系。如辽宁省金土工程一期项目, 是由10余个子项工程组成, 各子项工程之间有的有紧密的联系, 有的则毫无关系, 这相当于将一个大项目进行了分包, 工程分包有其好处, 也有其负面因素。工程分包有利于发挥各承建单位的发挥其专业优势, 能够提供专业的工程服务。但是过多的承建单位也给管理带来了困难。因此在决定分包项目和选择承建单位的时候应当谨慎行事, 承建单位选择得不好将给工程带来灾难性的后果, 工程的质量、进度都无法得到保障。另外, 国内目前一个重要特色即“人情”现象特别严重, 对于如何拿到项目, 各承建单位也是八仙过海、各显神通。因此往往出现多个承建单位就一个项目各自进行“公关”, 最终甲方难以权衡, 不让任何一方参与项目建设都好。因此, 最后就采取了各个施工单位将项目分开, 各承担一部分, 便出现多家承建单位共治的局面。并且各承建单位为分“蛋糕”多少有些争执, 个别工作职责划分不清, 因此也为后面工作的配合埋下了隐患。在这种形势下, 监理必须确定一个严格的监理制度, 对各承建单位一视同仁, 不让任何一方抓到小辫子, 因为任何一方都得罪不起。在公平的制度下, 才能够公平的处理好各方的关系, 一旦有所偏袒就可能引起其他承建单位的不服, 从而导致监理工作无法进行;3) 开好第一次项目启动会。项目启动会是监理单位、业主单位和承建单位沟通交流的最佳时机, 因此, 需要把握好项目启动会的质量, 认真组织好项目启动会。在项目启动会上, 业主单位须授权监理方对整个项目的进度、质量、投资把关, 业主单位对监理的态度将直接影响承包单位对监理的信服度。所以在第一次项目启动会上需要业主单位充分授权给监理方, 因此建议在启动会召开之前, 就拟好启动会文件, 方便业主单位在会议现场宣读。监理方在第一次监理例会上要将每次监理例会的时间与各方交待好, 告知项目监理工作流程, 部署项目启动阶段工作安排, 并依据项目承建合同明确项目各承建单位工作职责;4) 工程开工前需要审核好承建单位的施工方案。在工程开工前, 承建单位需要将工程项目的施工方案、施工计划报监理审核, 监理确认后开出“开工令”才允许承建单位开始施工。在实际工程项目中却没有把握的这么好, 为什么呢?因为信息工程一般作为土建工程和安装工程的配套工程, 与土建工程同步施工。很多时候如果要等到承建单位的资料全部出来后, 才允许承建单位施工的话, 可能土建施工已经进行一段时间了, 这样就会造成本来要预留预埋的管道没有预留预埋, 导致工程后期的“穿墙打洞”, 这样不仅浪费时间而且浪费财力。所以, 很多时候迫于无奈让承建单位在施工材料没有报上来的情况下, 就先验了材料, 开始预留预埋工作, 边施工边完善资料。承建单位一旦开了工, 就会松懈下来, 因此, 要抓紧敦促承建单位将施工方案报监理审核, 必要的时候可以采取开“停工令”来逼迫施工单位将材料报验。在开工前审核好施工单位的材料是做好项目启动的关键一步。

除了规定各承建单位的负责人必须按规定在工地外, 还需要强调项目监理过程的手续。各承建单位做过很多项目, 在项目现场上的人或多或少的会有一些随意性的思想。必须在强调工程报验的各种手续, 没有履行手续的拒绝进入下一道工序。

监理项目的启动过程中需要注意的问题, 除了以上所述外, 还有很多细节方面需要监理机构注意, 监理工作的启动是整个监理项目的最关键的阶段之一, 因此做好启动阶段的工作, 将决定监理工作是否能够顺利的开展。

摘要：所谓万事开头难, 信息化工程监理亦然, 那么如何才能做好信息系统监理项目的启动工作呢?本文依照信息化工程监理规范, 结合辽宁省金土工程一期项目的实际监理经验, 对项目启动阶段监理工作重点做简要归纳。

3.信息系统监理师复习重点 篇三

【关键词】重点项目；移动GIS；iOS

0.引言

重点项目是指符合国家产业政策和发展规划，对国民经济和社会发展有重大影响，带动区域经济和行业发展，关系到增强综合实力和发展后劲以及产业结构优化升级的重要项目，它是经济社会发展的关键环节，关系到经济发展的可持续性[1]。在既有桌面重点项目管理系统的基础上，开发基于iOS的移动重点项目系统，目的是作为桌面重点项目系统的有效延伸。将重点项目纷繁复杂的资料予以提炼整理分类，在iPad的有限屏幕空间内予以展现，并符合平板操作体验，力求界面简洁、操作简单、信息准确，让用户及时查看了解各重点项目的进展，为政府决策提供信息支撑，从而推进重点项目建设进度。

系统以国家天地图和地方地图服务为支撑，以重点项目数据为对象进行构建，针对用户对于重点项目移动办公的需要，对重点项目的信息进行展示。通过在iPad上的操作，快速读取、查询、定位并显示重点项目的空间位置及其详细信息，将重点项目与空间地理信息进行关联，让决策者一目了然地了解城市重点项目的空间地理分布和建设情况，实现了基于iOS的移动GIS在重点项目管理中的应用。

1.系统设计与实现

1.1系统总体设计

本系统基于iOS平台，利用ArcGIS Runtime SDK，将用户当前位置、重点项目地理信息显示于国家天地图和地方地图底图之上。整个系统采用客户端/服务端结构，客户端与服务器端通过无线网络进行交互，如图1所示。客户端主要负责用户的交互操作，展示用户所需信息。而服务端的主要功能是响应客户端的请求，根据业务逻辑的需要将客户端所需数据传回。复杂的逻辑运算均在服务端完成，尽量减轻客户端的负担。

图1 硬件与网络结构

1.2系统功能设计

桌面重点项目管理系统满足了重点项目业务系统的应用需求，其功能完备、界面复杂。而由于iPad的屏幕尺寸和内存的限制，本系统提炼出用户关心的核心功能并根据平板的特点扩展其特有的功能，主要包含三个部分：重点项目管理、地图操作和个人助理，系统功能结构如图2所示：

图2 系统功能结构

重点项目管理主要从微观和宏观两方面着手。前者通过模糊查询、分类查询、手势查询等多种查询方式找到需查看的重点项目，并通过定位功能查看项目所在地理位置和范围。对于单个重点项目的进一步了解可从基本信息、文书、相册、大事件、最新情况汇报五个方面进行。后者通过地图符号化从整体上展现重点项目的地理分布情况及所属类别，利用统计图表功能从计划汇总、建设阶段、项目类别几个方面把握所有项目的投资额情况。

除了重点项目管理功能外，系统还实现了地图操作功能，主要包括地图切换、测量、定位、标绘、比对等地图功能，用户可借助这些功能更快速准确地了解重点项目及其周边情况，简要记录个人意见。

除了以上两大类专业功能外，系统还提供了个性化的个人助理功能，具体包括管理用户临时文件的公文包，导引用户驾车出行的地图导航以及重点项目数据更新等。

1.3重要功能建设

1.3.1重点项目数据更新

用户可根据自己的需要更新重点项目的数据，更新过程如图3所示，用户发起数据更新的请求，以Json格式传至服务端，服务端通过调用数据更新服务查看oracle数据库中重点项目数据是否有更新，并将查询结果以Json格式传回客户端，若服务端数据无更新则通知用户数据已是最新的，若服务端数据有更新则更新客户端SQLite数据库并用图标标识已更新的项目方便用户查看，如图4所示。

图3 数据更新模式

图4 数据更新界面

1.3.2重点项目详细信息展示

重点项目的详细信息从基本信息、文书、相册、大事记、最新情况汇报五个方面进行展示，这里重点说明文书、相册和大事记的实现：

（1）文书包括预审资料、用地报批资料、建设用地批准书、相关图件四方面的内容，该部分通过iOS SDK的UIWebView类实现的功能主要是PDF文件和JPG、PNG格式图片的浏览。

（2）通过iOS SDK的UIImagePickerController类实现相册管理，拍照、摄像、图像保存等功能，相册主要存储了与项目有关的照片即施工现场、用户视察等照片。

（3）大事记主要指对项目有重要影响的事情，例（下转第149页）（上接第43页）如项目开工、用户视察等，并提供与该事件有关视频的播放功能。系统利用流媒体技术的实时流传输方式进行视频的播放，要求流媒体服务器支持HTTP Live Streaming协议且其视频类型为H.264视频编码的mp4文件。

2.系统关键技术

2.1数据加密技术

作为政府部门使用的软件，最令人担心的就是数据安全问题，因此数据加密变得尤为重要。这里主要从两方面来阐述：客户端数据加密和传输过程数据加密。

客户端的数据包括矢量数据文件和重点项目的信息，这些都存放在自己设计的CSHP格式数据库中，使得窃取者无法快速有效地还原出原本的数据，而且加密程序在客户端，即使拿到数据也无法进行解密。

数据传输安全性方面，Web服务的调用采用SSL/HTTPS进行传输。SSL （Secure Socket Later ）是由网景（Netscape）公司提出，为数据传输提供安全保障的协议。SSL对计算机之间的整个会话进行加密，在建立连接过程中使用非对称密钥而在会话过程中使用对称密钥。在客户端和服务器传输数据前，它们就协议的版本、加密算法的选择、是否验证对方及公钥加密技术的应用进行协商以产生共享的密钥[2]，完成此握手过程客户端和服务器才开始交换数据。通过SSL可以保证数据传输的机密性、完整性以及数据的不可否认性。

2.2地图缓存技术

在理想情况下，用户通过无线网络连接天地图服务器获取地图。但在实际情况中，由于无线网络资源不足以及建筑、树木等的遮挡等各种原因，无线网络信号可能非常弱甚至没有，此时客户端难以连接到服务器，也就不能获取地图。

鉴于此，系统在无线信号良好时将用户浏览过的地图生成离线地图缓存数据，方便用户在离线状态下也能查看地图。本文利用ArcGIS for iOS提供的框架建立自定义离线瓦片图层以供程序调用，而不用去访问服务器。

2.3矢量加载技术

虽然iPad的性能相比其他移动设备更强劲，但随着重点项目矢量数据的增大，加载速度会变慢，用户等待时间会变长。因此本文将加载过程分成两阶段，在欲加载阶段选取具有代表性的200个要素在初始线程进行加载，其他要素转入背景线程加载，以此提高矢量数据的展示速度。

3.结语

重点项目对国民经济和社会发展影响重大，能够带动区域经济和行业发展，关系到增强综合实力和发展后劲以及产业结构优化升级。本文基于iOS平台移动GIS的重点项目移动办公系统充分利用了iOS平台的优势及ArcGIS API的地图功能，探索了移动GIS和重点项目管理相结合的应用开发过程，可为移动GIS向其他领域的拓展提供参考，实现项目的进展情况和存在问题的及时、准确汇总，对推动重点项目的建设具有重要意义。

【参考文献】

[1]李加军.谈如何提高重点建设项目的管理水平[J].山西建筑，2012，38（17）：279.

4.信息系统监理师考点汇总 篇四

信息系统工程监理是指在政府工商管理部门注册的且具有信息系统工程监理资质的单位，受建设单位委托，依据国家有关法律法规、技术标准和信息系统工程监理合同对信息系统工程项目实施的监督管理

信息系统工程监理单位是指具有独立企业法人资格，并具备规定数量的监理工程师和注册资金、必要的软硬件设备、完善的管理制度和质量保证体系、固定的工作场所和相关的监理工作业绩，取得信息产业部颁发的《信息系统工程监理资质证书》，从事信息系统工程监理业务的单位。

监理范围：国家级、省部级、地市级的信息系统工程；使用国家政策性银行或者国有商业银行贷款，规定需要实施监理的信息系统工程；使用国家财政性资金的信息系统工程；涉及国家安全、生产安全的信息系统工程；国家法律、法规规定应当实施监理的其他信息系统工程 监理内容：四控、三管、一协调

监理单位权利和义务:应当按照“守法、公平、公正、独立”原则；按照合同取得监理收入；不承包信息系统工程；不与被监项目的承建单位存在隶属关系和利益关系。不侵害建设和承建单位的知识产权；违犯法律法规，造成重大质量、安全事故的，承担相应经济法律责任 监理人员的权利和义务：根据监理合同独立执行工程监理业务；保守承建单位的技术和商业秘密；不同时从事相关技术和业务活动

监理工作程序:选择监理单位、签订监理合同、三方会议、组建监理项目组、编制监理计划－实施监理业务－参与工程验收－提交监理文档

项目管理重要性:1项目关系到国家、单位利益2需求未清就实施，并不停修改3往往不能按预定进度执行4投资往往超过预算5实施可视性差6信息系统项目管理往往不被重视 项目管理14要素：

1、立项管理：立项准备、立项申请、立项审批、招投标及合同签订；立项阶段的关键在于明确业务需求。

2、计划管理：项目计划是用来生成和协调诸如质量计划、进度计划、成本计划等所有计划的总计划，是指导整个项目执行和控制的文件

3、人员管理：组织结构分职能型、领域型、矩阵型

4、质量管理：由质量计划编制、质量保证和质量控制三方面构成

5、成本管理：管理过程包括资源计划与成本预算、成本控制

6、进度管理：

7、风险管理：风险识别、风险分析、风险应对、风险控制 应对风险：规避、接受、减轻 风险管理计划、应急计划和应急储备

8、合同管理：

9、安全管理：五个层面：物理层面安全、网络层面安全、系统层面安全、应用层面安全和管理层面安全。技术要求的四个方面：物理安全、运行安全、信息安全、安全管理操作管理与行政管理等

10、外购和外包管理：

11、知识产权管理

12、沟通与协调管理：确立沟通框架、项目进度及绩效报告、召开有效的会议、学习与掌握沟通技巧、使用基于电子信息技术和手段的沟通工具。

13、评估与验收管理

14、文档管理

监理体系建设：业务体系、质保体系、组织（管理）体系

监理工作的风险：行为责任风险：工作技能风险：技术资源风险；管理风险 风险防范：谨慎签订监理合同；严格履行合同；提高专业技能；提高管理水平

考前重点汇总

监理规划编制的要求：监理规划的编制应针对工程的实际情况，明确监理机构的工作目标，确定具体的监理工作制度、方法和措施。

监理规划编制的程序：在签订监理合同后，总监理工程师应主持编制监理规划；监理规划完成后，应经监理单位技术负责人审批；监理规划报送业主单位签认后生效。

监理规划编制的依据：与信息系统工程建设有关的法律、法规及项目审批文件等；与信息系统工程监理有关的法律、法规及管理办法等；与本工程项目有关的标准、设计文件、技术资料等，其中标准应包含公认应该遵循的相关国际标准、国家或地方标准；监理大纲、监理合同文件以及本项目建设相关的合同文件

监理规划内容：工程项目概况；监理的范围、内容与目标；监理项目部的组织结构与人员配备；监理的依据、程序、措施及制度；监理工具和设施

监理实施细则编制的要求：监理细则应符合监理规划的要求，结合工程项目的专业特点，具有可操作性。

监理实施细则编制的程序：总监理工程师组织专业监理工程师编制监理细则；监理细则应经总监理工程师批准。

监理实施细则编制的依据：已经批准的项目监理规划；与信息系统工程相关的国家、地方政策、法规和技术标准；与工程相关的设计文件和技术资料；实施组织设计；合同文件

监理实施细则的内容：1工程专业的特点；2监理流程；3监理的控制要点及目标；4监理方法及措施.在监理工作实施过程中，监理细则应根据情况补充、修改和完善，并报总监理工程师批准。质量控制

质量：产品、服务或过程满足规定或潜在要求（或需求）的特征和特征的总和 质量控制：指在力求实现信息工程项目总目标的过程中，为满足信息工程项目总体质量要求所开展的有关的监督管理活动。

因素：工程项目的实体质量：工序、分项工程、单项工程、总体工程适量；功能和使用价值：实用性、可靠性、安全性、经济性。；工作质量：集成、开发及实施中的技术质量、管理质量；资源质量：人。应坚持“以人为控制核心”的原则，人既是工程质量控制的主体，又是质量控制的客体。

信息系统工程质量控制的原则：质量控制要与建设单位对工程质量的监督紧密结合；质量控制是一种系统过程的控制；质量控制要实施全面的控制 三方协同的质量控制

信息系统工程项目是由建设单位、承建单位和监理单位共同完成的，三方的最终目标是一致的，因此质量控制任务也应该由三方共同完成。三方都应该建立各自的质量保证体系。招投标及准备阶段的质量控制

质量控制点：是指对信息系统工程项目的重点控制对象或重点建设进程，实施有效的质量控制而设置的一种管理模式

目的：通过对控制点的设置，可以将工程质量总目标分解为各控制点的分目标，以便通过对各控制点分目标的控制，来实现对工程质量总目标的控制

设置原则：选择的质量控制点应该突出重点；易于纠偏；要有利于参与工程建设的三方共同从事工程质量的控制活动；保持设置的灵活性和动态性

招投标质量控制要点：1协助建设单位提出工程需求方案，确定工程的整体质量目标；2参与标书的编制，并对工程的技术和质量、验收准则、投标单位资格等可能对工程质量有影响的因素明确提出要求；3协助招标公司和建设单位制定评标的评定标准；4对项目的招标文件进行审核，对招标书涉及的商务内容和技术内容进行确认；5监理在协助评标时，应对投标单位标书中的质量控制计划进行审查，提出监理意见；6对招标过程进行监控，如招标过程是否存在不公正的现象等问题；7协助建设单位与中标单位洽商并签订工程合同，在合同中要对工程质量目标提出明确的要求

考前重点汇总

设计阶段质量控制监理要点：1了解建设单位建设需求和对信息系统安全性的要求，协助建设单位制定项目质量目标规划和安全目标规划；2对各种设计文件，提出设计质量标准；3进行设计过程跟踪，及时发现质量问题，并及时与承建单位协调解决。4审查阶段性设计成果，并提出监理意见。5审查承建单位提交的总体设计方案。6审查承建单位对关键部位的测试方案；7协助承建单位建立质量保障体系；8协助承建单位完善现场质量管理制度；9组织设计文件及设计方案交底会，制定质量要求标准。实施阶段质量控制的监理要点：1制订阶段性质量控制计划，是实施阶段性质量控制的基础。2进行工程各阶段分析，分清主次，抓住关键是阶段性工程结果质量控制的目的。3设置阶段性质量控制点，实施跟踪控制是工程质量控制的有效手段。4严格各过程间交接检查。验收阶段质量控制的监理要点：对验收方案的审查和对验收过程的监控来完成的 控制手段：评审；测试；旁站；抽查 进度控制

进度控制是指对工程项目的个建设阶段的工作程序和持续时间进行规划、实施、检查、调整等一系列活动的总称

控制步骤：pdca 计划、执行、检查、行动：编制进度计划、实施进度计划、检查和调整进度计划、分析和总结进度计划。目标：最终实现工程项目按计划的时间投入使用。通过各种有效措施保障工程项目在计划规定的时间内完成，即信息系统达到竣工验收、试运行及投入使用的计划时间 进度控制的范围：对工程建设全过程的控制；对分项目、分系统的控制

影响进度控制因素：1工程质量的影响；2设计变更的影响；3资源投入的影响；4资金的影响；5相关单位的影响；6可见的或不可见的各种风险因素的影响；7承建单位管理水平准备阶段（任务）：1参与招标前准备，协助编制本项目的工作计划；2协助分析项目内容和周期，提出安排工程进度的合理建议；3对合同涉及的产品和服务的供应周期等做详细的说明，建议建设单位做出合理安排；4对招标书中的工程实施计划及其保障措施提出建议，并在招标书中明确规定；5在协助评标时，对投标文件中的进度进行审查，提出审核意见 设计阶段（任务）：1根据工程总工期的要求，协助建设单位确定合理的设计时限要求；2根据设计阶段性输出，由粗而细的制定项目进度计划，为项目进度控制提供前提和依据；3协调、监督个承建（设计）方进行整体性设计工作，使集成项目能按计划要求进行；4提请建设单位按合同要求向承建单位及时、准确、完整的提供设计所需要的基础资料和数据；5协调各有关部门，保证设计工作顺利进行。实施阶段（任务）：1根据工程招标和实施准备阶段的工程信息，进一步完善项目控制性进度计划，并据此进行实施阶段进度控制；2审查承建单位的施工进度计划，确认可行性并满足项目控制性进度计划要求3审查承建单位进度控制报告，监督承建单位做好施工进度控制，对施工进度进行跟踪，掌握施工动态；4研究制定预防工期索赔措施，做好处理工期索赔工作。5在实施过程中，做好投入控制及转换控制工作，做好对比和纠正；6开好进度协调会，及时协调各方关系；7及时处理工程延期申请 验收阶段（任务）：1审核承建单位工程整改计划的可行性，控制整改进度；2建议建设单位要求承建单位以初验合格报告做为启动试运行的依据

进度控制程序：审查进度计划、进度计划的实施监控、工程进度计划的调整、工程进度报告 进度控制的技术手段：1图表控制法：简单直观，但程度不明；2香蕉曲线图法：可以分析进度的速度；3网络图计划法：明确关系、内容、时差

进度控制方法：1坚持动态管理与主动预控、2采用实际值与计划值进行比较的方法进行检查和评价、3运用行政方法、4发挥经济杠杆作用、5利于管理技术进行控制 进度控制的基本措施：组织措施，技术措施，合同措施，信息管理措施 投资控制：

资源计划：是确定为完成项目各活动需要什么资源（人、设备、材料）的种类，以及每种资考前重点汇总

源的需要量。

成本估算：是为完成项目各项任务所需要的资源成本的近似估算。成本预算：将总投资估算分配了落实到各个单项工作上。成本控制：控制预算的变更。

成本估算依赖的资料：1工作分解结构；2资源需求计划；3资源价格；4活动时间估计；5历史资料；6财务报表

成本控制技术经济分析方法的特点：综合性、系统性、实用性、数据化。成本控制技术经济分析方法的步骤：（1）确定目标；（2）调查研究；（3）拟定各种可行方案；（4）方案评价 方案评价的方法：分析各种技术方案在技术上的优缺点；建立各种技术方案的经济指标和各种参数间的函数关系；计算与求解数学模型；技术方案的综合评价

信息系统工程概预算的类型：主要包含量级预算、预算估算和最终预算。

信息系统工程概预算的特点：工程项目的单件性、建设周期长且程序复杂；工期的差异性 预算工具（方法）：类比预算法、自下而上估计法。

信息系统工程概预算存在问题：1信息系统工程建设的成本预算不准确；2进行信息系统工程成本预算的人没有太多的成本预算的经验。3而且有低估的倾向，因此，由信息系统工程建设监理工程师审核估计和询问重要问题以确保预算不产生偏差是十分必要的。

成本估算：对可能数量结果的估计------承建单位为提供产品或服务的花费是多少。

成本估算的方法：类比估计：用先前类似项目的实际数据作为估计现在项目的基础。参数建模：把项目的一些特征作为参数，通过建立一个数学模型预测项目成本。累加估计：单个工作的逐个估计，然后累加得到项目成本的总计。计算工具：项目管理软件用于成本控制。信息系统工程计量是价款结算的基础。实际工作中 工程计量有下面两种情况1由承建单位负责工程计量，并提供计量工作的记录正本和计算结果，经监理工程师和驻地工程师定期检查确认。2如由监理工程师负责工程记录，则承建单位必须提供有关资料，监理工程师和现场工程师的每月工程计量，由承建单位审阅，作为施工付款的依据。付款控制的方法：1按工程标志性任务完成结算2按旬（或半月）预支，按月结算3按月（或分次）预支，完工后一次结算4按工程进度预支，完工后一次结算 信息系统工程成本结算的概念：成本竣工结算是以实物量和货币为计量单位，综合反映竣工验收的项目的建设成果和财务状况的总结性文件。它是项目的实际造价和成本效益的总结，是项目竣工验收报告的重要组成部分，是项目竣工验收和验收结果的反映，是对项目进行财务监督的手段。

信息工程监理成本控制的主要措施：组织措施、技术措施、经济措施、合同措施

项目费用构成：工程监理费；工程前期费；咨询设计费；工程费用（直接费用－人工费、现场经费；实施方案设计费；硬件费用；软件费用；间接费用－企业管理费、财务费用；计划利润；税金）；第三方测试费用；工程验收费用；系统运维费用；风险费用；其他费用 变更控制

工程变更的概念：是指在信息系统工程建设项目的实施过程中，由于项目环境或者其他的各种原因对项目的部分或项目的全部功能、性能、架构、技术、指标、集成方法、项目进度等方面做出的改变。

变更产生的原因：1项目外部环境发生变化，例如政府政策的变化。2项目总体设计，项目需求分析不够周密详细，有一定的错误或者遗漏。3新技术的出现，设计人员提出了新的设计方案或者新的实现手段。4建设单位由于机构重组等原因造成业务流程的变化。

变更控制的基本原则：1变更申请快速响应、2任何变更都要得到三方确认、3明确界定项目变更的目标、4三方都有权提出变更、5加强变更风险以及变更效果的评估、6及时公布变更信息、7选择冲击最小的方案、8防止变更范围的扩大化

考前重点汇总

变更流程：1了解变化、2接受变更申请、3变更的初审、4变更分析、5确定变更方法、6监控变更实施、7变更效果评估

需求变更的确立规则：1每个项目合同必须包括一个控制系统，通过它对项目计划、流程、预算、进度或可交付成果的变更进行评估。2每一项项目变更必须用变更申请单提出，它包括对需求批准的变更的描述以及该项变更在计划、流程、预算、进度或可交付的成果上可能引起的变更。3变更必须获得项目各方负责人的书面批准。4在准备审批变更申请单前，监理工程师必须与总监理工程师商议所有提出的变更。5变更申请单批准后，必须修改项目整体计划，使之反映出该项目变更，并且使变更成为这个计划的一部分。

进度变更的控制：进度计划的实际检查工作。处理好人员安排问题：授权，激励，纪律，谈判。

成本变更控制的方法：偏差控制法；成本分析表法；进度－成本同步控制法

合同变更的条件：1双方当事人确定自愿协商同意，并且不因此而损害国家利益和社会公共利益的；2由于不可抗力致使项目合同全部义务不能履行；3由于另一方在合同约定的期限内没有履行合同，且在被允许的推迟履行期限内仍未履行；4项目合同的变更给另一方当事人造成损失的，除依法可以免责的以外，应由责任方负责赔偿。

合同变更管理控制程序：1建设单位或承建单位提出的项目变更，应编制变更文件，提交总监理工程师，由总监理工程师组织审查。2监理应了解项目变更的实际情况，收集相关资料或信息。3总监理工程师应根据实际情况，参考变更文件及其他有关资料，按照项目合同的有关条款，指定工程师完成下列工作：（确定变更范围及实施难度；确定项目变更内容的工作量；确定项目变更的单价或总价。）4监理应就项目变更费用及工期的评估情况与建设单位、承建单位进行协商。5项目变更内容经建设单位、承建单位同意后进行签认。6监理应根据项目变更单监督承建单位实施。7总监理工程师签发项目变更单之前，承建单位不得实施项目变更。8监理应根据项目变更文件监督承建单位实施。9监理应及时协调合同纠纷，公平地调查分析，提出解决建议。合同管理

合同管理的概念：是指对依法签订的项目合同进行管理的一种活动或制度。信息系统工程监理工作的合同管理是指对工程的设计、实施、开发有关的各类合同，从合同条件的拟定、协商、签署，到执行情况和分析等环节进行组织管理的工作，以达到通过双方签署的合同实现信息系统工程的目标和任务，同时也维护建设单位与承建单位及其相关方的正当权益。信息系统工程合同的分类：按信息系统工程范围划分（总承包合同、单项项目承包合同、分包合同）按项目付款方式划分（总价合同、单价合同、成本加酬金合同）

信息系统合同的作用：1合同确定了信息系统工程实施和管理的主要目标，是合同双方在工程中各种经济活动的依据。2合同规定了双方的经济关系。3合同是监理工作的基本依据，利用合同可以对工程进行进度、质量和成本实施管理和控制。

信息系统工程合同的主要内容：1甲乙双方的权利和义务是合同的基本内容2建设单位提交有关基础资料的期限3项目质量要求4承建单位提交各阶段项目成果的期限5项目费用和项目款的支付方式6项目变更的约定7双方的其他协作条件8违约责任。

信息系统合同管理的原则：事前控制原则；实时纠偏原则；充分协商原则；公正处理原则 索赔的概念：索赔是在信息系统工程合同履行中，当事人一方由于另一方未履行合同所规定的义务而遭受损失时，向另一方提出赔偿要求的行为。

索赔程序：1索赔事件发生约定时间内，向建设单位和监理单位发出索赔意向通知。2发出索赔意向通知后约定时间内，向建设单位和监理单位提出延长工期和（或）补充经济损失的索赔报告及有关资料。3监理单位在收到承建单位送交的索赔报告及有关资料后，于约定时间内给予答复，或要求承建单位进一步补充索赔理由和证据。4监理单位在收到承建单位送交的索赔报告和有关资料后约定时间内未给予答复或为对承建单位做进一步要求，视为该索赔已经被认可。5当该索赔事件持续进行时，承建单位应当阶段性向监理单位发出索赔意向，考前重点汇总

在索赔事件终了约定时间内，向监理单位送交索赔的有关资料和最终的索赔报告。合同争议的概念：是指合同当事人对于自己与他人之间的权利行使、义务履行与利益分配有不同的观点、意见、请求的法律事实。

合同争议的起因：建设单位违约引起的合同争议；承建单位违约引起的合同争议 合同争议的调解程序：无论是承建单位还是建设单位，都应以书面的形式向监理单位提出争议事宜，并程一份副本给对方。1及时了解合同争议的全部情况，包括进行调查和取证。2及时与合同争议的双方进行磋商。3在项目监理机构提出调解方案后，由总监理工程师进行争议调解。4当调解未能达成一致时，总监理工程师应在实施合同规定的期限内提出处理该合同争议的意见：同时对争议做出监理决定，并将监理决定书面通知承建单位和建设单位。5争议事宜处理完毕，只要合同未被放弃或终止，监理工程师应要求承建单位继续精心组织实施。调解不成，两种解决：根据合同向约定的仲裁委员会申请仲裁；向有管辖权的人民法院起诉

知识产权界定的四个方面：商标及其相关标记，专利权和外观设计，著作权，商业秘密 信息安全管理

信息系统安全的定义：信息系统安全是指确保以电磁信号为主要形式的、在信息网络系统进行通信、处理和使用的信息内容，在各个物理位置、逻辑区域、存储和传输介质中，处于动态和静态过程中的保密性、完整性和可用性，以及与人、网络、环境有关的技术安全、结构安全和管理安全的综合。总的来说，信息系统安全就是要保证信息系统的用户在允许的时间内、从允许的地点、通过允许的方法，对允许范围内的信息进行所允许的处理。信息系统安全属性分为三个方面：可用性、保密性和完整性。完整地构建信息系统的安全体系框架，信息系统安全体系应当由技术体系、组织结构体系和管理体系共同构建。

安全管理制度主要内容：1计算机信息网络系统出入管理制度；2计算机信息网络系统各工作岗位的工作职责、操作规程；3计算机信息网络系统的升级、维护制度；4计算机信息网络系统工作人员人事管理制度；5计算机信息网络系统安全检查制度；6计算机信息网络系统应急制度；7计算机信息网络系统信息资料处理制度；8计算机信息网络系统工作人员安全教育、培训制度；9计算机信息网络系统工作人员循环任职、强制休假制度

物理访问管安全理注意事项：1硬件设施在合理范围内是否能防止强制入侵；2计算机设备的钥匙是否有良好的控制以降低未授权者进入的风险；3智能终端是否上锁或有安全保护，以防止电路板、芯片或计算机被搬移；4计算机设备在搬动时是否需要设备授权通行的证明。应用环境的安全管理，监理安全管理策略：火灾的控制；水灾探测器的安置；计算机机房； 逻辑访问的安全管理，监理的主要原则：1了解信息处理的整体环境并评估其安全需求，2通过对一些可能进入系统访问路径进行记录复核，3通过相关测试数据访问控制点，评价安全系统的功能和有效性，4分析测试结果和其他审核结论，评价访问控制的环境并判断是否达到控制目标，5审核书面策略，观察实际操作和流程，与一般公认的信息安全标准相比较，评价组织环境的安全性及适当性等。

架构安全的住处网络系统：局域网的安全VLAN；C ／ S架构安全；互联网的威胁和安全；采用加密技术；网闸，即安全隔离与信息交换系统；防火墙技术；入侵检测系统；安全漏洞扫描；病毒防范；

数据备份的策略和方式：备份策略的选择：1备份策略包括：全备份、差分备份、增量备份和备份介质轮换。2数据备份与恢复技术涉及到的几个方面（存储设备：存储优化：存储保护：存储管理：备份与恢复技术。）

备份方式的选择：硬件备份：软件备份；人工备份；

灾难恢复的策略：1全自动恢复系统；2手动恢复系统；3数据备份系统；4监理单位法：（建议建设单位制定灾难恢复计划；灾难恢复计划的监理工作：）

1获得领导层的支持；2召开解决方案研讨会；3选定负责人；4进行业务影响分析；5评定考前重点汇总

保持业务持续性的战略；6组织全体人员熟悉此项计划；7提供全面的备份中心设施；8灾难恢复计划以文档形式在工作人员之间共享；9在系统上装载和运行必需的工具来衡量恢复解决方案的要求；10保证解决方案中的所有硬件、软件和网络部件的可用性；11提供可扩展的容量来满足组织的预期工作负荷。12进行恢复功能测试和灾难恢复模拟 信息系统工程信息是对参与各方主体从事信息系统工程项目管理（或监理）提供决策支持的一种载体，如项目建议书、可行性研究报告、设计说明书、售后服务协议以及实施标准等。信息系统工程信息具有的特点：1现实性：是信息系统工程信息的最基本性质；2适时性：反映了信息系统工程信息具有突出的时间性的特点；3复杂性：4共用性和增值性

信息系统工程信息资料的划分：1按照工程建设信息的性质划分：引导信息；辨识信息。2用途：投资控制、进度、质量、合同、组织、其他。3按载体划分4按建设阶段信息划分 文档管理过程中应该注意的事项：文档的格式应该统一；文档版本要统一；文档的存档标准要统一规定。

监理在信息管理中的主要文档：1总控类文档：指承检合同、总体方案、项目组织实施方案、技术方案、项目进度计划、质量保证计划、资金分解计划、采购计划、监理规划及实施细则等文档；2监理实施类文档：工程项目变更监理文档、工程进度监理文档、工程质量监理文档、工程监理日报、工程监理月报、工程验收监理报告、工程监理总结报告；（了解每一种报告包含的主要内容）3监理回复（批复）类文件：总体监理意见、系统集成监理意见、软件开发监理意见、培训监理意见、专题监理意见、其它监理意见、提交资料回复单等。4监理日志及内部文件。

日报：针对近期的工程进度、工程质量、合同管理及其他事项进行综合、分析，提出必要的意见

月报：工程概况；监理工作统计；工程质量控制；工程进度控制；管理协调；监理总评价；下月监理计划

验收报告：工程竣工准备工作概述；验收测试方案与规范；测试结果与分析；验收测试结论 总结报告：工程概况；监理工作统计；工程质量概述；管理协调概述；监理总评价 组织协调的基本原则：公平、公正、独立的原则：即“一碗水端平”；守法原则；诚信原则；科学原则。

组织协调的监理单位常用方法：监理会议:项目监理例会；监理专题会议；监理报告：定期的监理周报、月报；不定期的监理报告；监理通知与回复；日常的监理文件；监理作业文件；应掌握的沟通原则：1排除第一印象干扰；2把握人际关系认知的规律；3创造良好的人际交往条件：（外表问题；态度的类似性；需求的互补性、时空上的接近性。）

信息网络系统：

信息网络系统的体系框架：网络基础平台、网络服务平台、网络安全平台、网络管理平台、环境平台

磁盘阵列主要用于网络系统中海量数据的即时存取；磁带库更多的是用于网络系统中海量数据的定期备份；光盘库则主要用于网络系统中海量数据的访问。

网络监理方法：评估、网络仿真、现场旁站、抽查测试、网络性能测试 信息网络系统的验收：网络设备的验收和网络系统的验收

信息网络系统建设准备阶段的过程划分：立项、工程准备、招标等。立项评审的基本原则：简单性、灵活性、完整性、可靠性、经济性等。招投标过程：招标、投标、开标、评标、决标、授予合同 立项阶段监理应协助业主做的工作（任务）：了解业主现有的人力物力情况；为新系统的建考前重点汇总

设确定项目组织和人员配备；编制立项申请报告，并提交给上级主管部门；撰写项目可行性报告。

可行性分析的四个主要方面：经济可行性、技术可行性、系统生存环境可行性、各种可选方案。

可行性分析研究的内容：系统建设的必要性；系统实施计划；系统建设的经济效益。招标阶段监理的重要工作：1.评估投标单位总体技术方案是重中之重；2.审查承建方是重点；3.把好工程投资关是关键。

设计阶段的监理工作主要包括以下内容：1结合信息工程项目特点，收集设计所需的技术经济资料。2配合设计单位对方案设计进行技术经济分析，优化设计。3协助业主进行设计文件的评审。4参与主要设备、材料的选型工作。5审核方案中主要设备、材料清单。6审核系统设计方案及其他详细设计文件。7组织设计文件的报批。8对方案设计内容进行知识产权保护监督。9审核技术放案中信息安全保障措施。10协助业主对工程建设周期总目标进行分析讨论。11审核承建方编制的工程项目总进度计划，并在项目实施过程中控制其执行。12如果与合同有冲突，应督促承建方调整工程进度计划。审核承建方编制的各分项工程阶段进度计划，根据实际环境的变化，督促承建方及时调整进度计划。13审核工程设计和承建方的设备/材料清单和采购计划，并检查、敦促其执行。

设计方案评审的基本原则：1标准化原则；2先进性和实用性原则；3可靠性和稳定性原则；4可扩展性原则；5安全性原则；6可管理性原则7对原有设备、资源合理整合的原则；8经济和效益性原则。

网络基础平台方案评审重点：网络整体规划、网络设备选型、服务器和操作系统选型、网络存储备份系统选型

网络服务平台方案评审重点：Internet网络服务系统规划和选型、多媒体业务网络规划和选型、数字证书系统规划和选型

网络安全和管理平台方案评审重点：防火墙系统；入侵监测和漏洞扫描系统；其他网络安全系统；网络管理系统

环境平台方案的评审重点：机房建设、综合布线系统

网络安全系统监理方应重视以下几方面的内容：1风险分析的有效性、准确性。2确保符合国家法令、法规的要求。3保证有关评审是在相关职能部门的主持下完成的。4从技术、市场、工程组织实施、售后服务等各个环节对网络系统的安全性进行整体和分项评估，避免出现任何技术和管理漏洞。本阶段监理重点归纳：严把方案设计关。统筹规划、充分论证：技术路线、策略和容量配置。细化需求分析工作。跟踪最新行业标准。加强量化测试的重要性

信息网络系统建设实施阶段的监理：实施阶段的监理工作的重点就是“三控两管一协调”。主要监理内容包括：开工前的监理、实施准备阶段的监理、实施阶段的监理（网络集成与测试阶段）。

开工前：1审核实施方案2审核实施组织计划3审核实施进度计划4审核工程实施人员、承建方资质。

准备阶段：1审批开工日期2了解承建方设备订单的定购和运输情况3了解实施条件准备情况4了解承建方工程实施前期的人员到岗情况、实施设备到位的情况。

实施阶段：网络工程监理主要工作1组织布线、网络和安全系统方案设计评审；2检查布线施工和布线测试情况3进行布线系统的监理确认测试4网络硬件设备和配套软件的监理确认测试。集成测试的监理主要工作1评审项目验收大纲及各子系统测试报告2评审承建方应交付的各类文档3组织计算机系统和网络系统的集成测试4组织网络系统的连通性测试5组织软件系统的集成测试。

设备采购的监理主要职责：1审核承建方的采购计划和采购清单；2设备质量、到货时间的审核；3订货、进货确认；4组织到货验收；5设备移交审核；6外购硬件和软件的监理。

考前重点汇总

设备采购监理的重点：1设备是否与工程量清单规定的规格相符

2、设备是否与合同所规定的设备清单相符3设备合格证明、规格、供应商保证等证明文件是否齐全4设备系统要按合同规定准时到货5配套软件是否成熟和满足规范。

设备采购环节的监理流程：1承建商提前三天通知设备到货地点、时间，并提交清单；2协助业主方做好到货验收准备，3进行设备验收并做好记录，4发现缺损要求设备提供商补发或免费更换；5提交设备到货验收监理报告。

机房工程的监理重点：1审查好施工组织方案，重点检查是否有保证工程质量的措施；2控制好施工人员资质，持证上岗3严格贯彻《建筑智能化系统工程实施及验收规范》；4深入现场落实随装随测的要求。

综合布线的监理综合布线工程包括综合布线设备安装、布放线缆、缆线端接三个环节。综合布线的监理内容主要有两项：1按照国家关于综合布线的相关施工标准的规定审查承建方人员施工是否规范；2到场设备线缆验收。隐蔽工程的监理

布线系统测试内容1工作间到设备间的连通状况2主干线连通情况3跳线测试4数据线参数测试。

UTP链路测试主要内容：接线图、链路长度、衰减、近端串扰损耗、连线长度、衰减量、近端串扰、SRL、等效原端串扰、综合原端串扰、回波损耗、特性阻抗、衰减串扰比 光缆测试方法：连通性测试，端－端的损耗测试，收发功率测试，损耗/衰减测试 网络系统安装调试的监理：任何一个网络系统的实施都至少包括两个部分，逻辑设计与物理实现。网络系统的调试与安装通常分为以下几步：1网络系统的详细逻辑设计；2全部网络设备加电测试；3模拟建网调试及连通性测试；4实际网络安装调试。

验收的前提条件：1所有建设项目按照批准设计方案要求全部建成，并满足使用要求。2各个分项工程全部初验合格。3各种技术文档和验收资料完备，符合集成合同的内容。4系统建设和数据处理符合信息安全的要求。5外购的操作系统、数据库、中间件、应用软件和开发工具符合知识产权相关政策法规的要求。6各种设备经加电试运行，状态正常。7经过用户同意

验收方案的审核与实施：1确认工程验收的基本条件（是否符合合同规定的各项内容，文档是否完备，售后服务和培训计划是否完备）。2建议业主、承建方共同推荐人员组成验收组。3确认工程验收是应达到的标准和要求。4确认验收程序（验收准备—初步验收—正式验收—验收资料的保存）。

工程验收的组织：工程验收组一般由业主方组织，监理方、承建方共同参与；验收组应有明确分工，一般为测试小组、资料文档评审小组、工程质量鉴定小组。

售后服务与培训监理：督促承建方按照合同规定，向业主提供相应的培训服务。

验收监理主要内容：1系统整体功能、性能。2主要设备（或子系统）的功能、性能。3承建方提交文档的种类和内容。4系统设计、开发、实施、测试各个阶段涉及的工具和设备都具备合法的知识产权。5承建方的质量保证和售后服务体系。6承建方采取必要的管理和工程措施，以方便系统的扩容和升级。网络基础平台的验收：

1网络基础平台的整体性能：网络整体性能(网络连通性能；网络传输性能；网络安全性能；网络可靠性能；网络管理性能)；服务器整体性能（服务器设备连通性能；服务器设备提供的网络服务；服务器设备可靠性能；服务器设备的压力测试）；系统整体压力测试验收（网络压力测试、系统运行监控测试）。

2网络设备：网络检测主要考虑的指标，吞吐量，包丢失，延时，背靠背性能 3服务器和操作系统 4数据存储和备份系统 服务平台的验收 Internet 网络服务：（电子邮件服务器；www服务器）

考前重点汇总

多媒体业务网络：（voip网络、视频会议系统）数字证书系统（ca系统，ra系统）网络安全和管理平台的验收

主要是对系统中的设备进行验收，包括：防火墙，入侵监测和漏洞扫描系统(入侵监测、漏洞扫描)、其他网络安全系统（网络防病毒、安全审计、Web信息防篡改系统）、网络管理系统（网络管理、系统管理、运行维护管理）等设备。环境平台的验收

机房工程主要系统的验收：UPS电源系统，接地系统，门禁系统、消防系统、照明系统、空调系统。综合布线系统：1环境的验收，主要是各配线间场地的选择以及温湿度的控制；2器材的验收，必须与合同规格等要求相符，符合相关的国家标准，线缆必须满足各项参数要求，机柜等的安装注意事项。3设备安装的验收

说明：信息网络系统的验收应以网络设计的总体设计为基础，主要验证系统的整体性能和主要设备运行性能。另外，在验收工作中，要认识到，应用是根本，应用系统是信息系统的核心。

信息应用系统：

软件概念：包括程序、数据及其相关文档的完整集合。软件特点：1软件是一种逻辑实体，具有抽象性;2软件的质量控制必须着重在软件开发方面下功夫;3软件在使用过程中，有修改与维护;4软件的开发与运行依赖于计算机系统；5软件开发还是手工方式;6软件本身是复杂的;7软件成本昂贵；8软件工作涉及社会因素。信息系统引入监理的必要性由于工程中甲乙双方的信息量的不对称性、信息管理的不对称性使得第三方介入的存在。监理内容：四控三管一协调

监理目标是通过监理工程师的工作，力求在项目的成本、进度和质量目标内实现建设项目。监理方的质量控制体系主要有质量管理组织、项目质量控制、设计质量控制程序、开发质量控制程序、测试质量控制程序和系统验收质量控制程序。

进度控制的目标是在规定的时间内，保质保量地完成应用软件系统建设的全部工作。内容：主要是监控项目的进度、比较实际进度与计划的差别、修改计划使项目能够返回预定“轨道”。进度控制措施有组织、技术、合同、经济和信息管理措施。

进度控制的监理要点：1有明确项目控制的目的及工作任务。2加强来自各方面的综合、协调和督促。3要建立项目管理信息制度。4项目主管应及时向领导汇报工作执行情况，也应定期向客户报告，并随时向各职能部门介绍整个项目的的进程。5项目控制包括对未来情况的预测、对当时情况的衡量、预测情况和当时情况的比较和及时制定实现目标、进度或预算的修正方案。

成本控制的内容：1监控费用执行情况以确定与计划的偏差。2确使所有发生的变化被记录到费用线上。3避免不正确的、不合适的或者无效的变更反映到费用线上。4股东权益改变的各种信息

招投标阶段主要任务：是协助业主制定招标文件和评标标准，监督招标过程，对投标单位进行资质审查，确定中标单位后，参与业主和中标单位的合同谈判，协助业主确定合同条款并最终签订信息应用系统建设合同。可行性研究包括四个方面的研究：：经济可行性：指成本/效益分析，从经济角度判断系统是否“合算”。技术可行性：指技术风险评价，从建设基础、问题的复杂性等出发，判断系统开发在时间、费用等限制条件下成功的可能性。法律可行性：确定系统开发可能导致的任何侵权、妨碍和责任。方案的选择：评价系统或产品开发的几个可能的候选方案，并最终给出结论意见。

招标过程：招标：投标、开标：评标：中标：

考前重点汇总

确定招标方式：1若可以拟定详细的条件，而且服务的性质准许采用招标方式，则可采用公开或邀请招标的方式进行。2若不能确切拟定或最后拟定条件，或采购的服务相当复杂，可采用征求建议书、邀请建议书、两阶段招标、竞争性谈判、设计竞赛等方式。3与其他形式的服务相比，聘用专家提供咨询、研究、监理等服务更侧重对专家知识、技能、经验方面的考虑，故有独特的方式。

审查承建方单位资质：监理单位的主要工作是，协助业主单位对承建单位资质进行审查，如承建单位的软件企业认定情况、系统集成资质情况等，同时考察承建单位在以往的开发过程中是否从事过与本项目相关或相似的开发工作，帮助业主单位选择合格的承建单位，减小项目实施的风险。

审查承建方单位质量管理体系：承建方的质量管理体系是否提供相关认证或评估，标志着承建单位对质量管理的重视程度，也在一定程度上决定了承建单位产品或服务质量水平，因此监理方需对承建单位的质量管理体系进行审查，目前软件企业所遵循的质量管理体系主要有两种：软件能力成熟度模型；ISO质量管理体系

监督招标过程：开标过程监理、评标过程监理、决标过程监理 合同签订管理：监理工程师在与业主与承建单位订立合同的过程中要按条款逐条分析，若发现对业主产生风险较大的条款，要增加相应的抵御条款，要详细分析哪些条款与业主有关、与承建单位有关、与工程检查有关、与工期有关，分门别类分析各自责任和相互联系的关联，做到一清二楚，心中有数。

分析设计阶段监理对应软件工程过程中的软件需求分析和软件设计过程。此阶段主要任务是评审承建单位提交的项目开发计划、质量保证计划和验收计划，这些计划可以作为合同的一部分或合同附件；对需求分析和设计进行质量控制，对由各种原因导致的变更进行控制，协调业主和承建单位的关系。分析设计阶段的系统建设任务：需求分析阶段进入条件。需求分析的目标。需求分析的任务。需求分析阶段成果。设计阶段进入条件。软件设计的目标。软件设计的任务。软件设计的成果。分析设计阶段监理工作内容

项目计划监理的目的：对软件计划的相关内容（重点是组织、技术标准、开发计划、进度要求等）、项目计划过程、项目计划组织、文档格式进行审查，确认是否满足要求；给出是否符合要求的结论；确定其可否做为软件开发的前提和依据。

项目计划监理的基本准则：1承建单位制定了软件项目计划，同时该项目计划通过正式的评审，2软件项目计划对项目组织、进度计划、工程标准进行了承诺，3项目的风险分析合理，风险管理方案可行。4项目的阶段划分是明确的。软件质量管理体系监理（软件管理过程监理的内容）：1监督应用软件系统建设承建单位根据项目合同和业主应用软件系统需求，制定项目软件工程和管理活动，结合成为密切相关、定义完整的项目软件过程。2评估项目软件过程的技术合理性，包括是否符合标准和规范，是否符合项目合同和业主技术要求。3项目软件过程文档化，并得到批准；监督和控制承建单位的项目软件过程的状态，促使承建单位支持和实施项目软件过程，提高软件项目实施的计划性，减少软件项目实施的风险。4监督应用软件系统建设承建单位在软件开发过程中按照项目软件过程的规范实施，跟踪、记录和审查软件管理过程活动

软件质量保证计划监理：1确保项目遵循书面的承建单位管理策略来实施软件质量保证，承建单位成立了软件质量保证活动的组织。2控制承建单位依据书面规程，为软件项目制定软件质量保证计划，保障软件质量保证计划符合项目软件过程的规范要求。3参加承建单位的软件质量保证组按照软件质量保证计划进行的活动。4参加承建单位的软件质量保证组评审软件工程活动，验证软件工程活动与软件项目计划的一致性。5参加承建单位软件质量保证组审核指定的软件产品，依据指定的软件标准、规程和合同需求对可交付的软件产品进行评价，验证软件产品与软件项目计划的一致性。6控制承建单位依据书面规程，归档和处理软件活动和软件工作产品中的偏差，管理和控制不一致性问题的文档。7软件监理人员和业主考前重点汇总的软件质量保证人员定期对软件质量保证组的活动和结果进行评审。8跟踪和记录软件质量保证活动的情况，审查软件质量保证活动，并给出软件质量保证监理报告。

软件配置管理监理：1确保应用软件系统建设承建单位的配置管理组织和环境按照软件项目计划的要求成立并配备。2控制承建单位依据书面规程，为应用软件系统建设项目制定软件配置管理计划。3监督承建单位使用审批通过的、文档化的软件配置管理计划作为实施软件配置管理活动的基础。4控制承建单位依据的书面规程，对所有配置项/单元的更改请求和问题报告实施初始准备、记录、评审、批准、和跟踪。5监督承建单位依据书面规程，控制对基线的更改。6控制承建单位编制软件配置管理报告，证明软件配置管理活动和软件基线库的内容，并提供给业主。7监督承建单位依据书面规程，进行软件基线库的审核，进行软件配置管理活动状态的跟踪和记录。8定期审查软件配置管理活动和软件配置管理基线，以验证它们与文档定义的一致性。9审核软件配置管理活动及其工作产品，并给出软件配置管理监理报告。

需求说明书评审内容： 清晰、完整、依从、一致、可行、可管理性 软件分包合同监理：定期审查软件分包合同的管理活动。根据实际需要随时跟踪和审查软件分包合同的管理活动。评审和（或）审核软件分包合同的管理活动及其产品，并报告结果 设计说明书：清晰、完整、依从、一致、可行性、数据使用、功能性、接口、可维护性、性能、可靠性、易测性、可追溯性

详细设计说明书：清晰、完整、依从、一致、正确性、数据使用、接口、可维护性、性能、可靠性、易测性、可追溯性

测试计划：完整、依从、一致、正确、详细级别/程度、易测性/可行性、可追溯性

软件编码规范评审：评审的目的是为使程序具有良好的风格，便于阅读。具体表现在：源程序文档化、数据说明、输入/输出等。

实施阶段的系统建设任务：编码阶段、测试阶段（单元测试、集成测试、确认测试、系统测试）试运行及培训阶段（试运行、培训）

编码阶段监理活动：1监督承建单位将合适的软件编码工程方法和工具集成到项目定义的软件过程中。2监督承建单位依据项目定义的软件过程，对软件编码进行开发、维护、建立文档和验证，以实现软件需求和软件设计。3软件监理组跟踪和记录软件编码产品的功能性和质量。

监理方法：定期审查、抽查、评审：1定期审查软件编码的工程活动和工程进度。2根据实际需要对软件编码工程活动、工作进度进行审查。3对软件编码工程活动和产品进行评审和（或）审核，并报告结果。

测试阶段监理活动：测试方法、文档管理、监督确认测试、监督系统测试、追踪测试结果。（监督承建单位将合适的软件测试工程方法和工具集成到项目定义的软件过程中。监督承建单位依据项目定义的软件过程，对软件测试进行开发、维护、建立文档和验证，以满足软件测试计划的要求。监督承建单位依据项目定义的软件过程、计划和实施软件的确认测试。计划和实施软件系统测试，实施系统测试以保证软件满足软件需求。软件监理组跟踪和记录软件测试的结果）

监理方法：定期检查、必要抽查、评审。1定期审查软件测试的工程活动和工作进度。2根据实际需要对软件测试工程活动进行跟踪、审查和评估。3对软件测试工程活动和产品进行评审和（或）审核，并报告结果。

试运行及培训阶段监理:试运行：记录问题、督促解决、监督培训。培训：监督培训计划、监督培训实施、记录培训效果

试运行监理重点：1协助业主方和承建单位处理系统试运行期间出现的各项问题，并予以记录；2对于一些重复出现的问题，在验收测试时给予必要的关注，督促承建单位必要的解决措施；3监督检查承建单位试运行阶段的培训工作。

技术培训监理重点：1监督承建单位按照合同和业主的要求制定培训计划；2审核培训计划考前重点汇总的可操作性，要求在培训计划中明确培训对象、培训教材、培训时间、培训方式和培训师资；3监督技术培训计划的实施，对培训教材和师资进行评估，将培训计划执行的情况和效果通报给业主。

验收阶段监理 验收负责单位：业主组织、监理辅助、承建方配合；业主工作：审核承建方的验收方案确定验收方案。承建方工作：内部测试准备、验收准备工作、验收申请提交、验收方案准备

验收过程：1提出验收申请、2制定验收计划、3成立验收委员会、4进行验收测试和配置审计、5进行验收评审、6形成验收报告、7移交产品

验收阶段的监理工作：监理重点：软件配置审核、验收测试。具体分为文档审核、源代码审核、配置脚本审核、测试程序或脚本审核和可执行程序测试。

验收组织：1组织机构及人员组成（不少于5人的单数，验收测试组和配置审核组，三方加专家）2验收委员会的任务及权限（判定所验收的软件是否符合合同要求；审定验收环境；审定验收测试计划；组织验收测试和配置审核，进行验收评审，并形成验收报告）3验收的地点及条件（符合合同或验收方案规定）4验收记录及报告

验收的基本原则：1验收测试和配置审核是验收评审前必须完成的两项主要检查工作，由验收委员会主持。2测试组再认真审查需求规格说明、确认测试和系统测试的计划与分析结论的基础上制订验收测试计划。3配置审核组再需求规格说明、确认测试、系统测试等过程中形成的产品的变更管理及审核工作的基础上开展审计。4原有测试和审核结果凡可用的就可用，不必重做该项测试或审核；同时可根据业主单位的要求临时增加一些测试和审核内容。5测试组在完成测试验收的同时，完成功能配置审核，即验证软件功能和接口与“合同”的一致性。6配置审核组完成物理配置审核，检查程序和文档的一致性、文档和文档的一致性、交付的产品与“合同”要求的一致性及符合有关标准的情况。

配置审核：审查（程序、脚本；主要的开发类文档；主要的管理类文档）审核（计划、预审会议(可选)、准备阶段、审核会议、问题跟踪）

测试条件：1软件开发已经完成，并全部解决了已知的软件缺陷。2验收测试计划已经评审并批准，并且置于文档控制之下。3对软件需求说明书的审查已经完成。4对概要设计、详细设计的审查已经完成5。对所有关键模块的代码审查已经完成。6对单元、集成、系统测试计划和报告的审查已经完成。7所有的测试脚本已经完成，并至少执行过一次，且通过评审。8使用配置管理工具且代码置于配置控制之下。9软件问题处理流程已经就绪。10已经制定、评审并批准验收测试完成标准。测试内容：安装（或升级）、启动与关机、功能测试、性能测试、压力测试、配置测试、平台测试、安全性测试、恢复测试、可靠性测试

验收准则：1软件产品符合“合同”或“验收标准”规定的全部功能和质量要求。2不同安全性关键等级的软件均通过《软件测试细则》文档要求的各项测试。3文档齐全，符合“合同”或“验收标准”要求及有关标准的规定。4文档和文档一致，程序和文档相符。5对被验收软件的可执行代码，在验收测试中查出的错误总数，依错误严重性不超过业主单位事先约定的限制值。6配置审核时查出的交付文档中的错误总数不超过业主单位事先约定的限制值。

验收报告内容：验收的各项内容、评价与验收结论、验收委员会全体成员签字。验收委员会主任意见。

验收未通过的处理：重新验收或合同争议。

移交监理实施：1审查承建单位的项目资料清单、2协助业主和承建单位交接项目资料、3确保软件文档和软件的一致性。4开发软件做好备份，保管在安全的地方，文件材料归档。保障期监理：1督导承建单位按照“合同”规定及时进行系统保障，抽查系统保障的执行情况。2对项目业主方提出的质量问题进行记录。3督促承建单位进行修复和维护。4对承建单位进行修复的内容进行确认。

考前重点汇总

5.信息系统监理师复习重点 篇五

下午题

试题一（20 分）

阅读下列说明，回答问题 l 至问题 4，将解答填入答题纸的对应栏内。[说明] 某企业为了抓住“中国制造 2025”带来的战略机遇，不断对经营业务进行调整和组合，并通过信息化为企业的变革提供强有力的支撑。在信息化项目招标中，信息中心根据以往项目管理经验和人员情况，在招标文件中提出承建单位在软件开发中宜采用瀑布模型的要求。

承建单位在投标中胜出，建设单位与承建单位签订了项目开发合同，并选择监理单位承担项目的全过程监理工作。在项目建设中，发生了如下事件： [事件 1]针对项目的实际情况，监理工程师认为开发中采用瀑布模型不合适，建议承建单位变更为其它更适合本项目实际情况的开发模型，承建单位认为采用瀑布模型是招标文件要求的，也是投标文件承诺的，且项目团队更熟悉该模型，因此未接受监理的建议。

[事件 2]为保证项目需求质量，项目经理特意请来了做过企业信息化项目需求调研的分析人员王工担任该项目的需求调研负责人。在王工的帮助下，很快地完成了需求调研和分析工作并提交了需求规格说明书。由于建设单位的业务非常繁忙，其业务代表和各相关部门的信息化业务接口人没有足够的时间投入到项目中，确认需求的工作一拖再拖。项曰经理认为，双方已经建立了密切的合作关系，王工对该企业的业务和信息化需求比较熟悉，因此定义的需求是清晰的。故项目经理并没有催促建设单位业务代表在需求说明书中签字，并决定进入设计阶段，监理工程师对此提出异议。

[事件 3]由于建设单位的业务发生变化，需要对系统的部分功能需求进行变更，承建单位项目经理向现场监理工程师提交了变更申请单，包括对需要变更部分的描述、所增加的成本以及可交付成果可能的变更等 3 个部分，现场监理工程师随即对变更申请单进行了审批，并提交给总监理工程师签认。[事件 4]由于担心项目进度拖延，监理要求承建单位项目经理在进度控制中重点做好4项工作：合理安排进度计划、对后续工程进度进行预测、确定应采取的 纠偏措施、比较实际进度与计划进度。承建单位项目经理认为利用，“香蕉”曲线比较法就可以进行这样的工作。[问题1](6分)针对事件1，作为监理工程师：

(1)请问监理工程师的建议合理吗？说明理由。

(2)请指出瀑布模型的缺点。[问题2](5分)

作为监理工程师请指出承建单位项目经理在事件2中的不妥之处。

[问题3](6分)

针对事件3，作为监理工程师，请回答：(1)变更申请单还应包含哪些重点内容？

(2)现场监理工程师的做法正确吗？请说明理由。

[问题4](3分)针对事件4，承建单位项目经理的说法正确吗？请说明理由。

试题二（15分）

阅读下列说明，回答问题1至问题3，将解答填入答题纸的对应栏内。[说明]

随着综合业务的不断增长，某单位信息系统的数据安全性要求和可靠性要求逐年提高，为实现数据的良好备份，准备在异地建立灾各中心口经政府采购选择了灾备中心数据备份和恢复系统项目的全过程监理，在项目建设的招投标和设计阶段发生了如下事件：

[事件]1项目招标阶段，在一次专题会议上，业主单位的负责人要求监理单位根据目前的实际情况，针对采用何种方式选择项目的承建单位提出咨询意见。[事件2]评标过程中，评审小组由业主单位3人和随机抽取的专家3人组成，最后由评标委员会直接宣布了中标单位。

[事件3]项目设计阶段，对承建单位提交的数据备份和恢复系统设计方案，监理单位进行了详细评审，并出具了专题报告。[问题1]（4分）事件1中，总监理工程师介绍了政府采购选取承建单位的几种方式，请根据：《中华人民共和国采购法》的规定简要说明

[问题2](6分)根据事件2，请指出评标过程中的不妥之处，并简要说明理由。

[问题3](5分)在事件3中，作为监理方，在对数据备份和恢复系统方案审核时，应重点审核哪些要点？

试题三（15分）

阅读下列说明，回答问题1至问题3，将解答填入答题纸的对应栏内。[说明] 某部委进行机房改建工程（包括与之配套的综合布线工程），通过公开招标选择了承建单位和监理单位分别承担项目的建设工作和监理工作，并选择了一家具备相应资质的第三方安全测评机构承担机房的安全评测工作。在项目建设过程中，发生如下事件：

[事件1]在项目建设过程中，监理采取设置阶段性质量控制点；实施跟踪控制来有效控制工程质量。

[事件2]在综合布线的实施中，综合布线系统的各项材料到货经过现场监理工程师检查、测试和签认，承建单位进行安装、调适、检测合格后，与计算机网络系统相联通电进行联调。

[事件3]在机房改建过程中，第三方测评机构向承建单位推荐一款信息安全产品，希望承建单位购买、使用，以达到最佳安全水平口承建单位认为第三方测评机构的做法极为不妥，并向建设单位投诉该事情。为此，建设单位就第三方测评机构不能从事的活动等问题咨询监理。[问题1](6分)针对事件1，作为监理工程师，请你列举出应该针对哪些过程、部位和实施对象设置质量控制点？ [问题2](4分)根据事件2，请问承建单位的做法有不正确的地方吗？请说明理由。[问题3](5分)针对事件3，判断第三方测评机构是否可以从事下列活动（填写在答题纸的对应栏内，能从事的活动的选项填写“√”，不能从事的活动的选项填写“×”）：

(1)向被测评单位推荐购买、使用指定的信息安全产品，以达到最佳安全水平。（）

(2)与客户进行沟通后实施隐蔽测评并发现了某些安全问题。（）(3)影响被测评信息系统正常运行。（）(4)要求承担本项目的信息系统安全集成。（）(5)按规定格式出具等级测评报告。（）

试题四（15分）

阅读下列说明，回答问题l至问题3，将解答填入答题纸的对应栏内。[说明] 某企业将信息化工程项目分包为A、B、C三个工程包进行建设，其中A包是应用软件开发工程；B包是网络设备0主机、存储及系统软件建设工程；C包是机房建设工程。建设单位选择了承建单位和监理单位分别承担项目的建设工作和全过程监理工作。在项目建设过程中发生了如下事件：

[事件1]软件开发完成后r为了加强验收阶段的质量控制，总监理工程师安排监理工程师张工负责软件开发子项工程A包的验收工作。张工带领其他两名监理工程师重点对承建单位提交的软件开发子项验收计划和验收方案进行了审查并给出监理意见，对验收过程进行了有效的监控。

[事件2]B包建设完工后，承建单位认为已经满足所有的验收前提条件，监理经过梳理后，认为还缺少三项重要的前提条件。已经满足的前提条件是：(1)所有建设项目按照批准设计方案要求全部建成，并满足使用要求；(2)各个分项工程全部初验合格；(3)系统软件等符合知识产权要求；(4)各种设备经加电试运行，状态正常。

[事件3]C包建设完成后，进行机房的验收工作，参加验收的单位有建设单位、承建单位和监理单位，并由建设单位牵头组成了由5位专家组成的专家组。[问题1](4分)作为监理工程师请回答：事件1所描述的做法妥当吗？请说明理由。

[问题2](6分)

针对事件2，请列出所缺的三项前提条件。[问题3](5分)针对事件3，作为监理工程师请指出：除了事件3中描述的参加单位外，还需要邀请别的有关单位参加验收吗？如果需要，请指出还需要邀请哪些单位；如果不需要，请说明理由。

试题五（10分）

阅读下列说明，回答问题1至问题2，将解答填入答题纸的对应栏内。[说明] 针对省级电子政务信息系统建设项目，信息化主管部门启动了业务系统综合管理平台建设工作。建设任务涉及到应用系统开发和系统集成工作，平台主要是对现有核心业务系统实施监控、审计、分析、决策、财务管控和信息化管控等。建设单位通过公开招标引入了承建单位，并且引入监理单位负责做好全过程的监理工作。在建设过程中，发生如下事件：

[事件1]在监理单位全程跟踪下，承建单位完成了系统概要设计和详细设计。建设单位要求监理单位组织专家进行评审，并指出，监理单位作为项目参建单位，应组织得力人员，认真评审，提出合理化建议，如后续仍存在设计缺陷，监理单位也要承担相应责任。

[事件2]软件测试是监理单位进行质量控制的重要手段。本项目监理团队严格审查了软件测试计划、测试说明，并监督承建单位配合第三方测试单位执行了软件测试。

[问题1](5分)在(1)～(5)中填写恰当内容（从候选答案中选择一个正确选项，将该选项编号填入答题纸对应栏内）

针对事件1的描述，监理单位__(1)__.(1)供选择的答案：

A．应该组织专家评审，但不应该对设计缺陷负责

B．应该组织专家评审，也应该对设计缺陷承担相应责任 C．不应该组织专家评审，但应该对设计缺陷承担相应责任 D．不应该组织专家评审，也不应该对设计缺陷负责

针对事件1，为保证系统设计质量，监理单位可建议建设单位邀请外部专家组进行评审，评审专家组的人员组成包括__(2)__、__(3)__、__(4)__、__(5)__。(2)～(5)供选择的答案：

A．建设单位代表 B．承建单位代表 C．监理单位代表 D．行业专家

E．第三方测试机构代表 F．信息化领域专家 G．用户单位代表

[问题2](5分)在(1)～(5)中填写恰当内容（从候选答案中选择一个正确选项，将该选项编号填入答题纸对应栏内）。

针对事件2，第三方测试单位首先执行了黑盒测试。黑盒测试是根据__(1)___设计测试用例，较少关心程序内部实现过程，侧重于___(2)___(1)～(2)供选择的答案：

A．系统设计文件 B．需求规格说明 C．程序执行结果 D．程序执行效率

在事件2中，第三方测试单位完成测试后，监理单位应要求其提交测试报告和__(3)__.(3)供选择的答案：

A．测试计划 B．测试方案 C．测试问题单 D．测试用例

在事件2中，监理单位的监理内容包括审查测试方案、测试工具、测试环境、__(4)__、测试问题报告、__(5)_、和测试报告。（4）～（5）供选择的答案：

A．测试计划 B．测试用例 C．测试过程 D．回归测试

6.信息系统监理师复习重点 篇六

摘要：信息系统工程是一项技术含量高、开发工作量大、多种学科相综合的系统工程。由于工程所具备的特殊性，建设方和承建方的综合因素可能导致工程，量、投资、进度和变更的有效控制，难以保障项目实现预期目标，所以必须加强信息系统工程全过程的监督管理，构建起“四控、三管、一协调”监督机制。该文从概述信息系统工程监理内涵入手，对信息系统工程监理机制与监理方式进行探讨。

关键词：信息系统；工程监理；机制；监理方式

1信息系统工程监理概述

我国现行的规范标准对信息系统工程监理进行了明确的规定，信息系统工程监理是工程项目建设进度和质量最为有效的保障措施，目前，国内大部分建设单位在具体的工程项目中都开始引入监理机制。信息系统工程科技含量和复杂程度较高，该特点决定了工程监理的特点，即监理的业务范围涉及工程建设实施的整个过程，且工作内容向外延伸；对监理人员的专业素质要求较高等等。在信息系统工程中，监理的主要工作内容是以进度、质量、造价为核心，对工程实施全过程进行监督、控制与协调，确保工程按质、按量、按时完成，最大限度地降低项目风险，提高投资效益。

2信息系统工程监理机制

完善的信息系统工程监理机制应包括“四控”、“三管”、“一协调”，具体内容如下：

2.1四控

2.1.1质量控制机制在信息系统工程中，监理的主要目的是对工程质量进行有效地控制，在具体的控制过程中，可采取如下手段：其一，工程评审。通过对信息系统中关键元素的评估，看其是否应原定计划相一致，若是有所出入，则应找出原因，使其得到改进和完善，可将评审的重点放在直接关系项目质量的各种文档上，如项目的具体实施报告、概要设计、验收方案等等，同时，还应加大对试运行软件的评审力度。其二，工程测试。在信息系统中，测试是监理控制工程最为有效的一种手段，信息系统工程的构成要素决定了测试的重要性，通过对硬件和软件性能的测试，能够为工程质量的判断提供详实可靠的依据。其三，工程审计。在对信息系统工程进行审计时，应以项目活动和项目文档作为审计的重点内容，并针对不同的阶段，采取行之有效的审计方法，可对维护结果进行审计，找出其中存在的问题，并提出解决措施。从而确保工程质量。2.1.2投资控制机制对于信息系统工程而言，投资与成本密切相关，为此，监理应当对投资进行有效的控制，以此来达到降低工程成本，提高经济效益的目的。在投资控制中，可采取如下控制措施：其一，对相关费用进行科学分析。可以采用成本控制技术，对工程投资的规划及成本执行情况进行审核，并与预先制备好的成本计划进行对照，找出存在的偏差及具体原因，加以处理。如有必要，可对成本计划进行调整，将所有出现变更的项目全部记录到基准成本计划当中。在控制方法的选择上，可以采用全寿命成本法和ABC分析法等。其二，严把合同关。监理应当对信息系统工程的开发合同进行严格把关，并对承包方执行成本计划的情况进行监控，明确规定成本超支应当承担的违约责任，同时还应对付款方式加以明确，为保护业主方的利益不受侵害，可以采用阶段性的付款方式，并对每次付款的约束条件进行合理限定。2.1.3进度控制机制在信息系统工程中，进度反映了项目的具体进展情况，为确保工程在规定的期限内完成，监理应采取如下措施对进度进行有效的控制：其一，项目计划评审。想要保证项目计划的落实执行，就必须确保项目计划的.制定科学合理，对此，监理可采用计划评审技术对项目进度计划进行优化，从而确保计划的顺利实施。其二，对项目进行监控。按照项目计划对进度计划进行编制，并将之与实际执行情况进行对比，监理通过搜集项目实施的相关信息，对其进度进行跟踪，并对相关问题进行协调，定期向参与工程的各方发布进度情况，一旦出现进度延误的情况时，要及时对原因进行分析，并采取合理可行的方法加以补救，为进度计划的实现提供保障。其三，控制计划变更。在信息系统工程中，项目计划在制定完成后，常常会因为一些不可预见的情况而无法按期执行，此时便需要变更计划，如果变更的项目范围或业务需求，则会对进度造成影响。鉴于此，监理应当对变更进行严格控制，若是项目完成时间无法更改时，则不得对业务需求进行变更，以确保项目能够如期完成。2.1.4变更控制工程变更是信息系统工程建设常见现象，监理要对工程变更进行有效控制，确保工程建设目标的实现。在变更控制中应做到以下几点：严格审查变更的项目内容，明确项目变更的目标，减少不必要的变更事项；变更要经过建设方、承建方和监理方三方同意，并签订书面协议；加强对变更内容的风险控制，对变更可能产生的效果进行评估；跟进变更情况，及时向建设方公布变更信息。

2.2三管

2.2.1安全管理信息系统工程不仅要重视施工安全管理，更要重视信息安全管理和知识产权保护，建立起安全保密制度，强化建设方和承建方的安全意识。具体措施如下：其一，加强施工安全管理。要求承建方按照相关法规标准进行施工，落实安全生产责任制，全面开展文明施工，消除安全隐患，最大程度避免安全事故的发生。其二，加强信息安全管理。要求建设方与承建方签订保密协议，双方均不得对外泄露项目信息。定期对承建方开展安全教育，增强安全防范意识。其三，加强知识产权保护。在工程实施中必须使用正版软件，检查软件使用是否合法，明确待开发软件的知识产权归属。2.2.2合同管理在信息系统工程中，合同管理是监理工作的重点内容之一，具体可从以下几个方面着手开展工作：其一，建立并逐步健全合同管理机制，参与系统工程建设的各方对项目的批复及指令，均应当以书面的形式进行，并以归档的方式进行保存。其二，建设方在对承建方进行相关款项支付时，应当严格按照规范的程序进行，而承建方则可按照合同约定，向监理单位提交工程款的支付申请，经监理审查确认无误后，由总监理签署证明文件，并将文件发给建设方，据此安排款项支付。2.2.3信息管理监理在工程项目的信息管理中，应当做好如下几个方面的工作：其一，对日志进行监督管理。监理人员可将工作的实际情况写入到监理日志当中，对于设计、施工、返工等方面的内容，应当进行详实、准确的记录。其二，为保证监理工作的有序进行，应针对工程中的各类会议做好纪要。其三，监理单位应采取定期与不定期相结合的方式，像建设方提供监理报告等与工程监理和项目管理有关的信息。

2.3组织协调

监理在开展组织协调时，应当遵循如下基本原则：守法、诚信、科学、公平、公正，所有监理人员应当积极主动地在自己职责范围内运用科学合理、行之有效的方式和方法，对参与系统工程建设的各方进行协调，从而确保工程项目的有序进行。首先，监理应组织与工程有关的协调会议，并形成记录，做好会议管理工作；其次，组织开展工程例会，并保证会议的组织效果，在会议的全过程中，采取行之有效的措施，确保会议顺利进行。最后，以通知和回复的方式使信息在所有参建单位内部人员间流动，通过对人员行为和意见的协调，为总体目标的实现提供保障。3信息系统工程监理方式3.1加强项目前期监理与一般的工程项目相比，信息系统工程具有一定的特殊性，即科技含量较高，这种特殊性决定了监理的工作需要贯穿于工程始终，在业主方的授权委托下，根据相关标准对项目的各个阶段进行审核、监控，从而确保项目能够按质按量按时完成，保障业主的利益，最大限度地降低项目风险。对于信息系统工程而言，可行性研究阶段和需求分析阶段是关键环节，为此，监理在项目前期应当围绕这两个方面开展工作。监理应介入项目前期策划，了解并掌握业务放所从事的行业及其单位的管理模式，协助业主对项目的需求及所要实现的目标进行明确，通过需求分析，协助业主进行整体规划。在项目可行性研究阶段，监理应当帮助业主进行系统选型的评标工作，从众多投标中找出最适宜的方案，同时，协助业主选择最佳的承建单位。3.2实施全过程监理在信息系统工程中，为使业务的利益得到有效的保障，应实施全过程监理，从项目的可行性分析开始，直至系统调试运行为止。首先，监理应在获取系统设计相关数据的基础上，按照系统的开发规律，将工程建设过程细分为几个具体阶段，并针对每个阶段所要达到的目标，设定相关标准，据此对承建单位进行审查，并将监控的重点放在项目是否按计划和规定要求实施上。在此需要注意的是，承建单位应参与相关标准的制定，以免发生意见不统一相互推诿的情况。其次，监理单位应当委派相关人员对信息系统开发过程中的信息进行收集，找出其中存在的问题，据此对承建单位的开发质量进行评估，并对工程实施中出现的变更进行评估，结合实际情况，采取相应的处理措施，为工程的顺利进行提供保障。2.3重点监理软件工程软件工程是信息系统的最为重要的一个组成部分，由于软件本身的特殊性，从而使得开发过程中不可预见的成分较高，增大了项目风险。为此，应当重点对软件工程进行监理。首先，监理人员应当对软件开发的全过程进行动态地监督和管理，确保影响软件质量的各种因素始终处于受控状态。同时，要理解软件工程的技术文档，如业主和承建单位的需求报告、概要设计等。其次，监理应加大对软件质量的控制力度，具体可以采取如下方法：增加测试次数；要求承建单位提供真实、可靠、详细、完整的技术资料。此外，若是业主提出的某些要求超出技术的发展时，监理应当说服业主，避免这些要求对软件工程开发过程带来不必要的影响。最后，监理应当对承建单位进行督促，要求尽早对开发出来的软件进行试用，由此可以解决业主对软件的不适应，从而增强软件的实用性，促使承建单位不断完善软件，最大限度地满足业主的使用需要。

3结论

总而言之，信息系统工程监理是一项十分重要的工作，为此，信息系统工程建设必须建立健全“四控、三管、一协调”监理机制，保证工程建设质量，促使信息技术更好地服务于各生产领域，有效规避项目风险，从而实现工程建设预期目标。

参考文献：

[1]曹新海.信息工程项目监理数据管理系统的设计与实现[D].山东大学,2015.

7.信息系统监理师复习重点 篇七

伴随着计算机的发展与普及, 信息安全问题日益凸显, 成为我国信息化建设的战略问题之一。信息系统安全工程监理就是从技术和管理的角度, 对信息系统工程涉及安全部分实施过程控制和管理, 确保工程按照用户的要求保质保量的按时完成, 并实现预期的建设目标。

1 各阶段质量控制要点分析

信息系统安全工程监理范围涵盖建设方信息系统涉及安全的设计、实施、验收等过程, 以下结合信息系统工程建设各阶段的特点, 对相应阶段的监理工作进行简单分析。

1.1 设计阶段的系统安全质量控制

设计阶段对信息系统安全性能有着重要的影响, 实体安全、运行安全、信息安全等信息系统本身的安全性能要求就是在方案设计阶段确定的。

信息系统安全工程设计阶段监理质量控制的基本任务是通过目标规划和计划、动态控制、组织协调、合同管理、信息管理等质量控制管理手段, 使工程设计达到工程项目的安全要求和目标。在设计阶段, 通过设计将建设方的安全基本要求具体化, 同时从各方面衡量其需求的可行性, 并经过设计过程的反复协调, 使建设方的需求变得科学、合理, 从而为实现安全的信息系统工程确立信心。

在信息系统工程设计阶段, 监理工程师针对安全系统控制的主要工作包括:

(1) 进行安全目标论证, 协助建设方选择符合目标控制要求的设计单位, 利用竞争机制选择并确定优化设计方案;

(2) 认真审查信息系统方案设计, 从工程开始就确保其可靠性, 尽量减少安全隐患, 以降低系统运行中的安全风险;

(3) 从建设方需求和信息安全整体规划的角度审核信息系统的总体设计方案, 依据合同及国家相关标准规范进行安全风险评估, 并提出监理建议。以使信息系统的安全风险降到建设方可以承受的范围内, 并促使工程完全满足国家关于网络与信息系统工程安全的有关法律、法规的规定。

1.2 实施阶段系统安全的质量控制

信息系统工程实施阶段监理安全控制的主要任务是通过对设备、系统软件、网管软件、应用软件、材料、系统配置、系统设置等实施全过程控制 (包括检查、测试、验收等) , 以期系统按标准达到预期的、满足建设方安全需求和国家相关规范的安全指标。

具体说来, 信息系统安全工程实施阶段监理应包括以下几个方面的工作:

(1) 系统管理安全性审查:系统安全性设计必须采用最新且较为成熟的技术以及产品, 根据需要在内网和外网之间的隔离技术应设计较为完善;

(2) 采购过程和资源外包的安全性审查:承建单位应购买最新版本的正版软件产品和开发工具, 并及时进行升级, 所有产品必须出具合格证明;

(3) 实施过程的安全性审查:所有使用设备及软件产品如软、硬件防火墙、杀毒工具以及入侵检测工具等均应符合信息安全规范。对重要数据必须采取可靠手段以保障其完整性、安全性, 采用较为先进的技术来实现冗余和系统备份。

(4) 系统环境的安全性审查:对计算机系统环境依据信息系统的信息安全规范, 严格进行审查。

(5) 系统可靠性审查:组织专家对系统的可靠性进行评审, 找出安全隐患, 及时调整。

信息系统工程实施过程是把信息系统实体“做出来”的过程, 这一过程具有持续时间长、涉及单位多、变动大、冲突多等特点, 在信息系统安全工程监理中必须对此有一清醒认识, 有效的解决好以下几个问题:

1) 在实施阶段, 不但有监理单位, 还有工程承包单位、设计厂商等直接参与建设的单位以及涉及政府部门、工程毗邻单位等项目组织外的有关单位。因此, 信息系统安全工程监理单位必须和其他单位协调一致, 这对工程的顺利进行起着至关重要的作用。

2) 实施阶段是项目建设各阶段中持续时间最长的阶段, 内、外部影响因素诸多, 暴露的安全问题也多。由于安全问题暴露最多, 所以在实施阶段将出现大量工程变更的情况, 这些工程变更将会给项目总体控制带来严重影响。如果不能妥善的处理这些安全问题, 将会影响信息系统总体的进度, 工程项目安全质量就难以保证。对此, 信息系统安全工程监理工程师应当给予足够的重视, 处理好安全工程和信息系统总体建设之间的关系。

3) 信息系统实施过程中, 对建设方和承建单位提出需求分析、方案设计、技术文档等的安全保密性是一个非常重要的议题, 这是因为:信息系统一般是根据建设方业务运行的特点设计的, 其中包括大量建设方工作流程、系统参数、客户资料以及其他需要保密的信息, 这些信息如果泄露出去, 将会给建设方造成很大损失。因此, 在信息系统工程实施过程及项目建设成后一定时间阶段内, 承建单位应对建设方提供的资料保密, 在未经对方容许的情况下, 不得泄露给第三方。

1.3 验收阶段信息安全的质量控制

为了确保信息系统工程竣工验收的顺利进行, 有效把好安全控制的最后关口。在验收阶段, 监理方需配合信息系统用户, 制定组织信息系统的安全验收方案。先明确工程复查的内容, 落实相关人员及时间安排。在预先制定的检查表格上统计需要整改的内容, 并对承建单位的工程竣工验收资料的整理、编制情况进行检查。然后, 召集承建单位有关人员开会, 就检查过程中发现的安全问题以及需要解决、整改的内容与承建单位交换意见, 督促他们制定整改计划。安全整改完成后, 报监理方再次检查。整改工作中需注意各专业间的相互配合和衔接, 现场监理组及时跟踪落实, 及时解决疑难问题, 并督促施工单位完成有关安全功能的测试工作。

系统验收阶段的监理分为系统初验、系统试运行和系统竣工验收三个阶段。

1.3.1 信息系统初验监理

监理方在收到承担单位的初验书面申请后, 检查合同履行情况、确定安全初验测试方案, 并组织进行安全初验测试。听取各方的工作报告, 审阅工程档案资料并实地查验信息系统的运行情况, 对系统安全进行审查和测试, 不合格的工程不予验收。对遗留问题提出具体解决意见, 限期落实完成。

1.3.2 信息系统试运行监理

信息系统试运行监理的内容主要包括:协助承建单位观察系统运行情况, 记录系统运行时的异常现象, 发现安全隐患;将系统异常现象通知承建单位, 并协助分析产生的原因;协助承建单位审核承建单位提出系统试运行期间异常情况整改方案;信息系统试运行监理的文档管理;在监理日志中, 记录系统运行状况;提交系统试运行状态报告。

1.3.3 信息系统竣工验收监理

收到承建单位的竣工验收书面申请后, 检查合同履行情况、系统建设期间产生的文件和技术文档是否完善、是否达到竣工验收的要求。如果达到竣工验收要求, 参与确定竣工验收测试方案, 并组织竣工验收测试, 听取各方的工作报告, 审阅工程档案资料并实地察验信息系统运行情况, 并对信息系统安全做出全面的评价和测试。不合格的工作不予验收;对遗留问题提出具体解决意见, 限期落实完成。

2 结束语

信息系统安全工程监理不仅仅是一个纯粹的技术问题, 也不仅仅是一个简单的管理问题, 而是同时从技术和管理的角度, 对信息系统安全工程的实施过程进行质量控制和管理, 确保信息系统安全策略和安全技术满足用户的需求, 并按照设计方案进行实施, 从而保质保量地实现项目的预期目标。

摘要：本文结合信息系统安全的设计、实施、验收等阶段特点, 对每个阶段的监理质量控制进行了分析, 提出了信息系统安全工程建设各个阶段的质量控制要点。

关键词：信息系统安全,监理,质量控制

参考文献

[1]薛大龙主编.信息系统监理师教程.北京:电子工业出版社, 2012.

[2]张友生主编.信息系统项目管理师考试辅导教程 (第3版) .北京:电子工业出版社, 2012.

[3]田心.浅谈计算机网络安全与防范措施[J].信息与电脑 (理论版) , 2011 (02) .