|
|
|
|
|
|
|
|
|
|
|
风险管理计划是项目管理计划的组成部分,描述将如何安排与实施风险管理活动。风险管理计划包括以下内容:
|
|
|
|
.方法论:确定项目风险管理将使用的方法、工具及数据来源。
|
|
|
|
.角色与职责:确定风险管理计划中每个活动的领导者和支持者,以及风险管理团队的成员,并明确其职责。
|
|
|
|
.预算:根据分配的资源估算所需资金,并将其纳入成本基准,制定应急储备和管理储备的使用方案。
|
|
|
|
.时间安排:确定在项目生命周期中实施风险管理过程的时间和频率,制定进度应急储备的使用方案,确定风险管理活动并纳入项目进度计划中。
|
|
|
|
.风险类别:规定对潜在风险成因的分类方法。风险分解结构(Risk Breakdown Structure, RBS)有助于项目团队在识别风险的过程中发现有可能引起风险的多种原因。不同的RBS适用于不同类型的项目。组织可使用预先准备好的分类框架,可以是简易的分类清单或结构化的风险分解结构。
|
|
|
|
.风险概率和影响的定义:为了确保风险分析的质量和可信度,需要对项目环境中特定的风险概率和影响的不同层次进行定义。在规划风险管理过程中,应根据具体项目的需要,裁剪通用的风险概率和影响定义,供后续过程使用。
|
|
|
|
.概率和影响矩阵:概率和影响矩阵是把每个风险发生的概率和一旦发生对项目目标的影响映射起来的表格。根据风险可能对项目目标产生的影响,对风险进行优先排序。通常由组织来设定概率和影响的各种组合,并据此设定高、中、低风险级别。
|
|
|
|
.修订的干系人承受力:可在规划风险管理过程中对干系人的承受力进行修订,以适应具体项目的情况。
|
|
|
|
.报告格式:如何记录、分析和沟通风险管理过程的结果,规定风险登记册及其他风险报告的内容和格式。
|
|
|
|
.跟踪:如何记录风险活动以促进当前项目的开展,以及如何审计风险管理过程。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
项目风险管理的目标在于提高项目中积极事件的概率和影响,降低项目中消极事件的概率和影响。项目风险管理包括六个过程,分别为:
|
|
|
|
.规划风险管理:定义如何实施项目风险管理活动的过程。
|
|
|
|
.风险识别:判断哪些风险可能影响项目并记录其特征的过程。
|
|
|
|
.定性风险分析:评估并综合分析风险的发生概率和影响,对风险进行优先排序,从而为后续分析或行动提供基础的过程。
|
|
|
|
.定量风险分析:就已识别风险对项目整体目标的影响进行定量分析的过程。
|
|
|
|
.规划风险应对:针对项目目标,制订提高机会、降低威胁的方案和措施的过程。
|
|
|
|
.控制风险:在整个项目中实施风险应对计划、跟踪已识别风险、监督残余风险、识别新风险,以及评估风险过程有效性的过程。
|
|
|
|
组织和干系人对待风险的态度受多种因素影响,对待风险的态度不同,愿意接受风险的程度也不同。这些因素大体可分为三类:
|
|
|
|
.风险偏好:为了预期的回报,愿意承受不确定性的程度。
|
|
|
|
|
|
.风险临界值:特别关注的特定的不确定性程度或影响程度。低于风险临界值会接受风险;高于风险临界值将不能承受风险。
|
|
|
|
积极和消极风险通常称为机会和威胁。如果风险在可承受范围之内,并且与冒风险可能得到的回报相平衡,那么项目就是可接受的。为了增加价值,可以在风险承受力允许的范围内,追求那些能带来机会的积极风险。例如,采取激进的资源优化技术,就是为减少资源使用量而冒风险。
|
|
|
|
以上项目风险管理各过程之间的依赖关系及输入、输出、工具与技术已经在知识结构图中给出,本节对各过程的输入、输出和工具技术进行进一步解释。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
没有绝对安全的环境,每个环境都有一定程度的漏洞和风险。风险是指某种破坏或损失发生的可能性。潜在的风险有多种形式,并且不只同计算机有关。考虑信息安全时,必须重视的几种风险有:物理破坏;人为错误;设备故障;内、外部攻击;数据误用;数据丢失;程序错误,等等。在确定威胁的时候,不能只看到那些比较直接的容易分辨的外部威胁,来自内部的各种威胁也应该引起高度重视,很多时候来自内部的威胁由于具有极大的隐蔽性和透明性导致更加难以控制和防范。
|
|
|
|
风险管理是指识别、评估、降低风险到可以接受的程度,并实施适当机制控制风险保持在此程度之内的过程。风险评估的目的是确定信息系统的安全保护等级以及信息系统在现有条件下的安全保障能力级别,进而确定信息系统的安全保护需求;风险管理则根据风险评估的结果从管理(包括策略与组织)、技术、运行三个层面采取相应的安全控制措施,提高信息系统的安全保障能力级别,使得信息系统的安全保障能力级别高于或者等于信息系统的安全保护等级。
|
|
|
|
|
|
风险分析的方法与途径可以分为:定量分析和定性分析。定量分析是试图从数字上对安全风险进行分析评估的方法,通过定量分析可以对安全风险进行准确的分级,但实际上,定量分析所依靠的数据往往都是不可靠的,这就给分析带来了很大的困难。定性分析是被广泛采用的方法,通过列出各种威胁的清单,并对威胁的严重程度及资产的敏感程度进行分级。定性分析技术包括判断、直觉和经验,但可能由于直觉、经验的偏差而造成分析结果不准确。风险分析小组、管理者、风险分析工具、企业文化等决定了在进行风险分析时采用哪种方式或是两者的结合。风险分析的成功执行需要高级管理部门的支持和指导。管理部门需要确定风险分析的目的和范围,指定小组进行评估,并给予时间、资金的支持。风险小组应该由不同部门的人员组成,可以是管理者、程序开发人员、审计人员、系统集成人员、操作人员等。
|
|
|
|
|
|
进行风险评估时需要决定要保护的资产及要保护的程度,对于每一个明确要保护的资产,都应该考虑到可能面临的威胁以及威胁可能造成的影响,同时对已存在的或已规划的安全管制措施进行鉴定。仅仅确定资产是不够的,对有形资产(设备、应用软件等)及人(有形资产的用户或操作者、管理者)进行分类也是非常重要的,同时要在两者之间建立起对应关系。有形资产可以通过资产的价值进行分类,如:机密级、内部访问级、共享级、未保密级。对于人员的分类类似于有形资产的分类。信息安全风险评估的复杂程度将取决于风险的复杂程度和受保护资产的敏感程度,所采用的评估措施应该与组织对信息资产风险的保护需求相一致。
|
|
|
|
|
|
对风险进行了识别和评估后,可通过降低风险(例如安装防护措施)、避免风险、转嫁风险(例如买保险)、接受风险(基于投入/产出比考虑)等多种风险管理方式得到的结果来协助管理部门根据自身特点来制定安全策略。制定安全策略时,首先要识别当前的安全机制并评估它们的有效性。由于所面临的威胁不仅仅是病毒和攻击,对于每一种威胁类型要分别对待。在采取防护措施的时候要考虑如下一些方面:产品费用、设计/计划费用、实施费用、环境的改变、与其他防护措施的兼容性、维护需求、测试需求、修复、替换、更新费用、操作/支持费用。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
这一步的所有风险分析活动只有一个目的——辅助项目组建立处理风险的策略。一个有效的策略必须考虑风险避免、风险监控、风险管理及意外事件计划方面的问题。
|
|
|
|
如果软件项目组对于风险采用主动的方法,则避免永远是最好的策略。这可以通过建立一个风险缓解计划来达到。
|
|
|
|
风险管理策略可以包含在软件项目计划中,或者风险管理步骤也可以组织成一个独立的风险缓解、监控和管理计划(RMMM计划)。RMMM计划将所有风险分析工作文档化,并由项目管理者作为整个项目计划中的一部分来使用。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
模板是Word 2003中采用dot为扩展名的特殊文档,它由多个特定的样式组合而成,能为用户提供一种预先设置好的最终文档外观框架,也允许用户加入自己的信息。新建一个文档时,用户可以选择系统提供的模板建立文档。用户也可以自建一个新的模板。
|
|
|
|
当用户自己创建好一个文档后,若要保存为模板,只要在“另存为”对话框中选择保存类型为“文档模板(*.dot)”就可以了。使用模板的方法在如何创建一个空白文档时已经介绍,这里不再赘述。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
投标人是响应招标、参加投标竞争的法人或者其他组织。投标人应当具备承担招标项目的能力。国家有关规定对投标人资格条件或者招标文件对投标人资格条件有规定的,投标人应当具备规定的资格条件。
|
|
|
|
投标人应当按照招标文件的要求编制投标文件。投标文件应当对招标文件提出的实质性要求和条件作出响应。招标项目属于建设施工的,投标文件的内容应当包括拟派出的项目负责人与主要技术人员的简历、业绩和拟用于完成招标项目的机械设备等。
|
|
|
|
投标人应当在招标文件要求提交投标文件的截止时间前,将投标文件送达投标地点。招标人收到投标文件后,应当签收保存,不得开启。投标人少于三个的,招标人应当重新招标。在招标文件要求提交投标文件的截止时间后送达的投标文件,招标人应当拒收。
|
|
|
|
投标人在招标文件要求提交投标文件的截止时间前,可以补充、修改或者撤回已提交的投标文件,并书面通知招标人。补充、修改的内容为投标文件的组成部分。
|
|
|
|
投标人根据招标文件载明的项目实际情况,拟在中标后将中标项目的部分非主体、非关键性工作进行分包的,则应当在投标文件中载明。
|
|
|
|
两或两个以上法人或者其他组织可以组成一个联合体,以一个投标人的身份共同投标。联合体各方均应当具备承担招标项目的相应能力;国家有关规定或者招标文件对投标人资格条件有规定的,联合体各方均应当具备规定的相应资格条件。由同一专业的单位组成的联合体,按照资质等级较低的单位确定资质等级。联合体各方应当签订共同投标协议,明确约定各方拟承担的工作和责任,并将共同投标协议连同投标文件一并提交招标人。联合体中标的,联合体各方应当共同与招标人签订合同,就中标项目向招标人承担连带责任。
|
|
|
|
招标人不得强制投标人组成联合体共同投标,不得限制投标人之间的竞争。投标人不得相互串通投标报价,不得排挤其他投标人的公平竞争,损害招标人或者其他投标人的合法权益。投标人不得与招标人串通投标,损害国家利益、社会公共利益或者他人的合法权益。禁止投标人以向招标人或者评标委员会成员行贿的手段谋取中标。投标人不得以低于成本的报价竞标,也不得以他人名义投标或者以其他方式弄虚作假,骗取中标。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
信息系统软件运维文档是对运维服务参与各方主体从事信息系统软件运维实施及运维管理提供决策支持的一种载体。在信息系统软件运维过程中,能及时、准确、完善地掌握与运维有关的大量信息,处理和管理好各类运维策划、实施、检查和改进信息,是运维管理的重要工作内容。
|
|
|
|
文档能提高软件运维过程的能见度,把用户反映的问题、用户提交的报告、用户增加的需求、对用户反映问题的维护反馈记录、运维过程中发生的事件以某种可阅读的形式记录在文档中,管理人员可把这些记载下来的材料作为检查软件运维进度和运维质量的依据,正确统计运维的工作量,实现对信息系统软件运维的工程管理,提高运维效率。文档作为运维人员一定阶段的工作成果和结束标志,记录运维过程中的有关信息,便于管理人员、运维人员、操作人员、用户之间的协作和交流,使信息系统软件运维更科学、更有成效。
|
|
|
|
|
|
(1)文档管理制度化。形成一整套完善的文档管理制度,根据这一套制度来协调控制、评价信息系统软件运维中各类人员的工作。
|
|
|
|
(2)文档标准化、规范化。在信息系统软件运维前要选择或制定文档标准,在统一的标准约束下来规范地建立各类文档。
|
|
|
|
(3)落实文档管理人员。应设专人负责集中保管与信息系统软件运维相关的文档,他人可按一定的流程向文档管理员借阅文档。
|
|
|
|
(4)保持文档的一致性。信息系统软件在运维过程中如果修改了原来的需求和设计,但是文档却没有进行同步修改,造成交付的文档与实际信息系统软件不一致,使用户在使用信息系统软件参考文档对软件进行维护时出现许多误解,这将严重影响系统的质量和维护的效率。所以,在信息系统软件运维过程中,如果修改部分涉及设计文档或用户手册的,一定要及时更改,这样才能达到事半功倍的效果。
|
|
|
|
(5)维护文档的可追踪性。由于信息系统软件运维的动态性,软件的某种修改最终是否有效要经过一定的时间检验,所以运维文档也应与相应的信息系统软件一样要分版本进行管理,这样软件和文档就具有可追踪性,便于持续地运维与改进。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
下列工程建设项目包括项目的勘察、设计、施工、监理,以及与工程建设有关的重要设备、材料等的采购,因此必须进行招标。
|
|
|
|
(1)大型基础设施、公用事业等关系社会公共利益、公众安全的项目。
|
|
|
|
(2)全部或部分使用国有资金投资或者国家融资的项目。
|
|
|
|
(3)使用国际组织或者外国政府贷款、援助资金的项目。
|
|
|
|
任何单位和个人不得将依法必须进行招标的项目化整为零或者以其他任何方式规避招标。招标投标活动应当遵循公开、公平、公正和诚实信用的原则。必须进行招标的项目,其招标投标活动不受地区或者部门的限制。任何单位和个人不得违法限制或者排斥本地区、本系统以外的法人或其他组织参加投标,不得以任何方式非法干涉招标投标活动。
|
|
|
|
招标分为公开招标和邀请招标。公开招标是指招标人以招标公告的方式邀请不特定的法人或者其他组织投标。邀请招标是指招标人以投标邀请书的方式邀请特定的法人或者其他组织投标。国务院发展计划部门确定的国家重点项目和省、自治区、直辖市人民政府确定的地方重点项目不适宜公开招标的,经国务院发展计划部门或者省、自治区、直辖市人民政府批准,可以进行邀请招标。
|
|
|
|
|
|
招标人有权自行选择招标代理机构,委托其办理招标事宜。任何单位和个人不得以任何方式为招标人指定招标代理机构。招标人具有编制招标文件和组织评标能力的,可以自行办理招标事宜。任何单位和个人不得强制其委托招标代理机构办理招标事宜。依法必须进行招标的项目,招标人自行办理招标事宜的,应当向有关行政监督部门备案。
|
|
|
|
招标代理机构是依法设立、从事招标代理业务并提供相关服务的社会中介组织。招标代理机构应当具备下列条件。
|
|
|
|
|
|
(2)有能够编制招标文件和组织评标的相应专业力量。
|
|
|
|
(3)有符合规定条件,可以作为评标委员会成员人选的技术、经济等方面的专家库。
|
|
|
|
从事工程建设项目招标代理业务的招标代理机构,其资格由国务院或者省、自治区、直辖市人民政府的建设行政主管部门认定。具体办法由国务院建设行政主管部门会同国务院有关部门制定。从事其他招标代理业务的招标代理机构,其资格认定的主管部门由国务院规定。
|
|
|
|
招标代理机构与行政机关和其他国家机关不得存在隶属关系或者其他利益关系。招标代理机构应当在招标人委托的范围内办理招标事宜。
|
|
|
|
|
|
招标人采用公开招标方式的,应当发布招标公告。依法必须进行招标的项目的招标公告,应当通过国家指定的报刊、信息网络或者其他媒介发布。招标公告应当载明招标人的名称和地址、招标项目的性质、数量、实施地点和时间,以及获取招标文件的办法等事项。
|
|
|
|
招标人采用邀请招标方式的,应当向3个以上具备承担招标项目的能力、资信良好的特定法人或者其他组织发出投标邀请书。投标邀请书应当载明的事项与招标公告相同。
|
|
|
|
招标人可以根据招标项目本身的要求,在招标公告或者投标邀请书中要求潜在投标人提供有关资质证明文件和业绩情况,并对潜在投标人进行资格审查。国家对投标人的资格条件有规定的,依照其规定。招标人不得以不合理的条件限制或者排斥潜在投标人,不得对潜在投标人给予歧视待遇。
|
|
|
|
|
|
招标人应当根据招标项目的特点和需要编制招标文件。招标文件应当包括招标项目的技术要求、对投标人资格审查的标准、投标报价要求和评标标准等所有实质性要求和条件,以及拟签订合同的主要条款。
|
|
|
|
国家对招标项目的技术、标准有规定的,招标人应当按照其规定在招标文件中提出相应要求。招标项目需要划分标段、确定工期的,招标人应当合理划分标段、确定工期,并在招标文件中载明。招标文件不得要求或者标明特定的生产供应以及含有倾向或者排斥潜在投标人的其他内容。
|
|
|
|
招标人根据招标项目的具体情况,可以组织潜在投标人踏勘项目现场。招标人不得向他人透露已获取招标文件的潜在投标人的名称、数量,以及可能影响公平竞争的有关招标投标的其他情况。招标人设有标底的,标底必须保密。
|
|
|
|
招标人对已发出的招标文件进行必要的澄清或者修改的,应当在招标文件要求提交投标文件截止时间至少15日前,以书面形式通知所有招标文件收受人。该澄清或者修改的内容为招标文件的组成部分。
|
|
|
|
招标人应当确定投标人编制投标文件所需要的合理时间。但是,依法必须进行招标的项目,自招标文件开始发出之日起至投标人提交投标文件截止之日止,最短不得少于20日。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
招标人应当根据招标项目的特点和需要编制招标文件。招标文件应当包括招标项目的技术要求、对投标人资格审查的标准、投标报价要求和评标标准等所有实质性要求和条件,以及拟签订合同的主要条款。
|
|
|
|
国家对招标项目的技术、标准有规定的,招标人应当按照其规定在招标文件中提出相应要求。招标项目需要划分标段、确定工期的,招标人应当合理划分标段、确定工期,并在招标文件中载明。招标文件不得要求或者标明特定的生产供应以及含有倾向或者排斥潜在投标人的其他内容。
|
|
|
|
招标人根据招标项目的具体情况,可以组织潜在投标人踏勘项目现场。招标人不得向他人透露已获取招标文件的潜在投标人的名称、数量,以及可能影响公平竞争的有关招标投标的其他情况。招标人设有标底的,标底必须保密。
|
|
|
|
招标人对已发出的招标文件进行必要的澄清或者修改的,应当在招标文件要求提交投标文件截止时间至少15日前,以书面形式通知所有招标文件收受人。该澄清或者修改的内容为招标文件的组成部分。
|
|
|
|
招标人应当确定投标人编制投标文件所需要的合理时间。但是,依法必须进行招标的项目,自招标文件开始发出之日起至投标人提交投标文件截止之日止,最短不得少于20日。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
政府信息系统以电子政务为主要形式,是指政府机构在其管理和服务职能中运用现代网络技术打破传统行政机关的时间、空间和部门分隔的制约,使各级政府的各项监管更加严密,服务更加便捷,涉及政府机关、各团体、企业和社会公众,主要包括机关办公政务网、办公政务资源网、公众信息网和办公政务信息资源数据库几个部分。
|
|
|
|
(1)安全级别高。政务信息数据中,有些关乎国家、政府部门、地方政策和利益,比个人或商务信息更为敏感;有些属于大规模的基础设施,比如档案、城建数据;有些具有服务特性,比如医保、社保、公积金、房屋交易等信息;加之电子政务行使政府职能的特点易导致政府信息系统受到各种攻击,包括黑客组织、犯罪集团和信息战时期的信息对抗等国家行为的攻击,因此,其安全问题尤其是数据安全应被重点关注。
|
|
|
|
(2)业务的不间断运维需求高。政府信息系统面向社会提供外部服务,如出入境审批系统、身份证申领系统等,都必须在故障出现后以最短的时间恢复业务运行,否则导致业务受理停止,大量人员等待,大量紧急任务无法处理,影响政府办事效率和形象。
|
|
|
|
(3)例行运维亟须加强。我国政府部分信息系统存在管理松散,制度不严明,执行乏力现象,包括内部信息外泄,个人下载或运行游戏、炒股、聊天、视频软件,甚至非法修改IP地址,卸载杀毒软件,不仅严重违反纪律,更易影响到关键应用的性能质量,因此,日常运维管理亟须加强。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
(1)能够最大限度地满足招标文件中规定的各项综合评价标准。
|
|
|
|
(2)能够满足招标文件的实质性要求,并且经评审的投标价格最低。但是投标价格低于成本的除外。
|
|
|
|
评标委员会经评审,认为所有投标都不符合招标文件要求的,可以否决所有投标。依法必须进行招标的项目的所有投标被否决的,招标人应当重新招标。
|
|
|
|
在确定中标人前,招标人不得与投标人就投标价格、投标方案等实质性内容进行谈判。评标委员会成员应当客观、公正地履行职务,遵守职业道德,对所提出的评审意见承担个人责任。评标委员会成员不得私下接触投标人,不得收受投标人的财物或其他好处。评标委员会成员和参与评标的有关工作人员不得透露对投标文件的评审和比较、中标候选人的推荐情况,以及与评标有关的其他情况。
|
|
|
|
中标人确定后,招标人应当向中标人发出中标通知书,并同时将中标结果通知所有未中标的投标人。中标通知书对招标人和中标人具有法律效力。中标通知书发出后,招标人改变中标结果的,或者中标人放弃中标项目的,应当依法承担法律责任。招标人和中标人应当自中标通知书发出之日起30日内,按照招标文件和中标人的投标文件订立书面合同。招标人和中标人不得再行订立背离合同实质性内容的其他协议。招标文件要求中标人提交履约保证金的,中标人应当提交。
|
|
|
|
依法必须进行招标的项目,招标人应当自确定中标人之日起15日内,向有关行政监督部门提交招标投标情况的书面报告。
|
|
|
|
|
|
|
|
|
|
|
|
|
