近年来,信息系统工程的建设规模不断扩大,信息系统建设中的信息网络系统、信息资源系统、信息应用系统的新建、升级、改造工程层出不穷。但由于建设单位自身在技术、能力、人员等方面的不足,系统建设过程中缺乏有效的监督管理机制,致使许多工程项目在质量、进度、投资等方面都无法得到很好的保证和控制。为了减少信息系统工程建设的风险,保证建设单位和承建单位双方利益,对信息系统工程进行有组织、规范化的监理就显得更加迫切和重要。
一、信息系统升级改造项目
根据《信息系统工程监理暂行规定》,信息系统工程是指“信息网络系统、信息资源系统和信息应用系统等项目的新建、改建和扩建工程”。其中,信息系统升级改造项目是为了使原有信息系统更好地发挥效用、信息资源得到更充分利用、信息安全得到保障,在建设单位现有信息化系统基础上,所进行的软件产品及硬件产品升级和更换、信息系统应用软件功能完善和扩展、安全体系建设和加固。
信息系统升级改造遵循“统筹规划、资源共享、经济实用、保障安全”的原则,主要针对以下几个方面进行项目实施:
1、软件产品及硬件产品升级和更换
根据应用系统和办公计算机对软件产品的需求,对软件产品进行性能优化、升级或更换实施;根据系统性能和信息流流量对硬件的要求,对硬件设备扩容、升级和更换进行实施。
2、信息系统功能完善和扩展
根据信息系统现状、需求和升级改造目标,调整优化业务流程,在充分利用现有系统软件、硬件、信息资源或整合现有其他信息系统的基础上,完成信息系统功能完善或功能扩展。
3、信息安全建设或加固
根据现有安全体系现状、需求和目标、信息安全保护等级等因素,结合信息安全测评要求,对信息安全体系进行建设或加固。
综上所述,信息系统升级改造项目是通过梳理业务流程,改进系统质量,提高工作效率,使信息资源管理机制得到完善,使信息系统的软件、硬件、安全达到既定目标,使资金和资源配置合理。
二、信息系统工程监理
2002年11月信产部颁布了《关于发布〈信息系统工程监理暂行规定〉的通知》,该文件正式规定了信息系统工程、信息系统工程监理、信息系统工程监理单位的职责范围,相关主管部门的主要职责,信息系统监理范围和监理内容,以及监理单位、监理工程师的权利和义务等,初步确定了我国信息系统工程监理管理体系的框架。随后2003年3月,又发布了《关于印发〈信息系统工程监理单位资质管理办法〉和〈信息系统工程监理工程师资格管理办法〉的通知》,确定了信息系统工程监理管理体系的框架。
经过近十年的不断发展,我国信息系统监理行业发生了由“试点”到“推广”的巨大变化。
1、监理的目标和内容要求
信息系统工程监理是指在信息系统工程建设中引入第三方参与的管理机制,在业主或者项目建设管理机构的授权委托下,根据项目的建设目标、业务需求和质量标准,对承建方提出的技术方案、项目管理活动以及系统设计、开发、集成和实施部署等活动,进行全方位、全过程审核、监督和控制以保证项目按时、在预算范围内、按照质量要求完成,从而保护业主的利益,规避或降低项目的风险。
信息系统工程监理在信息化建设项目中,紧紧围绕“四控”(质量控制、进度控制、投资控制、变更控制)、“三管”(合同管理、安全管理、信息管理)、“一协调”的工作内容,对项目进行监督与管理。
信息系统工程监理工作主要体现在:需求调研和分析、可行性方案、建设方案、施工组织设计、深化设计、工程实施到项目验收的不同阶段,拟定不同的监理方案;在事前、事中和事后,对应用系统、网络系统、信息资源系统等方面实施质量、进度、费用和变更的管理与控制,实现信息化建设全过程的监理,确保信息化工程的顺利完成。
监理项目部的组织结构,是根据委托监理合同规定的服务内容、服务期限、工程类别、规模、技术复杂程度、监理单位内部结构等因素确定。监理项目部的组织机构以“精简灵活,运转高效”为原则,实行总监理工程师负责制。监理项目部的人员结构合理,数量和比例满足监理工作的实际需要,除了总监理工程师外,还应包括专业监理工程师和监理员,必要时可配备总监理工程师代表。
2、监理工作流程
信息系统工程监理依据工作流程开展监理工作,依次为:①与建设单位签订委托监理合同;②委派和确认总监理工程师;③成立项目监理部;④收集有关工程项目资料;⑤编制监理规划;⑥监理工作交底;⑦施工阶段监理控制(质量、进度、投资、变更控制,合同、信息、安全管理,组织协调);⑧竣工验收;⑨监理总结、资料归档。
3、系统升级改造监理方法
信息系统升级改造项目的建设,相对于信息系统新建项目,有较强的针对性和专业性。项目要求系统的设计和实施人员,除了对目前的信息技术知识熟练掌握外,还要对原信息系统有充分的认识,对原信息系统的架构、技术标准、软硬件接口、通信协议等有详细的了解,有针对性地制定出合适、有效、优化的设计及实施方案。由此,也需要信息系统工程监理在IT技术、管理信息知识、实践知识和信息化监理经验等方面有充足的积累,从而确保信息系统升级改造项目的成功实施。
针对信息系统升级改造项目的特点,《信息系统升级改造项目管理办法(试行)》中将其建设内容分为信息资源系统、信息应用系统、信息系统安全建设三个领域,其监理方法也与其他信息系统建设项目的监理方法有所不同。
(1)信息资源系统升级改造项目的监理
信息资源系统升级改造中,系统的软件环境、硬件配置、数据库的原设计能力和运行情况,以及网络的互联互通、网络的拓扑及带宽等是项目建设的重点。
监理重点是对系统设计和实施方案中的设备安装调试、网络系统集成、网络系统拓扑图、网络基础设施、工程实施组织、工程实施计划提出监理意见。重点关注新、旧系统的兼容性、各分项工程接口问题。
在项目实施过程中,监理对工程现场实施人员与施工方案中规定的实施人员进行一致性检查;检查设备的互连线缆是否经过测试并符合要求,检查设备安装环境和条件;检查主要网络设备的安放环境是否符合设备的运行要求;检查设备安装、调试和网络系统集成;检查工程实施的安全性;定期检查、记录工程的进度情况。
在设备及系统安装调试过程中,监理单位对网络设备和主机的安装、配置和调试,操作系统、网络管理系统、网络服务及其他软件的安装和配置,系统集成的调试进行重点关注,确认各分项工程达到设计方案和实施方案的要求。
(2)信息应用系统升级改造项目的监理
信息应用系统的升级改造中,应用系统的接口协议、应用系统相关数据的调用是监理方关注的重点,应确保信息系统功能的完善。
需求分析阶段,监理要求承建单位为需求分析过程的实施提交详细的计划,并要求业主单位予以相应的配合;要求承建单位提交需求文档,并提出监理意见;协助业主单位通过评审、确认、联合评审等方式评价信息应用系统需求;督促承建单位解决需求分析中发现的问题和不合格项,并提出监理意见。
系统设计阶段,监理要求承建单位为应用系统设计过程的实施提交详细的进度计划,并督促承建单位按照计划的要求开展设计活动;根据承建单位提交的设计文档,提出监理意见;要求承建单位提交应用系统集成的初步测试需求和进度安排;协助业主单位通过评审、确认、联合评审等方式评价软件结构设计;督促承建单位解决软件结构设计中发现的问题和不合格项,并提出监理意见。
系统实施和测试阶段,监理要求承建单位提交软件编码过程和单元测试过程详细计划,并督促承建单位按照计划要求开展工作;检查承建单位单元测试过程中的问题记录及其整改记录;要求承建单位提交软件集成计划,并督促承建单位按照计划的要求开展软件集成活动;监督承建单位解决软件集成中发现的问题和不合格项,并提出监理意见。
(3)信息系统安全升级改造项目的监理
信息系统安全建设或加固升级改造中,重点是系统的安全定级、系统的安全体系建设、系统的容灾体系建设等方面的设计和实施。
监理单位审核承建单位提交的工程安全需求文档应从信息安全相关法规、标准,系统的用途及其与业主单位业务安全的关联性,系统的安全功能、性能、互操作性、接口要求等方面,提出监理意见,确保信息系统的安全。
信息系统安全建设中硬件集成的实施,监理建议信息系统集成的各种服务器及网络核心设备宜放置在专门的电子设备机房;信息网络平台中涉及的防火墙、防病毒系统等网络安全软硬件设备应通过国家相关安全测评认证机构的认证;交换机、路由器和防火墙等网络设备初始安装后应重新配置,以符合系统安全策略或系统对应的安全等级保护要求;合理划分网络安全域,对外提供服务的区域应和内部网络隔离;内部服务器及主机应放置在内网,对外提供服务的服务器应放置在对外服务区;在网络系统与外部网络接口处应设置防火墙等边界保护设备;分别从网络防病毒、主机防病毒等各个层次加强网络对病毒的防范能力。
信息系统安全建设中应用软件开发的实施,监理建议应用软件在设计上应考虑合适的控制和跟踪活动日志,以防止丢失、修改或滥用应用系统中的用户数据,包括输入数据确认、内部处理控制、输出数据确认等;软件系统应采用适当的密码系统和技术来保护信息的保密性、真实性和完整性,对于重要的信息系统,应分离开发、测试和运行设施,规定从开发状态到运行状态的安全控制措施并形成文件,以防止开发和测试活动可能引起的问题;软件的测试过程应注意保护和控制测试数据,避免使用包含个人信息的运行数据库;软件的开发过程中,对源程序库的访问应进行严格的控制,以减少计算机程序被损坏的可能。
综上所述,信息系统工程监理在信息系统升级改造项目的工作中,应根据在信息资源系统、信息应用系统、信息系统安全三个领域工作的方法,与常规的信息系统监理工作方法(如:现场记录、发布文件、旁站监理、巡视检验、平行检测等)相配合,结合监理项目组人员的知识和经验,确保信息化项目顺利实施。
三、应用实例
根据信息系统升级改造项目建设的要点,结合信息系统工程监理工作方法,验证信息系统升级改造项目监理方法的研究,以下对“公共技术服务网络基础系统平台(升级改造)项目监理”实施过程进行详细描述。
“公共技术服务网络基础系统平台(升级改造)项目”位于上海市某数据中心机房内。通过对现有网络基础设施进行改造、信息系统安全体系加固、管理应用系统升级,确保上海软件行业公共技术服务机构为本市软件和信息化建设提供更好的技术服务、创新服务。
该项目建设涵盖了信息系统升级改造项目中信息资源系统、信息应用系统、信息系统安全建设三个领域。建设内容具体包括:
(1)网络核心设备改造:对现有两台防火墙撤除,启用新的防火墙代替,新增防垃圾邮件、IPS系统、病毒库以及VPN功能,提高网络系统的管理、防御和阻隔能力。
(2)网络管理系统建设:对于重要网络设备、重要服务器的CPU、内存和运行状态进行实时监控;对于重要的数据库中间件和相关网站应用进行实时监控。
(3)集中管控系统建设:利用KVM设备、网络环境和集中管理软件,通过单台PC机(或服务器)实现对机房内的56台服务器和15台网络设备进行远程管控,实现无人值守数据中心的效果。
信息系统工程监理在本项目的启动阶段、实施阶段、验收阶段,采用信息系统升级改造项目监理的工作方法对项目的质量、进度、投资、变更进行控制,对合同、信息、安全进行管理,协调各方的工作,使本项目得到预期效果。
1、项目启动阶段监理
施工前的准备工作对于一个工程项目来说是最为重要的一个环节,只有在前期准备工作充分的情况下,才能保证对工程实施过程中的各个环节进行有效把控。
根据信息系统升级改造项目监理的工作方法,开展的监理工作有:
(1)对施工合同进行审核,杜绝隐患。
(2)协助建设单位审核系统设计方案,本项目方案审核的重点为:
① 设计方案与需求分析符合性审查:对新增防火墙(天清汉马USG-FW-4000E)、KVM产品和软件(Avocent MPU2032DAC)、网管软件(网强Netmaster5.2)、交换机(华为LS-7506E)等的技术性能与配置要求进行审核。
② 技术风险分析、技术经济分析:对新的网络系统拓扑图、新旧系统的兼容性、各分项工程接口进行审核。
③ 系统安全性审查:根据系统安全建设等级要求,对系统的安全性设计进行审核。
(3)根据承建单位设计方案,监理单位确定对工程进行阶段性质量监督、控制的措施及方法,细化监理方案和监理实施细则的内容。
(4)建立完善的项目管理制度和质量保证体系,实施预控措施。
2、项目实施阶段监理
在此阶段,监理的监管重点在于工程质量的监控及工程进度的跟踪。根据信息系统升级改造项目监理的工作方法,开展的监理工作有:
(1)对主要的软件、硬件设备的采购进行质量控制,检查软硬件设备的配置是否符合合同的要求。监理方工作的重点为:
① 外包装检查(检查倒置标记是否改变,包装箱有无破损等);
② 开箱检查,核对设备外观、规格、型号、随机资料、合格证、铭牌标识是否正确,“三证”是否齐全;
③ 对照设备订货合同,按照订货清单清点,保证设备型号、类别准确无误,数量正确,附件配套,文档齐全。
(2)在项目的施工过程中进行检查,要保证无漏项检查,对重点关键节点、技术复杂实施部分,进行旁站监理。重点关注的内容有:
① 检查各设备的互连线缆是否经过测试,并符合要求。
② 防火墙、KVM产品、交换机、服务器等设备通电调试前,检查电源及电压与设备要求的电源及电压一致,确保上电的安全。
③ 对新旧系统的兼容性、各设备连接的接口问题重点关注,及时跟进项目实施过程,对出现的问题及时解决。尤其注重新旧系统过渡中出现的问题,做好预案,确保原有的系统相关数据信息的安全。
④ 设备的安装和调试过程应符合设备技术文件以及现行国家标准的有关规定。设备的各种功能符合产品说明书所述的功能,操作灵活、可靠、输出信号正确。
⑤ 交换机和防火墙等网络设备初始安装后应重新配置,以符合系统安全策略或系统对应的安全等级保护要求。
⑥ 对网管软件(网强Netmaster5.2)配置中出现的问题和不合格项,及时提出监理意见。
3、项目验收阶段监理
项目验收阶段一般包括系统初验、系统试运行、竣工验收三个环节。
(1)系统初验监理
系统经过承建单位的调试完成,并形成调试报告,监理将进行系统的初步验收。监理单位检查合同履行情况、系统建设期间产生的文件和技术文档是否完善、是否达到初验的要求。
(2)系统试运行监理
初验结束后,进入试运行阶段。监理的主要工作是检查系统工作的可靠性和稳定性,并对系统工作情况进行详细记录,对初验中未及时发现的问题进行修补。
(3)系统竣工验收监理
在收到承建单位的竣工验收书面申请后,监理单位检查合同履行情况、系统建设期间产生的文件和技术文档是否完善、是否达到竣工验收的要求。开展的监理工作有:
① 协助建设单位、承建单位进行竣工验收测试,协助提供测试内容及相关指标(包括:系统的功能验证,性能测试)。同时,确定承建单位所应该提供的文档清单。
② 根据测试结果,会同建设单位和承建单位确定整改进度表,重新进行相关的测试,直至问题得到彻底的解决。
③ 如果竣工验收的所有测试内容达到要求,承建单位提供的文档完整,合同其他条款得到明确的落实(例如:人员技术培训),则签署系统《竣工验收合格书》。
④ 监理单位向建设单位提交所有监理文档。
4、监理成效
信息系统工程建设从监理合同签订开始到最后项目竣工验收,监理工作在职能上可以归结为两点:沟通与监督。沟通的目标是建设方与承建方信息对等,沟通的手段是定期或不定期召开工作会议;监督的目标是在质量、进度和投资上进行控制,监督的手段是合同管理和文档管理。
在公共技术服务网络基础系统平台(升级改造)项目的监理过程中,我们严谨的工作作风,公平、公正的工作立场,热情的服务态度,赢得了施工单位的尊重、建设单位的满意,最终为本监理项目画上了一个圆满的句号。至今,本项目各系统运行正常,项目顺利竣工,为上海软件行业公共技术服务机构提供了强有力的信息安全和服务保障,实现了项目的建设目标。
四、结束语
通过对信息系统升级改造项目监理工作方法的研究,以及在具体项目中监理方法的运用,有效地解决信息系统升级改造建设中的关键问题,最大可能地规避项目建设可能产生的风险,保证信息系统工程建设的质量。
信息工程监理涉及建设方、承建方及其他相关方等多方之间的协调与沟通,实施怎样的监理方法,如何提高监理的业务质量和工作效率,增强监理管理水平,提高监管和服务能力等等,这些都对信息系统工程监理提出了更高的要求,也将成为今后工作的努力方向。
