11.2.2监理督促建设单位进行信息安全规划

    监理工程师有义务建议建设单位在信息系统安全管理上有应对的措施和规划，在制定信息安全规划方面，应建议建设单位从以下几个方面进行。

    1.人员安全管理

    任何系统都是由人来控制的，除了对于重要岗位的工作人员要进行审查之外，建立严密的管理制度对于系统的安全尤为重要。在制度建立过程中，监理工程师要建议建设单位遵循有以下原则:

    (1)授权最小化。只授予操作人员为完成本职工作所必需的最小授权，包括对数据文件的访问、计算机和外设的使用等。

    (2)授权分散化。对于关键的任务必须在功能上进行划分，由多人共同承担，保证没有任何个人具有完成任务的全部授权或信息。

    (3)授权规范化。建立申请、建立、发出和关闭用户授权的严格的制度，以及管理和监督用户操作责任的机制。

    2.物理与环境保护

    对于物理与环境保护，监理工程师要建议建设单位主要从以下几个方面考虑:

    (1)物理访问控制。在重要区域限制人员的进出。重要区域不仅包括机房，也应包括能够接触到内部网络的区域，供电系统备份介质存放的地点等。

    (2)建筑物安全。要考虑建筑物防火、地震、漏水等造成的风险。

    (3)公用设施的保证。为了使系统能够不间断地提供服务及硬件设备不受损害，评价供电、供水、空调等设施的可用性，并提出相应的措施。

    (4)数据安全。数据泄露一般有三种途径:直接获取，在传输中截获，通过电磁辐射泄露。对这三种风险要加以充分评估。特别应当注意对便携式计算机建立安全保管制度，如果其中保存了敏感数据应进行加密，避免丢失或被盗时造成数据泄露。

    3.输入/输出控制

监理工程师要建议、提醒建设单位对系统的输入/输出信息或介质必须建立管理制

度，只有经过授权的人员方可提供或获得系统的输入/输出信息。

    4.制定突发事件的应急计划

    监理工程师要建议、提醒建设单位必须针对不同的系统故障或灾难制定应急计划，编写紧急故障恢复操作指南，并对每个岗位的工作人员按照所担任角色和负有的责任进行培训和演练。

    5.应用软件维护控制

    在应用软件的维护过程中，监理工程师要建议、提醒建设单位需要对所使用的商业软件的版权、来源，应用软件的文档在维护过程是否修改，测试数据的产生与测试结果，是否留有软件测试所建立的后门或热键等问题进行规划和评估。

    6.数据完整性与有效性控制

    数据完整性与有效性控制要保证数据不被更改和破坏。监理工程师要建议、提醒建设单位需要规划和评估的内容包括:系统的备份与恢复措施;计算机病毒的防范与检测制度;是否有实时监控系统日志文件、记录与系统可用性相关的问题，如对系统的主动攻击，处理速度下降和异常停机等。

    7.文档管理

    监理工程师要建议、提醒建设单位文档管理对信息安全管理文档的协同性的重要，文是信息安全管理的一部分。文档在安全管理中用于说明系统的工作机制，并且规范系统的安全与操作的特定过程。系统文档包括软件、硬件、政策、标准、过程的描述，以及相关的应用系统和支持系统的描述。同时文档中还应包括备份措施、突发事件对策以及用户和操作员的操作说明等内容。重要应用系统的文档应当与公共支持系统和网络管理的文档进行协调，以保证运行管理与操作的一致性。

    8.安全教育与培训

    监理要建议、提醒建设单位必须建立定期进行信息系统的安全教育与培训的制度，对于与重要应用系统相关的工作人员还应以多种方式，针对特定系统进行安全教育与培训。