论信息系统项目评估的策略
论信息系统项目评估的策略
摘要:
某市于2011年2月底启动的市级数据中心建设项目以围绕建设“数字城市”的四大核心战略基础性数据库为基础,建设政务信息资源数据共享交换平台,全面整合市政府各独立、分散的应用系统数据;建设政务信息资源处理和应用平台,实现政府信息资源的充分共享利用和深入应用;建立政务信息资源存储、传输、交换、应用的支持环境,满足政府办公、行业应用、城市管理等应用的需求。该项目涉及业务面广,系统架构复杂,应用功能繁多。在投资前,必须做好充分的分析工作,确保建设方能够获得预期的效益。项目评估是项目立项前的最后一道关,是审查项目可行性研究的可靠性、真实性和客观性的重要手段。因此做好项目评估的工作,对于项目是否立项,立项后是否能产生预定的经济效益等有很大的影响。本文以该项目为例,详细描述了在该项目开始前,我作为项目评估组长是如何开展项目评估工作的。
正文:
按照国家以电子政务为突破口,大力推动国民经济和社会信息化发展以及关于加块“数字城市”信息化建设的要求,全国各大中城市在信息化基础工作已经基本成熟的前提下,对政府信息化工作有了更高的要求。
某市领导非常重视城市信息化建设工作,对于“数字城市”有深刻的认识和见解,并对“数字城市”工作制订了切实可行的实施步骤。其中,城市级数据中心建设是实施步骤的重要环节。数据中心项目作为“数字城市”建设工作的首要任务,受到市政府的高度重视,因为它的成功,能够为后续工作的开展奠定扎实的基础。
城市级数据中心建设以围绕建设“数字城市”的四大核心战略基础性数据库为基础,建设政务信息资源数据共享交换平台、政务信息资源处理和应用平台、政务信息资源存储、传输、交换、应用的支持环境,实现政府信息资源的充分共享利用和深入应用,满足政府办公、行业应用、城市管理等应用的需求,加快“数字城市”建设步伐。此项目计划总投资2230万元,历时7个月完成。
该项目于2010年底完成可行性研究报告之后,由市发改委会同市信息化办公室等相关单位进行项目评估工作,我在市发改委主要从事项目评估工作,经过研究,我被任命为该项目评估工作小组组长,带队开展项目评估工作。
项目评估的依据就是项目可行性研究的成果即项目可行性研究报告。项目评估是在项目可行性研究的基础上,由项目投资方或项目主管部门或第三方机构对拟开发的项目的市场需求,技术先进性和成熟性,预期经济效率和社会效益等进行评价,其目的是审查项目可行性研究的可靠性、真实性和客观性,为行政主管部门的审批决策和投资机构的投资决策提供科学依据。
当可行性研究报告出来后,为了对其进行准确的评价,以决定是否上马该项目。在进行项目评估时,我主要采用了以下的步骤。1、成立项目评估小组
评估是集合众人的智慧和想法对拟开展的项目进行投资,社会效益,经济效益等多方面的评价,因此需要多方面的专家参与到一个固定的小组里面,对拟开展的项目进行评价。我成立了评估小组,把相关各方代表共10人集合到小组里面,为开展后续的评估工作打下良好的组织基础。
2、进行调查,收集数据资料,考察可行性研究报告内容的真实性
1)对本项目的现状和一些用户的需求,进行摸底调研。具体包括目前本市的信息规划、已经成功使用的现存信息系统,相关单位信息系统用户的需求,目前可用的一些信息资源,还有数据中心本身的技术水平、领导的管理理念、新建成的数据中心的管理与运行模式等方面。2)对实现信息系统集成项目的国内类似规模的数据中心现场进行实地考察。对其投入的成
本;所取得的直接经济效益、长远的经济效益、社会效益;数据中心管理水平的提高;政务信息资源应用水平的提高;所采用的技术,包括集成框架、数据库、中间件、网络、应用系统、系统接口等;还有目前的应用状况、缺陷和优势、经验教训等各个方面与他们交流。3)小组开展多轮讨论分析,全面验证可行性研究报告的可靠性和客观性
我主要从技术现状、开发规范、项目风险等三个方面进行阐述。
技术现状分析:可行性报告中所论述的与项目有关的国内同类产品和技术现状是否客观、全面。例如,数据交换平台的软件开发分项。国外有许多厂商都有数据交换产品集,如IBM,Microsoft等等。他们的数据交换产品集都包含了数据传输组件,数据管理组件等。但是,他们的产品没有按照国内数据共享交换体系框架设计,不符合国家电子政务相关设计要求。国内的数据交换产品生产厂商,大部分也仅仅是做到了数据传输层的组件产品,没有完整的、系统的功能体系。因此需要定制化开发。
项目采用的标准、规范分析:一方面本项目采用RUP统一过程方法进行开发建设。RUP统一过程是以用例来驱动的,以基本架构为中心,迭代的、增量式的开发过程。利用RUP的开发过程,可以不断的指导个人和团队,因此项目采用的标准和规范是先进和合理,是值得推荐的。另一方面本项目采用PMI提出的PMBOK项目管理知识体系为项目管理指导。项目管理最佳实践以PMBOK为代表。它包含了项目的启动、规划、执行、监控和收尾等5大过程组,也包含了整合管理、范围管理、时间管理、成本管理、质量管理、人力资源管理、沟通管理、风险管理和采购管理9大知识领域,因此在项目管理活动中,用此体系作为指导,能够保证项目顺利进行。
项目的风险分析:比如该项目硬件设备采购属于比较标准化的采购方式,因此风险比较小。在进行招标过程中,选择的硬件供货商的综合水平高,具备系统集成一级资质,有一定库存量,资金流动健康等等考核因素可以规避该问题。
3、编写评估报告
在评估完成后,需要给出一个评估结论。主要是把评估的结果呈现出来,具体包括:项目的概述,需要评估的目标,建设必要性,建设条件,经济效益,评估结论,进一步的建议等等。通过这些,可以使我们清楚的了解该项目的真实情况,是否值得开展,其回报率是多少。4、讨论,修改报告并定稿
评估报告出来后,通过专家的一致评定和讨论,对报告中的某些内容进行调整,最终形成正式的评估报告。评估报告经过3轮讨论和修改,最终定稿。经过各位专家的认真评估后,认定该项目的风险较低,经济和社会效益高,有很好的技术先进性,建成后可以成为标杆,最终评估结论是:该项目可以正式立项。
通过以上的评估,数据中心建设项目被批准立项,开始了项目的建设。此项目投资额2230万元,历时7个月的开发建设,于2011年10月底最后获得了评审会的验收通过。目前系统运行正常,大大提高了政府工作效率,充分为领导决策提供支持,增加了政府数据应用系统的开发,带动了该市信息服务产业的发展。此项目成果也获得了市政府主要领导的高度认可和表扬。
通过项目评估工作和投资实施,使国家的投资充分发挥了效能,使政府服务功能得到完善。现在回头来看,在项目评估过程中,需要特别注意以下几点:
1、必须要客观,公正。通过客观数据的收集来进行评估,切不可盲目,出现“大概多少”这样的评估论调。
2、注重评估报告的撰写,特别是讨论后的修正。很多人都是在评估报告一出来后就万事大吉了,对于讨论后的修改工作不是很重视,其实必须重视讨论后的评估报告的修正工作,因为它是项目前期建设的一项重要工作。
建设项目财务效益评估
第10章建设项目财务效益评估 项目的财务评价作为项目经济评价中重要的组成部分,在项目决策分析与评价工作中占有非常重要的地位。对一般项目来说,尤其是对那些由市场调空的竞争性项目,财务评价是必不可少的评价内容和工作程序,其结论是项目投资决策的直接依据。对项目进行财务评价主要是评价其在财务上的盈利性和偿债能力,考察项目的财务状况。 10.1 项目的财务评价概述 ㈠财务评价的含义 根据国家现行的财税、金融、外汇制度和价格体系,分析计算项目直接发生的财务效益和费用,编制财务报表,考察项目的盈利能力、清偿能力、抗风险能力及外汇效果等财务状况,据以判断项目财务上是否可行的一种经济评价方法。 ㈡财务评价的作用 对项目投资主体,还是对为项目建设和生产经营提供资金的其他机构或个人,均具有十分重要的作用。主要表现在以下几方面: 1.考察项目的财务盈利能力。 2.用于制定适宜的资金规划。 3.为协调企业利益和国家利益提供依据。 4.为中外合资项目提供双方合作的基础。 10.1.2 建设项目财务评价的原则
1.坚持效益与费用计算口径一致的原则。 2.坚持动态分析为主、静态分析为辅的原则。 3.坚持采用预测价格的原则。 4.坚持定量分析为主、定性分析为辅的原则。 财务评价是在确定的建设方案、投资估算和融资方案的基础上进行财务可行性研究。财务评价的主要内容与步骤如下: 1.选取财务评价基础数据与参数。 2.计算销售(营业)收入、估算成本费用。 3.编制财务评价报表。财务现金流量表、损益和利润分配表、资金来源与运用表、借款偿 还计划表。 4.计算财务评价指标,进行盈利能力分析和偿债能力分析。 5.进行不确定性分析,包括敏感性分析和盈亏平衡分析。 6.编写财务评价报告。 10.2建设项目财务评价基础数据的测算 10.2.1 资本性投入基础数据的测算 1.总成本费用及其构成 ⑴生产成本的构成
风险评估实施方案
风险评估实施方案
一、风险评估概述 1、风险服务的重要性 对于构建一套良好的信息安全系统,需要对整个系统的安全风险有一个清晰的认识。只有清晰的了解了自身的弱点和风险的来源,才能够真正的解决和削弱它,并以此来构建有着对性的、合理有效的安全策略,而风险评估既是安全策略规划的第一步,同时也是实施其它安全策略的必要前提。 近几年随着几次计算机蠕虫病毒的大规模肆虐攻击,很对用户的网络都遭受了不同程度的攻击,仔细分析就会发现,几乎所有的用户都部署了防病毒软件和类似的安全防护系统,越来越多的用户发现淡村的安全产品已经不能满足现在的安全防护体系的需求了。 安全是整体的体系建设过程,根据安全的木桶原理,组织网络的整个安全最大强度取决于最短最脆弱的那根木头,因此说在安全建设的过程中,如果不仔细的找到最短的那根木头,而盲目的在外面加钉子,并不能改进整体强度。 信息安全风险评估是信息安全保障体系建立过程中的重要的评价方法和决策机制,只有经过全面的风险评估,才能让客户对自身信息安全的状况做出准确的判断。 2、风险评估服务的目的及其意义 信息安全风险是指人为或自然的威胁利用信息系统及其团里
体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。 信息安全风险评估是指依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。她要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组造成的影响。 信息安全风险评估是信息系统安全保障机制建立过程中的一种评价方法,其结果为信息安全更显管理提供依据。 3、风险评估服务机制 在信息系统生命周期里,有许多种情况必须对信息系统所涉及的人员、技术环境、物理环境进行风险评估: ●在设计规划或升级新的信息系统时; ●给当前的信息系统增加新应用时; ●在与其它组织(部门)进行网络互联时; ●在技术平台进行大规模更新(例如,从Linux系统移植到 Sliaris系统)时; ●在发生计算机安全事件之后,或怀疑可能会发生安全事件 时; ●关心组织现有的信息安全措施是否充分或食后具有相应的安 全效力时;
安全风险评估实施解决方案.doc
一、工程概况 1、重庆兆德.雍山湖项目一期一标段工程位于重庆大足双桥龙水湖片区,紧靠龙水湖,由重庆逸悦置地有限公司投资建设,中煤科工集团重庆设计研究院有限公司设计,重庆中泰建设工程监理有限公司监理,重庆建工第二建设有限公司承建,本工程建面约1.5万平方米,房屋类型主要有住宅、酒店、公园教堂、管理用房、门卫房等,结构类型:框架结构。 二.编制说明 为认真贯彻落实“安全第一、预防为主、综合治理”的方针,促进企业安全生产基础管理,改善生产作业条件,消除事故隐患,有效预防重、特大事故的发生,切实维护我项目部职工劳动过程中的安全和健康,在我部深入推行工程施工安全风险评估工作排查、监控,现就有关事项制定方案如下: 三、指导思想 风险评估是从施工源头查清风险因素,合理确定风险等级,放弃或修改残留风险高的工程方案,提出风险处理和监控措施,进行系统的风险管理,提高风险的管理水平,保障安全、保护环境、保证工期、控制投资、提高效益。以健全完善安全监控工作体系为载体,积极构筑“群防、群控、群治”的安全生产网络,有效预防各类事故和职业危害的发生。 四、组织领导
为加强推行本标段工程施工安全风险评估工作的运行,成立“工程施工安全风险评估”安全生产领导小组,如下图所示。
五、工作目标 评估对象为标段施工区域内施工中可能出现的安全、交通、环境、工期、投资及第三方等各方面风险。开展定性或定量的施工安全风险估测,能够增强安全风险意识,改进施工措施,规范预案预警预控管理,有效降低施工风险,严防重特大事故发生。 通过对生产(工作)场所、作业岗位的危险源(点)、事故隐患和职业危害因素进行自下而上的排查、辨识、评价分级、建档立卡,建立监督控制体系,强化群众性劳动保护和企业安全生产管理。通过风险评估,确定风险等级,并针对各项风险(事件)拟定初步处理方案,为“监控法”有效实施、可靠运转提供了保证,以将各类风险降到可能接受的水平。 六、风险评估实施方法 (一)按照辩识、分析、估测、控制、报告程序进行专项风险评估,采用专家调查法和指标体系法确定风险等级,重大风险源及时汇总上报行业主管部门。 (二)对本项目进行总体风险评估,根据工程项目的地质环境条件、建设规模、结构特点等孕险环境与致险因子,估测工程施工期间的整体安全风险大小,确定其静态条件下的安全风险等级;对兆德. 雍山湖工程专项风险评估,根据其作业风险特点以及类似工程事故情
评估项目的经济效益
.为什么使用经济分析 在进行项目的可行性研究,投资决策,方案选择,效益评估,获利能力与财务表现的比较等方面,都要进行经济分析,目的是从成本与效益的角度分析项目的经济指标和财务表现,以帮助决策者和项目团队得出正确的信息,做出科学的决策。 2.经济分析有哪些作用 ·从经济学的角度分析项目的成本与收益,促使项目团队关注项目的经济指标和财务表现,避免盲目投资; ·帮助项目团队制定科学的投资、融资以及资金使用计划,以提升项目管理的效益和效率; ·提供数据和指标帮助项目团队进行决策,提高决策的正确率和科学性。 3.怎么用 项目的经济分析可以用不同的经济指标来衡量,主要包括成本效益分析,投资收益率,投资回收期,净现值,内部收益率,盈亏平衡等,下面结合具体的例子来阐述这些经济指标的含义极其使用方法。 (1) 成本效益分析(Cost Benefit Analysis) 成本效益分析就是估算投入项目中去的人工、设备、材料等方面的总成本,以及项目所产生的所有看得见和看不见的收益,然后比较两者的结果,理想的投资方案应该是项目的收益大于其成本,否则就不值得去投资,如表1所示。 (2) 投资收益率(Return on Investment, ROI) 就是项目在整个收益期内的总收益与投资总额的比值,其一般表达式为: ROI=B/K
式中:K表示投资总额,,K t为第t年的投资额,m为完成投资的年份,根据不同的分析目的,K以是全部投资额,也可以是投资者的权益投资额。 B表示项目的净收益,根据不同的分析目的,B可以是利润,可以是利润税金总额,也可以是年净现金流入等,ROI表示投资收益率,根据K和B的具体含义,ROI可以表现为各种不同的具体形态。 投资收益率没有考虑资金的时间价值,而且舍弃了项目建设期、生命期等众多经济数据,故一般仅用于技术经济数据尚不完整的项目初步研究阶段。 用投资收益率指标评价项目的经济效果,需要与根据同类项目的历史数据及投资者意愿等确定的基准投资收益率作比较。判别准则为:项目投资收益率小于基准投资收益率,则项目应予以拒绝;项目投资收益率大于或等于基准投资收益率,则项目可以考虑接受。 (3) 投资回收期(Payback Period) 是组织用投资项目所得的净现金流量来回收项目初始投资所需的年限。若用符号CF0表示初始投资,CF t表示项目经营期间的税后净现金流量,T p表示回收期,则有 上式表明,当项目经营期间税后净现金流量之和减去初始投资等于零时,亦即项目累计净现金流量为零的那一年,投资刚好被完全回收,所以T p为回收期。 在决策时,应遵循以下原则:回收期大于企业要求的回收期,项目被拒绝;回收期小于或等于企业要求的回收期,则项目可接受。 回收期表明了初始投资回收的快慢。企业的投资项目早期收益大,则回收期短,风险小。因此回收期是反映投资风险的一个指标,投资的尽早回收可避免将来经营环境变化的不利影响。 从是否考虑资金的时间价值出发,投资回收期分为静态投资回收期和动态投资回收期: A.静态投资回收期 静态投资回收期,就是从项目投建之日起,用项目各年的净收入将全部投资收回所需的期限。是最常用的评价指标,具有直观、简便的特点,同时还可以反映项目的风险程度,其缺点是没有考虑资金的时间价值。 例1:某项目的投资及年净收入如表2所示,计算其投资回收期。
信息安全风险评估方法
从最开始接触风险评估理论到现在,已经有将近5个年头了,从最开始的膜拜捧为必杀技,然后是有一阵子怀疑甚至预弃之不用,到现在重拾之,尊之为做好安全的必备法宝,这么一段起起伏伏的心理历程。对风险的方法在一步步的加深,本文从风险评估工作最突出的问题:如何得到一致的、可比较的、可重复的风险评估结果,来加以分析讨论。 1. 风险评估的现状 风险理论也逐渐被广大信息安全专业人士所熟知,以风险驱动的方法去管理信息安全已经被大部分人所共知和接受,这几年国内等级保护的如火如荼的开展,风险评估工作是水涨船高,加之国内信息安全咨询和服务厂商和机构不遗余力的推动,风险评估实践也在不断的深入。当前的风险评估的方法主要参照两个标准,一个是国际标准《ISO13335信息安全风险管理指南》和国内标准《GB/T 20984-2007信息安全风险评估规范》,其本质上就是以信息资产为对象的定性的风险评估。基本方法是识别并评价组织/企业内部所要关注的信息系统、数据、人员、服务等保护对象,在参照当前流行的国际国内标准如ISO2700 2,COBIT,信息系统等级保护,识别出这些保护对象面临的威胁以及自身所存在的能被威胁利用的弱点,最后从可能性和影响程度这两个方面来评价信息资产的风险,综合后得到企业所面临的信息安全风险。这是大多数组织在做风险评估时使用的方法。当然也有少数的组织/企业开始在资产风险评估的基础上,在实践中摸索和开发出类似与流程风险评估等方法,补充完善了资产风险评估。 2. 风险评估的突出问题 信息安全领域的风险评估甚至风险管理的方法是借鉴了银行业成熟的风险管理方法,银行业业务风险管理的方法已经发展到相当成熟的地步,并且银行业也有非常丰富的基础数据支撑着风险分析方法的运用。但是,风险评估作为信息安全领域的新生事物,或者说舶来之物,尽管信息安全本身在国内开展也不过是10来年,风险评估作为先进思想也存在着类似“马列主义要与中国的实际国情结合走中国特色社会主义道路”的问题。风险评估的定量评估方法缺少必要的土壤,没有基础的、统计数据做支撑,定量风险评估寸步难移;而定性的风险评估其方法的本质是定性,所谓定性,则意味着估计、大概,不准确,其本质的缺陷给实践带来无穷的问题,重要问题之一就是投资回报问题,由于不能从财务的角度去评价一个/组风险所带来的可能损失,因此,也就没有办法得到投资回报率,尽管这是个问题,但是实践当中,一般大的企业都会有个基本的年度预算,IT/安全占企业年度预算的百分之多少,然后就是反正就这么些钱,按照风险从高到低或者再结合其他比如企业现有管理和技术水平,项目实施的难易度等情况综合考虑得到风险处理优先级,从高到低依次排序,钱到哪花完,风险处理今年就处理到哪。这方法到也比较具有实际价值,操作起来也容易,预算多的企业也不怕钱花不完,预算少的企业也有其对付办法,你领导就给这么些钱,哪些不能处理的风险反正我已经告诉你啦,要是万一出了事情你也怪不得我,没有出事情,等明年有钱了再接着处理。
社会效益和生态效益分析
第八章社会效益和生态效益分析 一、社会效益分析 1、项目工程的建设将为ssss提供丰富的特色农产品,为ssss农民开辟新的致富门路,建立稳定的经济收入来源,促进ssss农业生产结构的调整和优化,促进农业资源优势向商品优势的转化,促进项目区农业产业化经营进程,实现传统农业向现代农业的转化。 2、项目实施过程中,现代市场经济意识和先进的生产经营观念将逐步渗透到人民群众的意识之中,广大农民群众的生产观念和经营观念将得到更新和进步,市场意识和竞争能力得到锻炼和提高。 3、项目的实施,每年可以为项目区群众提供劳动力就业机会。特别是通过吸收广大妇女参与项目实施,不仅可以增加项目区妇女的经济收入,而且可以促进她们社会地位的提高。 因此,项目工程的建成必将促进ssss社会、经济的协调发展,促进ssss农村产业结构的调整和ssss农民收入的提高。因此社会及经济效益是十分明显的。 二、生态效益分析 项目区位于主城区风向及水源地的上游,覆盖于砾岩、砂岩和沙丘的稀少植被,抵挡不住凛冽的西北风。因此,项目区是ssss城区的沙尘起源地。项目建成后,本项目通过进行山地和沙地开发、中低产田改造、发展特色农业生产基地、发展经济林和畜牧养殖业等综合措施,极大地改善黄河周边的生态环境。 同时,通过对中低产田的综合治理,可以有效涵养水源,控制水土流失,增加土壤肥力,改善气候条件,促进项目区生态环境的良性循环,提高抗自然灾害能力。通过有效增加基本农田数量和中低产田改造,扩大经济林种植面积,提高山地和沙地的林草覆盖率,从而对防风固沙、防止水土流失、恢复生态环境、净化空气、调节地方小气候及生物多样性起到不可估量的作用。通过发展规模化养殖业,增加无机肥施用量,减少了化肥的使用量,为绿色农业、生态农业的发展创造良好的环境,有效促进项目区农业的可持续发展。
信息安全风险评估方案教程文件
信息安全风险评估方 案
第一章网络安全现状与问题 1.1目前安全解决方案的盲目性 现在有很多公司提供各种各样的网络安全解决方案,包括加密、身份认证、防病毒、防黑客等各个方面,每种解决方案都强调所论述方面面临威胁的严重性,自己在此方面的卓越性,但对于用户来说这些方面是否真正是自己的薄弱之处,会造成多大的损失,如何评估,投入多大可以满足要求,对应这些问题应该采取什麽措施,这些用户真正关心的问题却很少有人提及。 1.2网络安全规划上的滞后 网络在面对目前越来越复杂的非法入侵、内部犯罪、恶意代码、病毒威胁等行为时,往往是头痛医头、脚痛医脚,面对层出不穷的安全问题,疲于奔命,再加上各种各样的安全产品与安全服务,使用户摸不着头脑,没有清晰的思路,其原因是由于没有一套完整的安全体系,不能从整体上有所把握。 在目前网络业务系统向交易手段模块化、经纪业务平台化与总部集中监控的趋势下,安全规划显然未跟上网络管理方式发展的趋势。 第二章网络动态安全防范体系 用户目前接受的安全策略建议普遍存在着“以偏盖全”的现象,它们过分强调了某个方面的重要性,而忽略了安全构件(产品)之间的关系。因此在客户化的、可操作的安全策略基础上,需要构建一个具有全局观的、多层次的、组件化的安全防御体系。它应涉及网络边界、网络基础、核心业务和桌面等多个层面,涵盖路由器、交换机、防火墙、接入服务器、数据库、操作系统、DNS、WWW、MAIL及其它应用系统。 静态的安全产品不可能解决动态的安全问题,应该使之客户化、可定义、可管理。无论静态或动态(可管理)安全产品,简单的叠加并不是有效的防御措施,应该要求安全产品构件之间能够相互联动,以便实现安全资源的集中管理、统一审计、信息共享。 目前黑客攻击的方式具有高技巧性、分散性、随机性和局部持续性的特点,因此即使是多层面的安全防御体系,如果是静态的,也无法抵御来自外部
风险评估实施方案
一、风险评估概述 1、风险服务的重要性 对于构建一套良好的信息安全系统,需要对整个系统的安全风险有一个清晰的认识。只有清晰的了解了自身的弱点和风险的来源,才能够真正的解决和削弱它,并以此来构建有着对性的、合理有效的安全策略,而风险评估既是安全策略规划的第一步,同时也是实施其他安全策略的必要前提。 近几年随着几次计算机蠕虫病毒的大规模肆虐攻击,很对用户的网络都遭受了不同程度的攻击,仔细分析就会发现,几乎所有的用户都部署了防病毒软件和类似的安全防护系统,越来越多的用户发现淡村的安全产品已经不能满足现在的安全防护体系的需求了。 安全是整体的体系建设过程,根据安全的木桶原理,组织网络的整个安全最大强度取决于最短最脆弱的那根木头,所以说在安全建设的过程中,如果不仔细的找到最短的那根木头,而盲目的在外面加钉子,并不能改善整体强度。 信息安全风险评估是信息安全保障体系建立过程中的重要的评价方法和决策机制,只有通过全面的风险评估,才能让客户对自身信息安全的状况做出准确的判断。 2、风险评估服务的目的及其意义 信息安全风险是指人为或自然的威胁利用信息系统及其团里体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。 信息安全风险评估是指依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。他要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组造成的影响。 信息安全风险评估是信息系统安全保障机制建立过程中的一种评价方法,其结果为信息安全更显管理提供依据。 3、风险评估服务机制 在信息系统生命周期里,有许多种情况必须对信息系统所涉及的人员、技术
社会稳定风险评估工作实施方案
社会稳定风险评估工作实施方案 社会稳定风险评估工作实施方案 摘要: 为抓好2016年移民后扶整村推进示范片项目社会稳定风险评估方案,切实维护项目区社会稳定,按照县维稳办〔2016〕1号文件精神,结合移民后扶整村推进示范片项目工作实际,特制定2016年移民后扶整村推进示范片项目社会稳定风险评估工作实施方案。一、指导思想 为抓好2016年移民后扶整村推进示范片项目社会稳定风险评估方案,切实维护项目区社会稳定,按照县维稳办〔2016〕1号文件精神,结合移民后扶整村推进示范片项目工作实际,特制定2016年移民后扶整村推进示范片项目社会稳定风险评估工作实施方案。 一、指导思想 以正确把握和妥善解决人民群众最关心、最直接、最现实的利益问题为重点,把社会稳定风险评估作为项目决策的前置程序和必要要求,力争做到在项目实施之前,对可能出现的不稳定因素都要进行先期预测、先期研判、先期介入,最大限度的消除不稳定因素。 二、评估范围 2016年移民后扶整村推进示范片项目中,在基础设施建设、产业发展建设、社会事业发展建设、巴山新居建设等中,事关人民群众切身利益的重大决策和工程建设。 三、责任主体 移民后扶整村推进示范片各项目村是各村移民后扶整村推进示范片项目社会稳定风险评估工作的责任主体,对移民后扶整村推进示范片项目社会稳定风险评估工
作负总责。在工作开展过程中,始终坚持科学发展,民生为先,稳定为重,把社会稳定风险评估作为项目开展的 前置程序,切实做到科学评估在前,有效预防在先。 四、评估内容 1.项目实施的合法性。一是项目的制定和实施是否符合党和国家的大政方针,是否与现行政策、法律、法规相抵触,是否有充足的政策、法律依据。二是项目所涉及的政策调整、收益对象和范围是否界定准确,是否合法。三是项目实施出台是否符合有关议事决策程序。 2.项目实施的前提条件。一是是否经过严格的审查审批和报批程序。二是是否经过严谨科学的可行性研究论证。三是方案是否具体、详实,配套措施是否完善。四是项目实施的时机是否合适,条件是否成熟。 4.资金的组织和使用。一是资金筹措渠道是否合法可靠。二是所需资金总额是否能按计划、按时足额到位。三是资金能否做到专储、专账、专管、专用。 4.涉及的环境问题。一是是否坚持了可持续发展观,对生态环境有何重大影响。二是当地群众对该项目建设有无强烈的反映和要求。三是可能产生环境污染、生态环境破坏的项目,是否有科学的治污、环保配套措施。 五、实施步骤 2016年移民后扶整村推进示范片项目社会稳定风险评估,按照以下方法和步骤进行: 第一步:确定对象。移民后扶整村推进示范片项目在实施前必须报告县扶贫和移民工作局,其工作方案项目村提出,报送县维稳办,在县维稳办对方案的可行性进行讨论并做出相应的评估报告,且确定责任主体的第一责任人后,由责任主体责任人对拟定出台的重大事项实
项目后评价和财务效益后评价
项目后评价和财务效益后评价 项目后评价是在建设项目投资完成后,针对项目目的、执行过程、运行效益和产生的影响等方面进行的系统和客观性分析,以提高建设项目的决策、建设和管理水平,是项目建设周期中的最后一个环节。 项目后评价的内容主要包括项目概况、项目前期工作评价、建设实施评价、项目运行评价、项目财务效益后评价和项目影响与持续性后评价等。一方面是对投资活动实践进行检查总结,确定投资预期目标是否达到、项目是否合理有效、项目的主要效益指标是否实现等;另一方面通过分析评价找出成败的原因,总结经验教训,及时有效地反馈信息,为未来新项目的决策和进一步提高投资决策管理水平提出建议。编制项目后评价所需的基础资料主要包括项目建议书(预可行性研究报告)、可行性研究报告、评估报告、初步设计及其批复文件,年度投资计划、项目调整报告及有关批复文件,项目竣工总结报告、验收报告及有关批准文件,项目决算报告、审计报告和同类项目的相关资料报告等。 项目后评价始于20 世纪30 年代,是美国国会为监督政府“新政”政策性投资的重要手段。近年来,项目后评价已经形成较为完善的评价体系,并呈现出以下趋势:由传统的单一的财务评价,向包括财务、经济、环境、社会等涵盖多方面评价方向演变。项目后评价当前更倾向于对投资项目全过程进行评价,尤其是国际金融组织扩大后评价机构的功能后,将资金预算、监测、审计和评价结合在一起,形成了一个有效、完整的管理循环和评价体系。 国内的投资项目后评价始于20世纪80年代中期,90年代中期在全国范围内得到普遍推广,初步形成了自己的后评价体系。随着投资体制改革的深入发展,项目前评价和投资决策的科学性得到加强,后评价工作逐渐受到经济界和投资界的重视。但总体而言,我国的后评价体系仍处于初期发展阶段,对于项目后评价理论尚缺少系统性的研究。 项目后评价对于提高投资决策水平和建设管理能力具有重要意义。由于项目建设的效率与效益直接取决于工程项目管理能力,这就要求工程建设单位要根据市场竞争和环境的变化,运用现代化管理的理论、技术和方法,不断提高自身的管理能力和技术水平,实现项目建设过程中各项资源的优化配置与有效利用。项目后评价首先就是一个学习的过程。后评价通过对项目投资过程、后续经济效益和影响所进行的全方面系统的分析,总结正反两方面的经验教训,使项目建设单位可以学习到更为科学合理的投资和管理方法,提高今后项目决策和建设
第章建设项目财务效益评估
第10 章建设项目财务效益评估 项目的财务评价作为项目经济评价中重要的组成部分,在项目决策分析与评价工作中占有非常重要的地位。对一般项目来说,尤其是对那些由市场调空的竞争性项目,财务评价是必不可少的评价内容和工作程序,其结论是项目投资决策的直接依据。对项目进行财务评价主要是评价其在财务上的盈利性和偿债能力,考察项目的财务状况。 10.1 项目的财务评价概述 ㈠财务评价的含义 根据国家现行的财税、金融、外汇制度和价格体系,分析计算项目直接发生的财务效益和费用,编制财务报表,考察项目的盈利能力、清偿能力、抗风险能力及外汇效果等财务状况,据以判断项目财务上是否可行的一种经济评价方法。 ㈡财务评价的作用 对项目投资主体,还是对为项目建设和生产经营提供资金的其他机构或个人,均具有十分重要的作用。主要表现在以下几方面: 1.考察项目的财务盈利能力。 2.用于制定适宜的资金规划。 3.为协调企业利益和国家利益提供依据。 4.为中外合资项目提供双方合作的基础。 10.1.2 建设项目财务评价的原则 1.坚持效益与费用计算口径一致的原则。 2.坚持动态分析为主、静态分析为辅的原则。 3.坚持采用预测价格的原则。 4.坚持定量分析为主、定性分析为辅的原则。 财务评价是在确定的建设方案、投资估算和融资方案的基础上进行财务可行性研究。
财务评价的主要内容与步骤如下: 1.选取财务评价基础数据与参数。 2.计算销售(营业)收入、估算成本费用。 3.编制财务评价报表。财务现金流量表、损益和利润分配表、资金来源与运用表、借款偿还计划 表。 4.计算财务评价指标,进行盈利能力分析和偿债能力分析。 5.进行不确定性分析,包括敏感性分析和盈亏平衡分析。 6.编写财务评价报告。 10.2 建设项目财务评价基础数据的测算 10.2.1 资本性投入基础数据的测算 1.总成本费用及其构成 ⑴生产成本的构成 ①直接材料。 ②直接工资。 ③其他直接支出。 ④制造费用。 ⑵期间费用的构成 ①销售费用。 ②管理费用。 ③财务费用。 2.总成本费用的估算方法 ⑴项目成本估算法 ⑵要素成本估算法 表10-1 总成本费用估算表单位:万元)
信息安全风险评估方案
信息安全风险评估方案 第一章网络安全现状与问题 1、1 目前安全解决方案的盲目性现在有很多公司提供各种各样的网络安全解决方案,包括加密、身份认证、防病毒、防黑客等各个方面,每种解决方案都强调所论述方面面临威胁的严重性,自己在此方面的卓越性,但对于用户来说这些方面是否真正是自己的薄弱之处,会造成多大的损失,如何评估,投入多大可以满足要求,对应这些问题应该采取什麽措施,这些用户真正关心的问题却很少有人提及。 1、2 网络安全规划上的滞后网络在面对目前越来越复杂的非法入侵、内部犯罪、恶意代码、病毒威胁等行为时,往往是头痛医头、脚痛医脚,面对层出不穷的安全问题,疲于奔命,再加上各种各样的安全产品与安全服务,使用户摸不着头脑,没有清晰的思路,其原因是由于没有一套完整的安全体系,不能从整体上有所把握。 在目前网络业务系统向交易手段模块化、经纪业务平台化与总部集中监控的趋势下,安全规划显然未跟上网络管理方式发展的趋势。 第二章网络动态安全防范体系用户目前接受的安全策略建议普遍存在着“以偏盖全”的现象,它们过分强调了某个方面的重要性,而忽略了安全构件(产品)之间的关系。因此在客户化的、可操作的安全策略基础上,需要构建一个具有全局观的、多层次的、组件化的安全防御体系。它应涉及网络边界、网络基础、核心业务和桌面等多个层面,涵盖路由器、交换机、防火墙、接入服务器、数据库、操作系统、 DNS、 WWW、 MAIL 及其它应用系统。 静态的安全产品不可能解决动态的安全问题,应该使之客户化、可定义、可管理。无论静态或动态(可管理)安全产品,简单的叠加并不是有效的防御措施,应该要求安全产品构件之间能够相互联动,以便实现安全资源的集中管理、统一审计、信息共享。
安全风险评估实施方案范文
安全风险评估实施 方案
一、工程概况 1、重庆兆德.雍山湖项目一期一标段工程位于重庆大足双桥龙水湖片区,紧靠龙水湖,由重庆逸悦置地有限公司投资建设,中煤科工集团重庆设计研究院有限公司设计,重庆中泰建设工程监理有限公司监理,重庆建工第二建设有限公司承建,本工程建面约1.5万平方米,房屋类型主要有住宅、酒店、公园教堂、管理用房、门卫房等,结构类型:框架结构。 二.编制说明 为认真贯彻落实“安全第一、预防为主、综合治理”的方针,促进企业安全生产基础管理,改进生产作业条件,消除事故隐患,有效预防重、特大事故的发生,切实维护我项目部职工劳动过程中的安全和健康,在我部深入推行工程施工安全风险评估工作排查、监控,现就有关事项制定方案如下: 三、指导思想 风险评估是从施工源头查清风险因素,合理确定风险等级,放弃或修改残留风险高的工程方案,提出风险处理和监控措施,进行系统的风险管理,提高风险的管理水平,保障安全、保护环境、保证工期、控制投资、提高效益。以健全完善安全监控工作体系为载体,积极构筑“群防、群控、群治”的安全生产网络,有效预防各类事故和职业危害的发生。
四、组织领导 为加强推行本标段工程施工安全风险评估工作的运行,成立“工程施工安全风险评估”安全生产领导小组,如下图所示。
五、工作目标 评估对象为标段施工区域内施工中可能出现的安全、交通、环境、工期、投资及第三方等各方面风险。开展定性或定量的施工安全风险估测,能够增强安全风险意识,改进施工措施,规范预案预警预控管理,有效降低施工风险,严防重特大事故发生。 经过对生产(工作)场所、作业岗位的危险源(点)、事故隐患和职业危害因素进行自下而上的排查、辨识、评价分级、建档立卡,建立监督控制体系,强化群众性劳动保护和企业安全生产管理。经过风险评估,确定风险等级,并针对各项风险(事件)拟定初步处理方案,为“监控法”有效实施、可靠运转提供了保证,以将各类风险降到可能接受的水平。 六、风险评估实施方法 (一)按照辩识、分析、估测、控制、报告程序进行专项风险评估,采用专家调查法和指标体系法确定风险等级,重大风险源及时汇总上报行业主管部门。 (二)对本项目进行总体风险评估,根据工程项目的地质环境条件、建设规模、结构特点等孕险环境与致险因子,估测工程施工期间的整体安全风险大小,确定其静态条件下的安全风险等级;对兆德. 雍山湖工程专项风险评估,根据其作业风险特点以及
项目经济效益和社会效益分析
项目经济效益和社会效益分析 第九章项目经济效益和社会效益分析(参考)8.1经济效益分析 8.1.1评估依据及有关说明 ⑴国家发展改革委员会与建设部发布、中国计划出版社出版的《建设项目经济评价方法与参数》(第三版)。 ⑵本项目投入、产出物为含税价格,增值税按有关规定计算,其附加税费包括城市维护建设税、教育费附加费和地方教育费附加,分别按应缴增值税额的5%、3%和1%计取;企业所得税率为:2010年为22%、2011年为24%、2012及以后年为25%。 ⑶财务基准收益率按10%考虑。 ⑷项目计算期和生产负荷 本项目计算期按10年考虑(含建设期2年)。根据项目产品市场情况预计,投产后的生产负荷估计如下:第3年投产,达产率为70%,第4年达产率为85%,第5年及以后达产率为100%。 8.1.2 产品销售收入与销售税金及附加估算 ⑴产品规模及产品销售价格 本项目产品为XXXXXXX,达产年的产品规模及预计产品销售价格见表8-1。 表8-1 产品规模及销售价格
达产年可实现产品销售收入XXXXX万元,年上缴产品销售税金及附加XXX万元,应缴增值税XXXXX万元。产品销售收入与销售税金及附加估算见表8-2。 8.1.3 总成本费用估算 ⑴外购原辅材料估算 本项目产品的主要原材料为注塑件、五金件、电子元器件、灯管等。辅料为焊锡、助焊剂及白胶等。 预计达产年合计年外购原辅材料费为XXXXX万元。见表8-3。 ⑵外购燃料及动力费估计 预计达产年外购燃料及动力费为114.80万元,见表8-3。 ⑶人员工资及福利费估算 本项目定员1500人,年工资福利费支出为2,532.60万元。 ⑷修理费 本项目修理费按固定资产原值的2%估计。 ⑸折旧费和摊销费 本项目折旧方法采用直线折旧法,设备折旧按10年计,残值率分别为5%和3%。详见表8-4。 ⑹技术研发费 技术研发费用按销售收入的2%估计。 ⑺其它费用
信息化方案之如何进行项目风险评估
信息化方案之如何进行项目风险评估 1
如何进行项目风险评估 AMT的研究表明,在信息化实施过程中,风险不但仅来源于企业,信息系统的实施方也是导致风险产生的一个重要来源。在实施的不同阶段,从开始到结束,实施方的消极态度会直接导致项目的失败。"诚实的自我评估、确定目标并向着目标稳步前进,所有这些构成了一个连续的过程,而这也正是管理的趣味所在。" 管理者成功地解决难题之后,征服感油然而生。但在企业的管理工作中,能够抵消这种趣味的事情似乎和趣味一样多。 接触过信息化建设的人士都知道,一个信息系统的实施不是短时间内能够完成的,上一个比较完整的ERP系统,少则半年,多则一两年,甚至三四年。如此漫长的实施过程,已经足以把企业内人们对信息化最初的憧憬和热情消磨殆尽。中国有句俗话,叫"日久见人心",所隐含的无非就是时间能够作为衡量事物真实性的最好的手段。同样的,放在信息系统实施里,一开始不成问题的事情,到了后来都会蜕变成问题,而且有可能随着时间的推移,糟糕程度也不断地增加。因此,如何有效地管理实施过程,降低企业的实施风险成为保障信息化建设成功的一个重要环节,这也就是我们在这里探讨的主题。
如何有效地降低实施过程的风险呢?首先需要了解在实施过程中我们可能碰到哪些风险。 按照一般意义,我们常常所说的风险分为两大类,一种是不可预知的,一种是可预知的。既然是不可预测的风险,有预防的想法,恐怕也是无从做起,只能是在风险到来的时候直接对问题做出反应。而这里我们主要针正确是那些能够预测的风险,在明晰它们的基础上,想办法去控制和降低它们。 信息化项目的项目特性,注定了实施过程中的风险有综合风险,也有阶段风险。 图1 信息化项目的风险包括项目的综合性风险和阶段性风险(资料来源:AMT-企业资源管理研究中心) 3
项目经济和社会效益分析报告
锥套锁紧式钢筋连接装置经济和社会效益分析报告 森林金属制品 2012年3月
锥套锁紧式锁紧装置经济和社会效益分析锥套锁紧式钢筋连接装置作为一种新型的钢筋机械连接产品,集中了现有各类机械连接技术的优点,还具备很多其他机械连接没有的优势。产品的设计,贯彻了以人为本的精神---最大限度地消除安全隐患、改善施工环境、降低工人劳动强度、操作简便施工快捷;响应了低碳环保的理念----节能、减排、降耗;想用户所想----少投资、少用工、接头质量高又不贵、保证建设质量又能缩减工期。试验和试用也验证了,这种技术比原有的钢筋焊接、锥直螺纹连接、套筒挤压连接等接头的技术有突出优势。 锥套锁紧式钢筋连接技术,将给我国的建筑行业带来巨大的变革,并将显现出巨大的经济效益和社会效益。 一、市场分析 锥套锁紧式钢筋连接装置,技术优势突出,能组成高质量高等级的接头,既适用于房屋建筑和一般构筑物(包括电视塔、烟囱等高耸结构,容器、市政公用基础设施等)的工程施工,还可用于公路和铁路桥梁、大坝、核电站等其他工程结构的建设中。只要需要钢筋连接的工程,高等级的钢筋机械接头就有广阔的用武之地。 锥套锁紧式钢筋连接装置,在我国的建筑业及相关行业蕴藏着一个无比巨大的市场! 以地区为例,每年新建工程按2000万平方米计算,平均每平方米就需使用一个接头,假设有50%的工程使用本产品,那么,在地区的需求量为1000万件/年。以此类推,省需求量约为10000万件/年,全国需求量在200000万件/年以上。
二、经济效益分析 锥套锁紧式钢筋连接装置投入市场,将改变现有钢筋连接的现状,不仅给建筑行业带来巨大的变革,从工程的规划、设计、到施工,对与此相关的各个行业都有冲击,将带动相关行业的技术革新和节能减排。 1.客户效益: 工程施工单位,使用锥套锁紧式钢筋连接装置后,钢筋不用加工,节省了钢筋连接专用设备的投资,节省了场地,节省了钢材、油及用电;还降低了人工费用,特别是不再需要钢筋加工设备的专业操作工;减少了影响连接质量的环节,大大降低了质量控制的管理成本;因为操作简便快捷,降低了工人劳动强度和工作环境,减少了安全隐患,工作效率提高,工期相对缩短。 综合用户反馈意见: 冠华建设在即墨市海之林生物科技办公楼、宿舍楼的工程施工中,因使用了锥套锁紧式钢筋连接装置,与以前使用的套筒冷挤压接头相比较,节省了4台挤压设备安装费52000元,节省人工费20000多元,而且节省了300平米的工作场地,安装搬运费用5000元。工人也不用搬动笨重的挤压工具和模具了。 盛坤建设工程在胶州市华泰园工程中试用了该产品,与之前采用的焊接技术比较,不用焊机、不用专门配电;省了2台对焊机1.5万元,机械运输、安装、平整场地、专业焊接工人等费用1.5万元。更重要的是对接时产生的火花,安全隐患大,烟雾污染环境。节省300平米对焊场地,不需要前期的准备和投入,大大节省了时间,提高了
第10章建设项目财务效益评估2
第10章建设项目财务效益评估2 项目的财务评判作为项目经济评判中重要的组成部分,在项目决策分析与评判工作中占有专门重要的地位。对一样项目来说,专门是对那些由市场调空的竞争性项目,财务评判是必不可少的评判内容和工作程序,其结论是项目投资决策的直截了当依据。对项目进行财务评判要紧是评判其在财务上的盈利性和偿债能力,考察项目的财务状况。 10.1 项目的财务评判概述 10.1.1财务评判的含义及作用 ㈠财务评判的含义 依照国家现行的财税、金融、外汇制度和价格体系,分析运算项目直截了当发生的财务效益和费用,编制财务报表,考察项目的盈利能力、清偿能力、抗风险能力及外汇成效等财务状况,据以判定项目财务上是否可行的一种经济评判方法。 ㈡财务评判的作用 对项目投资主体,依旧对为项目建设和生产经营提供资金的其他机构或个人,均具有十分重要的作用。要紧表现在以下几方面: 1.考察项目的财务盈利能力。 2.用于制定适宜的资金规划。 3.为和谐企业利益和国家利益提供依据。 4.为中外合资项目提供双方合作的基础。
10.1.2 建设项目财务评判的原则 1.坚持效益与费用运算口径一致的原则。 2.坚持动态分析为主、静态分析为辅的原则。 3.坚持采纳推测价格的原则。 4.坚持定量分析为主、定性分析为辅的原则。 10.1.3. 财务评判的内容与步骤 财务评判是在确定的建设方案、投资估算和融资方案的基础上进行财务可行性研究。财务评判的要紧内容与步骤如下: 1.选取财务评判基础数据与参数。 2.运算销售(营业)收入、估算成本费用。 3.编制财务评判报表。财务现金流量表、损益和利润分配表、资金 来源与运用表、借款偿还打算表。 4.运算财务评判指标,进行盈利能力分析和偿债能力分析。 5.进行不确定性分析,包括敏锐性分析和盈亏平稳分析。 6.编写财务评判报告。 10.2建设项目财务评判基础数据的测算 10.2.1 资本性投入基础数据的测算 1.总成本费用及其构成 ⑴生产成本的构成 ①直截了当材料。 ②直截了当工资。
信息安全风险评估需求方案完整版
信息安全风险评估需求 方案 HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】
信息安全风险评估需求方案 一、项目背景 多年来,天津市财政局(地方税务局)在加快信息化建设和信息系统开发应用的同时,高度重视信息安全工作,采取了很多防范措施,取得了较好的工作效果,但同新形势、新任务的要求相比,还存在有许多不相适应的地方。2009年,国家税务总局和市政府分别对我局信息系统安全情况进行了抽查,在充分肯定成绩的同时,也指出了我局在信息安全方面存在的问题。通过抽查所暴露的这些问题,给我们敲响了警钟,也对我局信息安全工作提出了新的更高的要求。 因此,天津市财政局(地方税务局)在对现有信息安全资源进行整合、整改的同时,按照国家税务总局信息安全管理规定,结合本单位实际情况确定实施信息安全评估、安全加固、应急响应、安全咨询、安全事件通告、安全巡检、安全值守、安全培训、应急演练服务等工作内容(以下简称“安全风险评估”),形成安全规划、实施、检查、处置四位一体的长效机制。 二、项目目标 通过开展信息“安全风险评估”, 完善安全管理机制;通过安全服务的引入,进一步建立健全财税系统安全管理策略,实现安全风险的可知、可控和可管理;通过建立财税系统信息安全风险评估机制,实现财税系统信息安全风险的动态跟踪分析,为财税系统信息安全整体规划提供科学的决策依据,进一步加强财税内部网络的
整体安全防护能力,全面提升我局信息系统整体安全防范能力,极大提高财税系统网络与信息安全管理水平;通过深入挖掘网络与信息系统存在的脆弱点,并以业务系统为关键要素,对现有的信息安全管理制度和技术措施的有效性进行评估,不断增强系统的网络和信息系统抵御风险安全风险能力,促进我局安全管理水平的提高,增强信息安全风险管理意识,培养信息安全专业人才,为财税系统各项业务提供安全可靠的支撑平台。 三、项目需求 (一)服务要求 1基本要求 “安全风险评估服务”全过程要求有据可依,并在产品使用有据可查,并保持项目之后的持续改进。针对用户单位网络中的IT 设备及应用软件,需要有软件产品识别所有设备及其安全配置,或以其他方式收集、保存设备明细及安全配置,进行资产收集作为建立信息安全体系的基础。安全评估的过程及结果要求通过软件或其他形式进行展示。对于风险的处理包括:协助用户制定安全加固方案、在工程建设及日常运维中提供安全值守、咨询及支持服务,通过安全产品解决已知的安全风险。在日常安全管理方面提供安全支持服务,并根据国家及行业标准制定信息安全管理体系,针对安全管理员提供安全培训,遇有可能的安全事件发生时,提供应急的安全分析、紧急响应服务。
信息安全风险评估方案
第一章网络安全现状与问题 目前安全解决方案的盲目性 现在有很多公司提供各种各样的网络安全解决方案,包括加密、身份认证、防病毒、防黑客等各个方面,每种解决方案都强调所论述方面面临威胁的严重性,自己在此方面的卓越性,但对于用户来说这些方面是否真正是自己的薄弱之处,会造成多大的损失,如何评估,投入多大可以满足要求,对应这些问题应该采取什麽措施,这些用户真正关心的问题却很少有人提及。 网络安全规划上的滞后 网络在面对目前越来越复杂的非法入侵、内部犯罪、恶意代码、病毒威胁等行为时,往往是头痛医头、脚痛医脚,面对层出不穷的安全问题,疲于奔命,再加上各种各样的安全产品与安全服务,使用户摸不着头脑,没有清晰的思路,其原因是由于没有一套完整的安全体系,不能从整体上有所把握。 在目前网络业务系统向交易手段模块化、经纪业务平台化与总部集中监控的趋势下,安全规划显然未跟上网络管理方式发展的趋势。 第二章网络动态安全防范体系 用户目前接受的安全策略建议普遍存在着“以偏盖全”的现象,它们过分强调了某个方面的重要性,而忽略了安全构件(产品)之间的关系。因此在客户化的、可操作的安全策略基础上,需要构建一个具有全局观的、多层次的、组件化的安全防御体系。它应涉及网络边界、网络基础、核心业务和桌面等多个层面,涵盖路由器、交换机、防火墙、接入服务器、数据库、操作系统、DNS、WWW、MAIL及其它应用系统。 静态的安全产品不可能解决动态的安全问题,应该使之客户化、可定义、可管理。无论静态或动态(可管理)安全产品,简单的叠加并不是有效的防御措施,应该要求安全产品构件之间能够相互联动,以便实现安全资源的集中管理、统一审计、信息共享。 目前黑客攻击的方式具有高技巧性、分散性、随机性和局部持续性的特点,因此即使是多层面的安全防御体系,如果是静态的,也无法抵御来自外部和内部的攻击,只有将众多的攻击手法进行搜集、归类、分析、消化、综合,将其体系化,才有可能使防御系统与之相匹配、相耦合,以自动适应攻击的变化,从而