編號:【家信息安全測評信息安全服務資質申請書（安全工程類一級）申請單位（公章）：填表日期：?版權2011—中國信息安全測評中心2011年1月1日申請單位的信息安全工程過程能力本項應包括以下^一項內容：評估系統安全威脅的能力；評估系統脆弱性的能力；評估安全對系統的影響的能力；評估系統安全風險的能力；確定系統的安全需求的能力；確定系統的安全輸入的能力；進行管理安全控制的能力；進行監測系統安全狀況的能力；進行安全協調的能力；進行檢測和證實系統安全性的能力；進行建立系統安全的保證證據的能力。本項要求：詳細描述申請單位是如何識別系統所面臨的各種安全威脅及其性質和特征；詳細描述申請組織是如何對威脅的可能性進行評估的；提供一份具體項目中關于評估系統安全威脅的相應文檔、記錄。描述如何對系統安全威脅進行評估詳細描述系統安全威脅是在信息系統中存在的對機構、組織或部門造成某種損害的潛在可能性，可能導致信息安全事故和組織信息資產損失的活動，威脅是利用脆弱性來造成后果的。系統安全威脅來自于兩個方面：人為威脅和自然威脅，其中人為威脅造成的損失遠遠大于自然威脅。人為威脅可以分為兩部分：一是意外的人為威脅，由各類不確定因素綜合在一起時偶然發生的；二是有意的人為威脅，由有意的行為所引起的。自然威脅是不以人的意志為轉移的不可抗拒的自然事件，如地震、雷擊、洪災和火災等。識別人為威脅，應描述其威脅如何發生的，測試其威脅相關事件的可能性。同時進行評估性工作，如評估由人為原因引起的威脅作用力的技能和效力。識別自然威脅需要根據評估目標所在的位置的地理因素來進行評估，對于非地震帶、內陸、山區、干旱地區等地理因素進行充分的識別，避免評估中的偏差。就威脅本身來說，評估威脅可能性時有兩個關鍵因素需要考慮，一個是威脅源的動機，包括趨利、報復、破壞等；另一個是威脅源的能力，包括其技能、環境、機會等。威脅源的能力和動機都用“高V“中”、“低”這三級來衡量。在評估威脅事件可能性時，我們充分考慮多種因素，如一項資產可能面臨多個威脅，而一個威脅也可能對不同的資產造成影響，同時也注意在不同的安全服務項目中，各因素出現的概率都有所不同。威脅事件發生的可能性，需要從三個方面進行評定：一是歷史威脅情況，曾經發生過的威脅和威脅發生次數可以為威脅事件發生的可能性提供一個最重要的參考數據；二是威脅在整個社會層面上，總體的發展態勢；三是威脅形成的復雜程度。具體的威脅評估結果會隨著時間的變動而需要重新審核，所以在威脅評估中，評估者的專家經驗非常重要。公司建立、實施并保持《安全危險因素識別、評價與更新控制程序》對能夠控制和能夠施加影響的環境因素，及在相關的活動、產品、場所、人員、管理及變更中的危險源進行識別、評價，確定和更新重要環境因素和不可接受風險，確保重要環境因素和不可接受風險得到有效控制。備注附件6.1系統安全威脅能力評估報告注：請在“詳細描述”中進行文字描述說明，在“備注”中注明附件名稱本項要求：詳細描述申請單位是如何對系統的脆弱性進行評估的，包括所選擇的分析方法、工具，收集、合成系統的脆弱性數據等；提供一份具體項目中關于系統脆弱性評估的相應文檔、記錄，包括系統脆弱性清單、攻擊測試報告等。描述如何評估系統脆弱性企業信息系統的脆弱性是因為信息系統可能被威脅利用的弱點，可能對資產造成影響，所以我們針對每一項需要保護的信息資產，系統脆弱性識別主要兩方面進彳亍說明：1、技術性脆弱性，識別對象包括物理環境、網絡結構、系統軟件、應用系統和應用中間件程序。2、管理性脆弱性，識別對象包括技術管理和組織管理。通過脆弱性識別，獲得系統中的脆弱性清單，以及相應的測試分析結果。脆弱性嚴重程度賦值需要按照對資產的危害程度大小、利用脆弱性的技術水平高低、脆弱性點是否經常被內部或者外部人員使用，再加上通過脆弱性嚴重程度的識別，以便確認最終構成整個脆弱性的評估。其中，進行脆弱性賦值時，還需要考慮有可能以前就有很多脆弱性點反應的是同一問題或者相類似問題，以便確認這類問題的脆弱性嚴重程度。脆弱性嚴重程度越低，賦值大小越小。詳細描述等級標識詳細描述等級標識定義5很高如果被威脅利用，將對資產造成完全損害4高如果被威脅利用，將對資產造成重大損害3中等如果被威脅利用，將對資產造成一般損害2低如果被威脅利用，將對資產造成較小損害1很低如果被威脅利用，將對資產造成的損害可忽略將資產的脆弱性賦值分為5個等級，分別是很高、高、中等、低、很低并且從很高到很低分別賦值5—1。如下表所示：在實際評估工作中，技術類弱點的嚴重性值一般參考掃描器或CVE標準中的值，并進行修正，從而獲得適用的弱點嚴重性值。脆弱性的掃描工具主要有：Nmap掃描工具、X-SCAN工具可以根據具體的評估對象、評估目的來選擇具體的弱點獲取方式。在弱點的識別和獲取必須對應前一個過程中識別出的威脅列表，不能被列表中威脅所利用的弱點在風險評估中沒有意義，可以不進行識別。同時，因為威脅來源可以分為內部和外部，所以弱點的獲取方法也可以根據威脅的來源不同而選擇不同的獲取方式，比如從內網獲取和從外網獲取。附件6.2系統脆弱性影響報告本項要求：詳細描述申請單位是如何識別系統資產和評估系統資產影響的；提供一份具體項目中關于評估系統資產影響的相應文檔、記錄，如系統優先級清單、系統資產影響分析表等。

描述如何評估安全對系統的影響的詳細描述影響是安全事件對系統產生的后果，可能對資產造成一定的破壞作用，如對信息系統的機密性、完整性、可用性等進行破壞，也可能引起間接的結果，如經濟損失、市場占有率損失和公司形象損失等。首先制定資產調查表，通過組織相關人員協商，界定信息資產的重要性，按照保密等級和業務類型等因素分成若干資產類，之后進行資產列表，列出包含在資產類和子類中的所有重要的信息資產，主要包括幾種資產類型，包括硬件資產、軟件資產、人員資產和數據資產等。其次，對信息系統進行掃描，獲得系統信息。最后將資產賦值，賦值是對資產的機密性、完整性和可用性方面的價值分別賦予價值等級，分為五個等級。識別系統資產和它的運行意義及產品資產和它的運行意義，資產包括系統的人、環境、技術和基礎設施，還包括數據和資源。確定評估影響的度量標準，從資產預算財務成本、重要等級和基本的描述中說明影響的數量、質量。影響有“嚴重性”的屬性，等同于弱點的嚴重性。考慮到資產的等級將影響嚴重性分為5個等級，分別是很高、高、中等、低、很低，并且從高到低分別賦值5-1。主要識別和分析系統操作的運行、業務或任務的影響，并進行優先級區分。根據資產重要程度及脆弱性嚴重程度，計算安全事件一旦發生后的損失，即：安全事件的影響=F（資產重要程度，脆弱性嚴重程度）部分安全事件的發生造成的影響不僅僅是針對該資產本身，還可能影響業務的連續性。不同安全事件的發生對組織造成的影響也是不一樣的。在計算某個安全事件的損失時，應將對組織的影響也考慮在內。監視影響，影響都是動態的，新的影響可以隨著外界與內部環境的變化而與此相關。因此重要的是監視現有影響并有規律地檢查潛在的新影響。備注附件6.3系統資產影響報告本項要求：詳細描述申請單位是如何識別、分析和評估系統安全風險的，包括選擇安全風險評估方法、安全風險的計算、安全風險等級排列、提出安全風險的應對措施等；提供一份具體項目中關于評估系統安全風險的相應文檔、記錄。描述如何評估系統安全風險的系統的風險評估就是對各方面風險進行辨識和分析的過程，包括風險分析和風險評價，是確認安全風險及其大小的過程。安全風險評估的總體目標是認清信息安全環境、信息安全狀況，有助于達成共識，明確責任，采取或完善安全保障措施，使其更加經濟有效，并使信息安全策略保持一致性和持續性。風險評估的策略是首先選定某項資產，評估資產價值，挖掘并評估資產面臨的威脅和脆弱性，評估該資產的風險，進而得出整個評估目標的風險。風險存在兩個屬性：后果和可能性。最終風險對信息系統的影響，也就是風險兩個屬性權衡作用的結果。不同的資產面臨的主要威脅各不相同。而隨著威脅可以利用的、資產存在的弱點數量的增加會增加風險的可能性，隨著弱點嚴重級別的提高會增加該資產面臨風險的后果。在許多情況下，某資產風險的可能性是面臨的威脅的可能性和資產存在的脆弱性的函數，而風險的后果是資產的價值（影響）的函數。本次評估我們采用如下算式來得到資產的風險賦值：風險值=資產價值X威脅可能性X資產脆弱性詳細描述上述公式主要考慮到各參數的取值并不是特別精確的數據，加入了顧問的經驗和判斷，在國際中對此類數據常采用的數據主要使用乘法或矩陣等方法。考慮到便于運算，故我們采用線性的相乘。根據風險信息和數據，對風險分析予以不同程度的改進。采用下詳細描述等如標識蜘險滴受數值5VH高）風險眼商，/致系統受到非常嚴更影響的叫能性很大IQU-1254H沛）區險商.導放系統受劃嚴亟影響的可能性較大75-1003M〔中｝區瞼中，導致系統坐到影響的U能性較大50—752L風降低?計致系統受到影響的可能it較小25—501VLf很低）區險很低，導致系統受到影職的卻能性很小0—25風險的應對措施：1、降低風險一一采取適當的控制措施來降低風險，包括技術手段和管理手段，如安裝防火墻，殺毒軟件，或是改善不規范的工作流程、制定業務連續性計劃，等等。2、避免風險一一通過消除可能導致風險發生的條件來避免風險的發生，如將公司內外網隔離以避免來自互聯網的攻擊，或是將機房安置在不可能造成水患的位置，等等。3、轉移風險一一將風險全部或者部分地轉移到其他責任方，例如購買商業保險。4、接受風險一一在實施了其他風險應對措施之后，對于殘留的風險，組織可以有意識地選擇接受。備注附件6.4系統安全風險報告備注本項要求：詳細描述申請單位是如何進行系統安全需求分析并提出系統安全要求的；提供一份具體項目中關于確定系統的安全需求的相應文檔、記錄，如安全需求調查表、安全策略定義，安全目標定義，安全需求分析報告描述如何確定系統的安全需求的一、系統安全風險分析物理安全風險分析黑客攻擊惡意代碼病毒的攻擊應用的安全風險分析應用系統的安全與具體的應用有關，它涉及很多方面。應用系統的安全是動態的、不斷變化的。應用的安全性也涉及到信息的安全性，它包括很多方面。應用系統的安全是動態的、不斷變化的:應用的安全涉及面很廣，以目前Internet上應用最為廣泛的E-mail系統來說，其解決方案有十幾種，但其系統內部的編碼甚至編譯器導致的BUG是很少有人能夠發現的，因此一套詳盡的測試軟件是相當必須的。但是應用系統是不斷發展且應用類型是不斷增加的，其結果是安全漏洞也是不斷增加且隱藏越來越深。因此，保證應用系統的安全也是一個隨網絡發展不斷完善的過程。應用的安全性涉及到信息、數據的安全性；信息的安全性涉及到：機密信息泄露、未經授權的訪問、破壞信息完整性、假冒、破壞系統的可用性等。由于這個銀行局域網跨度不大，絕大部分重要信息都在內部傳遞，因此信息的機密性和完整性是可以保證的。對于有些特別重要的信息需要對內部進行保密的可以考慮在應用級進行加密，針對具體的應用直接在應用系統開發時進行加密。二、金融網網絡安全問題分析金融網具有速度快、規模大、計算機系統管理復雜，隨著其應用的深入，金融網絡的安全問題也逐漸突出，直接影響著銀行的正常經營活動。因此，在全面了解金融網的安全現狀基礎上，合理構建安全體系結構，改善網絡應用環境的工作迫在眉睫。當前，金融網網絡常見的安全隱患有以下幾種：計算機系統漏洞2.計算機病毒的破壞3.來自網絡外部的入侵、攻擊等惡意破壞行為4.非正常途徑訪問或內部破壞5.網絡硬件設備受損6.金融網安全管理有缺陷三、技術需求硬件安全需求網絡連接技術標準有專門的網絡中心設備間，用來放置銀行的中心交換設備、服務器、后備電源等主要設備以及網絡管理設備等服務器技術標準服務器不少于兩臺，用于提供銀行對外的相關業務和服務。終端技術標準機房要求每臺計算機能夠接入金融內網，配備相關配件，滿足銀行日常業務活動需要。軟件安全需求需要安裝防火墻軟件需要安裝能及時更新的殺毒軟件，確保免受病毒攻擊管理安全需求信息系統的安全管理部門應根據管理原則和該系統處理數據的保密性，制定相應的管理制度或采用相應的規范具體工作是：根據工作的重要程度，確定該系統的安全等級根據確定的安全等級，確定安全管理的范圍制度相應的機房出去管理制度對于安全等級要求較高的系統，要實行分區控制，限制工作人員出入與己無關的區域。出入管理科采用證件識別或安裝自動識別登記系統。采用磁卡、身份卡等手段，對人員進行識別、登記管理。制定嚴格的操作規程操作規程要根據職責分離和多人負責的原則，各負其責，不能超越自己的管轄范圍。制定完備的系統維護制度對系統進行維護時，應采取數據保護措施，如數據備份等，維護時要首先經主管部門批準，并有安全管理人員在場，故障的原因、維護內容和維護前后的情況要詳細記錄。制訂應急措施要制定系統在緊急情況下，如何盡快恢復的應急措施，使損失減至最少。建立人員雇傭和解聘制度，對工作調動和離職人員要及時調整相應的授權。四、應對措施身份認證技術防范系統安全漏洞防范計算機病毒網絡監控措施網絡安全隔離數據備份和恢復制定切實可行的網絡安全管理制度備|附件6.5信息系統安全需求分析報告注本項要求：詳細描述申請單位是如何為系統的規劃者、設計者、實施者或用戶提供他們所需的安全輸入的，包括對系統安全體系進行設計、編制安全工程實施指南、系統安全運行操作指南和有關安全管理制度等文檔、進行安全培訓等；提供一份具體項目中關于確定系統的安全輸入的相應文檔、記錄，如系統安全體系設計方案，各種安全相關的指南等。描述如何確定系統的安全輸入的詳細描述系統的安全體系設計主要包括安全策略、安全評估和安全管理這三個方面。在技術層面上需要考慮實體的物理安全，網絡的基礎結構、網絡層的安全、操作系統平臺安全、應用平臺安全，以及在此基礎上的應用數據安全等。這些方面既是一種防護基礎，也是相互的促進的，同時是一個循環遞進的工程，需要不斷的自我完善和增強，才能形成一套合理有效的安全防護系統。在實際的系統安全設計中，需同系統安全設計者、開發者及用戶一起商討，以求對安全需求有一個共同的理解。通過分析以決定在需求、設計、實現、配置和文檔方面的任何安全限制和考慮。對安全相關的需求進行分解、分析和重組，以致識別出有效的解決方案，同時根據安全約束和需要考慮的問題進行方案分析，并加以區分它們的優先級。開發出與安全有關的指南，并提供給工程組，安全工程指南包括體系結構、設計和實現建議等。同時為運行系統的用戶和管理員提供安全相關的指南，安全設計準則、安全實施規則、安全設計文檔、安全模型、安全體系結構、管理員手冊、用戶手冊等。一、需求說明針對Web應用防護安全需要實現以下功能：針對網站主頁惡意篡改的監控，防護和快速恢復對Web網站進行多層次檢測分析與應用防護行為審計支持多種WEB應用加速技術，減輕服務器負載二、網頁防篡改解決方案Web網站和Web應用系統除了采用常見的網絡安全設備進行防護外，需要更有效的網頁防篡改系統來專門對頁面內容進行保護，防止來自外部或內部的非授權人員對頁面和內容進行篡改和非法添加。技術原理：防篡改體系除7Web服務器外，另外需部署“發布服務器”：包括：部署結構、系統組成、集群與允余部署、方案特點三、WEB應用防護解決方案當前安全風險分析防護計劃WEB應用防火墻功能四、負載均衡解決方案備注附件6.6信息系統安全設計方案本項要求：詳細描述申請單位是如何對系統的安全控制進行管理的，包括控制系統在運行狀態最終實現所設計的安全程度，建立安全職責，對所有用戶和管理員實施安全意識教育和培訓，制定和維護教育大綱，對系統進行合理配置等；提供一份具體項目中關于進行管理安全控制的相應文檔、記錄。描述如何進行管理安全控制的能力詳細描述一、加強信息安全管理體系的建設信息安全管理體系是整個管理體系的一部分，它是基于業務風險方法，來建立、實施、運行、監視、評審、保持和改進信息安全的體系。建立安全控制的職責和責任并通知到組織中的每一個人，安全的某些方面能夠在常規的管理結構中進行管理，然而另外一些方面則需要更專業的管理，建立安全組織圖表，并描述安全角色和安全職責，并對安全組織中的人員進行授權。對系統安全控制的配置進行管理，如所有軟件更新的記錄、所有發布中問題的記錄、系統安全配置的修改、安全需求修改等。管理所有的用戶和管理員的安全意識、培訓和教育大綱，因此要根據不同的用戶情況確定安全培訓資料，并跟蹤用戶對組織和系統安全的理解，不定期的進行用戶培訓，以適應新的安全需要。定期維護和管理安全服務和控制機制，如維護和管理日志，定期的維護和管理檢查，跟蹤記錄系統維護方面的問題以便識別需要額外關注的地方，注意維護和管理的例外，描述敏感信息和敏感介質清單，建立起保證措施，以便信息敏感性降低或者介質被凈化或處置后，不出現不必要的風險。信息安全管理體系的作用對內形成單位可自我持續改進的信息安全管理機制使信息安全的角色和職責清晰，并落實到人確保實現動態的、系統的、制度化的信息安全管理有利于根本上保證業務的連續性，提高市場競爭力對外能夠使客戶、業務伙伴對單位信息安全充滿信心有助于界定外包雙方的信息安全責任可以使單位更好地滿足審計要求和符合法律法規保證和外部數據交換中的信息安全ISMS過程信息安全控制措施備注附件6.7信息系統安全管理規范6.8進行監測系統安全狀況的能力本項要求：詳細描述申請單位是如何監測系統的安全狀態并處理安全突發事件的；提供一份具體項目中關于進行監測系統安全狀況的相應文檔、記錄。描述如何進行監測系統安全狀況的詳細描述分析各種事件記錄，以確定一個事件的原因及其發展，以及將來可能發生的事件，對每一個事件進行描述，并建立起日志記錄和來源，對最近的日志加以分析并進行一定的歸納。特別要動態的監控威脅、脆弱性、影響、風險和環境變化，并在報告中體現，在報告中對變化的意義進行定期評估。能識別出安全突發事件，定義突發事件并列出突發事件，制定突發事件響應指南，描述出現的突發事件及其相關詳細情況，包括突發事件的來源、任何形式的危險、應采取的響應和需要進一步采取的行動，同時報告各種入侵事件，指明入侵事件的來源、任何形式的危險、應采取的響應和需要進一步采取的行動。檢測安全防護措施的執行情況，以便識別出安全措施執行中的變化。審核系統安全態勢以識別必要的修改，描述當前安全風險環境、現有的安全態勢和對這兩者是否兼容進行分析，并通過第三方權威組織認證，通過報告的形式指明在運行的系統中，安全風險是可接受的。由于許多事件不能預防，因而對破壞的響應能力是十分重要的。為了保證監控活動的可信性，應封存和歸檔相關的日志、審計報告和相關分析結果。備注6.8信息系統安全監測報告6.9進行安全性協調的能力本項要求：詳細描述申請單位是如何進行系統安全協調的，包括建立的協調機制，系統安全協調的技術方法、具體措施等；提供一份具體項目中關于進行安全性協調的相應文檔、記錄。描述如何進行安全協調的詳細描述確定安全協調的信息共享協議，與業主及其它專業承包單位進行系統安全協調，包括建立的協調機制，系統安全協調的技術方法、具體措施。我公司將實行項目法管理、優化資源配置、強化運行機制。在本工程實行“項目法施工”運用系統工程的觀點和方法，對所承建的工程項目進行全過程、全方位的管理。一、嚴格執行施工技術控制措施二、加強圖紙會審和技術交底控制措施三、加強施工現場文件的管理四、加強員工培訓管理重視對技術工人隊伍的培訓，定期開展技術工人崗位技能培訓，解決施工中遇到的技術難題不斷提高自身的素質和能力。五、堅持現場例會制度六、建立工程報告管理制度備注附件6.9信息系統安全協調記錄文件6.10進行檢測和證實系統安全性的能力本項要求：詳細描述申請單位是如何檢測和證實系統安全有效性的；提供一份具體項目中關于檢測和證實系統安全性的相應文檔、記錄，如測試方案，檢測記錄單，檢測報告等。

描述如何進行檢測和證實系統安全性的詳細描述通過觀察、論證、分析和測試，因此解決方案依照安全需求、體系結構和設計得到驗證，即證明了解決方案是有效的。解決方案依照用戶的運行證實了安全需求，即證明了解決方案被正確的實施。定義驗證和證實工作，包括資源、進度表、驗證和證實的工作產品。采用測試和分析的方法驗證和證實系統安全，同時定義測試每種解決方案時采取的步驟，并清楚什么樣的驗證和證實結果才能滿足用戶的安全需求和需要。注意各種方法和工具得到的原始數據及在驗證解決方案滿足需求過程中發現的矛盾。在證實過程中，要將發現的矛盾寫入問題報告，注意解決方案不能滿足安全的地方，并能找出不能滿足用戶安全需求的解決方案。將測試結果記入測試結果文檔，也要將安全需求映映射到解決方案的需求，映射到測試和測試的結果。在檢測或證實系統安全性時，可使用安全工具和項目管理工具。備注附件6.10信息系統安全能力的檢測和證實6.11進行建立系統安全的保證證據的能力本項要求：詳細描述組織是如何建立系統安全的保證證據的，包括對保證的目標進行識別、建立保證證據庫并對其進行分析等；提供一份具體項目中關于進行建立系統安全的保證證據的相應文檔、記錄。

描述如何建立系統安全的保證證據的詳細描述安全保證證據是收集用于支持給定聲明或子聲明的具體事實。對每個聲明，都須采用共同認可的收集技術來獲取證據。由開發者、集成者、用戶和簽名授權者確定安全保證目標，同識別新的和經修改的安全保證目標。所有安全保證組件相互依存，它們一起以清晰且可防御的方式，闡明共同認可且可用的事實，是如何支持有意義的聲明。這些聲明涵蓋系統防護有效性及其最終安全態勢。識別并控制安全保證證據，建立安全保證倉庫，用于存儲開發、測試和使用期間產生的所有證據，可考慮使用數據庫、工程筆記本、測試結果、證據日志記錄的形式。對數據倉庫中的安全保證證據進行分析，從而識別和概述證據倉庫中證據的強度和弱點。開發出一個完整的并被證明與安全目標一致的安全保證目標，并將其提交給用戶。雖然安全保證不針對安全相關風險添加任何額外防御措施，但對于已實施的控制是否會降低預期風險這一點，安全保證確實提供了信心。安全保證也為防御措施是否實現預期功能提供了信心。這種信心來源于防御措施的正確性及其有效性。正確性指防御措施符合實現的需求。有效性指防御措施提供足夠的安全，滿足客戶安全需求。對某些需加強證據支持的聲明取決于安全保證需求的層次。備注附件6.11信息系統安全自查報告申請單位的項目和組織過程能力本項應包括以下八項內容：實現質量保證的能力；管理項目風險的能力；規劃技術活動的能力；監控技術活動的能力；提供不斷發展的知識和技能的能力;與供應商協調的能力。7.1實現質量保證的能力本項要求：詳細描述組織是如何實現質量保證的；提供組織實現質量保證的相應文檔、記錄。

描述如何實現質量保證的詳細描述我公司在二0一二年通過了1、09001：2000國際質量體系認證，在國際質量標準體系不斷完善的同時，我公司也跟隨國際質量標準體系前進的步伐，于二零零四年八月十八日通過了環境管理體系GB/T24001-2004、職業健康安全管理體系GB/28001-2001認真，并于認證后繼續貫徹IS0-9001精髓和我公司品質方針的精神，堅持不懈地強化品質管理。公司每一個員工嚴格執行以上幾種體系認證的要求，明確自己的崗位職責和質量職責，規范項目每一個環節的質量要求，從而保證項目整體的質量。我公司依照IS09001的八大原則（質量管理體系總要求、引用標準和應用范圍、術語和定義、質量管理體系、管理職責、資源管理、產品實現、測量、分析和改進）并成立了文控中心，根據本公司的實際情況編寫了一套適合本公司管理體制的比較完善的質量管理手冊，并不斷的監督、改進、完善質量管理體制。采用合適的測試手段，進行安全工程或安全服務質量評估，并對安全工程或安全服務質量進行有效的認證。同時每年外審一次，每兩個月內審一次，對審核中發現的問題，采取了糾正和預防措施，保存了內審記錄，并對糾正措施進行了跟蹤。確保了有質量指標控制體系的有效性和質量認證的一致性，減少了不合格品的發生，消除了質量隱患。備注附件7.1質量認證管理文件注：請在“詳細描述”中進行文字描述說明，在“備注”中注明附件名稱。7.2管理項目風險的能力本項要求：詳細描述組織是如何管理項目風險的;提供管理項目風險的相應文檔、記錄。

描述如何管理項目風險詳細描述項目風險管理是指通過風險識別、風險分析和風險評價去認識項目的風險，并以此為基礎合理地使用各種風險應對措施、管理方法技術和手段，對項目的風險實行有效的控制，妥善的處理風險事件造成的不利后果，以最少的成本保證項目總體目標實現的管理工作。公司根據可選擇方案和約束條件，通過對項目目標的測試來識別項目風險，并識別導致錯誤的可能因素，建立起項目風險清單。評估項目風險，并確定其發生的概率和影響。參考的工具和方式為：統計數加總、（統計數加總指將每個具體工作課題的估計成本加總以計算出整個項目的成本的變化范圍。）和模擬法、（模擬法運用假定值或系統模型來分析系統行為或系統表現。較普通的模擬法模式是運用項目模型作為項目框架來制作項目日程表）對項目風險評估正規化認識，公司審核風險評估并對基于風險的技術工作做出調整或取消的決策，這一審核應該包括對潛在風險的緩解努力及其成功可能性的評估。制定風險緩解計劃，通過風險緩解活動可以降低風險發生率，或當風險已經發生時，減少它的破壞范圍，對于一些特別需要關注的風險，將同時采取幾種風險緩解活動。跟蹤風險緩解活動，獲得風險狀況，進行風險分類。備注附件7.2項目風險評估報告7.3規劃項目技術活動的能力本項要求：詳細描述組織是如何規劃技術活動的，包括關鍵資源的識別，項目費用估算，確定工程過程，定義項目接口，項目進度計劃等活動；提供關于進行規劃技術活動的相應文檔、記錄。

描述如何規劃項目技術活動詳細描述一、規模化工程業務加強規模化工程業務的學習和研究，把握規模化工程項目特點、重點、難點，運用各類科學手段（尤其是數字化和信息化）進行技術經濟分析、比較。開發項目進度表和建立技術參數，開發技術性管理計劃和確定審核和批準項目計劃。二、提高綜合業務，增強公司軟實力各類軟件及信息技術的掌握、人際關系的把握、溝通能力加強、工作作風改進，思想覺悟提高等。三、熟悉合同，把握現場運用合同手段，規避合同風險，邊界理論（人的要素、時間要素、環境要素等）重證據，事前預控、事中掌控、事后應對。講究與其它專業的配合與融合。一切工作以現場為出發點，重調查、分析及反饋，大局觀、預見能力、洞察力、動態觀、系統觀。四、制定目標，明確思路、建立技術管理體系結合合同要求、公司要求、項目總體目標、項目特點等，制定技術管理工作目標和指標。五、持續改進，提高技術管理體系運行效率強化過程管理，增強對所屬各部室檢查、指導、反饋，利用會議、信息化建設。以人為本，以子系統效率（技術、質量、試驗、測量、文檔）保障整個系統效率，不斷理順關系和思路，提高技術管理的規范化、系統化、信息化和可控性。六、加強總結與反饋備注附件7.3技術管理制度7.4監控技術活動的能力本項要求：詳細描述組織是如何進行監控技術活動的，包括技術活動指導，項目資源的跟蹤，問題分析等；提供關于進行監控技術活動的相應文檔、記錄。描述如何監控技術活動1、建立、健全技術監控管理網絡體系，規范技術監控管理工作，充分發揮技術監控管理的作用。實施對工程從初步設計、設備選型與監造、安裝、調試、試生產到運行、檢修、停備用、技術改造中的技術性能檢測等方面的全過程、全方位技術監控管理。2、技術監控管理工作以質量為中心，依據有關的方針政策、法律法規、標準、規程、制度，利用計量、檢驗、試驗等手段，建立全方位的管理體系。技術監控管理應充分依靠技術進步，采用和推廣成熟的、行之有效的新技術、新方法，不斷提高技術監控管理的專業水平。3、建立健全公司技術監控管理體系；組織工程部、項目部與技術監控部門簽訂在建項目的“技術監控管理和技術服務合同”；4、監督、指導、協調各工程部、項目部技術監控管理工作；5、貫徹執行國家、行業、公司有關技術監控管理政策、規程、標準、制度、技術措施等；編制公司技術監控管理實施細則，并組織實施；6、及時了解和掌握各分子公司和技術監控服務單位的技術動態，通過技術監控管理工作信息平臺，對公司和技術監控服務單位技術監控指標完成情況、工作計劃完成情況、反事故的措施計劃完成情況、預警督辦問題整改完成情況進行跟蹤，建立健全發現問題、解決問題的體制和機制；7、負責監督、檢查、指導技術監控嚴重問題、特別嚴重問題的整改；8、負責組織重大事故調查分析和處理工作，并組織制定反事故措施；9、每年至少組織召開一次公司技術監控管理工作會議；10、負責組織協調技術監控動態檢查工作，每年不少于兩次；11、負責協調組織技術監控網絡人員每年至少進行一次技術培訓和新標準宣貫；12、制定技術監控服務單位監督網絡各崗位職責、工作程序和標準；對各級專職人員每年至少進行一次任職資格、工作質量和業務能力的培訓與考核，并對其是否勝任提出建議；13、完成技術監控各類報表和工作總結，按時上報技術監控月報、半年和年度總結等相關材料；14、建立本單位技術監控自查制度，對發現的問題制定整改措施并落實解決；15、每年組織召開兩次本單位技術監控工作會議，開展專業技術研討，學習掌握有關專業技術標準，總結工作的完成情況，落實工作計劃，并協調和解決技術監控中存在的問題等;16、積極配合技術監控服務單位完成動態檢查工作，對發現的問題制定切實可行的整改計劃及措施，并嚴格按計劃完成整改工作；17、建立健全本單位設備臺帳等監控管理檔案；18、制定本單位技術監控管理星級考評實施細則，組織開展全公司技術監控管理星級評定工作和技術監控網絡各級專責人的星級對標考評工作，考評結果接受公司的審查。備附件7.4監控技術指導書及檢查表注7.5提供不斷發展的知識和技能的能力本項要求：詳細描述組織是如何提供不斷發展的知識和技能的；提供關于提供不斷發展的知識和技能的相應文檔、記錄。描述如何提供不斷發展的知識和技能詳細描述以項目需求、組織的策略計劃、現有的員工技能作為引導，對整個組織中的技能和知識中所需的改進進行識別，因此確認組織的培訓需求、項目技