中价协-信息安全风险分析研究报告.pdf

下载

下载

8积分

10积分

下载

10积分

VIP价：8积分

工程造价咨询行业 信息安全风险分析研究 德勤华永会计师事务所（特殊普通合伙）北京分所 2016年 6月 2 重要声明 《工程造价咨询行业信息安全风险分析研究》（讨论稿）（“项目递交 物”）仅为中国建设工程造价管理协会工程造价咨询行业信息安全风险 分析研究咨询服务合同第 节所定义的目的而编制，且仅供中国建设 工程造价管理协会（以下简称“中价协”或“贵协会”）参考及内部使用， 不得用作其他用途和/或提供给其他人员或公司使用。项目递交物将不 包括任何涉及贵协会商品或服务的质量或有关商品或服务是否符合贵协 会顾客要求的表述。 在未事先得到德勤华永会计师事务所（特殊普通合伙）北京分所（“德 勤”，或“我们”）书面同意前，项目递交物及其任何部分或内容不可向第 三方披露。德勤有权自行决定是否给予此等书面同意以及此等书面同意 的前提条件（包括接受披露方须承担保密义务以及无权依赖本内控提交 物等）。我们不对任何第三方其他方承担任何责任（包括但不限于疏忽 引致的责任）。 我们（视情况而定）将拥有对德勤技术的所有权利、所有权和利益，包 括但不限于根据著作权法、专利法和其他知识产权法所享有的权利；和 我们可以利用、修改、披露及拓展德勤技术(包括但不限于为其他客户 提供服务或编制程序或资料)。 贵协会与贵协会的所有工作人员(在这里称“公司员工”) 应向我们提供所 有与本项目相关的信息、文件和资料以及贵协会为履行本项目职责所合 理需要的任何信息和文件（包括与本项目相关的机密资料和信息），并 对本次项目所涉及所有相关信息的准确性、披露、完整性和陈述负责。 贵协会保证其向我们提供的信息不会有遗漏或导致我们将被误导或可能 被误导。 我们的报告为工程造价咨询行业信息化建设发展信息安全工作提供方向 指引。重要的是，为解决报告中涉及的改进建议及执行适合的履行计划 是贵协会管理层的责任，并不包含在本项目中。 3 目录 第一章 研究目的与方法 ............................................................................... 4 研究目的 ........................................................................................ 4 研究思路与方法 .............................................................................. 6 相关名词定义 ................................................................................. 7 研究的重点、难点及创新之处 ......................................................... 8 研究主要结论 ................................................................................. 9 工程造价咨询行业信息化安全发展现状 ................................... 9 工程造价咨询行业信息化安全建设风险分析 .......................... 12 工程造价咨询行业实现信息化建设的路径 .............................. 14 关于德勤 ............................................................................................ 20 参考索引 .................................................................................................... 20 附录 ........................................................................................................... 21 调查问卷 ............................................................................................. 21 4 第一章 研究目的与方法 研究目的 在工程造价行业的价值链上，有着众多的利益相关方。业 主、工程造价咨询企业、承包商、设计单位、监理、材料供应 商、软件公司、信息服务公司、行业协会、政府、社会公共服务 机构等，彼此之间相互合作、相互竞争，构成了工程造价行业的 商业生态圈。在中国经济发展的新常态下，如何建立一个共赢共 生的商业生态圈，如何在信息化大潮中帮助工程造价咨询企业进 一步打造核心竞争力，防范风险，从而推动工程造价行业更好的 发展已经成为了一个急需解决的课题。近年，随着计算机及互联 网技术在工程造价管理中的大量应用与快速发展，软件计量和计 价已经成为造价咨询行业的主要工具性软件。由于各软件提供方 所采用自主的技术标准和数据标准，使得运用不同软件所获得的 成果文件之间数据不能相容，数据标准不统一，并产生地区保护 与软件垄断。如何实现行业信息资源共享、促进工程造价信息资 源有效开发和利用已成为业内热点问题。 作为全球最大私营专业服务机构之一，德勤华永会计师事务 所（特殊普通合伙）（以下简称“德勤”）常年为全球大中型企业 提供各种专业咨询服务。在过去 5年中，德勤被 IDC评为风险管 理咨询市场排名第一。 中国建设工程造价管理协会（简称“中价协”）是由是经中华 人民共和国建设部同意，民政部核准登记，由工程造价咨询企 业、工程造价管理单位、注册造价工程师及工程造价领域的资深 专家、学者自愿结成的行业性全国性非营利性社会组织。本着维 5 护会员的合法权益，规范工程造价咨询行业行为，合理确定和有 效控制工程造价，确保工程造价行业在快速发展的数字化和全球 化趋势下，保持持续发展，中价协委托德勤针对工程造价行业信 息化发展现阶段风险和应对研究。本研究报告包含以下三部分内 容： （一）造价咨询行业信息化安全发展现状：对工程造价行业 整体信息化、监管现状进行总结；明确造价咨询企业 未来在商业生态圈中共赢中需不断打造的核心能力； （二）造价咨询行业信息化安全建设风险分析与最佳实践分 享：深入分析现阶段信息化发展进程中，造价咨询企 业、软件公司等面对的主要风险；介绍其他行业、国 家应对此类风险的最佳实践经验； （三）未来信息化建设路径与重点落实工作建议：建议未来 共赢方向，及各方工作重点。 德勤希望通过本研究报告为中国工程造价行业信息化建设贡 献绵薄之力。 6 研究思路与方法 我们按照以下思路进行调研： 图表 1：调研方案概览 研究全面利用了德勤内外部资源，主要工作方法包括： · 直接调研法：通过与部分代表企业（包括工程造价咨 询企业、软件公司、中央与地方行业协会、政府相关 部门）座谈、德勤信息安全风险管理专家访谈、行业 调查问卷；为了了解工程造价咨询企业信息化状况， 我们于 2016年 4月，针对造价咨询企业开展了为期 10天的网络调查，题目为《工程造价咨询企业信息 化状况调研问卷》（简称“调研问卷”）。本次调研问 卷收回有效答卷共计 482份。被调查者遍及中国 29 个省市自治区，其中从事工程造价行业工作超过 5年 者 409人，高级管理人员 382人（具体调研问卷分 析详见附录）。 · 间接调研分析法：利用德勤全球政府及公共事务、房 地产、科技行业最佳实践及案例；中价协提供的统计 数据。 与行业代表及德勤信息安全风险管理专家访谈时，我们在不 断重复确认以下三个问题： 7 1. 工程造价企业在打造核心竞争力的过程中，对于数据 共享的需求具体包括哪些方面？ 2. 公司信息化安全建设的主要风险是什么？跨行业、国 内外最佳实践有哪些可借鉴？ 3. 未来信息化建设路径如何规划，重点落实工作有哪 些？ 对于这些问题，专家们的真知灼见给我们以很大的启发。 相关名词定义 本报告在撰写过程中涉及的相关名词采取了以下定义： 工程造价咨询行业：面向社会接受委托、承担建设项目的全 过程、动态的造价管理，包括可行性研究、投资估算、项目经济 评价、工程概算、预算、工程结算、工程竣工结算、工程招标标 底、投标报价的编制和审核、对工程造价进行监控以及提供有关 工程造价信息资料等业务。 工程造价行业商业生态圈：业主、工程造价咨询企业、承包 商、设计单位、监理、材料供应商、软件公司、信息服务公司、 行业协会、政府、社会公共服务等机构，彼此之间存在相互合 作、相互竞争的关系，构成了工程造价行业的商业生态圈。 标准定额：完成规定计量单位的建筑安装工程产品所耗费资 源的数量标准。 软件公司：本报告中特指工程造价行业内，以软件或软件技 术为基础进行相关服务的公司。 工具软件：本报告中特指工程造价行业内，主要用于图形计 算工程量、钢筋统计、定额套价、人工、材料、机械消耗等分析 类型的软件。 8 管理软件：本报告中特指工程造价行业内，主要用于项目管 理、进度跟踪、项目资料管理、合同管理、月度统计报量等管理 功能的软件。 信息安全：信息网络的硬件、软件及其系统中的数据受到保 护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统 连续可靠正常地运行，信息服务不中断。 数据共享：在不同地方使用不同计算机、不同软件的用户能 够读取他人数据并进行各种操作、运算和分析。 云技术：在广域网或局域网内将硬件、软件、网络等系列资 源统一起来，实现数据的计算、储存、处理和共享的一种托管技 术。 云安全：涉及云技术的服务可用性、数据机密性和完整性、 隐私保护、物理安全、恶意攻击防范等诸多方面。 研究的重点、难点及创新之处 本项目主要通过对德勤现有案例、最佳实践总结以及行业访 谈进行研究，所涉猎的资源难免受到局限。尽管有上述条件的局 限，我们始终坚持以下准则： · 国际性 反映国际通行发展趋势； · 全局性 在提炼企业共赢关键要素的基础上，发掘各要素 之间的内在联系并形成体系； · 前瞻性 将过去的经验运用于对未来的指导，使其成为成 就“十三五”方针的行动指南； · 灵活性 推陈出新，锐意创新，使之适合复杂多变的形 势； 9 · 实效性 为共议行业发展共赢，给予各方易于落实的重点 行动建议。 研究主要结论 工程造价咨询行业信息化发展现状 1. 新常态下的商业生态圈 在新常态下，企业要在新的环境下生存和发展，不能再独善 其身，而是要撬动自身所在商业生态圈的价值，实现共生、互生 的发展。 德勤中国企业风险管理服务部门将商业生态圈描述为“以客 户、供应商、主要生产商、竞争对手、互补产品生产商、投资 者、贸易合作伙伴、标准制定机构、协会、政府、社会公共服务 机构等组成的具有一定利益关系的组织或群体，相互竞争、相互 合作，并构成一个动态的经济联合体。” 图表 2：商业生态圈治理 在工程造价行业中，政府机构、行业协会、造价咨询企业、 软件公司、材料供应商、业主、施工方便组成了一个造价行业的 生态圈。 10 2. 工程造价行业价值链 图表 3：工程造价行业价值链示意图 如图表 3所示，在工程造价行业的生态圈中，围绕造价咨询 企业发展出其独特的行业价值链。造价咨询企业依靠自身专业能 力和资源为其客户提供服务。工程造价行业协会为政府、行业和 会员提供服务并规范行业行为。住房和城乡建设行政主管部门对 行业进行业务指导和监督管理。软件公司以其产品和技术为价值 链中相关企业提供信息化支持，随着工程企业以及全行业信息化 建设的不断发展，软件公司开始掌握越来越多的行业信息数据， 具有了开展多种经营的能力。 3. 工程造价咨询企业核心竞争力打造 造价咨询企业在工程造价行业价值链中扮演着核心角色。但 是，目前我国造价工程师在现实中的执业定位主要集中在工程设 计、招投标和施工阶段，并以提供工程计价服务为主，业务范围 限于工程实施阶段预算、标底的编审以及工程结算的审核，未能 很好地将造价控制技术拓展到项目管理与决策上，建设项目前期 的投资策划、投资决策、可行性研究及工程项目后评估的造价咨 询业务十分有限。另一方面，传统的计量计价业务大多还停留在 静态控制，未能从全过程、全要素乃至全生命周期角度出发开展 工程造价管理。这种状况在相当程度上导致我国工程造价咨询企 业核心竞争力不足，社会对工程造价咨询认可度不高，工程造价 领域业务分割现象严重。 11 因此，造价咨询企业需要不断增强核心竞争力，向全过程管 理服务发展，需要将更多的资源和关注投入于企业管理能力的提 升和业务领域的延伸上来，需要进一步推进行业信息资源开发和 数据共享，以优化提升造价咨询业务的效率。 4. 工程造价行业信息化安全发展现状 至于推进造价行业信息资源开发和数据共享，软件产品和云 技术的应用必不可少。此外，工程造价行业信息安全领域也应是 信息化重点关注的方向。 目前，国家对于信息安全和云安全高度重视，已经制定了一 系列的法规条例，并正在加快完善政策监管体系，例如 2015年 4月，国家标准《信息安全技术 云计算服务安全能力要求》 （GB/T 31168-2014）正式颁布实施。 图表 4：《信息安全技术 云计算服务安全能力要求》提出的 10类安全要求 类别 安全要求 系统开发 与供应链 安全 云服务商应在开发云计算平台时对其提供充分保护，对为其开发信息系 统、组件和服务的开发商提出相应要求，为云计算平台配置足够的资 源，并充分考虑信息安全需求。云服务商应确保其下级供应商采取了必 要的安全措施。云服务商还应为客户提供与安全措施有关的文档和信 息，配合客户完成对信息系统和业务的管理。 系统与通 信保护 云服务商应在云计算平台的外部边界和内部关键边界上监视、控制和保 护网络通信，并采用结构化设计、软件开发技术和软件工程方法有效保 护云计算平台的安全性。 * 访问控 制 云服务商应严格保护云计算平台的客户数据和用户隐私，在授权信息系 统用户及其进程、设备（包括其他信息系统的设备）访问云计算平台之 前，应对其进行身份标识及鉴别，并限制授权用户可执行的操作和使用 的功能。 配置管理 云服务商应对云计算平台进行配置管理，在系统生命周期内建立和维护 云计算平台（包括硬件、软件、文档等）的基线配置和详细清单，并设 置和实现云计算平台中各类产品的安全配置参数。 维护 云服务商应定期维护云计算平台设施和软件系统，并对维护所使用的工 具、技术、机制以及维护人员进行有效的控制，且做好相关记录。 * 应急响 应与灾备 云服务商应为云计算平台制定应急响应计划，并定期演练，确保在紧急 情况下重要信息资源的可用性。云服务商应建立事件处理计划，包括对 12 类别 安全要求 事件的预防、检测、分析、控制、恢复等，对事件进行跟踪、记录并向 相关人员报告。服务商应具备灾难恢复能力，建立必要的备份设施，确 保客户业务可持续。 * 审计 云服务商应根据安全需求和客户要求，制定可审计事件清单，明确审计 记录内容，实施审计并妥善保存审计记录，对审计记录进行定期分析和 审查，还应防范对审计记录的未授权访问、篡改和删除行为。 * 风险评 估与持续 监控 云服务商应定期或在威胁环境发生变化时，对云计算平台进行风险评 估，确保云计算平台的安全风险处于可接受水平。服务商应制定监控目 标清单，对目标进行持续安全监控，并在异常和非授权情况发生时发出 警报。 * 安全组 织与人员 云服务商应确保能够接触客户信息或业务的各类人员（包括供应商人 员）上岗时具备履行其信息安全责任的素质和能力，还应在授予相关人 员访问权限之前对其进行审查并定期复查，在人员调动或离职时履行安 全程序，对于违反信息安全规定的人员进行处罚。 物理与环 境保护 云服务商应确保机房位于中国境内，机房选址、设计、供电、消防、温 湿度控制等符合相关标准的要求。云服务商应对机房进行监控，严格限 制各类人员与运行中的云计算平台设备进行物理接触，确需接触的，需 通过云服务商的明确授权。 注：图表中打*的部分为重点关注领域 不过，目前工程造价行业在法规和政策方面对于信息安全和 云安全的关注并不足以与国家信息安全发展步伐保持同步，需要 实时关注国家信息安全和云安全法规和政策的更新，并及时跟进 明确工程造价咨询行业适用的法规和政策，为行业信息安全和云 安全发展提供指引。 工程造价咨询行业信息化安全建设风险分析 1. 工程造价行业信息化主要挑战 经过多年的发展，我国造价咨询行业信息化取得了一定的成 效，但由于造价咨询行业的特点，如企业规模偏小、动态性强、 地域分散等原因，导致信息化安全建设存在一定的局限性与不 足，以整个工程造价咨询行业来说，其所面临的问题主要集中于 以下四方面：政策保障、信息数据标准、数据共享与信息安全， 如图表 5所示。 13 图表 5：工程造价咨询行业主要问题 主要领域 存在的问题 政策保障 整体规划缺 失 各利益群体没有明确的分工，各自为政， 造成大量重复工作，会阻碍工程造价信息 化发展。 相关条例及 管理办法待 完善 目前缺少信息化管理办法及相关管理文 件，亟需完善，以确保一个良好的工程造 价信息化建设环境，保障工程造价信息化 建设的顺利开展和实施。 资金相关保 障体系待完 善 需完善相关的资金支持体系，帮助企业解 决信息化建设资金不足的问题。 信息数据 标准 工程造价数 据标准 造价软件成果文件不统一，由于各软件提 供方采用自主的技术标准和数据标准，使 得运用不同软件所获得的成果文件之间并 不兼容。 地方定额编 制标准 各地定额编写标准各异，各自为政，限制 造价信息整体性的数据共享，不利于造价 信息的交流和信息化建设。 数据共享 数据共享意 识的缺乏 企业自身业务中累积的有价值的信息、数 据、指标等，没有与其它企业形成有效的 共享。小范围之内的数据共享，也由于缺 乏有效具体的战略协议来落实数据共享意 愿。 造价管理机 构信息作用 过大 事业单位发布工程造价信息准确性和时效性 并不高，也削弱了工程造价咨询企业信息化 建设的积极性，影响了信息和工程价格的市 场化。 信息安全 国有项目信 息安全不可 控 工程造价行业项目种类多样，国有项目很可 能涉及国家机密信息，信息安全管理和防范 至关重要。工程造价行业信息安全建设不成 熟，无法保障国有项目的信息安全可控。 2. 对相关利益者潜在相关风险的分析 14 在工程造价咨询行业生态圈中，信息化安全风险与生态圈中 的各方利益群体之间的关系越来越紧密，其中软件公司与造价咨 询企业所面临的风险主要集中于以下几个方面： 图表 6：工程造价咨询企业和软件公司主要风险 风险属主 主要风险 工程造价 咨询企业 信息系统安全 风险 信息安全意识薄弱，未对信息安全足够重 视或未将信息安全的风险纳入企业风险管 控体系，可能导致重要信息泄露或未被有 效利用，损害公司利益。 云安全风险 未能有效识别云安全风险或未与云平台服 务商之间就云安全责任划分清晰，可能导 致公司重要信息外泄，损害公司利益。 数据保密风险 与合同及履约 信息传递过程中未严格遵循相关信息分级 或数据保密等要求，或未在合同中明确敏 感信息的披露程序，导致对外泄漏公司或 客户的机密信息，损害公司声誉。 风险管控机制 尚未落实 缺乏完善的风险管控机制，导致风险管理 工作不系统、不规范，影响风险管理工作 的质量，导致公司风险管理目标无法顺利 实现。 软件公司 战略与客户风 险 软件公司在不断拓展业务领域、跨界经营 的过程中，可能引发行业各界对于市场垄 断和壁垒的质疑，可能导致业务开展受阻 或公司利益受损。 信息系统安全 风险 缺乏对客户数据安全信息有效的监管和保 障机制，导致在信息系统安全管理过程中 出现管理层无法承受的风险事件，进而给 公司带了经济损失。 云安全风险 缺乏对云安全风险和责任的明确，导致客 户信任度低，进而影响正常业务的开展。 数据保密风险 与合同及履约 对云计算和大数据的应用缺乏足够的认识 与应对，导致公司既定战略目标的实现受 到影响。 工程造价咨询行业实现信息化建设的路径 15 在本次调研中，绝大多数调查者表示了对工程造价行业信息 共享平台的渴望和诉求。但是行业信息化平台不是一朝一夕可以 建立起来的，通过行业分析与对标，我们建议通过三个阶段来实 现工程造价行业信息化平台的建设。 图表 7：工程造价行业未来信息化建设路径 第一阶段，政府有关部门出台工程造价行业信息化建设的总 体规划及相关政策保障，明确信息化建设的目标，使行业内各相 关利益者达成互利共赢的共识，从整体层面对行业协会和企业信 息化建设活动给出指导性意见。 第二阶段，需要行业协会对政府相关政策进行贯彻和推广， 造价咨询企业与软件公司落实相关政策，通过技术标准的统一， 为未来行业工程造价信息化平台的搭建工作铺平道路。 第三阶段，基于统一的技术标准，行业协会统筹与各利益相 关者，建设行业信息化平台，并逐步提升工程造价信息化平台的 使用价值。 具体相关利益者落实重点如下： 图表 8：相关利益者落实重点 相关利益者 落实重点 政府 · 出台工程造价信息化条例和管理办法等制度 · 完善工程造价信息化基础工作资金支撑体系 · 对企业、行业协会信息化建设进行指导和监督 造价协会 · 对相关法规政策、技术标准的贯彻和推广 · 统一造价成果文件格式和数据交换标准 16 相关利益者 落实重点 · 统一各地定额编制标准 · 统筹规划行业工程造价信息化平台建设 · 完善工程造价信息化资金支持和可持续的商业运 营体系 · 对造价咨询和信息服务企业信息化建设活动的指 导和监督 工程造价咨询企 业 · 依据政府、行业协会出台的政策法规、技术标准 落实自身管理体系和业务成果 · 强化数据安全与知识产权意识，将信息安全相关 的风险纳入企业风险管控体系 · 加强数据泄露保护，完善履约合同 软件公司 · 建立造价咨询企业间，以及造价咨询企业与信息 服务企业间的信息合作机制 · 依据政府、行业协会出台的技术标准、政策法 规，落实自身业务 · 合理规划企业战略，减少跨界经营、不当采集所 带来的风险 · 合同与履约规范明确数据权属与不涉及不适当的 商业应用，以避免客户风险 · 加强信息安全建设，防范数据泄露风险 · 建立云安全合规体系，取得合规认证，提高自身 的市场竞争力 · 建立与造价咨询企业、建设工程相关信息来源及 应用方的长效、共赢合作机制 新常态下的商业生态圈展现出新的特征，同时也为整个生态 圈的未来发展带来新的契机。工程造价生态圈中的各方，只有通 过融合、共生、变革才能更好的适应新常态下的造价行业发展， 彼此之间也必然能够达成共赢的意愿，协同完成造价行业信息化 建设，共同打造工程造价行业整体的核心竞争力，最终为行业创 造更大的价值。 17 关于德勤 德勤全球 德勤是全球最大的专业服务机构，约 万 名员工，遍布逾 150 个国家， 700多家分支机构，凭借其世界一流和高质量专业服务，为客户提供深入见解 以协助其应对最为复杂的业务挑战。 德勤中国 德勤品牌随着在 1917年设立上海办事处而首次进入中国。目前德勤中国的事 务所网络，在德勤全球网络的支持下，为中国的本地、跨国及高增长企业客户 提供全面的审计、税务、企业管理咨询及财务咨询服务。 18 德勤企业风险管理 德勤是“四大”中唯一一家未剥离管理咨询业务的专业机构，因而是在行业中提 供最完整的从战略管控，到运营管理，风险管理，内部控制，内部审计，直至 系统实施的”端到端”的全程专业服务的机构。 德勤被 Kennedy评为全球最佳风险管理咨询机构，领先其他三大会计师事务 所和咨询公司。德勤中国风险管理咨询团队近 1000人，远大于其他事务所规 模。 19 联系 谢安 合伙人，企业风险管理 薛梓源 合伙人，企业风险管理 电话: +86 10 85207313 电子邮件 : allxie@ 电话: +86 10 85207315 电子邮件 : tonxue@ 桂晏 总监，企业风险管理 电话: +86 10 85125323 电子邮件 : yagui@ 王凤龙 经理，企业风险管理 电话： +86 411 83712888 电子邮件：leofwang@ 20 参考索引 [1] 《中国工程造价咨询行业发展报告（2015版）》，中国建设工程造价管理协会， 2016年 [2] 《中价协工程造价数据交换系列标准编制论证会议纪要》，中国建设工程造价管理 协会，2016年 [3] 《云计算综合标准化体系建设指南》，工业和信息化部，2015年 [4] 《我国工程造价信息化建设的障碍及制度保障体系》，竹隰生、彭金平，2015年 [5] 《工程造价信息化建设战略研究》，竹隰生，2015年 [6] 《建设工程造价信息化发展面临的问题及对策》，薛瑞、刘军、吴燕忠、邓陟， 2014年 [7] 《住房城乡建设部关于进一步推进工程造价管理改革的指导意见》，住房城乡建设 部，2014年 [8] 《2011-2015年建筑业信息化发展纲要》，住房城乡建设部，2011年 [9] 《工程造价行业发展“十二五”规划》，住房城乡建设部标准定额司，2011年 [10] 《关于做好建设工程造价信息化管理工作的若干意见》，住房城乡建设部标准定 额司，2011年 21 附录 调查问卷 为了了解工程造价咨询企业信息化状况，我们于 2016年 4 月 27日—2016年 5月 6日，针对造价咨询企业开展了为期 10 天的网络问卷调查，收回有效问卷共计 482份。被调查者遍及中 国 29个省市自治区，其中从事工程造价行业工作超过 5年者 409人，高级管理人员 382人。 调研问卷概况： 1. 信息安全专职人员 问题：公司是否有专职人员来负责公司的信息安全？ · 仅有 70%的公司有专职人员来负责公司的信息安全，如 图表 29所示。 图表 29 信息安全专职人员调查 2. 造价管理机构发布的工程造价信息的准确性 问题：目前造价管理机构发布的工程造价信息的准确性 和时效性如何？ · 造价管理机构发布的工程造价信息的准确性和时效性不 足。62%的被调查者认为，目前造价管理机构发布的工 22 程造价信息的准确性和时效性有待提高，8%的人认为 准确性和时效性差，仅 28%的被调查者表示满意，如图 表 30所示。 图表 30造价管理机构发布的工程造价信息的准确性和时效性 3. 典型工程数据库的重要性 问题：对于增强工程造价咨询企业的核心竞争力而言，企 业典型工程数据库建设的重要性如何？是否希望政府出台 相应管理规定，要求造价咨询企业在项目结项后，完成项 目数据备案或数据共享？ · 81%的被调查者认为，企业典型工程数据库的建设重要 性高。 · 82%的被调查者希望政府或有关部门出台相关规定。 4. 数据共享意愿 问题：是否有意愿与行业内其他企业共享项目信息、材料 价格信息等资源，从而共同发展？ · 90%的被调查者都有意愿共享数据、信息资源，如图表 31所示。 23 图表 31造价咨询企业共享意愿调查 5. 软件安全问题 问题：公司在签订信息化平台以及工具软件的服务协议 时，是否需要对数据的权属进行明确以及对数据的使用范 围进行约束，以防止软件公司将数据再商业化？若软件公 司通过专业的信息安全认证，来证明自身服务的安全性， 是否可以打消贵公司对于软件公司信息安全问题的顾虑？ · 94%的被调查者认为需要对数据的权属进行明确以及对 数据的使用范围进行约束。 · 60%被调查者表示软件公司通过专业的信息安全认证， 可以打消贵公司对于软件公司信息安全问题的顾虑。 6. 信息共享平台 问题：未来工程造价行业建立信息共享平台的最佳途径 是？若未来工程造价行业建立信息共享平台，是否有意愿 使用？ · 75%的被调查者认为，信息共享平台，应该自上而下， 由全国行业协会组织发起，建立公共的非盈利性的共享 平台，如图表 32所示。 24 · 85%的被调查者表示，愿意有偿使用信息共享平台。 图表 32未来工程造价行业建立信息共享平台的最佳途径 25 关于德勤全球 Deloitte（“德勤”）泛指德勤有限公司（一家根据英国法律组成的私人担保有限公司，以下称“德勤有限公司”)，以及其一家或多家成 员所。每一个成员所均为具有独立法律地位的法律实体。请参阅 结构的详细描述。 德勤为各行各业的上市及非上市客户提供审计、税务、企业管理咨询及财务咨询服务。德勤成员所网络遍及全球逾 150个国家， 凭借其世界一流和高质量专业服务，为客户提供应对最复杂业务挑战所需的深入见解。德勤拥有约 200,000名专业人士致力于追 求卓越，树立典范。 关于德勤大中华 作为其中一所具领导地位的专业服务事务所，我们在大中华设有 22个办事处分布于北京、香港、上海、台北、成都、重庆、大 连、广州、杭州、哈尔滨、新竹、济南、高雄、澳门、南京、深圳、苏州、台中、台南、天津、武汉和厦门。我们拥有近 13,500 名员工，按照当地适用法规以协作方式服务客户。 关于德勤中国 德勤品牌随着在 1917年设立上海办事处而首次进入中国。目前德勤中国的事务所网络，在德勤全球网络的支持下，为中国的本 地、跨国及高增长企业客户提供全面的审计、税务、企业管理咨询及财务咨询服务。在中国，我们拥有丰富的经验，一直为中国的 会计准则、税务制度与本地专业会计师的发展贡献所长。 本文件中所含资料乃一般性信息，故此，并不构成任何德勤有限公司、其成员所或相联机构(统称为 "德勤网络")提供任何专业建议 或服务。在做出任何可能影响自身财务或业务的决策或采取任何相关行动前，请咨询合资格的专业顾问。任何德勤网络内的机构不 对任何方因使用本文件而导致的任何损失承担责任。 ©2016。欲了解更多信息，请联系德勤中国 。