信息系统业务安全服务资质等级评定条件实施细则(三级)

中国通信工业协会信息安全分会文件

中通协信安发〔2016〕31号

信息系统业务安全服务资质

等级评定条件实施细则（三级）

（一）综合条件

1、企业的注册资本不少于50万元，且在工商行政管理部门的企业信用信息公示系统中无不良记录。

2、企业应拥有购置或者租赁的面积不少于100平米的办公场地。

3、企业银行资信良好，无行贿犯罪记录。

4、近两年没有因企业原因造成验收未通过的项目或应由企业承担责任的用户重大投诉。

（二）财务状况

1、最近年度是指企业申报资质年度之前的一个自然年度。

企业出现亏损是指以下三种情况之一：

－1－

（1）执行《企业会计准则第1号—存货》等38项具体准则（财会[2006]3号）和《小企业会计准则》（财会[2011]17号）的企业，年度利润表中营业利润加营业外收入中的政府补助减去公允价值变动收益和投资收益后出现负值。

（2）执行《企业会计制度》（财会[2000]25号）的企业，年度利润表中营业利润加补贴收入中的政府补助后出现负值。

（3）执行《小企业会计制度》（财会[2004]2号）的企业，年度利润表中营业利润加营业外收入中的政府补助后出现负值。

2、近年度是指企业申报资质年度之前的一个自然年度。

中华人民共和国境内依法设立的会计师事务所是指经财政部门批准并在工商部门登记的会计师事务所。

企业财务数据应以年度审计报告的数据为依据。

3、固定资产净值是指经财务核算折旧和会计师事务所审计后的资产价值。

（三）业绩要求

1、近两年度完成的项目是指企业申报资质年度之前的两个自然年度内通过验收并投入实际应用的项目。（《信息系统业务安全服务项目行业领域分类目录》见附件1）

2、信息安全服务业务项目额是指按照核算规则对合同金额拆分后重新核算出的信息安全服务业务额。（《核算规则表》见附件2）

项目合同标的额不等于信息安全服务业务项目额。

－2－

（四）管理能力

1、企业质量管理体系证书在中国合格评定国家认可委员会（CNAS）工作网站上应处于有效状态，且运行状态良好。

企业质量管理体系证书的覆盖范围应包括与信息安全服务业务相关的所有活动和过程，与信息安全类产品开发和系统集成相关的所有部门、人员应在体系覆盖的范围内。

2、企业应制定项目管理制度，配置专门负责项目管理的人员。

企业的项目管理制度和流程须具有可操作性。

3、企业应制定客户服务管理制度，配置专门的客户服务人员。

企业的客户服务管理制度和流程须具有可操作性。

4、主要技术负责人，是指企业正式在职的负责技术研发类工作的管理者，包括技术研发工作的最高管理者和申报行业的核心技术负责人。

5、会计专业技术资格是指担任会计专业职务的任职资格，分为初级、中级和高级。

（五）技术实力

1、对企业主要业务方向有深入地研究，并拥有相关技术储备。

2、技术管理制度是指企业对全部技术活动进行管理的组织工作，包括加强和完善技术管理、合理组织技术工作、建立严格的技术工作秩序等。

企业应制定技术管理制度并具有可操作性。

－3－

（六）人才保障

1、从事信息安全服务的工作人员包括从事信息安全产品设计、研发、测试、集成实施、技术支持、质量保证、售后服务等岗位的人员，不包括行政、财务、人力资源等与信息安全服务项目不直接相关的人员。

2、取得“信息系统业务安全服务工程师”培训证书是指参加中国通信工业协会主办的“信息系统业务安全服务工程师”培训，考试合格获得协会颁发的“信息系统业务安全服务工程师”资格证书。

具有信息系统业务安全服务人员资质的人数以信息安全分会网站公布的人员人数为准，且是企业正式在职的员工。

3、参加“信息系统业务安全服务工程师”培训的人员必须具有IT相关专业学历且从事信息系统业务安全服务相关工作。学历、职称及工作经历应符合下列条件之一：

（1）具有专科学历且从事信息系统业务安全服务相关工作不少于2年；

（2）具有本科以上学历且从事信息系统业务安全服务相关工作不少于1年；

（3）具有中级专业技术职称且从事信息系统业务安全服务相关工作不少于1年。

4、企业应对从事信息安全服务的工作人员所需的能力予以识别和确定，确保工作人员充分理解其职责在信息安全服务工作

－4－

中的意义和重要性。

5、企业应制定员工培训与考核管理制度。

员工培训与考核管理制度应在实际工作中得到有效执行并保持记录。

抄送：

中国通信工业协会及各会员单位 2016年8月8日印发

－5－

附件1

信息系统业务安全服务项目行业领域分类目录

行业领域划分：参考《国民经济行业分类与代码（GB/4754-2011）》中的行业分类归纳而成。

－6－

附件2

信息安全服务业务项目额的核算表（三级）

申报企业：合同编号：行业：

－7－

－8－

关于建设项目信息管理系统的请示

关于建设项目信息管理 系统的请示 Company number：【WTUT-WT88Y-W8BBGB-BWYTT-19998】

x x x发展和改革局关于建设xxx项目信息化管理系统相关事宜的请示县政府： 为进一步贯彻落实第十二次党代会确定的“‘两化’互动，项目投资，加速追赶”工作基调，推进我县项目库建设，实现项目管理信息化、智能化、网络化目标，提高项目相关信息传递速度，达到项目信息资源在全县范围内共享目的。现将建设xxx项目信息管理系统相关事宜请示如下： 一、关于项目信息管理系统建设的必要性 为进一步提高我县项目的包装、储备的水平和质量，形成策划、包装、储备项目的良好氛围，充分调动和发挥全县包装储备项目的人力资源、智力资源的优势，实现项目库软硬件同步化建设和公开化，共享项目信息资源，延伸项目库建设链条，我们认为建设xxx项目信息化管理系统是非常必要的。 二、关于项目信息管理系统策划和设计机构的确定 根据我局的实地考察和学习，充分学习先进经验，拟结合我县的实际情况，由我局提出初步建设方案、建设设想、预期效果，最终实现将项目信息管理系统延伸至部门、乡镇及企业，通过询价方式确定我县项目信息管理系统策划和设计的中介机构。

三、关于项目信息管理系统的运行和使用 待项目信息管理系统（演示版）建成后，通过广泛征求意见，进一步修改完善，以最大程度满足项目建设、包装、储备、建设进度等相关信息的功能，经过试运行（试运行时间待定）后，再通过广泛业务操作培训，达到项目信息管理系统充分发挥其功效。 四、关于建设项目信息管理系统的经费预算 项目信息管理系统建设分为系统软件建设和硬件建设，软件建设主要是申请分配网络IP地址、网络信息平台、平台设计等内容，硬件主要包括服务器、计算机、硬盘等相关硬件设施，经过实地考察和询价，预计建成项目信息管理系统需资金万元。

信息系统等级安全服务方案

信息系统等级安全服务方案-标准化文件发布号：（9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII

信息系统等级安全方案 二零零九年八月

目录 1.项目概述 ..................................................................................... 错误!未定义书签。 目标与范围................................................................. 错误!未定义书签。 方案设计..................................................................... 错误!未定义书签。 参照标准..................................................................... 错误!未定义书签。 2.等保现状及建设总目标 ............................................................. 错误!未定义书签。 等级保护现状............................................................. 错误!未定义书签。 国家电网公司等保评测结果.............................. 错误!未定义书签。 公安部等保测评结果.......................................... 错误!未定义书签。 等级保护建设总体目标............................................. 错误!未定义书签。 3.安全域及网络边界防护 ............................................................. 错误!未定义书签。 信息网络现状............................................................. 错误!未定义书签。 安全域划分方法......................................................... 错误!未定义书签。 安全域边界................................................................. 错误!未定义书签。 二级系统边界...................................................... 错误!未定义书签。 三级系统边界...................................................... 错误!未定义书签。 安全域的实现形式..................................................... 错误!未定义书签。 安全域划分及边界防护............................................. 错误!未定义书签。 安全域的划分...................................................... 错误!未定义书签。 4.信息安全管理建设 ..................................................................... 错误!未定义书签。 建设目标..................................................................... 错误!未定义书签。 安全管理机构建设..................................................... 错误!未定义书签。 安全管理制度完善..................................................... 错误!未定义书签。 5.二级系统域建设 ......................................................................... 错误!未定义书签。 概述与建设目标......................................................... 错误!未定义书签。 网络安全..................................................................... 错误!未定义书签。 网络安全建设目标.............................................. 错误!未定义书签。 地市公司建设方案.............................................. 错误!未定义书签。 主机安全..................................................................... 错误!未定义书签。 主机安全建设目标.............................................. 错误!未定义书签。 主机身份鉴别...................................................... 错误!未定义书签。 访问控制.............................................................. 错误!未定义书签。 安全审计.............................................................. 错误!未定义书签。 入侵防范.............................................................. 错误!未定义书签。 恶意代码防范...................................................... 错误!未定义书签。 资源控制.............................................................. 错误!未定义书签。 应用安全..................................................................... 错误!未定义书签。 应用安全建设目标.............................................. 错误!未定义书签。 身份鉴别.............................................................. 错误!未定义书签。 安全审计.............................................................. 错误!未定义书签。 通信完整性、通信保密性.................................. 错误!未定义书签。 资源控制.............................................................. 错误!未定义书签。

信息系统安全保护等级定级指南

附件2 信息系统安全保护等级定级指南 （试用稿） 公安部 二〇〇五年十二月 —9 —

目次 1范围 (11) 2术语和定义 (11) 2.1 业务信息（Business Information） (11) 2.2 业务信息安全性（Security of Business Information） (11) 2.3 业务服务保证性（Assurance of Business Service） (11) 2.4 信息系统（Information System） (11) 2.5 业务子系统（Business Subsystem） (11) 3定级对象 (11) 3.1 信息系统的划分 (12) 3.2 信息系统和业务子系统 (12) 4决定信息系统安全保护等级的要素 (12) 4.1 决定信息系统重要性的要素 (13) 4.2 定级要素赋值 (13) 5确定信息系统安全保护等级的步骤 (15) 6信息系统安全保护等级的确定方法 (16) 6.1 确定业务信息安全性等级 (16) 6.2 确定业务服务保证性等级 (16) 6.3 确定信息系统安全保护等级 (18) 7信息系统安全保护等级的调整 (18) 8附录 (20) 8.1 实例1 (20) 8.2 实例2 (21) —10 —

信息系统安全保护等级定级指南 1范围 本指南适用于为4级及4级以下的信息系统确定安全保护等级提供指导。 有关部门根据文件确定涉及最高国家利益的重要信息系统的核心子系统，该系统的安全保护等级定为5级，不再使用本指南的方法定级。 各行业信息系统的主管部门可以根据本指南制定适合本行业或部门的具体定级方法和指导意见。 2术语和定义 下列术语和定义适用于本指南。 2.1 业务信息（Business Information） 为完成业务工作而通过信息系统进行采集、加工、存储、传输、检索和使用的各种信息。2.2 业务信息安全性（Security of Business Information） 保证业务信息机密性、完整性和可用性程度的表征。 2.3 业务服务保证性（Assurance of Business Service） 保证信息系统完成业务使命程度的表征。业务使命可能因信息系统无法提供服务或无法提供有效服务而不能完成或不能按照要求的目标完成。 2.4 信息系统（Information System） 基于计算机或计算机网络，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索和服务的人机系统。 2.5 业务子系统（Business Subsystem） 由信息系统的一部分组件构成，是信息系统中能够承载某项业务工作的子系统。 3定级对象 如果信息系统只承载一项业务，可以直接为该信息系统确定等级，不必划分业务子系统。 如果信息系统承载多项业务，应根据各项业务的性质和特点，将信息系统分成若干业务子系统，分别为各业务子系统确定安全保护等级，信息系统的安全保护等级由各业务子系统的最高等级决定。信息系统是进行等级确定和等级保护管理的最终对象。 —11 —

项目申报管理系统需求分析

文档编号: PRMS-2 版本号: V1.0 文档名称：需求分析设计说明书 项目名称：项目申报管理系统 项目负责人：董艳，苏丽，李瑞卿 编写：董艳2009年11月10日 校对：董艳，苏丽，李瑞卿2009年11月10日 审核：董艳，苏丽，李瑞卿2009年11月10日 批准：董艳，苏丽，李瑞卿2009年11月10日 开发单位：西北农林科技大学信息工程学院信管062班

需求规格说明书 1．引言 (3) 1.1编写目的 (3) 1.2项目背景 (3) 1.3定义 (3) 1.4参考资料 (3) 2．任务概述 (4) 2.1目标 (4) 2.2运行环境 (4) 2.3条件与限制 (4) 3．数据描述 (4) 3.1静态数据 (4) 3.2动态数据 (6) 3.3数据库介绍 (6) 3.4数据词典 (6) 3.5数据采集 (9) 4．功能需求 (9) 4.1功能划分 (9) 4.2功能描述 (9) 5．性能需求 (10) 5.1数据精确度 (10) 5.2时间特性 (10) 5.3适应性 (10) 6．运行需求 (10) 6.1用户界面 (10) 6.2硬件接口 (10) 6.3软件接口 (10) 6.4故障处理 (10)

1．引言 1.1编写目的 编写本文档的目的是根据系统分析工程师和客户沟通的结果，对用户需求进行了全面细致的分析，深入描述《项目申报系统》软件的功能和性能与界面，确定该软件设计的限制和定义软件的其他有效性需求。 该需求规格说明书的读者对象是信息工程学院订餐管理系统软件小组的研发工程师、测试工程师、销售工程师，版权归信息工程学院信管062班所有。 1.2项目背景 在计算机日益普及的今天，科技高速发展，国家对科技项目的研究也越来越重视，每年都有很多项目要上报国家或政府，纸制的项目申报报告的审批浪费了大量的人力、物力、财力等资源。 为了适应社会的需求，使市级重点建设项目月报信息统计工作更加科学、规范、高效、简便，我们小组打算开发“项目申报管理系统”。本系统是为方便重点建设项目业主单位报送项目月报，增强申报部门与项目单位间的信息沟通与反馈，了解项目的建设进度及存在问题，协调解决项目建设中存在的前期工作、资金筹措、征地拆迁、建设施工等问题而开发的应用软件管理系统。 项目申报系统PRMS 2.0将会成为一套功能完善的数据管理系统，可以再Windows、linux 系统上顺利运行。根据2009年重点项目申报工作的需要，由西北农林科技大学信息工程学院信管提出开发一套为重点项目申报工作服务的应用系统，于完成之日交付。 1.3定义 项目申报管理系统是指应用电子计算机和相关网络支持，为申报项目的相关人愿提供数据信息管理系统，从而优化项目申报，减少项目申报周期，提高工作质量。 文档中采用的专门术语的定义及缩略词简要如下： PRMS：Project Report Management System，项目申报管理系统。 1.4参考资料 [1]教学提供需求分析设计模板 [2]杨选辉《信息系统分析与设计》北京：清华大学出版社，2007。 [3]王珊，萨师宣。《数据库原理与应用》。北京：高等教育出版社，2003。 [4]耿祥义张跃平。《JSP实用教程》北京：清华大学出版社，2007。

国家社科基金项目申报管理信息系统使用说明[]

《国家社科基金项目申报管理信息系统》使用说明 本系统适用于计算机操作系统Windows XP或Windows 2000版本的用户（不支持Windows Vista、Windows7版本），使用对象为基层单位科研管理部门、省（区市）社科规划办及在京委托管理机构，主要功能是录入、汇总和向上级报送申报数据，打印申报数据清单。个人申请者只需填写纸质的《申请书》，不必使用本系统。 一、系统下载、安装及运行 1、将下载的《国家社会科学基金项目申报系统》解压到本机的任意目录。 2、运行setup.exe文件，按系统提示步骤安装。 3、回答本地邮政编码、任一邮件地址。 4、将申报系统安装在系统默认文件目录c:\sbxt 或自定义文件目录中。 5、运行：“开始”→“所有程序”→“申报系统” 二、系统主要功能及操作方法 （一）、录入、修改、删除、查询功能及操作 1、录入 录入分为管理系统录入、磁盘文件录入和接受申报数据邮件三种录入方式。 为减少录入工作量，今年只需录入国家社会科学基金项目申请书“数据表”中的主要数据，不再录入“参加者”、“推荐人”和“课题设计论证”等。 ①用管理系统录入 在主选单“录入”下拉选单中，选择“用管理系统录入”，弹出“项目申报数据录入”对话框，点击“新申报表”按钮，输入项目申请书中“数据表”页的相关项后，点击“确定”按钮。 ②用磁盘文件录入（磁盘文件须为本管理系统录入后导出的文件） 在主选单“录入”下拉选单中，选择“磁盘文件录入”，弹出“项目申报数据文件录入”对话框，点击“浏览”按钮，选择用本管理系统录入后导出的文件，点击“开始录入”按钮。 ③接受申报数据邮件（需要Outlook Express支持） 在主选单“邮件”下拉选单中，选择“接收申报数据邮件”，系统从邮箱中将申报数据文件内容自动导入。 2、修改 先按照“项目负责人姓名”或“课题名称”选择待修改的数据，然后再选择“其它修改”或“学科分类修改”修改方式。 ①其它修改：即显示全部输入项内容，并对相应项修改。 在主选单“修改”下拉选单中，选择“负责人姓名”或“课题名称”，在弹出的对话框中输入待修改数据中项目负责人姓名或课题名称内容，点击“其它修改”按钮。 ②学科分类修改：只可对课题名称、项目类别、学科分类、负责人、计划完成时间、第一预期成果、第二预期成果和申请经费项进行修改。 在主选单“修改”下拉选单中，选择“负责人姓名”或“课题名称”，在弹出的对话框中输入待修改数据中项目负责人姓名或课题名称内容，点击“学科分类修改”按钮。 3、删除 删除有按“负责人姓名”、“课题名称”和“删除所有输入数据”三种方式。可根据选择的数据项，删除一条和全部数据；全部删除功能要审慎使用。 4、查询 查询有按“负责人姓名”和“课题名称”两种方式。浏览时缺省为“典型字段显示”，即显示部分内容。

信息系统工程监理单位资质等级评定条件(精)

信息系统工程监理单位资质等级评定条件 (2012年修定版 一、甲级资质 (一综合条件 1、企业是在中华人民共和国境内注册的企业法人,变革发展历程清晰、产权关系明确,取得信息系统工程监理单位乙级资质的时间不少于两年; 2、企业不拥有计算机信息系统集成企业资质; 3、企业主业是信息系统工程监理,近三年的信息系统工程监理及相关信息技术服务收入总额占营业收入总额的比例不低于 60%; 4、企业注册资本和实收资本均不少于 800万元。 (二财务状况 1、企业近三年的信息系统工程监理及相关信息技术服务收入总额不少于 3000万元,财务数据真实可信,须经在中华人民共和国境内登记的会计师事务所审计; 2、企业财务状况良好,近三年度没有出现亏损。 (三信誉 1、企业有良好的资信和公众形象,有良好的知识产权保护意识,近三年无触犯国家法律法规的行为; 2、企业近三年没有出现过重大失误以及因监理不当造成业主单位或承建单位不应有的损失所引起的重大投诉; 3、企业近三年无不正当竞争行为; 4、企业遵守信息系统工程监理单位资质管理相关规定,在资质申报和资质证书使用过程中诚实守信,近三年无不良行为。

(四业绩 1、近三年完成的信息系统工程监理项目投资总值不少于 6亿元,监理合同总额不少于 2400万元,其中包括实施及验收阶段的监理合同额所占比例不低于 60%。这些项目至少涉及三个省(自治区、直辖市,并已取得三方签署的验收报告; 2、近三年完成的信息系统工程监理及相关信息技术服务项目个数不少于 20个, 其中至少有 2个合同额不少于 100万元或 4个合同额不少于 50万元的项目。(五管理能力 1、已建立完备的质量管理体系,通过国家认可的第三方认证机构认证,且连续有效运行时间不少于一年; 2、已建立完备的项目管理体系,使用管理工具进行项目管理,并能有效实施; 3、已建立完备的客户服务体系,能有效地为客户提供优质服务; 4、已建立完善的企业管理信息系统并能有效运行; 5、企业的主要负责人从事信息技术领域企业管理的经历不少于 5年,主要技术负责人应具有信息系统工程监理工程师资格和电子信息类高级职称、且从事信息系统工程监理工作的经历不少于 5年, 财务负责人应具有财务系列高级职称。 (六技术实力 1、主要业务领域中的典型项目在技术水平、经济效益、社会效益方面居国内同行业领先水平; 2、已建立完备的信息系统工程监理工作体系,对主要业务领域的业务流程有深入研究,有先进、完善的监理技术规范,监理能力居国内前列; 3、有与开展信息系统工程监理及相关信息技术服务业务相适应的固定工作场所和软硬件环境,办公面积不少于 300平米;

信息安全等级保护制度

第一条 为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规，制定本办法。 第二条 国家通过制定统一的信息安全等级保护管理规范和技术 标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。 第三条 公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 第四条

信息系统主管部门应当依照本办法及相关标准规范，督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 第五条 信息系统的运营、使用单位应当依照本办法及其相关标准规范，履行信息安全等级保护的义务和责任。 第二章等级划分与保护 第六条 国家信息安全等级保护坚持自主定级、自主保护的原则。 信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。 第七条 信息系统的安全保护等级分为以下五级： 第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。 第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。 第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。 第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。 第八条 信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护，国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。 第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。 第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。

企业信息化项目立项申请报告材料

目录 前言.................................... 错误！未定义书签。第一章、公司基础描述. (2) 第二章、总体建设目标 (5) 第三章、基础规划 (5) 第四章、指导原则 (10) 第五章、系统结构和功能 (12) 第六章、关键技术 (16) 第七章、投资预算 (18) 第八章：人员培训和技术援助 (19) 第九章、工程实施与进度计划 (21) 第十章、项目风险分析与控制 (27) 第十一章、效益分析 (33) 编制方案的依据 (38)

第一章、公司基础描述 （公司基本情况介绍，公司发展、业绩、行业地位等等） ***公司在成立初期，公司领导就已经认识到信息技术对企业发展的重要影响，公司领导认为，身为制造业企业实现信息化是参与国际竞争的基本前提；只有实现制造业企业的整体信息化，才能构造整个企业供应链的信息化平台，实现电子商务；并且多次提出制造业企业信息化不是效益工程，而是生存工程。在此指导思想下，公司对信息系统的引入作了大量的准备工作，这包括规范化、标准化工作，专业的信息化应用人才培养、计算机应用技术的普及，企业经营管理模式的优化调整，架构相应的企业文化。计算机信息中心作为信息化建设实施部门，现人员编制为5人。为保证信息系统的有效实施，制定了信息化建设化五年规划信息化建设项目招投标管理办法、信息化建设项目实施管理办法，并于公司签订了信息化建设目标责任书。公司到目前为止已成功实施了：工业园网络系统、企业技术中心CAD系统、办公自动化系统（OA）、财务电算化（用友ERP-U850）、人力资源管理系统（用友NC-HRM）、内外部网站系统等、公司级邮件系统。为后期的信息系统实施奠定了基础。 1、公司工业园区网络系统整体千兆光纤主干、百兆到桌面，信

信息系统工程监理单位资质等级评定条件实施细则

信息系统工程监理单位资质等级评定条件实施 细则 The manuscript was revised on the evening of 2021

信息系统工程监理单位资质等级评定条件实施细则 一、甲级资质 （一）综合条件 1、企业变革发展历程清晰、产权关系明确是指企业应有明确的成立时间，在转制、更名、合并、分立等变更事项中业绩、人员、资产继承关系明确，股权关系明确。 取得信息系统工程监理乙级资质的时间不少于两年是指企业现有乙级资质证书的首次获证时间须满两年。乙级资质满两年后，企业方可向评审机构提交甲级资质申报材料。企业由甲级资质降为乙级资质，其现有乙级资质证书的获证时间须满6个月后，方可向评审机构提交甲级资质申报材料。 2、信息系统工程是指信息化工程建设中的信息网络系统、信息资源系统、信息应用系统的新建、升级、改造工程。 信息系统工程监理及相关信息技术服务包括对信息系统工程实施的监理服务、信息技术咨询服务和测试评估服务。其中信息技术咨询服务包括信息化规划、信息技术管理咨询等。企业应设置明细科目对信息系统工程监理及相关信息技术服务收入单独核算。 近三年是指企业申报资质年度之前的三个自然年度。 营业收入是指审计报告中主营业务收入和其他业务收入之和。 （二）财务状况 1、中华人民共和国境内登记的会计师事务所是指经财政部门批准并在工商部门登记的会计师事务所。 企业财务数据应以年度审计报告的数据为依据，审计报告应包括资产负债表、利润表、现金流量表等主表和财务报表附注。 如果是合并财务审计报告，主表和财务报表附注应单独列出申报企业的数据，合并的数据不作为评审依据。 审计报告的财务报表或附注中应反映申报企业的信息系统工程监理及相关信息技术服务收入、政府补助等有关数据。 2、企业近三年度主业均没有出现亏损，年均净利润率不低于3％或年均净利润不低于100万元。 主业出现亏损是指以下三种情况之一：

信息系统安全等级保护定级指南

1信息系统安全等级保护定级指南 为宣贯《信息系统安全等级保护定级指南》（以下简称《定级指南》）国家标准，由标准起草人介绍标准制、修订过程，讲解标准的主要内容,解答标准执行中可能遇到的问题。1.1定级指南标准制修订过程 1.1.1制定背景 本标准是公安部落实66号文件，满足开展等级保护工作所需要的重要规范性文件之一，是其他标准规范文件的基础。本标准依据66号文件和“信息安全等级保护管理办法”的精神和原则，从信息系统对国家安全、经济建设、社会生活重要作用，信息系统承载业务的重要性、业务对信息系统的依赖程度和信息系统的安全需求等方面的因素，确定信息系统的安全保护等级，提出了分级的原则和方法。 本任务来自全国信息系统安全标准化技术委员会，由全国信息安全标准化技术委员会WG5工作组负责管理。 1.1.2国外相关资料分析 本标准编制前，编制人员收集与信息系统确定等级相关的国外资料，其中主要是来自美国的标准或文献资料，例如： ●FIPS 199 Standards for Security Categorization of Federal Information and Information Systems（美国国家标准和技术研究所） ●DoD INSTRUCTION 8510.1-M DoD Information Technology Security Certification and Accreditation Process Application Manual（美国国防部） ●DoD INSTRUCTION 8500.2 Information Assurance (IA) Implementation（美国国防 部） ●Information Assurance Technology Framework3.1（美国国家安全局） 这些资料表明，美国政府及军方也在积极进行信息系统分等级保护的尝试，从一个侧面反映了分等级对重要信息系统实施重点保护的思想不仅适用于像我国这样的信息技术水平不高的发展中国家，也适用于信息化发达国家。但仔细分析起来，这些文献资料中所描述的等级在其适用对象、定级方法、划定的等级和定级要素选择方面各有不同。 FIPS 199作为美国联邦政府标准，依据2002年通过的联邦信息安全管理法，适用于所有联邦政府内的信息（除其它规定外的）和除已定义为国家安全系统之外的联邦信息系统。根据FIPS 199，信息和信息系统根据信息系统中信息的保密性、完整性和可用性被破坏的

信息系统集成资质等级评定条件暂行

信息系统集成资质等级评定条件（暂行） 一、一级资质 （一）综合条件 1. 企业是在中华人民共和国境内注册的企业法人，变革发展历程清晰、产权关系明确，取得信息系统集成二级资质的时间不少于两年。 2. 企业主业是信息系统集成及服务（以下称系统集成），近三年的系统集成收入总额占营业收入总额的比例不低于70％，或近三年系统集成收入不少于15亿元且占营业收入总额的比例不低于50％。 3. 企业注册资本和实收资本均不少于5000万元, 或 所有者权益合计不少于5000万元。 （二）财务状况 1. 企业近三年的系统集成收入总额不少于5亿元，或不少于4亿元且近三年完成的系统集成项目总额中软件和信息技术服务费总额所占比例不低于80％，财务数据真实可信，须经在中华人民共和国境内登记的会计师事务所审计。 2. 企业财务状况良好。 3. 企业拥有与从事系统集成业务相适应的固定资产和 无形资产。 （三）信誉

1. 企业有良好的资信和公众形象，近三年无触犯国家法律法规的行为。 2. 企业有良好的知识产权保护意识，近三年完成的系统集成项目中无销售或提供非正版软件的行为。 3. 企业有良好的履约能力，近三年没有因企业原因造成验收未通过的项目或应由企业承担责任的用户重大投诉。 4. 企业近三年无不正当竞争行为。 5. 企业遵守信息系统集成资质管理相关规定，在资质申报和资质证书使用过程中诚实守信，近三年无不良行为。 （四）业绩 1. 近三年完成的不少于200万元的系统集成项目及不少于100万元的纯软件和信息技术服务项目总额不少于4亿元，或不少于3.5亿元且近三年完成的系统集成项目总额中软件和信息技术服务费总额所占比例不低于80％。这些项目至少涉及三个省（自治区、直辖市），并已通过验收。 2. 近三年至少完成4个合同额不少于1500万元的系统集成项目，或所完成合同额不少于1000万元的系统集成项目总额不少于6000万元，或所完成合同额不少于500万元的纯软件和信息技术服务项目总额不少于3000万元，这些项目中至少有部分项目应用了自主开发的软件产品。

信息系统安全运维服务

信息系统安全运维服务 项目招标需求 供应商资质资格要求： 1、供应商在宁波本地有常驻服务机构（需提供营业执照复印件）； 2、供应商应具备中国信息安全认证中心或国家信息安全测评中心或宁波市计算机信息网络安全协会颁发的安全服务资质； 3、供应商应具有两名中国信息安全测评中心认证的注册信息安全工程师（出具社保证明和证书复印件，中标后提供原件）； 服务要求： 1、供应商应为本项目组建一个安全运维服务团队，团队成员应由各类信息安全专家、网络专家等组成，标书中应列出团队成员清单并提供相关证书。当驻场工程师不能及时解决问题时应及时给予技术支持。应急响应时间小于1小时，一般安全事件排除时间小于1小时，复杂安全时间排除时间小于4小时； 2、实地驻场一名注册信息安全工程师； 3、全大市约40套安全产品日常管理。要求每天对安全产品的运行状况进行检查，并根据信息系统的安全状况调整安全策略，确保信息系统安全。安全产品包含防火墙、IPS、UTM、上网行为管理，WAF，桌面管理系统，终端入网管理系统，防病毒软件等等； 4、协调各安全产品厂商定期巡检安全产品，在产品故障时及时联系厂商排除故障，确保安全产品正常工作； 5、全大市安全产品日志分析。要求每天对安全产品产生的日志进行交叉比对分析，及时发现并消除安全隐患； 6、全大市约4000台终端电脑安全管理。借助桌面管理系统、终端入网控制系统等管理软件对全大市的电脑终端的安全状况进行跟踪管理，及时发现终端电脑的安全风险，通过调整安全策略及现场、远程协助等方式处理终端出现的安全问题； 7、信息系统安全风险评估。定期对全系统的信息系统安全风险进行评估，并出具评估报告；

《信息系统安全等级保护定级报告》

《信息系统安全等级保护定级报告》 一、马尔康县人民检察院门户网站信息系统描述 （一）该信息系统于2014年4月上线。目前该系统由马尔康县人民检察院办信息股负责运行维护。九龙县县政府办是该信息系统业务的主管部门，信息股为该信息系统定级的责任单位。 （二）此系统是计算机及其相关的和配套的设备、设施构成的，是按照一定的应用目标和规则对门户网站信息进行采集、加工、存储、传输、检索等处理的人机系统。 服务器托管在九龙县电信公司机房 （三）该信息系统业务主要包含：等业务。 二、马尔康县人民检察院门户网站信息系统安全保护等级确定 （一）业务信息安全保护等级的确定 1、业务信息描述 该信息系统业务主要包含：九龙新闻、信息公开、在线下载、旅游在线、县长信箱等业务。 2、业务信息受到破坏时所侵害客体的确定 该业务信息遭到破坏后，所侵害的客体是社会秩序和公众利 —9 —

益。 侵害的客观方面（客观方面是指定级对象的具体侵害行为，侵害形式以及对客体的造成的侵害结果）表现为：一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害（形式可以包括丢失、破坏、损坏等），会对社会秩序和公众利益造成影响和损害，可以表现为：发布虚假信息，影响公共利益，造成不良影响，引起法律纠纷等。 3、信息受到破坏后对侵害客体的侵害程度的确定 上述结果的程度表现为严重损害，即工作职能受到严重影响，造成较大范围的不良影响等。 4、业务信息安全等级的确定 业务信息安全保护等级为第二级。 （二）系统服务安全保护等级的确定 1、系统服务描述 该系统属于为民生、经济、建设等提供信息服务的信息系统，其服务范围为全国范围内的普通公民、法人等。 2、系统服务受到破坏时所侵害客体的确定 该业务信息遭到破坏后，所侵害的客体是公民、法人和其他组织的合法权益，同时也侵害社会秩序和公共利益。客观方面表现得侵害结果为：一可以对公民、法人和其他组织的合法权益造成侵害（影响正常工作的开展，造成不良影响，引起法律纠纷等）；—10 —

企业研究开发项目信息管理系统操作手册(企业用户)

武汉市企业研究开发项目信息管 理系统 企 业 用 户 操 作 手 册 目录

一、首页 1.1编写目的 方便纳税人研发项目资料的电子化存档、费用归集及加计扣除备案申报1.2编写背景 开发软件名称：武汉市企业研究开发项目信息管理系统 开发单位：武汉市科学技术局、武汉市国家税务局、武汉市地方税务局技术支持：武汉力龙信息科技股份有限公司

南京司书软件系统有限公司 产品用户：纳税人 二、系统操作说明 2.1武汉市企业研究开发项目信息管理系统企业端 2.1.1企业注册 选择企业所在市州后，点击首页“注册”按钮进入注册页面，并按要求填写企业注册信息，在浏览器兼容模式下上传企业多证合一证件或企业机构代码证、营业执照和税务登记证副本，并点击“提交”按钮提交。注意上传证件格式和大小。 用户名由系统自生成，用户名为填写的法人代码，代码为社会统一信用代码或机构代码证号。注意纳税识别号为社会统一信用代码或税务登记证号（不是流水号）。 科技部门对企业注册信息进行审核。审核通过后，企业才能进行项目申报。审核信息以站内消息通知企业。 未通过审核的，企业按站内消息要求完善或修改后再提交审核。 2.1.2登陆系统 登录界面如下，企业选择所在市、州，再输入用户名和密码进行登录： 企业注册后用户名为所填写法人代码，初次登录的密码为123456。为保证企业信息安全，登记后请在系统中将密码修改。用户名和密码丢失引起的后果，由企业自行负责。 2.1.3项目申报 建立加计扣除年度基本信息 点击左边菜单“项目申报”呈现项目申报列表页面，再点击页面上方【添加扣计扣除年度企业基本信息】按钮呈现信息填报页面，最后点击【扣计扣除年度企业基本信息】按钮呈现具体填报页面，填写完相关信息后点击【保存】按钮。 注意：1、要进行项目申报必须先建立加计扣除年度基本信息，再在所建立的加

信息系统安全等级

附件乐3：乐山《信息系统安全等级保护定级报告》模 金阳县人民医院 《信息系统安全等级保护定级报告》 一、金阳县人民医院信息系统描述 金阳县人民医院信息系统主要有医院信息管理系统（HIS）、LIS、PACS、卫生统计直报系统、传染性疾病报告系统、医院门户网站等系统组成。本系统对医院及其所属各部门的人流、物流、财流进行综合管理，对医院从事医疗、办公等活动在各阶段中产生的数据进行采集、存储、分析、处理、汇总，为医院的整体运行提供信息支撑。该信息系统的平台运行维护主要有网络中心承担，医院始终将信息安全建设作为安全重中之重建设和管理，将其确定为定级对象进行监督，网络中心为信息安全保护主体。此系统主要由提供网络连接、网络服务的硬件和数据控制的软件程序两大要素构成，提供网络连接和服务的硬件设备如路由器、交换机和服务器构成了该信息系统的基础，其主要为保障数据的传输和程序文件的运行；数据控制文件系统、程序源码成为信息表现的载体，二者共同完成院内医疗、办公等信息的综合管理。 二、金阳县人民医院信息系统安全保护等级确定（定级方法参见国家标准《信息系统安全等级保护定级指南》） （一）业务信息安全保护等级的确定 1、业务信息描述 本信息系统主要处理的业务有医院日常业务运行、医院最新动态、院务公开、等。旨在保障医院业务正常运行、提高工作效率、增强院务透明度、扩大医院社会影响力。 2、业务信息受到破坏时所侵害客体的确定 该业务信息遭到破坏后，所侵害的客体是患者、法人和医院职工的合法权益。侵害的客观方面（客观方面是指定级对象的具体侵害行为，侵害形式以及对客体的造成的侵害结果）表现为：一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害（形式可以包括丢失、破坏、损坏等），会对患者、医院和医院职工的合法权益造成严重影响和损害。本信息系统由于具有一定的脆弱性，需要不定时进行对该系统进行程序升级和漏洞防范，所以很容易受到“黑客”攻击和破坏，可能会影响医疗、办公正常秩序和正常行使工作职能，导致业务能力下降，从某种角度可侵害患者、医院和医院职工的合法权益，造成一定范围的不良影响等。 3、信息受到破坏后对侵害客体的侵害程度的确定 当此信息受到破坏后，会对患者、医院和医院职工造成一些严重损害。 4、业务信息安全等级的确定 依据信息受到破坏时所侵害的客体以及侵害程度，确定业务信息安全等级为二级。 （二）系统服务安全保护等级的确定 1、系统服务描述 本信息系统主要为医院业务的正常运行、日常办公活动正常开展和提供医疗咨询等服务。2、系统服务受到破坏时所侵害客体的确定 该系统服务遭到破坏后，所侵害的客体是公民、医院和其他组织的合法权益，同时也侵害社会秩序和公共利益但不损害国家安全。客观方面表现得侵害结果为：可以对患者、法人和医院职工的合法权益造成侵害（影响正常工作的开展，导致业务能力下降，造成不良影响，引起医患法律纠纷等）。 3、系统服务受到破坏后对侵害客体的侵害程度的确定 上述结果的程度表现为：患者、医院和医院职工的合法权益造成一般损害，即会出现一定范围的社会不良影响和一定程度的公共利益的损害等。

信息系统安全等级保护定级报告示例

信息系统安全等级保护定级报告 一、XX平台系统描述 （一）2014年8月，XX正式上线，XX隶属于北京XX科技有限公司，该公司是从事网络借贷信息中介业务活动的金融信息服务企业。主要是通过线上XX平台，将出借人和借款人衔接，为二者提供中介服务进而实现借贷关系。通过提供信息搜集、信息公布、资信评估、信息交互、借贷撮合等服务解决借款人和出借人的投融资难的问题。目前该XX平台系统由公司运维部负责维护。我公司是该平台系统业务的主要负责机构，也是为该信息系统定级的责任单位。 （二）此系统是计算机及其相关的和配套的设备、设施构成的，是按照一定的应用目标和规则对该系统金融业务数据信息进行存储、传输、检索等处理的人机机制。 该系统相关的用户数据中心网络，资金管理等边界部分都是等级保护定级的范围和对象。在此次定级过程中，将该系统的网络设备和数据中心连同业务数据作为一个定级对象加以考虑，统一进行定级、备案。该系统的网络设备和数据中心还要作为整个系统的分系统分别进行定级、备案。 （三）该系统业务主要包含：用户身份安全信息、业务平台数据、购买服务等业务，并新增加了法务审核，风险控制等等业

务。系统针对业务实现的差异分别提供实时联机处理和批量处理两种方式。其中：通过网络与第三方支付平台的连接，均采用约定好的报文格式进行通讯，业务处理流程实时完成。 业务处理系统以内部财务结算模式，负责各类买入转让还款的业务处理，包括与第三方实时连接、接口协议转换、非实时批量数据的采集、业务处理逻辑的实现、与会计核算系统的连接等。系统结构拓扑图如下： 二、XX平台系统安全保护等级确定（定级方法参见国家标准《信息系统安全等级保护定级指南》） （一）业务信息安全保护等级的确定 1、业务信息描述 北京XX科技有限公司是从事网络借贷信息中介业务活动的金融信息服务企业，XX为旗下借贷平台主要是通过线上平台，将出借人和借款人衔接，为二者提供中介服务实现借贷关系。通过提供信息搜集、信息公布、资信评估、信息交互、借贷撮合等服务，解决借款人和出借人的投融资难的问题。 2、业务信息受到破坏时所侵害客体的确定 该业务信息遭到破坏后，所侵害的客体是公民、法人和其他组织的合法权益。 侵害的客观方面表现为：一旦信息系统的业务信息遭到入侵、