安全服务备案证书申办流程说明之一
(新申请)
安全服务备案的申请和核准结果相关文书的领取在地级以
上市公安机关网监部门办理。
申请安全服务备案,应当持下列资料(一式三份)向地级以上市公安机关公共信息网络安全监察部门提出申请:
1、《广东省计算机信息系统安全服务备案申请书》
2、营业执照(副本)复印件;
3、企业负责人、技术负责人、安全服务负责人的身份证明、任职、学历、职称、计算机安全培训、业绩证明材料的复印件;
4、安全服务专业水平和质量保证相关文档记录;
5、近3年项目承接合同的复印件;
6、企业获奖、标准和其他资质认证相关证书。
地级以上市公安机关公共信息网络安全监察部门应当自接
到申请材料之日起15日内对申请材料进行核查。核查合格的,报送省公安厅公共信息网络安全监察部门复核;核查不合格的,退回申请并说明理由。
省公安厅公共信息网络安全监察部门应当自接到核查材料
之日起15日内进行复核,复核情况与申请材料相符合的,核发备案证书。不符合条件的,作出不予复核的决定并说明理由。
持国家工商行政管理总局或省工商行政管理局核发的营业执照的安全服务机构,直接向省公安厅公共信息网络安全监察部门提出申请,省公安厅公共信息网络安全监察部门应当在30日内作出核查意见。
流程图之一:
安全服务备案证书申办流程说明之二
(年审)
一、年审时间
备案证书实行年度检查制度。年度检查时间为备案证书发证月份。
二、安全服务机构自查
安全服务机构在年度检查前应当对本单位上一年度的下列情况进行自查,并形成自查书面材料:
(一)遵守国家有关法律法规和本省有关规定的情况;
(二)安全服务业绩;
(三)用户投诉及处理情况;
(四)参加国内和国际标准认证的情况;
(五)符合备案证书颁发条件的有关情况。
三、年审流程
安全服务机构参加年度检查,应当向地级以上市公安机关网监部门提出申请。填写《广东省计算机信息系统安全服务备案年度检查申请书》(纸版一式三份,电子文档一份),并提交下列材料(一式三份):
(一)备案证书副本(原件);
(二)自查书面材料;
(三)营业执照(副本)复印件;
(四)本年度检查时段所有承接的安全服务项目的合同复印件;
(五)本年度获奖、标准和其他资质认证情况的相应证书复印件。
地级以上市公安机关网监部门自接到申请材料之日起15日
内进行核查,材料齐全,情况属实的,报送省公安厅网监部门复核。核查不合格的,退回申请并说明理由。
省公安厅网监部门应当自接到核查材料之日起10日内作出
年度检查结论。
持国家工商行政管理总局或省工商行政管理局核发的营业
执照的安全服务机构,直接向省公安厅网监部门提出申请(委托广东省计算机信息网络安全协会受理),省公安厅网监部门应当在20日内作出年度检查结论。
四、年审结论
年度检查结论分为合格、不合格两种。
年度检查结论为不合格的,收回备案证书,一年内不得申请安全服务备案。
未按时参加年度检查的,公安机关网监部门应收回备案证书,安全服务单位一年内不得申请安全服务备案。
因特殊原因未年度核准的,应当书面说明理由,经地级以上市公安机关网监部门批准,方可补办相关手续。
流程图之二:
安全服务备案证书申办流程说明之三
(项目变更)
备案证书登记事项(单位名称、法定代表人、注册资本、服务范围、服务规模、安全从业人员数量、安全产品)发生变更的,应在30日内到地级以上市公安机关网监部门办理变更手续,填
写《广东省计算机信息系统安全服务备案证变更申请表》(一式三份),并提交下列材料(一式三份):
1、变更前后营业执照(正本及副本)复印件;
2、工商部门出具的相关证明;
3、现备案证书(正本及副本)复印件。
地级以上市公安机关网监部门应当在15日内提出办理意见,并将申请材料报省公安厅网监部门。省公安厅网监部门应当自接到申请材料之日起15日内给予办理,发给新的备案证书。安全
服务机构应在领取新备案证书时交回原备案证书。
流程图之三:
安全服务备案证书申办流程说明之四
(换证)
备案证书有效期为4年,安全服务机构应当在期满前60日内提交换证申请材料。换证程序与备案证书初次申请(新申办)程序相同。期满不换证的,备案证书作废。
因特殊原因未按时换证的,应当书面说明理由,经地级以上市公安机关网监部门批准,方可补办相关手续。
关于建设项目信息管理 系统的请示 Company number:【WTUT-WT88Y-W8BBGB-BWYTT-19998】
x x x发展和改革局关于建设xxx项目信息化管理系统相关事宜的请示县政府: 为进一步贯彻落实第十二次党代会确定的“‘两化’互动,项目投资,加速追赶”工作基调,推进我县项目库建设,实现项目管理信息化、智能化、网络化目标,提高项目相关信息传递速度,达到项目信息资源在全县范围内共享目的。现将建设xxx项目信息管理系统相关事宜请示如下: 一、关于项目信息管理系统建设的必要性 为进一步提高我县项目的包装、储备的水平和质量,形成策划、包装、储备项目的良好氛围,充分调动和发挥全县包装储备项目的人力资源、智力资源的优势,实现项目库软硬件同步化建设和公开化,共享项目信息资源,延伸项目库建设链条,我们认为建设xxx项目信息化管理系统是非常必要的。 二、关于项目信息管理系统策划和设计机构的确定 根据我局的实地考察和学习,充分学习先进经验,拟结合我县的实际情况,由我局提出初步建设方案、建设设想、预期效果,最终实现将项目信息管理系统延伸至部门、乡镇及企业,通过询价方式确定我县项目信息管理系统策划和设计的中介机构。
三、关于项目信息管理系统的运行和使用 待项目信息管理系统(演示版)建成后,通过广泛征求意见,进一步修改完善,以最大程度满足项目建设、包装、储备、建设进度等相关信息的功能,经过试运行(试运行时间待定)后,再通过广泛业务操作培训,达到项目信息管理系统充分发挥其功效。 四、关于建设项目信息管理系统的经费预算 项目信息管理系统建设分为系统软件建设和硬件建设,软件建设主要是申请分配网络IP地址、网络信息平台、平台设计等内容,硬件主要包括服务器、计算机、硬盘等相关硬件设施,经过实地考察和询价,预计建成项目信息管理系统需资金万元。
计算机信息系统安全 管理制度 2008年8月
目录 第一章总则 (3) 第二章系统管理人员的职责 (3) 第三章机房管理制度 (4) 第四章系统管理员工作细则 (4) 第五章安全管理员工作细则 (7) 第六章密钥管理员工作细则 (9) 第七章计算机信息系统应急预案 (10) 第八章附则 (10)
第一章总则 第1条依据《中华人民国保守国家秘密法》和有关规定,为进一步加强本单位计算机信息系统安全管理,并结合本单位的实际情况,制定本制度。 第2条计算机信息系统包括:涉密计算机信息系统和非涉密计算机信息系统。其中,涉密计算机信息系统指以计算机或者计算机网络为主体,按照一定的应用目标和规则构成的处理涉密信息的人机系统。 第3条涉密计算机信息系统的工作坚持积极防、突出重点,既确保国家秘密安全又有利于信息化发展的方针。 第4条涉密计算机信息系统的安全工作实行分级保护与分类管理相结合、行政管理与技术防相结合、防外部与控制部相结合的原则。 第5条涉密计算机信息系统的安全管理,坚持“谁使用,谁负责”的原则,同时实行主要领导负责制。 第二章系统管理人员的职责 第6条本单位的涉密计算机信息系统的管理由各科室负责,具体技术工作由信息中心承担,设置以下安全管理岗位:系统管理员、安全管理员、密钥管理员。 第7条系统管理员负责信息系统和网络系统的运行维护管理,主要职责是:信息系统主机的日常运行维护;信息系统的系统安装、备份、维护;信息系统数据库的备份管理;应用系统访问权限的管理;网络设备的管理;网络的线路保障;网络服务器平台的运行管理,网络病毒入侵防。 第8条安全管理员负责网络信息系统的安全技术管理,主要职责是:网络信息安全策略管理; 网络信息系统安全检查;涉密计算机的安全管理;网络信息系统的安全审计管理;违规
信息系统等级安全服务方案-标准化文件发布号:(9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII
信息系统等级安全方案 二零零九年八月
目录 1.项目概述 ..................................................................................... 错误!未定义书签。 目标与范围................................................................. 错误!未定义书签。 方案设计..................................................................... 错误!未定义书签。 参照标准..................................................................... 错误!未定义书签。 2.等保现状及建设总目标 ............................................................. 错误!未定义书签。 等级保护现状............................................................. 错误!未定义书签。 国家电网公司等保评测结果.............................. 错误!未定义书签。 公安部等保测评结果.......................................... 错误!未定义书签。 等级保护建设总体目标............................................. 错误!未定义书签。 3.安全域及网络边界防护 ............................................................. 错误!未定义书签。 信息网络现状............................................................. 错误!未定义书签。 安全域划分方法......................................................... 错误!未定义书签。 安全域边界................................................................. 错误!未定义书签。 二级系统边界...................................................... 错误!未定义书签。 三级系统边界...................................................... 错误!未定义书签。 安全域的实现形式..................................................... 错误!未定义书签。 安全域划分及边界防护............................................. 错误!未定义书签。 安全域的划分...................................................... 错误!未定义书签。 4.信息安全管理建设 ..................................................................... 错误!未定义书签。 建设目标..................................................................... 错误!未定义书签。 安全管理机构建设..................................................... 错误!未定义书签。 安全管理制度完善..................................................... 错误!未定义书签。 5.二级系统域建设 ......................................................................... 错误!未定义书签。 概述与建设目标......................................................... 错误!未定义书签。 网络安全..................................................................... 错误!未定义书签。 网络安全建设目标.............................................. 错误!未定义书签。 地市公司建设方案.............................................. 错误!未定义书签。 主机安全..................................................................... 错误!未定义书签。 主机安全建设目标.............................................. 错误!未定义书签。 主机身份鉴别...................................................... 错误!未定义书签。 访问控制.............................................................. 错误!未定义书签。 安全审计.............................................................. 错误!未定义书签。 入侵防范.............................................................. 错误!未定义书签。 恶意代码防范...................................................... 错误!未定义书签。 资源控制.............................................................. 错误!未定义书签。 应用安全..................................................................... 错误!未定义书签。 应用安全建设目标.............................................. 错误!未定义书签。 身份鉴别.............................................................. 错误!未定义书签。 安全审计.............................................................. 错误!未定义书签。 通信完整性、通信保密性.................................. 错误!未定义书签。 资源控制.............................................................. 错误!未定义书签。
计算机信息系统集成 计算机信息系统集成企业资质认证 法律依据 《国务院对确需保留的行政审批项目设定行政许可的决定》(国务院412号令) 实施主体 工业和信息化部 受理单位 工业和信息化部计算机信息系统集成资质认证工作办公室(简称部资质办) 许可条件: 一、一级资质申请条件 (一)综合条件 1、企业变革发展历程清晰,从事系统集成四年以上,原则上应取得计算机信息系统集成二级资质一年以上; 2、企业主业是系统集成,系统集成收入是企业收入的主要来源; 3、企业产权关系明确,注册资金2000万元以上; 4、企业经济状况良好,近三年系统集成年平均收入超过亿元,财务数据真实可信,并须经国家认可的会计师事务所审计; 5、企业有良好的资信和公众形象,近三年没有触犯知识产权保护等国家有关法律法规的行为。 (二)业绩 1、近三年内完成的、超过200万元的系统集成项目总值3亿元以上,工程按合同要求质量合格,已通过验收并投入实际应用; 2、近三年内完成至少两项3000万元以上系统集成项目或所完成1500万元以上项目总值超过6500万元,这些项目有较高的技术含量且至少应部分使用了有企业自主知识产权的软件; 3、近三年内完成的超过200万元系统集成项目中软件费用(含系统设计、软件开发、系统集成和技术服务费用,但不含外购或委托他人开发的软件费用、建筑工程费用等)应占工程总值30%以上(至少不低于9000万元),或自主开发的软件费用不低于5000万元; 4、近三年内未出现过验收未获通过的项目或者应由企业承担责任的用户重大投诉; 5、主要业务领域的典型项目在技术水平、经济效益和社会效益等方面居国内同行业的领先水平。 (三)管理能力
文档编号: PRMS-2 版本号: V1.0 文档名称:需求分析设计说明书 项目名称:项目申报管理系统 项目负责人:董艳,苏丽,李瑞卿 编写:董艳2009年11月10日 校对:董艳,苏丽,李瑞卿2009年11月10日 审核:董艳,苏丽,李瑞卿2009年11月10日 批准:董艳,苏丽,李瑞卿2009年11月10日 开发单位:西北农林科技大学信息工程学院信管062班
需求规格说明书 1.引言 (3) 1.1编写目的 (3) 1.2项目背景 (3) 1.3定义 (3) 1.4参考资料 (3) 2.任务概述 (4) 2.1目标 (4) 2.2运行环境 (4) 2.3条件与限制 (4) 3.数据描述 (4) 3.1静态数据 (4) 3.2动态数据 (6) 3.3数据库介绍 (6) 3.4数据词典 (6) 3.5数据采集 (9) 4.功能需求 (9) 4.1功能划分 (9) 4.2功能描述 (9) 5.性能需求 (10) 5.1数据精确度 (10) 5.2时间特性 (10) 5.3适应性 (10) 6.运行需求 (10) 6.1用户界面 (10) 6.2硬件接口 (10) 6.3软件接口 (10) 6.4故障处理 (10)
1.引言 1.1编写目的 编写本文档的目的是根据系统分析工程师和客户沟通的结果,对用户需求进行了全面细致的分析,深入描述《项目申报系统》软件的功能和性能与界面,确定该软件设计的限制和定义软件的其他有效性需求。 该需求规格说明书的读者对象是信息工程学院订餐管理系统软件小组的研发工程师、测试工程师、销售工程师,版权归信息工程学院信管062班所有。 1.2项目背景 在计算机日益普及的今天,科技高速发展,国家对科技项目的研究也越来越重视,每年都有很多项目要上报国家或政府,纸制的项目申报报告的审批浪费了大量的人力、物力、财力等资源。 为了适应社会的需求,使市级重点建设项目月报信息统计工作更加科学、规范、高效、简便,我们小组打算开发“项目申报管理系统”。本系统是为方便重点建设项目业主单位报送项目月报,增强申报部门与项目单位间的信息沟通与反馈,了解项目的建设进度及存在问题,协调解决项目建设中存在的前期工作、资金筹措、征地拆迁、建设施工等问题而开发的应用软件管理系统。 项目申报系统PRMS 2.0将会成为一套功能完善的数据管理系统,可以再Windows、linux 系统上顺利运行。根据2009年重点项目申报工作的需要,由西北农林科技大学信息工程学院信管提出开发一套为重点项目申报工作服务的应用系统,于完成之日交付。 1.3定义 项目申报管理系统是指应用电子计算机和相关网络支持,为申报项目的相关人愿提供数据信息管理系统,从而优化项目申报,减少项目申报周期,提高工作质量。 文档中采用的专门术语的定义及缩略词简要如下: PRMS:Project Report Management System,项目申报管理系统。 1.4参考资料 [1]教学提供需求分析设计模板 [2]杨选辉《信息系统分析与设计》北京:清华大学出版社,2007。 [3]王珊,萨师宣。《数据库原理与应用》。北京:高等教育出版社,2003。 [4]耿祥义张跃平。《JSP实用教程》北京:清华大学出版社,2007。
建筑公司计算机信息系统管理制度 第一条:为了保护公司计算机信息系统安全,促进公司计算机应用和发展,根据国家有关法律、法规,结合实际,特制定本制度。 第二条:本规定所称计算机信息系统,是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 第三条:计算机信息系统的安全保护,应当保障计算机及其相关的和配套的设备、设施和运行环境的安全,确保计算机功能的正常发挥,维护计算机信息系统的安全运行,保障信息的安全,预防公司危害计算机信息系统安全的活动。 第四条:任何部门和个人,不得危害计算机信息系统的安全,不得利用计算机信息系统从事危害公司利益及其他组织的活动,不得利用计算机信息系统危害国家安全、泄露国家秘密。 第五条:计算机信息系统使用部门应当建立健全计算机信息系统安全管理制度,负责本部门计算机信息系统的安全保护工作。 第六条:公司综合办公室计算机管理员应对计算机信息系统安全保护工作实行指导、监督,其具体职责: (一)宣传计算机信息系统安全保护法律、法规和规章; (二)检查计算机信息系统安全保护工作; (三)管理计算机病毒和其他有害数据的防治工作; (四)监督、检查计算机信息系统安全专用产品购买活动;
第七条:计算机管理员在对计算机信息系统安全保护工作进行指导、监督中,发现计算机信息系统存在安全隐患,应当及时通知使用部门和个人采取安全保护措施。 第八条:计算机信息系统实行安全等级保护。计算机信息系统使用部门应当根据划定的安全等级,采取相应的安全保护措施。 第九条:根据信息的种类和性质,计算机信息系统处理的信息分为以下四个等级: (一)A级,即密级信息,含绝密信息、机密信息、秘密信息三个等级; (二)B级,即敏感信息; (三)C级,即内部管理信息; (四)D级,即公共信息。 信息等级的具体标准,由公司领导根据有关规定制定。 第十条:计算机信息系统使用部门应当将计算机信息系统处理的信息的种类和性质,采取相应方法进行文件加密等处理。 第十一条:计算机机房建设应当符合计算机防护标准和国家有关规定,应有相应的保密技术防范设备。在计算机机房附近施工或者进行其他活动,不得危害计算机信息系统的安全。 第十二条:任何单位和个人不得从事下列活动: (一)制作、故意传播计算机病毒等破坏性程序和其他有害数据; (二)未经使用部门负责人允许,进入计算机信息系统或者使用计算机信息系统资源;
计算机信息系统安全管理制度 第一章总则 第一条为了保护计算机信息系统的安全,促进信息化 建设的健康发展,根据国家和辽宁省相关规定,结合本院实际,制定本规定。 第二条本院信息系统内所有计算机的安全保护,适用 本规定。 第三条工作职责 (一)每一个计算机信息系统使用人都是计算机安全员,计算机安全员负责本人在用计算机信息系统的正确使用、日常使用维护,发现故障、异常时及时向计算机信息系统管理员报告; (二)计算机信息系统管理员负责院内: 1、计算机信息系统使用制度、安全制度的建立、健全; 2、计算机信息系统档案的建立、健全,计算机信息系统使用情况的检查; 3、计算机信息系统的日常维护(包括信息资料备份, 病毒防护、系统安装、升级、故障维修、安全事故处理或上报等); 4、计算机信息系统与外部单位的沟通、协调(包括计 算机信息系统相关产品的采购、安装、验收及信息交换等);5、计算机信息系统使用人员的技术培训和指导。 (三)计算机信息系统信息审查小组负责局机关计算机信息系统对内、对外发布信息审查工作。
第二章计算机信息系统使用人员要求 第四条计算机信息系统管理员、计算机信息系统信息 审查员必须取得省计算机安全培训考试办公室颁发的计算 机安全培训合格证书,并由局领导任命,在计算机信息系统安全管理方面接受局领导的直接领导。 第五条计算机安全员必须经安全知识培训,经考核合 格后,方可上机操作。 第六条由计算机信息管理员根据环境、条件的变化, 定期组织计算机安全员开展必要的培训,以适应计算机安全防护和操作系统升级的需要。 第三章计算机信息系统的安全管理 第七条计算机机房安全管理制度 (一)计算机机房由计算机信息管理员专人管理,未经计算机信息系统管理员许可,其他人员不得进入计算机房。 (二)计算机房服务器除停电外一般情况下全天候开机;在紧急情况下,可采取暂停联网、暂时停机等安全应急措施。如果是电力停电,首先联系医院后勤部门,问清停电的原因、何时来电。然后检查UPS电池容量,看能否持续供电到院内开始发电。 (三)计算机房服务器开机时,室内温度应控制在17度,避免温度过高影响服务器性能。 (四)计算机房应保证全封闭,确保蚊虫、老鼠、蟑螂等不能进入机房,如在机房发现蚊虫、老鼠、蟑螂等,应及时杀灭,以防设备、线路被破坏。
《国家社科基金项目申报管理信息系统》使用说明 本系统适用于计算机操作系统Windows XP或Windows 2000版本的用户(不支持Windows Vista、Windows7版本),使用对象为基层单位科研管理部门、省(区市)社科规划办及在京委托管理机构,主要功能是录入、汇总和向上级报送申报数据,打印申报数据清单。个人申请者只需填写纸质的《申请书》,不必使用本系统。 一、系统下载、安装及运行 1、将下载的《国家社会科学基金项目申报系统》解压到本机的任意目录。 2、运行setup.exe文件,按系统提示步骤安装。 3、回答本地邮政编码、任一邮件地址。 4、将申报系统安装在系统默认文件目录c:\sbxt 或自定义文件目录中。 5、运行:“开始”→“所有程序”→“申报系统” 二、系统主要功能及操作方法 (一)、录入、修改、删除、查询功能及操作 1、录入 录入分为管理系统录入、磁盘文件录入和接受申报数据邮件三种录入方式。 为减少录入工作量,今年只需录入国家社会科学基金项目申请书“数据表”中的主要数据,不再录入“参加者”、“推荐人”和“课题设计论证”等。 ①用管理系统录入 在主选单“录入”下拉选单中,选择“用管理系统录入”,弹出“项目申报数据录入”对话框,点击“新申报表”按钮,输入项目申请书中“数据表”页的相关项后,点击“确定”按钮。 ②用磁盘文件录入(磁盘文件须为本管理系统录入后导出的文件) 在主选单“录入”下拉选单中,选择“磁盘文件录入”,弹出“项目申报数据文件录入”对话框,点击“浏览”按钮,选择用本管理系统录入后导出的文件,点击“开始录入”按钮。 ③接受申报数据邮件(需要Outlook Express支持) 在主选单“邮件”下拉选单中,选择“接收申报数据邮件”,系统从邮箱中将申报数据文件内容自动导入。 2、修改 先按照“项目负责人姓名”或“课题名称”选择待修改的数据,然后再选择“其它修改”或“学科分类修改”修改方式。 ①其它修改:即显示全部输入项内容,并对相应项修改。 在主选单“修改”下拉选单中,选择“负责人姓名”或“课题名称”,在弹出的对话框中输入待修改数据中项目负责人姓名或课题名称内容,点击“其它修改”按钮。 ②学科分类修改:只可对课题名称、项目类别、学科分类、负责人、计划完成时间、第一预期成果、第二预期成果和申请经费项进行修改。 在主选单“修改”下拉选单中,选择“负责人姓名”或“课题名称”,在弹出的对话框中输入待修改数据中项目负责人姓名或课题名称内容,点击“学科分类修改”按钮。 3、删除 删除有按“负责人姓名”、“课题名称”和“删除所有输入数据”三种方式。可根据选择的数据项,删除一条和全部数据;全部删除功能要审慎使用。 4、查询 查询有按“负责人姓名”和“课题名称”两种方式。浏览时缺省为“典型字段显示”,即显示部分内容。
计算机和信息系统安全保密管理规定 第一章总则 第一条为加强公司计算机和信息系统(包括涉密信息系统和非涉密信息系统) 安全保密管理,确保国家秘密及商业秘密的安全,根据国家有关保密法规标准和中核集团公司有关规定,制定本规定。 第二条本规定所称涉密信息系统是指由计算机及其相关的配套设备、设施构成的,按照一定的应用目标和规定存储、处理、传输涉密信息的系统或网络,包括机房、网络设备、软件、网络线路、用户终端等内容。 第三条涉密信息系统的建设和应用要本着“预防为主、分级负责、科学管理、保障安全”的方针,坚持“谁主管、谁负责,谁使用、谁负责”和“控制源头、归口管理、加强检查、落实制度”的原则,确保涉密信息系统和国家秘密信息安全。 第四条涉密信息系统安全保密防护必须严格按照国家保密标准、规定和集团公司文件要求进行设计、实施、测评审查与审批和验收;未通过国家审批的涉密信息系统,不得投入使用。 第五条本规定适用于公司所有计算机和信息系统安全保密管理工作。 第二章管理机构与职责 第六条公司法人代表是涉密信息系统安全保密第一责任人,确保涉密信息系统安全保密措施的落实,提供人力、物力、财力等条件保障,督促检查领导责任制落实。 第七条公司保密委员会是涉密信息系统安全保密管理决策机构,其主要职责: (一)建立健全安全保密管理制度和防范措施,并监督检查落实情况; (二)协调处理有关涉密信息系统安全保密管理的重大问题,对重大失泄密事件进行查处。 第八条成立公司涉密信息系统安全保密领导小组,保密办、科技信息部(信息化)、 党政办公室(密码)、财会部、人力资源部、武装保卫部和相关业务部门、单位为成 员单位,在公司党政和保密委员会领导下,组织协调公司涉密信息系统安全保密管理工作。 第九条保密办主要职责: (一)拟定涉密信息系统安全保密管理制度,并组织落实各项保密防范措施; (二)对系统用户和安全保密管理人员进行资格审查和安全保密教育培训,审查涉密信息系统用户的职责和权限,并备案; (三)组织对涉密信息系统进行安全保密监督检查和风险评估,提出涉密信息系统安全运行的保密要求; (四)会同科技信息部对涉密信息系统中介质、设备、设施的授权使用的审查,建立涉密信息系统安全评估制度,每年对涉密信息系统安全措施进行一次评审; (五)对涉密信息系统设计、施工和集成单位进行资质审查,对进入涉密信息系统的安全保密产品进行准入审查和规范管理,对涉密信息系统进行安全保密性能检测;(六)对涉密信息系统中各应用系统进行定密、变更密级和解密工作进行审核;(七)组织查处涉密信息系统失泄密事件。 第十条 科技信息部、财会部主要职责是: (一)组织、实施涉密信息系统的规划、设计、建设,制定安全保密防护方案;(二)落实涉密信息系统安全保密策略、运行安全控制、安全验证等安全技术措施;每半年对涉密信息系统进行风险评估,提出整改措施,经涉密信息系统安全保密领导
计算机信息系统管理规定
计算机信息系统管理规定 第一章总则 第一条为进一步规范集团内部信息化管理,提高工作效率,使集团内部信息管理规范化、程序化、迅速快捷; 第二条集团计算机信息系统内容包括:机房、计算机硬件和软件、局域网、网页、集团网站、集团所有信息数据、互联网及其它一切与信息系统有关的使用和管理事项(包括台式计算机、笔记本计算机,服务器、UPS、网络交换机、网络路由器、防火墙、监控服务器、存储介质等)。 第三条集团计算机信息系统由信息科统一管理、维护对使用单位和个人进行业务指导、培训和考核,其它任何单位或个人请按照《计算机信息系统管理规定》使用和管理信息系统。 第四条集团计算机信息系统建设本着“总体规划、分步实施”的原则。系统建设应综合考虑成本费用、效率效果以及先进性和适用性。 第五条本制度只涉及微型以上档次的计算机管理,不包括工业过程控制的计算机管理。 第六条本制度适用集团公司及各事业部和分、子公司(以下简称集团各单位)。 第二章职责权限 第一条信息科负责集团与计算机信息有关的一切日常事务,主要职责:
(一)信息科负责机房和集团计算机信息系统的资产管理等日常事务; (二)负责计算机信息咨询、市场调查、信息系统长远规划,制定、执行、监督并实施信息系统相关规定; (三)负责各类计算机信息政策、信息资料、信息文件的收集与整理; (四)负责网络信息安全,计算机病毒防治,网络运行质量监控等相关事宜; (五)全程参与各类计算机信息系统硬件及其配件的计划、采购、维护和安装; (六)全程参与各类软件的开发、采购、安装及维护和使用指导; (七)制定集团计算机信息产品的使用标准和使用权限,经审批后组织实施; (八)负责集团网页设计、开发或与外单位合作开发集团网站。维护集团网页和网站的日常运作与安全管理,及时更新或提醒更新网页和网站的内容,确保网上内容的新颖性和时效性,监督使用国际互联网; (九)规划组织各类信息技术的咨询和培训,确保集团范围内计算机使用者拥有基本操作技能;并定期组织对集团各单位计算机使用水平的考核; (十)检查、监督集团范围内所有信息设备的管理和使用情况,确保各类信息资源的管理和使用符合集团的
目录 前言.................................... 错误!未定义书签。第一章、公司基础描述. (2) 第二章、总体建设目标 (5) 第三章、基础规划 (5) 第四章、指导原则 (10) 第五章、系统结构和功能 (12) 第六章、关键技术 (16) 第七章、投资预算 (18) 第八章:人员培训和技术援助 (19) 第九章、工程实施与进度计划 (21) 第十章、项目风险分析与控制 (27) 第十一章、效益分析 (33) 编制方案的依据 (38)
第一章、公司基础描述 (公司基本情况介绍,公司发展、业绩、行业地位等等) ***公司在成立初期,公司领导就已经认识到信息技术对企业发展的重要影响,公司领导认为,身为制造业企业实现信息化是参与国际竞争的基本前提;只有实现制造业企业的整体信息化,才能构造整个企业供应链的信息化平台,实现电子商务;并且多次提出制造业企业信息化不是效益工程,而是生存工程。在此指导思想下,公司对信息系统的引入作了大量的准备工作,这包括规范化、标准化工作,专业的信息化应用人才培养、计算机应用技术的普及,企业经营管理模式的优化调整,架构相应的企业文化。计算机信息中心作为信息化建设实施部门,现人员编制为5人。为保证信息系统的有效实施,制定了信息化建设化五年规划信息化建设项目招投标管理办法、信息化建设项目实施管理办法,并于公司签订了信息化建设目标责任书。公司到目前为止已成功实施了:工业园网络系统、企业技术中心CAD系统、办公自动化系统(OA)、财务电算化(用友ERP-U850)、人力资源管理系统(用友NC-HRM)、内外部网站系统等、公司级邮件系统。为后期的信息系统实施奠定了基础。 1、公司工业园区网络系统整体千兆光纤主干、百兆到桌面,信
GB17859-1999计算机信息系统安全保护等级划分准则 1 范围 本标准规定了计算机系统安全保护能力的五个等级,即: 第一级:用户自主保护级; 第二级:系统审计保护级; 第三级:安全标记保护级; 第四级:结构化保护级; 第五级:访问验证保护级。 本标准适用计算机信息系统安全保护技术能力等级的划分。计算机信息系统安全保护能力随着安全保护等级的增高,逐渐增强。 2 引用标准 下列标准所包含的条文,通过在本标准中引用而构成本标准的条文。本标准出版时,所示版本均为有效。所有标准都会被修订,使用本标准的各方应探讨使用下列标准最新版本的可能性。 GB/T 5271 数据处理词汇 3 定义
除本章定义外,其他未列出的定义见GB/T 5271。 3.1 计算机信息系统computer information system 计算机信息系统是由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 3.2 计算机信息系统可信计算基trusted computing base of computer information system 计算机系统内保护装置的总体,包括硬件、固件、软件和负责执行安全策略的组合体。它建立了一个基本的保护环境并提供一个可信计算系统所要求的附加用户服务。 3.3 客体object 信息的载体。 3.4 主体subject 引起信息在客体之间流动的人、进程或设备等。 3.5 敏感标记sensitivity label 表示客体安全级别并描述客体数据敏感性的一组信息,可信计算基中把敏感标记作为强制访问控制决策的依据。 3.6 安全策略security policy 有关管理、保护和发布敏感信息的法律、规定和实施细则。 3.7 信道channel 系统内的信息传输路径。 3.8 隐蔽信道covert channel
计算机信息管理系统基本 情况及功能说明 This model paper was revised by the Standardization Office on December 10, 2020
计算机信息管理系统基本情况及功能说明 山西福康源药业集团有限公司 基本情况 我公司使用的为用友时空医药管理软件。 用友时空在多年流通领域信息化平台研发的基础上,针对当前流通企业在快速发展过程中呈现出的管理模式创新多变、大规模快速扩张、降低运营成本获取规模效益等方面的特征,引入SOA理念,采用“工具平台化、体系架构化”的研发策略设计开发了KSOA流通企业信息融通平台(下文中简称“KSOA平台”)。 KSOA平台面向国内流通企业中高端客户,旨在以面向服务的、集成一体化的信息管理平台支撑流通企业差异化竞争、持续化发展战略的贯彻执行。 KSOA平台涵盖了流通企业经营中的业务职能、财务职能、人力资源管理职能、协同办公职能和决策支持职能等等。包括批发业务系统,连锁业务系统,零售业务系统,仓储管理系统,供应商在线自助系统,客户在线自助系统,网上在线购物系统,财务管理系统,协同办公系统,人力资源管理系统,应用服务系统等核心模块。 本《用户操作手册》对KSOA平台重点介绍包括KSOA平台涉及概念、通用单据操作说明、主要业务流程等内容,内容浅显易懂。用户在启用KSOA管理系统前,须仔细阅读本操作手册,了解各个子系统、各模块及功能情况,并在商品提供商的指导下实施、操作。
北京时空超越科技有限公司致各软件用户:请严格遵照本《用户操作手册》使用,对于因违反操作流程和规范所导致的系统问题,要求时空超越公司提供的任何相关的服务和支持,不列入商品售后服务的免费服务范畴。 对于用户在实际系统操作中所遇到,本《用户操作手册》中未有涉及的相关操作,请与北京时空超越公司技术部取得联系,获得相应解决办法及操作指导。 第一部分:平台整体概述 1.1第一章单据中出现的名词 账:账的概念来源于实际业务处理和企业会计核算方法,其表现形式与会计核算所使用账簿账页格式类似。根据核算对象不同分为商品总账、货位商品账、往来 账等。 货位:是为了明显标出些商品所在的位置,以便规范管理、统计分析、查询分类,货位可以根据用户需要灵活设置,既可以标示商品作在物理位置,也可以标示 商品所在虚拟位置。KSOA平台中货位字段西文名称是“hw”。 批号:是指用于识别“批”的一组数字或字母加数字,用以追溯和审查该批药品的生产历史。KSOA平台中批号字段西文名称是“pihao”。 保质期:的保质期是指商品在条件下的质量保证期限。商品的保质期由提供,标注在限时使用的商品上。在保质期内,商品的生产企业对该商品质量符合有关标 准或明示担保的质量条件负责,销售者可以放心销售这些商品,消费者可以 安全使用。保质期在单据明细项中相应字段是“baozhiqi”字段。 商品淘汰:流通企业在经营过程中,对于因各种原因(如滞销等)不适合销售的商品
GB17859-1999《计算机信息系统安全保护等级划分准则》 发布时间:2009-07-23 作者:国家质量技术监督局 1、范围 本标准规定了计算机信息系统安全保护能力的五个等级,即: 第一级:用户自主保护级; 第二级:系统审计保护级; 第三级:安全标记保护级; 第四级:结构化保护级; 第五级:访问验证保护级; 本标准适用于计算机信息系统安全保护技术能力等级的划分.计算机信息系统安全保护能力随着安全保护等级的增高,逐渐增强. 2、引用标准 下列标准所包含的条文,通过在标准中引用而构成本标准的条文.本标准出版时,所示版本均为有效.所有标准都会被修订,使用本标准的各方应探讨使用下列标准最新版本的可能性. GB/T5271 数据处理词汇 3、定义 出本章定义外,其他未列出的定义见GB/T5271. 3.1 计算机信息系统computer information system 计算机信息系统是由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统. 3.2计算机信息系统可信计算基trusted computing base of computer information system 计算机系统内保护装置的总体,包括硬件、固件、软件和负责执行安全策略的组合体。它建立了一个基体的保护环境并提供一个可信计算系统所要求的附加用户服务。 3.3 客体object 信息的载体。 3.4 主体subject 引起信息在客体之间流动的人、进程或设备等。 3.5 敏感标记sensitivity label
表示客体安全级别并描述客体数据敏感性的一组信息,可信计算基中把敏感标记作为强制访问控制决策的依据。 3.6 安全策略security policy 有关管理、保护和发布敏感信息的法律、规定和实施细则。 3.7 信道channel 系统内的信息传输路径。 3.8 隐蔽信道covert channel 允许进程以危害系统安全策略的方式传输信息的通信信道/ 3.9 访问监控器reference monitor 监控器主体和客体之间授权访问关系的部件。 4 、等级划分准则 4.1第一级用户自主保护级 本级的计算机信息系统可信计算基通过隔离用户与数据,使用户具备自主安全保护的能力。它具有多种形式的控制能力,对用户实施访问控制,即为用户提供可行的手段,保护用户和用户信息,避免其他用户对数据的非法读写与破坏。 4.1.1 自主访问控制 计算机信息系统可信计算基定义和控制系统中命名拥护对命名客体的访问。实施机制(例如:访问控制表)允许命名用户以用户和(或)用户组的身份规定并控制客体的共享;阻止非授权用户读取敏感信息。 4.1.2 身份鉴别 计算机信息系统可信计算基初始执行时,首先要求用户标识自己的身份,并使用保护机制(例如:口令)来鉴别用户的身份,阻止非授权用户访问用户身份鉴别数据。 4.1.3 数据完整性 计算机信息系统可信计算基通过自主完整性策略,阻止非授权用户修改或破坏敏感信息。 4.2 第二级系统审计保护级 与用户自主保护级相比,本级的计算机信息系统可信计算基实施了粒度更细的自主访问控制,它通过登录规程、审计安全性相关事件和隔离资源,使用户对自己的行为负责。 4.2.1 自主访问控制 计算机信息系统可信计算基定义和控制系统中命名用户对命名客体的访问。实施机制(例如:访问控制
信息系统安全运维服务 项目招标需求 供应商资质资格要求: 1、供应商在宁波本地有常驻服务机构(需提供营业执照复印件); 2、供应商应具备中国信息安全认证中心或国家信息安全测评中心或宁波市计算机信息网络安全协会颁发的安全服务资质; 3、供应商应具有两名中国信息安全测评中心认证的注册信息安全工程师(出具社保证明和证书复印件,中标后提供原件); 服务要求: 1、供应商应为本项目组建一个安全运维服务团队,团队成员应由各类信息安全专家、网络专家等组成,标书中应列出团队成员清单并提供相关证书。当驻场工程师不能及时解决问题时应及时给予技术支持。应急响应时间小于1小时,一般安全事件排除时间小于1小时,复杂安全时间排除时间小于4小时; 2、实地驻场一名注册信息安全工程师; 3、全大市约40套安全产品日常管理。要求每天对安全产品的运行状况进行检查,并根据信息系统的安全状况调整安全策略,确保信息系统安全。安全产品包含防火墙、IPS、UTM、上网行为管理,WAF,桌面管理系统,终端入网管理系统,防病毒软件等等; 4、协调各安全产品厂商定期巡检安全产品,在产品故障时及时联系厂商排除故障,确保安全产品正常工作; 5、全大市安全产品日志分析。要求每天对安全产品产生的日志进行交叉比对分析,及时发现并消除安全隐患; 6、全大市约4000台终端电脑安全管理。借助桌面管理系统、终端入网控制系统等管理软件对全大市的电脑终端的安全状况进行跟踪管理,及时发现终端电脑的安全风险,通过调整安全策略及现场、远程协助等方式处理终端出现的安全问题; 7、信息系统安全风险评估。定期对全系统的信息系统安全风险进行评估,并出具评估报告;
信息系统的类型 □信息系统的基本类型 信息系统可以是人工的或基于计算机的,独立的或综合的,成批处理的或联机的。通常的信息系统是上述各种类型的组合。当然它不能即是独 1.独立的系统是为了满足某个特定的应用领域(如,人事管理)而设计 2.综合的信息系统通过它们使用的数据而被综合在一起。系统利用一个资源共享的数据库来达到综合的目的。例如,工资系统要求正常地从人 3.以人工系统为基础已经开发出各种各样的计算机信息系统。到目前为止,在进行人工“计算机化”时,仍然缺乏设计经验和(或)缺少信息服务人员与用户之间的交流。也就是说,基于计算机的系统的工作流程直接借鉴了人工系统的工作流程。通常这些系统是独立的,而且把计算机仅仅用作为数据处理机。在设计这些系 4.信息系统也能按成批处理、联机处理或二者组合来分类。在成批处理系统中,将事务和数据分批地处理或产生报表。例如,银行将大量的支票编码,然后在一天结束时,将所在支票分批、排序并进行处理。又如,为了防止航空公司在塔拉斯一个售票点与在亚特兰大的另一个售票点同时出售从洛杉矶到旧金山的某一航班的最后一张机票,航空公司系统订票必须是联机的,以反映数据库当前的状态。多数联机信息系统也有成批处
即使出现了信息资源管理(IRM)系统,而且计算机信息系统的潜力得 到了广泛的承认之后,大多数系统仍然是独立的成批处理系统。如今这些 系统中多数已经失去了使用价值,而且被重新设计成综合的、联机的系统。通过定义可知,“综合”要求业务领域经理和公司领导密切地合作。信息 服务专业人员可以作为顾问,而有关综合信息系统与业务领域的冲突和差 异则应该由用户团体来解决。解决这些差异以真正实现综合的环境是信息 □社会团体的信息系统 在每个社会团体的每个专业领域都能发现数据处理系统或信息系统 的潜力。下面我们按社会团体列举出这些实行计算机化的专业或应用领域。对于某种程度在专业上相近的系统多数可以综合在一起(例如,工资,会计和人事)。下面给出的清单只是为了说明可能的应用领域,并不包括 1.通用系统:(1)工资 (2)收帐 (3)付帐 (4)总帐 (5)库存管理 和控制 (6)人力资源开发 (7)预算 (8)财务分析 (9)采购 (10)字 2.制造业:(1)定货输入和处理 (2)分配和发送 (3)生产调度 (4) 制造资源计划(MRP,通常又称物料需求) (5)市场分析 (6)计算机辅助 设计(CAD) (7)计算机辅助制造(CAM) (8)项目管理和控制 (9)成本标 3.保健:(1)病人结帐 (2)病房统计 (3)配方(包括药剂的相互影响) (4)护士站调度(5)诊断 (6)入院管理 (7)