第二级（指导保护） 第三级（监督保护） 第四级（强制保护） 第五级（专控保护） 重要业务系统与承 载业务运行的网络、 设备、系统及单位 属性、遭到破坏后 所影响的主、客体 关系等。 测评：公安部备案的具有测评资质的机 构。 安全产品：等保三级以上系统，应优先 考虑国内安全产品，除非国外安全产品 无法使用国内产品替代时，才允许使用 国外安全产品。 二级→ 每 2 年 （建议） 三级以上 → 等级保护与分级保护区别 等级保护 测评周期 受侵害的客体 对响应客体的侵害程度 一般损害 严重损害 特别严重损 害 公民、法人和其他组织的合法权益 第一级 第二级 第三级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 《网络安全等级保护条例》 2.0 等级保护安全框 架 等级保护的基本要求、测 评要求和安全设计技术要 求框架统一，即：安全管 理中心支持下的三重防护 应安装对水敏感的检测仪表或元件，对机房进行防水检测和报警 • 应采取措施防止静电的产生，例如采用静电消除器、佩戴防静电手环 等 • 应设置冗余或并行的电力电缆线路为计算机系统供电 • 应对关键设备实施电磁屏蔽 三级 技术要求 应保证网络各 个部分的带宽 满足业务高峰 期需要 应保证网络设 备的业务处理 能力满足业务 高峰期需要 重要网络区域 与其他网络区 域之间采取可 靠的技术隔离 手段 应提供通信线

2019 年教育信息化和网络安全工作要点》的通知（教技厅〔 2019 〕 2 号） 7 第 5页 目前已有行业出现了刚性政策文件 医疗行业，卫建委明确要求如要申报三级医院资质，医院 HIS ， LIS 等关键 信息系统必须过三级等保。 教育行业，明确要求全面推行信息安全等保工作。 财政明确做好信息系统安全等级保护定级、测评、整改以及网络安全保障 等工作。 交通行业，根据等保技术要求，按照等保二级标准进行整改、建设。 亿元。服务端：等保咨询服务体量将暴增，新增市场空间 59 亿元。 市 场 分 析 国内安全市场洞察分析 第 6页 行业 行业指导意见 重点突破单位 优先级 医疗卫生 《卫生行业信息安全等级保护工作的指导意见》《三级综合医院 评审标准考评办法》 卫健委、医院、医疗 单位 ★★★★★ 政府单位 《电子政务信息安全等级保护实施指南 ( 试行 ) 》 政府单位、公检法司 ★★★★★ 教育 《教育行业信息系统安全等级保护定级工作指南（试行）》 贵阳市第一人民医院内网终端威胁防御系统及医院 网络安全加固、三级等保建设采购项目 217.6 万元 2020-12-29 长顺县医疗集团中心医院信息系统安全等级保护测 评软件和硬件设备采购项目 152 万元 2020-12-29 正安县卫生健康局采购信息平台三级等保项目 100 万元 2020-12-21 湄潭县财政局网络安全三级等级保护项目 110 万元 2020-12-18 云岩区人民医院网络安全等级保护采购项目

和重要信息系统的安全。 等级保护的 5 个级别 《 GB 17859-1999 计算机信息系统安全保护等级划分准则》中定义了 5 个系统级别： 第五级 访问验证保护级 第四级 结构化保护级 第三级 安全标记保护级 第二级 系统审计保护级 第一级 用户自主保护级 信息系统定级 备案 安全建设整改 等级测评 监督检查 等级保护的 5 个规定动作 等级保护相关法律法规 《国家信息化领导小组关于加 评价、社会治安综合治理 考核等。 受侵害的客体 对响应客体的侵害程度 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益 第一级 第二级 第三级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 关键信息基础设施安全保护条例 第十八条 下列单位运行、管理的网络设施和信息系统，一旦遭到破坏、丧失功能或者 数据泄露，可能严重危害国家安全、国计民生、公共利益的，应当纳入关键 ■基础信息网络 ■ 云计算平台 ■工业控制系统 ■ 物联网系统 ■移动互联网 ■大数据平台 测评周期的变化  第三级系统每年一次  第四级系统每半年一次  第三级以上系统每年一次 测评结果的变化  60 分以上基本符合  75 分以上基本符合 等级保护控制层面的变化  安全控制层面划分上有较大变化 , 从传统 IT 防护变为体系化防护。

11 三级总监 三级经营总监 三级业务专家 总监 / 总经理助理 三级总工程师 10 一级部长 一级区域经理 一级业务经理 一级部长（厂长） 一级高级工程师 9 二级部长 / 一级副 部长 二级区域经理 / 一级 大客户经理 二级业务经理 一级副部长（厂长） / 二级 部长（厂长） 二级高级工程师 8 二级副部长 二级大客户经理 三级业务经理 二级副部长（厂长） 三级高级工程师 九、集团总部的领导手段 9.1 授权手段应用 9.2 要实现我司总部的定位职能，需要在企业运作中理清母子公司之间的责权划分 9.3 责权划分的原则 9.4 集团总部及权属公司职权定义 9.5 三级审批权责划分 9.6 权责的设定 • 只向直接的下一层次授权 • 该授权在战略经营业绩指标上是否有重大意义？授权后，在操作上会受到哪些影响？ • 授权需有具体的任务和责任描述 • 授权是把有关决定能力下放 拟订或提请，表示符号为“①”；审核或复核，表示符号为“②”；批准，表示符号为“③”；会签或 备案，表示符号为“ H” 9.4 集团总部及权属公司职权定义 • 在集团和各下属业务单元类管理活动中均实行三级审批规定，其中“拟订和提请”为第三级，“审核和复核”为第 二级，“批准”为第一级。一、二级具有否决权。 • 在行政线批准前，需要报多个专业条线职能部门的为“会签”，只需报单一对口专业条线职能部门的为“备案”。

.................................................................................. 25 表 3 AI CRM 三级权重指标设置建议 ....................................................................... 52 表 4 两种典型企业类型的权重分配建议 议及整改方案实施等。对国际标准，需支持并通过 ISO 27001 信息安 全管理体系、ISO 27701 隐私信息管理体系及 ISO 27017 云服务安全 管理等认证；对国内标准，需通过国家信息安全等级保护三级认证以 及 CCRC 移动应用安全认证，以确保在不同业务及地域环境下的合 规适配性。 2）隐私控制 隐私控制确保在数据全生命周期有效避免个人隐私泄漏，并保障 用户对个人信息的知情权与控制权。该能力需支持数据脱敏，例如对 一是分层权重设置。建议采用三级权重体系，分别对“核心评估 维度”（一级指标）、各维度下的“评估模块”（二级指标）以及各模块 下的细分评估项（三级指标）进行权重分配。其中，一级指标包含四 大核心评估维度，即：技术架构与 AI 能力、功能完备性与场景适配 度、数据治理与安全合规性、服务支持与生态开放性。下表为三级指 标设置建议。 表 3 AI CRM 三级权重指标设置建议 一级指标

的关联关系： 通过系统建立起内控、风险两者之间建立起相互更新提醒的机制，形成良性可持续更新的机制。 建立起基于流程的风险、内控、制度之间的数据关联 风险库 一级风险 二级风险 三级风险 风险事件 实现制度条款、风险点、控制点的关联 从内控的视角 从风险的视角 业务执行过程定义 • 风险识别 • 风险分析 • 风险评价 • 风险应对 风险管理 • 控制识别 • 矩阵管理 以流程为管理基础，一个一级流程明确一个主责部门；后续系统中任务的筛选、派 发、统计都以流程为第一选择维度 集团统一一套风险分类框架，在以风险事项为评估对象的前提下，可以实现各级单 位评估分数的层层汇总，得到全集团的三级风险、二级风险、一级风险的排序 亮点分析 目录 CONTENTS 需求理解及建设思路 业务架构及功能方案 系统技术架构设计 项目实施及服务 风险管理及内部管理信息系统功能架构 汰和更换名单，对供应商名单进行审核与更新；并 按照公司的统一规范，对供应商等级进行细分，对 不同信用等级进行细分，对不同信用等级的供应商 进行分类管理。 一级风险： 运营风险 二级风险： 采购风险 三级风险 供应商管理风险 风险事件 控制措施 流程框架 风险分类框架 采购订单准时完成率 发出的订单总数是指经过供应 商确认过的订单数；准时完成 订单数是指供应商按照约定的 发货或到货时间，或超出时间

采购到付款 三级 采购物控业务流程框架 （ 1/2 ） 5.4 采购商务 & 招投标 管理 5.2 供应商管理 5.1 策略制定 5.5 采购控制 5.6 采购执行 5.3 采购计划管理 采购询比价议 价流程 5.7.1 标准采购流程 5.7.3 委外采购流程 5.7.4 公司间采购流 程 5.3.2 战略物资采购 计划流程 二级流程 11 个，三级流程 81 个 5.2.1 新供应商开发 流程 5.2.2 供应商扩点流 程 5.6.1 价格维护流程 5.6.2 配额维护流程 5.2.6 供应商淘汰流 程 5 采购到付款 三级 5.7 库存管理 采购物控业务流程框架 （ 2/2 ） 5.8 产品质量管理 5.10 主数据管理 5.9 物流管理

采购到付款 三级 采购物控业务流程框架 （ 1/2 ） 5.4 采购商务 & 招投标 管理 5.2 供应商管理 5.1 策略制定 5.5 采购控制 5.6 采购执行 5.3 采购计划管理 采购询比价议 价流程 5.7.1 标准采购流程 5.7.3 委外采购流程 5.7.4 公司间采购流 程 5.3.2 战略物资采购 计划流程 二级流程 11 个，三级流程 81 个 5.2.1 新供应商开发 流程 5.2.2 供应商扩点流 程 5.6.1 价格维护流程 5.6.2 配额维护流程 5.2.6 供应商淘汰流 程 5 采购到付款 三级 5.7 库存管理 采购物控业务流程框架 （ 2/2 ） 5.8 产品质量管理 5.10 主数据管理 5.9 物流管理

产品生命周期管理 产品规划 产品方案设计 技术设计 产品线企划 产品试产 技术路线制定 技术路线执行 技术方案发布 / 转 化 项目管理 示例 企业 1-3 级流程框架搭建 对标华为三级流程以及端到端协同的业务价值流：以最简单、最有效方式，实现从市场洞察到客户的“端到端”流程贯通，确 保业务驱动系统建设，流程赋能业务，组织建在流程上，能力建在组织上，目标牵引能力建设，市场洞察决定目标设定。 技工 初做 者 Ｔ 1 助理工 程师 P1 助理 S1 员 O1 操作 工 高层管 理者 初做者 有经验 者 骨干 资深 基层管 理者 中层管 理者 专家 五级 四级 三级 二级 一级 管理通道 专业通道 职业发展双通道 SAMPLE 2.1 基于职位分类分级，建立管理和专业职业发展双通道 主要 维度 维度 分解 及 描述 重点 任职资格框架 选择最合适的解决方案。 能力素质 层级要求 PM1 PM2 PM3 PM4 PM5 有效沟通 二级 二级 三级 四级 四级 组织协调 一级 二级 三级 四级 四级 计划执行 一级 二级 三级 四级 四级 团队管理 一级 二级 三级 四级 四级 积极主动 一级 二级 三级 四级 四级 SAMPLE 2.5 细化每项能力素质分级描述，明确能力素质胜任要求 任职资格 认证动员 任职资格

口，通过安全审计对异常调用进行监 控 数据安全场景 数据安全定级：安全等级由低到高分 为三级。 一级信息：不具安全敏感度， 可公开发布和自由获取的信息； 二级 信息：不能够单独或与其他信息结合 识别自然人个人身份的信息及企业内 部可公开的相关信息；三级信息： 个 人隐私信息 数据加解密：加密后数据与秘钥分开 存 放， 且秘钥与数据加密方式不同。