5 个级别 《 GB 17859-1999 计算机信息系统安全保护等级划分准则》中定义了 5 个系统级别： 第五级 访问验证保护级 第四级 结构化保护级 第三级 安全标记保护级 第二级 系统审计保护级 第一级 用户自主保护级 信息系统定级 备案 安全建设整改 等级测评 监督检查 等级保护的 5 个规定动作 等级保护相关法律法规 《国家信息化领导小组关于加 强信息安全保障工作的意见》 APT 明御数据库审计 明鉴漏洞扫描 明鉴安全监测 明鉴等保工具箱 应急处置工具箱 全生命周期安全咨询 全生命周期安全服务 等级保护基本要求框架（三级） 安全管理中心 安全通信网络 安全物理环境 物理位置选择 物理访问控制 防盗窃和防破坏 防雷击 防火 防水和防潮 防静电 安全区域边界 安全计算环境 温湿度控制 电力供应 电磁防护 系统管理 审计管理 安全管理 集中管控 集中管控 网络架构 通信传输 可信验证 边界防护 访问控制 入侵防范 安全审计 可信验证 恶意代码和垃圾邮件防范 身份鉴别 访问控制 安全审计 入侵防范 恶意代码防范 可信验证 数据完整性 数据保密性 数据备份恢复 剩余信息保护 技术要求 个人信息保护 安全管理制度 安全策略 管理制度 制定和发布 评审和修订 安全管理机构 岗位设 置 人员配 备 授权和审批 沟通和合作

现行 2020-11-11 5 JR/T 0071.5—2020 金融行业网络安全等级保护实施指引 第 5 部分：审计要求 推荐性行业标准 现行 2020-11-11 6 JR/T 0071.6—2020 金融行业网络安全等级保护实施指引 第 6 部分：审计指引 推荐性行业标准 现行 2020-11-11 7 JR/T 0072—2020 金融行业网络安全等级保护测评指南 明确提出从内到外的攻击检测，新型网络攻击行为 分析 恶意代码和垃圾 邮件防范 二级以下没有垃圾邮件防范要求 安全审计 可信验证 新增要求，各个级别和层面增加了可信验证控制点。 要求级别为“可”而非“应” 分类 安全控制点 备注 安全 计算 环境 身份鉴别 访问控制 安全审计 入侵防范 恶意代码防范 可信验证 新增要求，各个级别和层面增加了可 信验证控制点。要求级别为“可”而非 二、三、四级均要求异地备份（ 34 级异地实时备份）；三级及以上明确 要求系统热冗余 剩余信息保护 个人信息保护 相对等保 1.0 新增要求 安全 管理 中心 系统管理 二级以上有要求 审计管理 二级以上有要求 安全管理 三四级要求 集中管控 三四级要求，相对等保 1.0 新增要求， 明确提出集中监控、管理、日志统一 分析等；日志 6 个月；防病毒和补 丁统一推送；各类网络安全事件进行

防雷击 防火 防水和防潮 防静电 安全区域边界 安全计算环境 温湿度控制 电力供应 电磁防护 系统管理 审计管理 安全管理 集中管控 网络架构 通信传输 可信验证 边界防护 访问控制 入侵防范 安全审计 可信验证 恶意代码和垃圾邮件防范 身份鉴别 访问控制 安全审计 入侵防范 恶意代码防范 可信验证 数据完整性 数据保密性 数据备份恢复 剩余信息保护 技术要求 个人信息保护 件防护 机制的升级和更新。 三级 技术要求 安全区域边界 三级 5 、安全审计  应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对 重要的用户行为和重要安全事件进行审计；  审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及 其他与审计相关的信息；  应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆 盖等；  应能对远程访问 、可信验证 可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信 应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证， 在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安 全管理中心。 三级 技术要求 安全区域边界 添加标题 添加标题 三级 1 、身份鉴别  应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别 信息具有复杂度要求并定期更换；

，因此建议我司采用 ** 集团母公司 • 财务管理 / 资产投资 • 公司发展规划 • 各业务策略 • 监控 / 投资管理 • 收购、兼并 • 公关 • 人才培养 • 法律 • 审计 • 集采集销 • 采购 / 供应链 • 质量与技术管理 • 销售网络 • 人事管理 • 绩效监督 • 业务运营 财务管理模式 战略管理模式 运营管理模式 管理模式 功能和人员配置 • 公关 • 审计 • 人才培养 • 法律 • 市场营销 • 绩效监督 • 监控实施与资源协调 • 财务预算执行和控制 • 业务策略制定与实施 • 各项业务运作的管理和 控制 • 接受总部监督管理 • 财务管理 / 资产投资 • 公司总体发展规划 • 监控 / 投资管理 • 收购、兼并 • 战略制定 • 公关 • 人才培养 • 法律 • 审计 • 营销 • 收益最大化：分红 资本的现金回收 成功实现的产业战略 资源战略性优化配置 杰出的经营者队伍 产品和市场的发展 经营资源共享 经营业绩最优化 财务 规划 投资监控 并购整合和退出 法律 左 + 公关 审计 人才培养 现金管理 左 + 研发 营销 采购物流 渠道建设 人力资源 招商局集团 通用电气、西门子， 上广电 爱立信、中石油、富士康 举例 ** 集团 本部、龙门、内蒙三 大生产基地，从事单

.......................................................................................78 3.5.2 操作审计子系统.............................................................................................82 基础架构的综合监控能力不足，监控的覆盖面还不够全面，监控的效率不够， 实时性不足，需进一步贴近业务应用、IT 架构虚拟化； 3. 缺乏集中、统一的操作访问入口，未建立 IT 设施的全面操作和审计的内控体系， 对设备的操作无法进行记录和审计； 4. 面向运维的流程机制不规范和完善，缺少对运维服务体系的梳理和规划，缺乏面 。 第 6 页 共 120 页 向用户运维流程的进一步衔接和可持续优化； 5. 面向 实现全面、统一的基础设施监控：通过集中展现和告警的方式进行统一管理，从 整体上全面、快速了解系统当前的运行状态。帮助运维人员快速定位故障，保障在最短的 时间内恢复业务系统运行； 3. 建立全面操作审计体系：建立集中的、统一的操作访问入口，建立访问、操作策 略，实现统一访问、集中操作、操作过程监控、操作记录留档； 4. 规范化运维服务流程：基于 ITIL 流程和理念，建立合适的工作流程，合理安排人

数据 质量 元 数据管理 数据 地图 数据 资产 数据安全 权限管 理 安全接 入 数据加 解密 数据分 级 日志 审计 统 认证 共享开放 服务 数据 质量 元 数据管理 数据 地图 数据 资产 数据安全 权限管 理 安全接 入 数据加 解密 数据分 级 日志 审计 统 认证 共享开放 服务 数据 质量 元 数据管理 数据 地图 数据 资产 数据安全 权限管 理 安全接 入 数据加 解密 数据分 级 日志 审计 统 认证 共享开放 服务

一级框架 二级框架 • 管控效果评估 管 控 目 标 输 出 结 果 三级框架 • 集团管控流程 / 制度 • 集团管理控制系 统 ( 财务、审计、 人力资源…… ) 管控体系设计的主体 • 集团组织设计是管控体系设计的一个承上启下的环节 , 是管控模式落 地以及管控体系设计的基础 • 管控模式设计是组织设计与权责划分的前提与依据 管控体系设计的主体 多种不相关产业的投资运作 非战略发展的重点企业 自身发展处于成熟、稳定的 时期的企业 管理手段 财务控制 企业并购 审计 / 法律 财务控制 战略规划控制 核心人力资源 审计 / 纪检 / 法律 战略控制 投资控制 财务控制 审计 / 纪检 / 法律 核心人力资源 飞 机 业务运营调控 下属企业条件成熟时 , 集团能够采取财务管理型的管控模式 集团管控模式与人力资源管控特征 人才培养 • 法律 • 审计 • 集团营销 • 技术 / 研发 • 采购 / 物 流 • 销售网络 • 人事管理 投资管理型 战略管理型 操作管理型 管理模式 功能和人员配置 集分权 分权 集权与分权相结合 集权 • 财务 / 资产 • 集团规划 /SBU 战略 • 监控 / 投资管理 • 收购、兼并 • 公关 • 人才培养 • 法律 • 审计 • 集团营销 • 现金

....................................................................................78 6.3 数据访问控制与审计................................................................................................... 在数据安全性方面，中医药健康产业面临严峻挑战。由于医疗 数据涉及个人隐私，数据泄露或滥用可能带来严重的法律和社会风 险。目前，大部分中医药机构的数据安全管理机制尚不完善，缺乏 统一的安全标准和防护措施。数据加密、访问控制、日志审计等安 全措施在大部分机构中仍处于初级阶段，难以有效应对日益复杂的 网络攻击和数据泄露风险。  数据来源广泛，格式不统一  中医药数据多为非结构化，传统数据库难以处理  数据量指数级增长，现有处理能力不足 以下是一些具体的实施建议：  建立专门的数据安全管理团队，负责制定和执行数据安全策 略。  定期开展数据安全培训，提高员工的安全意识和操作技能。  与第三方安全机构合作，进行定期的数据安全审计和风险评 估。  采用区块链技术，确保数据的不可篡改性和可追溯性，特别是 在药材供应链管理中。 最后，法律法规的遵守是数据安全与隐私保护的根本保障。中 医药健康产业应严格遵守《中华人民共和国网络安全法》《个人信

香港版报表的 取数公式与国 内版报表相同 完整账簿方案：适用于数量小，差异大的多账簿应用。 优点： 1 ）从报表可追溯到总账明细 2 ）报表 公司设置简单 缺点：无法提供准则差异调整数，不符合有些境外审计的要求 借：待摊 100 贷：现金 100 借：待摊 0 贷：现金 0 香港准则不确 认待摊业务 yonyou software Co., Ltd. 总账多账簿方案二：差异账簿 Co., Ltd. 背景—— 511 怀柔会议 2013 年 5 月 10-11 日，审信标委在审计署怀柔培训基地召开了贯彻《关于 进一步加强政务部门信息共享建设管理的指导意见》（以下简称《指导意 见》）研讨会。 会议以如何推动实施会计核算软件数据接口国家标准为主题展开了讨论。 参加会议的有审计署企业司、计算中心、法规司、国家标准委、国资委、 电子技术标准化研究院、重庆理工大学，以及国开投、一汽、中远、中国 、微昂科技等企业。会议由审信标 委秘书长、审计署计算中心杨蕴毅副主任主持。 审计署将推广此标准，审计长已经在政协提案了．对于被审计单位 （目前主要是央企），如果使用的软件不符合此标准，将做为审计 事件通报，并限期整改（意味着不符合标准的软件将被替换）． yonyou software Co., Ltd. 背景—— 511 怀柔会议结论 3 、从今年开始，在实施企业审计中，如发现被审计单位使用的会计软 件不符

（各级）采购决策机构  职权明确、决策层管方向和策略、平台层管资源和商务、执行层负责日常管理、监督层负责过程和结果监控 商务团队 跨部门 小组 商务 团队 技术 部门 需求 部门 运作团队 审计部门 运作团队 26 2.4 采购决策组织架构－总部 & 事业部／区域 注： 1. 集团采委会和各决策团队成员以公司任命为准。 2. 一集集团、二级各业务模块，针对公司重大和各类别重大 / 框 采购管理委员会保有直接介入采购业务的权力。 7. 分层对重要、高风险采购业务进行决策，确保采购的合理性和科学性，保障公司采购业务运作安全有效。审批总体采购策略和采购规划，监控 采购执行过程；推动业务和流程审计。 8. 采购业务中内部部门间协调，如采购、售前、研发、交付等，从公司整体利益出发做出决策； 借鉴领先企业（华为（集成方案交付型）、联想（产品型）、小米（重产品轻交付型）、中建系（工程交付型）的组织设计实践，为实现采购体系价 协调相关部门处理生产、品质、市场等重大物料问题； 6.依据采购流程，参与供应商的认证和选择决策。 38 采购运作团队： 1.履行采购招标集中管理和监控职责； 2.采购业务数据收集和分析； 3.应付账款对账和结算； 4.采购内部业务审计及流程优化；采购人员行为准则的制定和落实监控 ，统一受理供应商及内部对采购的投诉； 5.提供文档管理、数据管理、信息维护等业务支持； 6.采购培训体系建设和技能提升支持； 2.10 采购组织 & 人力资源规划