管理审计

　　广联达软件股份有限公司成立于1998年，是国内建设工程领域信息化服务产业的领军企业。公司信守“真诚、务实、创新、服务”的核心价值观，持续为建设工程领域提供最有价值的信息产品与专业服务，助力行业信息化发展。在发展历程中，公司逐步确立了“引领建设工程领域信息化服务产业的发展，为推动社会的进步与繁荣做出杰出贡献”的企业使命，走上了专业化、服务化、国际化的发展道路。公司于2010年5月在深圳中小企业板成功上市（股票简称：广联达，股票代码：002410），成为建设工程领域信息化产业首家上市软件公司。 公司立足建设工程领域，围绕工程项目的全生命周期，为客户提供以工程造价为核心，以工程项目（综合）管理为主体的软件产品和企业信息化整体解决方案。切实帮助客户提高工作效率，提升管理水平，增强企业核心竞争力，进而提高企业效益，最终推动行业整体的管理进步。十余年来，公司产品从单一的预算软件发展到工程造价管理、项目管理、招投标管理、教育培训等30余个产品，并被广泛应用于建筑设计、施工、审计、咨询、监理、房地产开发等行业及财政审计、石油化工、邮电、电力、银行审计等系统。在举世瞩目的东方广场、奥运鸟巢、国家大剧院等工程中，公司产品得到了深入应用，并赢得了用户的好评。 　　公司已建立近40家分支机构，销售与服务网络覆盖全国32个省市地区，现有员工2000余人；企业用户数量达到10万余家

一、等级保护内容框架 技术要求：物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复 管理要求：安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理 二、等级保护二、三、四级内容 四级等保要求 三级等保要求 二级等保要求 8.1技术要求 8.1.1物理安全 8.1.1.1物理位置的选择 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。 b) 机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁 8.1.1.2物理访问控制 并配置电子门禁系统 ，控制、鉴别和记录进入的人员 b) 需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围； d) 重要区域应配置第二道电子门禁系统，控制、鉴别和记录进入的人员 8.1.1.3 防盗窃和防破坏 b) 应将设备或主要部件进行固定，并设置明显的不易除去的标记； c) 应将通信线缆铺设在隐蔽处，可铺设在地下或管道中； d) 应对介质分类标识，存储在介质库或档案室中； e) 应利用光、电等技术设置机房防盗报警系统 f) 应对机房设置监控报警系统。 8.1.1.4 防雷击 b) 应设置防雷保安器，防止感应雷； c) 机房应设置交流电源地线。 8.1.1.5 防火（G4） 机房应设置灭火设备和火灾自动报警系统。 b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料； c)

系统设计的三员管理 一、“三员”职责 系统管理员：主要负责系统的日常运行维护工作。包括网络设备、安全保密产品、服务器和用户终端、操作系统数据库、涉密业务系统的安装、配置、升级、维护、运行管理；网络和系统的用户增加或删除；网络和系统的数据备份、运行日志审查和运行情况监控；应急条件下的安全恢复。 安全保密管理员：主要负责系统的日常安全保密管理工作。包括网络和系统用户权限的授予与撤销；用户操作行为的安全设计；安全保密设备管理；系统安全事件的审计、分析和处理；应急条件下的安全恢复。 安全审计员：主要负责对系统管理员和安全保密员的操作行为进行审计跟踪、分析和监督检查，及时发现违规行为，并定期向系统安全保密管理机构汇报情况。 二、“三员”配置要求 1、系统管理员、安全保密管理员和安全审计员不能以其他用户身份登录系统;不能查看和修改任何业务数据库中的信息；不能增删改日志内容。 2、涉密信息系统三员应由本单位内部人员担任，要求政治上可靠，熟悉涉密信息系统管理操作流程，具有较强的责任意识和风险防控意识；并签署保密承诺书。 3、系统管理人员和安全保密管理人员可由信息化部门专业技术人员担任，对于业务性较强的涉密信息系统可由相关业务部门担任；安全审计员根据工作需要由保密部门或其他能胜任安全审计员工作的人员担任。 4、同一设备或系统的系统管理员和安全审计员不能由同一人兼任