...........................................................................................8 8.5 认证机构与其客户间的信息交换......................................................................................... ...........................................................................................15 10 认证机构的管理体系要求............................................................................................ 本文件按照 GB/T 1.1—2020《标准化工作导则 第 1 部分：标准化文件的结构和起草规则》的 规定起草。 本文件代替 GB/T 25067—2020《信息技术 安全技术 信息安全管理体系审核和认证机构要 求》。 与 GB/T 25067—2020 相比，主要技术变化如下： ——规范性引用文件中删除了 ISO/IEC 27000（见第 2 章）； ——增加“控制”、“外部环境”、“信息安全”等术语（见第

的依赖越深，技术本身的安全、稳定与可靠就越成为整个体系的“阿喀琉斯之踵”。 此外，数据的真实性核验依然是风控的肯綮。虚构贸易背景、伪造电子单据等欺 诈行为，在数字化外衣的包装下更具迷惑性，对金融机构的穿透式核验能力提出 了更高要求。 再者，数据安全与隐私保护的矛盾日益尖锐。 供应链金融的生命线在于数 据，但数据的汇聚与共享是一柄双刃剑。一方面，我们需要打破“数据孤岛”， 实现信息的有效 的核心理念，将大数据、人工智能、区块链、物联网等技术，深度应用于风险治 理的全流程。 构建这样一套安全体系，绝非单一机构之功，而需产业各方协同共治。它要 求金融机构不断提升自身的科技能力与风险定价水平；要求核心企业承担起“链 主”责任，维护产业链的整体健康；要求科技公司提供安全可靠的技术解决方案； 更要求监管机构以“沙盒监管”等创新方式，在鼓励发展与防范风险间找到最佳 平衡点，完善相关法律法规与行业标准。 的“最后一公里”、跨区域跨行业协同、风险的穿透式管控、数字化基础设施的 完善以及法律法规的适用性等方面仍存在显著的提升空间。如何准确把握国内外 发展大势，正视并系统性解决现存问题，探索未来可持续发展方向，成为业界、 学界及监管机构共同关注的焦点。 本白皮书旨在系统梳理供应链金融的核心概念与主要模式，深入剖析其全球 发展动态与中国本土实践现状。我们不仅关注市场规模的扩张与商业模式的创新， 更着力于探讨前沿技术应用（如区块链、物联网、大数据、人工智能、隐私计算

政策体系的演进脉络，深入分析了 A 股上市公司在环境治理、信息披露、 绿色创新及气候行动等方面的实践进展，重点聚焦数据中心、煤电等重点行业的转型路径，并全面展现公募基金、银行、证券、 保险等金融机构在绿色金融与可持续投资领域的深化探索。我们欣慰地看到，在政策与市场的双轮驱动下，我国绿色信贷与 债券规模已稳居全球首位，ESG 信息披露正从 " 自愿探索 " 迈向 " 规范统一 "，绿色基金、碳金融、转型金融等创新工具多 成为衡量企业可持续发展能力的重要 标尺，也是引导金融资源精准服务实体经济绿色转型的关键抓手。在金融“五篇大文章”的指引下，绿色金融正成为推动实 体经济高质量发展的重要市场化力量，同时也在引导金融机构的创新与高质量转型。作为国内可持续投资的先行者，嘉实基 金已经自主建立具有中国特色的可持续投资模式，在治理架构、投研流程、投研基础设施、产品创新、行业倡议等方面系统 性落实可持续投资理念。依托深厚的 本白皮书立足中国实践，系统梳理了我国绿色转型政策体系的演进脉络，深入分析 A 股上市公司在环境治理、信息披露、绿 色创新及气候行动等方面的实践进展，并全面展现金融机构在绿色金融与 ESG 投资领域的深化实践探索。这一研究成果，有 助于我们深入把握中国绿色可持续发展政策和 ESG 规律，从而更好地发挥专业机构优势、赋能企业绿色转型。我们看到，在 政策与市场的双轮驱动下，我国 ESG 信息披露正从 " 自愿探索 " 迈向 " 规范统一

的标 准和指导。 • 医疗数据信息化：开始医疗机构内部电子病历系统的 应用。《电子病历基本架构与数据标准（试行）》、 《电子病历系统功能规范》、《电子病历系统功能应 用水平分级评价方法及标准》等政策推动整体医疗信 息化发展。互联网医院新业态诞生，医疗服务从线下 向线上延伸。 • 医疗生态智慧化：《进一步推进以电子病历为核心的 医疗机构信息化建设工作》、《国家医疗健康信息医 院信息互联互 明确电子病历整体框架和建设方 案，推动医疗机构内部电子病历 系统应用。 • 发展互联网医院，推广在线问诊 等在线服务。 • 夯实电子病历建设，实现医疗信 息在医疗机构之间、在区域内的 共享和交换。 • 明晰智慧医院定义和标准，加速 智慧医院的建设。 04 中国智慧医疗行业白皮书 05 2021年6月，上海市卫健委发布《上海市“便捷就医服务”数字化转型工作方案》，推动市级医疗机构数字 化转型工作。20 模型，拓宽互联网医院智能客服的服务范围，实现 挂号、就诊、缴费、报销、报告、药品物流查询的全流程客服引导，进一步优化患者就诊流程与体验。 2021年6月，浙江省发改委发布《浙江省医疗服务体系暨医疗机构设置“十四五”规划》，建设智慧互联的 卫生健康服务体系和监管体系。2021年，由阿里健康、熙牛医疗共同打造的“未来医院”信息系统在浙大一 院上线。至此，浙大一院旗下四个临床院区核心信息系统全部搬迁上“云”，各院区信息壁垒逐一打破，实

安全世界 密评是什么？评估对象？评估的是什么？ 合规性 -- 技术 + 产品 + 服务 使用的密码算法、密码协议、密钥管理符合国家法律法规和标准规定，密码 产品或服务经过国家密码管理局核准和认证机构认证合格。 密码算法、密码协议、密钥管理、密码产品或服务使用正确，即按密码相关的 国家和行业标准进行正确设计和实现，密码产品和服务的部署、使用正确。 正确性 -- 正确使用 密码保障系统在系 工作的方针、政策研究提出解决 密码工作发展中重大问题的建议 主要从事密码技术、产品、系统 和管理等方面的标准化工作 商用密码应用安全性评估有关的机构 密评通过与否密评机构说了算， 密码产品改造具有产品推荐权 商用密码应用安全性 评估试点机构 （目前有 48 家单位） 商用密码应用的建设流程 信息系统的密码应用与安全性评估贯穿于系统的规划、建设和运行阶段，实施过程如下图所示： 分析系统现状 根据密码应用 方案进行整改 同步运行 建设单位：分析系统现状，编制密码 应用方案 评估机构：对密码应用方案进行评估。 建设单位：按照通过评估的密码应用 方案建设密码系统； 评估机构：开展商用密码应用安全性 评估初评、复评。 使用单位：定期委托评估机构对系统 开展商用密码应用安全性 评估。 密评该怎么做？ 密评像一个考试

一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益 第一级 第二级 第二级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 密评试点机构目录（全国共 48 家） 密评试点机构目录（全国共 48 家） 密评对象 2 1 重点面向金融、政务等重要 领域中的网络与信息系统 重点面向关键信息基础设施 和网络安全等级保护三级及 以上系统 密评内容 规的规定和密码相关国家标准的强制性 要求使用密码进行保护，同步规划、 同 步建设、同步运行密码保障系统。 任何单位或个人只能使用经国家密码管 理机构认可的商用密码产品，不得使用自行 商用密码管理条例 商用密码产品，必须经国家密码管理机构 指定的产品质量检测机构检测合格。 网络安全等级保护条例 违反本条例有关保密管理和密码管理规定 的，由保密行政管理部门或者密码管理部门 按照各自职责分工责令改正，拒不改正的， 系统项目验收，根据项目特点制定完整的项目验 收方案。验收方案应当包括项目所有功能的实现 情况、密码应用和安全审查情况、信息系统共享 情况、维保功能等采购文件和采购合同规定的内 容，必要时可以邀请行业专家、第三方机构或相 关主管部门参与验收。 政务信息系统政府采 购管理暂行办法 采购需求应当落实国家密码管理有关法 律法规、 政策和标准规范的要求，同步规划、同步 建设、 同步运行密码保障系统并定期进行评估。

................... 75 图 38：英国公共数据开放法律体系建设路径 ................................. 79 图 39：英国的数据管理部门与机构 ......................................... 84 图 40：2020—2030 数智产业规模测算 ............................ .................... 49 表 3：美国布局全球数据传输的相关政策 .................................... 59 表 4：全美著名的数据经纪机构的服务领域和数据库规模 ...................... 61 表 5：英国的数据保护相关法律法规 ........................................ 82 和行业龙头企业主导建设数据交易机构、传统中介服务机构 开展数据业务转型形成等两种方式；数据安全企业培育有静 态安全防护能力增强、传统信息安全和网络安全企业转型而 成等两种方式；数据流通利用设施企业有数据资源企业牵头 建设、数据应用企业牵头建设和数据技术企业牵头建设数据 流通利用设施等三种方式。算力一体化企业有传统数据中心 升级算力调度监测业务、网络传输企业发展算力调度传输业 务、第三方机构开展算力监测业务等三种方式。人工智能企

全存在隐患、法律法规 尚待完善、应用场景价值评估困难等一系列问题，构成了ESG数据资产化进程 中的障碍。如何构建一套切实可行的风险识别、评估与治理体系，是摆在所有市 场参与者，包括监管机构、企业、金融机构、技术服务商面前的共同难题。 基于此，财联社联合清华大学五道口金融学院金融安全研究中心，集结业界 与学界的顶尖智慧，共同撰写本白皮书。我们希望通过系统性的梳理、深度的剖 析与前瞻性的思 ........................................................................................19 6.3 对金融机构与投资者的建议.......................................................................20 4 6.4 结论：迈向一个可信、普惠、可持续的ESG数据新时代 的能源革命，更是一场广泛而深刻的经济社会系统性变革。为支撑这一宏伟目 标，金融体系正经历一场绿色转型。绿色金融的核心任务是将资本精准、高效 地引导至低碳、环保和可持续发展的产业与项目中。这要求金融机构必须具备 识别、评估和管理环境与气候风险的能力，而高质量的ESG数据正是实现这一 能力的基础。 1.3 ESG：从合规要求到价值创造引擎 ESG（环境、社会、公司治理）概念最初进入公众视野时，多被视作企业