GB/Z 38649-2020信息安全技術智慧城市建設信息安全保障指南

ICS35040

L80.

中華人民共和國國家標準化指導性技術文件

GB/Z38649—2020

信息安全技術

智慧城市建設信息安全保障指南

Informationsecuritytechnology—

Guideofinformationsecurityassuranceframeworkforsmartcities

2020-04-28發(fā)布2020-11-01實施

國家市場監(jiān)督管理總局發(fā)布

國家標準化管理委員會

GB/Z38649—2020

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術語和定義

3………………1

縮略語

4……………………2

概述

5………………………2

智慧城市建設信息安全需求

5.1………………………2

智慧城市建設安全保障過程

5.2………………………3

智慧城市建設主要角色安全責任

5.3…………………4

智慧城市建設安全保障機制

6……………4

責任人機制

6.1…………………………4

追溯查證機制

6.2………………………5

監(jiān)督檢查機制

6.3………………………5

應急預案演練與處理機制

6.4…………5

服務外包安全責任機制

6.5……………5

信息安全保障教育培訓機制

6.6………………………6

智慧城市建設全過程安全保障管理

7……………………6

政策制定與審查監(jiān)督

7.1………………6

信息安全保障規(guī)劃

7.2…………………6

信息安全保障需求分析

7.3……………6

信息系統(tǒng)安全保障設計

7.4……………6

信息系統(tǒng)實施安全保障

7.5……………7

信息系統(tǒng)運行維護安全保障

7.6………………………7

信息安全保障優(yōu)化與持續(xù)改進

7.7……………………8

智慧城市建設信息安全保障技術

8………………………8

計算環(huán)境安全保障技術

8.1……………8

區(qū)域邊界安全保障技術

8.2……………9

通信網絡安全保障技術

8.3……………9

應用安全保障技術

8.4…………………10

大數據安全保障技術

8.5………………10

產品與系統(tǒng)安全接口

8.6………………11

安全管理中心技術要求

8.7……………11

附錄資料性附錄智慧城市整體框架與主要特征

A()…………………12

附錄資料性附錄智慧城市風險評估方法和流程

B()…………………15

Ⅰ

GB/Z38649—2020

附錄資料性附錄智慧城市網絡空間安全事件分類分級

C()…………16

附錄資料性附錄信息安全建設內容編制指南

D()……………………18

附錄資料性附錄信息分類分級管理

E()………………19

參考文獻

……………………23

Ⅱ

GB/Z38649—2020

前言

本指導性技術文件按照給出的規(guī)則起草

GB/T1.1—2009。

請注意本文件的某些內容可能涉及專利本文件的發(fā)布機構不承擔識別這些專利的責任

。。

本指導性技術文件由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本指導性技術文件起草單位浙江省經濟信息中心中國電子技術標準化研究院中國信息安全測

:、、

評中心國家信息中心中電長城網際系統(tǒng)應用有限公司中電?？导瘓F有限公司阿里云計算有限公

、、、、

司杭州安恒信息技術有限公司西南科技大學浙江省發(fā)展信息安全測評技術有限公司浙江省標準化

、、、、

研究院浙江省電子產品檢驗所杭州云嘉云計算有限公司成都秦川物聯網科技股份有限公司浙江安

、、、、

科網絡技術有限公司深信服科技股份有限公司浙江鑫諾檢測技術有限公司杭州世平信息科技有限

、、、

公司

。

本指導性技術文件主要起草人吳前鋒上官曉麗王惠蒞杜宇鴿許濤閔京華謝海江張向陽

:、、、、、、、、

黃洪趙一農范淵王勃艷張大江張君陳自力祝利鋒周俊王世晞俞群愛李寧邵澤華張亮

、、、、、、、、、、、、、、

齊同軍劉松國黃曉芹史鋒麥聯韜方洪波趙宏凱黃曉芳涂萬彬

、、、、、、、、。

Ⅲ

GB/Z38649—2020

引言

智慧城市建設是一項復雜的大型系統(tǒng)工程其信息安全問題顯得尤為重要智慧城市以海量信息

,。

運作與創(chuàng)新理念為特征互聯網物聯網云計算移動互聯網等均為其重要支撐因此其信息與網絡乃

,、、、,

至應用終端的安全問題均比一般互聯網的信息安全問題要多包括隱私問題可信問題防偽業(yè)務拒絕

,、、、

侵入與攻擊問題等系統(tǒng)的信息感知層接入與傳送層應用層與終端層智能智慧處理及協(xié)同

(DoS)。、、、/

平臺層等諸多層面存在安全風險云平臺多用戶租用的包括知識產權與隱私權保護等問題給其安全保

;,

障帶來新挑戰(zhàn)設備無人值守自適應管理與自斷自通連接等狀態(tài)也增加了安全系統(tǒng)的設計與實施難

;、、,

度智能物體間進行互相識別互通與交流需要可靠地確保其信息安全性乃至隱私權等而且多元異構

;、,;

互聯分布計算等特性導致其安全體系一體化整合難度很大復雜的社會管理環(huán)境等也帶來諸多突發(fā)性

、,

不安全因素這些不安全因素可能會影響整個城市運行對信息安全保障提出了更高的要求為此需

。,。,

要針對智慧城市的特征從信息安全管理和技術保障等視角給出智慧城市建設全過程信息安全保障規(guī)

,,

范特制定本指導性技術文件

,。

本指導性技術文件可用于智慧城市建設各相關單位有助于信息安全主管部門為智慧城市建設相

,

關單位明確智慧城市建設全生命周期各階段的信息安全保障要求與責任提供指導以保障智慧城市建

,

設主體各方的權益增強抵御風險和自主可控的能力同時可為智慧城市管理工程技術及第三方服務

,,、

等相關人員提供管理和技術參考

。

Ⅳ

GB/Z38649—2020

信息安全技術

智慧城市建設信息安全保障指南

1范圍

本指導性技術文件提供了智慧城市建設全過程的信息安全保障指導包括智慧城市建設從規(guī)劃與

,

需求分析設計實施施工檢測驗收運營維護監(jiān)督檢查與評估到優(yōu)化與持續(xù)改進的全過程信息安全

、、、、、

保障的管理機制與技術規(guī)范

。

本指導性技術文件適用于智慧城市規(guī)劃管理建設運營也可為其他智慧城市建設信息安全相關

、、、,

標準的制定提供依據和參考

。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息技術安全技術信息安全管理體系要求

GB/T22080—2016

信息技術安全技術信息安全控制實踐指南

GB/T22081—2016

信息安全技術網絡安全等級保護基本要求

GB/T22239—2019

信息安全技術術語

GB/T25069—2010

信息安全技術網絡安全等級保護安全設計技術要求

GB/T25070—2019