GB/Z 38649-2020信息安全技术智慧城市建设信息安全保障指南

ICS35040

L80.

中华人民共和国国家标准化指导性技术文件

GB/Z38649—2020

信息安全技术

智慧城市建设信息安全保障指南

Informationsecuritytechnology—

Guideofinformationsecurityassuranceframeworkforsmartcities

2020-04-28发布2020-11-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/Z38649—2020

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

缩略语

4……………………2

概述

5………………………2

智慧城市建设信息安全需求

5.1………………………2

智慧城市建设安全保障过程

5.2………………………3

智慧城市建设主要角色安全责任

5.3…………………4

智慧城市建设安全保障机制

6……………4

责任人机制

6.1…………………………4

追溯查证机制

6.2………………………5

监督检查机制

6.3………………………5

应急预案演练与处理机制

6.4…………5

服务外包安全责任机制

6.5……………5

信息安全保障教育培训机制

6.6………………………6

智慧城市建设全过程安全保障管理

7……………………6

政策制定与审查监督

7.1………………6

信息安全保障规划

7.2…………………6

信息安全保障需求分析

7.3……………6

信息系统安全保障设计

7.4……………6

信息系统实施安全保障

7.5……………7

信息系统运行维护安全保障

7.6………………………7

信息安全保障优化与持续改进

7.7……………………8

智慧城市建设信息安全保障技术

8………………………8

计算环境安全保障技术

8.1……………8

区域边界安全保障技术

8.2……………9

通信网络安全保障技术

8.3……………9

应用安全保障技术

8.4…………………10

大数据安全保障技术

8.5………………10

产品与系统安全接口

8.6………………11

安全管理中心技术要求

8.7……………11

附录资料性附录智慧城市整体框架与主要特征

A()…………………12

附录资料性附录智慧城市风险评估方法和流程

B()…………………15

Ⅰ

GB/Z38649—2020

附录资料性附录智慧城市网络空间安全事件分类分级

C()…………16

附录资料性附录信息安全建设内容编制指南

D()……………………18

附录资料性附录信息分类分级管理

E()………………19

参考文献

……………………23

Ⅱ

GB/Z38649—2020

前言

本指导性技术文件按照给出的规则起草

GB/T1.1—2009。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任

。。

本指导性技术文件由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本指导性技术文件起草单位浙江省经济信息中心中国电子技术标准化研究院中国信息安全测

:、、

评中心国家信息中心中电长城网际系统应用有限公司中电海康集团有限公司阿里云计算有限公

、、、、

司杭州安恒信息技术有限公司西南科技大学浙江省发展信息安全测评技术有限公司浙江省标准化

、、、、

研究院浙江省电子产品检验所杭州云嘉云计算有限公司成都秦川物联网科技股份有限公司浙江安

、、、、

科网络技术有限公司深信服科技股份有限公司浙江鑫诺检测技术有限公司杭州世平信息科技有限

、、、

公司

。

本指导性技术文件主要起草人吴前锋上官晓丽王惠莅杜宇鸽许涛闵京华谢海江张向阳

:、、、、、、、、

黄洪赵一农范渊王勃艳张大江张君陈自力祝利锋周俊王世晞俞群爱李宁邵泽华张亮

、、、、、、、、、、、、、、

齐同军刘松国黄晓芹史锋麦联韬方洪波赵宏凯黄晓芳涂万彬

、、、、、、、、。

Ⅲ

GB/Z38649—2020

引言

智慧城市建设是一项复杂的大型系统工程其信息安全问题显得尤为重要智慧城市以海量信息

,。

运作与创新理念为特征互联网物联网云计算移动互联网等均为其重要支撑因此其信息与网络乃

,、、、,

至应用终端的安全问题均比一般互联网的信息安全问题要多包括隐私问题可信问题防伪业务拒绝

,、、、

侵入与攻击问题等系统的信息感知层接入与传送层应用层与终端层智能智慧处理及协同

(DoS)。、、、/

平台层等诸多层面存在安全风险云平台多用户租用的包括知识产权与隐私权保护等问题给其安全保

;,

障带来新挑战设备无人值守自适应管理与自断自通连接等状态也增加了安全系统的设计与实施难

;、、,

度智能物体间进行互相识别互通与交流需要可靠地确保其信息安全性乃至隐私权等而且多元异构

;、,;

互联分布计算等特性导致其安全体系一体化整合难度很大复杂的社会管理环境等也带来诸多突发性

、,

不安全因素这些不安全因素可能会影响整个城市运行对信息安全保障提出了更高的要求为此需

。,。,

要针对智慧城市的特征从信息安全管理和技术保障等视角给出智慧城市建设全过程信息安全保障规

,,

范特制定本指导性技术文件

,。

本指导性技术文件可用于智慧城市建设各相关单位有助于信息安全主管部门为智慧城市建设相

,

关单位明确智慧城市建设全生命周期各阶段的信息安全保障要求与责任提供指导以保障智慧城市建

,

设主体各方的权益增强抵御风险和自主可控的能力同时可为智慧城市管理工程技术及第三方服务

,,、

等相关人员提供管理和技术参考

。

Ⅳ

GB/Z38649—2020

信息安全技术

智慧城市建设信息安全保障指南

1范围

本指导性技术文件提供了智慧城市建设全过程的信息安全保障指导包括智慧城市建设从规划与

,

需求分析设计实施施工检测验收运营维护监督检查与评估到优化与持续改进的全过程信息安全

、、、、、

保障的管理机制与技术规范

。

本指导性技术文件适用于智慧城市规划管理建设运营也可为其他智慧城市建设信息安全相关

、、、,

标准的制定提供依据和参考

。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

信息技术安全技术信息安全管理体系要求

GB/T22080—2016

信息技术安全技术信息安全控制实践指南

GB/T22081—2016

信息安全技术网络安全等级保护基本要求

GB/T22239—2019

信息安全技术术语

GB/T25069—2010

信息安全技术网络安全等级保护安全设计技术要求

GB/T25070—2019