智慧城市安全体系框架样本.doc

1、 智慧城市安全体系框架 15 2020年4月19日 文档仅供参考，不当之处，请联系改正。 1　 智慧城市安全体系框架 智慧城市安全体系框架以安全保障措施为视角，从智慧城市安全战略保障、智慧城市安全技术保障、智慧城市安全管理保障、智慧城市安全建设运营保障和智慧城市安全基础支撑五个方面给出了智慧城市安全要素，如图1所示。 图1　 智慧城市安全体系框架 a) 智慧城市安全战略保障 智慧城市安全战略保障要素包括国家法律法规、政策文件及标准规范。经过智慧城市安全战略保障能够指导和约束智慧城市的安全管理、技术与建设运营活动。 b) 智慧城市安

2、全管理保障 智慧城市安全管理保障是实现智慧城市协调管理、协同运作、信息融合和开放共享的关键。本标准参考了信息安全管理体系并结合智慧城市特征，梳理出智慧城市安全管理要素，包括决策规划、组织管理、协调监督、评价改进。 c) 智慧城市安全技术保障 智慧城市安全技术保障以建立城市纵深防御体系为目标，从物联感知层、网络通信层、计算与存储层、数据及服务融合层以及智慧应用层五个层次采用多种安全防御手段实现对系统的防护、检测、响应和恢复，以应对智慧城市安全技术风险。智慧城市安全技术保障的功能要素包括防护、检测、响应和恢复。 —— 物联感知层安全涉及了关键信息基础设施领域，例如，天气、水、电、气、交通、

3、建筑等重要控制系统中感知设备和执行设备的安全。 · 感知设备安全是保证智慧城市应用于实现基础设施、环境、设备和人员的识别和信息采集与监控的设备，保证信息采集安全，实时为上层提供准确感知数据。 · 执行设备安全是保证应用于智慧城市的基础设施、环境、设备和人员等要素管理和控制过程的执行设备按照既定的指令提供正常的功能。 —— 网络通信层安全包含了互联网、电信网、卫星通信网络以及多网融合的网络设施和通信传输的安全，还包含了智慧城市用户网络接入安全。 —— 计算与存储层安全包括计算资源安全、软件资源安全以及存储安全。 · 计算资源安全是指可提供数据计算能力物理的计算机、服务器设备和虚拟化安全

4、 · 软件资源安全是指可为上层数据和应用提供公共服务能力的基础软件，包括操作系统、数据库系统、中间件和资源管理软件等的安全。 · 存储资源安全是指可提供物理和虚拟的数据存储和数据保护能力的服务器安全。 —— 数据及服务融合层安全包含了数据内容安全、数据融合安全和服务融合安全。 · 数据内容安全是指不同行业数据信息内容本身的安全。 · 数据融合安全是指数据融合过程中从数据采集与汇聚、数据整合与处理、数据挖掘与分析、数据管理与治理过程的安全。 · 服务融合安全是指支撑智慧城市应用的基础技术服务在融合过程中包括服务聚集、服务管理、服务整合和服务使用的安全。 —— 智慧应用层安全包含了

5、智慧城市中多领域和产业的应用系统的安全、应用软件、网站安全、应用开发安全等。 d) 智慧城市安全建设运营保障 智慧城市安全建设运营保障是指对智慧城市关键信息基础设施中系统和网络、城市信息资产、智慧城市公共基础信息平台以及业务安全工程建设以及运行状态的监测与维护。确保在智慧城市建设运营过程中智慧城市基础设施、智慧城市信息平台、应用系统及其运行环境和状态发生变化时，为维持智慧城市各项业务正常运行所采取的一系列响应和恢复活动。智慧城市安全建设运营保障要素包含建设实施、应急预案演练、监测预警、应急处理和灾难恢复。 e) 智慧城市安全基础支撑 智慧城市安全基础支撑是由智慧城市的安全技术支撑和智慧

6、城市安全服务支撑。安全技术支撑包括密码管理、身份管理和时间同步等。安全服务支撑包括产品和服务的资质认证、安全评估、检测以及咨询服务支撑等。 2　 智慧城市安全战略保障 2.1　 要素 2.1.1　 法律法规 智慧城市安全规划、建设、验收和运营活动应遵循国家法律法规的要求。 2.1.2　 政策文件 智慧城市安全规划、建设、验收和运营活动应以智慧城市相关的政策文件为指导。 2.1.3　 标准规范 智慧城市安全标准规范能够作为政府和管理部门提供管理、监督指导规范，也能够为安全规划、建设、验收和运营提供技术规范和要求准则。 2.2　 功能要求 智慧城市的战略保障应满足下列要求：

7、a) 依据国家法律法规的基本要求，对智慧城市安全规划、建设、验收和运营的相关方的安全活动进行约束、规范、监督和责任界定。 b) 以国家政策文件为指导，制定安全总体规划，制定详细的策略规程和制度，实施安全建设，开展智慧城市安全验收和安全运营活动。 c) 按照法律法规和政策文件规定，协调解决跨部门、跨行业时，智慧城市安全规划、建设、验收和运营过程中的矛盾。 d) 能经过在智慧城市安全规划、建设、管理、验收和运营实践过程中的经验，促进相关法律法规、政策文件和相关标准的制定、更新或修订工作。 e) 以法律法规、政策文件和国家标准为指导，开展具有区域特征、行业特性的智慧城市安全标准规范和指南工作

8、等。 f) 按照智慧城市相关信息安全标准，开展智慧城市安全项目的规划、建设，验收和运营活动，研究、开发设计智慧城市安全相关的产品和服务。 3　 智慧城市安全管理保障 3.1　 要素 3.1.1　 决策规划 相关方应以国家法律法规、政策文件和标准规范为指导，基于风险评估活动识别城市安全风险，制定符合智慧城市发展的总体规划和策略，规划安全组织架构，并在相关人员中充分传达。应识别关键信息基础设施、数据资产和智慧城市安全应用服务方面的重大风险，判断安全事件发生的概率以及可能造成的损失，制定智慧城市安全风险应对策略和机制。总体规划涉及安全风险评估、安全管理、安全技术与产品和安全建设运营等方面。

9、 3.1.2　 组织管理 相关方应围绕智慧城市安全规划的目标和策略，制定安全管理制度并组织实施，进行安全组织建设和人员管理，组织开展安全意识培训和技术培训活动，对智慧城市安全建设项目给予资源支持。 3.1.3　 协调监督 相关方应统筹协调智慧城市安全工作，处理各部门之间的矛盾，充分沟通，监督智慧城市安全活动，制定相关监督、检查和评估机制，围绕智慧城市安全规划目标，以国家法律法规、政策文件和标准规范为指导，定期组织开展安全评估、测试工作，对智慧城市安全相关角色、责任及活动开展监督和检查工作。 3.1.4　 评价改进 相关方应经过智慧城市安全建设和运营的经验，向决策者上报安全事件，促进

10、总体规划和策略的改进。 3.2　 功能要求 智慧城市安全管理基于风险的安全管理模式，应参考GB/T 22080— 《信息技术 安全技术 信息安全管理体系 要求》和GB/T 22081— 《信息技术 安全技术 信息安全管理实用规则》提出相关要求，确保智慧城市具有可持续的安全管理能力，有助于智慧城市安全风险管理和控制。 智慧城市安全管理应满足下列要求： a) 制定智慧城市安全总体规划，设计安全总体框架，明确智慧城市安全保障对象和智慧城市安全目标，分发至智慧城市安全相关角色与人员。 b) 制定智慧城市网络安全风险接受准则，识别风险和控制优先次序，指导对保护对象进行风险评估。风险接受准则中宜

11、包含具体保护对象名称和组成单元、保护对象的价值以及智慧城市运转的关键程度、必要的保护措施、与保护对象相关的组织和人员、安全风险等级、发生安全事件的影响、安全事件处理的规程、法律要求与责任等。 c) 依据风险评估准则，定期组织开展智慧城市安全风险评估活动。 —— 应确定评估范围、目标、工具、方法、类别和内容等，形成评估报告。 —— 应能深度、系统地分析城市基础网络和信息系统的威胁。 —— 应能经过风险评估分析识别风险项，划分风险等级。 —— 应能根据评估结果，采取针对性的和必要的措施，将风险降低到城市可接受的水平，达到控制风险的目的。 d) 依据智慧城市安全总体规划与目标，制定涵盖智

12、慧城市安全建设、管理、验收与运营的策略与规程，提出符合全局发展的、系统性的设计要求，并在相关角色和人员中发布和传达，以指导智慧城市建设、验收和运营，推动智慧城市安全措施的实施。 —— 建立智慧城市安全管理组织机构，组建智慧城市安全领导小组，按照安全角色和职责配置人员，明确智慧城市安全管理责任人，制定岗位责任制度。 —— 指定智慧城市安全规划、建设、验收和运营相关部门负责人，明确重要岗位责任，制定智慧城市安全相关角色的重要岗位人员的招聘、录用、调岗、离岗、考核、选拨等管理制度，明确责任和要求。 —— 智慧城市安全相关部门负责人、智慧城市安全相关角色的重要岗位人员在录用前应进行背景调查，以符

13、合相关的法律、法规和道德要求，录用时签订保密协议。 —— 对造成重大智慧城市安全事件和严重影响的人员给予处罚或处分，并进行书面记录。 e) 制定具体的智慧城市安全管理制度与规程，例如，智慧城市技术相关的安全（系统、网络、数据、应用等）策略与制度、工程建设安全策略与流程、系统开发策略与制度、病毒防护等策略与制度、智慧城市安全追责制度等。 f) 建立智慧城市安全协调管理和监督机制，指定跨部门协调管理的负责部门和负责人，负责跨部门、跨领域、跨组织的沟通协调工作。 g) 储备安全专业人才，对相关人员制定之针对性的智慧城市安全培训计划，并对培训计划和内容定期审核更新，包括专业技术技能、安全管理和

14、运营、安全意识培训，对培训结果进行考核、评价、记录和归档。 h) 针对已发生的安全事件加强宣传教育，对教育结果进行考核、评价、记录和归档。 i) 落实在智慧城市安全建设、验收和运营方面重大项目的资金支持。 j) 定期或在智慧城市安全规划和策略变更时，及时审核并更新智慧城市安全管理的制度和流程。 k) 建立智慧城市安全检查、评估、认证和调查取证机制，落实智慧城市安全重点领域的安全检查活动，按照“谁主管，谁负责”、“谁运营，谁负责”落实安全责任制原则，落实岗位责任制，评估安全相关部门和负责人。 —— 参考GB/T CCCCC.1—CCCC《智慧城市 评价模型及基础评价指标体系 第1部分：

15、总体框架》等相关标准和GB/T 33356— 国家新型智慧城市评价指标，开展定期评估和智慧城市安全建设评价工作，检查各项指标达成情况，并对评价结果进行统计分析。 —— 参考GB/T 22239—201X《信息安全技术　信息系统安全等级保护基本要求》等相关标准开展安全要求实施的测评和验收工作。 —— 对不符合智慧城市安全评估标准的指标进行调查分析，给出定性或定量的分析评估报告。 l) 总结在智慧城市安全建设、管理、验收和运营汇总的经验和教训，结合检测和评估过程中的不足，定期审核并修改智慧城市总体安全规划策略、规程与制度，根据分析结果确定优化和改进措施，建立安全管理和服务优化与改进机制，持续提升智慧城市安全管理和服务能力。