ICS 35.040 L 80
GB
中华人民共和国国家标准化指导性技术文件
GB/Z38649—2020
信息安全技术
智慧城市建设信息安全保障指南
Information security technology-
Guide of information security assurance framework for smartcities
2020-11-01实施
2020-04-28发布
国家市场监督管理总局
国家标准化管理委员会 发布 GB/Z38649—2020
目 次
前言引言 1 范围 2 规范性引用文件 3 术语和定义
缩略语 5 概述
4
5.1 智慧城市建设信息安全需求 5.2 智慧城市建设安全保障过程 5.3 智慧城市建设主要角色安全责任智慧城市建设安全保障机制 6.1 责任人机制 6.2 追溯查证机制 6.3 监督检查机制 6.4 应急预案演练与处理机制 6.5 服务外包安全责任机制 6.6 信息安全保障教育培训机制智慧城市建设全过程安全保障管理 7.1 政策制定与审查监督 7.2 信息安全保障规划 7.3 信息安全保障需求分析 7.4 信息系统安全保障设计 7.5 信息系统实施安全保障 7.6 信息系统运行维护安全保障 7.7 信息安全保障优化与持续改进 8 智慧城市建设信息安全保障技术 8.1 计算环境安全保障技术 8.2 区域边界安全保障技术 8.3 通信网络安全保障技术 8.4 应用安全保障技术 8.5 大数据安全保障技术 8.6 产品与系统安全接口 8.7 安全管理中心技术要求附录A（资料性附录） 智慧城市整体框架与主要特征附录B（资料性附录） 智慧城市风险评估方法和流程
*.
6
A
1
10 11 11
12 15 GB/Z38649—2020
附录C（资料性附录） 智慧城市网络空间安全事件分类分级附录D（资料性附录） 信息安全建设内容编制指南附录E（资料性附录） 信息分类分级管理参考文献
16 18 19 23
II GB/Z 38649—2020
前言
本指导性技术文件按照GB/T1.1一2009给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本指导性技术文件由全国信息安全标准化技术委员会（SAC/TC260)提出并归口。 本指导性技术文件起草单位：浙江省经济信息中心、中国电子技术标准化研究院、中国信息安全测
评中心、国家信息中心、中电长城网际系统应用有限公司、中电海康集团有限公司、阿里云计算有限公司、杭州安恒信息技术有限公司、西南科技大学、浙江省发展信息安全测评技术有限公司、浙江省标准化研究院、浙江省电子产品检验所、杭州云嘉云计算有限公司、成都秦川物联网科技股份有限公司、浙江安科网络技术有限公司、深信服科技股份有限公司、浙江鑫诺检测技术有限公司、杭州世平信息科技有限公司。
本指导性技术文件主要起草人：吴前锋、上官晓丽、王惠莅、杜宇鸽、许涛、闵京华、谢海江、张向阳、 黄洪、赵一农、范渊、王勃艳、张大江、张君、陈自力、祝利锋、周俊、王世晞、俞群爱、李宁、邵泽华、张亮、 齐同军、刘松国、黄晓芹、史锋、麦联韬、方洪波、赵宏凯、黄晓芳、涂万彬
三 GB/Z38649—2020
引言
智慧城市建设是一项复杂的大型系统工程，其信息安全问题显得尤为重要。智慧城市以海量信息运作与创新理念为特征，互联网、物联网、云计算、移动互联网等均为其重要支撑，因此其信息与网络乃至应用终端的安全问题均比一般互联网的信息安全问题要多，包括隐私问题、可信问题、防伪、业务拒绝 (DoS)侵入与攻击问题等。系统的信息感知层、接入与传送层、应用层与终端层、智能/智慧处理及协同平台层等诸多层面存在安全风险；云平台多用户租用的包括知识产权与隐私权保护等问题，给其安全保障带来新挑战；设备无人值守、自适应管理与自断、自通连接等状态，也增加了安全系统的设计与实施难度；智能物体间进行互相识别、互通与交流，需要可靠地确保其信息安全性乃至隐私权等；而且多元异构互联、分布计算等特性导致其安全体系一体化整合难度很大，复杂的社会管理环境等也带来诸多突发性不安全因素。这些不安全因素可能会影响整个城市运行，对信息安全保障提出了更高的要求。为此，需要针对智慧城市的特征，从信息安全管理和技术保障等视角，给出智慧城市建设全过程信息安全保障规范，特制定本指导性技术文件。
本指导性技术文件可用于智慧城市建设各相关单位，有助于信息安全主管部门为智慧城市建设相关单位明确智慧城市建设全生命周期各阶段的信息安全保障要求与责任提供指导，以保障智慧城市建设主体各方的权益，增强抵御风险和自主可控的能力，同时可为智慧城市管理、工程技术及第三方服务等相关人员提供管理和技术参考
IV