a 确保数据及服务资源共享体系标准，确保有效提升资源共享过程中的采集、获取及交换的效 率； b）确保数据及服务资源的所有权、使用权和管理权，防止数据开放利用过程中的非法使用； c）确保数据及服务资源共享过程的最小化授权，确保非法用户或异常操作所造成的损失最小。

组织应明确拟使用智慧城市中数据及服务需要达成的管理目标，确定实现目标采用的战略，并 划实施的策略。

组织在进行智慧城市数据及服务管理过程中，应健全责任管理体系，明确管理角色和责任。

根据数据及服务管理的目标、战略和策略，管理角色应包括业务职能部门、安全管理团队、 商等相关角色。

市政常用表格6.3.1业务职能部门的职责

业务职能部门在履行其职能时会生成、收集不同数据，持久保存数据并进行分析，提供服务使用和 发持。职能部门可能涉及一个或多个数据及服务的主要阶段，应根据涉及的阶段履行相应安全职责。 业务职能部门的主要职责应包括但不限于： a 确定本部门数据的分类分级； 6） 根据本部门涉及的数据及服务主要阶段，明确和细化本部门管理具体安全要求，并进行有效 实施； c）配合安全管理团队处置安全事件； d）根据数据管理和服务管理要求

6. 3. 2 安全管理团队的职责

安全管理团队的具体职责应包括但不限于： 应确定各种数据的分类分级初始值，制定数据分类分级指南； b 应综合考虑相关的法律法规、政策、标准、技术当前水平、组织所处行业特殊性等，综合评 估安全分析，制定安全基本要求； 建立相应的安全管理机制，对安全风险进行有效管理； d 具备应急响应管理、安全预警、安全事件处置等能力； e） 组织开展数据及服务安全等级保护、风险评估、安全自查、安全培训等工作； 制定信息安全应急预案，定期开展应急演练，

6.3.3服务提供商的职责

服务提供商的具体职责应包括但不限于： a） 确保其符合国家和行业规定及要求，具备履行相关法规制度、落实相关标准、确保数据及服 务安全能力； b) 做好数据及服务的存储、管理与运营工作： C 根据数据管理和服务管理要求，安全合规的使用数据； 建立相应的安全管理机制，应具备应急响应管理、安全事件协同处置等能力

数据来源包括但不限于： a） 智慧城市公共数据库：人口、自然资源与空间地理，法人单位、宏观经济等基础信息资源： 6 智慧应用信息系统数据库：政府、企业、团体组织、各行业等领域的应用信息系统的数据 如智慧政务、智慧交通、智慧教育、智慧医疗、智慧家居、智慧社区、智慧旅游等应用数据 互联网空间上的其他信息资源：包括互联网公开数据、社交数据、个人敏感信息数据等； d）通过智慧城市中物联感知设备获取的数据，

7.1. 2数据管理要求

7.2主要活动安全管理要求

数据采集活动的主要操作包括：发现数据源、收集数据、生成数据、缓存数据、创建元数据、数据 转换、数据验证、数据清理、数据聚合等。 数据采集应满足但不限于以下安全管理要求： a）应定义采集数据目的和用途，明确数据采集源和采集数据范围，对采集的数据进行分类分级 标识：

DB15/T2200202

b）遵循意图合规原则，确保数据收集的合法性、正当性和必要性，且只采集满足业务所需的最 小数据集； 遵守质量保障原则，制定数据质量保障的策略、规程和要求； 遵循安全防护原则，对数据采集环境、采集设施和采集技术采取必要的安全管控措施，对不 同类别和级别的数据实施相应的安全管理策略和保障措施： 遵循敏感信息保护原则，确保敏感数据得到重点保护措施，保障敏感数据泄露风险； 遵循可审计原则，针对不同的数据采集场景定义溯源策略和机制，提供有效的工具对外部采 集的数据和数据源进 算数据的原始数据来源。

数据传输活动的主要操作包括：数据编解码、数据加解密、数据认证等。 数据传输应满足但不限于以下安全管理要求： a）应明确业务场景中需要进行传输加密的数据，重点对个人信息和重要数据进行加密传输； b）对提供传输通道两端的主体进行必要的身份鉴别和认证授权措施； c）对传输的数据进行完整性和可用性检测； 安全策略和密码算法配置

数据存储活动的主要操作包括：数据持久存储、数据备份、数据更新、数据访问等。 数据存储应满足但不限于以下安全管理要求： a）组织应根据自身业务需求，对数据进行内部分类和分级，例如将敏感数据进一步划分为一般 敏感和重要敏感数据； 6 提供必要的措施实现存储的安全隔离能力，并采取符合国家认定的密码算法对高敏感数据进 行加密存储： C 建立对存储的数据资源的安全访问控制策略，对授权主体进行鉴别、认证、授权、监控等控 制措施，保证数据使用者的访问和修改等行为具有不可抵赖性； d 建立必要的数据备份和恢复策略，保证数据存储的安全性。

7.2.4数据处理及使用

数据处理及使用活动的主要操作包括：数据查询、数据读取、数据索引、批处理、交互式处理、流 处理、数据统计分析、数据预测分析、数据关联分析、数据可视化、生成分析报告。 数据处理及使用应满足但不限于以下安全管理要求： 依据国家个人信息和重要数据保护的法律法规要求建立数据使用正当性原则，明确数据使用 和分析处理的目的和范围； b 建立数据使用的内部责任制度，保证在数据使用声明的目的和范围内对受保护的数据进行使 用和分析处理； 提供细粒度访问控制和鉴权机制，限定数据使用过程中可访问的数据范围和使用目的，对关 键系统采用多因素认证的方式进行身份认证； d 遵守安全防护原则，对数据的使用进行加密、脱敏和审核处理，对数据分析结果的风险进行 合规性评估，避免分析结果输出中包含可恢复的敏感数据； e）遵守可审计原则，记录和管理数据使用操作，

7.2.5数据交换与共享

数据交换与共享涉及的主要操作包括：数据导入导出、数据交换、数据交易、数据共享。 数据交换与共享应满足但不限于以下安全管理要求： a）遵守安全责任不随数据转移原则，对数据交换与共享后产生的数据安全事件承担必要的安全 责任； b） 依据数据分类分级要求，建立数据导入导出安全策略，如授权和访问控制策略、脱敏策略、 加密策略等； 在数据交换与共享前，对数据的敏感性进行评估，根据评估结果对需要交换与共享的敏感信 息进行脱敏操作； d 遵守可审计原则，记录时间、分发需求、数据接收方等相关信息； e） 提供有效的数据共享访问控制机制，明确不同机构或部门、不同身份与目的的用户的权限， 保证访问控制的有效性； f 建立数据获取和使用安全规范，明确数据获取方式、服务接口、授权机制和数据使用的权限 范围等； 制定数据服务接口安全控制策略，提供对数据服务接口的安全限制和安全控制措施，如身份鉴 别、授权策略、访问控制机制、签名、时间戳、安全协议等，并对数据服务接口调用的参数 进行限制或过滤，一旦发现异常会触发告警机制； h 建立数据公开的审核制度，严格审核发布信息符合相关法律法规要求。明确数据公开内容、 权限和适用范围，信息发布者与使用者的权利与义务。定期审查公开发布的信息中是否含有 非公开信息，一经发现，立即删除，

7. 2. 6 数据销毁

数据销毁活动的主要操作包括：删除元数据、删除原始数据及其副本、断开与外部实时数据流的链 数据销毁应满足但不限于以下安全管理要求： a 立即删除超出采集阶段明确的数据留存期限的相关数据；对留存期限有明确规定的，按相关 规定执行； 6 在删除数据可能会影响执法机构调查取证时，采取适当的存储和屏蔽措施； C 依照数据分类分级建立相应的数据销毁机制，明确销毁方式和销毁要求： d 遵守审计原则，建立数据销毁策略和管理制度，明确销毁数据范围和流程，记录数据删除的 操作时间、操作人、操作方式、数据内容等相关信息； 建立数据销毁的审批和记录流程，设置数据销毁监督角色，监督数据销毁操作过程

服务资源应满足以下要求。 a)API 资源： 1）对聚集的数据、工具、模型等服务资源进行加工，形成API资源； 2）支持智慧城市应用中各使用者接入，并满足大数据平台对API资源的要求，由智慧城市 调中心统一管理和调度。 b）微服务资源：

DB15/T22002021

1 对聚集的数据、工具、模型等资源进行加工，按照应用场景对资源进行融合，形成具有 独立功能的微服务； 2 应提供可视化接口作为使用者提供服务； 3）满足大数据平台对微服务资源的其他要求

8. 1. 2服务管理要求

8.2主要活动安全管理要求

服务聚集活动的主要操作包括：通信协议适配转换、服务流程编排和路由选择、服务状态监控等。 应满足但不限于以下安全管理要求： 服务目录应支持查看到智慧城市相关的所有业务服务及详细信息，提供对相关资源的访问控 制及权限管理； b 提供服务资源间通信交互安全，在传输过程中提供必要的安全防护措施，保证信息资源不被 慕改、泄密等： C 提供服务相关的信息资源安全，为资源提供加解密、签名、完整性校验等； d 提供服务聚集流程的审计和监控，记录服务资源聚集流程，以及对异常状态进行监控

8.2.2服务生存周期管理

服务生存周期管理活动的主要操作包括：服务注册、服务启动与停止、服务发布、服务审核、服务 注销等。 应满足但不限于以下安全管理要求： a 提供可扩展的组织、人员、角色、认证与授权的管理功能，管理服务相关资源的访问控制及 权限管理； 6 提供服务生存周期过程中的管理审核与审计，记录服务生存周期的轨迹和历史，提供事后审 查和统计服务

服务整合活动的主要操作包括：服务路由、服务流程编排、服务节点目录、服务节点管理同步、身 辨识等。 应满足但不限于以下安全管理要求： a）提供服务整合流程编排、权限控制管理机制；保证原始服务按一定的逻辑组合形成新的服务； b）提供服务节点身份鉴别，并根据心跳、时间等属性同步相关节点，确保一致性； c）提供服务整合过程的审核与审计，记录服务整合流程，提供事后审查和统计服务

8. 2. 4服务使用

服务使用活动的主要操作包括：服务接口使用，上层应用访问、上层应用调用、上层应用管理、服 务统计等。 应满足但不限于以下安全管理要求： a 提供服务权限、运行状态、配置信息统一管理平台，对智慧城市服务进行统一的管理； b 提供服务权限控制功能，对用户进行身份认证，并根据用户的权限进行服务访问和调用的授 权； C 提供服务使用过程申资源间通信交互安全，在传输过程申提供必要的安全防护措施，保证服 务资源不被篡改、泄密等； d 对服务使用进行审核与审计，记录服务使用过程中的访问及操作记录，提供事后审查和统计 服务

风险管理是智慧城市中组织管理 乱险管理过程主要包括风险识别、风险分析、风 险处理环节。智慧城市数据及 附录B

9.1.1风险识别是通过对组织和信息系统中资产、威胁、脆弱性等要素的识别,是进行信息系统安全风 验分析的前提。进行风险识别时要掌握相关的和最新的信息，除了识别可能发生的风险事件外，还要考 虑其可能的原因和可能导致的后果。

a 数据（个人信息、重要数据、监测数据等）； b) 硬件设备（网络设备、安全设备、计算机设备、存储设备等）； c) 系统软件（操作系统、开发系统、数据库管理系统等）； d 应用软件（各类工具软件、办公软件等）； e) 支撑系统（云计算平台、大数据平台等）； f 服务（信息服务、网络服务、平台服务、供应链服务等）。

潜在的不利因素： 潜在攻击方具有的资源、技术能力、动机等； 2) 潜在攻击方窃取、利用和滥用数据的意图； 3） 数据访问、存储和分析所需资源； 4） 服务聚集和使用所需的资源：

DB15/T2200202

5 直接访问或窃取数据和服务的概率； 6) 发起攻击、利用大数据技术、基础设施和数据集的经济能力； 7) 攻击的成本与收益； 操作人员技术能力。 恶意利用所需的科学专业知识和技能： 数据和结果分析需要使用的技能、专业知识； 2) 数据使用和结果分析需要的技术和设备； 3) 利用系统脆弱性需要的技能、技术专长和知识。

a）数据及服务的存储、处理等基础软件和基础设施的脆弱性； b） 相关主机系统、应用系统等的脆弱性； c）安全管理的脆弱性。 9.1.5在识别脆弱性的同时，组织应对已采取的安全措施的有效性进行确认，即是否真正地降低了系 统的脆弱性，抵御了威胁。

风险分析是根据风险类型和获得的信息，对识别出的风险进行定性和定量的分析，输出风险评估报 告，并为风险处理提供支持。风险分析的主要方法是对相关的资产、威胁、脆弱性及其各项属性的关联 分析，综合进行风险分析和计算。 通过对资产识别、威胁识别、脆弱性识别，以及已有安全措施确认后，将采用适当的方法与工具， 确定威胁利用脆弱性导致安全事件发生的可能性，如建立风险分析模型、风险计算方法等。

风险处理依据风险评估结果，针对风险分析阶段输出的风险评估报告进行风险处理。风险处理方式 般包括接受、消减、转移、规避等。安全整改是风险处理中常用的风险消减方法，安全整改需根据安 全风险的严重程度、加固措施实施的难易程度、降低风险的时间紧迫程度、所投入的人员力量及资金成 本等因素综合考虑，

DB15/T 2200202

慧城市数据及服务管理敏感信息特征见表A.1。

接地线标准表A.1数据及服务管理敏感信息特征表

DB15/T 22002021

表A.1数据及服务管理敏感信息特征表（续）

DB15/T 2200202

数据及服务管理存在的安全风险

智慧城市数据及服务管理存在的安全风险包括但不限于： a）政府部门的数据开放程度不够，不轻易共享给其他业务部门：各部门或行业数据与服务不开 放，各自为政，形成了信息孤岛： b） 数据来源真实性、时效性和准确性缺少安全保证： c）非结构化数据信息化程度不足，数据本身缺乏有效性； d）存在跨信息系统甚至跨行业、跨区域的非授权访问： 数据共享前缺少脱敏处理，易导致数据的恶意关联和信息泄露； 数据来源广泛以及数据的多样性使得数据量巨大且数据结构复杂，远超越单个行业或企业的 管理能力，数据处理和融合以及数据维护的工作量大，传统信息安全审计规则应用有限，很 难进行统一监控审计； g 缺之对数据有效的安全监管，存在数据滥用现象，数据控制权限界限模糊： h）多行业多业务交叉，多业务服务的逻辑风险叠加，逻辑错误可能导致业务服务瘫痪； 1 业务系统架构不同、数据格式不同以及服务业务运行环境不同，缺乏标准的服务接口和应用 管理； i）在大数据场景下变得越来越难以操作，易导致个人信息泄露； K 关键信息基础设施系统中，攻击者可通过木马病毒等获取国家重要敏感信息

智慧城市数据及服务管理存在的安全风险包括但不限于： a） 政府部门的数据开放程度不够，不轻易共享给其他业务部门：各部门或行业数据与服务不开 放，各自为政，形成了信息孤岛； b 数据来源真实性、时效性和准确性缺少安全保证： c）非结构化数据信息化程度不足，数据本身缺乏有效性； d）存在跨信息系统甚至跨行业、跨区域的非授权访问： 数据共享前缺少脱敏处理，易导致数据的恶意关联和信息泄露； 数据来源广泛以及数据的多样性使得数据量巨大且数据结构复杂，远超越单个行业或企业的 管理能力，数据处理和融合以及数据维护的工作量大，传统信息安全审计规则应用有限，很 难进行统一监控审计； g 缺之对数据有效的安全监管，存在数据滥用现象，数据控制权限界限模糊： h 多行业多业务交叉，多业务服务的逻辑风险叠加，逻辑错误可能导致业务服务瘫痪； 1 业务系统架构不同、数据格式不同以及服务业务运行环境不同，缺乏标准的服务接口和应用 管理； J 在大数据场景下变得越来越难以操作，易导致个人信息泄露； K 关键信息基础设施系统中，攻击者可通过木马病毒等获取国家重要敏感信息，

沥青路面标准规范范本DB15/T2200202

[1］GB/T36622.2一2018智慧城市公共信息与服务支撑平台第2部分：目录管理与服务要求 ［2］GB/T36625.1一2018智慧城市数据融合第1部分：概念模型 ［3］GB/T37973一2019信息安全技术大数据安全管理指南 ［4]GB/T37988一2019信息安全技术数据安全能力成熟度模型 [5] GB/T 20984—2007 信息安全技术信息安全风险评估规范