本项需考虑的因素包括： a）建立智慧城市安全取证机制，建立全流程有效的责任追溯查证体系，明确各环节的主体责任， 制定信息系统安全保障岗位责任制度，并监督落实。 b） 智慧城市各系统详细记录用户的活动信息，包括时间、地点、操作和操作结果，以建立取证的数 据基础。 c 建立智慧城市调查与取证体系，实现符合法律的取证过程，以对存在的违法入侵进行快速而有 效的调查和取证。 d 保证证据数据在调查和取证过程数据不被改变和删除，具体措施可以参考ISO/IEC27037： 2012.和ISO/IEC.27042

本项需考虑的因素包括： a）智慧城市建设的信息安全保障监督管理由信息安全监管部门通过备案、检查、督促整改等方 式，对建设项目的信息安全保护工作进行指导监督。 b）主管部门会同信息安全管理部门，定期对建设项目进行全面的安全检查，排查安全隐患，堵塞 安全漏洞，通报发现问题并敦促整改 智慧城市建设者和运营者对抽查、抽检发现的问题，认真落实整改意见，并在规定期限向主管 部门报告整改情况

6.4应急预案演练与处理机制

本项需考虑的因素包括： a）参照GB/Z20986一2007，根据智慧城市网络空间安全事件分类及信息系统损失划分，确定智 慧城市网络空间安全事件应急响应分级，参见附录C。 b 结合智慧城市网络空间与物理空间联动配合情况，开展监测与预警、应急处置、调查与评估以 及预防工作。监测与预警包括预警监测、预警研判和发布、预警响应、预警解除；应急处置包括 事件报告、应急响应、应急结束；预防工作包括日常管理、制定应急预案、定期组织演练、检验和 完善预案、宣传培训以及重要活动期间的预防措施。 C 随着信息系统的变更定期对原有的应急预案重新评估，修订完善 d） 安全故障发生时，按应急处理程序处置房地产项目，及时向主管部门报告项目信息系统发生的重大系统事 故或突发事件，并按有关预案快速响应

6.5服务外包安全责任机制

本项需考虑的因素包括： a）智慧城市服务者的选择符合国家的有关规定；与选定的服务者签订与安全相关的协议，明研 定相关责任。 b）严格管理信息技术服务外包的安全，确保提供服务的数据中心、云计算服务平台等设在境口

6.6信息安全保障教育培训机制

本项需考虑的因素包括： a）制定安全教育和培训计划，对各类人员进行信息安全意识教育和相关信息安全技术培训

乙智慧城市建设全过程安全保障管理

7.1政策制定与审查监督

本项需考虑的因素包括： a）智慧城市建设主管部门提出信息安全保障的基本管理政策和工作要求；信息安全保障以 GB/T22081一2016为基础，根据智慧城市特征加强对关键信息基础设施、重点行业、公共安 全、公用事业等重要信息系统安全防护，施行重要系统与网络安全设施同步设计、同步建设、同 步管理的信息安全政策要求。 b）明确智慧城市建设相关单位负责人、要害信息系统运营单位负责人的网络信息安全责任，建立 信息安全责任追究机制；建立自主审查和主管部门审查结合的审查机制，在立项、验收等重要 环节进行信息安全专项审查。 智慧城市建设主管部门负责统筹协调、指导智慧城市建设信息安全保障工作；并对各智慧城市 建设者、运营者、服务提供者和使用者所开展的信息安全保障实施情况进行监督检查

7.2信息安全保障规划

7.3信息安全保障需求分析

本项需考虑的因素包括： 根据智慧城市建设信息安全保障目标，分析系统运行环境、潜在威胁、资产重要性、脆弱性等， 提出安全保障需求，以实现防御攻击、重要信息授权获取、敏感信息加密、系统信息防篡改、行 为审计以及系统高可用性等安全保障目标。 b） 通过安全影响范围和受损害影响程度分析，拟定所建智慧城市信息系统安全保护等级，经过主 管部门组织论证，并报相关行政主管部门审核、备案 C 根据信息系统的安全保护等级，分析智慧城市信息系统现有的安全保护水平与等级保护基本 要求之间的差距，提出系统的信息安全保障需求

7.4信息系统安全保障设计

本项需考虑的因素包括： a）在智慧城市建设信息系统设计阶段，加强安全风险论证，根据安全保护等级同步设计安全保

GB/Z38649—2020

防护方案，提高网络管理、态势预警、应急处理和可信服务等能力。 6 根据信息系统安全保障设计方案的安全总体架构、保障策略、措施要求，落实信息安全产品、系 统具体技术规范，为信息安全产品、系统采购和安全保障开发阶段提供明确依据。 根据智慧城市建设安全保障管理目标，设计信息安全保障管理体系，保证安全技术与管理同步 建设。 1 汇总技术措施落实方案、管理措施落实方案等，形成指导安全实施的指导性文件。信息安全建 设内容缩制可参考附录D

7.5信息系统实施安全保障

.，1建立 信息安全管理提供组织上的保障， 7.5.2以制度和规范形式，加强对技术、设备和服务提供商的安全审查，同步建设安全防护手段： a 指定或授权专门的部门负责产品的采购；对安全相关产品实行分级管理，确保其安全功能符合 相应安全等级的要求；密码产品采购和使用符合国家密码主管部门的要求。 b） 对已有技术信息安全产品，应依据相关标准规范要求，进行安全符合性查验。 c）对新技术相关产品进行安全测评，使其符合系统基本要求保障需求。 7.5.3软件开发需考虑的因素： a 制定软件开发管理制度，明确开发过程的控制方法和人员行为准则 b 提供软件开发的相关文档和使用指南，并由专人负责保管。 自行软件开发环境与实际运行环境物理分开；外包软件开发单位需提供软件源代码，并在软件 安装之前代码性检性能压五等

7.5.4系统集成安全保障需考虑的因素

7.6信息系统运行维护安全保障

建立信息系统运行维护保障行为规范和操作规程，需考虑的因素包括： a）机房安全管理制度，对有关机房物理访问、物品带进或带出机房和环境安全等方面的管 要求。 b）资产安全管理制度，规定信息系统资产管理的责任人员或部门，并规范资产管理和使用行

c）介质安全管理制度，对介质的存放环境、使用、维护和销毁等方面的管理要求。 d）建立基于申报、审批和专人负责的设备安全管理制度，对信息系统的各种软硬件设备的选型、 采购、发放和领用等过程进行规范化管理。 e 网络安全管理制度，对网络安全配置、日志审计、安全策略、升级与补丁、日常管理等方面的管 理要求。 系统安全管理制度，对系统安全策略、安全配置、日志审计和日常操作流程等方面的管理要求。 g）个人桌面终端安全管理制度，对个人桌面终端操作系统、周边硬件、通信设备、应用系统等的安 全使用管理要求。 .6.2定期检查安全管理制度的落实情况，确保安全管理制度落实，并不断优化管理制度。 .6.3制定安全事件处置预案，结合信息系统的实际情况，分析安全事件对信息系统的破坏程度，所造 成后果的严重程度，将安全事件依次进行分级，按照分级情况进行处置。 .6.4定期开展检查、等级评测和风险评估，排查安全风险隐患，增强日常监测和应急响应处置恢复能 力；定期对监测和报警记录进行分析、评审，发现可疑行为，形成分析报告，向相关主管部门备案，并采取 必要的应对措施。 .6.5建立重要信息使用管理和安全评价机制，落实个人信息保护

7.7信息安全保障优化与持续改进

本项需考虑的因素包括： a）定期对系统进行安全测评，对发现的安全问题进行及时分类处置。 b 系统变更后评估变更后的部分对系统造成的安全影响 C 在信息系统正常运行一段时间后进行评估，旨在评估对信息系统各项风险的控制是否恰当，能 否实现预定的设计目标

8智慧城市建设信息安全保障技术

8.1计算环境安全保障技术

本项需考虑的因系包括： 智慧城市安全计算环境遵循GB/T25070一2019中的安全计算环境设计技术要求，对智慧城 市建设涉及的通用安全、云安全、移动互联安全、物联网系统安全等实现保障。 D 支持用户标识和用户鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度并定期更换；采用 口令、密码技术、生物技术等两种或两种以上的组合机制进行用户身份鉴别；支持建立云租户 账号体系，实现主体对虚拟机、云数据库、云网络、云存储等客体的访问授权；采用密码技术支 持的鉴别机制实现感知层网关和感知设备之间的双向身份鉴别；对感知设备和感知层网关进 行统一入网标识管理和维护，并确保在整个生存周期设备标识的唯一性。 C 由授权主体配置访问控制策略，规定主体对客体的访问规则；访问控制主体的粒度为用户级， 客体的粒度为文件或数据库表级和（或)记录或字段级；对重要主体和客体设置安全标记，并控 制主体对有安全标记信息资源的访向；根据安全策略，控制移动终端接入访问外设，并记录日 志；通过制定安全策略，实现对感知设备的访问控制；感知设备和其他设备通信时，根据安全策 略对其他设备进行权限检查。 d 启用安全审计功能，审计覆盖到每个用户；审计记录包括安全事件的主体、客体、时间、类型和 结果等内容；对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；对审计 进程进行保护，防止未经授权的中断；支持对云服务商和云租户远程管理时执行的特权命令进 行审计：支持租户对与本租户相关资源的审计

GB/Z386492020

可基于可信根对计算设备（包括移动终端）的系统引导程序、系统程序、重要配置参数和应用程 序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到 破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。 采用密码等技术支持的完整性校验机制，检验存储和处理的用户数据的完整性，在其受到破坏 时能对重要数据进行恢复。 8） 采用密码等技术支持的保密性保护机制，对在安全计算环境中存储和处理的用户数据进行保 密性保护；提供云计算环境加密服务，加密密钥由租户自行管理，保证虚拟机在迁移过程中重 要数据的保密性。 h）通过主动免疫可信计算检验机制及时识别入侵和病毒行为，并将其有效阻断；能检测到虚拟机 对宿主主机物理资源的异常访问；支持对云租户进行行为监控，对云租户发起的恶意攻击或恶 意对外连接进行检测和警告。 提供重要数据的本地数据备份与恢复功能；根据安全保护等级提供异地备份功能以及重要数 据处理系统的热穴余高可用性；云计算环境采取穴余架构或分布式架构设计，支持数据多副本 存储方式；支持通用接口确保云租户业务系统及数据可移植性

8.2区域边界安全保障技术

本项需考虑的因系包括： a） 遵循GB/T25070一2019中的安全区域边界技术要求，对智慧城市建设涉及的通用安全、云安 全、移动互联安全、物联网系统安全等实现保障。 b） 保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信；实现不同租户间虚拟 网络资源之间的隔离，并避免网络资源过量占用；提供开发接口或开放性安全服务，允许云租 户接人第三方安全产品或在云平台选择第三方安全服务。 在安全区域边界设置自主和强制访问控制机制，对进出安全区域边界的数据信息进行控制，阻 止非授权访问；建立租户私有网络实现不同租户之间的安全隔离；允许云租户设置不同虚拟机 之间的访问控制策略；保证当虚拟机迁移时，访问控制策略随其迁移；对接人系统的移动终端， 采取基于SIM卡、证书等信息的强认证措施；能根据数据的时间戳为数据流提供明确的允许/ 拒绝访问的能力；能根据通信协议特性，控制不规范数据包的出人。 d） 在安全区域边界设置审计机制；根据云服务商和云租户的职责划分，实现各自控制部分的审 计；为安全审计数据的汇集提供接口，并可供第三方审计。 e 在区域边界设置探测器，探测非法外联和入侵行为，并及时报告安全管理中心；移动终端区域 边界检测设备监控范围完整覆盖移动终端办公区，并具备无线路由器设备位置检测功能，对于 非法无线路由器设备接人进行报警和阻断， 在安全区域边界设置准人控制机制，能够对设备进行认证，保证合法设备接人，拒绝恶意设备 接人；能够对接人的感知设备进行健康性检查

8.3通信网络安全保障技术

本项需考虑的因素包括： a）遵循GB/T25070一2019中的安全通信网络技术要求，对智慧城市建设涉及的通用安全、云安 全、移动互联安全、物联网系统安全等实现保障。 b）在安全通信网络设置审计机制，由安全管理中心集中管理；保证云服务商对云租户通信网络的 访问操作可被租户审计。 采用由密码技术支持的保密性保护机制，以实现通信网络数据传输保密性保护；支持云租户远 程通信数据保密性保护

d）通信节点采用具有网络可信连接保护功能的系统软件或可信根支撑的信息技术产品，在设备 连接网络时，对源和目标平台身份、执行程序及其关键执行环节的执行资源进行可信验证；实 现基于密码算法的可信网络连接机制，确保接人通信网络的设备真实可信，防止设备的非法 接。 e 采用接入认证等技术建立异构网络的接人认证系统，保障控制信息的安全传输；根据各接人网 的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并采取相应的 防护措施

8.4应用安全保障技术

本项需考虑的因系包括： a 应用安全覆盖身份鉴别、访问控制、安全控制、通信完整性、通信保密性、抗抵赖、软件容错、资 源控制等部分的内容。 D 制定安全开发管理规范，以保证应用系统开发过程得到相应的控制，从而保障系统从开发到生 产运行的全过程的安全管控，需要注意代码安全开发，防范不安全的代码给系统带来的安全风 险；加强内存管理，防止驻留在内存中的剩余信息被他人非授权获取。 c） 应用系统建立统一的账号、认证、授权和审计系统，实施严格的身份管理、安全认证与访问权限 控制，提供用户访问记录，访问可溯， d）应用程序进行可信执行保护，构建从操作系统到上层应用的信任链，以实现系统运行过程中可 执行程序的完整性检验，防范恶意代码等攻击，并在检测到其完整性受到破坏时采取措施 恢复。 e） 应用系统上线前，对其进行全面的安全评估，并进行安全加固；遵循安全最小化原则，关闭未使 用的服务组件和端口；采用专业安全工具对应用系统进行定期评估；在补丁更新前，对补丁与 现有系统的兼容性进行测试。 f）应用系统访问控制支持结合安全管理策略，对账号口令、登录策略进行控制，支持设置用户登 录方式及对系统文件的访问权限；对远程访问控制进行限制，限制匿名用户的访问权限，支持 设置单一用户并发连接次数、连接超时限制等，采用最小授权原则，分别授予不同用户各自所 需的最小权限

3.5大数据安全保障技才

本项需考虑的因素包括： a 保证承载智慧城市大数据存储、处理和分析的设备机房位于中国境内。 b 保证智慧城市大数据平台不承载高于其安全保护等级的大数据应用；提供信息分类分级安全 管理功能，供大数据应用针对不同类别级别的数据采取不同的安全保护措施；信息分类分级参 见附录E， 大数据平台对数据采集终端、数据导入服务组件、数据导出终端、数据导出服务组件的使用实 施身份鉴别；并能对不同客户的大数据应用实施标识和鉴别。 大数据平台为大数据应用提供管控其计算和存储资源使用状况的能力；能屏蔽计算、内存、存 储资源故障，保障业务正常运行。 e 大数据平台提供静态脱敏和去标识化的工具或服务组件技术；对其提供辅助工具或服务组件 实施有效管理。 f 对外提供的大数据平台，平台或第三方只有在大数据应用授权下才可以对大数据应用的数据 资源进行访问、使用和管理。 对数据二次应用严格安全管理，对数据转移导出进行严格控制：针对外部系统有固定的数据需

GB/Z38649—2020

求时，建立具有严格安全审批控制互动接口；大数据对外服务时，要将整个服务过程中涉及的 数据生产、加工、消费链路部署在提供方可监控的环境中，并对外部合作方的数据使用进行监 控审计；根据具体的保护策略对合作方所访问数据的行为进行数字水印保护，以便对信息泄露 的行为进行追踪；对外服务过程中，针对外部合作方制定严格的安全控制、安全管理和安全审 计的管理制度。 建立数字资产安全管理策略，对数据全生命周期的操作规范、保护措施、管理人员职责等进行 规定，包括并不限于数据采集、存储、处理、应用、流动、销毁等过程；具备一种可用技术，能保证 全面和有效地定位云计算数据、擦除/销毁数据，并保证数据已被完全消除或使其无法恢复。

3.6产品与系统安全接口

本项需考虑的因素包括： a）智慧城市产品选型满足统一安全管理和安全运维的接口要求。 b 满足统一用户管理接口要求，为每个用户分配唯一标识符，并统一管理，通过用户管理接口实 现各产品/系统的用户同步 满足统一认证和授权接口要求，智慧城市全系统实现基于CA的统一认证和授权机制，各系统 通过统一认证和授权接口实现对用户的认证和操作授权。 d 满足统一安全监控接口要求，智慧城市安全运维系统通过安全监控接口获取各系统的安全状 态，进而分析智慧城市整体安全态势 e 对高安全等级数据提供安全访问接口，如果产品涉及高安全等级的数据的访问，各产品需提供 加密访问接口。 满足统一安全策略配置接口要求，智慧城市需要实现全系统统一安全策略管理，各产品需提供 安全策略配置接口，以实现对各产品安全策略的统一配置和管理

8.7安全管理中心技术要求

本项需考虑的因素包括： a）可通过系统管理员对系统资源和运行进行配置、控制和可信及密码管理；对系统管理员进行身 份鉴别，只充许其通过特定的命令或操作界面进行系统管理操作，并对这些操作进行审计。 b） 云计算平台安全管理提供查询云租户数据及备份存储位置的方式；物联网系统通过系统管理 员对感知设备、感知网关等进行统一身份标识管理。 C 通过安全管理员对系统中的主体、客体进行统一标记，对主体进行授权，配置可信验证策略，维 护策略库和度量值库；对安全管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行 安全管理操作，并进行审计。 d）云计算安全管理具有对攻击行为回溯分析以及对网络安全事件进行预测和预警的能力；具有 对网络安全态势进行感知、预测和预判的能力；物联网系统通过安全管理员对系统中所使用的 密钥进行统一管理。 通过安全审计员对分布在系统各个组成部分的安全审计机制进行集中管理；提供按时间段开 启和关闭相应类型的安全审计机制；对各类审计记录进行存储、管理和查询等；对审计记录进 行分析，并根据分析结果进行处理；对安全审计员进行身份鉴别，只充许其通过特定的命令或 操作界面进行安全审计操作。 云计算平台对云服务器、云数据库、云存储等云服务的创建、删除等操作行为进行审计；通过运 维审计系统对管理员的运维行为进行安全审计；通过租户隔离机制，确保审计数据隔离的有 效性

A.1智慧城市整体架构

智慧城市技术参考模型如图A.1所示。

附录A （资料性附录） 智慧城市整体框架与主要特征

1智慧城市技术参考模

智慧城市技术参考模型包括五个横向层面和三个纵向体系： a）物联感知层：提供对环境的智能感知能力和执行能力，通过感知设备、执行设备及传输网络实 现对城市范围内基础设施、环境、设备和人员等要素的识别、信息采集、监测和控制； b） 网络通信层：为智慧城市提供大容量、高带宽、高可靠的光网络和全城覆盖的无线宽带接入网 络所组成的网络通信基础设施，包括以互联网、电信网、广播电视网等为主体的核心传输网，提 供无线接人服务的蜂窝无线网络，以及集群专网等一些专用的网络等； c）计算与存储层：包括软件资源、计算资源和存储资源，为智慧城市提供数据存储和计算以及相 关软件环境的资源，保障上层对于数据的相关需求； d） 数据及服务融合层：通过数据和服务的融合支撑，承载智慧应用层中的相关应用，提供应用所

GB/Z38649—2020

需的各种服务，为构建上层各类智慧应用提供支撑，本层处于智慧城市总体参考模型的中上 层，具有重要的承上启下的作用； 智慧应用层：在物联感知层、网络通信层、计算与存储层、数据及服务融合层之上建立的各种基 于行业或领域的智慧应用及应用整合，如智慧政务、智慧交通、智慧公共服务、智慧医疗、智慧 园区、智慧社区、智慧旅游等，为社会公众、企业用户、城市管理决策用户等提供整体的信息化 应用和服务； 安全保障体系：为智慧城市构建统一的安全平台，实现统一人口、统一认证、统一授权、日志记 录，涉及各横向层次； g）运维管理体系：为智慧城市提供整体的运维管理机制，涉及各横向层次，确保智慧城市整体的 建设管理和长效运行； 建设管理体系：为智慧城市建设提供整体的建设管理要求，加强智慧城市建设管理机制，指导 智慧城市相关建设，确保智慧城市建设的科学性和合理性

A.2智慧城市的主要特征

高渗透与个人隐私。物联网、无线宽带网等网络规模大大增加，人们使用网络的时间和位置限 制被突破；新的智慧应用让普通民众主动地参与信息创造和发布以及网络运转的其他环节，因 此，智慧城市对人类社会的渗透水平大大提升。同时，智慧城市建设以人为本，涉及隐私数据， 包括个人基本信息、个人偏好、个人位置及个人行为数据等。高渗透造成个人隐私保护风险 剧增。

信息化主管部门制定检查评估年度实施计划

GB/Z38649—2020

附录B （资料性附录） 智慧城市风险评估方法和流程

信息化主管部门委托符合条件的风险评估服务机构，对重要信息系统实施检查评估。

B.3系统规划风险评估

对总体规划、设计方案等相关配套文件的合理性和正确性以及安全控制措施的有效性进行评估；计 估结果体现于信息系统整体规划或项目建议书

对本机构所有信息系统共有的公共部分进行评估，实施总体风险控制；根据信息系统的总体风险状 况确定评估频率

对研发、运行及废弃的全过程进行风险评估，分别包括试运行与运行后的风险评估。

在信息系统正常运行一段时间后进行的评估，旨在评估对信息系统各项风险的控制是否恰当， 现预定的设计目标。运行后的系统评估一般在信息系统正常运行半年后进行，评估报告对被评付 息系统提出改进或增加风险控制、能否继续运行等内容的评估建议

对假评白系统及： ，或信息化主管部门认为需要对信息系统某项专题进行评估

1智慧城市网络空间安全事件分类

量城市网络空间安全事件

附录 C （资料性附录） 智慧城市网络空间安全事件分类分级

智慧城市网络空间安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件 设备设施故障、灾害性事件和其他网络安全事件等。具体分类如下： a）有害程序事件分为计算机病毒事件、端虫事件、特洛伊木马事件、僵户网络事件、混合程序攻击 事件、网页内嵌恶意代码事件和其他有害程序事件。 b 网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络 钓鱼事件、干扰事件和其他网络攻击事件， C） 信息破坏事件分为信息套改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息去失事件 和其他信息破坏事件。 d）信息内容安全事件是指通过网络传播法律法规禁止信息，组织非法串联、煽动集会游行或炒作 敏感问题并危害国家安全、社会稳定和公众利益的事件 e） 设备设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障 灾害性事件是指由自然灾害等其他突发事件导致的网络安全事件。 分类的网络安全事件

C.2智慧城市网络空间安全事件应急响应分级

事件发生地区和部门按相关预案进行应急响应

GB/Z38649—2020

智慧城市网络信息系统损失是指由于智慧城市网络空间安全事件对系统的软硬件、功能及数据的 披坏，导致系统业务中断，从而给事发组织所造成的损失，其大小主要考虑恢复系统正常运行和消除安 全事件负面影响所需付出的代价，划分为特别严重的系统损失、严重的系统损失、较大的系统损失和较 √的系统损失，说明如下： a）特别严重的系统损失：造成系统大面积瘫痰，使其丧失业务处理能力，或系统关键数据的保密 性、完整性、可用性遭到严重破坏，恢复系统正常运行和消除安全事件负面影响所需付出的代 价十分巨大，对于事发组织是不可承受的； b 严重的系统损失：造成系统长时间中断或局部瘫痪，使其业务处理能力受到极大影响，或系统 关键数据的保密性、完整性、可用性遭到破坏，恢复系统正常运行和消除安全事件负面影响所 需付出的代价巨大，但对于事发组织是可承受的； 较大的系统损失：造成系统中断，明显影响系统效率，使重要信息系统或一般信息系统业务处 理能力受到影响，或系统重要数据的保密性、完整性、可用性遭到破坏，恢复系统正常运行和消 除安全事件负面影响所需付出的代价较大，但对于事发组织是完全可以承受的； d）车 较小的系统损失：造成系统短暂中断，影响系统效率，使系统业务处理能力受到影响，或系统重 要数据的保密性、完整性、可用性遭到影响，恢复系统正常运行和消除安全事件负面影响所需 付出的代价较小。

附录D （资料性附录） 信息安全建设内容编制指南

在“必要性”“需求分析”“建设方案”等篇章专设一节描述“信息安全”相关内容。具体内容如下： a）项目建设的必要性 增加“信息安全保障现状与差距”：阐述目前信息安全软硬件装备和应用情况，梳理信息安全有关规 定和要求，分析存在的主要问题和差距。 b）需求分析 增加“信息安全风险与需求分析”：识别影响网络与信息安全的主要因素，分析可能面临的信息安全 主要风险。 c）本期项目建设方案 专设“网络与信息安全保障体系建设”一节：描述保障本项目基础网络安全、重要系统安全和信息内 容安全的软硬件配置方案、标准规 息安全检测与审查措施

在“必要性”“需求分析”“建设方案”等篇章专设一节描述“信息安全”相关内容。具体内容如下： a）项目建设的必要性 增加“信息安全保障现状与差距”：阐述目前信息安全软硬件装备和应用情况，梳理信息安全有关规 定和要求，分析存在的主要问题和差距。 b）需求分析 增加“信息安全风险与需求分析”：识别影响网络与信息安全的因素，分析可能面临的信息安全风险 及危害程度。 从业务需求出发，进行信息安全风险评估。对信息资产的重要性、威胁发生的频率、系统自身脆弱 性进行识别和关联分析，判断信息系统面临的风险及应采取什么强度的安全措施将风险可能造成的影 向控制在可接受的范围内，分析信息及信息系统对国家安全、经济建设和社会生活的重要程度及遭到破 不后对其的危害程度， c）本期项目建设方案 专设“网络与信息安全保障体系建设”二节，按照信息安全等级保护要求，确定等级，阐述保障本项 目基础网络安全、重要系统安全和信息内容安全的软硬件配置方案、标准规范建设内容、信息安全检测 计划、项目建设与运行维护过程的信息安全审查与控制措施

GB/Z38649—2020

附录E （资料性附录） 信息分类分级管理

本指导性技术文件中的政府信息是指政府机关，包括受政府委托代行政府机关职能的机构，在履行 职责过程中，以及政府合同单位在完成政府委托任务过程中产生、获取的，通过计算机等电子装置处理、 保存、传输的数据，以及相关的程序、文档等。 涉密信息的处理、保存、传输、利用按国家保密法规执行。 本指导性技术文件将非涉密信息分为敏感信息、公开信息两种类型

E.1.2.1敏感信息的概念

敏感信息指不涉及国家秘密，但与国家安全、经济发展、社会稳定，以及企业和公众利益密切相关 言息，这些信息一旦未经授权披露、丢失、用、篡改或销毁可能造成以下后果： 损害国防、国际关系： 损害国家财产和公共利益，以及个人财产或人身安全； ） 影响国家预防和打击经济与军事间谋、政治渗透、有组织犯罪等； 影响行政机关依法调查处理违法、读职行为，或涉嫌违法、读职行为： e 干扰政府部门依法公正地开展监督、管理、检查、审计等行政活动，妨碍政府部门履行职责； f 危害国家关键基础设施、政府信息系统安全： g） 影响市场秩序，造成不公平竞争，破坏市场规律； h） 可推论出国家秘密事项； i） 侵犯个人隐私、企业商业秘密和知识产权； j 损害国家、企业、个人的其他利益和声誉。 注: 参考GB/T 31167—2014.

E.1.2.2敏感信息的范围

敏感信息包括但不限于： a）公开但正式发布前不宜泄露的信息，如规划、统计、预算、招投标等的过程信息； b）执法过程中生成的不宜公开的记录文档； c）一定精度和范围的国家地理、资源等基础数据； d）个人信息，或通过分析、统计等方法可以获得个人隐私的相关信息； e）企业的商业秘密和知识产权中不宜公开的信息； f）关键基础设施、政府信息系统安全防护计划、策略、实施等相关信息； g）行政机构内部的人事规章和工作制度； h）政府部门内部的人员晋升、奖励、处分、能力评价等人事管理信息； ） 根据国际条约、协议不宜公开的信息：

法律法规确定的不宜公开信息； k）单位根据国家要求或本单位要求认定的敏感信息

公开信息指不涉及国家秘密且不是敏感信息的智慧城市相关信息，包括但不限于： a） 行政法规、规章和规范性文件，发展规划及相关政策； b） 统计信息，财政预算决算报告，行政事业性收费的项目、依据、标准； 政府集中采购项目的目录、标准及实施情况； d） 行政许可的事项、依据、条件、数量、程序、期限以及申请行政许可需要提交的全部材料目录及 办理流程； e） 重大建设项目的批准和实施情况； f） 扶贫、教育、医疗、社会保障、促进就业等方面的政策、措施及其实施情况； g 突发公共事件的应急预案、预警信息及应对情况； h 环境保护、公共卫生、安全生产、食品药品、产品质量的监督检查情况等； 1 其他根据相关法律法规应该公开的信息

E.2.1业务分类原则

确定了信息类型后，还需要对承载相关信息的业务进行分类。根据业务不能正常开展时可能造 响范围和程度，本指导性技术文件将政府业务划分为一般业务、重要业务、关键业务三种类型。

影响范围、程度有限 通常政府部门、社会公众对一般业 内单位衡量

重要业务一且受到十扰或停顿，会对政府决策和运转、对公众服务产生较大影响，在一定范围内影 响公众的工作生活，造成财产损失，引发少数人对政府的不满情绪。此类业务出现问题，造成的影响范 围、程度较大。 满足以下条件之一的业务可被认为是重要业务： 政府部门对业务中断的容忍程度小于24h； 一业务系统的服务对象超过10万用户； 信息发布网站的访问量超过每天500万人次； 出现安全事件造成100万元以上经济损失； 出现问题后可能造成其他较大危害

关键业务一旦受到干扰或停顿，将对政府决策和运转、对公服务产生严重影响，威胁国家安全和 命财产安全，严重影响政府声誉，在一定程度上动摇公众对政府的信心。 满足以下条件之一的业务可被认为是关键业务： 政府部门对业务中断的容忍程度小于1h

业务系统的服务对象超过100用户 出现安全事件造成5000万元以上经济损失钢筋标准规范范本，或危害人身安全； 出现问题后可能造成其他严重危害

GB/Z38649—2020

在分类信息和业务的基础上，综合平衡采用智慧城市建设运营后的效益和风险，确定优先部署到智 慧城市云计算平台的数据和业务，如图E.1所示。 承载公开信息的一般业务可优先采用包括公有云在内的云平台，尤其是那些利用率较低、维护和升 吸成本较高、与其他系统关联度低的业务应优先考虑采用社会化的公有云平台。 承载敏感信息的一般业务和重要业务，以及承载公开信息的重要业务也可采用云平台，但宜采用安 全特性较好的私有云或社区云。 关键业务系统暂不宜采用社会化的公有云平台，但可采用场内私有云（自有私有云）

图E.1采用智慧城市建设的优先级

客户信息需得到适当的保护。对于公开信息主要是防篡改、防丢失，对于敏感信息还要防止未经授 权披露、丢失、滥用、篡改和销毁。 客户业务需得到适当保护，保证业务的安全性和持续性， 云服务商对不同类型的信息和业务需根据客户需求提供相应强度的安全保护，如图E.2所示

图E.2安全保护分类需求

对智慧城市建设的安全能力需求如下： 承载公开信息的一般业务需要一般安全保护： 承载敏感信息的一般业务和重要业务，以及承载公开信息的重要业务需要增强安全保护； 关于一般安全保护和增强安全保护的具体指标要求检验检疫标准，见相应的国家标准。

对智慧城市建设的安全能力需求如下： 承载公开信息的一般业务需要一般安全保护： 承载敏感信息的一般业务和重要业务，以及承载公开信息的重要业务需要增强安全保护； 关于一般安全保护和增强安全保护的具体指标要求，见相应的国家标准。

GB/Z38649—2020