DB5301-T 75-2022 城市軌道交通信息系統(tǒng)安全管理規(guī)范

ICS01.040.35CCSL0953012022-05-15發(fā)布IDB5301/T75—2022前言 2規(guī)范性引用文件 3術(shù)語和定義 4縮略語 5總體要求 25.1基本原則 25.2定級與保護(hù) 25.3密碼應(yīng)用 26重要信息基礎(chǔ)設(shè)施 26.1識別認(rèn)定 26.2保護(hù)要求 37管理要求 37.1措施 37.2制度 37.3機(jī)構(gòu)和人員 47.4資產(chǎn)管理 47.5評審 48安全要求 48.1安全建設(shè) 48.3安全運(yùn)維 58.4風(fēng)險(xiǎn)評估 58.5安全測評 58.6數(shù)據(jù)保護(hù) 58.7個(gè)人信息保護(hù) 58.8信息發(fā)布 59網(wǎng)絡(luò)與信息安全事件 69.1分類 69.2分級 69.3應(yīng)急管理 69.4監(jiān)測與預(yù)警 69.5應(yīng)急響應(yīng) 69.6處置與恢復(fù) 69.7應(yīng)急演練 6附錄A（資料性）主要生產(chǎn)系統(tǒng)安全保護(hù)要求 7DB5301/T75—2022參考文獻(xiàn).................................................................................................................................................................8DB5301/T75—2022本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由昆明市交通運(yùn)輸局提出并歸口。本文件起草單位：昆明地鐵運(yùn)營有限公司、云南京建軌道交通投資建設(shè)有限公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司。本文件主要起草人：孟帥、趙磊、劉春宏、趙佳佳、丁琴、李韜、王磊、陸陽、李俊、胡鳳玲。1DB5301/T75—2022城市軌道交通信息系統(tǒng)安全管理規(guī)范本文件對城市軌道交通運(yùn)營企業(yè)（以下簡稱“運(yùn)營企業(yè)”）信息系統(tǒng)的網(wǎng)絡(luò)與信息安全的總體要求、重要信息基礎(chǔ)設(shè)施、管理要求、安全要求、網(wǎng)絡(luò)與信息安全事件等做出了規(guī)定。本文件適用于運(yùn)營企業(yè)信息系統(tǒng)的網(wǎng)絡(luò)與信息安全保護(hù)，也可作為組織開展信息系統(tǒng)網(wǎng)絡(luò)與信息安全建設(shè)時(shí)的依據(jù)。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T20984信息安全技術(shù)信息安全風(fēng)險(xiǎn)評估規(guī)范GB/Z20986信息安全技術(shù)信息安全事件分類分級指南GB/T22080信息技術(shù)安全技術(shù)信息安全管理體系要求GB/T22239信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求GB/T22240信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)定級指南GB/T25058信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)實(shí)施指南GB/T25069信息安全技術(shù)術(shù)語GB/T25070信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)安全設(shè)計(jì)技術(shù)要求GB/T36626信息安全技術(shù)信息系統(tǒng)安全運(yùn)維管理指南GB/T39786信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求DB5301/T40城市軌道交通運(yùn)營企業(yè)安全管理規(guī)范3術(shù)語和定義GB/T25069中界定的以及下列術(shù)語和定義適用于本文件。3.1安全生產(chǎn)網(wǎng)用于承載運(yùn)營企業(yè)安全生產(chǎn)及管控、運(yùn)輸指揮、應(yīng)急指揮調(diào)度業(yè)務(wù)相關(guān)系統(tǒng)數(shù)據(jù)通信及數(shù)據(jù)共享的計(jì)算機(jī)網(wǎng)絡(luò)。部署如自動化過程控制執(zhí)行系統(tǒng)、協(xié)調(diào)調(diào)度類業(yè)務(wù)系統(tǒng)與行車相關(guān)的業(yè)務(wù)系統(tǒng)。3.2內(nèi)部管理網(wǎng)用于承載運(yùn)營企業(yè)管理、運(yùn)營管理、建設(shè)管理、資源管理以及日常辦公等企業(yè)信息化相關(guān)業(yè)務(wù)系統(tǒng)數(shù)據(jù)通信及數(shù)據(jù)共享的計(jì)算機(jī)網(wǎng)絡(luò)。部署如人力資源管理、資產(chǎn)管理、財(cái)務(wù)管理、協(xié)同辦公等企業(yè)管理信息系統(tǒng)以及建設(shè)管理、安全管理、施工管理、保護(hù)區(qū)管理等生產(chǎn)管理信息系統(tǒng)。4縮略語2DB5301/T75—2022下列縮略語適用于本文件ACC：自動售檢票系統(tǒng)的清分中心（AFCClearingCenter）AFC：自動售檢票系統(tǒng)（AutomaticFareCollection）ATS：列車自動監(jiān)控(AutomaticTrainSupervision)CBI：計(jì)算機(jī)連鎖(ComputerBasedInterlock)DCS：數(shù)據(jù)通信系統(tǒng)(DataCommunicationSystem)PSCADA：電力監(jiān)控系統(tǒng)（PowerSCADA）5總體要求5.1基本原則5.1.1運(yùn)營企業(yè)應(yīng)根據(jù)GB/T22080的要求建立信息安全管理體系，并宜取得法定機(jī)構(gòu)的認(rèn)證。5.1.2運(yùn)營企業(yè)應(yīng)遵照GB/T22239、GB/T22240、GB/T25058、GB/T25070等相關(guān)標(biāo)準(zhǔn)規(guī)范的要求，對企業(yè)的信息系統(tǒng)及重要信息基礎(chǔ)設(shè)施的安全進(jìn)行識別并實(shí)施保護(hù)。5.1.3運(yùn)營企業(yè)的信息安全工作應(yīng)與線路同步規(guī)劃、同步設(shè)計(jì)、同步建設(shè)，并在移交運(yùn)營前,完成網(wǎng)絡(luò)安全等級保護(hù)測評及密碼應(yīng)用安全評估工作。5.2定級與保護(hù)5.2.1定級運(yùn)營企業(yè)應(yīng)按照GB/T22240要求，確定信息系統(tǒng)的安全保護(hù)等級。5.2.2保護(hù)運(yùn)營企業(yè)應(yīng)按照GB/T22239、GB/T25058的要求對已確定安全保護(hù)等級的信息系統(tǒng)進(jìn)行等級保護(hù)。5.3密碼應(yīng)用運(yùn)營企業(yè)信息系統(tǒng)密碼應(yīng)用應(yīng)符合GB/T39786的要求。6重要信息基礎(chǔ)設(shè)施6.1識別認(rèn)定6.1.1運(yùn)營企業(yè)應(yīng)根據(jù)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》（中華人民共和國國務(wù)院令第745號）的要求識別出的關(guān)鍵信息基礎(chǔ)設(shè)施，均必須認(rèn)定為運(yùn)營企業(yè)重要信息基礎(chǔ)設(shè)施。6.1.2運(yùn)營企業(yè)應(yīng)在重要信息基礎(chǔ)設(shè)施認(rèn)定過程中，同時(shí)對企業(yè)非關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行梳理，識別和認(rèn)定。6.1.3重要信息基礎(chǔ)設(shè)施的識別順序應(yīng)符合表1的規(guī)定。3DB5301/T75—2022表1重要信息基礎(chǔ)設(shè)施的識別順序PSCADA、ATS、CBI、DCS、6.1.4重要信息基礎(chǔ)設(shè)施認(rèn)定順序如下：a)梳理運(yùn)營組織、乘客服務(wù)等環(huán)節(jié)的關(guān)鍵業(yè)務(wù)；b)根據(jù)關(guān)鍵業(yè)務(wù)，識別如行車控制、電力控制、票務(wù)清分等核心信息流；c)認(rèn)定核心信息流涉及的信息系統(tǒng)；d)確定核心信息流涉及到的重要信息基礎(chǔ)設(shè)施的邊界。6.2保護(hù)要求6.2.1運(yùn)營企業(yè)認(rèn)定為重要信息基礎(chǔ)設(shè)施的信息系統(tǒng)，應(yīng)納入網(wǎng)絡(luò)安全等級保護(hù)以及重要信息基礎(chǔ)設(shè)施保護(hù)范圍。6.2.2運(yùn)營企業(yè)信息系統(tǒng)安全等級劃分執(zhí)行GB/T22240的規(guī)定，重要信息基礎(chǔ)設(shè)施的安全等級保護(hù)級別不應(yīng)低于第三級。6.2.3要生產(chǎn)系統(tǒng)信息安全保護(hù)要求見附錄A。7管理要求7.1措施7.1.1運(yùn)營企業(yè)應(yīng)在規(guī)劃、建設(shè)、運(yùn)行全過程中采用適宜的安全技術(shù)措施，對信息系統(tǒng)實(shí)施等級保護(hù)。7.1.2運(yùn)營企業(yè)重要信息基礎(chǔ)設(shè)施還應(yīng)采取相應(yīng)措施對機(jī)構(gòu)、人員、資產(chǎn)等方面進(jìn)行安全管理。7.2制度7.2.1建立要求運(yùn)營企業(yè)應(yīng)按照GB/T22239以及GB/T25058的要求，建立并實(shí)施網(wǎng)絡(luò)與信息安全管理制度體系，網(wǎng)絡(luò)與信息安全管理制度體系宜分級編制。7.2.2基本內(nèi)容7.2.2.1由運(yùn)營企業(yè)網(wǎng)絡(luò)與信息安全管理機(jī)構(gòu)編制網(wǎng)絡(luò)與信息安全管理體系文件，內(nèi)容包括但不限于：——安全目標(biāo)；——安全組織架構(gòu)；——安全建設(shè)策略；——安全運(yùn)維策略；——安全技術(shù)策略；——風(fēng)險(xiǎn)評估策略；——密碼應(yīng)用策略。4DB5301/T75—20227.2.2.2運(yùn)營企業(yè)宜針對各業(yè)務(wù)系統(tǒng)，根據(jù)系統(tǒng)對應(yīng)保護(hù)等級，在網(wǎng)絡(luò)與信息安全管理體系文件的框架下編制管理制度，內(nèi)容包括但不限于：——二級安全目標(biāo)；——二級安全組織；——安全建設(shè)策略實(shí)施方案；——安全運(yùn)維策略實(shí)施方案；——安全技術(shù)策略實(shí)施方案；——風(fēng)險(xiǎn)評估策略實(shí)施方案；——密碼應(yīng)用策略實(shí)施方案。7.3機(jī)構(gòu)和人員7.3.1機(jī)構(gòu)運(yùn)營企業(yè)應(yīng)按照GB/T22239要求，設(shè)置網(wǎng)絡(luò)與信息安全管理機(jī)構(gòu)：——應(yīng)成立網(wǎng)絡(luò)與信息安全工作的委員會或領(lǐng)導(dǎo)小組，協(xié)調(diào)相關(guān)資源，全面規(guī)劃與決策信息安全相關(guān)工作?！獞?yīng)設(shè)立網(wǎng)絡(luò)與信息安全工作小組，在網(wǎng)絡(luò)與信息安全工作的委員會或領(lǐng)導(dǎo)小組指導(dǎo)下，負(fù)責(zé)日常網(wǎng)絡(luò)與信息安全管理工作。7.3.2人員運(yùn)營企業(yè)相關(guān)人員應(yīng)符合下列要求：——運(yùn)營企業(yè)從業(yè)人員經(jīng)過安全背景審查；——運(yùn)營企業(yè)從業(yè)人員應(yīng)具有網(wǎng)絡(luò)安全、密碼應(yīng)用知識教育的經(jīng)歷；——網(wǎng)絡(luò)與信息安全管理人員：.宜具備國家網(wǎng)絡(luò)安全管理及技術(shù)的相關(guān)資質(zhì)；.應(yīng)定期接受網(wǎng)絡(luò)安全、密碼應(yīng)用及保密方面的管理及技能培訓(xùn)；.上崗前應(yīng)當(dāng)經(jīng)過保密教育培訓(xùn)，掌握保密知識技能；.簽訂保密承諾書，嚴(yán)格遵守企業(yè)保密規(guī)章制度?！P(guān)鍵崗位人員離崗或退出時(shí)，應(yīng)簽署離崗或退出承諾書，明確其應(yīng)承擔(dān)的責(zé)任和義務(wù)。7.4資產(chǎn)管理運(yùn)營企業(yè)應(yīng)對信息系統(tǒng)相關(guān)業(yè)務(wù)鏈進(jìn)行梳理，建立業(yè)務(wù)鏈相關(guān)的資產(chǎn)清單，并歸檔保存。在系統(tǒng)發(fā)生改建、擴(kuò)建等重大變化時(shí)，運(yùn)營企業(yè)應(yīng)及時(shí)更新資產(chǎn)清單，并對歸檔文件進(jìn)行維護(hù)。7.5評審運(yùn)營企業(yè)每年至少開展一次對網(wǎng)絡(luò)與信息安全管理的評審工作，包括但不限于制度的執(zhí)行、修訂和完善情況。8安全要求8.1安全建設(shè)5DB5301/T75—2022運(yùn)營企業(yè)安全建設(shè)按照GB/T22239、GB/T25070、GB/T25058的規(guī)定和要求進(jìn)行，建設(shè)完成后應(yīng)在上線前進(jìn)行安全檢測，安全檢測結(jié)果應(yīng)符合國家網(wǎng)絡(luò)安全的相關(guān)要求。8.2安全防護(hù)8.2.1運(yùn)營企業(yè)應(yīng)根據(jù)GB/T22239、GB/T25058要求，采取適宜的措施對信息系統(tǒng)進(jìn)行技術(shù)防護(hù)。信息系統(tǒng)劃分為安全生產(chǎn)網(wǎng)、內(nèi)部管理網(wǎng)兩個(gè)區(qū)域。——安全域間應(yīng)做到物理隔離，邊界防護(hù)設(shè)備的數(shù)據(jù)交換方式宜采用雙向隔離網(wǎng)閘，不宜進(jìn)行信息實(shí)時(shí)交互；——邊界防護(hù)設(shè)備應(yīng)具備訪問控制、流量清洗、入侵防護(hù)檢測、安全審計(jì)等功能。8.2.2運(yùn)營企業(yè)安全生產(chǎn)網(wǎng)中非重要信息基礎(chǔ)設(shè)施的信息系統(tǒng)宜參照GB／T22239第二級安全要求進(jìn)行防護(hù)；內(nèi)部管理網(wǎng)信息系統(tǒng)宜參考GB／T22239第二級安全要求進(jìn)行防護(hù)。8.3安全運(yùn)維運(yùn)營企業(yè)可遵循GB/T36626以及GB/T22239相關(guān)要求開展運(yùn)維工作。應(yīng)制定相應(yīng)的規(guī)范對運(yùn)維相關(guān)事宜進(jìn)行管理，運(yùn)維外包的也應(yīng)要求并監(jiān)督外包方執(zhí)行安全運(yùn)維管理要求，包括但不限于：——資產(chǎn)管理；——介質(zhì)管理；——設(shè)備維護(hù)管理；——漏洞和風(fēng)險(xiǎn)管理；——網(wǎng)絡(luò)和系統(tǒng)安全管理；——惡意代碼防護(hù)管理；——配置管理；——變更管理；——備份與恢復(fù)管理；——文檔資料管理。8.4風(fēng)險(xiǎn)評估運(yùn)營企業(yè)宜參照GB/T20984自行或委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對信息系統(tǒng)開展風(fēng)險(xiǎn)評估，并按照DB5301/T40的風(fēng)險(xiǎn)預(yù)防和隱患管理要求進(jìn)行管理。8.5安全測評運(yùn)營企業(yè)應(yīng)按照GB/T22239以及GB/T39786要求對信息系統(tǒng)開展安全測評。8.6數(shù)據(jù)保護(hù)運(yùn)營企業(yè)應(yīng)采取數(shù)據(jù)安全保護(hù)措施，對信息系統(tǒng)數(shù)據(jù)的全生命周期進(jìn)行安全防護(hù)。8.7個(gè)人信息保護(hù)運(yùn)營企業(yè)收集、使用個(gè)人信息，應(yīng)遵循合法、正當(dāng)、必要和誠信的原則，明確使用的目的、方式和范圍，并采取相應(yīng)措施對收集到的個(gè)人信息進(jìn)行安全保護(hù)，不應(yīng)泄露、篡改和利用個(gè)人信息。8.8信息發(fā)布運(yùn)營企業(yè)應(yīng)對信息系統(tǒng)信息發(fā)布進(jìn)行審核，發(fā)布內(nèi)容應(yīng)符國家、行業(yè)、企業(yè)信息安全及保密要求。6DB5301/T75—20229網(wǎng)絡(luò)與信息安全事件9.1分類網(wǎng)絡(luò)安全事件宜按照GB/Z20986要求進(jìn)行分類。網(wǎng)絡(luò)安全事件可分為網(wǎng)絡(luò)攻擊事件、有害程序事件、信息泄密事件和信息內(nèi)容安全事件。9.2分級網(wǎng)絡(luò)安全事件宜按照GB/Z20986要求進(jìn)行分級。根據(jù)事件發(fā)生后的影響和破壞性，分為以下四個(gè)級別：）；——較大事件(Ⅲ級——一般事件(Ⅳ級）。9.3應(yīng)急管理運(yùn)營企業(yè)應(yīng)結(jié)合信息系統(tǒng)實(shí)際情況，將網(wǎng)絡(luò)與信息安全應(yīng)急處置方面的制度納入企業(yè)應(yīng)急管理體系，在管理制度中按照網(wǎng)絡(luò)安全事件的不同類別和級別進(jìn)行細(xì)化管理并編制相應(yīng)的網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案。9.4監(jiān)測與預(yù)警運(yùn)營企業(yè)應(yīng)按照“誰主管誰負(fù)責(zé)、誰運(yùn)行誰負(fù)責(zé)”的原則對信息系統(tǒng)開展監(jiān)測工作，由網(wǎng)絡(luò)與信息安全工作的委員會或領(lǐng)導(dǎo)小組組織研判后發(fā)布網(wǎng)絡(luò)與信息安全事件預(yù)警。9.5應(yīng)急響應(yīng)運(yùn)營企業(yè)應(yīng)根據(jù)預(yù)警等級啟動應(yīng)急預(yù)案和應(yīng)急響應(yīng)工作，應(yīng)根據(jù)事件級別成立相應(yīng)的應(yīng)急指揮與處置隊(duì)伍，應(yīng)急處置隊(duì)伍可根據(jù)實(shí)際情況進(jìn)行確定，不限于網(wǎng)絡(luò)與信息安全工作小組、各部門人員、系統(tǒng)或設(shè)備廠商、聘請的網(wǎng)絡(luò)與信息安全服務(wù)機(jī)構(gòu)的相關(guān)人員等。9.6處置與恢復(fù)事件處置與恢復(fù)工作內(nèi)容包括但不限于：——應(yīng)根據(jù)應(yīng)急預(yù)案進(jìn)行處置；——應(yīng)對事件進(jìn)行取證分析；——應(yīng)對業(yè)務(wù)和信息系統(tǒng)進(jìn)行恢復(fù)測