1 智慧城市安全体系建设主要角色与责任划分
a)政府主管部门。作为智慧城市决策者和管理协调者,负责智慧城市建设和发展的规划和监管,协调、指导智慧城市建设信息安全保障工作。
b)规划设计咨询机构。整个智慧城市安全体系建设中承担智慧城市前期规划设计与后期跟踪咨询服务。
c)智慧城市应用提供商。作为智慧城市服务提供者,为智慧城市开发应用,应保证智慧城市应用符合本标准的安全运维和安全管理要求。
d)集成商。作为智慧城市建设者,在政府的授权下,负责智慧城市建设。应保证智慧城市建设过程符合指南的安全要求。
e)智慧城市服务运营商。在政府的监管下,负责智慧城市运营,并保障智慧城市安全。必需有信息安全专业人员承担智慧城市运营安全保障岗位。
f)第三方安全评估机构。对智慧城市安全体系和应用安全性开展独立的评估。智慧城市风险评估方法和流程见附录A。
g)智慧城市服务使用者。依据国家法律法规、政策文件及标准规范,合理使用或应用智慧城市服务运营商提供的应用和服务,以及向智慧城市服务运营商反馈合理的需求诉求。
2 责任人机制
智慧城市项目建设单位应指定项目信息安全保障第一责任人;建设项目应及时向信息化主管部门备案;贯彻执行相关法规和技术标准,落实信息化主管部门的要求,编制信息安全保障等相关内容并履行。
3 追溯查证机制
智慧城市是一个面向公众提供服务的信息化平台,因此应建立安全取证机制,建立全流程有效的责任追溯查证体系,明确各环节的主体责任,制定信息系统安全保障岗位责任制度,并监督落实。
a)智慧城市各系统应详细记录用户的活动信息,包括时间、地点、操作和操作结果,以建立取证的数据基础。
b)应建立智慧城市调查与取证体系,包括软硬件系统和符合法律的取证过程,以对存在的违法入侵进行快速而有效的调查和取证。
c)应保证证据数据在调查和取证过程数据不被改变和删除。具体措施可以参考ISO/IEC 27037:2012《数字证据识别、收集、获取和保存指南》、ISO/IEC27042《数字证据分析和解释指南》。
4 监督检查机制
信息系统的安全保障监督管理由信息安全监管相关职能部门,通过备案、检查、督促整改等方式,对建设项目的信息安全保护工作进行指导监督;
信息化主管部门应会同行业主管或监管部门,以及其他信息安全管理部门,定期对建设项目进行全面的安全检查,排查安全隐患,堵塞安全漏洞,通报发现问题并敦促整改。
项目建设和运营单位对抽查、抽检发现的问题,应认真落实整改意见,并在规定期限向信息化主管部门报告整改情况。
5 应急预案演练与处理机制
参照GB/Z 20986-2007《信息安全技术信息安全事件分类分级指南》,结合智慧城市网络空间与物理空间联动配合情况,确定不同级别的具体量化指标,以此指导信息安全故障等级的定级。制定应急预案,包括启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容。定期对应急预案进行演练。随着信息系统的变更应定期对原有的应急预案重新评估,修订完善。安全故障发生时,按应急处理程序处置,及时向主管部门报告项目信息系统发生的重大系统事故或突发事件,并按有关预案快速响应。
6 服务外包安全责任机制
安全服务商的选择符合国家的有关规定;与选定的安全服务商签订与安全相关的协议,明确约定相关责任;确保选定的安全服务商提供技术支持和服务承诺,必要的与其签订服务合同。严格管理信息技术服务外包的安全,确保提供服务的数据中心、云计算服务平台等设在境内。
7 信息安全保障教育培训机制
制定安全教育和培训计划,对各类人员进行信息安全意识教育和相关信息安全技术培训;建立信息系统安全保障的专业队伍,适应信息智慧技术的发展。
因篇幅问题不能全部显示,请点此查看更多更全内容