智慧城市信息安全保障体系实施意见

XX智慧城市信息安全保障体系实施意见

修订及审核记录

注：文件生命周期包括“起草-〉制订-〉修订-〉审核-〉批准-〉发布-〉归档”

目录

一、总体要求 (4)

二、建立健全信息安全保障组织体系 (4)

三、健全安全防护和管理，保障重点领域信息安全 (4)

(一)确保重要信息系统和基础信息网络安全 (4)

(二)加强电子政务系统安全管理 (5)

(三)保障工业控制系统安全 (5)

(四)保障智慧城市运营信息安全 (5)

(五)强化信息资源和个人信息保护 (6)

(六)健全标准规范与制度体系 (6)

(七)XX域信息安全一体化管理落实 (6)

四、加快能力建设，提升网络与信息安全保障水平 (6)

(一)夯实网络与信息安全基础 (6)

(二)加强网络信任体系建设和密码保障机制 (7)

(三)提升网络与信息安全监管能力 (7)

(四)加快技术攻关和产业发展 (7)

(五)合理引入服务外包机制，加强服务外包风险控制 (7)

(六)加强信息安全应急体系深化建设 (7)

(七)加强全区民众信息安全意识教育与普及 (8)

XX信息化历经十年建设和发展，经历了“起步发展、要素准备、一体优化、全面提升”四个阶段，当前整体水平保持较高水准，基础建设和多项应用达到先进水平，连续多年通过信息安全等级保护测评。

随着XX智慧城市规划建设的启动，针对XX智慧城市的信息安全保障问题显得日益迫切和重要。为进一步提高XX信息网络基础和重要智慧城市信息系统安全保护能力，促进嘉定智慧城市建设健康发展，充分调动全民参与XX智慧城市建设的积极性，增强智慧城市信息安全防护的整体性、针对性和实效性，使XX 智慧城市信息安全建设突出重点、统一规范、科学合理，现提出如下意见：

一、总体要求

为了进一步贯彻落实国家以及上海市政府关于智慧城市的战略部署和相关政策要求，加强信息安全保障体系和与之配套设施信息化工程规划、建设和运行同步建设，完善信息安全保障工作的顶层设计、宏观统筹和协调推进的水平。抓好重点领域信息安全监管，强化信息安全基础性工作，提高XX智慧城市的信息安全的保障能力和防护水平。以确保实现维护国家安全、公共利益和社会稳定，保障和促进XX智慧城市建设的健康发展。

二、建立健全信息安全保障组织体系

建立和完善统一的信息安全领导协调机构。建立由高层领导负责、相关各部门负责人、内部专家和外部专家组成的信息安全领导协调机构，增进部门间协同配合、优化资源配置、提高信息安全管理决策的效率和科学性。

建立健全各级信息安全管理机构，分支机构应设立信息安全管理岗位。要培养和充实基层信息安全管理人员，进一步明确信息安全管理部门、运营部门和应用部门的信息安全管理职责分工，科学制定安全规划，有效组织实施安全策略，加大安全监督检查工作力度，充分发挥纵向衔接、横向协调的组织保障作用。

三、健全安全防护和管理，保障重点领域信息安全

(一) 确保重要信息系统和基础信息网络安全

能源、交通、金融等领域涉及国计民生的重要信息系统和电信网、广播电视网、互联网等基础信息网络，要同步规划、同步建设、同步运行安全防护设施，强化技术防范，严格安全管理，切实提高防攻击、防篡改、防病毒、防瘫痪、防窃密能力。加大无线电安全管理和重要信息系统无线电频率保障力度。加强互联

网网站、地址、域名和接入服务单位的管理，完善信息关联和共享机制，规范互联网服务市场秩序。

(二) 加强电子政务系统安全管理

严格规范政府信息技术服务外包的安全管理，为政府机关提供服务的数据中心、云计算服务平台等要部署于经过国家权威部门评测和认证的物理区域。加强XX政务内、外网的软、硬件系统的准入控制。完善和加固政务内、外网的信息安全等级保护的强度。减少政府机关的互联网连接点数量，加强安全和保密防护监测。落实涉密信息系统分级保护制度，强化涉密信息系统审查机制。

(三) 保障工业控制系统安全

加强先进制造、油气管网、电力系统、交通运输、水利枢纽、城市设施等重要领域的工业控制系统以及物联网应用、数字城市建设中的安全防护和管理，定期开展安全检查和风险评估。重点对可能危及生命和公共财产安全的工业控制系统加强监管。对重点领域使用的关键产品开展安全测评，实行信息安全风险和漏洞检查及通报制度。做好工业系统联网管理和策略控制及工业系统组网建设安全防护措施。建立工业控制系统安全配置基线和审计制度。慎重选择工业控制系统设备，通过严格的供货合同使采购的工业控制系统安全可控。对工业控制的基础数据的采集、传输、存储、利用等做好权限控制、数据加密、灾难备份等措施。对于重点工业控制系统需要有完备的信息安全应急预案。

开展重要工业控制系统基本情况调查；开展工业控制系统信息安全管理试点；加强工业控制系统信息安全人才培训；加快工业控制系统信息安全自主创新和产业发展；加大工业控制系统信息安全的投入。

(四) 保障智慧城市运营信息安全

推进平安城市、应急联动建设，建立统一指挥、协同联动、全面防控的智慧城市运营安全保障体系。打造智能公共安全平台对城市运营进行统一的监控、管理和指挥。加强远程指挥调度能力和联动反应能力，提升指挥信息传递的及时性和准确性，提高政务处理速度和效率。健全技术规范、数据标准和管理制度，建立统一的综合智慧城市运营体系，建立统一规划、建设、指挥、协同应急的城市应急处理机制，提高监控能力和信息分析能力，提升预测可靠性、决策准确性和联动敏捷性。XX智慧城市的运营，需要建立面向城市管理、控制与服务的体系架构。统一并集中各行业数据与信息资源，建立跨部门、跨行业协同平台。建议在

XX设立一个首席运营官职位，全面监管XX市政运营中心的运营工作。

(五) 强化信息资源和个人信息保护

加强地理、人口、法人、统计等基础信息资源的保护和管理，保障信息系统互联互通和部门间信息资源共享安全。明确敏感信息保护要求，强化企业、机构在网络经济活动中保护用户数据和国家基础数据的责任，严格规范企业、机构在我国境内收集数据的行为。在软件服务外包、信息技术服务和电子商务等领域开展个人信息保护试点，加强个人信息保护工作。

(六) 健全标准规范与制度体系

加快标准规范和制度体系建设等基础工作步伐。加紧研究制定和完善当前亟需的相关标准规范，配合国家和行业监管部门，重点加强电子支付，信息产品与服务的测评、准入、认证等相关技术法规与标准。密切结合各单位信息化发展实际，借鉴国内外先进经验和做法，加紧建立和完善集中式数据中心运营规范和制度体系，加强信息安全各项规章制度建设，健全岗位责任制度，全面落实“让标准说话，按制度办事”的信息安全管理准则。

(七) XX域信息安全一体化管理落实

根据XX政务网实际应用需求，倡导“安全、共享、协同、应用”的理念，遵循“统一组织领导、统一规划实施、统一标准规范、统一网络平台、统一安全管理”的基本原则，向“服务平台化、站点集群化”的特点发展。

四、加快能力建设，提升网络与信息安全保障水平

(一) 夯实网络与信息安全基础

研究制定XX智慧城市信息安全战略和规划，强化顶层设计。落实信息安全等级保护制度，开展相应等级的安全建设和管理，做好信息系统定级备案、整改和监督检查。加强对重点网络与信息系统的灾难恢复系统建设，增强业务持续运营能力。对于核心业务系统，应实施应用级备份，以保证灾难发生时，能尽快恢复业务运营，对于其他应用系统，可实施系统级或数据级备份。要适时备份和安全保存业务数据，定期对冗余备份系统、备份介质进行深度可用性检查。建立应急预案演练制度，定期组织有业务部门参与的桌面演练和生产系统实战演练，定期对双机热备系统进行切换演练，原则上备份系统与生产系统的切换要至少每年演练一次。