DB5301 /T 75-2022 城市轨道交通网络与信息安全管理规范

ICS01.040.35
CCS L09 DB5301
昆明市地方标准
DB5301/T75-2022
城市轨道交通信息系统安全管理规范
202205-15发布2022-0615实施
昆明市市场监督管理局发布

前 言
本文件按照GB/T 1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由昆明市交通运输局提出并归口。
本文件起草单位：昆明地铁运营有限公司、云南京建轨道交通投资建设有限公司、北京天融信网络安全技术有限公司。
本文件主要起草人：孟帅、赵磊、刘春宏、赵佳佳、丁琴、李韬、王磊、陆阳、李俊、胡凤玲。

内容摘抄：

城市轨道交通信息系统安全管理规范
1 范围
本文件对城市轨道交通运营企业（以下简称“运营企业”）信息系统的网络与信息安全的总体要求、重要信息基础设施、管理要求、安全要求、网络与信息安全事件等做出了规定。
本文件适用于运营企业信息系统的网络与信息安全保护，也可作为组织开展信息系统网络与信息安全建设时的依据。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。
GB/T 20984信息安全技术信息安全风险评估规范
GB/Z 20986信息安全技术信息安全事件分类分级指南
GB/T 22080 信息技术安全技术 信息安全管理体系要求
GB/T 22239信息安全技术网络安全等级保护基本要求
GB/T 22240信息安全技术网络安全等级保护定级指南
GB/T 25058信息安全技术网络安全等级保护实施指南
GB/T 25069信息安全技术术语
GB/T 25070信息安全技术网络安全等级保护安全设计技术要求
GB/T 36626 信息安全技术信息系统安全运维管理指南
GB/T 39786信息安全技术信息系统密码应用基本要求
DB5301/T 40城市轨道交通运营企业安全管理规范
3 术语和定义
GB/T 25069中界定的以及下列术语和定义适用于本文件。
3.1
安全生产网
用于承载运营企业安全生产及管控、运输指挥、应急指挥调度业务相关系统数据通信及数据共享的计算机网络。部署如自动化过程控制执行系统、协调调度类业务系统与行车相关的业务系统。
3.2
内部管理网
用于承载运营企业管理、运营管理、建设管理、资源管理以及日常办公等企业信息化相关业务系统数据通信及数据共享的计算机网络。部署如人力资源管理、资产管理、财务管理、协同办公等企业管理信息系统以及建设管理、安全管理、施工管理、保护区管理等生产管理信息系统。
4 缩略语

下列缩略语适用于本文件
ACC：自动售检票系统的清分中心（AFC Clearing Center）
AFC：自动售检票系统（Automatic Fare Collection）
ATS：列车自动监控(Automatic Train Supervision)
CBI：计算机连锁(Computer Based Interlock)
DCS：数据通信系统(Data Communication System)
PSCADA：电力监控系统（Power SCADA）

（略）

目 次
前言..................................................................................................................................................................... III
1 范围..................................................................................................................................................................... 1
2 规范性引用文件.................................................................................................................................................1
3 术语和定义.........................................................................................................................................................1
4 缩略语.................................................................................................................................................................1
5 总体要求.............................................................................................................................................................2
5.1 基本原则.....................................................................................................................................................2
5.2 定级与保护.................................................................................................................................................2
5.3 密码应用.....................................................................................................................................................2
6 重要信息基础设施.............................................................................................................................................2
6.1 识别认定.....................................................................................................................................................2
6.2 保护要求.....................................................................................................................................................3
7 管理要求.............................................................................................................................................................3
7.1 措施.............................................................................................................................................................3
7.2 制度.............................................................................................................................................................3
7.3 机构和人员.................................................................................................................................................4
7.4 资产管理.....................................................................................................................................................4
7.5 评审.............................................................................................................................................................4
8 安全要求.............................................................................................................................................................4
8.1 安全建设.....................................................................................................................................................4
8.3 安全运维.....................................................................................................................................................5
8.4 风险评估.....................................................................................................................................................5
8.5 安全测评.....................................................................................................................................................5
8.6 数据保护.....................................................................................................................................................5
8.7 个人信息保护.............................................................................................................................................5
8.8 信息发布.....................................................................................................................................................5
9 网络与信息安全事件.........................................................................................................................................6
9.1 分类.............................................................................................................................................................6
9.2 分级.............................................................................................................................................................6
9.3 应急管理.....................................................................................................................................................6
9.4 监测与预警.................................................................................................................................................6
9.5 应急响应.....................................................................................................................................................6
9.6 处置与恢复.................................................................................................................................................6
9.7 应急演练.....................................................................................................................................................6
附录 A（资料性）主要生产系统安全保护要求................................................................................................. 7

参考文献................................................................................................................................................................. 8

投稿会员：可爱莹