ICS35.040 CCSL80 CICC 中国指挥与控制学会团体标准 T/CICC37003—2023 城市大脑信息安全建设保障指南 Citybrain—Guidelinesforinformationsecurityconstructionsafeguard 2023-07-28发布 2023-08-01实施 中国指挥与控制学会  发布 全国团体标准信息平台 T/CICC37003—2023 I目次 前言..................................................................................II 1范围................................................................................1 2规范性引用文件......................................................................1 3术语和定义..........................................................................1 4信息安全需求........................................................................1 5主要角色安全责任....................................................................2 6信息安全建设机制....................................................................3 7信息安全保障机制....................................................................5 参考文献...............................................................................7 全国团体标准信息平台 T/CICC37003—2023 II前言 本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件由中国指挥与控制学会提出并归口。 本文件起草参与单位：中国联通智能城市研究院、中国电信集团有限公司、中电莱斯信息系统有限 公司、广州赛宝联睿信息科技有限公司、科大讯飞股份有限公司、广州广电运通金融电子股份有限公司、 浙江信网真科技股份有限公司、航天科工集团智能科技研究院有限公司、中国科学院虚拟经济与数据科 学研究中心、广州赛宝联睿信息科技有限公司、智慧齐鲁（山东）大数据科技有限公司、一体化指挥调 度技术国家工程实验室、中科数字大脑研究院、北斗伏羲中科数码合肥有限公司、国家创新与发展战略 研究会数字治理研究中心、北京大学时空大数据协同创新中心、清华大学人工智能研究院视觉智能研究 中心、中国科学院自动化所大数据中心、鹏城实验室、深圳市腾讯计算机系统有限公司、百度网讯科技 有限公司、北京首通智城科技创新有限责任公司、北京世纪互联科技有限公司、飞诺门阵（北京）科技 有限公司、北京中科凡语科技有限公司、中国电子科技集团有限公司电子科学研究院、北京奇虎科技有 限公司、蓝海优利（深圳）科技发展有限公司、中移信息系统集成有限公司、中电科新型智慧城市研究 院有限公司、西安理工大学自动化与信息工程学院、中国生态城市研究院有限公司、中国城市科学研究 会/智慧城市联合实验室、中城智慧（北京）城市规划设计研究院有限公司、武汉邻盛智能科技有限公 司。 本文件主要起草人：刘锋、董正浩、单斐、胡亦琦、魏天呈、张东、王刚、封顺天、王清强、李沛 霖、黄建新、张力、倪伟、陆贞传、江帆、徐诗茗、宋健、刘子谦、张明栋、高展、李子月、石勇、吕 本富、程承旗、张亚强，朱道也、陈鹏、王妍妍、袁林、杨小龙、刘颖、刘朝晖、邓志东、翟飞飞、刘 鹏、李猛、张宗帅、孙强、沈寓实、刘星妍、司晓、李自军、王真震、常向魁、王维昊、许志峰、杜青 峰、冉伟、刘捷、叶航晖、江志国、李英、解永生、甘波、张剑军、杜跃进、姚一楠，王冬海、徐银华、 王子涵、商彦强、胡金晖、李振军、赵华、褚晓、陈志刚、肖骥、姚能伟、张君、张元鸿、马炬、王昀。 全国团体标准信息平台 T/CICC37003—2023 1城市大脑信息安全建设保障指南 1范围 本文件规定了城市大脑建设过程中的信息安全需求、主要角色安全责任、信息安全机制、信息安全 保障机制和软硬件、网络安全。 本文件适用于城市大脑的信息安全建设与运营。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T20271-2006信息安全技术信息系统通用安全技术要求 GB/Z20986信息安全技术信息安全事件分类分级指南 GB/T22080信息技术安全技术信息安全管理体系要求 GB/T22081信息技术安全技术信息安全控制实践指南 GB/T22239信息安全技术网络安全等级保护基本要求 GB/T25069信息安全技术术语 GB/T25070信息安全技术网络安全等级保护安全设计技术要求 T/CICC3704城市大脑术语 T/CICC3706城市大脑数字神经元基本规定 3术语和定义 GB/T22080、GB/T22081、GB/T22239、GB/T25069、GB/T25070、T/CICC3704界定的术语和定 义适用于本文件。 4信息安全需求 4.1城市大脑总体架构可分为五个层次，如图1所示，分别为问题与需求层、云反射弧层、数字神经元 网络层、管理控制层、技术支撑层等五个系统层次。 全国团体标准信息平台 T/CICC37003—2023 2 图1城市大脑建设信息安全需求示意图 4.1城市大脑总体架构的五个层次都可能面临着各类不同的安全威胁，应在城市大脑建设中对每个层 次进行安全保障。 4.2根据城市大脑特征建立已知威胁纵深防御支撑、高级威胁感知监控支撑、组织管理机制流程支撑、 规范运营决策应急支撑等安全体系支撑。 4.3为城市大脑建设利益相关者提供安全保障应考虑城市大脑的跨地域、跨部门、跨机构的异构特性。 5主要角色安全责任 5.1城市大脑建设主管部门 作为城市大脑决策者和管理协调者，负责城市大脑建设和发展的规划和监管，协调、指导智慧城市 建设信息安全保障工作。根据城市大脑的范围层级，建设主管部门可以分为区/县、市、省、国家、国 际。 5.2城市大脑规划设计咨询机构 城市大脑安全体系中承担城市大脑前期规划设计与跟踪咨询服务。 5.3城市大脑建设者 在主管部门的授权指导下，负责城市大脑建设，保证城市大脑建设过程符合安全保障要求。 5.4城市大脑服务提供者 通过利用各种技术提供城市大脑产品和服务，保证城市大脑产品和服务符合安全保障要求。 5.5城市大脑运营者 在主管部门的指导监管下，负责城市大脑运营，保障城市大脑安全，由信息安全专业人员承担城市 大脑运营安全保障岗位。 5.6第三方安全评估机构 全国团体标准信息平台 T/CICC37003—2023 3对智慧城市建设安全开展独立的评估。 5.7城市大脑服务使用者 依据国家法律法规、政策文件及标准规范，合理使用或应用智慧城市产品和服务并自觉接受安全培 训，以及向城市大脑运营者反馈合理的需求诉求。 6信息安全建设机制 6.1建设过程安全机制 6.1.1责任主体 责任主体应制定城市大脑建立总体安全规划、安全制度和应急预案，实施流程监控，保障建设顺利 运行。 6.1.2确定问题需求 在对收集的建设需求和问题进行评级时，应对评审者、评审信息和评审结果进行安全保护，维护信 息收集和评审的公正性。 6.1.3方案设计与规划 在方案设计与规划阶段应对方案进行安全风险评估并出具安全风险评估报告，未通过安全风险评估 的方案不能进入实施阶段。 6.1.4组织实施 应建立专门的安全管控中心，对建立的城市云反射弧进行质量评估和安全监控。从每一个数字神经 元和每一条云反射弧的运行状态、应急处理、灾备方案等方面进行持续评估和监控，有效监督每一个数 字神经元和云反射弧的运行是否正常，设立定时和突发事件报告制度。对可能出现的问题事前设置安全 风险级别。 6.2层级安全建设机制 6.2.1问题与需求库层 6.2.1.1不同层级的城市大脑主管部门确定专门机构和人员负责维护问题与需求库的系统建立、数据 征集、确立、修改和共享。 6.2.1.2问题与需求库的维护机构和人员应对本机构维护的问题与需求根据当地法律或政府规定进行 保密分级，确定可共享信息和需保密信息。 6.2.1.3维护机构和人员应维护问题与需求库的数据升级版本和升级日志。对历史所有版本和升级日 志进行安全备份。 6.2.1.4维护机构和人员应将可共享的问题与需求库对外公开，并提交最新版本给城市大脑标准规范 协调机构。 6.2.2数字神经元网络层 6.2.2.1每个数字神经元应按照T/CICC3706的要求生成唯一的身份标志ID且不可更改。 6.2.2.2每个数字神经元可以设置多个管理员包括人类管理员和人工智能（AI）管理员，但至少设置 一个人类管理员，且管理权限要高于人工智能管理员。 6.2.2.3每个数字神经元的管理员接入应具有身份鉴别机制