4. 3. 4. 3人员考核

4.3.4.3.1应定期对上岗人员进行考核。

4.4.1应制定系统维护和检查的方案。 4.4.2系统管理员应定期检查服务器的运行状态、安全防护策略、系统账号及权限运行状态。 4.4.3信息管理员应定期对信息系统进行全面检查，检查内容包括现有设备设施上线情况、数据维护 的情况等。

信息系统系统构架主要由物理层、连接层、云服务层组成，见图1。

公共安全标准DB34/T34282019

5.2信息系统功能模块构成

图1信息系统系统架构图

5.2.1系统管理模块

系统管理模块应包括系统菜单管理、配置管理、角色管理和系统日志管理等功能，对信息系统的系 统权限分配、操作登录信息等实现管理

5.2.2基础数据模块

基础数据模块应包括物联网设备中涉及的设备编号、设备类型、物联网卡号、车辆型号、网格 件类型等基础数据的录入管理，便于区分各类信息。

5.2.3人员管理模块

5.2.4视频监控模块

视频监控模块应包括数字化环卫的远程预览和远程控制功能，能对视频和车辆作业过程进行监控， 模块应满足以下要求： a 视频显示贞面应提供多窗口展示视频信息，点击某个窗口可以实现此窗口全屏化展示，可根据 摄像头的数量自动展示窗口数量，最少展示四个窗口； b 模块应具备球机信息系统控制功能，调节设备的方向，实现360度无死角监控； C）模块应至少提供视屏的历史回放、倒放、截图和视频下载功能：

DB34/T 34282019

应具备配置信息，至少应包括视频的IP、端口号、用户名、密码、通道数量和不同品牌视频 监控设备自动切换信息； 环卫作业车辆应安装不少于三个个摄像头，分别用于监控驾驶员实时状态、车辆作业左右两侧 状态、车辆后下部作业状态。

5.2.5车辆管理模块

5.2. 6 设备管理模块

5.2.7排班管理模块

排班管理模块应能对环卫收运作业过程进行排班，排班主要内容应包括收集作业排班、转 班等排班信息。

5. 2.8 维保管理模块

5.2.9事件管理模块

事件管理模块应能对收运过程中发生的事件、状态，进行上报和流转，实现收运过程中的无纸化、 流程化管理

5.2.10报表中心模块

5.2.11项目看板模块

项目看板模块应能对车辆或设备进行实时查看，对作业过程中的人员、资产、车辆、设备、事件等 实时更新状态展示集成的页面

5.3信息系统运维管理

5.3.1设备设施管理

应具备设备设施注册、配置、统计、状态查询、测试、诊断等功能，应定期对设备设施进行维护 故障后能及时排除并修复

5. 3. 2 文档管理

2.1信息系统应建立管理制度、操作规程、技术文档及记录并应得到控制，以确保得到充分的

DB34/T34282019

5.3.2.2应对信息系统管理制度、操作规程、技术文档及记录进行版本控制，限制分发范围，并及时 更新。 5.3.2.3相关记录及技术文档应按照相关管理要求保存和处理。

5. 3. 3且志管理

日志应包括本地日志、远程设备日志、报警日志。能够将系统运行情况和用户操作记录自动生 且所有日志能够导出，并具有禁止修改日志数据的保护功能，

6.1.1应按照GB/T20984的要求，定期对信息系统面临的风险和威胁、薄弱环节以及防护措施的有 效性进行信息安全风险评估。 6.1.2应根据业务需求、系统风险评估结果、系统安全分析确定信息系统的访问控制策略， 6.1.3应安装系统的最新补丁程序，在安装系统补丁前，首先在测试环境中测试通过，并对重要文件 进行备份后，方可实施系统补丁程序的安装。 6.1.4应指定专人对信息系统进行管理，划分系统管理员和系统操作员角色，明确各个角色的权限、 责任和风险，权限设定应当遵循最小授权原则，应设置安全审计员角色，仅赋予日志查看权限，负责对 系统各类用户的操作行为进行审计、跟踪分析、监督检查、事件上报等。 6.1.5应依据操作手册对信息系统中信息系统进行维护，详细记录操作日志，包括重要的日常操作、 运行维护记录、参数的设置和修改等内容，严禁进行未经授权的操作。 6.1.6应定期对运行日志和审计数据进行分析，及时发现异常行为，

3.2.1应提高所有用户的恶意代码防范意识，在读取移动存储设备上的数据以及网络上接收文件或邮 件之前，应进行扫描检查。 6.2.2应及时更新防病毒软件版本及恶意代码库版本。 6.2.3应定期检查信息系统恶意代码，对截获的恶意代码进行及时分析处理，并形成书面的报表和总 结汇报。

6.3.1应建立密码使用管理制度设备设计图纸，使用符合国家密码管理规定的密码技术和产品。 理租天规定

4.1应确保在外部人员访问受控区域前先提出书面申请，批准后由专人全程陪同或监督，并登 4.2对外部人员允许访问的区域、系统、设备、信息等内容应按照相关规定执行。

DB34/T 34282019

6.5.2应建立中止变更并从失败变更中恢复的操作规范，明确过程控制方法和人员职责，必要时对恢 复过程进行演练

6.6.1应识别需要定期备份的重要业务信息、系统数据及软件系统等。 6.6.2应根据数据的重要性和数据对信息系统运行的影响，制定数据的备份策略，备份策略须指明备 份数据的放置场所、文件命名规则、介质替换周期等。 6.6.3应建立控制数据备份和恢复过程的程序，对备份过程进行记录，所有文件和记录应妥善保存。 6.6.4应定期检查和测试备份介质的有效性，确保可用

6.7.1应制定安全事件报告和处置管理制度，明确安全事件的类型，规定安全事件的现场处理、事件 报告和后期恢复的管理职责。 6.7.2应制定安全事件报告和响应处理程序，确定事件的报告流程，响应和处置的范围、程度，以及 处理方法等。 6.7.3应在安全事件报告和响应处理过程中，分析和鉴定事件产生的原因，收集证据，记录处理过程 总结经验教训，制定防止再次发生的补救措施，过程形成的所有文件和记录均应妥善保存。 6.7.4对造成系统中断和造成信息泄密的安全事件应采取专门措施进行事件处置。 3.7.5应报告所发现的安全弱点和可疑事件，但任何情况下均不应尝试验证弱点。 6.7.6当有重大安全事件时，应立即采取控制措施，按照有关规定逐级上报，积极协助信息安全事件 的调查，做好善后处理工作

6.8.1应制定应急预案，包括启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训 等内容。 6.8.2应从人力、设备、技术和财务等方面确保应急预案的执行有足够的资源保障。 6.8.3应对相关人员进行应急培训抽样标准，至少每年培训一次。 6.8.4应定期对应急预案进行演练，根据不同的应急恢复内容，确定演练的周期。 6.8.5应定期审查应急预案，根据实际情况调整相关内容，并按照执行

应制定应急预案，包括启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和 容。 应从人力、设备、技术和财务等方面确保应急预案的执行有足够的资源保障。 应对相关人员进行应急培训，至少每年培训一次。 应定期对应急预案进行演练，根据不同的应急恢复内容，确定演练的周期。 应定期审查应急预案，根据实际情况调整相关内容，并按照执行