DB5301／T 75-2022  城市轨道交通信息系统安全管理规范

7.1.1运营企业应在规划、建设、运行全过程中采用适宜的安全技术措施，对信息系统实施等级保护。 7.1.2运营企业重要信息基础设施还应采取相应措施对机构、人员、资产等方面进行安全管理。

7. 2. 1建立要求

络与信息安全管理制度体系宜分级编制

工程规范7.2. 2 基本内容

7.2.2.1由运营企业网络与信息安全管理机构编制网络与信息安全管理体系文件，内容包括但不限于：

7.2.2.1由运营企业网络与信息安全管理机构编制网络与信息安全管理体系文件，内容包括但不限于：

安全目标； 安全组织架构； 安全建设策略； 一安全运维策略； 安全技术策略； 风险评估策略； 密码应用策略。

DB5301/T752022

运营企业相关人员应符合下 运营企业从业人员经过 运营企业从业人员应具 网络与信息安全管理人！ 宜具备国家网络安全 应定期接受网络安全 上岗前应当经过保密 签订保密承诺书，严 关键岗位人员离岗或退出

运营企业应对信息系统相关业务链进行梳理 业链相大的资产请单，开归栏 生改建、扩建等重大变化时，运营企业应及时更新资产清单，并对归档文件进行维护。

建、扩建等重大变化时，运营企业应及时更新资产清单，并对归档文件进行维护。

DB5301/T752022

息系统划分为安全生产网、内部管理网两个区域。 安全域间应做到物理隔离，边界防护设备的数据交换方式宜采用双向隔离网闸，不宜进行信 息实时交互； 一边界防护设备应具备访问控制、流量清洗、入侵防护检测、安全审计等功能。 8.2.2运营企业安全生产网中非重要信息基础设施的信息系统宜参照GB／T22239第二级安全要求进 行防护：内部管理网信息系统宜参考GB/T22239第二级安全要求进行防护。

运营企业可遵循GB/T36626以及GB/T22239相关要求开展运维工作。应制定相应的规范对运维相关 宜进行管理，运维外包的也应要求并监督外包方执行安全运维管理要求，包括但不限于： 资产管理； 介质管理； 设备维护管理； 漏洞和风险管理； 网络和系统安全管理； 恶意代码防护管理； 配置管理； 变更管理； 备份与恢复管理； 文档资料管理

运营企业可遵循GB/ 36626以 宜进行管理，运维外包的也应要 资产管理； 介质管理： 设备维护管理； 漏洞和风险管理； 网络和系统安全管理； 恶意代码防护管理； 配置管理； 变更管理； 备份与恢复管理； 文档资料管理。

应按照GB/T22239以及GB/T39786要求对信息系

运营企业应采取数据安全保护措施，对信息系统数据的全生命周期进行安全防护。

运营企业收集、使用个人信息，应遵循合法、正当、必要和诚信的原则，明确使用的目的、方式和 范围，并采取相应措施对收集到的个人信息进行安全保护，不应泄露、篡改和利用个人信息

运营企业应对信息系统信息发布进行审核，发布内容应符国家、行业、企业信息安全及保密

DB5301/T752022

网络安全事件宜按照GB/220986要求进行分类。网络安全事件可分为网络攻击事件、有害栏 信息泄密事件和信息内容安全事件

运营企业应结合信息系统实 在管理制度中按照网络安全事件 急预案。

运营企业应根据预警等级启动 置队伍，应急处置队伍可根据实际 或设备厂商、聘请的网络与信息安

事件处置与恢复工作内容包括但不限于 应根据应急预案进行处置； 应对事件进行取证分析； 应对业务和信息系统进行恢复测试，并采取措施防止事件再次发生 应对事件进行记录、总结、存档、上报。

探伤标准营企业应根据信息系统实际情况定期开展应急

DB5301/T752022

附录A （资料性） 主要生产系统安全保护要求

附录A （资料性） 主要生产系统安全保护要求

1主要生产系统包括：信号系统、自动售检票系统、综合监控系统、通信系统等系统，各系统安 见表A.1。

装修工艺、技术表A.1主要生产系统安全保护要求

DB5301/T752022