.28 6.1. 网络安全技术要求....................................................................29 6.2. 网络安全测试与评估............................................................... 46 7. 数据安全需求分析................. 7.1. 数据安全技术要求....................................................................62 V 7.2. 数据安全评估与测试............................................................... 70 8. 标准体系框架设计.................... 与数据安全保障体系。一方面，通过统一安全要求与技术框架，有 效应对远程攻击、数据泄露、控制劫持等风险；另一方面，通过完 善关键环节的技术规范，支撑算法可信、车云协同与通信安全等关 键能力建设，为行业监管、标准制定及评估测试工作的开展提供技 术支撑。 本研究围绕“智能驾驶网络和数据安全标准体系构建”展开， 聚焦感知、决策、执行、通信及运维等关键环节，系统梳理跨车 端—通信链路—云平台的安全风险与典型案例，提炼面向实际应用

负责按照工业机器人应用需求，完成控制程序或工作程序相应模 块软件开发和维护 5 机器人操作系统 开发工程师 负责开发工业机器人机械臂控制、运动物体追踪、智能导航等功 能的软件平台和应用 6 系统测试 测试工程师 负责制订工业机器人产品质量与性能的测试与检定方案，进行产 品检测、质量评估，完成产品认证 7 系统集成 系统应用 解决方案工程师 负责根据客户需求和现场条件，设计包括集成、调试、优化等在 内的工业机器人系统的整体方案 、新技术、新工艺。 5.1.2 电气设计工程师 a）专业知识 ——掌握模拟数字电路原理、信号处理和电气技术知识； ——掌握自动控制原理，工业机器人结构和控制原理； ——掌握微机原理及接口技术、测试传感技术原理，现场总线控制技术等工业网络和通讯技术； ——熟悉工业机器人控制工程理论，掌握工业机器人电气系统的设计原理和方法； ——熟悉工业机器人控制器的硬件组件和软件组件，例如传感器、执行器、处理器、实时操作 ——掌握多传感器标定算法的开发流程，熟悉常用的标定算法、测试方法； ——掌握至少1种编程语言，精通PLC、HMI、变频器、伺服电机等控制理论和实际操作技能， 能够根据工业机器人的功能需求进行电气系统的设计和调试； ——掌握电磁兼容等可靠性设计方法。 c）工程实践 ——具备电路阻抗匹配设计和控制、驱动器设计经验； ——能够对仿真、测试问题进行分析，选择解决方案。 d）综合能力 ——具备较

examine 测评人员通过对测评对象（如制度文档、各类设备及相关安全配置等）进行观察、查验和分析， 以帮助测评人员理解、澄清或取得证据的过程。 1 GB/T XXXXX—XXXX 3.3 测试 test 测评人员使用预定的方法/工具使测评对象（各类设备或安全配置）产生特定的结果，将运行结果 与预期的结果进行比对的过程。 3.4 评估 evaluate 对测评对象可能存在的威胁及其 所有具体测评内容构 成测评实施。单项测评中的每一个具体测评实施要求项（以下简称“测评要求项”）是与安全控制点下 面所包括的要求项（测评指标）相对应的。在对每一要求项进行测评时，可能用到访谈、核查和测试 三种测评方法，也可能用到其中一种或两种。测评实施的内容完全覆盖了GB/T 22239—2018及GB/T 25070—2018中所有要求项的测评要求，使用时应当从单项测评的测评实施中抽取出对于GB/T rrr) 测评实施包括以下内容： 1) 应核查是否按照备份策略进行本地备份； 2) 应核查备份策略设置是否合理、配置是否正确； 3) 应核查备份结果是否与备份策略一致； 4) 应核查近期恢复测试记录，是否能够进行正常的数据恢复。 sss) 单元判定：如果 1）-4）均为肯定，则符合本测评单元指标要求，否则不符合或部分符合本 测评单元指标要求。 6.1.5 安全管理制度 6.1.5.1

——组织记录的内容、保护和保留； ——数据保护与隐私； ——密码控制的法规； ——电子商务； ——电子签名和数字签名； ——工作场所监控； ——通信侦听和数据监视（例如，电子邮件）； ——计算机滥用； ——电子证据收集； ——渗透测试； ——国际和国家层面针对特定行业（例如，银行业）的要求。 特定标准（如 ISO/IEC TS 27006-2）可能针对特定领域提出审核员宜具备的知识。 附录 C （规范性） 审核时间 C.1 多数控制能通过抽样来验证，即审核控制活动结果的样本。 E.2.2 “系统测试”列 GB/T 22080—202X 附录 A 中的多数控制是作为技术控制，例如，通过特定的系统设置、配置 或技术功能。通常是通过系统设置或通过使用专门的审计或报告工具来收集技术控制的实施证据。 系统测试是指对信息系统的直接审核：审核员能审核系统设置和配置，或评价测试工具的测试结果。 如果审核员了解客户使用的测试工具，那么这些工具也能用来支持审核，或者审核员能审核由客户 27006-1:2024 实施的评价的结果。 表 E.1 中的“系统测试”栏提供了技术控制的审核指南： ——“空白”：是指系统测试在 ISMS 审核中通常不适用或没有必要； —— “可能的”：是指系统测试对于评价控制的实现来说是可能的，但在 ISMS 审核中不一定是 必需的； ——“推荐的”：是指在 ISMS 审核中，系统测试通常是必需的。 E.2.3 “目视检验”列 能通过现场“目视检验”来审核

改单）适用于本 文件。 GB/T 36073—2018 数据管理能力成熟度评估模型 3 术语和定义 下列术语和定义适用于本文件。 商业训战 通过模拟真实商业环境，对商业模型进行测试和训练。 客户成长 通过对客户数据的深度分析，提供有针对性的解决方案，助力业务的持续增长。 数据战略 数据战略是一项长期性、指导性的规划，旨在明确应对数据挑战和实现业务目标所需的人员、流程 化工具，支 持模拟数据 对业务模型 进行测试和 训练？ （1）基于设定的 模型公式或沙盘 进行演练测试 （2）通过 EXCEL、 WORD等方式收集、 整理和分析数据 （1）建立清晰的 商业模型模拟框 架 （2）确定各类数 据来源和定义 （3）具有简单的 系统数据收集工 具，分析和业务监 控的能力 （1）选取特定的 真实客户样本进 行模拟测试，并积 累客户行为数据， 重复模拟 （2）采用数字化 （2）采用数字化 工具体系化地收 集和管理数据 （1）通过数字化 模拟测试平台，测 试流程和策略的 影响范围和业务 结果 （2）具有完整的 商业模型系统构 建和模拟能力 （1）通过数字孪 生等方式，应用机 器学习等工具进 行虚拟测试训练 （2）建立体系化、 整合的数据体系 （3）具有完善的 数据中台和分析 平台 实现模拟平台的 工具化、游戏化、 社交化，形成对外 赋能能力 营销与服务

第2部分：交付规范 GB/T 28181 公共安全视频监控联网系统信息传输、交换、控制技术要求 GB/T 39786 信息安全技术商用密码应用安全性评估指南 GB/T 45087 人工智能服务器系统性能测试方法 GB/T 46358 公共安全视频图像信息联网应用运维管理平台技术要求 GB 50174 数据中心设计规范 GB 50339 智能建筑工程质量验收规范 GB 50348 安全防范工程技术标准 更新维护应涵盖问题发现、智能诊断、故障定位、自动处置及人工核验等环节，形成人机协同、 流程闭环的运维保障机制。 11.1.2 应建立完整的更新维护管理制度，明确更新范围、审批流程、实施方案（含回滚预案）、测试 验证及记录归档要求。 11.1.3 更新维护前应对系统性能、业务连续性与数据安全进行评估；更新后应开展功能验证、性能测 T/CDAFXH 2—2026 6 试及安全检测。 硬件更新

媒体素材是传播教学信息的基本材料单元，可分为六种：文本类素材、图形/图像类素材、音频类 素材、视频类素材、动画类素材和三维模型类素材。 4.2.2 试题 试题是测试中使用的问题、选项、正确答案、得分点和输出结果等的集合。 4.2.3 试卷 试卷是用于进行多种类型测试的典型成套试题。 4.2.4 课件 课件是对一个或几个知识点进行呈现的多媒体材料或软件，分为助讲型课件（如教师使用的PPT 讲稿等）、助 行建设，E-mail和扩展网络信息服 务可以自行建设或采用第三方服务。应保证服务具备可靠的性能和业务持续性，各类服务管理系统应 支持对服务状态和服务质量进行实时监控，并支持对服务的安装和配置文档、测试和调试记录、运行 日志等实现备份和版本管理。 7.2.7 IT 运维管理 职业院校应构建 IT 运维管理体系，规范运维和服务流程，明确运维人员职责，建立统一、清晰的资 产和服务台账，完善 c)网络安全产品采购和使用应符合国家有关规定和有关主管部门的要求，应根据方案事先对产品 进行选型测试，确定产品的候选范围； d)建议引入第三方符合资质要求的网络安全工程监理，控制项目的实施过程，负责项目质量管理； e)应制定网络安全工程实施过程和交付前的测试方案，依据实施方案和测试方案进行工程管理和 监理； f)制定交付清单，根据交付清单对设备、软件和文档等进行清点交接。对负责运行维护相关人员

综合控制中心调度大屏及配套设备应采用分组集中UPS供 电，采用综合接地体接地。 36 13.3 设备用房 13.3.1 NOCC 系统设备用房宜独立区域设置，应按照设备机房、 网管维护、测试开发、电源等功能划分设置。 13.3.2 OCC 系统设备用房宜按线路或专业分组共享设置，云平台 部署线路 OCC 系统设备用房宜参照 NOCC 系统设置。 13.3.3 NOCC 系统与云平台部署线路 4《城市轨道交通公共安全防范系统工程技术规范》 GB 51151 5《通信线路工程验收规范》 GB 51171 6《信息安全技术 防火墙安全技术要求和测试评价方法》 GB/T 20281 7 《城市轨道交通自动售检票系统技术条件》 GB/T 20907 8《信息安全技术 网络安全等级保护基本要求》 OCC 系统网络 IP 的整体规划，该项工作由综合控制中心负责实 施，线路 OCC 应按照此规划执行。 NOCC 系统和线路 OCC 系统在接入综合数据承载网前，应完 成自身系统的包括 IP 地址测试在内的单项设备调试及试验，应完 67 成自身子系统的单项设备调试及试验等，保证接入前系统的功能可 靠性和稳定性。 12.5 公务电话系统 12.5.5 线路标识号 AB

b）是否存有与电子档案移交无关的数据。 c）存储媒体出厂时间是否超过使用年限。 7.12.6.6 电子档案可用性检测主要包括以下内容： a）离线移交的存储媒体外观是否完好无损，是否可以通过 I/O 测试。 b）在线移交的数据包是否可以完整解包。 c）电子档案移交目录、电子档案全文是否可以正常打开和浏览。 d）电子档案元数据是否可以正常展现和浏览。 7.12.6.7 对电子文件主要技术指标的检测结果应符合下列规定： 2.3 账户安全管理 严禁使用弱口令，应做好密码安全存储并定期更换。 9.5 系统升级管理 9.5.1 系统的升级、更新或重装均应提前进行数据备份。 9.5.2 应保留完整的实施记录，并应经测试无误后方可实施系统升级。 9.5.3 升级过程出现故障，应自动回退至更新前状态。 9.5.4 应定期进行设备盘点，设备及系统运行评估，提出升级改造合理化建议。 47 附录 A 智慧工地建设方案提纲

经营管理环节:包含销售管理、采购管理、财务管理、项目管理、人力资源管理等 主要细分业务环节 生产性服务业 规划设计、服务提 供、客 户 运 营、经 营管理 规划设计环节:包含需求管理、技术研发、测试验证等细分业务环节(包含场所、 服务产品等的规划设计); 服务提供环节:包含服务计划、服务过程管理、服务现场管理(场所、服务产品、 人等管理)、设备管理(包含场所服务的类型适用)、知识管理等细分业务环节; 经营管理环节:包含销售管理、采购管理、财务管理、项目管理、人力资源管理等 主要细分业务环节 生活性服务业 规划设计、服务提 供、客 户 运 营、经 营管理 规划设计环节:包含需求管理、技术研发、测试验证等细分业务环节(包含场所、 服务产品等的规划设计); 服务提供环节:包含服务计划、服务过程管理、服务现场管理(场所、服务产品、 人等管理)、设备管理(包含场所服务的类型适用)、知识管理等细分业务环节; 经营管理环节:包含销售管理、采购管理、财务管理、人力资源管理、物流与库存 管理等主要细分业务环节 商务服务业 规划设计、服务提 供、客 户 运 营、经 营管理 规划设计环节:包含需求管理、技术研发、测试验证等细分业务环节(包含场所、 服务产品等的规划设计); 服务提供环节:包含服务计划、服务过程管理、服务现场管理(场所、服务产品、 人等管理)、设备管 理(包 含 场 所 服 务 的 类 型