数智化探索者 第二阶段组织基于现有业务模式，利用数字化技术，进行运营优化和技术创新，价值创造和传递活 动主要集中在企业内部，实现降低成本、优化效率、提升质量。 5.1.3 S3 数智化运营者 第三阶段组织已系统部署数字化能力，推动价值创造和传递活动沿着产品/服务链延长，基于数智 化能力实现产品创新、服务拓展、业务领域延伸。 5.1.4 S4 生态缔造者 第四阶段组织完全由数智化能力驱动，构建了生态体系，并拥有明显竞争优势。 应 用 数 字 化 建 模、仿真、验证等 研发设计工具 （1）组织全部产品应 用数字化建模、仿真、 验证等研发设计工具 （2）组织应用三维 CAD\CAE\CAPP\CAM 的产品设计工具，实 现三维的设计 组织实现了产品 系列的 MBD 模型 （基于三维模型 的定义），模型包 含结构、尺寸、公 差、属性、关系、 性能等数据信息 研发设计 工具的应 用效果 使用数字化 设计工具效 果如何？是 组织对试点业务 采用数字化手段 实现节能管控 组织对全部业务 采用数字化手段 实现节能管控 组织采用数字化 手段实现全部业 务的低碳化、集约 化 组织围绕生产过 程的资源、能源、 环境排放（三废、 噪声、温室气体） 等开展相关的计 量数据采集，建立 企业的相关资源 使用/消耗模型、 排放模型，持续进 行过程优化，实现 管控的数字化和 精细化，提高能源 利用率，实现最小 化排放 数字化节

处书面授权，不得以任何方式抄袭、翻译《技术报告》的 任何部分。凡转载或引用本《技术报告》的观点、数据， 请注明“来源：全国网络安全标准化技术委员会秘书处”。 III 技术支持单位 本《技术报告》得到公安部第三研究所、中国电子技 术标准化研究院、湖北大学、北京车网科技发展有限公司、 北京云驰未来科技有限公司、华为终端有限公司等单位的 技术支持。 主要编写人员：王雪、陈广勇、张海春、郝春亮、杨 思佳 随着人工智能与数据驱动技术的发展，智能驾驶正呈现出以下 趋势： （1）多模态融合感知持续深化 感知技术由单一传感器向多传感器融合发展，结合摄像头、毫 米波雷达、激光雷达等多源数据，实现高精度三维环境感知。同时， 基于深度学习与 Transformer 结构的算法不断提升系统在复杂场景下 的感知精度与鲁棒性，使系统由“看见环境”向“理解环境”演进。 （2）决策规划向智能化与数据驱动演进 车内通 信、无线通信、云平台、算法模型与数据服务等多类对象构成，具 有跨域融合复杂、链路耦合深、运行环境开放的特征。开展安全分 析时，不能仅围绕单一模块罗列漏洞，而应从对象、链路和运行规 则三个层面识别风险。 与传统汽车电子系统相比，智能驾驶风险更容易沿“感知输入— 融合处理—决策规划—控制执行—远程协同”路径传导放大。任何一 11 个环节出现篡改、误用、失配或边界控制不当，都可能最终体现为

逐步转变为基于 信息技术赋能作用获取多样化效率的发展模式。开展数字化转型,需系统把握如下四个方面:一是数字 化转型是信息技术引发的系统性变革,二是数字化转型的根本任务是价值体系优化、创新和重构,三是 数字化转型的核心路径是新型能力建设,四是数字化转型的关键驱动要素是数据。 深度应用新一代信息技术,大力发展新技术、新产品、新模式、新业态,全面加速数字化转型,已经成 为新时期企业生存和发展的必然选择。然而 持新型能力打造、推动业务创新转型的系统性解决方案。 图 3 以价值体系优化、创新和重构为根本任务的五个视角及其关联关系 5. 2 发展战略 5. 2. 1 通则 发展战略视角包括竞争合作优势、业务场景和价值模式三个子视角。 企业应制定数字化转型战略,并将其作为发展战略的重要组成部分,把数据驱动的理念、方法和机 制根植于发展战略全局。条件成熟的企业,应将数字化转型战略和发展战略合二为一,融为一体。 5. 2 力模型的学习优化四个子视角。 企业应将新型能力建设作为贯穿数字化转型始终的核心主线,参考新型能 力的主要分类(见附 录 A)和主要视角,识别和策划新型能力(体系),加速将个人、团队和企业的知识经验与技能转化为承 载新型能力的数字化模型,持续提升新型能力模型构建应用水平,赋能业务提高动态感知与实时分析、 自主决策与预测预警、敏捷响应与精准执行、快速迭代与学习优化能力,实现业务柔性化、多样化、个性 化发展,以快速响应市场需求变化

艳、方洁、魏立茹、王秉政 等。 本文件所代替标准的历次版本发布情况为: ——2010 年首次发布为 GB/T 25067—2010，2016 年第一次修订，2020 年第二次修订； ——本次为第三次修订。 I GB/T 25067－202X/ISO/IEC 27006-1:2024 引 言 GB/T 27021.1 对实施管理体系审核和认证的机构规定了要求 并提供了指南。满足 GB/T 范围内的所有场所中选择具有代表性的样本，该选择应基于一个可体现上述 b)中所列因素的判定，同时也考虑随机因素； d）在授予认证之前，认证机构审核了 ISMS 中每个具有重大风险的场所； e） 根据上述要求设计审核方案，且审核方案要在三年内覆盖 ISMS 认证范围内的代表性样本； f） 在单个场所发现不符合时，纠正措施程序的实施适用于证书所覆盖的所有场所。 审核应关注客户为确保单一的 ISMS 适用于所有场所并在运行层面实施统一管理所进行的活动。 c） 以往已证实的 ISMS 绩效； d）在 ISMS 各部分的实施过程中，所应用的技术的水平和多样性（例如，不同 IT 平台的数量、 隔离网络的数量）； e） ISMS 范围内所使用的外包和第三方安排的程度； f） 信息系统开发程度； g）场所数量和灾难恢复场所数量； h）第一阶段之后，认证机构将考虑控制的数量和复杂性； i） 对于监督或再认证审核：GB/T 27021.1-2017 8.5

5）应将主要设备安装调试信息及时上传至智慧工地信息化平台，并具备统计分 析、报表管理等功能。 6）应统筹规划智慧化运营需求，宜在智慧工地信息化平台嵌入智慧用电安全管 理系统，实现电压、电流自动监测，及时预警漏电、过载、短路、过压、三相不平 衡、温升异常、故障电弧等电气安全隐患。 7.7.3 验收环节智慧化管理 7.7.3.1 应包含分项工程验收、分部工程验收、单位工程验收、交竣工验收等环节的 智慧化管理。 7.7.3 警提示。 7.8.2.4 应具备安全评价功能，考核评价指标参照《公路水运工程平安工地建设管理 办法》（交安监发〔2018〕43 号）执行。 7.8.3 安全教育 7.8.3.1 安全教育包括三级安全教育、班前例会、季节性安全教育、专项安全教育等。 7.8.3.2 应具备在线培训教育、课程库管理、试题库课程、报表统计等功能。 7.8.3.3 应具备安全教育记录、考核成绩管理等功能，相关数据应自动与实名制、门 现场安全管理应具备监督、监测、检查、整改等功能，以及信息查询和统计 分析等功能。 7.8.5.5 危大工程应与特种作业人员、特种设备、实名制进行协同管理。 7.8.5.6 对于需进行第三方监测的危大工程，应具备第三方监测数据记录、查询、分 析、预警等功能。 7.8.6 应急救援管理 7.8.6.1 应根据经审批的应急救援预案设定事故应急程序，具备应急演练管理、记录 和存档等功能。 7.8

城轨创新网络中心有限公司 深信服科技股份有限公司 天津城市轨道咨询有限公司 天津轨道交通线网管理有限公司 天津一号线轨道交通运营有限公司 神铁二号线（天津）轨道交通运营有限公 司 天津三号线轨道交通运营有限公司 天津泰达城市轨道投资发展有限公司 天津滨海新区建投轨道交通建设有限公 司 中铁（天津）轨道交通投资建设有限公司 本标准主要起草人：王清永 钱广民 李向辉 何跃齐 Platform 由云服务方提供的云计算基础设施以及服务层软件的集合。按 照城市轨道交通面向安全生产、运营管理、外部或公众用户等业务 3 承载需求，构建安全生产网、内部管理网、外部服务网三部分云平 台资源，并统一由云管理平台进行管理。 2.1.5 大数据平台 Big Data Platform 实现安全生产网网域内部的数据采集、交换和共享，以及与内 部管理网、外部服务网跨网域之间的数据交换和共享；并在共享数 略，以网络安全等级保护为基础，分级分类建立应用系统的安全保 护措施。 4.1.5 云平台宜按照城市轨道交通安全生产、运营管理、乘客服务 等业务应用系统的统一承载需求，构建安全生产网、内部管理网、 外部服务网三部分云平台资源，并统一由云管理平台进行管理。 1 安全生产网云平台应采用私有中心云平台、站段云节点构 建。其中，中心云平台宜按照系统分属不同的资源池进行构建；站 段云节点宜由线路站段级生产系统共享构建，其资源可纳入云管理

提供选项供选择，注意与密评报告信息页所载 行业领域保持一致，若有表述不一致，以此处 选择为准。若选择其他，请在选项右侧空格内 具体补充说明。 网络安全等级 保护定级情况 提供选项供选择，包括：未定级、第一级、第 二级、第三级、第四级、第五级。 网络安全等级保护 备案编号 网络安全等级 保护测评情况 填写是否测评与测评结果。如已测评，填写等 保测评结论（优、良、中、差）及分数（精确 到小数点后两位）/测评结论（符合、基本符 京市海淀区。 填写系统责任部门规范全称。 填写相关人群，如：学生、患者、办事群众等。 从提供选项中选择依托的网络类型（以最广的类型为准）。 从提供选项中选择，包括：未定级、第一级、第二级、第三级、第四级、第五级。 即备案回执出具日期，经密码管理部门反馈后填写，精确到日，无法精确的，默认为该月1日，格式YYYYMMDD 。收到备案回执前可填填表日期。 即密码管理部门按照既定规则赋予的密评结

提供选项供选择，注意与密评报告信息页所载 行业领域保持一致，若有表述不一致，以此处 选择为准。若选择其他，请在选项右侧空格内 具体补充说明。 网络安全等级 保护定级情况 提供选项供选择，包括：未定级、第一级、第 二级、第三级、第四级、第五级。 网络安全等级保护 备案编号 网络安全等级 保护测评情况 填写是否测评与测评结果。如已测评，填写等 保测评结论（优、良、中、差）及分数（精确 到小数点后两位）/测评结论（符合、基本符 京市海淀区。 填写系统责任部门规范全称。 填写相关人群，如：学生、患者、办事群众等。 从提供选项中选择依托的网络类型（以最广的类型为准）。 从提供选项中选择，包括：未定级、第一级、第二级、第三级、第四级、第五级。 即备案回执出具日期，经密码管理部门反馈后填写，精确到日，无法精确的，默认为该月1日，格式YYYYMMDD 。收到备案回执前可填填表日期。 即密码管理部门按照既定规则赋予的密评结

价、出塘量）自动核算单斤养殖成本、亩均效益等核心指标，辅助制定更加合理的经营策 略。 5 技术要求 应满足但不限于如下要求： SZSD 0040—2025 7 —— 系统架构：应采用 B/S 三层体系结构，逻辑上划分为表现层、应用层和数据层；应支撑业务 协同服务，上层业务应用系统通过浏览器访问； —— 终端兼容性：应支持多终端兼容，提供大屏、PC 端、移动端等多形式可视化展示；应实现联

必要控制之间的相互作 用，而仅使用适用性声明则可能忽略这个因素。 A.5 其他文件化信息 GB/T 22080—XXXX 关注的是结果。在对文件化信息的 16 项明确要求中（见表 A.1），只有三个 涉及的规范（信息安全风险评估过程、信息安全风险处置过程和审核方案）。但是，这并不妨碍组织 拥有文件化的规程。此类支持文件属于 GB/T 22080—XXXX 的 7.5.1 b）的范围（组织确定的文件化信 f）为获得和保持必要能力而采取的措施的记录； g）评价其有效性。 GB/T 22080—XXXX 的 7.2 将能力范围扩至非组织成员。该要求指名他们“在组织的控制 下工作”。例如包括分包商和志愿者。 第三方要求的审核证据宜限于证明为 ISMS 组织执行的职能和活动。 审核实践指南 审核员宜确认组织： a）确定： 1）组织控制下从事会影响组织信息安全绩效的工作人员； 2）人员获得预期结果的知识和技能；