………………………………………………………………… A. 7 与价值创造的驱动要素有关的能力 28 …………………………………………………………… 附录 B (资料性) 不同行业的主业务环节(主场景)及其主要细分业务环节 30 ………………………… 附录 C (规范性) 基于参考架构的企业数字化转型发展阶段与水平档次(成熟度模型) 32 …………… C. 1 模型构成 32 ……………………… 对相关业务对象的运行状态、关联关系等进行数字化动态描述,可基于数 据驱动支持实现业务动态柔性响应的模型。 3. 5 知识模型 knowledgemodel 基于多元异构动态数据,对相关业务对象的运行规律等进行动态归纳、演绎及其知识化、数字化、模 型化,可基于知识驱动支持实现业务个性化按需柔性运行和一体化敏捷响应的模型。 注:知识是对信息进一步提炼和加工形成的关于客体对象原理、规律、机理等的形式化表达。 3. 6 智能模型 e) 系统性解决方案提供价值支持。系统性解决方案视角创新价值支持的要素实现体系,形成支 持新型能力打造、推动业务创新转型的系统性解决方案。 图 3 以价值体系优化、创新和重构为根本任务的五个视角及其关联关系 5. 2 发展战略 5. 2. 1 通则 发展战略视角包括竞争合作优势、业务场景和价值模式三个子视角。 企业应制定数字化转型战略,并将其作为发展战略的重要组成部分,把数据驱动的理念、方法和机

审核和认证的机构规定了要求，这类机构被称为认证机构。本文件规定了 ISMS 认证机构的通用要求。认证机构遵守这些要求，确保其以有能力、一致和公正的方式实施 ISMS 认证，这将促进国内外对这些机构及其认证结果的承认与接受。 本文件正文与 GB/T 27021.1—2017 的结构保持一致。 在本文件中，使用了下列助动词： —— “应”表示要求； —— “宜”表示推荐； —— “可”表示允许； —— 论是国际的、国家的、 地区的还是地方的； ——影响组织（）目标的关键驱动力和趋势； 1 GB/T 25067－202X/ISO/IEC 27006-1:2024 ——与外部利益相关方的关系及其认知和价值观。 [来源：GB/T 29246—2023，3.22，有修改] 3.4 信息安全 information security 对信息的保密性、完整性和可用性的保全。 注：另外，还可 组织（）寻求实现其目标时所处的内部状况。 注：内部环境可能包括如下方面： ——治理、组织结构、角色和职责； ——策略、目标及其实现战略； ——在资源和知识（如资本、时间、人员、过程、系统和技术）方面的能力； ——信息系统（）、信息流和决策过程（正式的和非正式的）； ——与内部利益相关方的关系及其认知和价值观； ——组织（）的文化； ——组织（3.9）采用的标准、指南和模型； ——合同关系的形式和范围。

30 年历年各月平均风速、风向数据等。测站基础数据宜包括测站位置、高 程、周围地形地貌、周边建筑物状况、观测项目及仪器、数据记录方式以及场址变迁情况； c) 风电规划场址周边实地风能资源观测数据及其分析资料，实地测风时间不宜少于一年，数据应 满足 GB/T 18710 与 NB/T 31147 对测风数据的要求； d) 光伏场址周边的长系列（10 年以上）太阳能辐射资料和气象站的气象资料，资料应满足 风电规划场址周边已有风能资源宏观评估资料。宏观评估资料可包括风能资源普查、详查，风 电开发规划等资料； b) 光伏规划场址已有的太阳能资源分析成果和区域光伏发电的运行资料； c) 光伏规划场址的实地太阳能资源观测数据及其分析资料。 6 园区负荷 应对零碳产业园区能源需求进行评估，包括但不限于电力、热（冷）能等方面。 应对零碳产业园区规划基准年负荷现状情况进行分析，应包括零碳产业园区存量负荷的负荷等级、 负荷类型、负荷特性、年用电量等。 规划涉及区域风能资源分布状况宜采用风能资源理论储量、风能资源潜在开发量、风电技术可 装机规模等评估参数，以及能量密度或风速色斑图描述。 DB15/T 4265—2026 5 7.1.4 应根据规划风电场周边长期测站资料及其风能资源评价成果，分析当地风况年变化及季节变化 规律，评价风能资源，绘制长期测站的近 30 年风速年际变化直方图和风速年内变化直方图。 7.1.5 应根据规划风电场场址区域的现场实测测风资料，分析并评价规划风电场场址的风能资源，推

茹、孙镇、赵捷、陈艳、鲁立、潘文博、崔牧凡、宋首友、刘盈颖、赵丽华、张睿、杨天识、张靖琦、 冯明冉、张亚京、徐晓琳、方宇、梁露露、李玮、刘伯钊、孟建、马卓元、陈恩惠、魏遵博、高运霞、 王璞。 本文件及其所代替文件的历次版本发布情况为： ——2012 年首次发布 GB/T 28450—2012； ——2020 年第一次修订并发布 GB/T 28450—2020，代替的文件为 GB/T 28450—2012； 注：关于绩效监视、测量、分析和评价的更多信息，可查看 GB/T 31497-2024。 d) 相关方的信息安全风险，即受审核方和审核委托方。 ISMS 特定审核方案的目标示例包括： ——相关法律、合同要求、其他要求及其安全影响的符合性验证； ——获得并保持对受审核方在风险管理能力的信心； ——评价信息安全风险和机会应对措施的有效性。 5.3 确定和评价审核方案风险和机遇 5.3.1 GB/T 19011—2021 法律和合同要求以及与受审核方相关的其他要求； c) 受审核方的信息安全风险准则、信息安全风险评估过程以及风险处置过程； d) 适用性声明，特定行业控制或其他必要控制的识别以及对包含必要的控制（无论该控制是否 已实现）及其选择的合理性说明，以及对 GB/T 22080—XXXX 附录 A 控制删减的合理性说明； e) 可适当处置风险的控制的定义； f) 监视、测量、分析和评价信息安全绩效及 ISMS 有效性的方法和准则；

System 线路调度人员通过使用通信、信号、综合监控（含电力监控、 环境与设备监控、火灾自动报警）、自动售检票、乘客信息、安防 集成平台等线路中央级系统操作终端设备，对线路列车、车站、区 间、车辆段及其他设备的运行情况进行集中监视、控制、协调、指 挥、调度和管理的工作场所，简称“控制中心”，实现上述功能的 各应用系统的线路中央级系统总称为运营控制中心系统。 2.1.4 云平台 Cloud Computing 2.1 NOCC 系统应由云平台、大数据平台、数据采集平台、数据 共享平台、乘客服务平台、线网安防集成平台、信息编播中心系统、 自动售检票线网管理中心系统、应急指挥中心系统、网络安全运营 中心系统以及其他线网层有关运行、运维管理等应用生产系统组 成。 3.2.2 NOCC 系统设置应符合轨道交通网络化运营指挥需求，且应 具有线网乘客服务、安全监控、信息发布、清分清算、协调指挥、 应急处置、辅助决策分析等功能。 与 设备监控、火灾自动报警、自动售检票等应用生产系统的线路中央 级组成。 3.3.2 OCC 系统设置应符合线路运营需求，且在 NOCC 系统统一 协调指挥下，应具有线路列车、车站、区间、车辆段及其他设备运 行情况的集中监视、控制、协调、指挥、调度和管理等功能。 3.3.3 OCC 系统设置应充分利用综合控制中心云平台、线网通信、 8 工艺设施等配套资源预留条件，并依照综合控制中心建设程序要

和档案 资料的数字化移交等功能要求。 7.12.3.2 电子档案管理系统应具备方案分类管理、档号规则管理、元数据方案管理、 门类定义等功能。 7.12.3.3 电子档案管理系统应具备电子档案及其元数据的采集、登记、分类、编目、 命名、存储、统计、报表管理、鉴定、移交、备份、利用等功能。 7.12.3.4 电子档案管理系统应支持按分类类目提供元数据描述。 7.12.3.5 电子档案管 7.12.5.1 应能按相关法律法规的要求形成、收集、整理、归档电子文件及其元数据文 件。 7.12.5.2 应内置电子文件分类方案、保管期限表等工具，能按内置规则自动命名、存 储电子文件及其组件，建立电子文件与元数据的关联关系。 7.12.5.3 能按标准生成电子文件及其元数据归档数据包，或向归档接口推送电子文件 及其元数据。 7.12.6 电子档案检测 7.12.6.1 电子档案检 系统等。 9.2.2 运行维护应包含资产统计，统计内容包括但不限于硬件设备型号、数量、版本 等硬件信息，软件产品型号、版本和补丁等软件信息，网络结构、网络路由、网络 IP 地址等网络基础设施信息，以及其他附属设备信息。 9.2.3 应对各类硬件设备设施，包括信息采集设备、智能服务终端进行定期清洁、运 行状态检查、故障诊断及维修处理。 9.2.4 应从网络连通性、网络性能、网络监控管理等方面对网络系统进行运行维护。

远程通信风险，进一步扩展至多模态感知数据安全、算法模型安全、 V2X 通信安全、OTA 升级安全及运营服务全链条安全，呈现出跨域 融合、链路延伸与动态演进等特征。 在此背景下，本报告以具备智能驾驶功能的智能网联汽车及其 相关支撑系统为研究对象，重点覆盖 SAE J3016 所定义的 L1— L2/L2+组合驾驶辅助及 L3 及以上自动驾驶。研究范围聚焦“车端— 通信链路—云平台—运营管理”全链条中的网络与数据安全问题， 为四个 层次：感知层、网络层、计算层、应用层，如图 3-2 所示 6 图 3-2 智能驾驶技术架构 感知层：包括加速度传感器、磁性感应、陀螺仪等物理量传感 器，摄像头和雷达等视觉传感器，以及其他传感器系统，主要用于 感知和获取环境信息。 网络层：确保车载系统和外部网络的通信，如专用短程通信技 术（V2X）、车载环境无线接入技术和长期演进技术（LTE 等）， 实现数据的高效传输。 据及业务逻辑等类别。各类风险虽表现形式不同，但其共同特点是 能够直接影响车辆对环境的判断、对控制命令的执行以及对运行边 界的维持。 4.1.1. 硬件安全 智能驾驶依赖大量硬件板卡、域控制器、传感器控制单元、执 行器控制单元及其配套芯片完成环境感知、数据处理、控制输出等 关键功能。硬件安全是智能驾驶可信运行的基础，一旦硬件层遭到 篡改、替换、失效或被非法访问，将直接影响感知准确性、控制稳 12 定性和整车安全。

组织全部业务采 用数字化手段实 现物流配送智能 化 组织运用软件技 术、互联网技术、 自动分拣技术、光 导技术、RFID、声 控技术等先进的 科技手段和设备 对物品的进出库、 存储、分拣、包装、 配送及其信息进 行有效的计划、执 行和控制，确保物 料仓储配送准确 高效和运输精益 化管控 7.4.2 供应链管理 供应链管理能力指标包括供应链管理软件、供应链管理软件使用情况2个评估维度。 表 立良好的数 据 质 量 文 化？ 对业务部门或应 用系统中出现的 数据问题进行数 据质量校正 （1）制定数据质 量问题提升的管 理制度，指导数据 质量提升工作 （2）明确数据质 量提升的利益相 关者及其职责 （3）批量进行数 据质量问题更正， 建立数据质量跟 踪记录 （1）根据数据质 量问题的分析，制 定并实施数据质 量问题预防方案 （2）建立组织层 面的数据质量提 升管理制度，明确 数据质量提升方