建筑工程信息安全管理标准（2025版）

建筑工程信息安全管理标准（2025版）1.总则1.1编制目的为适应建筑工程行业数字化转型的快速发展，规范建筑企业在勘察设计、施工建造、竣工验收及运维全生命周期中的信息安全行为，保障建筑工程数据完整性、保密性和可用性，依据国家相关法律法规及行业标准，结合行业特点制定本标准。本标准旨在构建具有前瞻性、可落地性的建筑工程信息安全管理体系，有效防范网络攻击、数据泄露等安全风险，支撑智慧工地与建筑工业化协同发展。1.2适用范围本标准适用于所有从事建筑工程活动的建设单位、勘察单位、设计单位、施工单位、监理单位、检测单位及相关技术服务提供商。涵盖工程项目管理信息系统、建筑信息模型（BIM）平台、智慧工地物联网系统、办公自动化系统及相关软硬件设施的信息安全管理。1.3基本原则坚持“安全第一、预防为主、综合治理”的方针，遵循“动态防御、主动防御、纵深防御”的技术策略。信息安全工作应与工程项目建设同步规划、同步建设、同步运行，确保安全技术措施与管理流程深度融合，实行全员参与、分级负责的责任制。1.4引用标准本标准引用并遵循《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《关键信息基础设施安全保护条例》及GB/T22239-2019《信息安全技术网络安全等级保护基本要求》、GB/T35273-2020《信息安全技术个人信息安全规范》等相关国家标准。2.组织架构与安全职责2.1信息安全领导小组建筑企业总部应设立信息安全领导小组，由企业主要负责人担任组长，分管信息化与安全的副职担任副组长。领导小组负责审定信息安全总体策略、规章制度及重大安全事项决策，每季度至少召开一次信息安全工作会议，协调解决跨部门、跨项目的重大安全问题。2.2信息安全管理部门设立专门的信息安全管理职能部门（如信息中心或网络安全部），负责落实领导小组决策。具体职责包括：制定和修订信息安全管理制度、技术标准及操作规程；组织信息安全风险评估与合规性审计；统筹应急响应与灾难恢复体系建设；监督各项目部及分支机构的安全执行情况。2.3项目部安全职责项目经理是工程项目信息安全的第一责任人。项目部应设立专职或兼职信息安全员，负责现场智慧工地系统、网络设备及数据的安全管理。项目部需定期向公司安全管理部门汇报现场安全状况，并在发生安全事件时立即启动应急预案。2.4全员安全责任全体员工应签署信息安全保密协议，严格遵守安全操作规范。涉及敏感数据处理的关键岗位人员（如BIM建模师、造价工程师、系统管理员）需经过专门的安全背景调查与专业技能培训，并实行定期轮岗制度。3.数据分类分级与全生命周期管理3.1数据分类分级规范建筑工程数据应依据敏感程度、泄露影响及重要价值进行分类分级管理。数据类别可分为工程核心数据、业务管理数据、个人信息数据及公开信息数据；数据级别从高到低划分为绝密级、机密级、秘密级及内部级。数据级别定义描述典型数据示例保护要求绝密级关系到国家安全、企业生存根本，泄露将造成特别严重损害的数据国家级重点工程图纸、涉密地质勘察资料、核心加密算法密钥物理隔离、强加密存储、双人双锁管理、严格审计机密级关系到企业重大商业利益，泄露将造成严重损害的数据BIM结构模型、招投标标底、未公开的财务数据、总包合同强访问控制、传输加密、数据防泄漏（DLP）管控秘密级关系到企业一般商业利益，泄露将造成一定损害的数据分包合同、施工进度计划、普通员工信息、材料采购清单访问控制、标签化管理、定期备份内部级仅限内部使用，泄露会对企业造成轻微影响的数据内部通知、规章制度、一般行政文档基础身份认证、网络隔离3.2数据采集安全在采集工程现场数据（如无人机航拍影像、环境监测数据、人员考勤记录）时，应遵循“最小够用”原则。对于采集到的个人生物识别信息（如人脸、指纹），必须获得被采集者明确授权，并采取脱敏处理措施。采集设备需具备防篡改机制，确保源头数据的真实性与完整性。3.3数据传输安全严禁在公共Wi-Fi或未加密的网络通道中传输绝密级、机密级数据。BIM模型、设计图纸等大文件传输应采用专用加密通道或建设企业私有云盘。远程访问项目内网时，必须通过VPN（虚拟专用网络）接入，并实施多因素认证（MFA）。数据传输协议应优先使用TLS1.3或国密SSL协议。3.4数据存储安全机密级及以上数据必须存储在符合安全等级保护三级及以上要求的信息系统中。数据库应启用透明数据加密（TDE）功能，敏感字段（如身份证号、银行卡号）应采用国密算法（如SM4）进行加密存储。数据备份应遵循“3-2-1”原则（3份副本、2种介质、1处异地），并定期对备份数据进行恢复演练。3.5数据销毁安全当工程项目结束或存储介质报废时，必须对存储的敏感数据进行彻底销毁。对于磁性介质（如硬盘、磁带），应执行物理消磁或破坏性粉碎；对于闪存介质，应执行多次覆写。销毁过程需建立详细台账，并由双人监销，确保数据无法被恢复。4.网络与通信安全架构4.1网络分区分域管理建筑工程网络应划分为外部互联区、核心业务区、项目管理区、物联网接入区及运维管理区。不同安全区域之间应部署下一代防火墙（NGFW）或网闸，实施严格的访问控制策略（ACL）。智慧工地现场的物联网终端（如塔吊监控传感器、环境监测仪）必须接入独立的物联网接入区，严禁直接与核心办公网互通。4.2无线网络安全施工现场无线网络覆盖应实施SSID隔离策略，至少设置“工程专用”和“访客专用”两个无线网络。工程专用网络：采用WPA2-Enterprise或WPA3加密模式，结合802.1X认证体系，仅允许授权的工程设备接入。工程专用网络：采用WPA2-Enterprise或WPA3加密模式，结合802.1X认证体系，仅允许授权的工程设备接入。访客专用网络：采用WPA2-PSK加密，并开启白名单认证，仅允许访问互联网，禁止访问内网资源。访客专用网络：采用WPA2-PSK加密，并开启白名单认证，仅允许访问互联网，禁止访问内网资源。无线网络应隐藏SSID广播，并定期更新密钥。4.3远程接入安全对于总部对项目部的远程运维与监控，必须构建可控的远程接入通道。推荐使用零信任访问架构（ZTNA），摒弃传统的VPN直连模式。运维人员需通过堡垒机进行操作，所有操作行为需全程录像、审计。远程接入会话应设置空闲超时自动断开机制，最长连接时间不超过4小时。5.终端与物联网设备安全5.1移动终端管理（MDM）推行移动设备管理（MDM）系统，对接入工程业务系统的智能手机、平板电脑进行统一管控。管控措施包括：强制设置高强度锁屏密码、禁止ROOT或越狱、违规应用黑名单、远程数据擦除。严禁使用个人微信、个人网盘传输工程图纸及涉密文件。5.2工程计算机安全所有办公及工程用计算机必须安装企业级防病毒软件及终端检测响应（EDR）客户端。应关闭非必要的服务端口（如445、3389等），禁用USB存储设备写入权限（特殊情况需申请一次性授权）。操作系统及应用软件补丁应在发布后72小时内完成测试与分发。5.3物联网设备安全智慧工地使用的摄像头、门禁闸机、传感器等IoT设备，在接入网络前必须修改默认出厂密码（密码长度不得少于12位，包含大小写字母、数字及特殊符号）。设备固件应定期进行升级更新。摄像头视频流传输应采用GB/T28181协议，并支持H.265编码及加密传输，防止视频被非法截获或替换。6.应用系统与BIM平台安全6.1身份认证与访问控制应用系统应统一接入企业身份管理系统（IAM/4A），实现单点登录（SSO）。对于关键操作（如BIM模型上传、工程款支付审批），必须强制实施多因素认证（MFA），结合短信验证码、动态令牌或生物特征识别。访问控制应采用基于角色（RBAC）与基于属性（ABAC）相结合的策略，确保用户仅能访问其职责范围内的最小数据权限。6.2BIM模型安全BIM协同平台应具备模型版本控制功能，记录每一次模型的创建、修改、删除操作及操作人信息。对于核心BIM模型，应采用轻量化加密技术，防止模型被非法导出或逆向工程。模型分享应生成带有时效性和水印的临时链接，接收方需进行身份验证方可查看。6.3应用开发安全遵循安全开发生命周期（SDLC）流程。在需求分析阶段注入安全需求，在测试阶段进行代码审计、渗透测试及漏洞扫描。禁止在代码中硬编码密钥或敏感信息。应用上线前，必须通过第三方安全机构的代码安全审计，并修复所有高危及以上漏洞。6.4接口安全管理系统间数据交换接口应采用API网关进行统一管理。接口调用需进行严格的身份鉴权、签名验证及流量控制。对于涉及敏感数据的接口，必须启用数据脱敏功能（如隐藏身份证中间位）。定期清理不再使用的僵尸接口，防止成为攻击跳板。7.物理与环境安全7.1机房安全数据中心机房及项目部弱电机房应参照GB50174-2017《数据中心设计规范》建设。物理环境应具备防火、防水、防潮、防静电、防雷击及温湿度调节能力。机房出入口应安装电子门禁系统，并配备视频监控录像，录像保存时间不少于90天。严禁无关人员进入机房，外部人员进入需登记并由专人全程陪同。7.2现场设备物理防护施工现场的服务器、网络设备应放置在具备防盗功能的专用机柜或箱体内，并固定于地面。临时设施内的网络布线应隐蔽敷设，防止被人为破坏。对于安装在户外的高空监控设备，应具备防拆报警功能，一旦检测到异常震动或断电，立即触发报警。8.运维监控与应急响应8.1安全监控与日志审计部署统一的安全信息与事件管理（SIEM）平台，收集网络设备、安全设备、服务器及应用系统的日志。日志内容应包含用户身份、操作时间、源IP地址、操作行为及结果。日志留存时间不少于6个月，满足《网络安全法》合规要求。安全运维团队应实行7×24小时值守，通过态势感知平台实时监测异常流量与攻击行为。8.2漏洞与补丁管理建立常态化的漏洞扫描与通报机制。每季度对全网进行一次全面漏洞扫描，重大安全漏洞（如Log4j2、Struts2等）发布后，应在24小时内完成排查与修复。补丁更新遵循“测试-验证-发布”流程，防止补丁冲突导致业务中断。8.3应急响应机制制定完善的信息安全事件应急预案，针对勒索病毒攻击、网页篡改、数据泄露、网络瘫痪等场景设定专项处置流程。每年至少组织一次全司范围的应急演练。建立应急响应小组（CERT），明确事件定级标准、上报路径及处置时限。发生安全事件后，应按照“谁主管谁负责、谁运行谁负责”的原则进行处置，并按规定向公安机关及行业主管部门报告。8.4勒索病毒专项防护针对建筑业高发的勒索病毒风险，实施严格的防御策略：关闭非必要的RDP、SMB端口；在互联网出口及邮件网关部署勒索病毒专项过滤系统；强制开启终端的勒索诱捕功能；确保离线备份的完整性与可用性。一旦发生感染，应立即断网隔离，禁止重启设备，并联系专业机构进行取证与解密。9.监督检查与合规审计9.1内部审计企业内部审计部门每年至少开展一次信息安全合规性审计。审计内容包括：制度执行情况、技术措施有效性、日志留存合规性、人员安全意识等。审计报告应上报信息安全领导小组，并对发现的问题下达整改通知书，限期整改闭环。9.2第三方风险管理建立供应商及外包服务人员安全管理制度。在与软件开发商、系统集成商、劳务分包商签订合同时，必须包含信息安全保密条款。对外包人员访问系统权限进行严格审批，实行“临时授权、用完即销”策略。定期对第三方服务商进行安全能力评估，不合格者终止合作。9.3考核与奖惩将信息安全工作纳入企业年度绩效考核体系。对于在信息安全保障工作中做出突出贡献的部门和个人给予表彰奖励；对于违反信息安全规定导致数据泄露或系统瘫痪的，视