MH∕T 0069-2018 民用航空网络安全等级保护定级指南(民用航空)
|
ID: |
FADB2873F7B34A97ABB5379704E84E09 |
|
文件大小(MB): |
0.17 |
|
页数: |
12 |
|
文件格式: |
|
|
日期: |
2021-12-26 |
|
购买: |
文本摘录(文本识别可能有误,但文件阅览显示及打印正常,pdf文件可进行文字搜索定位):
ICS 35.020,V 08,MH,中华人民共和国民用航空行业标准,MH/T 0069—2018,民用航空网络安全等级保护定级指南,Guidelines for grading of classified cyber security protection in civil aviation,2018 - 12 - 14 发布 2019 - 04 - 01 实施,中国民用航空局 发布,MH/T 0069—2018,I,前 言,本标准按照GB/T 1.1-2009给出的规则起草,本标准由中国民用航空局人事科教司提出,本标准由中国民航科学技术研究院归口,本标准起草单位:中国民航大学、广东机场白云信息科技有限公司、南开大学、中国民用航空局空,中交通管理局、中国民用航空华北地区空中交通管理局、中国民用航空华东地区空中交通管理局,本标准主要起草人:刘春波、魏勇、周景贤、黄诚智、贾春福、王双、张礼哲、马勇、江志强、唐,屹、陈宝刚、顾弘毅、吕宗平,MH/T 0069—2018,1,民用航空网络安全等级保护定级指南,1 范围,本标准规定了民用航空行业网络安全等级保护的定级原理、方法和等级变更等内容,本标准适用于民用航空行业非涉密网络与信息系统的等级保护定级工作,2 规范性引用文件,下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件,凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件,GB/T 25069 信息安全技术 术语,GB/T 22240—2008 信息安全技术 信息系统安全等级保护定级指南,3 术语和定义,GB/T 25069和GB/T 22240-2008确立的以及下列术语和定义适用于本文件。为了便于使用,以下重,复列出了GB/T 22240-2008中的一些术语和定义,3.1,等级保护对象 target of classified protection,网络安全等级保护工作的作用对象,主要包括基础通信网络、信息系统和数据资源,3.2,关键信息基础设施 critical information infrastructure,支撑国家经济社会运行,一旦遭到破坏、丧失功能或数据泄露,可能严重危害国家安全、国计民生,和公共利益的网络设施和信息系统,3.3,客体 object,受法律保护的、等级保护对象受到破坏时所侵害的社会关系,如国家安全、社会秩序、公共利益以,及公民、法人或其他组织的合法权益,[GB/T 22240—2008,定义3.2],3.4,系统服务 system service,信息系统为支撑其所承载业务而提供的程序化过程,[GB/T 22240—2008,定义3.4],MH/T 0069—2018,2,3.5,业务信息 business information,信息系统经过程序化过程生产得出的数据信息或正常运行所需的支撑性数据信息,3.6,调整年旅客吞吐量 adjusted annual passenger handling capacity,民用运输机场上一年度旅客吞吐量与设计目标年年旅客吞吐量相比较,取其中数值较大者,4 定级原理及流程,4.1 安全保护等级,民用航空网络安全保护等级按GB/T 22240—2008中4.1的规定,分为五级,4.2 定级要素,4.2.1 GB/T 22240—2008 中4.2 规定,等级保护对象的安全保护等级由两个一级定级要素决定:等级,保护对象受到破坏时所侵害的客体和对客体造成侵害的程度,4.2.2 根据民用航空网络与信息系统的业务信息和系统服务特征,将一级要素“对客体的侵害程度”,进一步分解为以下两个二级要素:,——业务重要性;,——网络与信息系统规模,4.3 一级要素与安全保护等级的关系,一级要素与安全保护等级的关系如表1所示,表1 一级要素与安全保护等级的关系,受侵害的客体,对客体的侵害程度,一般损害 严重损害 特别严重损害,公民、法人和其他组织的合法权益 第一级 第二级 第三级,社会秩序、公共利益 第二级 第三级 第四级,国家安全 第三级 第四级 第五级,4.4 二级要素,4.4.1 业务重要性,4.4.1.1 业务重要性是指网络与信息系统承载业务的重要程度,可分为一般、重要、核心三个级别,不同类别的网络与信息系统的业务重要性在6.2 中具体分析,4.4.1.2 业务重要性与对客体的侵害程度正相关。业务越重要,则对客体的侵害程度越严重,4.4.2 网络与信息系统规模,4.4.2.1 网络与信息系统规模可用业务量或服务范围加以评价,4.4.2.2 业务量是指提供对外服务的民用航空网络与信息系统所承载的运输业务量。根据业务量的多,少,划分为不同级别。业务量与对客体的侵害程度正相关。业务量越大,则对客体的侵害程度越严重,MH/T 0069—2018,3,4.4.2.3 服务范围是指民用航空网络与信息系统服务的地理范围,适用于地理服务范围有差异的信息,系统,可分为全国、区域、省等级别。服务范围与对客体的侵害程度正相关。服务范围越广,则对客体,的侵害程度越严重,4.5 定级流程,民用航空网络与信息系统定级的一般流程如下:,a) 确定定级对象;,b) 初步确定等级;,c) 专家评审;,d) 主管部门审核;,e) 公安机关备案审查,5 确定定级对象,民用航空网络与信息系统可以分为空中交通管理类信息系统、航务类信息系统、机务类信息系统、,商务/旅客服务类信息系统、机场生产运行类信息系统、电子政务类系统、通用管理类信息系统、门户,网站(不包含业务应用)类系统、支撑类网络与信息系统、其他信息设……
……