PDF《中华人民共和国民用航空行业标准》

M H 中华人民共和国民用航空行业标准 M H / T

0 0

2 5 ―

2 0

0 5 民用航空信息系统安全 等级保护管理规范 Management specificaiton for information system classified security protection of ciVil aViation

2 0

0 5 -

0 1 -

2 0 发布2005-05-01实施中国民用航空总局 发布目次前言

1 范围12规范性引用文件

1 3术语和定义

1 4信息系统安全管理的目标与内容

1 4.

1信息系统安全管理的目标

1 4.2信息系统安全管理的内容

2 5信息系统安全保护等级的划分与确定

2 5.1信息系统安全保护等级的划分

2 5.2信息系统安全保护等级的确定

2 6信息系统安全等级保护管理要求

3 6.1第一级管理要求

3 6.2第二级管理要求

4 6.3第三级管理要求

7 6.4第四级管理要求

11 6.5第五级管理要求

14 前言本标准由中国民用航空总局人事科教司提出并负责解释. 本标准由中国民用航空总局航空安全技术中心归口. 本标准起草单位: 中国航空结算中心. 本标准主要起草人: 胡振刚、 钱农、 江志强、 杜伟军、 陈鸿、 赵志科、 许莺、 孙燕征. 民用航空信息 系统安全等级 保护管理规范

1 范围本标准规定了民用航空信息系统安全保护的等级划分和各等级的管理要求. 本标准适用于民用航空各信息系统安全等级保护的管理.

2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款.凡是注日期的引用文件, 其随后所有的 修改单 (不包括勘误的内容) 或修订版均不适用于本标准, 然而, 鼓励根据本标准达成协议的各方研究 是否可使用这些文件的最新版本.凡是不注日期的引用文件, 其最新版本适用于本标准. GB17859―1999计算机信息系统安全保护等级划分准则 MH/T0026―2005民用航空重要信息系统灾难备份与恢复管理规范 3术语和定义 GB17859―1999确立的以及下列术语和定义适用于本标准. 3.1 机密性confidentiality 使信息不泄露给非授权的个人、 实体或进程, 不为其所用. [GB/T9387.2―1995, 定义3.3.16] 3.2 数据完整性data integrity 表明数据没有遭受以非授权方式所作的篡改或破坏. [GB/T9387.2―1995, 定义3.3.21] 3.3 可用性availability 根据授权实体的请求可被访问与使用. [GB/T9387.2―1995, 定义3.3.11] 3.4 风险评估risk assessment 对信息、 信息处理设施、 信息处理过程和信息系统管理所受威胁、 系统脆弱性保护不当等风险因素 的发生可能性和后果影响的资产价值评定与估算. 3.5 信息系统安全管理体系information system security management architecture 通过规划、 组织、 领导、 控制等措施以实现组织或机构信息系统安全目标的相互关联或相互作用的 一系列支撑服务要素的集合. 4信息系统安全管理的目标与内容 4.1信息系统安全管理的目标 信息系统安全管理的目标是防止国家、 行业秘密和民用航空各单位敏感信息的失密、 泄密和窃密, 防 民用航空信息 系统安全等级 保护管理规范

1 范围本标准规定了民用航空信息系统安全保护的等级划分和各等级的管理要求. 本标准适用于民用航空各信息系统安全等级保护的管理.

2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款.凡是注日期的引用文件, 其随后所有的 修改单 (不包括勘误的内容) 或修订版均不适用于本标准, 然而, 鼓励根据本标准达成协议的各方研究 是否可使用这些文件的最新版本.凡是不注日期的引用文件, 其最新版本适用于本标准. GB17859―1999计算机信息系统安全保护等级划分准则 MH/T0026―2005民用航空重要信息系统灾难备份与恢复管理规范 3术语和定义 GB17859―1999确立的以及下列术语和定义适用于本标准. 3.1 机密性confidentiality 使信息不泄露给非授权的个人、 实体或进程, 不为其所用. [GB/T9387.2―1995, 定义3.3.16] 3.2 数据完整性data integrity 表明数据没有遭受以非授权方式所作的篡改或破坏. [GB/T9387.2―1995, 定义3.3.21] 3.3 可用性availability 根据授权实体的请求可被访问与使用. [GB/T9387.2―1995, 定义3.3.11] 3.4 风险评估risk assessment 对信息、 信息处理设施、 信息处理过程和信息系统管理所受威胁、 系统脆弱性保护不当等风险因素 的发生可能性和后果影响的资产价值评定与估算. 3.5 信息系统安全管理体系information system security management architecture 通过规划、 组织、 领导、 控制等措施以实现组织或机构信息系统安全目标的相互关联或相互作用的 一系列支撑服务要素的集合. 4信息系统安全管理的目标与内容 4.1信息系统安全管理的目标 信息系统安全管理的目标是防止国家、 行业秘密和民用航空各单位敏感信息的失密、 泄密和窃密, 防 止数据的非授权访问、 修改、 丢失和破坏, 防止系统能力的丧失、 降低, 防止欺骗, 保证信息及系统的 可靠性和资产的安全. 4.2信息系统安全管理的内容 信息系统安全管理是对一个组织或机构中信息系统的生命周期全过程实施符合安全等级责任要求的 科学管理, 内容主要包括策略和制度、 组织机构及职责、 风险管理、 工程建设管理、 人员安全管理、 安 全教育和培训、 运行安全管理和业务连续性管理等方面. 5信息系统安全保护等级的划分与确定 5.1 信息系统安全保护等级的划分 信息系统安全保护等级划分为: a)第一级 自主保护级: 信息系统受到破坏后, 会对公民、 法人和其他组织的权益有一定影响, 但 不危害国家安全、 社会秩序、 经济建设和公共利益;