搜索
UDCMH中华人民共和国行业标准 PMH/T5057—2021 智慧民航数据治理规范数据安全Specificationsforsmartcivilaviationdatagovernance—Datasecurity 2021-12-24发布 2022-02-01施行 中国民用航空局 发布中华人民共和国行业标准智慧民航数据治理规范数据安全Specificationsforsmartcivilaviationdatagovernance—DatasecurityMH/T5057—2021主编单位:中国民用航空局发展计划司中国民航管理干部学院批准部门:中国民用航空局施行日期:2022年2月1日中国民航出版社有限公司2022 北 京中华人民共和国行业标准智慧民航数据治理规范数据安全MH/T5057—2021中国民用航空局发展计划司中国民航管理干部学院 主编 责任编辑 韩景峰 出 版 中国民航出版社有限公司(010)64279457 地 址 北京市朝阳区光熙门北里甲31号楼(100028) 排 版 中国民航出版社有限公司录排室 印 刷 北京金吉士印刷有限责任公司 发 行 中国民航出版社有限公司(010)64297307 64290477 开 本 880×1230 1/16 印 张 2 字 数 37千字 版印次 2022年1月第1版 2022年1月第1次印刷 统一书号 1580110418 成本价 1900元中国民用航空局公 告2021年第15号中国民用航空局关于发布«智慧民航数据治理规范数据安全»的公告现发布«智慧民航数据治理规范数据安全»(MH/T5057—2021)ꎬ自2022年2月1日起施行ꎮ本标准由中国民用航空局发展计划司负责管理和解释ꎬ由中国民航出版社出版发行ꎮ中国民用航空局2021年12月24日前 言随着智慧民航建设不断推进ꎬ数据将逐步从信息化资产向生产要素转变ꎬ数据安全的重要性日益凸显ꎮ为指导行业单位建立科学的数据安全分级与防护机制ꎬ强化数据安全保护能力ꎬ促进民航数据的安全共享与应用ꎬ特制定本规范ꎮ本规范以«推动新型基础设施建设促进民航高质量发展实施意见»«推动民航新型基础设施建设五年行动方案»为指导ꎬ深入调研和总结民航行业数据安全现状ꎬ认真吸收民航各单位数据安全治理经验ꎬ借鉴行业内外数据安全分级与防护相关标准和技术要求ꎬ经广泛征求意见和多次专家审查ꎬ最终形成本规范ꎮ本规范共6章ꎬ主要内容包括:总则、术语、民航数据安全治理一般要求、民航数据安全分级、民航数据全生命周期安全防护、民航数据安全组织保障ꎮ本规范第1章由包毅、刘一编写ꎬ第2章由刘一、刘心桥编写ꎬ第3章由包毅、韩兴军、李波、袁婷编写ꎬ第4章由刘一、袁婷、张轶、钟敏编写ꎬ第5章由刘一、袁婷、刘心桥编写ꎬ第6章由包毅、李波、张轶编写ꎮ本规范的日常维护工作由中国民航管理干部学院大数据与信息管理研究中心负责ꎬ执行过程中如有意见或建议ꎬ请函告本规范日常维护组(地址:北京市朝阳区花家地东路3号ꎻ电话:010-58250678ꎻ邮箱:bigdata@camiccn)ꎬ以及民航工程建设标准化技术委员会秘书处(地址:北京市朝阳区惠新东街甲2号住总地产大厦ꎻ电话:010-64922342ꎻ邮箱:mhgcjsbwh@163com)ꎬ以便修订时参考ꎮ主编单位:中国民用航空局发展计划司中国民航管理干部学院主 编:刘 一 包 毅参编人员:袁 婷 韩兴军 李 波 张 轶 刘心桥 钟 敏主 审:殷时军 韩 钧 于 剑—Ⅰ—前 言参审人员:马 力 郭竟成 熊 朝 闫 超 王 欣 吴国华 李 涛刘怡君 张 波 董战鲲 刘晓青 俞亚瓅 潘小婷 冯晓磊司马键—Ⅱ—智慧民航数据治理规范数据安全(MH/T5057—2021)目 次1 总则12 术语23 民航数据安全治理一般要求44 民航数据安全分级641 数据安全分级原则642 数据安全分级要素643 数据安全分级要素识别744 数据安全分级规则945 数据安全级别变更105 民航数据全生命周期安全防护1151 数据采集安全1152 数据传输安全1153 数据存储安全1254 数据使用安全1355 数据共享安全1456 数据销毁安全146 民航数据安全组织保障16标准用词说明19引用标准名录20—Ⅲ—目 次1 总 则101 为提升民航数据安全ꎬ指导行业数据安全治理工作ꎬ建立科学的数据安全分级与防护机制ꎬ制定本规范ꎮ102 本规范适用于民航行业数据治理的数据安全治理工作ꎮ【条文说明】各单位在本规范内容的框架与指导下ꎬ结合自身发展现状及目标ꎬ进一步细化研究具体实施方案与细则ꎮ103 民航行业数据安全治理工作除应满足本规范的规定外ꎬ尚应符合国家、行业现行有关标准的规定ꎮ—1—1 总 则2 术 语201 数据安全datasecurity数据安全是指通过采取必要措施ꎬ确保数据处于有效保护和合法利用的状态ꎬ以及具备保障持续安全状态的能力ꎮ202 保密性confidentiality保密性是指使信息不泄露给未授权的个人、实体、进程ꎬ或不被其利用的特性ꎮ[GB/T25069—2010ꎬ211]203 完整性integrity完整性是指保卫资产准确性和完整的特性ꎮ[GB/T25069—2010ꎬ2142]204 可用性availability可用性是指已授权实体一旦需要就可访问和使用的数据和资源的特性ꎮ[GB/T25069—2010ꎬ2120]205 敏感数据sensitivedata敏感数据是指泄露后可能会给国家安全、公众权益、个人隐私、企业合法权益等造成不同程度损害的数据ꎮ206 数据脱敏datamasking数据脱敏是指通过一系列数据处理方法对原始数据进行处理以屏蔽敏感数据的一种数据保护方法ꎮ[GB/T37988—2019ꎬ312]207 数据采集datacollection数据采集是指获取数据的过程ꎮ208 数据传输datatransmission数据传输是指数据从一个控制主体发送到另一个控制主体的过程ꎮ209 数据存储datastorage数据存储是指将数据进行持久化保存的过程ꎮ—2—智慧民航数据治理规范数据安全(MH/T5057—2021)2010 数据使用datausage数据使用是指对数据进行访问、加工、展示等一系列处理的过程ꎮ2011 数据共享datasharing数据共享是指本单位不同部门之间或与其他单位、行业主管单位的数据共享ꎬ各方承担相关权利和义务的过程ꎮ2012 数据销毁datadestruction数据销毁是指采用数据擦除或者物理销毁的方式确保数据无法复原的过程ꎮ—3—2 术 语3 民航数据安全治理一般要求301 民航数据安全治理应基于数据安全原则ꎬ以数据安全分级为基础ꎬ建立覆盖数据生命周期全过程的安全防护体系ꎬ并建立健全数据安全组织支撑ꎮ民航数据安全治理框架如图301所示ꎮ图301 民航数据安全治理框架302 民航数据安全治理应符合下列基本原则:1 合法正当原则:对数据的收集与使用应基于法律依据ꎬ履行数据相关的法律义务ꎬ确保数据全生命周期各环节数据活动的合法性和正当性ꎻ2 权责一致原则:明确本单位数据安全治理工作相关部门及其职责ꎬ相关部门及人员应积极落实相关措施ꎬ履行数据安全职责ꎬ因不履行或不当行使其职权等造成不良影响或损害的ꎬ应承担相应的安全责任ꎻ【条文说明】本规范中“单位”指民航行业各级行政主体、企业、直属单位和行业协会等组织ꎮ3 最小化原则:在保证业务功能实现的基础上应赋予数据活动中各角色最小的操作权限和最小数据集ꎬ制定数据访问授权审批流程ꎻ—4—智慧民航数据治理规范数据安全(MH/T5057—2021)4 全程可控原则:对数据进行安全分级ꎬ通过实施与数据安全级别相匹配的安全管控机制和技术措施ꎬ确保数据在全生命周期各阶段的安全性ꎬ避免未授权访问、破坏、篡改、泄露或丢失等ꎻ5 动态控制原则:数据的安全控制策略和防护措施应基于业务需求、安全环境属性、系统用户行为等因素进行实时和动态调整ꎻ6 可审计原则:实现对业务各环节的数据安全审计ꎬ记录数据活动中各项操作的相关信息ꎬ确保记录可追溯ꎮ303 民航数据安全治理应对数据进行安全分级ꎬ采用规范、明确的方法区分数据的重要性和敏感程度差异ꎬ确定数据安全级别ꎮ304 民航数据安全治理应建立数据全生命周期安全防护ꎬ依据本规范安全措施要求ꎬ在采集、传输、存储、使用、共享以及销毁等各个环节采取符合数据安全级别要求的安全防护措施ꎬ建立覆盖数据全生命周期的安全防护机制ꎮ—5—3 民航数据安全治理一般要求4 民航数据安全分级41 数据安全分级原则411 数据安全分级应遵循下列原则:1 合法合规原则:数据安全分级应满足国家法律法规及行业主管部门有关规定ꎻ2 可执行原则:数据定级规则应避免过于复杂ꎬ确保数据定级工作的可行性ꎻ3 时效性原则:数据安全级别应具有一定的有效期限ꎬ并按照级别变更策略进行及时调整ꎻ4 自主性原则:数据安全级别应在合法合规原则下结合本单位自