ICS35.020L07MH中华人民共和国民用航空行业标准MH/T0035—2012民用航空网络与信息安全管理规范Specificationforcivilaviationnetworkandinformationsecuritymanagement2012-02-08发布2012-06-01实施中国民用航空局发布MH/T0035—2012I前言本标准按照GB/T1.1-2009给出的规则起草。本标准由中国民用航空局人事科教司提出。本标准由中国民用航空局航空器适航审定司批准立项。本标准由中国民航科学技术研究院归口。本标准起草单位:中国民航大学、中国民航科学技术研究院。本标准主要起草人:杨宏宇、杜伟军、马晓宁、谢丽霞。MH/T0035—20121民用航空网络与信息安全管理规范1范围本标准规定了民用航空网络与信息安全管理目标、网络与信息安全管理职责、网络与信息系统等级保护、网络与信息安全管理、网络与信息安全应急与处置,以及网络与信息安全技术保障与服务。本标准适用于民用航空网络与信息安全管理。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。MH/T0026重要信息系统灾难恢复指南MH/T0028民用航空重大信息安全事件应急协调预案3术语与定义下列术语和定义适用于本标准。3.1网络与信息安全networkandinformationsecurity依靠网络进行的信息交互活动中的信息安全性,以及网络与信息系统自身的安全可靠性,特指网络和信息系统的保密性、完整性和可用性,以及信息的可认证性、可核查性、不可抵赖性和可靠性。3.2信息安全事件informationsecurityincident由于自然或者人为以及软硬件本身缺陷或故障的原因,对信息系统造成危害,或对社会造成负面影响的事件。3.3信息安全事故informationsecurityaccident由各种原因导致出现业务中断、系统瘫痪、关键数据丢失或核心信息失窃密等,从而在国家安全、社会稳定或公众利益等方面造成不良影响以及造成一定程度经济损失的事件。3.4民用航空重要网络与信息系统importantnetworkandinformationsystemofcivilaviationMHMH/T0035—20122安全保护等级为二级以上的民用航空网络和信息系统,包括空管通信网、商务数据网,以及民用航空运输机场、航空公司、空管部门和航空运输保障单位的基础网络和核心业务系统等。4管理目标通过制定民用航空网络与信息安全管理规范,建立民用航空网络与信息安全管理体系,实现民用航空业网络与信息安全管理工作的规范化、标准化,有效实施民用航空业网络与信息安全管理和民用航空各企事业单位的网络与信息安全工作,推进民用航空网络与信息安全管理水平的提升。5管理职责民用航空各企事业单位应:a)建立本单位的网络与信息安全管理机构和网络与信息安全责任制,设置网络与信息安全专职岗位;b)制定和完善本单位网络与信息安全策略和规章制度,建立和健全网络与信息安全管理、等级保护、信息通报、应急演练、灾难备份、评估审计、教育培训、信息保密等制度,组织开展网络与信息安全专项培训,增强网络与信息安全意识,提高网络与信息安全防护技能;c)检查和监督本单位网络与信息安全工作,定期开展网络与信息安全风险评估、安全审计等专项工作;d)制定网络与信息安全应急处置预案,并及时处置和上报网络与信息安全事件、事故;e)落实上级网络与信息安全主管部门开展的其他网络与信息安全工作。6信息安全等级保护6.1民用航空网络与信息系统应实行信息安全等级保护制度。民用航空各企事业单位应按照相关文件和标准的要求,建立健全并落实符合相应等级要求的网络与信息安全责任制、人员安全管理制度、系统建设管理制度和系统运维管理制度等安全管理制度。6.2民用航空各企事业单位应按照相关文件和标准的要求,建立并落实信息安全等级保护监督检查机制,定期对各项信息安全等级保护管理制度的落实情况进行自查。6.3民用航空各企事业单位应对本单位所运营、使用的网络和信息系统进行安全保护等级定级。对于二级(含)以上网络和信息系统,应当在安全保护等级确定后30d(天)内,到当地公安机关办理备案手续,并将备案材料报所辖地区行业行政主管部门备案。6.4网络和信息系统的安全保护等级确定后,民用航空各企事业单位应当按照国家信息安全等级保护管理规范和技术标准,使用符合国家有关规定并满足信息系统安全保护等级需求的信息技术产品,开展网络和信息系统的安全建设或者改建工作。6.5在网络和信息系统建设和改建过程中,民用航空各企事业单位应按照相关文件和标准的要求,同步建设符合该等级要求的信息安全设施。6.6对于安全保护等级为二级(含)以上的网络和信息系统,民用航空各企事业单位应按照相关文件和标准的要求建立并落实网络和信息系统的安全测评与风险评估制度,每年开展一次系统安全测评和风险评估。在重点保障任务时期,对安全保护等级为三级(含)以上的网络和信息系统进行专项安全测评和风险评估。6.7民用航空各企事业单位的涉密信息系统应当依据国家信息安全等级保护的基本要求,按照国家保密工作部门有关涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保护。MH/T0035—201236.8民用航空各企事业单位应接受民用航空各级行政管理机构检查,并根据整改通知要求,按照等级保护管理规范和技术标准进行整改,将整改报告向所辖地区行业行政主管部门备案。7网络与信息安全管理7.1民用航空各企事业单位网络与信息安全管理部门应建立与业务管理部门以及生产安全管理部门的管理协调机制。7.2民用航空各企事业单位应加强对民用航空重要网络与信息系统的安全防护建设和安全维护,依照等级保护相关要求,按照同步规划、同步建设、同步运行的原则完善系统安全保障措施。7.3民用航空各企事业单位应按照相关要求,对已投入运行的网络和信息系统要制定信息安全改造规划,定期升级和更新安全保障设施并保证信息安全经费的投入。7.4民用航空网站服务实行备案制度,政务和商务网站的开通和运行应遵守国家关于网站管理和信息发布的各项法律、法规,并报所辖地区行业行政主管部门备案。7.5民用航空各企事业单位应按照国家有关保密规定和标准,建立、健全涉密信息保密制度,加强对涉密信息、互联网站和生产运行信息系统的管理和保护,采取物理隔离、不应在非涉密计算机和移动存储设备上存放秘密等级以上的文件或数据等措施,保护载有涉密内容的计算机系统和信息。7.6民用航空各企事业单位应建立计算机病毒和非法入侵防范管理制度,制定有效措施防止网络与信息系统受到非法攻击或计算机病毒的侵扰,安装和使用经认证的计算机病毒防治产品并定期更新。7.7民用航空各企事业单位应建立民用航空重要网络与信息系统的灾难备份与恢复制度,灾备系统建设和管理应符合MH/T0026的要求。重要信息系统的数据中心、备份中心不应设立在境外,核心数据不应委托境外机构处理。7.8民用航空各企事业单位应建立风险评估与预警制度,要定期对本单位技术队伍、外部环境和信息系统安全现状、管理和技术措施等开展风险评估和安全审计,根据评估结果进行整改。7.9民用航空各企事业单位应落实信息安全管理自查制度,对照信息安全管理检查表逐条开展自查,信息安全管理检查表见附录A。民用航空各企事业单位应对检查中发现的问题进行研究分析,制定整改方案和实施计划,填写年度信息安全检查情况报告表并按要求上报,年度信息安全检查情况报告表见附录B。8网络与信息安全应急管理8.1民用航空各企事业单位应建立通报制度,落实负责通报工作的责任人,按要求向所辖地区行业行政主管部门及时上报、通报本单位网络与信息系统的安全工作情况。8.2民用航空各企事业单位发生重大信息安全事故时,应立即向行业行政主管部门报告。8.3民用航空各企事业单位发生网页篡改事件时应及时上报。8.4民用航空各企事业单位应建立、健全应急管理制度,结合现有资源不断完善应急预案,定期开展各种形式的预案演练等工作,并对演练情况及时总结,根据演练中暴露的问题,修改完善预案。8.5民用航空各企事业单位应按照MH/T0028的要求,建立与当地相关行政管理部门的应急协调机制,及时处理由电力供应、网络中断和网络攻击引发的信息安全事件、事故。9网络与信息安全技术与服务管理MHMH/T0035—201249.1民用航空重要网络与信息系统的安全建设应由国家认可的具有信息安全资质的单位承担。系统运行管理单位在系统建成后应组织安全验收。系统的网络与信息安全服务,应由具备相应服务资质的单位和人员承担,并应与服务单位签署保密协议。9.2网络与信息系统建设采购的安全专用产品应通过国家的安全认证,网络与信息技术产品应符合有关技术标准的要求。采用国外网络与信息技术产品应由具有计算机信息系统集成资质的国内企业代理,未安装网络与信息安全防护设备和未经网络与信息安全评估认证的网络与信息系统不应投入运行。9.3与互联网连接的民用航空重要网络与信息系统应采取有效的防护措施,并与国家网络与信息安全专业机构建立安全技术服务关系,定期进行安全监测与评估。9.4已投入运行的民用航空重要网络与信息系统要定期进行安全测评,对达不到相关安全标准等级的网络与信息系统,应限期整改。对整改后仍达不到等级保护安全标准的网络与信息系统,不应继续使用。9.5民用航空各企事业单位应根据安全等级保护和相关保密规定,对各类办公、生产运营网络与信息系统采取访问控制措施,加强对远程访问的严格控制和管理,需要远程技术支持和服务的,应与提供服务方签订安全协议。MH/T0035—20125AA附录A(规范性附录)民航信息安全管理检查表一、信息安全组织管理1.信息安全管理机构及其工作开展情况(1)国家与行业信息安全法规标准和工作要求的执行情况;(2)组织制定信息安全工作计划或工作方案情况;(3)组织制定并落实信息安全管理规章制度情况;(4)组织开展信息安全教育培训和督促检查工作情况;(5)信息安全信息通报工作的执行组织和情况;(6)信息系统等级保护工作开展情况,包括系统定级、备案和整改测评。2.信息安全岗位和人员及其工作开展情况(1)各单位信息安全岗位和人员设定情况;(2)信息安全员工作职责及开展督促、检查和指导等日常工作情况。二、日常信息安全管理1.人员管理。查验相关文档、文件、记录等(1)各工作岗位信息安全和保密责任制落实,特别是重要岗位信息安全和保密协议签订情况;(2)人员离岗离职信息安全管理情况;(3)外部人员访问重要岗位和机房等重要区域管理情况;(4)违反制度规定造成信息安全事件的责任查处情况等。2.信息资产管理。查验相关文档、台账、记录等(1)信息资产管理制度建立及落实情况,资产台账是否清晰、账物是否相符;(2)办公软件、应用软件等安装与使用情况,是否安装了有与工作无关的软件;(3)计算机及相关设备维修维护、报废销毁管理情况,是否有相应的登记记录等。3.信息技术外包服务安全管理重点检查系统开发、系统集成、运行维护、灾难备份、数据处理、安全检测、系统托管等外包服务的安全管理。包括:(1)服务机构性质与背景情况,是否由外资机构提供服务;(2)服务合同及安全保密协议签订情况,安全责任是否明晰;(3)人员现场服务记录情况,是否有现场服务监管措施;(4)系统维护方式情况,重点排查远程在线服务带来的安全风险;(5)灾难备份建设和服务情况。4.信息技术产品使用管理(1)办公用计算机、公文处理软件、信息安全设备、服务器、网络设备等使用产品的安全可控情况;(2)本年度新采购办公用计算机、公文处理软件、信息安全设备是否满足安全可控要求。5.信息安全经费保障(1)信息安全防护设施建设、运行、维护、检查及管理等费用是否纳入部门年度预算;(2)本年度信息安全经费实际投入情况等。MHMH/T0035—20126三、信息安全防护管理1.网络边界防护管理重点检查系统总体网络架构、子系统分布、终端节点、区域划