ICS35.020 MHL 07 中华人民共和国民用航空行业标准MH/T 0035—2012 民用航空网络与信息安全管理规范Specification for civil aviation network and information security management 2012-02-08发布2012-06-01实施中国民用航空局发布 MH/T 0035—2012 前言本标准按照GB/T 1.1-2009给出的规则起草。本标准由中国民用航空局人事科教司提出。本标准由中国民用航空局航空器适航审定司批准立项。本标准由中国民航科学技术研究院归口。本标准起草单位：中国民航大学、中国民航科学技术研究院。本标准主要起草人：杨宏宇、杜伟军、马晓宁、谢丽霞。I MH/T 0035—2012 民用航空网络与信息安全管理规范1 范围本标准规定了民用航空网络与信息安全管理目标、网络与信息安全管理职责、网络与信息系统等级保护、网络与信息安全管理、网络与信息安全应急与处置，以及网络与信息安全技术保障与服务。本标准适用于民用航空网络与信息安全管理。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。MH/T 0026重要信息系统灾难恢复指南MHMH/T 0028民用航空重大信息安全事件应急协调预案3 术语与定义下列术语和定义适用于本标准。3.1 网络与信息安全network and information security依靠网络进行的信息交互活动中的信息安全性，以及网络与信息系统自身的安全可靠性，特指网络和信息系统的保密性、完整性和可用性，以及信息的可认证性、可核查性、不可抵赖性和可靠性。3.2 信息安全事件information security incident由于自然或者人为以及软硬件本身缺陷或故障的原因，对信息系统造成危害，或对社会造成负面影响的事件。3.3 信息安全事故information security accident由各种原因导致出现业务中断、系统瘫痪、关键数据丢失或核心信息失窃密等，从而在国家安全、社会稳定或公众利益等方面造成不良影响以及造成一定程度经济损失的事件。3.4 民用航空重要网络与信息系统important network and information system of civil aviation1 MH/T 0035—2012 安全保护等级为二级以上的民用航空网络和信息系统，包括空管通信网、商务数据网，以及民用航空运输机场、航空公司、空管部门和航空运输保障单位的基础网络和核心业务系统等。4 管理目标通过制定民用航空网络与信息安全管理规范，建立民用航空网络与信息安全管理体系，实现民用航空业网络与信息安全管理工作的规范化、标准化，有效实施民用航空业网络与信息安全管理和民用航空各企事业单位的网络与信息安全工作，推进民用航空网络与信息安全管理水平的提升。5 管理职责民用航空各企事业单位应：a)建立本单位的网络与信息安全管理机构和网络与信息安全责任制，设置网络与信息安全专职岗位；b)制定和完善本单位网络与信息安全策略和规章制度，建立和健全网络与信息安全管理、等级保护、信息通报、应急演练、灾难备份、评估审计、教育培训、信息保密等制度，组织开展网络与信息安全专项培训，增强网络与信息安全意识，提高网络与信息安全防护技能；检查和监督本单位网络与信息安全工作，定期开展网络与信息安全风险评估、安全审计等专项工作；c)d)e)制定网络与信息安全应急处置预案，并及时处置和上报网络与信息安全事件、事故；落实上级网络与信息安全主管部门开展的其他网络与信息安全工作。6 信息安全等级保护6.1 民用航空网络与信息系统应实行信息安全等级保护制度。民用航空各企事业单位应按照相关文件和标准的要求，建立健全并落实符合相应等级要求的网络与信息安全责任制、人员安全管理制度、系统建设管理制度和系统运维管理制度等安全管理制度。6.2 民用航空各企事业单位应按照相关文件和标准的要求，建立并落实信息安全等级保护监督检查机制，定期对各项信息安全等级保护管理制度的落实情况进行自查。6.3 民用航空各企事业单位应对本单位所运营、使用的网络和信息系统进行安全保护等级定级。对于二级（含）以上网络和信息系统，应当在安全保护等级确定后30d(天)内，到当地公安机关办理备案手续，并将备案材料报所辖地区行业行政主管部门备案。6.4 网络和信息系统的安全保护等级确定后，民用航空各企事业单位应当按照国家信息安全等级保护管理规范和技术标准，使用符合国家有关规定并满足信息系统安全保护等级需求的信息技术产品，开展网络和信息系统的安全建设或者改建工作。6.5 在网络和信息系统建设和改建过程中，民用航空各企事业单位应按照相关文件和标准的要求，同步建设符合该等级要求的信息安全设施。6.6 对于安全保护等级为二级（含）以上的网络和信息系统，民用航空各企事业单位应按照相关文件和标准的要求建立并落实网络和信息系统的安全测评与风险评估制度，每年开展一次系统安全测评和风险评估。在重点保障任务时期，对安全保护等级为三级（含）以上的网络和信息系统进行专项安全测评和风险评估。6.7 民用航空各企事业单位的涉密信息系统应当依据国家信息安全等级保护的基本要求，按照国家保密工作部门有关涉密信息系统分级保护的管理规定和技术标准，结合系统实际情况进行保护。2 MH/T 0035—2012 6.8 民用航空各企事业单位应接受民用航空各级行政管理机构检查，并根据整改通知要求，按照等级保护管理规范和技术标准进行整改，将整改报告向所辖地区行业行政主管部门备案。7 网络与信息安全管理7.1 民用航空各企事业单位网络与信息安全管理部门应建立与业务管理部门以及生产安全管理部门的管理协调机制。7.2 民用航空各企事业单位应加强对民用航空重要网络与信息系统的安全防护建设和安全维护，依照等级保护相关要求，按照同步规划、同步建设、同步运行的原则完善系统安全保障措施。7.3 民用航空各企事业单位应按照相关要求，对已投入运行的网络和信息系统要制定信息安全改造规划，定期升级和更新安全保障设施并保证信息安全经费的投入。7.4 民用航空网站服务实行备案制度，政务