JT∕T 904-2023 (代替 JT∕T 904-2014)交通运输行业网络安全等级保护定级指南.pdf
《JT∕T 904-2023 (代替 JT∕T 904-2014)交通运输行业网络安全等级保护定级指南.pdf》由会员分享,可在线阅读,更多相关《JT∕T 904-2023 (代替 JT∕T 904-2014)交通运输行业网络安全等级保护定级指南.pdf(20页珍藏版)》请在咨信网上搜索。
1、目次前言1 范围12 规范性引用文件13 术语和定义14 定级原理及流程2 4.1 安全保护等级2 4.2 定级要素2 4.3 定级工作流程45 确定定级对象5 5.1 信息系统5 5.2 通信网络设施5 5.3 数据资源56 初步确定等级5 6.1 定级方法5 6.2 确定受侵害的客体6 6.3 确定对客体的侵害程度7 6.4 确定业务信息安全保护等级12 6.5 确定系统服务安全保护等级12 6.6 综合判定等级127 确定安全保护等级138 等级变更13附录 A(资料性)某省联网收费结算管理系统定级示例14附录 B(资料性)网络安全等级保护定级报告示例16参考文献17JT/T 前言本文件
2、按照 GB/T 1.12020标准化工作导则 第1 部分:标准化文件的结构和起草规则的规定起草。本文件代替 JT/T 9042014交通运输行业信息系统安全等级保护定级指南。与 JT/T 9042014相比,除结构调整和编辑性改动外,主要技术变化如下:更改了“等级保护对象”和“客观方面”的定义(见 3.1 和 3.6,2014 年版的 3.1 和 3.3);增加了“信息系统”“受侵害的客体”“通信网络设施”及“数据资源”的术语和定义(见3.2 3.5);删除了“客体”“系统服务”“业务信息”“交通运输行业信息系统”“定级要素”“业务依赖程度”“承载信息类别”及“系统服务范围”的术语和定义(见
3、2014 年版的 3.2、3.4 3.10);更改了安全保护等级及定级要素的内容(见 4.1 和 4.2,2014 年版的第 4 章);更改了“二级要素”中“信息系统类别”“承载信息类别”“系统服务范围”的标题及内容,更改了“业务依赖程度”的内容(见 4.2.3,2014 年版的 5.4);增加了“定级工作流程”的内容(见 4.3);更改了“确定定级对象”的内容,信息系统增加了云计算平台/系统的内容,定级对象增加了通信网络设施和数据资源的内容(见第 5 章,2014 年版的 5.2);更改了“定级方法”的内容(见 6.1,2014 年版的 5.1);更改了“确定受侵害的客体”和“确定对客体的侵
4、害程度”的内容(见6.2 和6.3,2014 版的5.3);增加了“确定受侵害的客体的方法”的内容(见 6.2.2);增加了“确定对客体侵害程度的方法”的内容(见 6.3.4);更改了“确定业务信息安全保护等级”和“确定系统服务安全保护等级”的内容(见 6.4、6.5,2014 年版的 5.5、5.6);将“确定信息系统安全保护等级”的标题更改为“综合判定等级”(见 6.6,2014 版的 5.7);增加了“确定安全保护等级”的内容(见第 7 章);更改了“等级变更”的内容(见第 8 章,2014 年版的第 6 章);更改了系统安全保护定级的示例(见附录 A,2014 年版的附录 A);增加了
5、网络安全等级保护定级的报告示例(见附录 B)。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由交通运输信息通信及导航标准化技术委员会提出并归口。本文件起草单位:中国交通通信信息中心、交通运输信息安全中心有限公司、交通运输部规划研究院、中国交通信息科技集团有限公司。本文件主要起草人:杜渐、戴明、李璐瑶、邢宏伟、刘宇畅、姚俊峰、梅乐翔、章稷修、李飞、张铮、刘天宇、刘艳、成瑾、刘佳、肖榕、康小勇、樊娜、武俊峰。本文件及其所代替文件的历次版本发布情况为:2014 年首次发布的 JT/T 9042014;本次为第一次修订。JT/T 交通运输行业网络安全等级保护定级指南1
6、 范围本文件给出了交通运输行业网络安全等级保护对象的定级方法和定级流程,包括确定定级对象、初步确定等级、确定安全保护等级和等级变更。本文件适用于交通运输行业信息系统、通信网络设施、数据资源等非涉密等级保护对象的定级工作。2 规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 222402020 信息安全技术 网络安全等级保护定级指南GB/T 250582019 信息安全技术 网络安全等级保护实施指南3 术语和定义下列术语和定义适用于本文件。
7、3.1等级保护对象 target of classified security网络安全等级保护工作直接作用的对象。注:主要包括信息系统、通信网络设施和数据资源等。来源:GB/T 222402020,定义 3.23.2信息系统 information system应用、服务、信息技术资产或其他信息处理组件。注1:信息系统通常由计算机或者其他信息终端及相关设备组成,并按照一定的目标和规则进行信息处理或过程控制。注2:典型的信息系统如办公自动化系统、云计算平台/系统、物联网、工业控制系统,以及采用移动互联技术的系统等。来源:GB/T 292462017,定义 2.393.3受侵害的客体 object
8、 of infringement受法律保护的、等级保护对象受到破坏时所侵害的社会关系。注:本标准中简称“客体”。来源:GB/T 222402020,定义 3.63.4通信网络设施 network infrastructure为信息流通、网络运行等起基础支撑作用的网络设备设施。注:主要包括高速公路光纤网、交通运输行业或单位的专用通信网等。来源:GB/T 222402020,定义 3.4,有修改1JT/T 3.5数据资源 data resources具有或预期具有价值的数据集合。注:数据资源多以电子形式存在。来源:GB/T 222402020,定义 3.53.6客观方面 objective对客体造
9、成侵害的客观外在表现,包括侵害方式和侵害结果等。来源:GB/T 222402020,定义 3.74 定级原理及流程4.1 安全保护等级根据等级保护对象在国家安全、经济建设、社会生活中的重要程度,以及一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益,以及公民、法人和其他组织的合法权益的侵害程度等因素,交通运输行业等级保护对象的安全保护等级分为以下五级:a)第一级:等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成一般损害,但不危害国家安全、社会秩序和公共利益;b)第二级:等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成严重
10、损害或特别严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全;c)第三级:等级保护对象受到破坏后,会对社会秩序和公共利益造成严重危害,或者对国家安全造成危害;d)第四级:等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害;e)第五级:等级保护对象受到破坏后,会对国家安全造成特别严重危害。来源:GB/T 222402020,4.1,有修改4.2 定级要素4.2.1 要素分级4.2.1.1 根据交通运输行业网络安全等级保护对象的业务信息和系统服务特征,定级要素分为一级要素和二级要素。4.2.1.2 等级保护对象的一级要素与 GB/T 2224020
11、20 一致,包括以下两个方面:a)受侵害的客体;b)对客体的侵害程度。4.2.1.3 等级保护对象的二级要素用于辅助确定等级保护对象的等级。根据等级保护对象的服务对象、功能、范围及效用等特征,等级保护对象的二级要素包括以下四个方面:a)等级保护对象类别;b)承载数据;c)影响范围;d)业务依赖程度。2JT/T 4.2.2 一级要素4.2.2.1 受侵害的客体等级保护对象受到破坏时所侵害的客体包括以下三个方面:a)公民、法人和其他组织的合法权益;b)社会秩序、公共利益;c)国家安全。4.2.2.2 对客体的侵害程度对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护
12、对象的破坏实现的,因此对客体的侵害外在表现为对等级保护对象的破坏,通过侵害方式、侵害后果和侵害程度加以描述。等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:a)造成一般损害;b)造成严重损害;c)造成特别严重损害。4.2.2.3 一级要素与安全保护等级的关系表 1 给出一级要素与安全保护等级的关系。表 1 一级要素与安全保护等级的关系受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级来源:GB/T 222402020,4.3,有修改4.2.3 二级要素4.2.3.1 等
13、级保护对象类别根据等级保护对象的功能,等级保护对象类别主要分为以下四类:行政办公类:支撑各级交通运输管理部门和企事业单位,为开展行政事务或维持自身组织活动而建设的网络设施及信息系统;运行控制类:对交通运输基础设施的运营、运输工具运行进行协调控制,或者对旅客、货物运输进行生产组织、调度指挥的网络设施及信息系统;信息服务类:为社会公众提供信息服务或开展行业管理等功能的网络设施及信息系统;基础支撑类:多个交通运输行业信息系统在计算、操作、存储或通信等方面所依赖的网络设施及信息系统。交通运输行业等级保护对象的分类示例见表 2。表 2 交通运输行业等级保护对象分类示例系 统 类 别系 统 举 例行政办公
14、类 交通运输财务审计信息管理系统、电子印章系统、移动政务办公系统、交通运输企业门户网站运行控制类 全国高速公路电子不停车收费清分结算中心系统(ETC)、交通运输调度与应急指挥系统、海事业务支撑系统、海事通航管理系统、电子巡航系统、码头数据应用系统、船舶交通管理系统3JT/T 表 2 交通运输行业等级保护对象分类示例(续)系 统 类 别系 统 举 例信息服务类 政府网站、交通运输科技与标准信息资源共享系统、综合交通运输统计信息决策支持系统、全国高速公路信息通信系统、交通运输信用信息管理系统、国家公路网交通情况调查数据采集与服务系统、全国交通运输行政执法综合管理信息系统、全国公路建设市场信用信息管
15、理系统、全国公路出行信息服务系统、国家公路网综合养护管理信息系统、12328 交通运输服务监督电话系统、全国治超联网管理信息系统基础支撑类 ETC 在线密钥管理与服务系统、统一身份认证系统、数据交换共享和开放应用系统4.2.3.2 承载数据根据等级保护对象所处理数据的安全特征,承载数据主要分为以下三类:核心数据:关系国家安全、国民经济命脉、重要民生和重大公共利益等的数据;重要数据:一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据;一般数据:安全属性遭到破坏后,对社会秩序、公共利益或公民、法人和其他组织的合法权益造成不利影响的数据。4.2.3.3 影响范围根据等级
16、保护对象支撑业务开展情况,影响范围主要分为全国、区域、省域和机构内四类。注:区域一般是指跨两个以上省级行政区的组合,如京津冀地区、长三角地区、东海海域等。4.2.3.4 业务依赖程度根据等级保护对象运行情况对业务开展的影响,业务依赖程度分为以下三类:业务依赖程度高:受到侵害后,无法通过其他方式支撑定级对象的业务,业务运行完全受到影响;业务依赖程度中:受到侵害后,可以通过其他方式支撑定级对象的部分业务,业务运行受到部分影响;业务依赖程度低:受到侵害后,无须或可以通过其他方式支撑定级对象的全部业务,业务运行未受到影响。4.3 定级工作流程图 1 给出等级保护对象定级工作一般流程。图 1 等级保护对
17、象定级工作一般流程4JT/T 安全保护等级初步确定为第二级及以上的等级保护对象,其网络运营者依据本文件组织开展专家评审、主管部门核准和备案审核,最终确定其安全保护等级。等级保护对象定级与备案工作宜符合 GB/T250582019 第 5 章的要求。注:安全保护等级初步确定为第一级的等级保护对象,其网络运营者可依据本文件自行确定其最终安全保护等级,可不进行专家评审、主管部门核准和备案审核。5 确定定级对象5.1 信息系统作为定级对象的信息系统具有如下基本特征:a)具有确定的主要安全责任主体;b)承载相对独立的业务应用;c)包含相互关联的多个资源。注 1:主要安全责任主体包括但不限于企业、机关和事
18、业单位等法人,以及不具备法人资格的社会团体等其他组织。注 2:避免将某个单一的系统组件,如服务器、终端或网络设备等作为定级对象。在确定定级对象时,云计算平台/系统、物联网、工业控制系统,以及采用移动互联技术的系统在满足以上基本特征的基础上,还宜符合 GB/T 222402020 中 5.1.2、5.1.3、5.1.4、5.1.5 的相关要求。来源:GB/T 222402020,5.1.1,有修改5.2 通信网络设施对于高速公路光纤网、卫星通信网、通信专网等交通运输行业通信网络设施,宜根据安全责任主体、服务类型或服务地域等因素将其划分为不同的定级对象。跨省(区、市)的行业或单位的专用通信网可作为
19、一个整体对象定级或分区域划分为若干个定级对象。5.3 数据资源数据资源可独立定级。当安全责任主体相同时,大数据、大数据平台/系统宜作为一个整体对象定级;当安全责任主体不同时,大数据应独立定级。来源:GB/T 222402020,5.36 初步确定等级6.1 定级方法不同定级对象的定级方法不同,对于通信网络设施、云计算平台/系统等起支撑作用的定级对象和数据资源,定级方法在第 7 章给出。对于较为庞大的等级保护对象,为了体现分等级保护、优化信息安全资源配置的原则,可将其划分为多个定级对象。如果等级保护对象责任边界一致,业务关联度较大,也可将多个系统合并为一个等级保护对象进行定级。定级对象的安全主要
20、包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,安全保护等级由业务信息安全和系统服务安全两方面确定。从业务信息安全角度反映的定级对象安全保护等级称为业务信息安全保护等级;从系统服务安全角度反映的定级对象安全保护等级称为系统服务安全保护等级。具体流程如下:a)确定受到破坏时所侵害的客体:5JT/T 1)确定业务信息受到破坏时所侵害的客体;2)确定系统服务受到破坏时所侵害的客体。b)确定对客体的侵害程度:1)根据不同的客体,分别评定业务信息安全被破坏对客体的侵害程度;2)根据不同的客体,分别评定系统服务安全被破坏对客体的侵害程度。c)确定安全保护等级:1)确定
21、业务信息安全保护等级;2)确定系统服务安全保护等级;3)将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。定级流程如图 2 所示。图 2 交通运输行业定级流程示意图6.2 确定受侵害的客体6.2.1 侵害客体的事项6.2.1.1 侵害国家安全的事项判断交通运输行业等级保护对象受到损害后是否侵害到国家安全,主要基于其是否涉及重要国家事务处理、国防工业生产及国防设施控制,受到非法控制后是否会影响国家统一、民族团结和社会稳定,是否涉及国家安全保卫工作、涉及尖端科技研究及生产,是否涉及国家安全的交通运输基础设施生产、控制、管理等。侵害国家安全的事项包括以下方面:影响国家
22、政权稳固和领土主权、海洋权益完整;影响国家统一、民族团结和社会稳定;影响国家社会主义市场经济秩序和文化实力;影响国家对外活动中的政治、经济利益;影响国家国防实力及重要的安全保卫工作;影响国家经济竞争力和科技实力;其他影响国家安全的事项。6.2.1.2 侵害社会秩序、公共利益的事项判断交通运输行业等级保护对象受到损害后是否侵害到社会秩序、公共利益,主要基于其是否支撑交通运输行业主管部门宏观调控、市场监管、社会管理和公共服务等职能,是否支撑交通运输领域的公共设施管理和服务工作,是否支撑交通运输领域提供面向社会公众的生产和运营业务。a)侵害社会秩序的事项包括以下方面:6JT/T 1)影响国家机关、企
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- JTT 904-2023 代替 904-2014交通运输行业网络安全等级保护定级指南 JT 904 2023 代替 2014 交通运输 行业 网络安全 等级 保护 定级 指南
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【ylh50****.com】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【ylh50****.com】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。
链接地址:https://www.zixin.com.cn/doc/339740.html