ICS 35.020 L 07 MH 中华人民共和国民用航空行业标准 MH/T 0035—2012 民用航空网络与信息安全管理规范 Specification for civil aviation network and information security management 2012-02-08发布 2012-06-01实施 中国民用航空局 发布 MH/T 0035—2012 I 前 言 本标准按照GB/T 1.1-2009给出的规则起草。 本标准由中国民用航空局人事科教司提出。 本标准由中国民用航空局航空器适航审定司批准立项。 本标准由中国民航科学技术研究院归口。 本标准起草单位：中国民航大学、中国民航科学技术研究院。 本标准主要起草人：杨宏宇、杜伟军、马晓宁、谢丽霞。 MH/T 0035—2012 1 民用航空网络与信息安全管理规范 1 范围 本标准规定了民用航空网络与信息安全管理目标、网络与信息安全管理职责、网络与信息系统等级 保护、网络与信息安全管理、网络与信息安全应急与处置，以及网络与信息安全技术保障与服务。 本标准适用于民用航空网络与信息安全管理。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 MH/T 0026 重要信息系统灾难恢复指南 MH/T 0028 民用航空重大信息安全事件应急协调预案 3 术语与定义 下列术语和定义适用于本标准。 3.1 网络与信息安全 network and information security 依靠网络进行的信息交互活动中的信息安全性，以及网络与信息系统自身的安全可靠性，特指网络 和信息系统的保密性、完整性和可用性，以及信息的可认证性、可核查性、不可抵赖性和可靠性。 3.2 信息安全事件 information security incident 由于自然或者人为以及软硬件本身缺陷或故障的原因，对信息系统造成危害，或对社会造成负面影 响的事件。 3.3 信息安全事故 information security accident 由各种原因导致出现业务中断、系统瘫痪、关键数据丢失或核心信息失窃密等，从而在国家安全、 社会稳定或公众利益等方面造成不良影响以及造成一定程度经济损失的事件。 3.4 民用航空重要网络与信息系统 important network and information system of civil aviation MHMH/T 0035—2012 2 安全保护等级为二级以上的民用航空网络和信息系统，包括空管通信网、商务数据网，以及民用航 空运输机场、航空公司、空管部门和航空运输保障单位的基础网络和核心业务系统等。 4 管理目标 通过制定民用航空网络与信息安全管理规范，建立民用航空网络与信息安全管理体系，实现民用航 空业网络与信息安全管理工作的规范化、标准化，有效实施民用航空业网络与信息安全管理和民用航空 各企事业单位的网络与信息安全工作，推进民用航空网络与信息安全管理水平的提升。 5 管理职责 民用航空各企事业单位应： a) 建立本单位的网络与信息安全管理机构和网络与信息安全责任制，设置网络与信息安全专职岗 位； b) 制定和完善本单位网络与信息安全策略和规章制度，建立和健全网络与信息安全管理、等级保 护、信息通报、应急演练、灾难备份、评估审计、教育培训、信息保密等制度，组织开展网络 与信息安全专项培训，增强网络与信息安全意识，提高网络与信息安全防护技能； c) 检查和监督本单位网络与信息安全工作，定期开展网络与信息安全风险评估、安全审计等专项 工作； d) 制定网络与信息安全应急处置预案，并及时处置和上报网络与信息安全事件、事故； e) 落实上级网络与信息安全主管部门开展的其他网络与信息安全工作。 6 信息安全等级保护 6.1 民用航空网络与信息系统应实行信息安全等级保护制度。民用航空各企事业单位应按照相关文件 和标准的要求，建立健全并落实符合相应等级要求的网络与信息安全责任制、人员安全管理制度、系统 建设管理制度和系统运维管理制度等安全管理制度。 6.2 民用航空各企事业单位应按照相关文件和标准的要求，建立并落实信息安全等级保护监督检查机 制，定期对各项信息安全等级保护管理制度的落实情况进行自查。 6.3 民用航空各企事业单位应对本单位所运营、使用的网络和信息系统进行安全保护等级定级。对于 二级（含）以上网络和信息系统，应当在安全保护等级确定后30d(天)内，到当地公安机关办理备案手 续，并将备案材料报所辖地区行业行政主管部门备案。 6.4 网络和信息系统的安全保护等级确定后，民用航空各企事业单位应当按照国家信息安全等级保护 管理规范和技术标准，使用符合国家有关规定并满足信息系统安全保护等级需求的信息技术产品，开展 网络和信息系统的安全建设或者改建工作。 6.5 在网络和信息系统建设和改建过程中，民用航空各企事业单位应按照相关文件和标准的要求，同 步建设符合该等级要求的信息安全设施。 6.6 对于安全保护等级为二级（含）以上的网络和信息系统，民用航空各企事业单位应按照相关文件 和标准的要求建立并落实网络和信息系统的安全测评与风险评估制度，每年开展一次系统安全测评和风 险评估。在重点保障任务时期，对安全保护等级为三级（含）以上的网络和信息系统进行专项安全测评 和风险评估。 6.7 民用航空各企事业单位的涉密信息系统应当依据国家信息安全等级保护的基本要求，按照国家保 密工作部门有关涉密信息系统分级保护的管理规定和技术标准，结合系统实际情况进行保护。 MH/T 0035—2012 3 6.8 民用航空各企事业单位应接受民用航空各级行政管理机构检查，并根据整改通知要求，按照等级 保护管理规范和技术标准进行整改，将整改报告向所辖地区行业行政主管部门备案。 7 网络与信息安全管理 7.1 民用航空各企事业单位网络与信息安全管理部门应建立与业务管理部门以及生产安全管理部门的 管理协调机制。 7.2 民用航空各企事业单位应加强对民用航空重要网络与信息系统的安全防护建设和安全维护，依照 等级保护相关要求，按照同步规划、同步建设、同步运行的原则完善系统安全保障措施。 7.3 民用航空各企事业单位应按照相关要求，对已投入运行的网络和信息系统要制定信息安全改造规 划，定期升级和更新安全保障设施并保证信息安全经费的投入。 7.4 民用航空网站服务实行备案制度，政务和商务网站的开通和运行应遵守国家关于网站管理和信息 发布的各项法律、法规，并报所辖地区行业行政主管部门备案。 7.5 民用航空各企事业单位应按照国家有关保密规定和标准，建立、健全涉密信息保密制度，加强对 涉密信息、互联网站和生产运行信息系统的管理和保护，采取物理隔离、不应在非涉密计算机和移动存 储设备上存放秘密等级以上的文件或数据等措施，保护载有涉密内容的计算机系统和信息。 7.6 民用航空各企事业单位应建立计算机病毒和非法入侵防范管理制度，制定有效措施防止网络与信 息系统受到非法攻击或计算机病毒的侵扰，安装和使用经认证的计算机病毒防治产品并定期更新。 7.7 民用航空各企事业单位应建立民用航空重要网络与信息系统的灾难备份与恢复制度，灾备系统建 设和管理应符合MH/T 0026的要求。重要信息系统的数据中心、备份中心不应设立在境外，核心数据不 应委托境外机构处理。 7.8 民用航空各企事业单位应建立风险评估与预警制度，要定期对本单位技术队伍、外部环境和信息 系统安全现状、管理和技术措施等开展风险评估和安全审计，根据评估结果进行整改。 7.9 民用航空各企事业单位应落实信息安全管理自查制度，对照信息安全管理检查表逐条开展自查， 信息安全管理检查表见附录A。民用航空各企事业单位应对检查中发现的问题进行研究分析，制定整改 方案和实施计划，填写年度信息安全检查情况报告表并按要求上报，年度信息安全检查情况报告表见附 录B。 8 网络与信息安全应急管理 8.1 民用航空各企事业单位应建立通报制度，落实负责通报工作的责任人，按要求向所辖地区行业行 政主管部门及时上报、通报本单位网络与信息系统的安全工作情况。 8.2 民用航空各企事业单位发生重大信息安全事故时，应立即向行业行政主管部门报告。 8.3 民用航空各企事业单位发生网页篡改事件时应及时上报。 8.4 民用航空各企事业单位应建立、健全应急管理制度，结合现有资源不断完善应急预案，定期开展 各种形式的预案演练等工作，并对演练情况及时总结，根据演练中暴露的问题，修改完善预案。 8.5 民用航空各企事业单位应按照MH/T 0028的要求，建立与当地相关行政管理部门的应急协调机制， 及时处理由电力供应、网络中断和网络攻击引发的信息安全事件、事故。 9 网络与信息安全技术与服务管理 MHMH/T 0035—2012 4 9.1 民用航空重要网络与信息系统的安全建设应由国家认可的具有信息安全资质的单位承担。系统运 行管理单位在系统建成后应组织安全验收。系统的网络与信息安全服务，应由具备相应服务资质的单位 和人员承担，并应与服务单位签署保密协议。 9.2 网络与信息系统建设采购的安全专用产品应通过国家的安全认证，网络与信息技术产品应符合有 关技术标准的要求。采用国外网络与信息技