搜索结果: MHT0074-2020
| 标准编号 | MH/T 0074-2020 (MH/T0074-2020) | | 中文名称 | 民用航空旅客服务信息系统信息安全保护规范 | | 英文名称 | (Regulations for Information Security Protection of Civil Aviation Passenger Service Information System) | | 行业 | 民航行业标准 (推荐) | | 中标分类 | L07 | | 字数估计 | 7,733 | | 发布日期 | 2020-07-20 | | 实施日期 | 2020-10-01 | | 发布机构 | 中国民用航空局 | MH/T 0074-2020: 民用航空旅客服务信息系统信息安全保护规范
MH/T 0074-2020 英文名称: (Regulations for Information Security Protection of Civil Aviation Passenger Service Information System)
中 华 人 民 共 和 国 民 用 航 空 行 业 标 准
民用航空旅客服务信息系统信息安全保护
规范
中国民用航空局 发 布
前言
本标准按照GB/T 1.1-2009《标准化工作导则 第1部分:标准的结构和编写》给出的规则起草。
本标准由中国民用航空局人事科教司提出。
本标准由中国民航科学技术研究院归口。
本标准起草单位:中国民航大学、北京首都国际机场股份有限公司、中国民用航空局空中交通管理
局。
本标准主要起草人:王静、周景贤、王勇、王双、张礼哲、顾兆军、杨锐、刘春波、唐屹、张立斌、
韩燕征、隋翯、刘超、吕宗平、陈宝刚。
民用航空旅客服务信息系统信息安全保护规范
1 范围
本标准规定了民用航空(以下简称民航)旅客服务信息系统需要满足的相关信息安全技术要求和管
理要求。
本标准适用于民航旅客服务信息系统的规划、设计、开发、运行及维护等各个阶段。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求
GB/T 35273 信息安全技术 个人信息安全规范
4 总体安全要求
民航旅客服务信息系统安全保护等级应不低于第二级,网络安全保护应符合GB/T 22239-2019 相应
等级安全要求。
民航旅客服务信息系统对旅客信息的保护应符合《中华人民共和国网络安全法》和 GB/T 35273 相
关要求。
5 安全管理
5.1 运营者应梳理旅客服务信息系统业务链,建立业务链相关的网络、系统、数据和资产清单。
5.2 旅客服务信息系统发生改建、扩建等重大变化时,运营者应当更新网络、系统和资产清单。
5.3 运营者新建或改建、扩建旅客服务信息系统时,应充分考虑网络安全因素,实现安全技术措施同
步规划、同步建设、同步使用。
5.4 运营者应建立旅客服务信息系统安全责任制,明确相关安全责任人,各类人员的安全角色和安全
职责。
5.5 运营者应建立适合本单位的旅客服务信息系统网络安全计划,明确旅客服务信息系统安全保护工
作的目标、安全策略、组织架构、管理制度、实施细则及资源保障等,形成文档并经审批后发布至相关
人员。网络安全计划应定期修订。
6 安全防护
6.1 运营者应采取数据交换安全措施控制民航旅客服务信息系统与其他系统之间的数据交换。运营者
应根据旅客服务信息系统承载业务的重要性,对旅客服务信息系统实施分区分域管理,部署边界防护措
施。
6.2 运营者应建立计算机病毒和网络入侵防范机制,严格限制未授权的软硬件设备接入和安装。
6.3 运营者应对远程运维的行为进行严格的控制和审计,相关的系统网络日志留存不少于 6 个月。日
志内容应至少包括:事件的日期和时间、类型、主体、客体、结果等信息。
6.4 运营者应对旅客服务信息系统和数据库进行备份,制定备份策略,规定备份频率,并定期执行,
确保旅客服务信息系统一旦被破坏,可及时进行恢复和补救。
6.5 运营者采购用于旅客服务信息系统相关的网络产品和服务,尤其是网络关键设备、网络安全专用
产品,应符合法律、行政法规的规定和相关国家标准的强制性要求。
6.6 运营者应提供人员和资金保障,自行或者委托网络安全服务机构对旅客服务信息系统安全性和可
能存在的风险定期检测评估,并及时整改发现的问题。检测评估内容包括但不限于网络安全制度落实情
况、组织机构建设情况、人员和经费投入情况、教育培训情况、技术防护情况、风险评估情况、应急演
练情况、网络安全等级保护工作落实情况等。
6.7 运营者应制定本单位的旅客服务信息系统网络安全应急预案。应急预案应包括启动应急预案的条
件、应急处理流程、系统恢复流程、事件报告流程、事后教育和培训等内容。应对旅客服务信息系统网
络安全应急预案定期进行评估修订,每年至少组织 1 次应急演练。
7 旅客信息安全
7.1 运营者收集旅客信息时,应制定旅客信息收集策略和采取相应控制机制,确保旅客信息收集最小
化,并且获得旅客明示同意,保留旅客明示拒绝的权利。
7.2 运营者收集旅客信息时,应明确告知旅客信息收集用途、适用范围与时长,告知内容应足够简易
明确,确保旅客可以充分理解被收集信息与用途的相关性、适用范围与时长的合理性。
7.3 运营者应制定安全策略和采取技术手段,确保旅客信息在使用、传输和存储各阶段的安全性,防
止旅客信息泄露、......
|