MH/T 0051-2015 民用航空信息系统安全等级保护实施指南

ICS35.020

V07

MH

中华人民共和国民用航空行业标准

MH/T0051—2015

民用航空信息系统安全等级保护实施指南

Implementationguidetoinformationsystemsecurityclassifiedprotectionofcivil

aviation

2015–04–08发布2015–08–01实施

中国民用航空局发布

MH/T0051—2015

前言

本标准按照GB/T1.1-2009给出的规则起草。

本标准由中国民用航空局人事科教司提出。

本标准由中国民航航空局航空器适航审定司批准立项。

本标准由中国民航科学技术研究院归口。

本标准起草单位：中国民航大学、中国民航科学技术研究院。

本标准起草人：谢丽霞、刘晓杰、熊育婷、钟安鸣、赵宏旭、成翔、杨宏宇、杜伟军、王信元、王

冲。

I

MH/T0051—2015

民用航空信息系统安全等级保护实施指南

1范围

本标准规定了民用航空信息系统安全等级保护工作的对象、目标，定义了民用航空信息系统安全等

级保护工作的实施流程，涉及的各类角色及职责，以及等级保护实施各阶段的主要任务和工作流程。

本标准适用于民用航空信息系统安全等级保护工作。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T22239信息系统安全等级保护基本要求

GB/T22240信息系统安全保护等级定级指南

GB/T28448信息安全技术信息系统安全等级保护测评要求

3术语和定义

3.1

网络与信息安全networkandinformationsecurity

依靠网络进行的信息交互活动中的信息安全性，以及网络与信息系统自身的安全可靠性，特指网络

和信息系统的保密性、完整性和可用性，以及信息的可认证性、可核查性、不可抵赖性和可靠性。

[MH/T0035—2012，定义3.1]

3.2

民用航空重要网络与信息系统importantnetworkandinformationsystemofcivilaviation

安全保护等级为二级以上的民用航空网络和信息系统，包括民航各级行政管理机构、直属单位、民

用航空运输机场、航空公司、空管部门和航空运输保障单位的基础网络和核心业务系统等。

[MH/T0035—2012，定义3.4]

3.3

安全等级保护classifiedsecurityprotection

依照信息系统安全保护等级要求，对网络与信息系统实施的安全防护、技术保障和安全管理等行为。

3.4

MH等级保护对象targetofclassifiedsecurity

1

MH/T0051—2015

信息安全等级保护工作直接作用的具体的网络与信息系统。

3.5

等级测评classifiedsecuritytestingandevaluation

确定信息系统安全保护能力是否达到相应等级基本要求的过程。

[GB/T25058-2010，定义3.1]

4安全等级保护概述

4.1等级保护对象

民用航空信息系统安全等级保护对象为民用航空网络与信息系统。

4.2安全等级保护目标

安全等级保护的目标是通过对民用航空重要网络与信息系统进行安全等级划分，按照本标准中的安

全等级保护要求进行规划、建设、运维、管理和监督，从而加强民用航空信息系统的安全防护能力，确

保其安全性和可靠性。

5信息系统安全等级保护实施流程

信息系统安全等级保护实施的总体流程见图1，安全等级保护实施工作各阶段活动流程参见附录A。

各阶段的主要任务应包括：

a)信息系统定级：民航各企事业单位应按照国家有关管理规范，识别信息系统的范围，进行信息

系统分析并确定信息系统安全保护等级；

b)信息系统等级备案：民航各企事业单位应整理需要备案的信息系统的等级保护报告和备案表，

形成完整的备案材料并办理备案手续；

c)安全规划设计：民航各企事业单位应根据相应等级的信息系统等级保护基本要求，对信息系统

的安全保护措施进行总体规划设计；

d)安全建设与实施：民航各企事业单位应根据通过评审的方案，选择和使用符合国家有关规定，

满足信息系统安全保护等级需求的信息技术产品，开展信息系统安全建设和实施；

e)安全等级测评：民航各企事业单位应选择符合条件的信息安全服务机构，依据GB/T28448定

期对信息系统安全等级状况开展系统安全等级测评和风险评估；

f)系统建设与整改：完成系统测评和风险评估后，应依照报告内容对系统进行安全措施整改和安

全加固，完善信息系统的安全保护措施；

g)安全运行与管理：在运行期间应依照等级保护要求做好系统安全运行、变更、安全状态监控、

安全事件处置、安全审计和检查等方面的相关工作；

h)系统终止：应妥善处理系统内的残余信息，确保民航信息资产得到安全控制。

2

MH/T0051—2015

信息系统定级

信息系统等级备案

安全规划设计

安全建设与实施等级变更

安全等级测评

局部调整

系统建设与整改

安全运行与管理

系统终止

图1安全等级保护系统实施的总体流程

6信息系统定级

6.1信息系统定级阶段的工作流程

民航信息系统运营、使用单位应按照国家有关管理规范和信息系统等级保护定级指南的要求，确定

信息系统的安全保护等级。本阶段的主要工作应包括：

a)信息系统分析：应确定信息系统的边界和范围，形成信息系统总体描述文件；

b)安全保护等级确定：应依照信息系统等级保护定级指南的要求，确定信息系统的安全保护等级，

形成定级报告和备案表；

c)专家评审：应针对信息系统的总体描述材料、信息系统的定级报告和备案表，聘请专家对定级

的准确性、合规性进行评审。

6.2信息系统分析

应从信息系统运营、使用单位相关人员处收集有关信息系统的信息，并对信息进行综合分析和整理，

依据分析和整理的内容形成本单位的信息系统总体描述性文档。

6.3安全保护等级确定

信息系统运营、使用单位应按照GB/T22239和GB/T22240的要求，确定信息系统的安全保护等级，

并对定级结果进行审核和批准，保证定级结果的准确性。应对定级过程中产生的文档进行整理，形成定

级报告和备案表。

6.4专家评审

信息系统运营、使用单位应组织专家对定级报告进行评审。评审通过后，应由信息系统运营、使用

单位按要求向公安机关备案。

MH6.5定级审核

3

MH/T0051—2015

信息系统运营、使用单位应向民航行政管理机构提供三级以上（含三级）的民用航空重要网络与信

息系统的安全保护定级报告及备案材料，民航行