1、目次前言1 范围12 规范性引用文件13 术语和定义14 定级原理及流程2 4.1 安全保护等级2 4.2 定级要素2 4.3 定级工作流程45 确定定级对象5 5.1 信息系统5 5.2 通信网络设施5 5.3 数据资源56 初步确定等级5 6.1 定级方法5 6.2 确定受侵害的客体6 6.3 确定对客体的侵害程度7 6.4 确定业务信息安全保护等级12 6.5 确定系统服务安全保护等级12 6.6 综合判定等级127 确定安全保护等级138 等级变更13附录 A(资料性)某省联网收费结算管理系统定级示例14附录 B(资料性)网络安全等级保护定级报告示例16参考文献17JT/T 前言本文件
2、按照 GB/T 1.12020标准化工作导则 第1 部分:标准化文件的结构和起草规则的规定起草。本文件代替 JT/T 9042014交通运输行业信息系统安全等级保护定级指南。与 JT/T 9042014相比,除结构调整和编辑性改动外,主要技术变化如下:更改了“等级保护对象”和“客观方面”的定义(见 3.1 和 3.6,2014 年版的 3.1 和 3.3);增加了“信息系统”“受侵害的客体”“通信网络设施”及“数据资源”的术语和定义(见3.2 3.5);删除了“客体”“系统服务”“业务信息”“交通运输行业信息系统”“定级要素”“业务依赖程度”“承载信息类别”及“系统服务范围”的术语和定义(见
3、2014 年版的 3.2、3.4 3.10);更改了安全保护等级及定级要素的内容(见 4.1 和 4.2,2014 年版的第 4 章);更改了“二级要素”中“信息系统类别”“承载信息类别”“系统服务范围”的标题及内容,更改了“业务依赖程度”的内容(见 4.2.3,2014 年版的 5.4);增加了“定级工作流程”的内容(见 4.3);更改了“确定定级对象”的内容,信息系统增加了云计算平台/系统的内容,定级对象增加了通信网络设施和数据资源的内容(见第 5 章,2014 年版的 5.2);更改了“定级方法”的内容(见 6.1,2014 年版的 5.1);更改了“确定受侵害的客体”和“确定对客体的侵
4、害程度”的内容(见6.2 和6.3,2014 版的5.3);增加了“确定受侵害的客体的方法”的内容(见 6.2.2);增加了“确定对客体侵害程度的方法”的内容(见 6.3.4);更改了“确定业务信息安全保护等级”和“确定系统服务安全保护等级”的内容(见 6.4、6.5,2014 年版的 5.5、5.6);将“确定信息系统安全保护等级”的标题更改为“综合判定等级”(见 6.6,2014 版的 5.7);增加了“确定安全保护等级”的内容(见第 7 章);更改了“等级变更”的内容(见第 8 章,2014 年版的第 6 章);更改了系统安全保护定级的示例(见附录 A,2014 年版的附录 A);增加了
5、网络安全等级保护定级的报告示例(见附录 B)。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由交通运输信息通信及导航标准化技术委员会提出并归口。本文件起草单位:中国交通通信信息中心、交通运输信息安全中心有限公司、交通运输部规划研究院、中国交通信息科技集团有限公司。本文件主要起草人:杜渐、戴明、李璐瑶、邢宏伟、刘宇畅、姚俊峰、梅乐翔、章稷修、李飞、张铮、刘天宇、刘艳、成瑾、刘佳、肖榕、康小勇、樊娜、武俊峰。本文件及其所代替文件的历次版本发布情况为:2014 年首次发布的 JT/T 9042014;本次为第一次修订。JT/T 交通运输行业网络安全等级保护定级指南1
6、 范围本文件给出了交通运输行业网络安全等级保护对象的定级方法和定级流程,包括确定定级对象、初步确定等级、确定安全保护等级和等级变更。本文件适用于交通运输行业信息系统、通信网络设施、数据资源等非涉密等级保护对象的定级工作。2 规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 222402020 信息安全技术 网络安全等级保护定级指南GB/T 250582019 信息安全技术 网络安全等级保护实施指南3 术语和定义下列术语和定义适用于本文件。
7、3.1等级保护对象 target of classified security网络安全等级保护工作直接作用的对象。注:主要包括信息系统、通信网络设施和数据资源等。来源:GB/T 222402020,定义 3.23.2信息系统 information system应用、服务、信息技术资产或其他信息处理组件。注1:信息系统通常由计算机或者其他信息终端及相关设备组成,并按照一定的目标和规则进行信息处理或过程控制。注2:典型的信息系统如办公自动化系统、云计算平台/系统、物联网、工业控制系统,以及采用移动互联技术的系统等。来源:GB/T 292462017,定义 2.393.3受侵害的客体 object
8、 of infringement受法律保护的、等级保护对象受到破坏时所侵害的社会关系。注:本标准中简称“客体”。来源:GB/T 222402020,定义 3.63.4通信网络设施 network infrastructure为信息流通、网络运行等起基础支撑作用的网络设备设施。注:主要包括高速公路光纤网、交通运输行业或单位的专用通信网等。来源:GB/T 222402020,定义 3.4,有修改1JT/T 3.5数据资源 data resources具有或预期具有价值的数据集合。注:数据资源多以电子形式存在。来源:GB/T 222402020,定义 3.53.6客观方面 objective对客体造
9、成侵害的客观外在表现,包括侵害方式和侵害结果等。来源:GB/T 222402020,定义 3.74 定级原理及流程4.1 安全保护等级根据等级保护对象在国家安全、经济建设、社会生活中的重要程度,以及一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益,以及公民、法人和其他组织的合法权益的侵害程度等因素,交通运输行业等级保护对象的安全保护等级分为以下五级:a)第一级:等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成一般损害,但不危害国家安全、社会秩序和公共利益;b)第二级:等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成严重
10、损害或特别严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全;c)第三级:等级保护对象受到破坏后,会对社会秩序和公共利益造成严重危害,或者对国家安全造成危害;d)第四级:等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害;e)第五级:等级保护对象受到破坏后,会对国家安全造成特别严重危害。来源:GB/T 222402020,4.1,有修改4.2 定级要素4.2.1 要素分级4.2.1.1 根据交通运输行业网络安全等级保护对象的业务信息和系统服务特征,定级要素分为一级要素和二级要素。4.2.1.2 等级保护对象的一级要素与 GB/T 2224020
11、20 一致,包括以下两个方面:a)受侵害的客体;b)对客体的侵害程度。4.2.1.3 等级保护对象的二级要素用于辅助确定等级保护对象的等级。根据等级保护对象的服务对象、功能、范围及效用等特征,等级保护对象的二级要素包括以下四个方面:a)等级保护对象类别;b)承载数据;c)影响范围;d)业务依赖程度。2JT/T 4.2.2 一级要素4.2.2.1 受侵害的客体等级保护对象受到破坏时所侵害的客体包括以下三个方面:a)公民、法人和其他组织的合法权益;b)社会秩序、公共利益;c)国家安全。4.2.2.2 对客体的侵害程度对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护
12、对象的破坏实现的,因此对客体的侵害外在表现为对等级保护对象的破坏,通过侵害方式、侵害后果和侵害程度加以描述。等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:a)造成一般损害;b)造成严重损害;c)造成特别严重损害。4.2.2.3 一级要素与安全保护等级的关系表 1 给出一级要素与安全保护等级的关系。表 1 一级要素与安全保护等级的关系受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级来源:GB/T 222402020,4.3,有修改4.2.3 二级要素4.2.3.1 等
13、级保护对象类别根据等级保护对象的功能,等级保护对象类别主要分为以下四类:行政办公类:支撑各级交通运输管理部门和企事业单位,为开展行政事务或维持自身组织活动而建设的网络设施及信息系统;运行控制类:对交通运输基础设施的运营、运输工具运行进行协调控制,或者对旅客、货物运输进行生产组织、调度指挥的网络设施及信息系统;信息服务类:为社会公众提供信息服务或开展行业管理等功能的网络设施及信息系统;基础支撑类:多个交通运输行业信息系统在计算、操作、存储或通信等方面所依赖的网络设施及信息系统。交通运输行业等级保护对象的分类示例见表 2。表 2 交通运输行业等级保护对象分类示例系 统 类 别系 统 举 例行政办公
14、类 交通运输财务审计信息管理系统、电子印章系统、移动政务办公系统、交通运输企业门户网站运行控制类 全国高速公路电子不停车收费清分结算中心系统(ETC)、交通运输调度与应急指挥系统、海事业务支撑系统、海事通航管理系统、电子巡航系统、码头数据应用系统、船舶交通管理系统3JT/T 表 2 交通运输行业等级保护对象分类示例(续)系 统 类 别系 统 举 例信息服务类 政府网站、交通运输科技与标准信息资源共享系统、综合交通运输统计信息决策支持系统、全国高速公路信息通信系统、交通运输信用信息管理系统、国家公路网交通情况调查数据采集与服务系统、全国交通运输行政执法综合管理信息系统、全国公路建设市场信用信息管
15、理系统、全国公路出行信息服务系统、国家公路网综合养护管理信息系统、12328 交通运输服务监督电话系统、全国治超联网管理信息系统基础支撑类 ETC 在线密钥管理与服务系统、统一身份认证系统、数据交换共享和开放应用系统4.2.3.2 承载数据根据等级保护对象所处理数据的安全特征,承载数据主要分为以下三类:核心数据:关系国家安全、国民经济命脉、重要民生和重大公共利益等的数据;重要数据:一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据;一般数据:安全属性遭到破坏后,对社会秩序、公共利益或公民、法人和其他组织的合法权益造成不利影响的数据。4.2.3.3 影响范围根据等级
16、保护对象支撑业务开展情况,影响范围主要分为全国、区域、省域和机构内四类。注:区域一般是指跨两个以上省级行政区的组合,如京津冀地区、长三角地区、东海海域等。4.2.3.4 业务依赖程度根据等级保护对象运行情况对业务开展的影响,业务依赖程度分为以下三类:业务依赖程度高:受到侵害后,无法通过其他方式支撑定级对象的业务,业务运行完全受到影响;业务依赖程度中:受到侵害后,可以通过其他方式支撑定级对象的部分业务,业务运行受到部分影响;业务依赖程度低:受到侵害后,无须或可以通过其他方式支撑定级对象的全部业务,业务运行未受到影响。4.3 定级工作流程图 1 给出等级保护对象定级工作一般流程。图 1 等级保护对
17、象定级工作一般流程4JT/T 安全保护等级初步确定为第二级及以上的等级保护对象,其网络运营者依据本文件组织开展专家评审、主管部门核准和备案审核,最终确定其安全保护等级。等级保护对象定级与备案工作宜符合 GB/T250582019 第 5 章的要求。注:安全保护等级初步确定为第一级的等级保护对象,其网络运营者可依据本文件自行确定其最终安全保护等级,可不进行专家评审、主管部门核准和备案审核。5 确定定级对象5.1 信息系统作为定级对象的信息系统具有如下基本特征:a)具有确定的主要安全责任主体;b)承载相对独立的业务应用;c)包含相互关联的多个资源。注 1:主要安全责任主体包括但不限于企业、机关和事
18、业单位等法人,以及不具备法人资格的社会团体等其他组织。注 2:避免将某个单一的系统组件,如服务器、终端或网络设备等作为定级对象。在确定定级对象时,云计算平台/系统、物联网、工业控制系统,以及采用移动互联技术的系统在满足以上基本特征的基础上,还宜符合 GB/T 222402020 中 5.1.2、5.1.3、5.1.4、5.1.5 的相关要求。来源:GB/T 222402020,5.1.1,有修改5.2 通信网络设施对于高速公路光纤网、卫星通信网、通信专网等交通运输行业通信网络设施,宜根据安全责任主体、服务类型或服务地域等因素将其划分为不同的定级对象。跨省(区、市)的行业或单位的专用通信网可作为
19、一个整体对象定级或分区域划分为若干个定级对象。5.3 数据资源数据资源可独立定级。当安全责任主体相同时,大数据、大数据平台/系统宜作为一个整体对象定级;当安全责任主体不同时,大数据应独立定级。来源:GB/T 222402020,5.36 初步确定等级6.1 定级方法不同定级对象的定级方法不同,对于通信网络设施、云计算平台/系统等起支撑作用的定级对象和数据资源,定级方法在第 7 章给出。对于较为庞大的等级保护对象,为了体现分等级保护、优化信息安全资源配置的原则,可将其划分为多个定级对象。如果等级保护对象责任边界一致,业务关联度较大,也可将多个系统合并为一个等级保护对象进行定级。定级对象的安全主要
20、包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,安全保护等级由业务信息安全和系统服务安全两方面确定。从业务信息安全角度反映的定级对象安全保护等级称为业务信息安全保护等级;从系统服务安全角度反映的定级对象安全保护等级称为系统服务安全保护等级。具体流程如下:a)确定受到破坏时所侵害的客体:5JT/T 1)确定业务信息受到破坏时所侵害的客体;2)确定系统服务受到破坏时所侵害的客体。b)确定对客体的侵害程度:1)根据不同的客体,分别评定业务信息安全被破坏对客体的侵害程度;2)根据不同的客体,分别评定系统服务安全被破坏对客体的侵害程度。c)确定安全保护等级:1)确定
21、业务信息安全保护等级;2)确定系统服务安全保护等级;3)将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。定级流程如图 2 所示。图 2 交通运输行业定级流程示意图6.2 确定受侵害的客体6.2.1 侵害客体的事项6.2.1.1 侵害国家安全的事项判断交通运输行业等级保护对象受到损害后是否侵害到国家安全,主要基于其是否涉及重要国家事务处理、国防工业生产及国防设施控制,受到非法控制后是否会影响国家统一、民族团结和社会稳定,是否涉及国家安全保卫工作、涉及尖端科技研究及生产,是否涉及国家安全的交通运输基础设施生产、控制、管理等。侵害国家安全的事项包括以下方面:影响国家
22、政权稳固和领土主权、海洋权益完整;影响国家统一、民族团结和社会稳定;影响国家社会主义市场经济秩序和文化实力;影响国家对外活动中的政治、经济利益;影响国家国防实力及重要的安全保卫工作;影响国家经济竞争力和科技实力;其他影响国家安全的事项。6.2.1.2 侵害社会秩序、公共利益的事项判断交通运输行业等级保护对象受到损害后是否侵害到社会秩序、公共利益,主要基于其是否支撑交通运输行业主管部门宏观调控、市场监管、社会管理和公共服务等职能,是否支撑交通运输领域的公共设施管理和服务工作,是否支撑交通运输领域提供面向社会公众的生产和运营业务。a)侵害社会秩序的事项包括以下方面:6JT/T 1)影响国家机关、企
23、事业单位、社会团体的生产秩序、经营秩序、经济活动、社会管理和公共服务的工作秩序;2)影响公共场所的活动秩序、公共交通秩序;3)影响人民群众的生活秩序;4)影响公众在法律约束和道德规范下的正常生活秩序等;5)其他影响社会秩序的事项。b)侵害公共利益的事项包括以下方面:1)影响社会成员使用公共设施;2)影响社会成员获取公开数据资源;3)影响社会成员接受公共服务等方面;4)影响交通运输行业企事业单位或社会公众合法权益的获得;5)其他影响公共利益的事项。6.2.1.3 侵害公民、法人和其他组织合法权益的事项侵害公民、法人和其他组织合法权益的事项是指损害受法律保护的公民、法人和其他组织所享有的社会权利和
24、利益等。来源:GB/T 222402020,6.2,有修改6.2.2 确定受侵害的客体的方法判断等级保护对象受到损害后影响的客体,可通过定级对象的二级要素来判断,其中业务信息受到破坏时所侵害的客体与影响范围、承载数据相关,系统服务受到破坏时所侵害的客体与等级保护对象类别、影响范围相关。当无法使用二级要素确定客体时,根据定级对象受到损害后的影响,首先判断是否侵害国家安全,然后判断是否侵害社会秩序或公众利益,最后判断是否侵害公民、法人和其他组织的合法权益。6.3 确定对客体的侵害程度6.3.1 判别基准在针对不同的客体进行侵害程度的判断时,参照以下不同的判别基准:a)如果客体是公民、法人或其他组织
25、的合法权益,则以本人或本单位的总体利益作为判断侵害程度的基准;b)如果客体是社会秩序、公共利益或国家安全,则以整个交通运输行业或国家的总体利益作为判断侵害程度的基准。6.3.2 侵害的客观方面在客观方面,对客体的侵害外在表现为对定级对象的破坏,其侵害方式表现为对业务信息安全的破坏和对系统服务安全的破坏。其中,业务信息安全是指确保定级对象中信息的保密性、完整性和可用性,系统服务安全是指确保定级对象可以及时、有效地提供服务,以完成预定的业务目标。由于业务信息安全和系统服务安全受到破坏所侵害的客体和对客体的侵害程度可能会有所不同,在定级过程中,需要分别处理这两种侵害方式。根据交通运输行业行政管理、公
26、共服务职能和企业生产、经营活动等特征,业务信息安全和系统服务安全受到破坏后,可能产生以下部分或全部损害后果:影响交通通行能力及服务能力;影响交通运输行业相关企业生产、经营和管理活动;7JT/T 影响交通运输相关企业、法人、从业者的合法权益;影响各级交通运输管理部门正常履行管理、服务职能;引起法律纠纷;导致财产损失;造成社会不良影响;对其他组织和个人造成损害;其他影响。6.3.3 综合判断侵害程度侵害程度是客观方面的不同外在表现的综合体现,因此,首先根据不同的客体、不同侵害后果分别确定其侵害程度。对不同侵害后果确定其侵害程度所采取的方法和所考虑的角度可能不同。例如,系统服务安全被破坏导致业务能力
27、下降的程度可以从定级对象服务覆盖的区域范围、用户人数或业务量等不同方面确定;业务信息安全被破坏导致的财物损失,可以从直接的资金损失大小、间接的信息恢复费用等方面进行确定。不同侵害后果的三种侵害程度描述如下:一般损害:使交通运输行业管理、服务工作职能受到局部影响,交通通行能力及服务能力、交通运输企业正常经营能力有所降低但不影响主要业务执行,出现较轻的法律问题,造成较低的财产损失,有限的社会不良影响,对其他组织和个人造成较低损害;严重损害:使交通运输行业管理、服务工作职能受到严重影响,交通通行能力及服务能力、交通运输企业正常经营能力显著下降且严重影响主要业务执行,出现较严重的法律问题,造成较高的财
28、产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害;特别严重损害:使交通运输行业管理、服务职能受到特别严重影响或丧失行使职能能力,交通通行能力及服务能力、交通运输企业正常经营能力等严重下降且主要业务无法执行,出现极其严重的法律问题,造成极高的财产损失,大范围的社会不良影响,对其他组织和个人造成非常严重损害。6.3.4 确定对客体侵害程度的方法6.3.4.1 可通过定级对象的二级要素,对客体的侵害程度进行判断,其中业务信息受到破坏时所侵害的客体的侵害程度与等级保护对象类别相关,系统服务受到破坏时所侵害的客体的侵害程度与业务依赖程度相关。通过二级要素与一级要素的对应关系,判断业务信息安
29、全、系统服务安全可能受侵害的客体及其侵害程度的建议见表 3 及表 4。表 3 业务信息安全二级要素与一级要素的对应关系序号二 级 要 素一 级 要 素类别影响范围承载数据可能的受侵害的客体对客体可能的侵害程度1行政办公类全国区域重要数据一般数据重要数据一般数据社会秩序、公共利益严重损害社会秩序、公共利益一般损害公民、法人、其他组织严重损害社会秩序、公共利益严重损害社会秩序、公共利益一般损害公民、法人、其他组织严重损害8JT/T 表 3 业务信息安全二级要素与一级要素的对应关系(续)序号二 级 要 素一 级 要 素类别影响范围承载数据可能的受侵害的客体对客体可能的侵害程度1行政办公类全省(区、市
30、)机构内重要数据一般数据重要数据一般数据社会秩序、公共利益严重损害社会秩序、公共利益一般损害公民、法人、其他组织严重损害社会秩序、公共利益一般损害公民、法人、其他组织一般损害2运行控制类全国区域全省(区、市)机构内核心数据国家安全严重损害重要数据社会秩序、公共利益特别严重损害或严重损害一般数据社会秩序、公共利益严重损害或一般损害核心数据国家安全严重损害重要数据社会秩序、公共利益严重损害一般数据社会秩序、公共利益严重损害或一般损害核心数据国家安全严重损害重要数据社会秩序、公共利益严重损害或一般损害一般数据社会秩序、公共利益一般损害核心数据国家安全严重损害重要数据社会秩序、公共利益严重损害或一般损
31、害一般数据公民、法人、其他组织一般损害3信息服务类全国区域全省(区、市)机构内核心数据国家安全严重损害重要数据社会秩序、公共利益特别严重损害或严重损害一般数据社会秩序、公共利益严重损害或一般损害核心数据国家安全严重损害重要数据社会秩序、公共利益严重损害一般数据社会秩序、公共利益严重损害或一般损害核心数据国家安全严重损害重要数据社会秩序、公共利益严重损害或一般损害一般数据社会秩序、公共利益严重损害或一般损害核心数据国家安全严重损害重要数据社会秩序、公共利益严重损害或一般损害一般数据公民、法人、其他组织一般损害4基础支撑类全国区域核心数据国家安全严重损害重要数据社会秩序、公共利益特别严重损害或严重
32、损害一般数据社会秩序、公共利益严重损害或一般损害核心数据国家安全严重损害9JT/T 表 3 业务信息安全二级要素与一级要素的对应关系(续)序号二 级 要 素一 级 要 素类别影响范围承载数据可能的受侵害的客体对客体可能的侵害程度4基础支撑类区域全省(区、市)机构内重要数据社会秩序、公共利益严重损害一般数据社会秩序、公共利益严重损害或一般损害核心数据国家安全严重损害重要数据社会秩序、公共利益严重损害或一般损害一般数据社会秩序、公共利益一般损害核心数据国家安全严重损害重要数据社会秩序、公共利益严重损害或一般损害一般数据公民、法人、其他组织一般损害表 4 系统服务安全二级要素与一级要素的对应关系序号
33、二 级 要 素一 级 要 素类别影响范围业务依赖程度可能的受侵害的客体对客体可能的侵害程度1行政办公类全国区域全省(区、市)机构内高中低高中低高中低高中低社会秩序、公共利益严重损害公民、法人、其他组织特别严重损害社会秩序、公共利益严重损害或一般损害公民、法人、其他组织严重损害或一般损害社会秩序、公共利益一般损害公民、法人、其他组织一般损害公民、法人、其他组织特别严重损害公民、法人、其他组织严重损害或一般损害公民、法人、其他组织一般损害公民、法人、其他组织严重损害公民、法人、其他组织严重损害或一般损害公民、法人、其他组织一般损害公民、法人、其他组织严重损害公民、法人、其他组织严重损害或一般损害公
34、民、法人、其他组织一般损害2运行控制类全国高中低国家安全严重损害社会秩序、公共利益特别严重损害国家安全严重损害社会秩序、公共利益严重损害国家安全一般损害社会秩序、公共利益一般损害01JT/T 表 4 系统服务安全二级要素与一级要素的对应关系(续)序号二 级 要 素一 级 要 素类别影响范围业务依赖程度可能的受侵害的客体对客体可能的侵害程度2运行控制类区域全省(区、市)机构内高中低高中低高中低社会秩序、公共利益特别严重损害社会秩序、公共利益严重损害社会秩序、公共利益严重损害或一般损害社会秩序、公共利益严重损害社会秩序、公共利益严重损害或一般损害社会秩序、公共利益一般损害公民、法人、其他组织特别严
35、重损害公民、法人、其他组织严重损害公民、法人、其他组织一般损害3信息服务类全国区域全省(区、市)机构内高社会秩序、公共利益严重损害或特别严重损害中社会秩序、公共利益严重损害低社会秩序、公共利益一般损害高社会秩序、公共利益严重损害中社会秩序、公共利益严重损害或一般损害低社会秩序、公共利益一般损害高社会秩序、公共利益严重损害中社会秩序、公共利益严重损害或一般损害低社会秩序、公共利益一般损害高公民、法人、其他组织特别严重损害中公民、法人、其他组织严重损害低公民、法人、其他组织一般损害4基础支撑类全国区域全省(区、市)高中低高中低高中低国家安全严重损害社会秩序、公共利益特别严重损害国家安全严重损害社会
36、秩序、公共利益严重损害国家安全一般损害社会秩序、公共利益一般损害社会秩序、公共利益特别严重损害社会秩序、公共利益严重损害社会秩序、公共利益一般损害社会秩序、公共利益特别严重损害社会秩序、公共利益严重损害社会秩序、公共利益一般损害11JT/T 表 4 系统服务安全二级要素与一级要素的对应关系(续)序号二 级 要 素一 级 要 素类别影响范围业务依赖程度可能的受侵害的客体对客体可能的侵害程度4基础支撑类机构内高中低公民、法人、其他组织特别严重损害公民、法人、其他组织严重损害公民、法人、其他组织一般损害6.3.4.2 当无法使用二级要素确定受侵害的客体及对客体的侵害程度时,可根据定级对象所处理的信息
37、种类和系统服务特点,由对不同侵害结果的侵害程度进行综合评定得出。6.4 确定业务信息安全保护等级根据业务信息安全被破坏时所侵害的客体,以及对相应客体的侵害程度确定业务信息安全保护等级,业务信息安全与安全保护等级的关系符合表 5 的规定。表 5 业务信息安全与安全保护等级的关系业务信息安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级 来源:GB/T 222402020,6.46.5 确定系统服务安全保护等级根据系统服务安全被破坏时所侵害的客体,以及对相应客体的侵害
38、程度确定系统服务安全保护等级,系统服务安全与安全保护等级的关系符合表 6 的规定。表 6 系统服务安全保护等级矩阵表系统服务安全受破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级来源:GB/T 222402020,6.46.6 综合判定等级定级对象的安全保护等级由业务信息安全保护等级和系统服务安全保护等级中较高者决定。附录 A 给出了某省联网收费结算管理系统安全等级保护定级示例。21JT/T 7 确定安全保护等级安全保护等级初步确定为第二级及以上的,定级对象的网络运营
39、者在编制网络安全等级保护定级报告(见附录 B)后,组织专家评审会对定级结果的合理性进行评审,并出具评审意见。评审通过后,定级对象的网络运营者将定级结果报请交通运输行业主管(监管)部门核准,并取得核准意见。网络运营者按照相关管理规定,将定级结果提交公安机关进行备案审核。审核不通过的,其网络运营者需组织重新定级;审核通过后的,最终确定定级对象的安全保护等级。对于通信网络设施、云计算平台/系统等定级对象,需根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级,且不低于其承载的等级保护对象的安全保护等级。全国统一联网运行网络,由部级网络(全国中心系统)主管单位统一确定相关定级对象的安全保护等
40、级。对于数据资源,综合考虑其规模、价值等因素,及其遭到破坏后对国家安全、社会秩序、公共利益,以及公民、法人和其他组织的合法权益的侵害程度确定其安全保护等级。涉及大量公民个人信息、为公民提供公共服务的大数据平台/系统,以及处理重要数据的系统,其安全保护等级不低于第三级。来源:GB/T 222402020,第 7 章,有修改8 等级变更当交通运输行业等级保护对象发生服务范围、服务对象等重大变更并可能影响安全保护等级,导致业务信息安全或系统服务安全的一级要素或者二级要素发生变化时,需根据本文件重新确定定级对象和安全保护等级。31JT/T 附 录 A(资料性)某省联网收费结算管理系统定级示例A.1 定
41、级对象描述某省申请定级系统为联网收费结算管理中心系统,主要包括清分(拆分)结算子系统、费率管理子系统、客户服务子系统、稽核管理子系统、态势感知平台子系统、省部数据传输子系统等。承载数据可以分为鉴别数据、关键业务数据(交易和清分数据、拆分数据等)、服务支持数据(基础数据、费率数据、黑名单数据、稽查数据、车辆图像数据等)和个人信息。系统支撑取消高速公路省界收费站后的收费、部省两级结算、稽核、客服等业务。A.2 等级保护对象安全保护等级确定流程A.2.1 第一步 确定定级对象根据 A.1,确定定级对象为某省联网收费结算管理中心系统。A.2.2 第二步 确定受侵害的客体根据系统自身固有的特征确定受侵害
42、的客体,方法如下:a)业务信息安全受侵害客体的确定:该系统承载了重要业务数据及大量个人出行数据,被篡改、删除、泄露会对全省高速公路收费、计费等造成影响,影响公众交通出行,影响高速公路通行服务秩序,会对高速公路业主产生经济损失,会泄露个人出行信息,易造成不良的社会影响。因此,业务信息受到破坏时,所侵害的客体为社会秩序和公共利益,由于收费业务涉及个人及收费主体,因此侵害客体也包含及公民、法人和其他组织的合法权益。b)系统服务安全受侵害客体的确定:该系统作为运行控制类系统,系统服务主要覆盖全省范围,受到破坏后,会影响高速公路收费计费及通行,影响公众交通出行,影响高速公路通行服务秩序,会对高速公路业主
43、产生经济损失。因此,系统服务受到破坏后,所侵害的客体为社会秩序和公共利益,以及公民、法人和其他组织的合法权益。A.2.3 第三步 确定对客体的侵害程度根据系统自身固有的特征确定受侵害的客体,方法如下:a)业务信息安全受侵害程度的确定:该运行控制系统业务信息受到破坏后,会产生较高的财产损失和较大范围的社会不良影响,主要业务覆盖全省,但费率、结算、稽核等数据是与全国收费系统保持一致,因此,业务信息受到破坏后,社会秩序和公共利益将受到严重损害,对公民、法人和其他组织的合法权益也将产生严重损害。b)系统服务安全受侵害程度的确定:该运行控制系统服务范围主要为全省,收费业务高度依赖该系统,系统服务受到破坏
44、后,会导致该省高速公路收费通行能力显著下降,产生较高的财产损失和较大范围的社会不良影响,即系统服务受到破坏后,社会秩序和公共利益受到严重损害,同时也将对公民、法人和其他组织的合法权益产生严重损害。A.2.4 第四步 确定业务信息安全保护等级经查表 5 可得业务信息安全保护等级为第三级。41JT/T A.2.5 第五步 确定系统服务安全保护等级经查表 6 可得系统服务安全保护等级为第三级。A.2.6 第四步 初步确定等级等级保护对象的安全保护等级由业务信息安全等级和系统服务安全等级中较高者决定,最终确定该省联网收费结算管理中心系统安全保护等级为第三级。51JT/T 附 录 B(资料性)网络安全等级保护定级报告示例网络安全等级保护定级报告示例见图 B.1。图 B.1 网络安全等级保护定级报告示例61JT/T 参 考 文 献1 GB/T 5271.82001 信息技术 词汇 第 8 部分:安全2 GB 17859 计算机信息系统 安全保护等级划分准则3 GB/T 292462017 信息技术 安全技术 信息安全管理体系 概述和词汇71JT/T 9042023
浙ICP备2021020529号-1 | 浙B2-20240490 
