交通运输行业标准 《交通运输行业网络安全等级保护定级指南》修订解读

2023-07-17 15:11

交通运输部于2023年6月25日发布了推荐性行业标准《交通运输行业网络安全等级保护定级指南》(JT/T 904—2023),自2023年9月25日起实施。

一、修订背景

2017年7月《中华人民共和国网络安全法》正式施行,标志着网络安全等级保护工作上升为国家法律要求。随着信息技术发展和应用,交通运输领域网络安全等级保护对象已经从传统的信息系统,扩展到网络基础设施、云计算平台、大数据平台、物联网、工业控制系统、采用移动互联技术的系统等。2020年4月,公安部修订了GB/T 22240—2020《信息安全技术 网络安全等级保护定级指南》,对网络安全等级保护工作流程等提出了新要求。据此,为适应新形势下网络安全等级保护工作的新需求,更好的指导行业单位开展网络安全等级保护定级工作,交通运输部组织相关单位对JT/T 904—2014《交通运输行业信息系统安全等级保护定级指南》进行了修订。

二、标准的定位和作用

本标准规定了交通运输行业网络安全等级保护对象的定级方法和定级流程,包括确定定级对象、初步确定等级、确定安全保护等级和等级变更,适用于交通运输行业信息系统、通信网络设施、数据资源等非涉密等级保护对象的定级工作。

本标准修订后将为交通运输行业信息系统在开展信息安全等级保护定级工作提供技术支撑,指导并规范交通运输行业网络安全管理人员、安全咨询服务机构、安全建设机构和安全运维机构等开展网络安全等级保护定级工作。

三、主要修订内容

与2014版标准相比,本标准主要做了以下方面的修订:

(一)标准名称

与《中华人民共和国网络安全法》和GB/T 22240—2020《信息安全技术 网络安全等级保护定级指南》中的术语保持一致,标准更名为《交通运输行业网络安全等级保护定级指南》。

(二)术语和定义

修改了“等级保护对象”和“客观方面”的定义,删除了“客体”、“系统服务”,新增了“信息系统”、“受侵害的客体”、“通信网络设施”和“数据资源”;由于原“业务信息”、“交通运输行业信息系统”、“定级要素”、“业务依赖程度”、“承载信息类别”和“系统服务范围”未能在当前交通运输行业网络安全等级保护工作及影响范围中有效表述,且在正文中进行了相应说明或采取了与国家上位文件一致的描述,故删除。

(三)定级原理及流程

1. 依据最新等级保护工作影响范围,原“信息系统安全保护等级”修改为“安全保护等级”。

2. 将二级要素描述提前,其与一级要素的表述粒度一致并集中表述。

3. 根据《交通运输部办公厅关于印发部内司局和部属单位主管网络和信息系统安全责任清单的通知》(交科技发〔2021〕1245号)文件,在原标准研究基础上,深入研究广播、报业、民航、林业、邮政、教育和金融7个行业定级分类思路,考虑与风险评估及关键信息基础设施分类保持一致、责任单位、业务类型和业务重要性、定级对象所属机构类别和承载业务种类等因素,对部机关、部属单位以及省交通运输厅的等级保护对象进行分类,总结信息系统分为行政办公类、运行控制类、信息服务类和基础支撑类,依据最新等级保护工作影响范围,将“信息系统类别”修改为“等级保护对象类别”。

4. 根据《数据安全法》和《个人信息保护法》修改承载数据的表述,根据等级保护对象所处理数据的安全特征,对三类承载数据分级为“核心数据”“重要数据”和“一般数据”。

(四)确定定级对象

 交通运输行业定级对象与GB/T 22240—2020中的规定保持一致,基本涵盖了信息系统、通信网络设施及数据资源。

(五)初步确定等级

1. 根据国家分级保护的工作思路以及交通运输行业定级对象分类,着重体现了分级分类的定级思路。本标准将“信息系统”改为“等级保护对象”,对定级流程进行修改,将一级要素与二级要素的判断顺序进行调换,提升流程简便性;将“定级方法”修改为“初步确定等级”、“定级的基本流程”修改为“定级方法”。

2. 在确定受侵害客体部分增加了如何使用二级要素确定受侵害客体的方法论,阐明了本标准的核心是用二级要素确定受侵害客体。

3. 修改了综合判断侵害程度的表述,使之与确定对客体的侵害程度的方法论更加匹配。

4. 根据修改后的等级保护对象分类,对业务信息安全和系统服务安全二级要素与一级要素的对应关系部分内容进行了修改。对“可能的受侵害的客体”及“对客体可能的侵害程度”进行了修改,提升标准内容的合理性;针对表格内容不完全涵盖实际定级工作中所有情况,增加了补充说明。

5. 将“确定信息系统安全保护等级”修改为“综合判定等级”,保留了对修改后示例的引用。

(六)确定安全保护等级

在GB/T 22240—2020基础上,新增确定安全保护等级内容,且明确了行业主管(监管)部门;根据等级保护对象所处理数据的安全特征修改了对于数据资源的定级描述。

(七)等级变更

结合交通行业特点,修改说明了当需要对已定级的定级对象的定级情况进行变更时的原因和方法。

(八)更新了附录示例

根据新的工作流程,体现交通运输行业特色,将原“附录A(资料性附录)某省办公自动化(OA)系统安全等级保护定级示例”调整为“附录A(资料性)某省联网收费结算管理系统定级示例”和“附录B(资料性)网络安全等级保护定级报告示例”。

四、实施注意事项

本标准适用于交通运输行业信息系统、通信网络设施、数据资源等非涉密等级保护对象的定级工作,在实际定级过程中如本标准未能涵盖所有对象,可参照GB/T 22240—2020进行确定。

 

文稿编纂:交通运输信息安全中心有限公司 杜渐

文稿审核:交通运输信息通信及导航标准化技术委员会 田士海

中心直属企业

关于中心

中国交通通信信息中心(CTTIC)为交通运输部直属正局级事业单位,实行行政首长负责制,承担的主要职责为:一是为部和行业服务保障。主要包括部及行业应急、海上遇险安全等特殊通信,通信导航、无线电和信息化等运维、保障和服务,部信息化项目建设……[详细]
主管部门:中华人民共和国交通运输部 版权所有、主办:中国交通通信信息中心
中国交通通信信息中心 www.cttic.cn 地址:北京市朝阳区安外外馆后身1号(100011) 总机:+86-10-65292114
微信公众号