主要行业等保测评定级标准(二)

七、民航行业

定级标准:MH/T 0069—2018 中华人民共和国民用航空行业标准《民用航空网络安全等级保护定级指南》各单位根据本单位等级保护对象的业务功能进行定级,安全保护等级应不低于建议级别,也就是说,业务信息安全等级和系统服务安全等级中,应至少有一方面不低于建议级别;对于承载复杂功能的等级保护对象,安全等级可高于建议级别;对于承载多个业务功能的等级保护对象,应以建议的最高安全等级进行定级;未在建议表中列出的等级保护对象,可根据其承载的业务功能,参照本标准进行定级。

图片
图片

特定定级对象定级说明:

对于基础信息网络、云计算平台、物联网、移动互联网、大数据平台等支撑类网络与信息系统,应根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级,安全保护等级应不低于其承载的等级保护对象的安全保护等级。

对于大数据,应综合考虑数据规模、数据价值等因素,根据数据资源(完整性、保密性、可用性)遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度等因素确定其安全保护等级。

对于确定为关键信息基础设施的,原则上其安全保护等级不低于第三级。

八、报业行业

定级标准:《报业网络安全等级保护定级参考指南V2.0》

该指南描述了报业等级保护对象的安全保护等级定级方法和定级流程。适用于指导报业融媒体/全媒体系统、新闻采编发系统、云计算平台、大数据平台等非涉及国家秘密的等级保护对象的定级工作。    

指南综合考虑各级各类报业定级对象的业务信息安全等级和系统服务安全等级,给出定级对象的安全保护等级定级参考建议:

图片

各报社根据本单位网络业务功能进行参照定级,安全等级应不低于建议级别。

九、烟草行业

定级标准:YC/T 389-2011《烟草行业信息系统安全等级保护与信息安全事件的定级准则》

图片

信息系统安全等级是信息系统重要程度的表征。烟草行业信息系统安全等级保护所对应的信息系统重要程度为:第一级为一般的信息系统;第二级为较重要的信息系统;第三级为重要的信息系统;第四级为涉密信息系统;第五级为涉及国家安全的信息系统。信息系统建设和使用单位应按上述资产价值所包含的内容,计算信息系统的经济损失。

图片

根据业务信息安全被破坏时所侵害的业务信息类型以及对相应系统的侵害程度来确定业务信息安全保护等级。按表3所示的业务信息安全保护等级矩阵表,即可得到业务信息安全保护等级。

图片

根据安全被破坏时所侵害的系统服务范围以及对相应系统的侵害程度来确定系统服务安全保护等级。按表4所示的系统服务安全保护等级矩阵表,即可得到系统服务安全保护等级。

图片

烟草行业信息安全事件按突发信息事件对信息系统和烟草业务影响的程度和影响范围等因素,划分为特别重大事件(I级)、重大事件(II级)、较大事件(Ⅲ级)和一般事件(IV级),其中:

  • 特别重大事件(I级):导致信息系统和烟草业务有特别严重的损失或破坏的信息安全事件;
  • 重大事件(Ⅱ级):导致重大或破坏的信息安全事件;
  • 较大事件(Ⅲ级):导致信息系统和烟草业务有较大的损失或破坏的信息安全事件;
  • 一般事件(IV级):导致信息系统和烟草业务有一定的损失或破坏的信息安全事件。
图片

将烟草行业信息系统分为重要、较重要和一般的信息系统

图片

业务影响是评定突发信息安全事件的一个重要要素。按突发信息安全事件造成信息系统无法提供服务或无法提供有效服务,对烟草业务影响程度加以赋值

图片

资产损失是指由于突发信息安全事件所导致资产损失,即恢复系统正常运行和消除安全事件负面影响所需付出的经济损失。

图片