2023交通運(yùn)輸行業(yè)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南

2023目 次前言 Ⅱ范圍 1規(guī)范性引用文件 1術(shù)語和定義 1定級(jí)原理及流程 24.1 安全保護(hù)等級(jí) 24.2 定級(jí)要素 23 定級(jí)工作流程 4確定定級(jí)對(duì)象1

……………5……………55.2 通信網(wǎng)絡(luò)設(shè)施 53 初步確定等級(jí)1

……………5……………5……………56.2 確定受侵害的客體 66.3 確定對(duì)客體的侵害程度 76.4 確定業(yè)務(wù)信息安全保護(hù)等級(jí) 126.5 確定系統(tǒng)服務(wù)安全保護(hù)等級(jí) 126.6 綜合判定等級(jí) 12確定安全保護(hù)等級(jí) 13等級(jí)變更 13附錄A(資料性) 某省聯(lián)網(wǎng)收費(fèi)結(jié)算管理系統(tǒng)定級(jí)示例 14附錄B(資料性) 網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)報(bào)告示例 16Ⅰ交通運(yùn)輸行業(yè)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南范圍本文件給出了交通運(yùn)輸行業(yè)網(wǎng)絡(luò)安全等級(jí)保護(hù)對(duì)象的定級(jí)方法和定級(jí)流程,包括確定定級(jí)對(duì)象、初步確定等級(jí)、確定安全保護(hù)等級(jí)和等級(jí)變更。本文件適用于交通運(yùn)輸行業(yè)信息系統(tǒng)、通信網(wǎng)絡(luò)設(shè)施、數(shù)據(jù)資源等非涉密等級(jí)保護(hù)對(duì)象的定級(jí)工作。規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中,注日期的引用文件,僅該日期對(duì)應(yīng)的版本適用于本文件;不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。GB/T22240—2020信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南GB/T25058—2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施指南術(shù)語和定義下列術(shù)語和定義適用于本文件。.

等級(jí)保護(hù)對(duì)象 targetofclassifiedsecurity網(wǎng)絡(luò)安全等級(jí)保護(hù)工作直接作用的對(duì)象。注:主要包括信息系統(tǒng)、通信網(wǎng)絡(luò)設(shè)施和數(shù)據(jù)資源等。來源:GB/T22240—2020,定義32]信息系統(tǒng) informationsystem應(yīng)用、服務(wù)、信息技術(shù)資產(chǎn)或其他信息處理組件。注并按照一定的目標(biāo)和規(guī)則進(jìn)行信息處理或過程控制注云計(jì)算平臺(tái)/系統(tǒng)物聯(lián)網(wǎng)工業(yè)控制系統(tǒng)以及采用移動(dòng)互聯(lián)技術(shù)的系統(tǒng)等。來源:GB/T29246—2017,239]受侵害的客體 objectofinfringement受法律保護(hù)的、等級(jí)保護(hù)對(duì)象受到破壞時(shí)所侵害的社會(huì)關(guān)系。注:本標(biāo)準(zhǔn)中簡稱“客體”。來源:GB/T22240—2020,定義36]通信網(wǎng)絡(luò)設(shè)施 networkinfrastructure為信息流通、網(wǎng)絡(luò)運(yùn)行等起基礎(chǔ)支撐作用的網(wǎng)絡(luò)設(shè)備設(shè)施。注:主要包括高速公路光纖網(wǎng)、交通運(yùn)輸行業(yè)或單位的專用通信網(wǎng)等。來源:GB/T22240—2020,定義34,有修改]1223.3.

數(shù)據(jù)資源 dataresources具有或預(yù)期具有價(jià)值的數(shù)據(jù)集合。注:數(shù)據(jù)資源多以電子形式存在。來源:GB/T22240—2020,定義35]客觀方面 objective對(duì)客體造成侵害的客觀外在表現(xiàn),包括侵害方式和侵害結(jié)果等。來源:GB/T22240—2020,定義37]定級(jí)原理及流程1 安全保護(hù)等級(jí)根據(jù)等級(jí)保護(hù)對(duì)象在國家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度以及一旦遭到破壞、喪失功能或者數(shù)據(jù)被篡改、泄露、丟失、損毀后,對(duì)國家安全、社會(huì)秩序、公共利益,以及公民、法人和其他組織的合法權(quán)益的侵害程度等因素,交通運(yùn)輸行業(yè)等級(jí)保護(hù)對(duì)象的安全保護(hù)等級(jí)分為以下五級(jí):第一級(jí):等級(jí)保護(hù)對(duì)象受到破壞后,會(huì)對(duì)相關(guān)公民、法人和其他組織的合法權(quán)益造成一般損害,但不危害國家安全、社會(huì)秩序和公共利益;第二級(jí):等級(jí)保護(hù)對(duì)象受到破壞后,會(huì)對(duì)相關(guān)公民、法人和其他組織的合法權(quán)益造成嚴(yán)重?fù)p害或特別嚴(yán)重?fù)p害,或者對(duì)社會(huì)秩序和公共利益造成危害,但不危害國家安全;第三級(jí):等級(jí)保護(hù)對(duì)象受到破壞后,會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重危害,或者對(duì)國家安全造成危害;第四級(jí):等級(jí)保護(hù)對(duì)象受到破壞后,會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重危害,或者對(duì)國家安全造成嚴(yán)重危害;第五級(jí):等級(jí)保護(hù)對(duì)象受到破壞后,會(huì)對(duì)國家安全造成特別嚴(yán)重危害。[來源:GB/T22240—2020,41,有修改]42 定級(jí)要素421 要素分級(jí)4211 根據(jù)交通運(yùn)輸行業(yè)網(wǎng)絡(luò)安全等級(jí)保護(hù)對(duì)象的業(yè)務(wù)信息和系統(tǒng)服務(wù)特征,定級(jí)要素分為一級(jí)要素和二級(jí)要素。212 等級(jí)保護(hù)對(duì)象的一級(jí)要素與GB/T22240—2020一致,包括以下兩個(gè)方面:受侵害的客體;對(duì)客體的侵害程度。213 等級(jí)保護(hù)對(duì)象的二級(jí)要素用于輔助確定等級(jí)保護(hù)對(duì)象的等級(jí)。根據(jù)等級(jí)保護(hù)對(duì)象的服務(wù)對(duì)象、功能、范圍及效用等特征,等級(jí)保護(hù)對(duì)象的二級(jí)要素包括以下四個(gè)方面:等級(jí)保護(hù)對(duì)象類別;承載數(shù)據(jù);影響范圍;業(yè)務(wù)依賴程度。422 一級(jí)要素221 受侵害的客體等級(jí)保護(hù)對(duì)象受到破壞時(shí)所侵害的客體包括以下三個(gè)方面:公民、法人和其他組織的合法權(quán)益;社會(huì)秩序、公共利益;國家安全。222 對(duì)客體的侵害程度對(duì)客體的侵害程度由客觀方面的不同外在表現(xiàn)綜合決定。由于對(duì)客體的侵害是通過對(duì)等級(jí)保護(hù)對(duì)象的破壞實(shí)現(xiàn)的,因此對(duì)客體的侵害外在表現(xiàn)為對(duì)等級(jí)保護(hù)對(duì)象的破壞,通過侵害方式、侵害后果和侵害程度加以描述。等級(jí)保護(hù)對(duì)象受到破壞后對(duì)客體造成侵害的程度歸結(jié)為以下三種:造成一般損害;造成嚴(yán)重?fù)p害;造成特別嚴(yán)重?fù)p害。4223 一級(jí)要素與安全保護(hù)等級(jí)的關(guān)系表1給出一級(jí)要素與安全保護(hù)等級(jí)的關(guān)系。表1 一級(jí)要素與安全保護(hù)等級(jí)的關(guān)系受侵害的客體對(duì)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級(jí)第二級(jí)第二級(jí)社會(huì)秩序、公共利益第二級(jí)第三級(jí)第四級(jí)國家安全第三級(jí)第四級(jí)第五級(jí)來源:GB/T22240—2020,43,有修改]423 二級(jí)要素4231 等級(jí)保護(hù)對(duì)象類別根據(jù)等級(jí)保護(hù)對(duì)象的功能,等級(jí)保護(hù)對(duì)象類別主要分為以下四類:—行政辦公類:支撐各級(jí)交通運(yùn)輸管理部門和企事業(yè)單位,為開展行政事務(wù)或維持自身組織活動(dòng)而建設(shè)的網(wǎng)絡(luò)設(shè)施及信息系統(tǒng)——運(yùn)行控制類:對(duì)交通運(yùn)輸基礎(chǔ)設(shè)施的運(yùn)營、運(yùn)輸工具運(yùn)行進(jìn)行協(xié)調(diào)控制,或者對(duì)旅客、貨物運(yùn)輸進(jìn)行生產(chǎn)組織、調(diào)度指揮的網(wǎng)絡(luò)設(shè)施及信息系統(tǒng)——信息服務(wù)類:為社會(huì)公眾提供信息服務(wù)或開展行業(yè)管理等功能的網(wǎng)絡(luò)設(shè)施及信息系統(tǒng)—基礎(chǔ)支撐類:多個(gè)交通運(yùn)輸行業(yè)信息系統(tǒng)在計(jì)算、操作、存儲(chǔ)或通信等方面所依賴的網(wǎng)絡(luò)設(shè)施及信息系統(tǒng)。交通運(yùn)輸行業(yè)等級(jí)保護(hù)對(duì)象的分類示例見表2。表2 交通運(yùn)輸行業(yè)等級(jí)保護(hù)對(duì)象分類示例系統(tǒng)類別系統(tǒng)舉例行政辦公類交通運(yùn)輸財(cái)務(wù)審計(jì)信息管理系統(tǒng)、電子印章系統(tǒng)、移動(dòng)政務(wù)辦公系統(tǒng)、交通運(yùn)輸企業(yè)門戶網(wǎng)站運(yùn)行控制類3\h學(xué)兔兔標(biāo)準(zhǔn)下載5544表2 交通運(yùn)輸行業(yè)等級(jí)保護(hù)對(duì)象分類示例(續(xù))系統(tǒng)類別系統(tǒng)舉例信息服務(wù)類政府網(wǎng)站、交通運(yùn)輸科技與標(biāo)準(zhǔn)信息資源共享系統(tǒng)、綜合交通運(yùn)輸統(tǒng)計(jì)信息決策支持系統(tǒng)、全國高速公路信息通信系統(tǒng)、交通運(yùn)輸信用信息管理系統(tǒng)、國家公路網(wǎng)交通情況調(diào)查數(shù)據(jù)采集與服務(wù)系統(tǒng)、全國交通運(yùn)輸行政執(zhí)法綜合管理信息系統(tǒng)、全國公路建設(shè)市場信用信息管理系統(tǒng)、全國公路出行信息服務(wù)系統(tǒng)、國家公路網(wǎng)綜合養(yǎng)護(hù)管理信息系統(tǒng)、12328交通運(yùn)輸服務(wù)監(jiān)督電話系統(tǒng)、全國治超聯(lián)網(wǎng)管理信息系統(tǒng)基礎(chǔ)支撐類ETC在線密鑰管理與服務(wù)系統(tǒng)、統(tǒng)一身份認(rèn)證系統(tǒng)、數(shù)據(jù)交換共享和開放應(yīng)用系統(tǒng)4232 承載數(shù)據(jù)根據(jù)等級(jí)保護(hù)對(duì)象所處理數(shù)據(jù)的安全特征,承載數(shù)據(jù)主要分為以下三類:核心數(shù)據(jù):關(guān)系國家安全、國民經(jīng)濟(jì)命脈、重要民生和重大公共利益等的數(shù)據(jù);;一般數(shù)據(jù):安全屬性遭到破壞后,對(duì)社會(huì)秩序、公共利益或公民、法人和其他組織的合法權(quán)益造成不利影響的數(shù)據(jù)。4233 影響范圍根據(jù)等級(jí)保護(hù)對(duì)象支撐業(yè)務(wù)開展情況,影響范圍主要分為全國、區(qū)域、省域和機(jī)構(gòu)內(nèi)四類。注:區(qū)域一般是指跨兩個(gè)以上省級(jí)行政區(qū)的組合,如京津冀地區(qū)、長三角地區(qū)、東海海域等。4234 業(yè)務(wù)依賴程度根據(jù)等級(jí)保護(hù)對(duì)象運(yùn)行情況對(duì)業(yè)務(wù)開展的影響,業(yè)務(wù)依賴程度分為以下三類:—業(yè)務(wù)依賴程度高:受到侵害后,無法通過其他方式支撐定級(jí)對(duì)象的業(yè)務(wù),業(yè)務(wù)運(yùn)行完全受到影響——業(yè)務(wù)依賴程度中:受到侵害后,可以通過其他方式支撐定級(jí)對(duì)象的部分業(yè)務(wù),業(yè)務(wù)運(yùn)行受到部分影響—業(yè)務(wù)依賴程度低:受到侵害后,無須或可以通過其他方式支撐定級(jí)對(duì)象的全部業(yè)務(wù),業(yè)務(wù)運(yùn)行未受到影響。3 定級(jí)工作流程圖1給出等級(jí)保護(hù)對(duì)象定級(jí)工作一般流程。圖1 等級(jí)保護(hù)對(duì)象定級(jí)工作一般流程安全保護(hù)等級(jí)初步確定為第二級(jí)及以上的等級(jí)保護(hù)對(duì)象,其網(wǎng)絡(luò)運(yùn)營者依據(jù)本文件組織開展專家評(píng)審主管部門核準(zhǔn)和備案審核,最終確定其安全保護(hù)等級(jí)。等級(jí)保護(hù)對(duì)象定級(jí)與備案工作宜符合GB/T25058—20195章的要求。注:安全保護(hù)等級(jí)初步確定為第一級(jí)的等級(jí)保護(hù)對(duì)象,其網(wǎng)絡(luò)運(yùn)營者可依據(jù)本文件自行確定其最終安全保護(hù)等級(jí),可不進(jìn)行專家評(píng)審、主管部門核準(zhǔn)和備案審核。確定定級(jí)對(duì)象1 信息系統(tǒng)作為定級(jí)對(duì)象的信息系統(tǒng)具有如下基本特征:具有確定的主要安全責(zé)任主體;承載相對(duì)獨(dú)立的業(yè)務(wù)應(yīng)用;包含相互關(guān)聯(lián)的多個(gè)資源。注1:主要安全責(zé)任主體包括但不限于企業(yè)、機(jī)關(guān)和事業(yè)單位等法人,以及不具備法人資格的社會(huì)團(tuán)體等其他組織。注2:避免將某個(gè)單一的系統(tǒng)組件,如服務(wù)器、終端或網(wǎng)絡(luò)設(shè)備等作為定級(jí)對(duì)象。在確定定級(jí)對(duì)象時(shí),云計(jì)算平臺(tái)/系統(tǒng)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng),以及采用移動(dòng)互聯(lián)技術(shù)的系統(tǒng)在滿足以上基本特征的基礎(chǔ)上還宜符合GB/T22240—2020512、513、514、515的相關(guān)要求。來源:GB/T22240—2020,511,有修改]52 通信網(wǎng)絡(luò)設(shè)施對(duì)于高速公路光纖網(wǎng)、衛(wèi)星通信網(wǎng)、通信專網(wǎng)等交通運(yùn)輸行業(yè)通信網(wǎng)絡(luò)設(shè)施,宜根據(jù)安全責(zé)任主體、服務(wù)類型或服務(wù)地域等因素將其劃分為不同的定級(jí)對(duì)象?？缡?區(qū)、市)的行業(yè)或單位的專用通信網(wǎng)可作為一個(gè)整體對(duì)象定級(jí)或分區(qū)域劃分為若干個(gè)定級(jí)對(duì)象。3 數(shù)據(jù)資源數(shù)據(jù)資源可獨(dú)立定級(jí)。當(dāng)安全責(zé)任主體相同時(shí),大數(shù)據(jù)、大數(shù)據(jù)平臺(tái)/系統(tǒng)宜作為一個(gè)整體對(duì)象定級(jí);當(dāng)安全責(zé)任主體不同時(shí),大數(shù)據(jù)應(yīng)獨(dú)立定級(jí)。來源:GB/T22240—2020,53]初步確定等級(jí)1 定級(jí)方法不同定級(jí)對(duì)象的定級(jí)方法不同,對(duì)于通信網(wǎng)絡(luò)設(shè)施、云計(jì)算平臺(tái)/系統(tǒng)等起支撐作用的定級(jí)對(duì)象和數(shù)據(jù)資源,定級(jí)方法在第7章給出。對(duì)于較為龐大的等級(jí)保護(hù)對(duì)象,為了體現(xiàn)分等級(jí)保護(hù)、優(yōu)化信息安全資源配置的原則,可將其劃分為多個(gè)定級(jí)對(duì)象。如果等級(jí)保護(hù)對(duì)象責(zé)任邊界一致,業(yè)務(wù)關(guān)聯(lián)度較大,也可將多個(gè)系統(tǒng)合并為一個(gè)等級(jí)保護(hù)對(duì)象進(jìn)行定級(jí)。定級(jí)對(duì)象的安全主要包括業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全,與之相關(guān)的受侵害客體和對(duì)客體的侵害程度可能不同,因此,安全保護(hù)等級(jí)由業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩方面確定。從業(yè)務(wù)信息安全角度反映的定級(jí)對(duì)象安全保護(hù)等級(jí)稱為業(yè)務(wù)信息安全保護(hù)等級(jí);從系統(tǒng)服務(wù)安全角度反映的定級(jí)對(duì)象安全保護(hù)等級(jí)稱為系統(tǒng)服務(wù)安全保護(hù)等級(jí)。具體流程如下:確定受到破壞時(shí)所侵害的客體:7766確定業(yè)務(wù)信息受到破壞時(shí)所侵害的客體;確定系統(tǒng)服務(wù)受到破壞時(shí)所侵害的客體。確定對(duì)客體的侵害程度:根據(jù)不同的客體,分別評(píng)定業(yè)務(wù)信息安全被破壞對(duì)客體的侵害程度;根據(jù)不同的客體,分別評(píng)定系統(tǒng)服務(wù)安全被破壞對(duì)客體的侵害程度。確定安全保護(hù)等級(jí):確定業(yè)務(wù)信息安全保護(hù)等級(jí);確定系統(tǒng)服務(wù)安全保護(hù)等級(jí);將業(yè)務(wù)信息安全保護(hù)等級(jí)和系統(tǒng)服務(wù)安全保護(hù)等級(jí)的較高者確定為定級(jí)對(duì)象的安全保護(hù)等級(jí)。定級(jí)流程如圖2所示。圖2 交通運(yùn)輸行業(yè)定級(jí)流程示意圖62 確定受侵害的客體621 侵害客體的事項(xiàng)6211 侵害國家安全的事項(xiàng)判斷交通運(yùn)輸行業(yè)等級(jí)保護(hù)對(duì)象受到損害后是否侵害到國家安全,主要基于其是否涉及重要國家事務(wù)處理、國防工業(yè)生產(chǎn)及國防設(shè)施控制,受到非法控制后是否會(huì)影響國家統(tǒng)一、民族團(tuán)結(jié)和社會(huì)穩(wěn)定,是否涉及國家安全保衛(wèi)工作、涉及尖端科技研究及生產(chǎn),是否涉及國家安全的交通運(yùn)輸基礎(chǔ)設(shè)施生產(chǎn)、控制、管理等。侵害國家安全的事項(xiàng)包括以下方面:影響國家政權(quán)穩(wěn)固和領(lǐng)土主權(quán)、海洋權(quán)益完整;影響國家統(tǒng)一、民族團(tuán)結(jié)和社會(huì)穩(wěn)定;影響國家社會(huì)主義市場經(jīng)濟(jì)秩序和文化實(shí)力;影響國家對(duì)外活動(dòng)中的政治、經(jīng)濟(jì)利益;影響國家國防實(shí)力及重要的安全保衛(wèi)工作;影響國家經(jīng)濟(jì)競爭力和科技實(shí)力;其他影響國家安全的事項(xiàng)。212 侵害社會(huì)秩序、公共利益的事項(xiàng)判斷交通運(yùn)輸行業(yè)等級(jí)保護(hù)對(duì)象受到損害后是否侵害到社會(huì)秩序、公共利益,主要基于其是否支撐交通運(yùn)輸行業(yè)主管部門宏觀調(diào)控、市場監(jiān)管、社會(huì)管理和公共服務(wù)等職能,是否支撐交通運(yùn)輸領(lǐng)域的公共設(shè)施管理和服務(wù)工作,是否支撐交通運(yùn)輸領(lǐng)域提供面向社會(huì)公眾的生產(chǎn)和運(yùn)營業(yè)務(wù)。侵害社會(huì)秩序的事項(xiàng)包括以下方面:2)影響國家機(jī)關(guān)、企事業(yè)單位、社會(huì)團(tuán)體的生產(chǎn)秩序、經(jīng)營秩序、經(jīng)濟(jì)活動(dòng)、社會(huì)管理和公共服務(wù)的工作秩序;2)4)影響人民群眾的生活秩序;3)影響公共場所的活動(dòng)秩序、4)影響人民群眾的生活秩序;5)影響公眾在法律約束和道德規(guī)范下的正常生活秩序等;其他影響社會(huì)秩序的事項(xiàng)。5)侵害公共利益的事項(xiàng)包括以下方面:影響社會(huì)成員使用公共設(shè)施;影響社會(huì)成員獲取公開數(shù)據(jù)資源;影響社會(huì)成員接受公共服務(wù)等方面;影響交通運(yùn)輸行業(yè)企事業(yè)單位或社會(huì)公眾合法權(quán)益的獲得;其他影響公共利益的事項(xiàng)。6213 侵害公民、法人和其他組織合法權(quán)益的事項(xiàng)侵害公民、法人和其他組織合法權(quán)益的事項(xiàng)是指損害受法律保護(hù)的公民、法人和其他組織所享有的社會(huì)權(quán)利和利益等。來源:GB/T22240—2020,62,有修改]622 確定受侵害的客體的方法判斷等級(jí)保護(hù)對(duì)象受到損害后影響的客體,可通過定級(jí)對(duì)象的二級(jí)要素來判斷,其中業(yè)務(wù)信息受到破壞時(shí)所侵害的客體與影響范圍、承載數(shù)據(jù)相關(guān),系統(tǒng)服務(wù)受到破壞時(shí)所侵害的客體與等級(jí)保護(hù)對(duì)象類別、影響范圍相關(guān)。當(dāng)無法使用二級(jí)要素確定客體時(shí),根據(jù)定級(jí)對(duì)象受到損害后的影響,首先判斷是否侵害國家安全,然后判斷是否侵害社會(huì)秩序或公眾利益,最后判斷是否侵害公民、法人和其他組織的合法權(quán)益。63 確定對(duì)客體的侵害程度31 判別基準(zhǔn)在針對(duì)不同的客體進(jìn)行侵害程度的判斷時(shí),參照以下不同的判別基準(zhǔn):如果客體是公民、法人或其他組織的合法權(quán)益,則以本人或本單位的總體利益作為判斷侵害程度的基準(zhǔn);如果客體是社會(huì)秩序、公共利益或國家安全,則以整個(gè)交通運(yùn)輸行業(yè)或國家的總體利益作為判斷侵害程度的基準(zhǔn)。632 侵害的客觀方面在客觀方面,對(duì)客體的侵害外在表現(xiàn)為對(duì)定級(jí)對(duì)象的破壞,其侵害方式表現(xiàn)為對(duì)業(yè)務(wù)信息安全的破壞和對(duì)系統(tǒng)服務(wù)安全的破壞。其中,業(yè)務(wù)信息安全是指確保定級(jí)對(duì)象中信息的保密性、完整性和可用性,系統(tǒng)服務(wù)安全是指確保定級(jí)對(duì)象可以及時(shí)、有效地提供服務(wù),以完成預(yù)定的業(yè)務(wù)目標(biāo)。由于業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全受到破壞所侵害的客體和對(duì)客體的侵害程度可能會(huì)有所不同,在定級(jí)過程中,需要分別處理這兩種侵害方式。根據(jù)交通運(yùn)輸行業(yè)行政管理、公共服務(wù)職能和企業(yè)生產(chǎn)、經(jīng)營活動(dòng)等特征,業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全受到破壞后,可能產(chǎn)生以下部分或全部損害后果:影響交通通行能力及服務(wù)能力;影響交通運(yùn)輸行業(yè)相關(guān)企業(yè)生產(chǎn)、經(jīng)營和管理活動(dòng);PAGEPAGE11PAGEPAGE10影響交通運(yùn)輸相關(guān)企業(yè)、法人、從業(yè)者的合法權(quán)益;影響各級(jí)交通運(yùn)輸管理部門正常履行管理、服務(wù)職能;引起法律糾紛;導(dǎo)致財(cái)產(chǎn)損失;造成社會(huì)不良影響;對(duì)其他組織和個(gè)人造成損害;其他影響。633 綜合判斷侵害程度侵害程度是客觀方面的不同外在表現(xiàn)的綜合體現(xiàn),因此,首先根據(jù)不同的客體、不同侵害后果分別確定其侵害程度。對(duì)不同侵害后果確定其侵害程度所采取的方法和所考慮的角度可能不同。例如,系統(tǒng)服務(wù)安全被破壞導(dǎo)致業(yè)務(wù)能力下降的程度可以從定級(jí)對(duì)象服務(wù)覆蓋的區(qū)域范圍、用戶人數(shù)或業(yè)務(wù)量等不同方面確定;業(yè)務(wù)信息安全被破壞導(dǎo)致的財(cái)物損失,可以從直接的資金損失大小、間接的信息恢復(fù)費(fèi)用等方面進(jìn)行確定。不同侵害后果的三種侵害程度描述如下:—一般損害:使交通運(yùn)輸行業(yè)管理、服務(wù)工作職能受到局部影響,交通通行能力及服務(wù)能力、交通運(yùn)輸企業(yè)正常經(jīng)營能力有所降低但不影響主要業(yè)務(wù)執(zhí)行,出現(xiàn)較輕的法律問題,造成較低的財(cái)產(chǎn)損失,有限的社會(huì)不良影響,對(duì)其他組織和個(gè)人造成較低損害——嚴(yán)重?fù)p害:使交通運(yùn)輸行業(yè)管理、服務(wù)工作職能受到嚴(yán)重影響,交通通行能力及服務(wù)能力、交通運(yùn)輸企業(yè)正常經(jīng)營能力顯著下降且嚴(yán)重影響主要業(yè)務(wù)執(zhí)行,出現(xiàn)較嚴(yán)重的法律問題,造成較高的財(cái)產(chǎn)損失,較大范圍的社會(huì)不良影響,對(duì)其他組織和個(gè)人造成較嚴(yán)重?fù)p害—特別嚴(yán)重?fù)p害:使交通運(yùn)輸行業(yè)管理、服務(wù)職能受到特別嚴(yán)重影響或喪失行使職能能力,交通通行能力及服務(wù)能力、交通運(yùn)輸企業(yè)正常經(jīng)營能力等嚴(yán)重下降且主要業(yè)務(wù)無法執(zhí)行,出現(xiàn)極其嚴(yán)重的法律問題,造成極高的財(cái)產(chǎn)損失,大范圍的社會(huì)不良影響,對(duì)其他組織和個(gè)人造成非常嚴(yán)重?fù)p害。634 確定對(duì)客體侵害程度的方法6.3.4.1可通過定級(jí)對(duì)象的二級(jí)要素,對(duì)客體的侵害程度進(jìn)行判斷,其中業(yè)務(wù)信息受到破壞時(shí)所侵害的客體的侵害程度與等級(jí)保護(hù)對(duì)象類別相關(guān),系統(tǒng)服務(wù)受到破壞時(shí)所侵害的客體的侵害程度與業(yè)務(wù)依賴程度相關(guān)。通過二級(jí)要素與一級(jí)要素的對(duì)應(yīng)關(guān)系,判斷業(yè)務(wù)信息安全、系統(tǒng)服務(wù)安全可能受侵害的客體及其侵害程度的建議見表3及表4。表3 業(yè)務(wù)信息安全二級(jí)要素與一級(jí)要素的對(duì)應(yīng)關(guān)系序號(hào)二級(jí)要素一級(jí)要素類別影響范圍承載數(shù)據(jù)可能的受侵害的客體對(duì)客體可能的侵害程度1行政辦公類全國重要數(shù)據(jù)社會(huì)秩序、公共利益嚴(yán)重?fù)p害一般數(shù)據(jù)社會(huì)秩序、公共利益一般損害公民、法人、其他組織嚴(yán)重?fù)p害區(qū)域重要數(shù)據(jù)社會(huì)秩序、公共利益嚴(yán)重?fù)p害一般數(shù)據(jù)社會(huì)秩序、公共利益一般損害公民、法人、其他組織嚴(yán)重?fù)p害表3 業(yè)務(wù)信息安全二級(jí)要素與一級(jí)要素的對(duì)應(yīng)關(guān)系(續(xù))序號(hào)二級(jí)要素一級(jí)要素類別影響范圍承載數(shù)據(jù)可能的受侵害的客體對(duì)客體可能的侵害程度1行政辦公類全省(區(qū)、市)重要數(shù)據(jù)社會(huì)秩序、公共利益嚴(yán)重?fù)p害一般數(shù)據(jù)社會(huì)秩序、公共利益一般損害公民、法人、其他組織嚴(yán)重?fù)p害機(jī)構(gòu)內(nèi)重要數(shù)據(jù)社會(huì)秩序、公共利益一般損害一般數(shù)據(jù)公民、法人、其他組織一般損害2運(yùn)行控制類全國核心數(shù)據(jù)國家安全嚴(yán)重?fù)p害重要數(shù)據(jù)社會(huì)秩序、公共利益特別嚴(yán)重?fù)p害或嚴(yán)重?fù)p害一般數(shù)據(jù)社會(huì)秩序、公共利益嚴(yán)重?fù)p害或一般損害區(qū)域核心數(shù)據(jù)國家安全嚴(yán)重?fù)p害重要數(shù)據(jù)社會(huì)秩序、公共利益嚴(yán)重?fù)p害一般數(shù)據(jù)社會(huì)秩序、公共利益嚴(yán)重?fù)p害或一般損害全省(區(qū)、市)核心數(shù)據(jù)國家安全嚴(yán)重?fù)p害重要數(shù)據(jù)社會(huì)秩序、公共利益嚴(yán)重?fù)p害或一般損害一般數(shù)據(jù)社會(huì)秩序、公共利益一般損害機(jī)構(gòu)內(nèi)核心數(shù)據(jù)國家安全嚴(yán)重?fù)p害重要數(shù)據(jù)社會(huì)秩序、公共利益嚴(yán)重?fù)p害或一般損害一般數(shù)據(jù)公民、法人、其他組織一般損害3信息服務(wù)類全國核心數(shù)據(jù)國家安全嚴(yán)重?fù)p害重要數(shù)據(jù)社會(huì)秩序、公共利益特別嚴(yán)重?fù)p害或嚴(yán)重?fù)p害一般數(shù)據(jù)社會(huì)秩序、公共利益嚴(yán)重?fù)p害或一般損害區(qū)域核心數(shù)據(jù)國家安全嚴(yán)重?fù)p害重要數(shù)據(jù)社會(huì)秩序、公共利益嚴(yán)重?fù)p害一般數(shù)據(jù)社會(huì)秩序、公共利益嚴(yán)重?fù)p害或一般損害全省(區(qū)、市)核心數(shù)據(jù)國家安全嚴(yán)重?fù)p害重要數(shù)據(jù)社會(huì)秩序、公共利益嚴(yán)重?fù)p害或一般損害一般數(shù)據(jù)社會(huì)秩序、公共利益嚴(yán)重?fù)p害或一般損害機(jī)構(gòu)內(nèi)核心數(shù)據(jù)國家安全嚴(yán)重?fù)p害重要數(shù)據(jù)社會(huì)秩序、公共利益嚴(yán)重?fù)p害或一般損害一般數(shù)據(jù)公民、法人、其他組織一般損害4基礎(chǔ)支撐類全國核心數(shù)據(jù)國家安全嚴(yán)重?fù)p害重要數(shù)據(jù)社會(huì)秩序、公共利益特別嚴(yán)重?fù)p害或嚴(yán)重?fù)p害一般數(shù)據(jù)社會(huì)秩序、公共利益嚴(yán)重?fù)p害或一般損害區(qū)域核心數(shù)據(jù)國家安全嚴(yán)重?fù)p害表3 業(yè)務(wù)信息安全二級(jí)要素與一級(jí)要素的對(duì)應(yīng)關(guān)系(續(xù))序號(hào)二級(jí)要素一級(jí)要素類別影響范圍承載數(shù)據(jù)可能的受侵害的客體對(duì)客體可能的侵害程度4基礎(chǔ)支撐類區(qū)域重要數(shù)據(jù)社會(huì)秩序、公共利益嚴(yán)重?fù)p害一般數(shù)據(jù)社會(huì)秩序、公共利益嚴(yán)重?fù)p害或一般損害全省(區(qū)、市)核心數(shù)據(jù)國家安全嚴(yán)重?fù)p害重要數(shù)據(jù)社會(huì)秩序、公共利益嚴(yán)重?fù)p害或一般損害一般數(shù)據(jù)社會(huì)秩序、公共利益一般損害機(jī)構(gòu)內(nèi)核心數(shù)據(jù)國家安全嚴(yán)重?fù)p害重要數(shù)據(jù)社會(huì)秩序、公共利益嚴(yán)重?fù)p害或一般損害一般數(shù)據(jù)公民、法人、其他組織一般損害表4 系統(tǒng)服務(wù)安全二級(jí)要素與一級(jí)要素的對(duì)應(yīng)關(guān)系序號(hào)二級(jí)要素一級(jí)要素類別影響范圍業(yè)務(wù)依賴程度可能的受侵害的客體對(duì)客體可能的侵害程度1行政辦公類全國高社會(huì)秩序、公共利益嚴(yán)重?fù)p害公民、法人、其他組織特別嚴(yán)重?fù)p害中社會(huì)秩序、公共利益嚴(yán)重?fù)p害或一般損害公民、法人、其他組織嚴(yán)重?fù)p害或一般損害低社會(huì)秩序、公共利益一般損害公民、法人、其他組織一般損害區(qū)域高公民、法人、其他組織特別嚴(yán)重?fù)p害中公民、法人、其他組織嚴(yán)重?fù)p害或一般損害低公民、法人、其他組織一般損害全省(區(qū)、市)高公民、法人、其他組織嚴(yán)重?fù)p害中公民、法人、其他組織嚴(yán)重?fù)p害或一般損害低公民、法人、其他組織一般損害機(jī)構(gòu)內(nèi)高公民、法人、其他組織嚴(yán)重?fù)p害中公民、法人、其他組織嚴(yán)重?fù)p害或一般損害低公民、法人、其他組織一般損害2運(yùn)行控制類全國高國家安全嚴(yán)重?fù)p害社會(huì)秩序、公共利益特別嚴(yán)重?fù)p害中國家安全嚴(yán)重?fù)p害社會(huì)秩序、公共利益嚴(yán)重?fù)p害低國家安全一般損害社會(huì)秩序、公共利益一般損害表4 系統(tǒng)服務(wù)安全二級(jí)要素與一級(jí)要素的對(duì)應(yīng)關(guān)系(續(xù))序號(hào)二級(jí)要素一級(jí)要素類別影響范圍業(yè)務(wù)依賴程度可能的受侵害的客體對(duì)客體可能的侵害程度2運(yùn)行控制類區(qū)域高社會(huì)秩序、公共利益特別嚴(yán)重?fù)p害中社會(huì)秩序、公共利益嚴(yán)重?fù)p害低社會(huì)秩序、公共利益嚴(yán)重?fù)p害或一般損害全省(區(qū)、市)高社會(huì)秩序、公共利益嚴(yán)重?fù)p害中社會(huì)秩序、公共利益嚴(yán)重?fù)p害或一般損害低社會(huì)秩序、公共利益一般損害機(jī)構(gòu)內(nèi)高公民、法人、其他組織特別嚴(yán)重?fù)p害中公民、法人、其他組織嚴(yán)重?fù)p害低公民、法人、其他組織一般損害3信息服務(wù)類全國高社會(huì)秩序、公共利益嚴(yán)重?fù)p害或特別嚴(yán)重?fù)p害中社會(huì)秩序、公共利益嚴(yán)重?fù)p害低社會(huì)秩序、公共利益一般損害區(qū)域高社會(huì)秩序、公共利益嚴(yán)重?fù)p害中社會(huì)秩序、公共利益嚴(yán)重?fù)p害或一般損害低社會(huì)秩序、公共利益一般損害全省(區(qū)、市)高社會(huì)秩序、公共利益嚴(yán)重?fù)p害中社會(huì)秩序、公共利益嚴(yán)重?fù)p害或一般損害低社會(huì)秩序、公共利益一般損害機(jī)構(gòu)內(nèi)高公民、法人、其他組織特別嚴(yán)重?fù)p害中公民、法人、其他組織嚴(yán)重?fù)p害低公民、法人、其他組織一般損害4基礎(chǔ)支撐類全國高國家安全嚴(yán)重?fù)p害社會(huì)秩序、公共利益特別嚴(yán)重?fù)p害中國家安全嚴(yán)重?fù)p害社會(huì)秩序、公共利益嚴(yán)重?fù)p害低國家安全一般損害社會(huì)秩序、公共利益一般損害區(qū)域高社會(huì)秩序、公共利益特別嚴(yán)重?fù)p害中社會(huì)秩序、公共利益嚴(yán)重?fù)p害低社會(huì)秩序、公共利益一般損害全省(區(qū)、市)高社會(huì)秩序、公共利益特別嚴(yán)重?fù)p害中社會(huì)秩序、公共利益嚴(yán)重?fù)p害低社會(huì)秩序、公共利益一般損害PAGEPAGE13PAGEPAGE12表4 系統(tǒng)服務(wù)安全二級(jí)要素與一級(jí)要素的對(duì)應(yīng)關(guān)系(續(xù))序號(hào)二級(jí)要素一級(jí)要素類別影響范圍業(yè)務(wù)依賴程度可能的受侵害的客體對(duì)客體可能的侵害程度4基礎(chǔ)支撐類機(jī)構(gòu)內(nèi)高公民、法人、其他組織特別嚴(yán)重?fù)p害中公民、法人、其他組織嚴(yán)重?fù)p害低公民、法人、其他組織一般損害6342 當(dāng)無法使用二級(jí)要素確定受侵害的客體及對(duì)客體的侵害程度時(shí),可根據(jù)定級(jí)對(duì)象所處理的信息種類和系統(tǒng)服務(wù)特點(diǎn),由對(duì)不同侵害結(jié)果的侵害程度進(jìn)行綜合評(píng)定得出。64 確定業(yè)務(wù)信息安全保護(hù)等級(jí)根據(jù)業(yè)務(wù)信息安全被破壞時(shí)所侵害的客體,以及對(duì)相應(yīng)客體的侵害程度確定業(yè)務(wù)信息安全保護(hù)等級(jí),業(yè)務(wù)信息安全與安全保護(hù)等級(jí)的關(guān)系符合表5的規(guī)定。表5 業(yè)務(wù)信息安全與安全保護(hù)等級(jí)的關(guān)系業(yè)務(wù)信息安全被破壞時(shí)所侵害的客體對(duì)相應(yīng)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級(jí)第二級(jí)第二級(jí)社會(huì)秩序、公共利益第二級(jí)第三級(jí)第四級(jí)國家安全第三級(jí)第四級(jí)第五級(jí)來源:GB/T22240—2020,64]65 確定系統(tǒng)服務(wù)安全保護(hù)等級(jí)根據(jù)系統(tǒng)服務(wù)安全被破壞時(shí)所侵害的客體,以及對(duì)相應(yīng)客體的侵害程度確定系統(tǒng)服務(wù)安全保護(hù)等級(jí),系統(tǒng)服務(wù)安全與安全保護(hù)等級(jí)的關(guān)系符合表6的規(guī)定。表6 系統(tǒng)服務(wù)安全保護(hù)等級(jí)矩陣表系統(tǒng)服務(wù)安全受破壞時(shí)所侵害的客體對(duì)相應(yīng)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級(jí)第二級(jí)第二級(jí)社會(huì)秩序、公共利益第二級(jí)第三級(jí)第四級(jí)國家安全第三級(jí)第四級(jí)第五級(jí)來源:GB/T22240—2020,64]66 綜合判定等級(jí)定級(jí)對(duì)象的安全保護(hù)等級(jí)由業(yè)務(wù)信息安全保護(hù)等級(jí)和系統(tǒng)服務(wù)安全保護(hù)等級(jí)中較高者決定。附錄A給出了某省聯(lián)網(wǎng)收費(fèi)結(jié)算管理系統(tǒng)安全等級(jí)保護(hù)定級(jí)示例。確定安全保護(hù)等級(jí)安全保護(hù)等級(jí)初步確定為第二級(jí)及以上的,定級(jí)對(duì)象的網(wǎng)絡(luò)運(yùn)營者在編制網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)報(bào)告(見附錄B)后,組織專家評(píng)審會(huì)對(duì)定級(jí)結(jié)果的合理性進(jìn)行評(píng)審,并出具評(píng)審意見。評(píng)審?fù)ㄟ^后,定級(jí)對(duì)象的網(wǎng)絡(luò)運(yùn)營者將定級(jí)結(jié)果報(bào)請(qǐng)交通運(yùn)輸行業(yè)主管(監(jiān)管)部門核準(zhǔn),并取得核準(zhǔn)意見。網(wǎng)絡(luò)運(yùn)營者按照相關(guān)管理規(guī)定,將定級(jí)結(jié)果提交公安機(jī)關(guān)進(jìn)行備案審核。審核不通過的,其網(wǎng)絡(luò)運(yùn)營者需組織重新定級(jí);審核通過后的,最終確定定級(jí)對(duì)象的安全保護(hù)等級(jí)。對(duì)于通信網(wǎng)絡(luò)設(shè)施、云計(jì)算平臺(tái)/系統(tǒng)等定級(jí)對(duì)象,需根據(jù)其承載或?qū)⒁休d的等級(jí)保護(hù)對(duì)象的重要程度確定其安全保護(hù)等級(jí),且不低于其承載的等級(jí)保護(hù)對(duì)象的安全保護(hù)等級(jí)。全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行網(wǎng)絡(luò),由部級(jí)網(wǎng)絡(luò)(全國中心系統(tǒng))主管單位統(tǒng)一確定相關(guān)定級(jí)對(duì)象的安全保護(hù)等級(jí)。對(duì)于數(shù)據(jù)資源,綜合考慮其規(guī)模、價(jià)值等因素,及其遭到破壞后對(duì)國家安全、社會(huì)秩序、公共利益,以及公民、法人和其他組織的合法權(quán)益的侵害程度確定其安全保護(hù)等級(jí)。涉及大量公民個(gè)人信息、為公民提供公共服務(wù)的大數(shù)據(jù)平臺(tái)/系統(tǒng),以及處理重要數(shù)據(jù)的系統(tǒng),其安全保護(hù)等級(jí)不低于第三級(jí)。來源:GB/T22240—2020,7章,有修改]等級(jí)變更當(dāng)交通運(yùn)輸行業(yè)等級(jí)保護(hù)對(duì)象發(fā)生服務(wù)范圍、服務(wù)對(duì)象等重大變更并可能影響安全保護(hù)等級(jí),導(dǎo)致業(yè)務(wù)信息安全或系統(tǒng)服務(wù)安全的一級(jí)要素或者二級(jí)要素發(fā)生變化時(shí),需根據(jù)本文件重新確定定級(jí)對(duì)象和安全保護(hù)等級(jí)。附 錄 (資料性)某省聯(lián)網(wǎng)收費(fèi)結(jié)算管理系統(tǒng)定級(jí)示例A1 定級(jí)對(duì)象描述某省申請(qǐng)定級(jí)系統(tǒng)為聯(lián)網(wǎng)收費(fèi)結(jié)算管理中心系統(tǒng),主要包括清分拆分結(jié)算子系