MH-T 0074-2020民用航空旅客服務信息系統(tǒng)信息安全保護規(guī)范

ICS35.020

L07

MH

中華人民共和國民用航空行業(yè)標準

MH/T0074—2020

民用航空旅客服務信息系統(tǒng)信息安全保護

規(guī)范

Informationsecurityprotectspecificationforpassengerserviceinformationsystemof

civilaviation

2020-07-20發(fā)布2020-10-01實施

中國民用航空局發(fā)布

MH/T0074—2020

民用航空旅客服務信息系統(tǒng)信息安全保護規(guī)范

1范圍

本標準規(guī)定了民用航空（以下簡稱民航）旅客服務信息系統(tǒng)需要滿足的相關信息安全技術要求和管

理要求。

本標準適用于民航旅客服務信息系統(tǒng)的規(guī)劃、設計、開發(fā)、運行及維護等各個階段。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T22239-2019信息安全技術網(wǎng)絡安全等級保護基本要求

GB/T35273信息安全技術個人信息安全規(guī)范

3術語和定義

下列術語和定義適用于本標準。

3.1

民航旅客服務信息系統(tǒng)passengerserviceinformationsystemofcivilaviation

在旅客計劃行程、預定采購機票、飛行與到達全程各個階段，需要采集旅客信息，或需要根據(jù)旅客

信息為其主體提供服務的相關信息系統(tǒng)。系統(tǒng)范圍包括中國民航信息網(wǎng)絡股份有限公司的民航旅客服務

信息系統(tǒng)，各代理人相關售票與客戶管理系統(tǒng)，各航空公司旅客服務相關信息系統(tǒng)，各機場值機、離港

與行李管理信息系統(tǒng)，以及其他各種與民航旅客行程服務相關的信息系統(tǒng)。

3.2

旅客信息passengerinformation

民航旅客服務相關機構為旅客提供信息服務過程中收集或產生的旅客相關信息，包括：個人身份、MH

地址、聯(lián)系方式、機票交易、民航增值服務交易等信息。

3.3

運營者operator

運營者負責民航旅客服務信息系統(tǒng)的運行、管理，對本單位旅客服務信息系統(tǒng)安全負有主體責任。

4總體安全要求

1

MH/T0074—2020

民航旅客服務信息系統(tǒng)安全保護等級應不低于第二級，網(wǎng)絡安全保護應符合GB/T22239-2019相應

等級安全要求。

民航旅客服務信息系統(tǒng)對旅客信息的保護應符合《中華人民共和國網(wǎng)絡安全法》和GB/T35273相

關要求。

5安全管理

5.1運營者應梳理旅客服務信息系統(tǒng)業(yè)務鏈，建立業(yè)務鏈相關的網(wǎng)絡、系統(tǒng)、數(shù)據(jù)和資產清單。

5.2旅客服務信息系統(tǒng)發(fā)生改建、擴建等重大變化時，運營者應當更新網(wǎng)絡、系統(tǒng)和資產清單。

5.3運營者新建或改建、擴建旅客服務信息系統(tǒng)時，應充分考慮網(wǎng)絡安全因素，實現(xiàn)安全技術措施同

步規(guī)劃、同步建設、同步使用。

5.4運營者應建立旅客服務信息系統(tǒng)安全責任制，明確相關安全責任人，各類人員的安全角色和安全

職責。

5.5運營者應建立適合本單位的旅客服務信息系統(tǒng)網(wǎng)絡安全計劃，明確旅客服務信息系統(tǒng)安全保護工

作的目標、安全策略、組織架構、管理制度、實施細則及資源保障等，形成文檔并經(jīng)審批后發(fā)布至相關

人員。網(wǎng)絡安全計劃應定期修訂。

6安全防護

6.1運營者應采取數(shù)據(jù)交換安全措施控制民航旅客服務信息系統(tǒng)與其他系統(tǒng)之間的數(shù)據(jù)交換。運營者

應根據(jù)旅客服務信息系統(tǒng)承載業(yè)務的重要性，對旅客服務信息系統(tǒng)實施分區(qū)分域管理，部署邊界防護措

施。

6.2運營者應建立計算機病毒和網(wǎng)絡入侵防范機制，嚴格限制未授權的軟硬件設備接入和安裝。

6.3運營者應對遠程運維的行為進行嚴格的控制和審計，相關的系統(tǒng)網(wǎng)絡日志留存不少于6個月。日

志內容應至少包括：事件的日期和時間、類型、主體、客體、結果等信息。

6.4運營者應對旅客服務信息系統(tǒng)和數(shù)據(jù)庫進行備份，制定備份策略，規(guī)定備份頻率，并定期執(zhí)行，

確保旅客服務信息系統(tǒng)一旦被破壞，可及時進行恢復和補救。

6.5運營者采購用于旅客服務信息系統(tǒng)相關的網(wǎng)絡產品和服務，尤其是網(wǎng)絡關鍵設備、網(wǎng)絡安全專用

產品，應符合法律、行政法規(guī)的規(guī)定和相關國家標準的強制性要求。

6.6運營者應提供人員和資金保障，自行或者委托網(wǎng)絡安全服務機構對旅客服務信息系統(tǒng)安全性和可

能存在的風險定期檢測評估，并及時整改發(fā)現(xiàn)的問題。檢測評估內容包括但不限于網(wǎng)絡安全制度落實情

況、組織機構建設情況、人員和經(jīng)費投入情況、教育培訓情況、技術防護情況、風險評估情況、應急演

練情況、網(wǎng)絡安全等級保護工作落實情況等。

6.7運營者應制定本單位的旅客服務信息系統(tǒng)網(wǎng)絡安全應急預案。應急預案應包括啟動應急預案的條

件、應急處理流程、系統(tǒng)恢復流程、事件報告流程、事后教育和培訓等內容。應對旅客服務信息系統(tǒng)網(wǎng)

絡安全應急預案定期進行評估修訂，每年至少組織1次應急演練。

7旅客信息安全

2

MH/T0074—2020

7.1運營者收集旅客信息時，應制定旅客信息收集策略和采取相應控制機制，確保旅客信息收集最小

化，并且獲得旅客明示同意，保留旅客明示拒絕的權利。

7.2運營者收集旅客信息時，應明確告知旅客信息收集用途、適用范圍與時長，告知內容應足夠簡易

明確，確保旅客可以充分理解被收集信息與用途的相關性、適用范圍與時長的合理性。

7.3運營者應制定安全策略和采取技術手段，確保旅客信息在使用、傳輸和存儲各階段的安全性，防

止旅客信息泄露、非法越權使用。

7.4運營者應將在我國境內運營中收集和產生的旅客信息存儲在境內，并采取數(shù)據(jù)備份和加密認證等

技術措施和其他必要措施，防止信息泄露、毀損、丟失。

7.5運營者共享旅客信息應遵循旅客隱私保護協(xié)議和國家相關監(jiān)管要求，共享前應執(zhí)行旅客信息共享

影響評估，需要通過旅客信息共享協(xié)議建立恰當?shù)陌踩雷o責任框架和審計框架，確保旅客信息安全防

護措施能夠得到切實執(zhí)行。

MH_________________________________

3

MH/T0074—2020

前言

本標準按照GB/T1.1-2009《標準化工作導則第1部分：標準的結構和編寫》給出的規(guī)則起草。

本標準由中國民用航空局人事科教司提出。

本標準由中國民航科學技術研究院歸口。

本標準起草單位：中國民航大學、北京首都國際機場股份有限公司、中國民用航空局空中交通管理

局。

本標準主要起草人：王靜、周景賢、王勇、王雙、張禮哲、顧兆軍、楊銳、劉春波、唐屹、張立斌、

韓燕征、隋翯、劉超、呂宗平、陳寶剛。MH

I

MH/T0074—2020

民用航空旅客服務信息系統(tǒng)信息安全保護規(guī)范

1范圍

本標準規(guī)定了民用航空（以下簡稱民航）旅客服務信息系統(tǒng)需要滿足的相關信息安全技術要求和管

理要求。

本標準適用于民航旅客服務信息系統(tǒng)的規(guī)劃、設計、開發(fā)、運行及維護等各個階段。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T22239-2019信息安全技術網(wǎng)絡安全等級保護基本要求

GB/T35273信息安全技術個人信息安全規(guī)范

3術語和定義

下列術語和定義適用于本標準。

3.1

民航旅客服務信息系統(tǒng)passengerserviceinformationsystemofcivilaviation

在旅客計劃行程、預定采購機票、飛行與到達全程各個階段，需要采集旅客信息，或需要根據(jù)旅客

信息為其主體提供服務的相關信息系統(tǒng)。系統(tǒng)范圍包括中國民航信息網(wǎng)絡股份有限公司的民航旅客服務

信息系統(tǒng)，各代理人相關售票與客戶管理系統(tǒng)，各航空公司旅客服務相關信息系統(tǒng)，各機場值機、離港

與行李管理信息系統(tǒng)，以及其他各種與民航旅客行程服務相關的信息系統(tǒng)。

3.2

旅客信息passengerinformation

民航旅客服務相關機構為旅客提供信息服務過程中收集或產生的旅客相關信息，包括：個人身份、MH

地址、聯(lián)系方式、機票交易、民航增值服務交易等信息。

3.3

運營者operator

運營者負責民航旅客服務信息系統(tǒng)的運行、管理，對本單位旅客服務信息系統(tǒng)安全負有主體責任。

4總體安全要求

1

MH/T0074—2020

民航旅客服務信息系統(tǒng)安全保護等級應不低于第二級，網(wǎng)絡安全保護應符合GB/T22239-2019相應

等級安全要求。

民航旅客服務信息系統(tǒng)對旅客信息的保護應符合《中華人民共和國網(wǎng)絡安全法》和GB/T35273相

關要求。

5安全管理

5.1運營者應梳理旅客服務信息系統(tǒng)業(yè)務鏈，建立業(yè)務鏈相關的網(wǎng)絡、系統(tǒng)、數(shù)據(jù)和資產清單。

5.2旅客服務信息系統(tǒng)發(fā)生改建、擴建等重大變化時，運營者應當更新網(wǎng)絡、系統(tǒng)和資產清單。

5.3運營者新建或改建、擴建旅客服務信息系統(tǒng)時，應充分考慮網(wǎng)絡安全因素，實現(xiàn)安全技術措施同

步規(guī)劃、同步建設、同步使用。

5.4運營者應建立旅客服務信息系統(tǒng)安全責任制，明確相關安全責任人，各類人員的安全角色和安全

職責。

5.5運營者應建立適合本單位的旅客服務信息系統(tǒng)網(wǎng)絡安全計劃，明確旅客服務信息系統(tǒng)安全保護工

作的目標、安全策略、組織架構、管理制度、實施細則及資源保障等，形成文檔并經(jīng)審批后發(fā)布至相關

人員。網(wǎng)絡安全計劃應定期修訂。

6安全防護

6.1運營者應采取數(shù)據(jù)交換安全措施控制民航旅客服務信息系統(tǒng)與其他系統(tǒng)之間的數(shù)據(jù)交換。運營者

應根據(jù)旅客服務信息系統(tǒng)承載業(yè)務的重要性，對旅客服務信息系統(tǒng)實施分區(qū)分域管理，部署邊界防護措

施。

6.2運營者應建立計算機病毒和網(wǎng)絡入侵防范機制，嚴格限制未授權的軟硬件設備接入和安裝。

6.3運營者應對遠程運維的行為進行嚴格的控制和審計，相關的系統(tǒng)網(wǎng)絡日志留存不少于6個月。日

志內容應至少包括：事件的日期和時間、類型、主體、客體、結果等信息。

6.4運營者應對旅客服務信息系統(tǒng)和數(shù)據(jù)庫進行備份，制定備份策略，規(guī)定備份頻率，并定期執(zhí)行，

確保旅客服務信息系統(tǒng)一旦被破壞，可及時進行恢復和補救。

6.5運營者采購用于旅客服務信息系統(tǒng)相關的網(wǎng)絡產品和服務，尤其是網(wǎng)絡關鍵設備、網(wǎng)絡安全專用

產品，應符合法律、行政法規(guī)的規(guī)定和相關國家標準的強制性要求。

6.6運營者應提供人員和資金保障，自行或者委托網(wǎng)絡安全服務機構對旅客服務信息系統(tǒng)安全性和可

能存在的風險定期檢測評估，并及時整改發(fā)現(xiàn)的問題。檢測評估內容包括但不限于網(wǎng)絡安全制度落實情

況、組織機構建設情況、人員和經(jīng)費投入情況、教育培訓情況、技術防護情況、風險評估情況、應急演

練情況、網(wǎng)絡安全等級保護工作落實情況等。

6.7運營者應制定本單位的旅客服務信息系統(tǒng)網(wǎng)絡安全應急預案。應急預案應包括啟動應急預案的條

件、應急處理流程、系統(tǒng)恢復流程、事件報告流程、事后教育和培訓等內容。應對旅客服務信息系統(tǒng)網(wǎng)

絡安全應急預案定期進行評估修訂，每年至少組織