【JT交通运输标准】 交通运输行业信息系统安全等级保护定级指南

ICS35.040
备案号：
中华人民共和国交通运输行业标准JT/T904—2014
交通运输行业信息系统安全等级保护定级指南
Classification guide for security classified protection oftransportationinformation system2014-04-15发布
中华人民共和国交通运输部
2014-09-01实施
规范性引用文件
术语和定义
定级原理
信息系统安全保护等级
信息系统安全保护等级的定级要素定级方法
定级的基本流程
确定定级对象
确定一级要素
确定二级要素
确定业务信息安全保护等级
确定系统服务安全保护等级
确定信息系统安全保护等级
等级变更
附录A（资料性附录）某省级办公自动化（OA）系统安全等级保护定级示例JT/T904—2014
JT/T904—2014
本标准按照GB/T1.1—2009给出的规则起草。本标准由交通运输部科技司提出。本标准由交通运输部信息通信及导航标准化技术委员会归口。本标准起草单位：中国交通通信信息中心。本标准主要起草人：李璐瑶、戴明、武俊峰、成瑾、沈兵、肖榕、刘佳、康小勇、樊娜。Ⅱ
1范围
JT/T904-2014
交通运输行业信息系统安全等级保护定级指南本标准规定了交通运输行业信息系统安全等级保护的定级原理、方法和等级变更等内容。本标准适用于交通运输行业非涉密信息系统的等级保护定级工作。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T5271.8
GB17859
GB/T22240
3术语和定义
信息技术词汇第8部分：安全
计算机信息系统安全保护等级划分准则信息安全技术信息系统安全等级保护定级指南GB/T5271.8，GB17859和GB/T22240确立的以及下列术语和定义适用于本文件。为了便于使用，以下重复列出了GB/T22240中的一些术语和定义。3.1
等级保护对象targetofclassifiedsecurity信息安全等级保护工作直接作用的具体的信息和信息系统。[GB/T22240—2008，定义3.1]
客体object
受法律保护的、等级保护对象受到破坏时所侵害的社会关系，如国家安全、社会秩序、公共利益以及公民、法人或其他组织的合法权益。［GB/T22240—2008，定义3.2]
客观方面objective
对客体造成侵害的客观外在表现，包括侵害方式和侵害结果等。[GB/T22240—2008，定义3.3］
系统服务systemservice
信息系统为支撑其所承载业务而提供的程序化过程。[GB/T22240—2008，定义3.4]］3.5
业务信息businessinformation
信息系统经过程序化过程生产得出的数据信息或正常运行所需的支撑性数据信息。1
JT/T904—2014
交通运输行业信息系统transportationinformationsystem由硬件、软件、信息资源、信息用户和规章制度组成，支撑交通运输行业采集（或获取）、处理、存储、传输、分配和检索信息的人机一体化系统。3.7
定级要素classificationfactor确定信息系统安全保护等级的主要依据，包括一级要素和二级要素。3.8
业务依赖程度degreeof dependenceon information system以信息系统替代传统人工作业处理行政办公、业务管理及支撑服务的程度。3.9
承载信息类别 security category of information carried根据信息系统所承载行政办公、业务管理、支撑服务信息的安全特征划分的类别。3.10
系统服务范围rangeof system services信息系统承载信息和功能服务的主体用户或主体用户群的分布状况。4定级原理
信息系统安全保护等级
交通运输行业信息系统安全保护等级分为以下五级：a）第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益；第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对b)
社会秩序和公共利益造成损害，但不损害国家安全：第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害；
第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害；
第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。4.2信息系统安全保护等级的定级要素4.2.1定级要素的分级
根据交通运输行业信息系统业务信息和系统服务特征，定级要素分为一级要素和二级要素。4.2.2一级要素
4.2.2.1关键因素
用来直接判定信息系统安全保护等级的因素，包括信息系统被破坏时所侵害的客体及对相应客体侵害的程度。
4.2.2.2等级保护对象受到破坏时所侵害的客体等级保护对象受到破坏时所侵害的客体包括以下三个方面：2
公民、法人和其他组织的合法权益；a)
b）社会秩序、公共利益；
c）国家安全。
4.2.2.3等级保护对象受到破坏后对客体的侵害程度JT/T904—2014
对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的，因此，对客体的侵害外在表现为对等级保护对象的破坏，通过危害方式、危害后果和危害程度加以描述。
等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种：a）一般损害；
b）严重损害；
特别严重损害。
一级要素与信息系统安全保护等级的关系级要素与信息系统安全保护等级的关系如表1所示。表1一级要素与信息系统安全保护等级的关系对客体的侵害程度
受侵害的客体
一般损害
公民、法人和其他组织的合法权益社会秩序、公共利益
国家安全
4.2.3二级要素
第一级
第二级
第三级
严重损害
第二级
第三级
第四级
特别严重损害
第二级
第四级
第五级
二级要素用于辅助确定一级要素。根据信息系统服务对象、功能、范围及效用等特征，分为信息系统类别、承载信息类别、系统服务范围和业务依赖程度四类要素。5定级方法
5.1定级的基本流程
信息系统安全包括业务信息安全和系统服务安全，与之相关的受侵害客体和对客体的侵害程度可能不同，因此，信息系统定级也应由业务信息安全和系统服务安全两方面确定。从业务信息安全角度反映的信息系统安全保护等级称为业务信息安全保护等级。从系统服务安全角度反映的信息系统安全保护等级称为系统服务安全保护等级。信息系统的安全保护等级通过定级对象、定级要素、信息系统受到破坏时所侵害的客体和受到破坏时对客体的侵害程度等因素确定。定级的基本流程如下：
a）确定定级对象，作为定级对象应具有唯一的安全责任单位，具有信息系统的基本要素，承载单一或相对独立的业务；
JT/T904—2014
确定一级要素，根据交通运输行业行政管理及公共服务职能，信息系统受到破坏时所侵害的客体具体表现及对客体的侵害行为的外在表现，确定受到破坏时所受侵害的客体和对客体的侵害程度；
确定二级要素，在无法确定定级对象一级要素时，可先根据信息系统自身固有的特征确定二c
级要素，再通过二级要素辅助推导出一级要素：d)
确定业务信息安全保护等级，从信息系统业务信息安全受到破坏时所受侵害的客体和对客体的侵害程度，综合判定信息系统业务信息安全保护等级；确定系统服务安全保护等级，从信息系统系统服务安全受到破坏时所受侵害的客体和对客体的侵害程度，综合判定信息系统系统服务安全保护等级：将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护f）
等级。
信息系统安全等级保护定级基本流程如图1所示。确定定级对象
直接确定
一级要素
确定业务信息安全受到破坏时
所侵害的客体
综合评定对客体的
侵害程度
业务信息安全等级
定级对象的安全
保护等级
不可以
通过二级要素辅助确定
一级要素判定等级
确定系统服务安全受到破坏时
所侵害的客体
综合评定对客体的
侵害程度
系统服务安全等级
图1交通运输行业信息系统安全等级保护定级基本流程5.2确定定级对象
梳理并确定应定级的信息系统，对比较庞大的信息系统，可将其划分为若干较小的、可能具有不同安全保护等级的定级对象。
定级对象的基本特征包括：
JT/T904—2014
a）具有唯一确定的安全责任单位。作为定级对象的信息系统应能够唯一地确定其安全责任单位。
1）如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任，则这个下级单位可以成为信息系统的安全责任单位：如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任，则该信息系统2）
的安全责任单位应是这些下级单位共同所属的单位；如果一个跨不同地域运行的分布式信息系统，存在不同的安全责任单位，则根据不同地3）
域划分出不同的信息系统。
具有信息系统的基本要素。作为定级对象的信息系统应该是由相关的和配套的设备、设施按b)
照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件，如服务器、终端、网络设备等作为定级对象。承载单一或相对独立的业务应用。c）
1）定级对象承载“单一”的业务应用是指该业务应用的业务流程独立，与其他业务应用没有数据交换，且独享所有信息处理设备：2）
定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立，同时与其他业务应用有少量的数据交换，定级对象可能会与其他信息系统共享一些设备，尤其是网络传输设备。
5.3确定一级要素
5.3.1确定所侵害的客体
5.3.1.1侵害国家安全的事项
判断行业信息系统受到损害后是否侵害到国家安全，主要基于信息系统及其承载信息是否涉及重要国家事务处理、国防工业生产及国防设施控制，受到非法控制后是否会影响国家统一、民族团结和社会稳定，是否影响国家安全保卫工作、涉及尖端科技研究及生产，是否影响涉及国家安全的交通运输基础设施生产、控制、管理等。
侵害国家安全的事项包括以下方面：影响国家政权稳固和国防实力：a)
影响国家统一、民族团结和社会安定；影响国家对外活动中的政治、经济利益；c)
影响国家重要的安全保卫工作：d)
影响国家经济竞争力和科技实力；e)
其他影响国家安全的事项。
5.3.1.2影响社会秩序、公共利益的事项判断行业信息系统受到损害后是否侵害到公共利益、社会秩序，主要基于信息系统是否支撑行业主管单位宏观调控、市场监管、社会管理和公共服务的职能，是否支撑交通运输领域的公共设施管理和服务工作，是否支撑交通运输领域提供面向社会公众的生产和运营业务。侵害社会秩序、公共利益的事项包括以下方面：a）影响国家机关宏观调控、市场监管、社会管理和公共服务的工作秩序；b）影响各种类型的经济活动秩序：5
JT/T904—2014
影响行业的科研、生产秩序；
影响社会成员使用公共设施：
影响社会成员获取公开信息资源：f
影响社会成员接受公共服务；
影响行业企事业单位或社会公众合法权益的获得：g）
影响公众在法律约束和道德规范下的正常生活秩序等：其他影响社会秩序、公共利益的事项。i）
5.3.1.3影响公民、法人和其他组织的合法权益的事项判断行业信息系统受到损害后是否侵害到公民、法人和其他组织的合法权益，主要基于信息系统及其承载信息是否向公民、法人和其他组织提供服务。5.3.2确定对客体的侵害程度
5.3.2.1判别基准
在针对不同的受侵害客体进行侵害程度的判断时，参照以下不同的判别基准如果受侵害客体是社会秩序、公共利益或国家安全，则应以整个行业或国家的总体利益作为a
判断侵害程度的基准；
如果受侵害客体是公民、从业人员、法人或经营业户的合法权益，则以本人或本单位的总体利b）
益作为判断侵害程度的基准。
5.3.2.2侵害的客观方面
在客观方面，对客体的侵害外在表现为对定级对象的破坏，其危害方式表现为对业务信息安全的破坏和对信息系统服务的破坏，其中业务信息安全是指确保信息系统内信息的保密性、完整性和可用性等，系统服务安全是指确保信息系统可以及时、有效地提供服务，以完成预定的业务目标。由于业务信息安全和系统服务安全受到破坏所侵害的客体和对客体的侵害程度可能会有所不同，在定级过程中，需要分别处理这两种危害方式。
根据交通运输行业行政管理、公共服务职能和企业生产、经营活动特征，业务信息安全和系统服务安全受到破坏后，可能产生以下部分或全部危害后果：a）影响交通通行能力及服务能力；b)
影响交通运输行业相关企业正常生产、经营和管理活动：c）
影响交通运输相关企业、法人、从业者的合法利益：影响各级交通运输管理部门正常履行管理、服务职能；d)
引起法律纠纷；
导致财产损失；
造成社会不良影响；
对其他组织和个人造成损害：
其他影响。
5.3.2.3综合判断侵害程度
交通运输行业信息系统被破坏时所侵害的客体及对相应客体侵害的程度关系如表2所示。6
表2交通运输行业信息系统侵害程度与影响对象的关系影响对象
使交通运输行业管理
服务工作职能受到局部
使交通运输行业管理、
服务工作职能受到严重
使交通运输行业管理、
服务职能受到特别严重影
响或丧失行使职能能力
5.4确定二级要素
5.4.1信息系统类别
交通通行能力及服务能
力，交通运输企业正常经
营能力有所降低但不影响
主要业务执行
交通通行能力及服务能
力，交通运输企业正常经
营能力显著下降且严重影
响主要业务执行
交通通行能力及服务能
力，交通运输企业正常经
营能力等严重下降且主要
业务无法执行
出现较轻
的法律问题
出现较严
重的法律问
出现极其
严重的法律
造成较低
的财产损失
造成较高
的财产损失
造成极高
的财产损失
造成有限
的社会不良
造成较大
范围的社会
不良影响
造成大范
围的社会不
良影响
信息系统类别主要分为四类：业务管理、行政办公、综合平台和基础支撑：JT/T904—2014
其他组织
和个人
对其他组
织和个人造
成较低损害
对其他组
织和个人造
成较严重损
对其他组
织和个人造
成非常严重
业务管理类信息系统主要指支撑交通运输管理部门和企事业单位履行设计、生产、运营、维护、管理以及提供公共服务等职能的信息系统；行政办公类信息系统主要指支撑各级交通运输管理部门和企事业单位为了维持自身组织活动以及进行内部管理事务而建设的信息系统；综合平台类信息系统主要指在交通运输各主要信息系统之上建立的具备可支撑多业务协同或并行工作等特征的信息系统：
基础支撑类信息系统主要指能够支撑多个信息系统实现计算，操作或通信等功能所依赖的系统运行环境。
5.4.2承载信息类别
承载信息根据其安全特征，主要分为三类：涉及国家安全的信息、重要信息和一般信息。5.4.3系统服务范围
系统服务范围主要分为四类：全国、区域、省域和机构内。注：系统服务范围为地市级的信息系统，参考省域分类开展定级工作。5.4.4业务依赖程度
业务依赖程度主要分为三类：人工可替代、人工可部分替代、人工不可替代。7
JT/T904—2014
5.5确定业务信息安全保护等级
根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度确定业务信息安全保护5.5.1
等级，业务信息安全与安全保护等级的关系如表3所示。表3业务信息安全与安全保护等级的关系业务信息安全被破坏时所侵害的客体公民、法人和其他组织的合法权益社会秩序、公共利益
国家安全
一般损害
第一级
第二级
第三级
对相应客体的侵害程度
严重损害
第二级
第三级
第四级
特别严重损害
第二级
第四级
第五级
5.5.2如不能准确判定业务信息安全一级要素，可依据二级要素辅助判定。业务信息安全二级要素与一级要素映射关系如表4所示。表4业务信息安全二级要素与一级要素映射关系序号
信息系统类别
业务管理类
行政办公类
二级要素
系统服务范围
承载信息类别
涉及国家安全的信息
机构内
重要信息
一般信息
涉及国家安全的信息
重要信息
一般信息
涉及国家安全的信息
重要信息
一般信息
涉及国家安全的信息
重要信息
一般信息
涉及国家安全的信息
重要信息
一般信息
涉及国家安全的信息
重要信息
一般信息
涉及国家安全的信息
重要信息
一般信息
侵害的客体
国家安全
社会秩序、公共利益
社会秩序、公共利益
国家安全
社会秩序、公共利益
社会秩序、公共利益
国家安全
社会秩序、公共利益
社会秩序、公共利益
国家安全
社会秩序、公共利益
级要素
侵害程度
严重损害
严重损害或特别严重损害
一般损害
严重损害
严重损害或特别严重损害
-般损害
般损害
严重损害
一般损害
般损害
-般损害
公民、法人、其他组织
国家安全
社会秩序、公共利益
社会秩序、公共利益
国家安全
社会秩序、公共利益
社会秩序、公共利益
国家安全
社会秩序、公共利益
社会秩序、公共利益
一般损害
严重损害
严重损害或特别严重损害
-般损害
般损害
严重损害或特别严重损害
般损害
一般损害
严重损害
一般损害
信息系统类别
行政办公类
综合平台类
基础支撑类
二级要素
系统服务范围
表4（续）
承载信息类别
涉及国家安全的信息
机构内
机构内
重要信息
般信息
涉及国家安全的信息
重要信息
一般信息
涉及国家安全的信息Www.bzxZ.net
重要信息
一般信息
涉及国家安全的信息
重要信息
一般信息
涉及国家安全的信息
重要信息
一般信息
涉及国家安全的信息
重要信息
一般信息
涉及国家安全的信息
重要信息
一般信息
涉及国家安全的信息
重要信息
一般信息
侵害的客体
国家安全
JT/T9042014
级要素
侵害程度
一般损害
社会秩序、公共利益
公民、法人、其他组织
国家安全
社会秩序、公共利益
社会秩序、公共利益
国家安全
社会秩序、公共利益
社会秩序、公共利益
国家安全
社会秩序、公共利益
社会秩序、公共利益
国家安全
社会秩序、公共利益
社会秩序、公共利益
国家安全
社会秩序、公共利益
社会秩序、公共利益
国家安全
社会秩序、公共利益
社会秩序、公共利益
国家安全
社会秩序、公共利益
公民、法人、其他组织
一般损害
-般损害
严重损害
严重损害或特别严重损害
-般损害
严重损害
严重损害或特别严重损害
一般损害
一般损害
严重损害
一般损害
严重损害
严重损害或特别严重损害
一般损害
严重损害
严重损害或特别严重损害
-般损害
一般损害
严重损害
一般损害
一般损害
一般损害
-般损害
二级要素辅助判定业务信息安全相关的一级要素后，依据表3业务信息安全与安全保护等级5.5.3
的关系，判定业务信息安全保护等级。5.6确定系统服务安全保护等级
5.6.1根据系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度确定系统服务安全保护等级，系统服务安全与安全保护等级的关系如表5所示。5.6.2如不能准确判定系统服务安全一级要素，可依据二级要素辅助判定一级要素。系统服务安全二级要素与一级要素映射关系如表6所示。9
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。