ICS 35.020 L 07 MH 中华人民共和国民用航空行业标准 MH/T 0074—2020 民用航空旅客服务信息系统信息安全保护 规范 Information security protect specification fo r passenger service information system of civil aviation 2020 - 07 - 20发布　　　　　　　　　　　　　　　　　　 2020 - 10-01实施 中国民用航空局 发布 MH/T 0074— 2020 I 前 言 本标准按照GB/T 1.1-2009《标准化工作导则 第1部分：标准的结构和编写》给出的规则起草。 本标准由中国民用航空局人事科教司提出。 本标准由中国民航科学技术研究院归口。 本标准起草单位：中国民航大学、北京首都国际机场股份有限公司、中国民用航空局空中交通管理 局。 本标准主要起草人：王静、周景贤、王勇、王双、张礼哲、顾兆军、杨锐、刘春波、唐屹、张立斌、 韩燕征、隋翯、刘超、吕宗平、陈宝刚。 MHMH/T 0074— 2020 1 民用航空旅客服务信息系统信息安全保护规范 1 范围 本标准规定了民用航空（以下简称民航）旅客服务信息系统需要满足的相关信息安全技术要求和管 理要求。 本标准适用于民航旅客服务信息系统的规划、设计、开发、运行及维护等各个阶段。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。 凡是注日期的引用文件， 仅注日期的版本适用于本文件。 凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求 GB/T 35273 信息安全技术 个人信息安全规范 3 术语和定义 下列术语和定义适用于本标准。 3.1 民航旅客服务信息系统 passenger service information system of civil aviation 在旅客计划行程、预定采购机票、飞行与到达全程各个阶段，需要采集旅客信息，或需要根据旅客 信息为其主体提供服务的相关信息系统。 系统范围包括中国民航信息网络股份有限公司的民航旅客服务信息系统，各代理人相关售票与客户管理系统，各航空公司旅客服务相关信息系统，各机场值机、离港与行李管理信息系统，以及其他各种与民航旅客行程服务相关的信息系统。 3.2 旅客信息 passenger information 民航旅客服务相关机构为旅客提供信息服务过程中收集或产生的旅客相关信息，包括：个人身份、 地址、联系方式、机票交易、民航增值服务交易等信息。 3.3 运营者 operator 运营者负责民航旅客服务信息系统的运行、管理，对本单位旅客服务信息系统安全负有主体责任。 4 总体安全要求 MHMH/T 0074— 2020 2 民航旅客服务信息系统安全保护等级应不低于第二级，网络安全保护应符合GB/T 22239-2019 相应 等级安全要求。 民航旅客服务信息系统对旅客信息的保护应符合《中华人民共和国网络安全法》和 GB/T 35273 相 关要求。 5 安全管理 5.1 运营者应梳理旅客服务信息系统业务链，建立业务链相关的网络、系统、数据和资产清单。 5.2 旅客服务信息系统发生改建、扩建等重大变化时，运营者应当更新网络、系统和资产清单。 5.3 运营者新建或改建、扩建旅客服务信息系统时，应充分考虑网络安全因素，实现安全技术措施同 步规划、同步建设、同步使用。 5.4 运营者应建立旅客服务信息系统安全责任制，明确相关安全责任人，各类人员的安全角色和安全 职责。 5.5 运营者应建立适合本单位的旅客服务信息系统网络安全计划，明确旅客服务信息系统安全保护工 作的目标、安全策略、组织架构、管理制度、实施细则及资源保障等，形成文档并经审批后发布至相关 人员。网络安全计划应定期修订。 6 安全防护 6.1 运营者应采取数据交换安全措施控制民航旅客服务信息系统与其他系统之间的数据交换。运营者 应根据旅客服务信息系统承载业务的重要性，对旅客服务信息系统实施分区分域管理，部署边界防护措 施 。 6.2 运营者应建立计算机病毒和网络入侵防范机制，严格限制未授权的软硬件设备接入和安装。 6.3 运营者应对远程运维的行为进行严格的控制和审计，相关的系统网络日志留存不少于 6 个月。日 志内容应至少包括：事件的日期和时间、类型、主体、客体、结果等信息。 6.4 运营者应对旅客服务信息系统和数据库进行备份，制定备份策略，规定备份频率，并定期执行， 确保旅客服务信息系统一旦被破坏，可及时进行恢复和补救。 6.5 运营者采购用于旅客服务信息系统相关的网络产品和服务，尤其是网络关键设备、网络安全专用 产品，应符合法律、行政法规的规定和相关国家标准的强制性要求。 6.6 运营者应提供人员和资金保障，自行或者委托网络安全服务机构对旅客服务信息系统安全性和可 能存在的风险定期检测评估，并及时整改发现的问题。检测评估内容包括但不限于网络安全制度落实情 况、组织机构建设情况、人员和经费投入情况、教育培训情况、技术防护情况、风险评估情况、应急演练情况、网络安全等级保护工作落实情况等。 6.7 运营者应制定本单位的旅客服务信息系统网络安全应急预案。应急预案应包括启动应急预案的条 件、应急处理流程、系统恢复流程、事件报告流程、事后教育和培训等内容。应对旅客服务信息系统网 络安全应急预案定期进行评估修订，每年至少组织 1 次应急演练。 7 旅客信息安全