标准规范下载简介
MH/T 5057-2021 智慧民航数据治理规范数据安全.pdf简介:
MH/T 5057-2021《智慧民航数据治理规范》是中*民用航空局发布的关于智慧民航领域数据治理的标准之一。该规范重点关注的是在智慧民航的背景下,如何确保数据安全。数据安全在智慧民航中至关重要,因为民航行业的数据涉及航班信息、旅客信息、机场运营数据等敏感信息,一旦数据泄露或被滥用,可能会对航空安全、旅客隐私以及行业运营造成严重影响。
该规范从以下几个方面介绍了数据安全:
1. 法律法规遵从:强调数据治理应遵循**和行业的数据安全法律法规,如《网络安全法》等。
2. 风险评估:要求对数据安全风险进行定期评估,包括物理安全、网络安全、应用安全和数据安全等方面。
3. *限管理:规定了数据访问和使用的*限控制,确保只有授*人员才能访问相关数据。
4. 数据加密:强调对敏感数据进行加密处理,防止数据在传输和存储过程中被窃取。
5. 安全审计:实施数据安全审计,监控和记录数据操作,以便于追踪和响应安全事件。
6. 应急响应:制定数据安全事件的应急响应策略,以最小化数据泄露或安全事件的影响。
7. 持续改进:要求数据治理系统应持续监控和改进,以适应不断变化的安全威胁。
总的来说,MH/T 5057-2021《智慧民航数据治理规范》旨在通过科学的数据治理方法,确保智慧民航系统中的数据安全,提升整体运营效率和旅客服务水平。
MH/T 5057-2021 智慧民航数据治理规范数据安全.pdf部分内容预览:
中*民用航空局关于发布《智慧民航数据治理规范 数据安全》的公告
参审人员:马力郭竟成熊朝闫超王欣吴*华李涛 刘怡君张波董战鲲刘晓青 俞亚璨潘小婷冯晓磊 司马键
审人员:马力 郭竟成熊朝闫超王欣吴*华李涛 刘怡君张波董战鲲刘晓青 俞亚璨潘小婷冯晓磊 司马键
1 总则 2 术语 民航数据安全治理一般要求 民航数据安全分级 4.1数据安全分级原则 4.2数据安全分级要素 6 4.3数据安全分级要素识别 4.4数据安全分级规则 9 4.5 数据安全级别变更 10 5 民航数据全生命周期安全防护 11 5. 1 数据采集安全 11 5.2数据传输安全 11 5.3 数据存储安全 5.4数据使用安全 13 5.5 数据共享安全 14 5.6 数据销毁安全 民航数据安全组织保障 16 标准用词说明 19 引用标准名录
T/CEA 041.4-2020 电梯线束技术要求 第4部分:有分支固定安装线束.pdf3民航数据安全治理一般要求
6民航数据安全组织保障
1.0.1为提升民航数据安全,指导行业数据安全治理工作,建立科学的数据安全分级与防护机 制,制定本规范。 1.0.2本规范适用于民航行业数据治理的数据安全治理工作。 【条文说明】各单位在本规范内容的框架与指导下,结合自身发展现状及目标,进一步细化研究 具体实施方案与细则。 1.0.3民航行业数据安全治理工作除应满足本规范的规定外,尚应符合**、行业现行有关标 准的规定
2.0.1数据安全datasecurity
数据安全是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保 障持续安全状态的能力
2.0.2保密性confidentiality
保密性是指使信息不泄露给未授*的个人、实体、进程,或不被其利用的特性。 GB/T 250692010. 2. 1.11
2.0.3完整性integrity
完整性是指保卫资产准确性和完整的特性。 GB/T25069—2010,2.1.421
2.0.4可用性availability
可用性是指已授*实体一且需要就可访问和使用的数据和资源的特性 GB/T 250692010. 2. 1.201
2.0.5敏感数据sensitivedata
敏感数据是指泄露后可能会给**安全、公众*益、个人隐私、企业合法*益等造成不同 程度损害的数据
2.0.6数据脱敏datamasking
数据脱敏是指通过一系列数据处理方法对原始数据进行处理以屏蔽敏感数据的一种数据保 护方法。
2.0.7数据采集datacollection
数据采集是指获取数据的过程,
2.0.8数据传输datatransmission
传输是指数据从一个控制主体发送到另一个控制
2.0.9数据存储datastorage
数据存储是指将数据进行持久化保存的过程
2. 0. 10数据使用 data usage
数据使用是指对数据进行访问、加工、展示等一系列处理的过程
2.0.11数据共享data sharing
数据共享是指本单位不同部门之间或与其他单位、行业主管单位的数据共享,各方承担相 关*利和义务的过程。
0.12数据销毁datades
采用数据擦除或者物理销毁的方式确保数据无法
3民航数据安全治理一般要求
3.0.1民航数据安全治理应基于数据安全原则,以数据安全分级为基础,建立覆盖数据生命周 期全过程的安全防护体系,并建立健全数据安全组织支撑。民航数据安全治理框架如图3.0. 所示。
3.0.2民航数据安全治理应符合下列基本原则:
图3.0.1民航数据安全治理框架
1合法正当原则:对数据的收集与使用应基于法律依据,履行数据相关的法律义务,确保 数据全生命周期各环节数据活动的合法性和正当性; 2*责一致原则:明确本单位数据安全治理工作相关部门及其职责,相关部门及人员应积 极落实相关措施,履行数据安全职责,因不履行或不当行使其职*等造成不良影响或损害的, 应承担相应的安全责任; 【条文说明】本规范中“单位”指民航行业各级行*主体、企业、直属单位和行业协会等组织。 3最小化原则:在保证业务功能实现的基础上应赋予数据活动中各角色最小的操作*限和 最小数据集,制定数据访问授*审批流程;
航数据安全治理一般要求
4全程可控原则:对数据进行安全分级,通过实施与数据安全级别相匹配的安全管控机制 和技术措施,确保数据在全生命周期各阶段的安全性,避免未授*访问、破坏、篡改、泄露或 丢失等; 5动态控制原则:数据的安全控制策略和防护措施应基于业务需求、安全环境属性、系统 用户行为等因素进行实时和动态调整; 6可审计原则:实现对业务各环节的数据安全审计,记录数据活动中各项操作的相关信 息,确保记录可追溯。 3.0.3民航数据安全治理应对数据进行安全分级,采用规范、明确的方法区分数据的重要性和 敏感程度差异,确定数据安全级别。 3.0.4民航数据安全治理应建立数据全生命周期安全防护,依据本规范安全措施要求,在采 集、传输、存储、使用、共享以及销毁等各个环节采取符合数据安全级别要求的安全防护措施 建立覆盖数据全生命周期的安全防护机制
4.1数据安全分级原则
4.1.1数据安全分级应遵循下列原则: 1合法合规原则:数据安全分级应满足**法律法规及行业主管部门有关规定; 2可执行原则:数据定级规则应避免过于复杂,确保数据定级工作的可行性; 3时效性原则:数据安全级别应具有一定的有效期限,并按照级别变更策略进行及时 调整; 4自主性原则:数据安全级别应在合法合规原则下结合本单位自身数据管理需要(如战略 需要、业务需要、风险接受程度等),依据本框架制定; 【条文说明】对于在**法律法规及行业主管部门有关规定中已明确数据安全分级的数据,其数 据安全级别按照相应要求执行;对于未在**法律法规及行业主管部门有关规定中明确数据安 全分级的数据,各单位依据本规范确定其数据安全级别,并采取符合相应数据安全级别要求的 安全防护措施。 5差异性原则:数据安全级别应根据数据的重要性、敏感程度等差异进行划分,不宜将所 有数据集中划分到其中若干个级别中
4.2数据安全分级要素
4.2.1民航数据安全分级要素应包括影响对象与影响程度。 【条文说明】确定数据安全级别的判断依据是数据安全性遭到破坏后可能造成的影响。 4.2.2影响对象指数据安全性遭破坏后受到影响的对象,包括**安全、公众*益、个人隐 私、企业合法*益等: 1影响对象为**安全的情况,一般指数据的安全性遭到破坏后,可能对****稳固 领土主*、民族团结、社会稳定等造成影响; 2影响对象为公众*益的情况,一般指数据的安全性遭到破坏后,可能对社会秩序和公众 的*治*利、人身自由、经济*益等造成影响:
3影响对象为个人隐私的情况,一般指数据的安全性遭到破坏后,可能对个人信息、私人 活动和私有领域等造成影响; 4影响对象为企业合法*益的情况,一般指数据的安全性遭到破坏后,可能对民航业单位 或其他行业单位的生产运营、声誉形象、公信力等造成影响。 4.2.3影响程度指数据安全性遭到破坏后所产生影响的大小,从高到低划分为严重损害、一般 损害、轻微损害和无损害。影响程度的确定宜结合民航业务属性,综合考虑数据类型、数据特 征与数据规模等因素。影响程度参考说明如表4.2.3所示
表4.2.3影响程度说明
4.3.1数据安全分级要素应通过数据安全性影响评估进行识别。 4.3.2数据安全性影响评估确定数据各项安全性(保密性、完整性、可用性)遭到破坏后所影 响的对象及影响程度,应包括保密性影响评估、完整性影响评估和可用性影响评估。 4.3.3保密性影响评估应评价数据遭受未经授*的披露所造成的影响GB∕T 19924-2005 流动式起重机 稳定性的确定,以及民航业单位继续使 用这些数据可能产生的影响。评估的内容包括:
1数据未经授*的披露,可能对**安全、公众*益、个人隐私及企业合法*益造成的损 害,以及损害的严重程度; 2数据被非授*对象获取或利用,可能对**安全、公众*益、个人隐私及企业合法*益 造成的损害,以及损害的严重程度; 3数据被非授*对象利用进行窃密、篡改、销毁或拒绝服务等攻击,可能对**安全、公 众*益、个人隐私及企业合法*益等造成的损害,以及损害的严重程度; 4数据的未经授*披露或传播是否违反**法律法规、行业主管部门有关规定或机构内部 管理规定。
4.3.4完整性影响评估应评价数据遭受未经授*的修改或损毁所造成的影响,以及民航业单位 继续使用这些数据可能产生的影响。评估的内容包括: 1数据未经授*修改或损毁,可能对**安全、公众*益、个人隐私及企业合法*益造成 的损害,以及损害的严重程度; 2数据未经授*修改或损毁,可能对其他组织或个人造成的损害,以及损害的严重程度; 3数据未经授*修改或损毁,可能对机构职能、公信力造成的损害,以及损害的严重 程度; 4数据未经授*修改或损毁是否违反**法律法规、行业主管部门有关规定或机构内部管 理规定
4.3.5可用性影响评估应评价数据
造成的影响,以及民航业单位无法正常使用这些数据可能产生的影响。评估的内容包括: 1数据的访问或使用中断,可能对**安全、公众*益、个人隐私及企业合法*益造成的 损害,以及损害的严重程度; 2数据的访问或使用中断,可能对机构职能、公信力造成的损害,以及损害的严重程度; 3数据的访问或使用中断,可能对其他组织或个人造成的损害,以及损害的严重程度; 4数据的访间或使用中断是否违反**法律法规、行业主管部门有关规定或机构内部管理 规定。 4.3.6数据安全定级关键要素应综合考虑保密性、完整性和可用性影响评估的结果,应符合下 列要求: 1当数据在安全性(保密性、完整性、可用性)方面有不同侧重时,应以实际业务中所侧 心人证生注用头
1当数据在安全性(保密性、完整性、可用性)方面有不同侧重时,应以实际业务中所侧 重的安全性评估结果客运专线预应力预制梁暂行技术条件 铁科技[2004]120号,作为相应数据安全定级的主要依据; 2当数据的保密性、完整性和可用性要求基本一致时,应以保密性评估所确定的定级要素 为主要定级依据
4.4数据安全分级规则