ICS 35.040 R 07 备案号： 中华人民共和国交通运输行业标准 JT/T 904—2014 ! 交通运输行业信息系统安全等级保护 定级指南 Classification guide for security classified protection of transportation information system 2014-09-01实施 2014-04-15发布 中华人民共和国交通运输部 发布 JT/T904—2014 目 次 前言 范围 1 规范性引用文件 3 术语和定义 4定级原理 4.1 信息系统安全保护等级 4.2 信息系统安全保护等级的定级要素 5定级方法 5.1 定级的基本流程 5.2 确定定级对象 5.3 确定一级要素 5.4 确定二级要素 5.5 确定业务信息安全保护等级 5.6 确定系统服务安全保护等级 5.7 确定信息系统安全保护等级· 6 等级变更 附录A（资料性附录）某省级办公自动化（OA）系统安全等级保护定级示例 JT/T904-2014 前言 本标准按照GB/T1.1—2009给出的规则起草。 本标准由交通运输部科技司提出。 本标准由交通运输部信息通信及导航标准化技术委员会归口。 本标准起草单位：中国交通通信信息中心。 本标准主要起草人：李璐瑶、戴明、武俊峰、成瑾、沈兵、肖榕、刘佳、康小勇、樊娜。 ⅡI JT/T904—2014 交通运输行业信息系统安全等级保护定级指南 1范围 本标准规定了交通运输行业信息系统安全等级保护的定级原理、方法和等级变更等内容。 本标准适用于交通运输行业非涉密信息系统的等级保护定级工作。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T5271.8 信息技术词汇第8部分：安全 GB17859 计算机信息系统安全保护等级划分准则 GB/T22240 信息安全技术信息系统安全等级保护定级指南 3术语和定义 GB/T5271.8、GB17859和GB/T22240确立的以及下列术语和定义适用于本文件。为了便于使 用，以下重复列出了GB/T22240中的一些术语和定义。 3.1 等级保护对象targetofclassifiedsecurity 信息安全等级保护工作直接作用的具体的信息和信息系统。 [GB/T22240—2008，定义3.1] 3.2 客体object 受法律保护的、等级保护对象受到破坏时所侵害的社会关系，如国家安全、社会秩序、公共利益以及 公民、法人或其他组织的合法权益。 [GB/T22240—2008，定义3.2] 3.3 客观方面objective 对客体造成侵害的客观外在表现，包括侵害方式和侵害结果等。 [CB/T22240—2008，定义3.3] 3.4 系统服务system service 信息系统为支撑其所承载业务而提供的程序化过程。 [GB/T22240—2008，定义3.4] 3.5 业务信息 businessinformation 信息系统经过程序化过程生产得出的数据信息或正常运行所需的支撑性数据信息。 1 JT/T904—2014 3.6 交通运输行业信息系统transportationinformationsystem 由硬件、软件、信息资源、信息用户和规章制度组成，支撑交通运输行业采集（或获取）、处理、存储、 传输、分配和检索信息的人机一体化系统。 3.7 定级要素classificationfactor 确定信息系统安全保护等级的主要依据，包括一级要素和二级要素。 3.8 业务依赖程度degreeofdependenceoninformationsystem 以信息系统替代传统人工作业处理行政办公、业务管理及支撑服务的程度。 3.9 承载信息类别securitycategoryofinformationcarried 根据信息系统所承载行政办公、业务管理、支撑服务信息的安全特征划分的类别。 3.10 系统服务范围rangeof systemservices 信息系统承载信息和功能服务的主体用户或主体用户群的分布状况。 4定级原理 4.1信息系统安全保护等级 交通运输行业信息系统安全保护等级分为以下五级： a）第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国 家安全、社会秩序和公共利益； b） 第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对 社会秩序和公共利益造成损害，但不损害国家安全： c）第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成 损害； (p 第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全 造成严重损害； e） 第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。 4.2信息系统安全保护等级的定级要素 4.2.1定级要素的分级 根据交通运输行业信息系统业务信息和系统服务特征，定级要素分为一级要素和二级要素。 4.2.2一级要素 4.2.2.1关键因素 用来直接判定信息系统安全保护等级的因素，包括信息系统被破坏时所侵害的客体及对相应客体 侵害的程度。 4.2.2.2等级保护对象受到破坏时所侵害的客体 等级保护对象受到破坏时所侵害的客体包括以下三个方面： 2 JT/T904—2014 a) 公民、法人和其他组织的合法权益； b）社会秩序、公共利益； c）国家安全。 4.2.2.3等级保护对象受到破坏后对客体的侵害程度 对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对 象的破坏实现的，因此，对客体的侵害外在表现为对等级保护对象的破坏，通过危害方式、危害后果和危 害程度加以描述。 等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种： a）一般损害； b）严重损害； c）特别严重损害。 4.2.2.4一级要素与信息系统安全保护等级的关系 一级要素与信息系统安全保护等级的关系如表1所示。 表1一级要素与信息系统安全保护等级的关系 对客体的侵害程度 受侵害的客体 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益 第一级 第二级 第二级 第四级 社会秩序、公共利益 第二级 第三级 国家安全 第三级 第四级 第五级 4.2.3二级要素 二级要素用于辅助确定一级要素。根据信息系统服务对象、功能、范围及效用等特征，分为信息系 统类别、承载信息类别、系统服务范围和业务依赖程度四类要素。 5定级方法 5.1定级的基本流程 信息系统安全包括业务信息安全和系统服务安全，与之相关的受侵害客体和对客体的侵害程度可 能不同，因此，信息系统定级也应由业务信息安全和系统服务安全两方面确定。 从业务信息安全角度反映的信息系统安全保护等级称为业务信息安全保护等级。 从系统服务安全角度反映的信息系统安全保护等级称为系统服务安全保护等级。 信息系统的安全保护等级通过定级对象、定级要素、信息系统受到破坏时所侵害的客体和受到破坏 时对客体的侵害程度等因素确定。 定级的基本流程如下： a）确定定级对象，作为定级对象应具有唯一的安全责任单位，具有信息系统的基本要素，承载单 一或相对独立的业务； 3