JT_T 904-2023  交通运输行业网络安全等级保护定级指南.pdfVIP

JT/ T 904—2023 目　 　 次 前言 ………………………………………………………………………………………………………… Ⅱ 1　 范围 ……………………………………………………………………………………………………… 1 2　 规范性引用文件 ………………………………………………………………………………………… 1 3　 术语和定义 ……………………………………………………………………………………………… 1 4　 定级原理及流程 ………………………………………………………………………………………… 2 　 4.1　 安全保护等级 ……………………………………………………………………………………… 2 　 4.2　 定级要素 …………………………………………………………………………………………… 2 　 4.3　 定级工作流程 ……………………………………………………………………………………… 4 5　 确定定级对象 …………………………………………………………………………………………… 5 　 5.1　 信息系统 …………………………………………………………………………………………… 5 　 5.2　 通信网络设施 ……………………………………………………………………………………… 5 　 5.3　 数据资源 …………………………………………………………………………………………… 5 6　 初步确定等级 …………………………………………………………………………………………… 5 　 6.1　 定级方法 …………………………………………………………………………………………… 5 　 6.2　 确定受侵害的客体 ………………………………………………………………………………… 6 　 6.3　 确定对客体的侵害程度 …………………………………………………………………………… 7 　 6.4　 确定业务信息安全保护等级……………………………………………………………………… 12 　 6.5　 确定系统服务安全保护等级……………………………………………………………………… 12 　 6.6　 综合判定等级……………………………………………………………………………………… 12 7　 确定安全保护等级……………………………………………………………………………………… 13 8　 等级变更………………………………………………………………………………………………… 13 附录A(资料性)　 某省联网收费结算管理系统定级示例 ……………………………………………… 14 附录B(资料性)　 网络安全等级保护定级报告示例 …………………………………………………… 16 参考文献 …………………………………………………………………………………………………… 17 Ⅰ JT/ T 904—2023 前　 　 言 本文件按照GB/ T 1.1—2020《标准化工作导则　 第1部分:标准化文件的结构和起草规则》的规定 起草。 本文件代替JT/ T904—2014《交通运输行业信息系统安全等级保护定级指南》。 与JT/ T904—2014 相比,除结构调整和编辑性改动外,主要技术变化如下: ———更改了“等级保护对象”和“客观方面”的定义(见3.1和3.6,2014年版的3.1和3.3); ———增加了“信息系统”“受侵害的客体”“通信网络设施”及“数据资源”的术语和定义(见3.2~3.5); ———删除了“客体”“系统服务”“业务信息”“交通运输行业信息系统”“定级要素”“业务依赖程 度”“承载信息类别”及“系统服务范围”的术语和定义(见2014年版的3.2、3.4 ~3.10); ———更改了安全保护等级及定级要素的内容(见4.1和4.2,2014年版的第4章); ———更改了“二级要素”中“信息系统类别”“承载信息类别”“系统服务范围”的标题及内容,更改 了“业务依赖程度”的内容(见4.2.3,2014年版的5.4); ———增加了“定级工作流程”的内容(见4.