JT_T 904-2023 交通运输行业网络安全等级保护定级指南.docxVIP

JT?/?T?904—2023 目　?　?次 前言?…………………………………………………………………………………………………………?Ⅱ 1　?范围?………………………………………………………………………………………………………?1 2　?规范性引用文件?…………………………………………………………………………………………?1 3　?术语和定义?………………………………………………………………………………………………?1 4　?定级原理及流程?…………………………………………………………………………………………?2 　?4.?1　?安全保护等级?………………………………………………………………………………………?2 　?4.?2　?定级要素?……………………………………………………………………………………………?2 　?4.?3　?定级工作流程?………………………………………………………………………………………?4 5　?确定定级对象?……………………………………………………………………………………………?5 　?5.?1　?信息系统?……………………………………………………………………………………………?5 　?5.?2　?通信网络设施?………………………………………………………………………………………?5 　?5.?3　?数据资源?……………………………………………………………………………………………?5 6　?初步确定等级?……………………………………………………………………………………………?5 　?6.?1　?定级方法?……………………………………………………………………………………………?5 　?6.?2　?确定受侵害的客体?…………………………………………………………………………………?6 　?6.?3　?确定对客体的侵害程度?……………………………………………………………………………?7 　?6.?4　?确定业务信息安全保护等级………………………………………………………………………?12 　?6.?5　?确定系统服务安全保护等级………………………………………………………………………?12 　?6.?6　?综合判定等级………………………………………………………………………………………?12 7　?确定安全保护等级………………………………………………………………………………………?13 8　?等级变更…………………………………………………………………………………………………?13 附录?A(?资料性)?　?某省联网收费结算管理系统定级示例?………………………………………………?14 附录?B(?资料性)?　?网络安全等级保护定级报告示例?……………………………………………………?16 参考文献?……………………………………………………………………………………………………?17 Ⅰ JT?/?T?904—2023 前　?　?言 本文件按照?GB?/?T?1.?1—2020《?标准化工作导则　?第?1?部分:标准化文件的结构和起草规则》?的规定 起草。 本文件代替?JT?/?T?904—2014《?交通运输行业信息系统安全等级保护定级指南》?。?与?JT?/?T?904—2014 相比,除结构调整和编辑性改动外,主要技术变化如下: ———更改了“?等级保护对象”?和“?客观方面”?的定义(?见?3.?1?和?3.?6,2014?年版的?3.?1?和?3.?3)?; ———增加了“信息系统”“受侵害的客体”“通信网络设施”及“数据资源”的术语和定义(见?3.?2?~?3.?5); ———删除了“?客体”?“?系统服务”?“?业务信息”?“?交通运输行业信息系统”?“?定级要素”?“?业务依赖程 度”?“?承载信息类别”?及“?系统服务范围”?的术语和定义(?见?2014?年版的?3.?2、3.?4?~?3.?10)?; ———更改了安全保护等级及定级要素的内容(?见?4.?1?和?4.?2,2014?年版的第?4?章)?; ———更改了“?二级要素”?中“?信息系统类别”?“?承载信息类别”?“?系统服务范围”?的标题及内容,更改 了“?业务依赖程度”?的内容(?见?4.?2.?3,2014?年版的?5.?4)?; ———增加了“?定级工作流程”?的内容(?见?4.?3)?; ———更改了“?确定定级对象”?的内容,信息系统增加了云计算平台?/?系统的内容,定级对象增加了通 信网络设施和数据资源的内容(?见第?5?章,2014?年版的?5.?2)?; ———更改了“?定级方法”?的内容(?见?6.?1,2014?年版的?5.?1)?; ———更改了“确定受侵害的客体”和“确定对客体的侵害程度”的内容(见?6.?2?和?6