交通運(yùn)輸部于2023年6月25日發(fā)布了推薦性行業(yè)標(biāo)準(zhǔn)《交通運(yùn)輸行業(yè)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》（JT/T 904—2023），自2023年9月25日起實(shí)施。

一、修訂背景

2017年7月《中華人民共和國(guó)網(wǎng)絡(luò)安全法》正式施行，標(biāo)志著網(wǎng)絡(luò)安全等級(jí)保護(hù)工作上升為國(guó)家法律要求。隨著信息技術(shù)發(fā)展和應(yīng)用，交通運(yùn)輸領(lǐng)域網(wǎng)絡(luò)安全等級(jí)保護(hù)對(duì)象已經(jīng)從傳統(tǒng)的信息系統(tǒng)，擴(kuò)展到網(wǎng)絡(luò)基礎(chǔ)設(shè)施、云計(jì)算平臺(tái)、大數(shù)據(jù)平臺(tái)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、采用移動(dòng)互聯(lián)技術(shù)的系統(tǒng)等。2020年4月，公安部修訂了GB/T 22240—2020《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》，對(duì)網(wǎng)絡(luò)安全等級(jí)保護(hù)工作流程等提出了新要求。據(jù)此，為適應(yīng)新形勢(shì)下網(wǎng)絡(luò)安全等級(jí)保護(hù)工作的新需求，更好的指導(dǎo)行業(yè)單位開(kāi)展網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)工作，交通運(yùn)輸部組織相關(guān)單位對(duì)JT/T 904—2014《交通運(yùn)輸行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》進(jìn)行了修訂。

二、標(biāo)準(zhǔn)的定位和作用

本標(biāo)準(zhǔn)規(guī)定了交通運(yùn)輸行業(yè)網(wǎng)絡(luò)安全等級(jí)保護(hù)對(duì)象的定級(jí)方法和定級(jí)流程，包括確定定級(jí)對(duì)象、初步確定等級(jí)、確定安全保護(hù)等級(jí)和等級(jí)變更，適用于交通運(yùn)輸行業(yè)信息系統(tǒng)、通信網(wǎng)絡(luò)設(shè)施、數(shù)據(jù)資源等非涉密等級(jí)保護(hù)對(duì)象的定級(jí)工作。

本標(biāo)準(zhǔn)修訂后將為交通運(yùn)輸行業(yè)信息系統(tǒng)在開(kāi)展信息安全等級(jí)保護(hù)定級(jí)工作提供技術(shù)支撐，指導(dǎo)并規(guī)范交通運(yùn)輸行業(yè)網(wǎng)絡(luò)安全管理人員、安全咨詢服務(wù)機(jī)構(gòu)、安全建設(shè)機(jī)構(gòu)和安全運(yùn)維機(jī)構(gòu)等開(kāi)展網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)工作。

三、主要修訂內(nèi)容

與2014版標(biāo)準(zhǔn)相比，本標(biāo)準(zhǔn)主要做了以下方面的修訂：

（一）標(biāo)準(zhǔn)名稱

與《中華人民共和國(guó)網(wǎng)絡(luò)安全法》和GB/T 22240—2020《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》中的術(shù)語(yǔ)保持一致，標(biāo)準(zhǔn)更名為《交通運(yùn)輸行業(yè)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》。

（二）術(shù)語(yǔ)和定義

修改了“等級(jí)保護(hù)對(duì)象”和“客觀方面”的定義，刪除了“客體”、“系統(tǒng)服務(wù)”，新增了“信息系統(tǒng)”、“受侵害的客體”、“通信網(wǎng)絡(luò)設(shè)施”和“數(shù)據(jù)資源”；由于原“業(yè)務(wù)信息”、“交通運(yùn)輸行業(yè)信息系統(tǒng)”、“定級(jí)要素”、“業(yè)務(wù)依賴程度”、“承載信息類別”和“系統(tǒng)服務(wù)范圍”未能在當(dāng)前交通運(yùn)輸行業(yè)網(wǎng)絡(luò)安全等級(jí)保護(hù)工作及影響范圍中有效表述，且在正文中進(jìn)行了相應(yīng)說(shuō)明或采取了與國(guó)家上位文件一致的描述，故刪除。

（三）定級(jí)原理及流程

1. 依據(jù)最新等級(jí)保護(hù)工作影響范圍，原“信息系統(tǒng)安全保護(hù)等級(jí)”修改為“安全保護(hù)等級(jí)”。

2. 將二級(jí)要素描述提前，其與一級(jí)要素的表述粒度一致并集中表述。

3. 根據(jù)《交通運(yùn)輸部辦公廳關(guān)于印發(fā)部?jī)?nèi)司局和部屬單位主管網(wǎng)絡(luò)和信息系統(tǒng)安全責(zé)任清單的通知》（交科技發(fā)〔2021〕1245號(hào)）文件，在原標(biāo)準(zhǔn)研究基礎(chǔ)上，深入研究廣播、報(bào)業(yè)、民航、林業(yè)、郵政、教育和金融7個(gè)行業(yè)定級(jí)分類思路，考慮與風(fēng)險(xiǎn)評(píng)估及關(guān)鍵信息基礎(chǔ)設(shè)施分類保持一致、責(zé)任單位、業(yè)務(wù)類型和業(yè)務(wù)重要性、定級(jí)對(duì)象所屬機(jī)構(gòu)類別和承載業(yè)務(wù)種類等因素，對(duì)部機(jī)關(guān)、部屬單位以及省交通運(yùn)輸廳的等級(jí)保護(hù)對(duì)象進(jìn)行分類，總結(jié)信息系統(tǒng)分為行政辦公類、運(yùn)行控制類、信息服務(wù)類和基礎(chǔ)支撐類，依據(jù)最新等級(jí)保護(hù)工作影響范圍，將“信息系統(tǒng)類別”修改為“等級(jí)保護(hù)對(duì)象類別”。

4. 根據(jù)《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》修改承載數(shù)據(jù)的表述，根據(jù)等級(jí)保護(hù)對(duì)象所處理數(shù)據(jù)的安全特征，對(duì)三類承載數(shù)據(jù)分級(jí)為“核心數(shù)據(jù)”“重要數(shù)據(jù)”和“一般數(shù)據(jù)”。

（四）確定定級(jí)對(duì)象

 交通運(yùn)輸行業(yè)定級(jí)對(duì)象與GB/T 22240—2020中的規(guī)定保持一致，基本涵蓋了信息系統(tǒng)、通信網(wǎng)絡(luò)設(shè)施及數(shù)據(jù)資源。

（五）初步確定等級(jí)

1. 根據(jù)國(guó)家分級(jí)保護(hù)的工作思路以及交通運(yùn)輸行業(yè)定級(jí)對(duì)象分類，著重體現(xiàn)了分級(jí)分類的定級(jí)思路。本標(biāo)準(zhǔn)將“信息系統(tǒng)”改為“等級(jí)保護(hù)對(duì)象”，對(duì)定級(jí)流程進(jìn)行修改，將一級(jí)要素與二級(jí)要素的判斷順序進(jìn)行調(diào)換，提升流程簡(jiǎn)便性；將“定級(jí)方法”修改為“初步確定等級(jí)”、“定級(jí)的基本流程”修改為“定級(jí)方法”。

2. 在確定受侵害客體部分增加了如何使用二級(jí)要素確定受侵害客體的方法論，闡明了本標(biāo)準(zhǔn)的核心是用二級(jí)要素確定受侵害客體。

3. 修改了綜合判斷侵害程度的表述，使之與確定對(duì)客體的侵害程度的方法論更加匹配。

4. 根據(jù)修改后的等級(jí)保護(hù)對(duì)象分類，對(duì)業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全二級(jí)要素與一級(jí)要素的對(duì)應(yīng)關(guān)系部分內(nèi)容進(jìn)行了修改。對(duì)“可能的受侵害的客體”及“對(duì)客體可能的侵害程度”進(jìn)行了修改，提升標(biāo)準(zhǔn)內(nèi)容的合理性；針對(duì)表格內(nèi)容不完全涵蓋實(shí)際定級(jí)工作中所有情況，增加了補(bǔ)充說(shuō)明。

5. 將“確定信息系統(tǒng)安全保護(hù)等級(jí)”修改為“綜合判定等級(jí)”，保留了對(duì)修改后示例的引用。

（六）確定安全保護(hù)等級(jí)

在GB/T 22240—2020基礎(chǔ)上，新增確定安全保護(hù)等級(jí)內(nèi)容，且明確了行業(yè)主管（監(jiān)管）部門(mén)；根據(jù)等級(jí)保護(hù)對(duì)象所處理數(shù)據(jù)的安全特征修改了對(duì)于數(shù)據(jù)資源的定級(jí)描述。

（七）等級(jí)變更

結(jié)合交通行業(yè)特點(diǎn)，修改說(shuō)明了當(dāng)需要對(duì)已定級(jí)的定級(jí)對(duì)象的定級(jí)情況進(jìn)行變更時(shí)的原因和方法。

（八）更新了附錄示例

根據(jù)新的工作流程，體現(xiàn)交通運(yùn)輸行業(yè)特色，將原“附錄A（資料性附錄）某省辦公自動(dòng)化（OA）系統(tǒng)安全等級(jí)保護(hù)定級(jí)示例”調(diào)整為“附錄A（資料性）某省聯(lián)網(wǎng)收費(fèi)結(jié)算管理系統(tǒng)定級(jí)示例”和“附錄B（資料性）網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)報(bào)告示例”。

四、實(shí)施注意事項(xiàng)

本標(biāo)準(zhǔn)適用于交通運(yùn)輸行業(yè)信息系統(tǒng)、通信網(wǎng)絡(luò)設(shè)施、數(shù)據(jù)資源等非涉密等級(jí)保護(hù)對(duì)象的定級(jí)工作，在實(shí)際定級(jí)過(guò)程中如本標(biāo)準(zhǔn)未能涵蓋所有對(duì)象，可參照GB/T 22240—2020進(jìn)行確定。

文稿編纂：交通運(yùn)輸信息安全中心有限公司 杜漸

文稿審核：交通運(yùn)輸信息通信及導(dǎo)航標(biāo)準(zhǔn)化技術(shù)委員會(huì) 田士海