JT∕T 904-2023 交通運輸行業(yè)網絡安全等級保護定級指南

ICS35.040CCSL80中華人民共和國交通運輸行業(yè)標準JT/T904—2023代替JT/T9042014交通運輸行業(yè)網絡安全等級保護定級指南classificationguideforcybersecurityclassifiedprotectionoftransportation2023-06-25發(fā)布2023-09-25實施中華人民共和國交通運輸部發(fā)布標準分享吧http://www.bzfxbJT/T904—2023前言 2規(guī)范性引用文件 3術語和定義 4定級原理及流程 4.3定級工作流程 5確定定級對象 5.2通信網絡設施 5.3數據資源 6初步確定等級 6.2確定受侵害的客體 6.3確定對客體的侵害程度 6.4確定業(yè)務信息安全保護等級 6.5確定系統(tǒng)服務安全保護等級 6.6綜合判定等級 7確定安全保護等級 8等級變更 附錄A(資料性)某省聯網收費結算管理系統(tǒng)定級示例 附錄B(資料性)網絡安全等級保護定級報告示例 參考文獻 Ⅰ標準分享吧http://www.bzfxbJT/T904—2023本文件按照GB/T1.1—2020《標準化工作導則第1部分:標準化文件的結構和起草規(guī)則》的規(guī)定起草。相比,除結構調整和編輯性改動外,主要技術變化如下:—更改了安全保護等級及定級要素的內容(見4.1和4.2,2014年版的第4章);—增加了“定級工作流程”的內容(見4.3);—更改了“確定定級對象”的內容,信息系統(tǒng)增加了云計算平臺/系統(tǒng)的內容,定級對象增加了通信網絡設施和數據資源的內容(見第5章,2014年版的5.2);—增加了“確定受侵害的客體的方法”的內容(見6.2.2);—增加了“確定對客體侵害程度的方法”的內容(見6.3.4);—更改了“確定業(yè)務信息安全保護等級”和“確定系統(tǒng)服務安全保護等級”的內容(見6.4、6.5,—增加了“確定安全保護等級”的內容(見第7章);—更改了“等級變更”的內容(見第8章,2014年版的第6章);—更改了系統(tǒng)安全保護定級的示例(見附錄A,2014年版的附錄A);—增加了網絡安全等級保護定級的報告示例(見附錄B)。請注意本文件的某些內容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。本文件由交通運輸信息通信及導航標準化技術委員會提出并歸口。本文件起草單位:中國交通通信信息中心、交通運輸信息安全中心有限公司、交通運輸部規(guī)劃研究院、中國交通信息科技集團有限公司。本文件及其所代替文件的歷次版本發(fā)布情況為:—本次為第一次修訂。Ⅱ標準分享吧http://www.bzfxbJT/T904—2023交通運輸行業(yè)網絡安全等級保護定級指南本文件給出了交通運輸行業(yè)網絡安全等級保護對象的定級方法和定級流程,包括確定定級對象、初步確定等級、確定安全保護等級和等級變更。2規(guī)范性引用文件下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中,注日期的引用文件,僅該日期對應的版本適用于本文件;不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。GB/T22240—2020信息安全技術網絡安全等級保護定級指南GB/T25058—2019信息安全技術網絡安全等級保護實施指南3術語和定義下列術語和定義適用于本文件。網絡安全等級保護工作直接作用的對象。注:主要包括信息系統(tǒng)、通信網絡設施和數據資源等。注1:信息系統(tǒng)通常由計算機或者其他信息終端及相關設備組成,并按照一定的目標和規(guī)則進行信息處理或過程控制。注2:典型的信息系統(tǒng)如辦公自動化系統(tǒng)、云計算平臺/系統(tǒng)、物聯網、工業(yè)控制系統(tǒng),以及采用移動互聯技術的系統(tǒng)等。受法律保護的、等級保護對象受到破壞時所侵害的社會關系。為信息流通、網絡運行等起基礎支撐作用的網絡設備設施。注:主要包括高速公路光纖網、交通運輸行業(yè)或單位的專用通信網等。[來源:GB/T22240—2020,定義3.4,有修改]1標準分享吧http://www.bzfxbJT/T904—2023具有或預期具有價值的數據集合。注:數據資源多以電子形式存在。對客體造成侵害的客觀外在表現,包括侵害方式和侵害結果等。4定級原理及流程根據等級保護對象在國家安全、經濟建設、社會生活中的重要程度,以及一旦遭到破壞、喪失功能或者數據被篡改、泄露、丟失、損毀后,對國家安全、社會秩序、公共利益,以及公民、法人和其他組織的合法權益的侵害程度等因素,交通運輸行業(yè)等級保護對象的安全保護等級分為以下五級:a)第一級:等級保護對象受到破壞后,會對相關公民、法人和其他組織的合法權益造成一般損害,但不危害國家安全、社會秩序和公共利益;b)第二級:等級保護對象受到破壞后,會對相關公民、法人和其他組織的合法權益造成嚴重損害或特別嚴重損害,或者對社會秩序和公共利益造成危害,但不危害國家安全;c)第三級:等級保護對象受到破壞后,會對社會秩序和公共利益造成嚴重危害,或者對國家安全造成危害;d)第四級:等級保護對象受到破壞后,會對社會秩序和公共利益造成特別嚴重危害,或者對國家安全造成嚴重危害;e)第五級:等級保護對象受到破壞后,會對國家安全造成特別嚴重危害。4.2定級要素4.2.1.1根據交通運輸行業(yè)網絡安全等級保護對象的業(yè)務信息和系統(tǒng)服務特征,定級要素分為一級要素和二級要素。4.2.1.2等級保護對象的一級要素與GB/T22240—2020一致,包括以下兩個方面:a)受侵害的客體;b)對客體的侵害程度。4.2.1.3等級保護對象的二級要素用于輔助確定等級保護對象的等級。根據等級保護對象的服務對象、功能、范圍及效用等特征,等級保護對象的二級要素包括以下四個方面:a)等級保護對象類別;b)承載數據;c)影響范圍;d)業(yè)務依賴程度。2標準分享吧http://www.bzfxb3JT/T904—2023等級保護對象受到破壞時所侵害的客體包括以下三個方面:a)公民、法人和其他組織的合法權益;b)社會秩序、公共利益;c)國家安全。對客體的侵害程度對客體的侵害程度由客觀方面的不同外在表現綜合決定。由于對客體的侵害是通過對等級保護對象的破壞實現的,因此對客體的侵害外在表現為對等級保護對象的破壞,通過侵害方式、侵害后果和侵害程度加以描述。等級保護對象受到破壞后對客體造成侵害的程度歸結為以下三種:a)造成一般損害;b)造成嚴重損害;c)造成特別嚴重損害。一級要素與安全保護等級的關系表1給出一級要素與安全保護等級的關系。表1一級要素與安全保護等級的關系受侵害的客體對客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權益第一級第二級第二級第二級第三級第四級國家安全第三級第四級第五級根據等級保護對象的功能,等級保護對象類別主要分為以下四類:—行政辦公類:支撐各級交通運輸管理部門和企事業(yè)單位,為開展行政事務或維持自身組織活動而建設的網絡設施及信息系統(tǒng);—運行控制類:對交通運輸基礎設施的運營、運輸工具運行進行協(xié)調控制,或者對旅客、貨物運輸進行生產組織、調度指揮的網絡設施及信息系統(tǒng);—信息服務類:為社會公眾提供信息服務或開展行業(yè)管理等功能的網絡設施及信息系統(tǒng);—基礎支撐類:多個交通運輸行業(yè)信息系統(tǒng)在計算、操作、存儲或通信等方面所依賴的網絡設施及信息系統(tǒng)。交通運輸行業(yè)等級保護對象的分類示例見表2。表2交通運輸行業(yè)等級保護對象分類示例系統(tǒng)類別系統(tǒng)舉例行政辦公類運行控制類4JT/T904—2023表2交通運輸行業(yè)等級保護對象分類示例(續(xù))系統(tǒng)類別系統(tǒng)舉例信息服務類政府網站、交通運輸科技與標準信息資源共享系統(tǒng)、綜合交通運輸統(tǒng)計信息決策支持系統(tǒng)、全國高速公路信息通信系統(tǒng)、交通運輸信用信息管理系統(tǒng)、國家公路網交通情況調查數據采集與服務系統(tǒng)、全國交通運輸行政執(zhí)法綜合管理信息系統(tǒng)、全國公路建設市場信用信息管理系統(tǒng)、全國公路出行信息服務系統(tǒng)、國家公路網綜合養(yǎng)護管理信息系統(tǒng)、12328交通運輸服務監(jiān)督電話系統(tǒng)、全國治超聯網管理信息系統(tǒng)基礎支撐類ETC在線密鑰管理與服務系統(tǒng)、統(tǒng)一身份認證系統(tǒng)、數據交換共享和開放應用系統(tǒng)承載數據根據等級保護對象所處理數據的安全特征,承載數據主要分為以下三類:—核心數據:關系國家安全、國民經濟命脈、重要民生和重大公共利益等的數據;—一般數據:安全屬性遭到破壞后,對社會秩序、公共利益或公民、法人和其他組織的合法權益造成不利影響的數據。影響范圍根據等級保護對象支撐業(yè)務開展情況,影響范圍主要分為全國、區(qū)域、省域和機構內四類。注:區(qū)域一般是指跨兩個以上省級行政區(qū)的組合,如京津冀地區(qū)、長三角地區(qū)、東海海域等。業(yè)務依賴程度根據等級保護對象運行情況對業(yè)務開展的影響,業(yè)務依賴程度分為以下三類:—業(yè)務依賴程度高:受到侵害后,無法通過其他方式支撐定級對象的業(yè)務,業(yè)務運行完全受到影響;—業(yè)務依賴程度中:受到侵害后,可以通過其他方式支撐定級對象的部分業(yè)務,業(yè)務運行受到部分影響;—業(yè)務依賴程度低:受到侵害后,無須或可以通過其他方式支撐定級對象的全部業(yè)務,業(yè)務運行未受到影響。4.3定級工作流程圖1給出等級保護對象定級工作一般流程。圖1等級保護對象定級工作一般流程5JT/T904—2023安全保護等級初步確定為第二級及以上的等級保護對象,其網絡運營者依據本文件組織開展專家評審、主管部門核準和備案審核,最終確定其安全保護等級。等級保護對象定級與備案工作宜符合GB/T注:安全保護等級初步確定為第一級的等級保護對象,其網絡運營者可依據本文件自行確定其最終安全保護等級,可不進行專家評審、主管部門核準和備案審核。5確定定級對象作為定級對象的信息系統(tǒng)具有如下基本特征:a)具有確定的主要安全責任主體;b)承載相對獨立的業(yè)務應用;c)包含相互關聯的多個資源。注1:主要安全責任主體包括但不限于企業(yè)、機關和事業(yè)單位等法人,以及不具備法人資格的社會團體等其他組織。注2:避免將某個單一的系統(tǒng)組件,如服務器、終端或網絡設備等作為定級對象。在確定定級對象時,云計算平臺/系統(tǒng)、物聯網、工業(yè)控制系統(tǒng),以及采用移動互聯技術的系統(tǒng)在要求。5.2通信網絡設施對于高速公路光纖網、衛(wèi)星通信網、通信專網等交通運輸行業(yè)通信網絡設施,宜根據安全責任主體、服務類型或服務地域等因素將其劃分為不同的定級對象?？缡?區(qū)、市)的行業(yè)或單位的專用通信網可作為一個整體對象定級或分區(qū)域劃分為若干個定級對象。5.3數據資源數據資源可獨立定級。當安全責任主體相同時,大數據、大數據平臺/系統(tǒng)宜作為一個整體對象定級;當安全責任主體不同時,大數據應獨立定級。6初步確定等級不同定級對象的定級方法不同,對于通信網絡設施、云計算平臺/系統(tǒng)等起支撐作用的定級對象和數據資源,定級方法在第7章給出。對于較為龐大的等級保護對象,為了體現分等級保護、優(yōu)化信息安全資源配置的原則,可將其劃分為多個定級對象。如果等級保護對象責任邊界一致,業(yè)務關聯度較大,也可將多個系統(tǒng)合并為一個等級保護對象進行定級。定級對象的安全主要包括業(yè)務信息安全和系統(tǒng)服務安全,與之相關的受侵害客體和對客體的侵害程度可能不同,因此,安全保護等級由業(yè)務信息安全和系統(tǒng)服務安全兩方面確定。從業(yè)務信息安全角度反映的定級對象安全保護等級稱為業(yè)務信息安全保護等級;從系統(tǒng)服務安全角度反映的定級對象安全保護等級稱為系統(tǒng)服務安全保護等級。具體流程如下:a)確定受到破壞時所侵害的客體:6JT/T904—20231)確定業(yè)務信息受到破壞時所侵害的客體;2)確定系統(tǒng)服務受到破壞時所侵害的客體。b)確定對客體的侵害程度:1)根據不同的客體,分別評定業(yè)務信息安全被破壞對客體的侵害程度;2)根據不同的客體,分別評定系統(tǒng)服務安全被破壞對客體的侵害程度。c)確定安全保護等級:1)確定業(yè)務信息安全保護等級;2)確定系統(tǒng)服務安全保護等級;3)將業(yè)務信息安全保護等級和系統(tǒng)服務安全保護等級的較高者確定為定級對象的安全保護等級。定級流程如圖2所示。圖2交通運輸行業(yè)定級流程示意圖6.2確定受侵害的客體判斷交通運輸行業(yè)等級保護對象受到損害后是否侵害到國家安全,主要基于其是否涉及重要國家事務處理、國防工業(yè)生產及國防設施控制,受到非法控制后是否會影響國家統(tǒng)一、民族團結和社會穩(wěn)定,是否涉及國家安全保衛(wèi)工作、涉及尖端科技研究及生產,是否涉及國家安全的交通運輸基礎設施生產、控制、管理等。侵害國家安全的事項包括以下方面:—影響國家政權穩(wěn)固和領土主權、海洋權益完整;—影響國家統(tǒng)一、民族團結和社會穩(wěn)定;—影響國家社會主義市場經濟秩序和文化實力;—影響國家對外活動中的政治、經濟利益;—影響國家國防實力及重要的安全保衛(wèi)工作;—影響國家經濟競爭力和科技實力;—其他影響國家安全的事項。判斷交通運輸行業(yè)等級保護對象受到損害后是否侵害到社會秩序、公共利益,主要基于其是否支撐交通運輸行業(yè)主管部門宏觀調控、市場監(jiān)管、社會管理和公共服務等職能,是否支撐交通運輸領域的公共設施管理和服務工作,是否支撐交通運輸領域提供面向社會公眾的生產和運營業(yè)務。a)侵害社會秩序的事項包括以下方面:7JT/T904—2023務的工作秩序;2)影響公共場所的活動秩序、公共交通秩序;3)影響人民群眾的生活秩序;4)影響公眾在法律約束和道德規(guī)范下的正常生活秩序等;5)其他影響社會秩序的事項。b)侵害公共利益的事項包括以下方面:1)影響社會成員使用公共設施;2)影響社會成員獲取公開數據資源;3)影響社會成員接受公共服務等方面;4)影響交通運輸行業(yè)企事業(yè)單位或社會公眾合法權益的獲得;5)其他影響公共利益的事項。侵害公民、法人和其他組織合法權益的事項是指損害受法律保護的公民、法人和其他組織所享有的社會權利和利益等。[來源:GB/T22240—2020,6.2,有修改]6.2.2確定受侵害的客體的方法判斷等級保護對象受到損害后影響的客體,可通過定級對象的二級要素來判斷,其中業(yè)務信息受到破壞時所侵害的客體與影響范圍、承載數據相關,系統(tǒng)服務受到破壞時所侵害的客體與等級保護對象類當無法使用二級要素確定客體時,根據定級對象受到損害后的影響,首先判斷是否侵害國家安全,然后判斷是否侵害社會秩序或公眾利益,最后判斷是否侵害公民、法人和其他組織的合法權益。6.3確定對客體的侵害程度在針對不同的客體進行侵害程度的判斷時,參照以下不同的判別基準:a)如果客體是公民、法人或其他組織的合法權益,則以本人或本單位的總體利益作為判斷侵害程度的基準;b)如果客體是社會秩序、公共利益或國家安全,則以整個交通運輸行業(yè)或國家的總體利益作為判斷侵害程度的基準。6.3.2侵害的客觀方面在客觀方面,對客體的侵害外在表現為對定級對象的破壞,其侵害方式表現為對業(yè)務信息安全的破壞和對系統(tǒng)服務安全的破壞。其中,業(yè)務信息安全是指確保定級對象中信息的保密性、完整性和可用性,系統(tǒng)服務安全是指確保定級對象可以及時、有效地提供服務,以完成預定的業(yè)務目標。由于業(yè)務信息安全和系統(tǒng)服務安全受到破壞所侵害的客體和對客體的侵害程度可能會有所不同,在定級過程中,需要分別處理這兩種侵害方式。根據交通運輸行業(yè)行政管理、公共服務職能和企業(yè)生產、經營活動等特征,業(yè)務信息安全和系統(tǒng)服務安全受到破壞后,可能產生以下部分或全部損害后果:—影響交通通行能力及服務能力;—影響交通運輸行業(yè)相關企業(yè)生產、經營和管理活動;8JT/T904—2023—影響交通運輸相關企業(yè)、法人、從業(yè)者的合法權益;—影響各級交通運輸管理部門正常履行管理、服務職能;—引起法律糾紛;—導致財產損失;—造成社會不良影響;—對其他組織和個人造成損害;—其他影響。6.3.3綜合判斷侵害程度侵害程度是客觀方面的不同外在表現的綜合體現,因此,首先根據不同的客體、不同侵害后果分別確定其侵害程度。對不同侵害后果確定其侵害程度所采取的方法和所考慮的角度可能不同。例如,系統(tǒng)服務安全被破壞導致業(yè)務能力下降的程度可以從定級對象服務覆蓋的區(qū)域范圍、用戶人數或業(yè)務量等不同方面確定;業(yè)務信息安全被破壞導致的財物損失,可以從直接的資金損失大小、間接的信息恢復費用等方面進行確定。不同侵害后果的三種侵害程度描述如下:—一般損害:使交通運輸行業(yè)管理、服務工作職能受到局部影響,交通通行能力及服務能力、交通運輸企業(yè)正常經營能力有所降低但不影響主要業(yè)務執(zhí)行,出現較輕的法律問題,造成較低的財產損失,有限的社會不良影響,對其他組織和個人造成較低損害;—嚴重損害:使交通運輸行業(yè)管理、服務工作職能受到嚴重影響,交通通行能力及服務能力、交通運輸企業(yè)正常經營能力顯著下降且嚴重影響主要業(yè)務執(zhí)行,出現較嚴重的法律問題,造成較高的財產損失,較大范圍的社會不良影響,對其他組織和個人造成較嚴重損害;—特別嚴重損害:使交通運輸行業(yè)管理、服務職能受到特別嚴重影響或喪失行使職能能力,交通通行能力及服務能力、交通運輸企業(yè)正常經營能力等嚴重下降且主要業(yè)務無法執(zhí)行,出現極其嚴重的法律問題,造成極高的財產損失,大范圍的社會不良影響,對其他組織和個人造成非常嚴重損害。6.3.4確定對客體侵害程度的方法6.3.4.1可通過定級對象的二級要素,對客體的侵害程度進行判斷,其中業(yè)務信息受到破壞時所侵害的客體的侵害程度與等級保護對象類別相關,系統(tǒng)服務受到破壞時所侵害的客體的侵害程度與業(yè)務依賴程度相關。通過二級要素與一級要素的對應關系,判斷業(yè)務信息安全、系統(tǒng)服務安全可能受侵害的客體及其侵害程度的建議見表3及表4。表3業(yè)務信息安全二級要素與一級要素的對應關系序號二級要素一級要素類別影響范圍承載數據可能的受侵害的客體對客體可能的侵害程度1行政辦公類全國重要數據嚴重損害一般數據一般損害嚴重損害區(qū)域重要數據嚴重損害一般數據一般損害嚴重損害9JT/T904—2023表3業(yè)務信息安全二級要素與一級要素的對應關系(續(xù))序號二級要素一級要素類別影響范圍承載數據可能的受侵害的客體對客體可能的侵害程度1行政辦公類全省重要數據嚴重損害一般數據一般損害嚴重損害機構內重要數據一般損害一般數據一般損害2運行控制類全國核心數據國家安全嚴重損害重要數據特別嚴重損害或嚴重損害一般數據嚴重損害或一般損害區(qū)域核心數據國家安全嚴重損害重要數據嚴重損害一般數據嚴重損害或一般損害全省核心數據國家安全嚴重損害重要數據嚴重損害或一般損害一般數據一般損害機構內核心數據國家安全嚴重損害重要數據嚴重損害或一般損害一般數據一般損害3信息服務類全國核心數據國家安全嚴重損害重要數據特別嚴重損害或嚴重損害一般數據嚴重損害或一般損害區(qū)域核心數據國家安全嚴重損害重要數據嚴重損害一般數據嚴重損害或一般損害全省核心數據國家安全嚴重損害重要數據嚴重損害或一般損害一般數據嚴重損害或一般損害機構內核心數據國家安全嚴重損害重要數據嚴重損害或一般損害一般數據一般損害4基礎支撐類全國核心數據國家安全嚴重損害重要數據特別嚴重損害或嚴重損害一般數據嚴重損害或一般損害區(qū)域核心數據國家安全嚴重損害JT/T904—2023表3業(yè)務信息安全二級要素與一級要素的對應關系(續(xù))序號二級要素一級要素類別影響范圍承載數據可能的受侵害的客體對客體可能的侵害程度4基礎支撐類區(qū)域重要數據嚴重損害一般數據嚴重損害或一般損害全省核心數據國家安全嚴重損害重要數據嚴重損害或一般損害一般數據一般損害機構內核心數據國家安全嚴重損害重要數據嚴重損害或一般損害一般數據一般損害表4系統(tǒng)服務安全二級要素與一級要素的對應關系序號二級要素一級要素類別影響范圍業(yè)務依賴程度可能的受侵害的客體對客體可能的侵害程度1行政辦公類全國高嚴重損害特別嚴重損害中嚴重損害或一般損害嚴重損害或一般損害低一般損害一般損害區(qū)域高特別嚴重損害中嚴重損害或一般損害低一般損害全省高嚴重損害中嚴重損害或一般損害低一般損害機構內高嚴重損害中嚴重損害或一般損害低一般損害2運行控制類全國高國家安全嚴重損害特別嚴重損害中國家安全嚴重損害嚴重損害低國家安全一般損害一般損害JT/T904—2023表4系統(tǒng)服務安全二級要素與一級要素的對應關系(續(xù))序號二級要素一級要素類別影響范圍業(yè)務依賴程度可能的受侵害的客體對客體可能的侵害程度2運行控制類區(qū)域高特別嚴重損害中嚴重損害低嚴重損害或一般損害全省高嚴重損害中嚴重損害或一般損害低一般損害機構內高特別嚴重損害中嚴重損害低一般損害3信息服務類全國高嚴重損害或特別嚴重損害中嚴重損害低一般損害區(qū)域高嚴重損害中嚴重損害或一般損害低一般損害全省高嚴重損害中嚴重損害或一般損害低一般損害機構內高特別嚴重損害中嚴重損害低一般損害4基礎支撐類全國高國家安全嚴重損害特別嚴重損害中國家安全嚴重損害嚴重損害低國家安全一般損害一般損害區(qū)域高特別嚴重損害中嚴重損害低一般損害全省高特別嚴重損害中嚴重損害低一般損害JT/T904—2023表4系統(tǒng)服務安全二級要素與一級要素的對應關系(續(xù))序號二級要素一級要素類別影響范圍業(yè)務依賴程度可能的受侵害的客體對客體可能的侵害程度4基礎支撐類機構內高特別嚴重損害中嚴重損害低一般損害當無法使用二級要素確定受侵害的客體及對客體的侵害程度時,可根據定級對象所處理的信息種類和系統(tǒng)服務特點,由對不同侵害結果的侵害程度進行綜合評定得出。6.4確定業(yè)務信息安全保護等級根據業(yè)務信息安全被破壞時所侵害的客體,以及對相應客體的侵害程度確定業(yè)務信息安全保護等級,業(yè)務信息安全與安全保護等級的關系符合表5的規(guī)定。表5業(yè)務信息安全與安全保護等級的關系業(yè)務信息安全被破壞時所侵害的客體對相應客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權益第一級第二級第二級第二級第三級第四級國家安全第三級第四級第五級6.5確定系統(tǒng)服務安全保護等級根據系統(tǒng)服務安全被破壞時所侵害的客體,以及對相應客體的侵害程度確定系統(tǒng)服務安全保護等級,系統(tǒng)服務安全與安全保護等級的關系符合表6的規(guī)定。表6系統(tǒng)服務安全保護等級矩陣表系統(tǒng)服務安全受破壞時所侵害的客體對相應客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權益第一級第二級第二級第二級第三級第四級國家安全第三級第四級第五級6.6綜合判定等級定級對象的安全保護等級由業(yè)務信息安全保護等級和系統(tǒng)服務安全保護等級中較高者決定。附錄A給出了某省聯網收費結算管理系統(tǒng)安全等級保護定級示例。JT/T904—20237確定安全保護等級安全保護等級初步確定為第二級及以上的,定級對象的網絡運營者在編制網絡安全等級保護定級報告(見附錄B)后,組織專家評審會對定級結果的合理性進行評審,并出具評審意見。評審通過后,定級對象的網絡運營者將定級結果報請交通運輸行業(yè)主管(監(jiān)管)部門核準,并取得核準意見。網絡運營者按照相關管理規(guī)定,將定級結果提交公安機關進行備案審核。審核不通過的,其網絡運營者需組織重新定級;審核通過后的,最終確定定級對象的安全保護等級。對于通信網絡設施、云計算平臺/系統(tǒng)等定級對象,需根據其承載或將要承載的等級保護對象的重要程度確定其安全保護等級,且不低于其承載的等級保護對象的安全保護等級。全國統(tǒng)一聯網運行網絡,由部級網絡(全國中心系統(tǒng))主管單位統(tǒng)一確定相關定級對象的安全保護等級。對于數據資源,綜合考慮其規(guī)模、價值等因素,及其遭到破壞后對國家安全、社會秩序、公共利益,以及公民、法人和其他組織的合法權益的侵害程度確定其安全保護等級。涉及大量公民個人信息、為公民提供公共服務的大數據平臺/系統(tǒng),以及處理重要數據的系統(tǒng),其安全保護等級不低于第三級。[來源:GB/T22240—2020,第7章,有修改]8等級變更當交通運輸行業(yè)等級保護對象發(fā)生服務范圍、服務對象等重大變更并可能影響安全保護等級,導致業(yè)務信息安全或系統(tǒng)服務安全的一級要素或者二級要素發(fā)生變化時,需根據本文件重新確定定級對象和安全保護等級。JT/T904—2023(資料性)某省聯網收費結算管理系統(tǒng)定級示例A.1定級對象描述某省申請定級系統(tǒng)為聯網收費結算管理中心系統(tǒng),主要包括清分(拆分)結算子系統(tǒng)、費率管理子系統(tǒng)、客戶服務子系統(tǒng)、稽核管理子系統(tǒng)、態(tài)勢感知平臺子系統(tǒng)、省部分為鑒別數據、關鍵業(yè)務數據(交易和清分數據、拆分數據等)、服務支持數據(基礎數據、費率數據、黑名單數據、稽查數據、車輛圖像數據等)和個人信息。系統(tǒng)支撐取消高速公路省界收費站后的收費、部A.2等級保護對象安全保護等級確定流程A.2.1第一步確定定級對象根據A.1,確定定級對象為某省聯