返回
MHT 0036-2012 民用航空网络与信息安全评估规范

MHT 0036-2012 民用航空网络与信息安全评估规范

ID:7704019

大小:251.12 KB

页数:13页

时间:2018-02-22

MHT 0036-2012 民用航空网络与信息安全评估规范_第1页
MHT 0036-2012 民用航空网络与信息安全评估规范_第2页
MHT 0036-2012 民用航空网络与信息安全评估规范_第3页
MHT 0036-2012 民用航空网络与信息安全评估规范_第4页
MHT 0036-2012 民用航空网络与信息安全评估规范_第5页
资源描述:

《MHT 0036-2012 民用航空网络与信息安全评估规范》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、ICS35.020L07MH中华人民共和国民用航空行业标准MH/T0036—2012民用航空网络与信息安全评估规范Specificationforcivilaviationnetworkandinformationsecurityevaluation2012-02-08发布2012-06-01实施中国民用航空局发布MH/T0036—2012前言本标准按照GB/T1.1-2009给出的规则起草。本标准由中国用航空局人事科教司提出。本标准由中国民航航空局航空器适航审定司批准立项。本标准由中国民航科学

2、技术研究所归口。本标准起草单位:中国民航大学、中国民航科学技术研究院。本标准主要起草人:杨宏宇、杜伟军、付宇、熊育婷。IMH/T0036—2012民用航空网络与信息安全评估规范1范围本标准规定了民航网络与信息安全评估内容、民航网络与信息安全监督评估的流程和指标。本标准适用于民用航空网络与信息安全评估。2术语和定义下列术语和定义适用于本标准。2.1网络与信息安全networkandinformationsecurity依靠网络进行的信息交互活动中的信息安全性,以及网络与信息系统自身的安全可靠性,特

3、指网络和信息系统的保密性、完整性和可用性,以及信息的可认证性、可核查性、不可抵赖性和可靠性。2.2完整性integrity保护资产的准确和完整的特性。2.3保密性confidentiality信息不能被未授权的个人、实体或者过程利用或知悉的特性。2.4连续性continuity系统MH服务状态或通过系统服务实现的业务运营状态得以持续的特性。2.5风险评估riskassessment风险分析和评价的整个过程。2.6信息安全事件informationsecurityincident由于自然或者人为以

4、及软硬件本身缺陷或故障的原因,对信息系统造成危害,或对社会造成负面影响的事件。2.7信息安全事故informationsecurityaccident1学兔兔www.bzfxw.comMH/T0036—2012由各种原因导致出现业务中断、系统瘫痪、关键数据丢失或核心信息失窃密等,从而在国家安全、社会稳定或公众利益等方面造成不良影响以及造成一定程度经济损失的事件。3评估内容3.1规章制度与组织管理3.1.1信息安全组织与职责应评估:a)信息安全组织机构;b)各信息技术部门职责;c)所有涉及信息安全

5、的岗位职责及责任人。3.1.2信息安全体系文件应评估信息安全总体方针、安全策略体系、安全组织体系和安全制度等文件。3.1.3人事管理应评估:a)人员聘用安全;b)员工调动;c)员工安全意识培养;d)安全教育培训;e)外部维护人员的管理;f)奖励与惩罚;g)信息系统用户注册与注销流程等。3.2关键设备与服务采购应评估系统相关资产的管理机制、管理规范、采购规范与流程控制、近期采购项目、产品认证、采购协议等。3.3网络与信息系统安全应评估信息安全防护技术措施和安全产品,包括:a)信息系统安全架构,如业

6、务应用系统分区、安全域划分、安全设备部署位置、边界保护设计、密钥管理安全等;b)网络安全,如拒绝服务保护、传输安全、移动代码安全性、抗抵赖等;c)设备和数据库安全,如网络设备、安全设备、服务器、中间件及数据库等。d)安全防护产品,如防火墙、入侵检测系统、防毒墙等。3.4应用系统安全应从业务连续性、保密性、数据完整性、系统可靠性等角度,评估业务应用系统的安全状况,包括:a)信息系统架构分析;b)安全设计和配置的评估内容,如系统的保护等级定级、安全措施等;c)安全保障技术的评估内容,如用户标识、身份

7、鉴别、密码策略、数据保护等;2学兔兔www.bzfxw.comMH/T0036—2012d)版本控制及源代码保护;e)安全功能验证。3.5安全管理与运行状况应评估网络与信息系统的安全策略、安全管理规章制度,内容包括:a)认证系统的评估:系统访问授权、系统的身份鉴别与认证;b)安全技术管理的评估:安全管理平台、审计系统、监测系统、漏洞管理;c)终端接入安全的评估:实时通讯工具的安全隐患、计算机病毒防护;d)运行安全的评估:灾难备份、应急处理与系统恢复、安全测试与应急演练。3.6存储介质及物理环境安

8、全应进行:a)存储介质的管理的评估:存储介质的管理流程、责任认定、定期检查、管理记录;b)机房环境的评估:机房的物理环境检查与维护、消防设备的可用性、机房的管理制度。4评估方式4.1自评估被评估对象应对本单位的网络与信息系统安全情况进行自评估,如实填写网络与信息安全评估表,评估表见附录A。4.2文档评估应对被评估对象的文档进行分析和评价。4.3资料审阅应调阅被评估系统的建设文档资料、运行管理文档资料及记录等,审阅被评估对象的网络与信息安全评估表。4.4现场核查应MH对信息系统基础设施的物理环境、

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。