MH-T 0074-2020民用航空旅客服務(wù)信息系統(tǒng)信息安全保護(hù)規(guī)范

ICS35.020

L07

MH

中華人民共和國(guó)民用航空行業(yè)標(biāo)準(zhǔn)

MH/T0074—2020

民用航空旅客服務(wù)信息系統(tǒng)信息安全保護(hù)

規(guī)范

Informationsecurityprotectspecificationforpassengerserviceinformationsystemof

civilaviation

2020-07-20發(fā)布2020-10-01實(shí)施

中國(guó)民用航空局發(fā)布

MH/T0074—2020

民用航空旅客服務(wù)信息系統(tǒng)信息安全保護(hù)規(guī)范

1范圍

本標(biāo)準(zhǔn)規(guī)定了民用航空（以下簡(jiǎn)稱(chēng)民航）旅客服務(wù)信息系統(tǒng)需要滿足的相關(guān)信息安全技術(shù)要求和管

理要求。

本標(biāo)準(zhǔn)適用于民航旅客服務(wù)信息系統(tǒng)的規(guī)劃、設(shè)計(jì)、開(kāi)發(fā)、運(yùn)行及維護(hù)等各個(gè)階段。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求

GB/T35273信息安全技術(shù)個(gè)人信息安全規(guī)范

3術(shù)語(yǔ)和定義

下列術(shù)語(yǔ)和定義適用于本標(biāo)準(zhǔn)。

3.1

民航旅客服務(wù)信息系統(tǒng)passengerserviceinformationsystemofcivilaviation

在旅客計(jì)劃行程、預(yù)定采購(gòu)機(jī)票、飛行與到達(dá)全程各個(gè)階段，需要采集旅客信息，或需要根據(jù)旅客

信息為其主體提供服務(wù)的相關(guān)信息系統(tǒng)。系統(tǒng)范圍包括中國(guó)民航信息網(wǎng)絡(luò)股份有限公司的民航旅客服務(wù)

信息系統(tǒng)，各代理人相關(guān)售票與客戶(hù)管理系統(tǒng)，各航空公司旅客服務(wù)相關(guān)信息系統(tǒng)，各機(jī)場(chǎng)值機(jī)、離港

與行李管理信息系統(tǒng)，以及其他各種與民航旅客行程服務(wù)相關(guān)的信息系統(tǒng)。

3.2

旅客信息passengerinformation

民航旅客服務(wù)相關(guān)機(jī)構(gòu)為旅客提供信息服務(wù)過(guò)程中收集或產(chǎn)生的旅客相關(guān)信息，包括：個(gè)人身份、MH

地址、聯(lián)系方式、機(jī)票交易、民航增值服務(wù)交易等信息。

3.3

運(yùn)營(yíng)者operator

運(yùn)營(yíng)者負(fù)責(zé)民航旅客服務(wù)信息系統(tǒng)的運(yùn)行、管理，對(duì)本單位旅客服務(wù)信息系統(tǒng)安全負(fù)有主體責(zé)任。

4總體安全要求

1

MH/T0074—2020

民航旅客服務(wù)信息系統(tǒng)安全保護(hù)等級(jí)應(yīng)不低于第二級(jí)，網(wǎng)絡(luò)安全保護(hù)應(yīng)符合GB/T22239-2019相應(yīng)

等級(jí)安全要求。

民航旅客服務(wù)信息系統(tǒng)對(duì)旅客信息的保護(hù)應(yīng)符合《中華人民共和國(guó)網(wǎng)絡(luò)安全法》和GB/T35273相

關(guān)要求。

5安全管理

5.1運(yùn)營(yíng)者應(yīng)梳理旅客服務(wù)信息系統(tǒng)業(yè)務(wù)鏈，建立業(yè)務(wù)鏈相關(guān)的網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)和資產(chǎn)清單。

5.2旅客服務(wù)信息系統(tǒng)發(fā)生改建、擴(kuò)建等重大變化時(shí)，運(yùn)營(yíng)者應(yīng)當(dāng)更新網(wǎng)絡(luò)、系統(tǒng)和資產(chǎn)清單。

5.3運(yùn)營(yíng)者新建或改建、擴(kuò)建旅客服務(wù)信息系統(tǒng)時(shí)，應(yīng)充分考慮網(wǎng)絡(luò)安全因素，實(shí)現(xiàn)安全技術(shù)措施同

步規(guī)劃、同步建設(shè)、同步使用。

5.4運(yùn)營(yíng)者應(yīng)建立旅客服務(wù)信息系統(tǒng)安全責(zé)任制，明確相關(guān)安全責(zé)任人，各類(lèi)人員的安全角色和安全

職責(zé)。

5.5運(yùn)營(yíng)者應(yīng)建立適合本單位的旅客服務(wù)信息系統(tǒng)網(wǎng)絡(luò)安全計(jì)劃，明確旅客服務(wù)信息系統(tǒng)安全保護(hù)工

作的目標(biāo)、安全策略、組織架構(gòu)、管理制度、實(shí)施細(xì)則及資源保障等，形成文檔并經(jīng)審批后發(fā)布至相關(guān)

人員。網(wǎng)絡(luò)安全計(jì)劃應(yīng)定期修訂。

6安全防護(hù)

6.1運(yùn)營(yíng)者應(yīng)采取數(shù)據(jù)交換安全措施控制民航旅客服務(wù)信息系統(tǒng)與其他系統(tǒng)之間的數(shù)據(jù)交換。運(yùn)營(yíng)者

應(yīng)根據(jù)旅客服務(wù)信息系統(tǒng)承載業(yè)務(wù)的重要性，對(duì)旅客服務(wù)信息系統(tǒng)實(shí)施分區(qū)分域管理，部署邊界防護(hù)措

施。

6.2運(yùn)營(yíng)者應(yīng)建立計(jì)算機(jī)病毒和網(wǎng)絡(luò)入侵防范機(jī)制，嚴(yán)格限制未授權(quán)的軟硬件設(shè)備接入和安裝。

6.3運(yùn)營(yíng)者應(yīng)對(duì)遠(yuǎn)程運(yùn)維的行為進(jìn)行嚴(yán)格的控制和審計(jì)，相關(guān)的系統(tǒng)網(wǎng)絡(luò)日志留存不少于6個(gè)月。日

志內(nèi)容應(yīng)至少包括：事件的日期和時(shí)間、類(lèi)型、主體、客體、結(jié)果等信息。

6.4運(yùn)營(yíng)者應(yīng)對(duì)旅客服務(wù)信息系統(tǒng)和數(shù)據(jù)庫(kù)進(jìn)行備份，制定備份策略，規(guī)定備份頻率，并定期執(zhí)行，

確保旅客服務(wù)信息系統(tǒng)一旦被破壞，可及時(shí)進(jìn)行恢復(fù)和補(bǔ)救。

6.5運(yùn)營(yíng)者采購(gòu)用于旅客服務(wù)信息系統(tǒng)相關(guān)的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，尤其是網(wǎng)絡(luò)關(guān)鍵設(shè)備、網(wǎng)絡(luò)安全專(zhuān)用

產(chǎn)品，應(yīng)符合法律、行政法規(guī)的規(guī)定和相關(guān)國(guó)家標(biāo)準(zhǔn)的強(qiáng)制性要求。

6.6運(yùn)營(yíng)者應(yīng)提供人員和資金保障，自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)旅客服務(wù)信息系統(tǒng)安全性和可

能存在的風(fēng)險(xiǎn)定期檢測(cè)評(píng)估，并及時(shí)整改發(fā)現(xiàn)的問(wèn)題。檢測(cè)評(píng)估內(nèi)容包括但不限于網(wǎng)絡(luò)安全制度落實(shí)情

況、組織機(jī)構(gòu)建設(shè)情況、人員和經(jīng)費(fèi)投入情況、教育培訓(xùn)情況、技術(shù)防護(hù)情況、風(fēng)險(xiǎn)評(píng)估情況、應(yīng)急演

練情況、網(wǎng)絡(luò)安全等級(jí)保護(hù)工作落實(shí)情況等。

6.7運(yùn)營(yíng)者應(yīng)制定本單位的旅客服務(wù)信息系統(tǒng)網(wǎng)絡(luò)安全應(yīng)急預(yù)案。應(yīng)急預(yù)案應(yīng)包括啟動(dòng)應(yīng)急預(yù)案的條

件、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程、事件報(bào)告流程、事后教育和培訓(xùn)等內(nèi)容。應(yīng)對(duì)旅客服務(wù)信息系統(tǒng)網(wǎng)

絡(luò)安全應(yīng)急預(yù)案定期進(jìn)行評(píng)估修訂，每年至少組織1次應(yīng)急演練。

7旅客信息安全

2

MH/T0074—2020

7.1運(yùn)營(yíng)者收集旅客信息時(shí)，應(yīng)制定旅客信息收集策略和采取相應(yīng)控制機(jī)制，確保旅客信息收集最小

化，并且獲得旅客明示同意，保留旅客明示拒絕的權(quán)利。

7.2運(yùn)營(yíng)者收集旅客信息時(shí)，應(yīng)明確告知旅客信息收集用途、適用范圍與時(shí)長(zhǎng)，告知內(nèi)容應(yīng)足夠簡(jiǎn)易

明確，確保旅客可以充分理解被收集信息與用途的相關(guān)性、適用范圍與時(shí)長(zhǎng)的合理性。

7.3運(yùn)營(yíng)者應(yīng)制定安全策略和采取技術(shù)手段，確保旅客信息在使用、傳輸和存儲(chǔ)各階段的安全性，防

止旅客信息泄露、非法越權(quán)使用。

7.4運(yùn)營(yíng)者應(yīng)將在我國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的旅客信息存儲(chǔ)在境內(nèi)，并采取數(shù)據(jù)備份和加密認(rèn)證等

技術(shù)措施和其他必要措施，防止信息泄露、毀損、丟失。

7.5運(yùn)營(yíng)者共享旅客信息應(yīng)遵循旅客隱私保護(hù)協(xié)議和國(guó)家相關(guān)監(jiān)管要求，共享前應(yīng)執(zhí)行旅客信息共享

影響評(píng)估，需要通過(guò)旅客信息共享協(xié)議建立恰當(dāng)?shù)陌踩雷o(hù)責(zé)任框架和審計(jì)框架，確保旅客信息安全防

護(hù)措施能夠得到切實(shí)執(zhí)行。

MH_________________________________

3

MH/T0074—2020

前言

本標(biāo)準(zhǔn)按照GB/T1.1-2009《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)的結(jié)構(gòu)和編寫(xiě)》給出的規(guī)則起草。

本標(biāo)準(zhǔn)由中國(guó)民用航空局人事科教司提出。

本標(biāo)準(zhǔn)由中國(guó)民航科學(xué)技術(shù)研究院歸口。

本標(biāo)準(zhǔn)起草單位：中國(guó)民航大學(xué)、北京首都國(guó)際機(jī)場(chǎng)股份有限公司、中國(guó)民用航空局空中交通管理

局。

本標(biāo)準(zhǔn)主要起草人：王靜、周景賢、王勇、王雙、張禮哲、顧兆軍、楊銳、劉春波、唐屹、張立斌、

韓燕征、隋翯、劉超、呂宗平、陳寶剛。MH

I

MH/T0074—2020

民用航空旅客服務(wù)信息系統(tǒng)信息安全保護(hù)規(guī)范

1范圍

本標(biāo)準(zhǔn)規(guī)定了民用航空（以下簡(jiǎn)稱(chēng)民航）旅客服務(wù)信息系統(tǒng)需要滿足的相關(guān)信息安全技術(shù)要求和管

理要求。

本標(biāo)準(zhǔn)適用于民航旅客服務(wù)信息系統(tǒng)的規(guī)劃、設(shè)計(jì)、開(kāi)發(fā)、運(yùn)行及維護(hù)等各個(gè)階段。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求

GB/T35273信息安全技術(shù)個(gè)人信息安全規(guī)范

3術(shù)語(yǔ)和定義

下列術(shù)語(yǔ)和定義適用于本標(biāo)準(zhǔn)。

3.1

民航旅客服務(wù)信息系統(tǒng)passengerserviceinformationsystemofcivilaviation

在旅客計(jì)劃行程、預(yù)定采購(gòu)機(jī)票、飛行與到達(dá)全程各個(gè)階段，需要采集旅客信息，或需要根據(jù)旅客

信息為其主體提供服務(wù)的相關(guān)信息系統(tǒng)。系統(tǒng)范圍包括中國(guó)民航信息網(wǎng)絡(luò)股份有限公司的民航旅客服務(wù)

信息系統(tǒng)，各代理人相關(guān)售票與客戶(hù)管理系統(tǒng)，各航空公司旅客服務(wù)相關(guān)信息系統(tǒng)，各機(jī)場(chǎng)值機(jī)、離港

與行李管理信息系統(tǒng)，以及其他各種與民航旅客行程服務(wù)相關(guān)的信息系統(tǒng)。

3.2

旅客信息passengerinformation

民航旅客服務(wù)相關(guān)機(jī)構(gòu)為旅客提供信息服務(wù)過(guò)程中收集或產(chǎn)生的旅客相關(guān)信息，包括：個(gè)人身份、MH

地址、聯(lián)系方式、機(jī)票交易、民航增值服務(wù)交易等信息。

3.3

運(yùn)營(yíng)者operator

運(yùn)營(yíng)者負(fù)責(zé)民航旅客服務(wù)信息系統(tǒng)的運(yùn)行、管理，對(duì)本單位旅客服務(wù)信息系統(tǒng)安全負(fù)有主體責(zé)任。

4總體安全要求

1

MH/T0074—2020

民航旅客服務(wù)信息系統(tǒng)安全保護(hù)等級(jí)應(yīng)不低于第二級(jí)，網(wǎng)絡(luò)安全保護(hù)應(yīng)符合GB/T22239-2019相應(yīng)

等級(jí)安全要求。

民航旅客服務(wù)信息系統(tǒng)對(duì)旅客信息的保護(hù)應(yīng)符合《中華人民共和國(guó)網(wǎng)絡(luò)安全法》和GB/T35273相

關(guān)要求。

5安全管理

5.1運(yùn)營(yíng)者應(yīng)梳理旅客服務(wù)信息系統(tǒng)業(yè)務(wù)鏈，建立業(yè)務(wù)鏈相關(guān)的網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)和資產(chǎn)清單。

5.2旅客服務(wù)信息系統(tǒng)發(fā)生改建、擴(kuò)建等重大變化時(shí)，運(yùn)營(yíng)者應(yīng)當(dāng)更新網(wǎng)絡(luò)、系統(tǒng)和資產(chǎn)清單。

5.3運(yùn)營(yíng)者新建或改建、擴(kuò)建旅客服務(wù)信息系統(tǒng)時(shí)，應(yīng)充分考慮網(wǎng)絡(luò)安全因素，實(shí)現(xiàn)安全技術(shù)措施同

步規(guī)劃、同步建設(shè)、同步使用。

5.4運(yùn)營(yíng)者應(yīng)建立旅客服務(wù)信息系統(tǒng)安全責(zé)任制，明確相關(guān)安全責(zé)任人，各類(lèi)人員的安全角色和安全

職責(zé)。

5.5運(yùn)營(yíng)者應(yīng)建立適合本單位的旅客服務(wù)信息系統(tǒng)網(wǎng)絡(luò)安全計(jì)劃，明確旅客服務(wù)信息系統(tǒng)安全保護(hù)工

作的目標(biāo)、安全策略、組織架構(gòu)、管理制度、實(shí)施細(xì)則及資源保障等，形成文檔并經(jīng)審批后發(fā)布至相關(guān)

人員。網(wǎng)絡(luò)安全計(jì)劃應(yīng)定期修訂。

6安全防護(hù)

6.1運(yùn)營(yíng)者應(yīng)采取數(shù)據(jù)交換安全措施控制民航旅客服務(wù)信息系統(tǒng)與其他系統(tǒng)之間的數(shù)據(jù)交換。運(yùn)營(yíng)者

應(yīng)根據(jù)旅客服務(wù)信息系統(tǒng)承載業(yè)務(wù)的重要性，對(duì)旅客服務(wù)信息系統(tǒng)實(shí)施分區(qū)分域管理，部署邊界防護(hù)措

施。

6.2運(yùn)營(yíng)者應(yīng)建立計(jì)算機(jī)病毒和網(wǎng)絡(luò)入侵防范機(jī)制，嚴(yán)格限制未授權(quán)的軟硬件設(shè)備接入和安裝。

6.3運(yùn)營(yíng)者應(yīng)對(duì)遠(yuǎn)程運(yùn)維的行為進(jìn)行嚴(yán)格的控制和審計(jì)，相關(guān)的系統(tǒng)網(wǎng)絡(luò)日志留存不少于6個(gè)月。日

志內(nèi)容應(yīng)至少包括：事件的日期和時(shí)間、類(lèi)型、主體、客體、結(jié)果等信息。

6.4運(yùn)營(yíng)者應(yīng)對(duì)旅客服務(wù)信息系統(tǒng)和數(shù)據(jù)庫(kù)進(jìn)行備份，制定備份策略，規(guī)定備份頻率，并定期執(zhí)行，

確保旅客服務(wù)信息系統(tǒng)一旦被破壞，可及時(shí)進(jìn)行恢復(fù)和補(bǔ)救。

6.5運(yùn)營(yíng)者采購(gòu)用于旅客服務(wù)信息系統(tǒng)相關(guān)的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，尤其是網(wǎng)絡(luò)關(guān)鍵設(shè)備、網(wǎng)絡(luò)安全專(zhuān)用

產(chǎn)品，應(yīng)符合法律、行政法規(guī)的規(guī)定和相關(guān)國(guó)家標(biāo)準(zhǔn)的強(qiáng)制性要求。

6.6運(yùn)營(yíng)者應(yīng)提供人員和資金保障，自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)旅客服務(wù)信息系統(tǒng)安全性和可

能存在的風(fēng)險(xiǎn)定期檢測(cè)評(píng)估，并及時(shí)整改發(fā)現(xiàn)的問(wèn)題。檢測(cè)評(píng)估內(nèi)容包括但不限于網(wǎng)絡(luò)安全制度落實(shí)情

況、組織機(jī)構(gòu)建設(shè)情況、人員和經(jīng)費(fèi)投入情況、教育培訓(xùn)情況、技術(shù)防護(hù)情況、風(fēng)險(xiǎn)評(píng)估情況、應(yīng)急演

練情況、網(wǎng)絡(luò)安全等級(jí)保護(hù)工作落實(shí)情況等。

6.7運(yùn)營(yíng)者應(yīng)制定本單位的旅客服務(wù)信息系統(tǒng)網(wǎng)絡(luò)安全應(yīng)急預(yù)案。應(yīng)急預(yù)案應(yīng)包括啟動(dòng)應(yīng)急預(yù)案的條

件、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程、事件報(bào)告流程、事后教育和培訓(xùn)等內(nèi)容。應(yīng)對(duì)旅客服務(wù)信息系統(tǒng)網(wǎng)

絡(luò)安全應(yīng)急預(yù)案定期進(jìn)行評(píng)估修訂，每年至少組織