民航旅客服務(wù)信息系統(tǒng)安全事件應(yīng)急響應(yīng)指南Guidelinesforemergencyresponseofp(此版本未經(jīng)出版審核，僅供參考，以最終出版發(fā)布為準(zhǔn)) 12規(guī)范性引用文件 13術(shù)語和定義 1 15分類與分級 25.1一般規(guī)定 2 2 26應(yīng)急準(zhǔn)備 36.1建立應(yīng)急響應(yīng)組織 36.2應(yīng)急預(yù)案制定 36.3應(yīng)急演練 36.4培訓(xùn) 37監(jiān)測與預(yù)警 38應(yīng)急處置 38.1安全事件確定 38.2處置與恢復(fù) 38.3數(shù)據(jù)補(bǔ)錄 59總結(jié)改進(jìn) 5附錄A(資料性)民航旅客服務(wù)信息系統(tǒng)安全事件分級構(gòu)成示例 6工本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由中國交通運(yùn)輸協(xié)會信息專業(yè)委員會提出。本文件由中國交通運(yùn)輸協(xié)會標(biāo)準(zhǔn)化技術(shù)委員會歸口。本文件起草單位：中國民航信息網(wǎng)絡(luò)股份有限公司、中國國際航空股份有限公司、海南航空控股股份有限公司、中國東方航空股份有限公司、廈門航空有限公司、上海吉祥航空有限公司、深圳航空有限責(zé)任公司、海南美蘭國際空港股份有限公司、中國民航科學(xué)技術(shù)研究院、溫州機(jī)場集團(tuán)有限公司、南京祿口國際機(jī)場空港科技有限公司、北京時(shí)代新威信息技術(shù)有限公司。本文件主要起草人：李征、莫鼎丞、李佳宇、王宇、畢錚、黃彩虹、楊京煜、羅子庚、郭澤銳、朱軍軍、李恩哲、張慶莉、福玉行、宗深、王明、郭哲愷、溫澍訓(xùn)、叢曉琳、吳曉明、劉刊、王優(yōu)、曾福戀、李介林、趙東洲、王欣、許羽、朱軍、宋學(xué)淵、濮小祥、馬海躍、段彧、鐘山、馬也、余揚(yáng)、宗金貴、黃曉偉、胡克非、許晶鑫、王連強(qiáng)。1本文件提出了民航旅客服務(wù)信息系統(tǒng)安全事件的分類與分級、應(yīng)急準(zhǔn)備、監(jiān)測與預(yù)警、應(yīng)急處置、總結(jié)改進(jìn)的建議。本文件適用于民航旅客服務(wù)信息系統(tǒng)安全事件的應(yīng)急響應(yīng)。2規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T20986信息技術(shù)安全技術(shù)網(wǎng)絡(luò)安全事件分類分級指南GB/T28827.3信息服務(wù)技術(shù)運(yùn)行維護(hù)第3部分：應(yīng)急響應(yīng)規(guī)范3術(shù)語和定義下列術(shù)語和定義適用于本文件。在旅客計(jì)劃行程、預(yù)訂采購機(jī)票、飛行與到達(dá)全程各個(gè)階段，需要采集旅客信息，或需要根據(jù)旅客信息為其主體提供服務(wù)的相關(guān)信息系統(tǒng)。安全事件securityincidents可能對信息系統(tǒng)造成損害，導(dǎo)致或即將導(dǎo)致運(yùn)行維護(hù)服務(wù)對象運(yùn)行中斷、運(yùn)行質(zhì)量降低及對社會造成負(fù)面影響的事件。負(fù)責(zé)民航旅客服務(wù)信息系統(tǒng)的運(yùn)行、管理的單位。4總則4.1依照GB/T28827.3,民航旅客服務(wù)信息系統(tǒng)安全事件(以下簡稱“安全事件”)應(yīng)急響應(yīng)過程分為應(yīng)急準(zhǔn)備、監(jiān)測與預(yù)警、應(yīng)急處置和總結(jié)改進(jìn)四個(gè)階段。24.2應(yīng)急處置在應(yīng)急準(zhǔn)備、監(jiān)測與預(yù)警的基礎(chǔ)上進(jìn)行。安全事件的分類分級符合GB/T20986的要求。5.2.1安全事件分為運(yùn)營安全事件、網(wǎng)絡(luò)安全事件和數(shù)據(jù)安全事件。5.2.2運(yùn)營安全事件分為應(yīng)用系統(tǒng)故障事件、基礎(chǔ)設(shè)施系統(tǒng)故障事件和關(guān)聯(lián)系統(tǒng)故障事件。5.2.3網(wǎng)絡(luò)安全事件分為網(wǎng)絡(luò)攻擊事件、有害程序事件和信息內(nèi)5.2.4數(shù)據(jù)安全事件分為數(shù)據(jù)泄露事件、數(shù)據(jù)篡改事件和數(shù)據(jù)錯(cuò)誤事件。5.3分級劃分為“特別重大事件(一級)”、“重大事件(二級)”、“較大事件(三級)”、“一般事件(四級)”。安全事件分級構(gòu)成示例參見附錄A。5.3.2特別重大事件(一級)b)產(chǎn)生特別重大的社會危害。5.3.3重大事件(二級)a)導(dǎo)致特別重要的事件影響對象遭受嚴(yán)重的業(yè)務(wù)損失或?qū)е轮匾氖录绊憣ο笤馐芴貏e嚴(yán)重的b)產(chǎn)生重大的社會危害。5.3.4較大事件(三級)a)導(dǎo)致特別重要的事件影響對象遭受較大或較小的系統(tǒng)損失，或重要的事件影響對象遭受嚴(yán)重或較大的系統(tǒng)損失，或?qū)е乱话愕氖录绊憣ο笤馐茌^大(含)以上級別的系統(tǒng)損失，或；b)產(chǎn)生較大的社會危害。5.3.5一般事件(四級)36.1.1建立職責(zé)范圍和操作權(quán)限明確的應(yīng)急隊(duì)伍。6.1.2建立可靠的溝通機(jī)制和通信渠道。6.1.3定期對應(yīng)急隊(duì)伍成員進(jìn)行培訓(xùn)。6.2應(yīng)急預(yù)案制定6.2.2應(yīng)急預(yù)案根據(jù)民航旅客服務(wù)信息系統(tǒng)安全事件6.3.1運(yùn)營者依據(jù)應(yīng)急預(yù)案組織應(yīng)急演練，并根據(jù)演練效果完善應(yīng)急預(yù)案。6.3.2運(yùn)營者每年至少組織一次應(yīng)急演練。6.4培訓(xùn)等安全技能培訓(xùn)，應(yīng)急隊(duì)伍成員宜獲得企業(yè)或行業(yè)安7監(jiān)測與預(yù)警48.2.1.2基礎(chǔ)設(shè)施系統(tǒng)故障事件按以下方式處置：8.2.1.3關(guān)聯(lián)系統(tǒng)故障事件按以下方式處置：b)較大事件宜在24小時(shí)內(nèi)完成漏洞修復(fù)、備用系統(tǒng)切換或關(guān)閉8.2.2.2有害程序事件按以下方式處置：c)重大事件和特別重大事件宜進(jìn)行系統(tǒng)或網(wǎng)8.2.2.3信息內(nèi)容安全事件按以下方式處置：b)較大事件宜在24小時(shí)內(nèi)完成漏洞修復(fù)8.2.3.2數(shù)據(jù)篡改事件按以下方式處置：58.2.3.3數(shù)據(jù)錯(cuò)誤事件按以下方式處置：c)重大事件和特別重大事件宜關(guān)閉該數(shù)據(jù)所在8.3數(shù)據(jù)補(bǔ)錄6(資料性)民航旅客服務(wù)信息系統(tǒng)安全事件分級構(gòu)成示例民航旅客服務(wù)信息系統(tǒng)安全事件分級構(gòu)成示例可參考表A.1。表A.1民航旅客服務(wù)信息系統(tǒng)安全事件分級構(gòu)成示例網(wǎng)絡(luò)安全事件特別重大系統(tǒng)部分或全部功能停止成特別重大的社會危害受到持續(xù)、大量、有組織的網(wǎng)絡(luò)攻系統(tǒng)多次病毒發(fā)作或嚴(yán)重發(fā)作，導(dǎo)關(guān)鍵功能出現(xiàn)嚴(yán)重有害信息，對系統(tǒng)功能造成損害，造成特別重大社會危害系統(tǒng)中大量業(yè)務(wù)數(shù)據(jù)泄漏，導(dǎo)致特別嚴(yán)重的業(yè)務(wù)損失或造成特別重大的社會危害(二級)系統(tǒng)部分或全部功能停止大的社會危害。系統(tǒng)頻繁受到多次網(wǎng)絡(luò)攻擊，導(dǎo)致嚴(yán)重的業(yè)務(wù)損失系統(tǒng)多次病毒發(fā)作或嚴(yán)重發(fā)作，導(dǎo)系統(tǒng)出現(xiàn)嚴(yán)重有害信息，傳播廣泛，造成重大社會危害系統(tǒng)中大量或者少量成重大的社會危害(三級)系統(tǒng)部分或全部功能停止導(dǎo)致較大的業(yè)務(wù)損失，或造成較大的社會危害系統(tǒng)遭受多次網(wǎng)絡(luò)攻擊，導(dǎo)致較大系統(tǒng)大