航空公司信息安全等级保护制度

信息安全等级保护制度概述信息安全等级保护制度（简称“等保制度”）是中国政府在信息安全领域的重要措施之一，目的在于建立一套科学、合理、可有效执行的信息安全保护制度，减少信息安全风险并维护国家信息安全。

等保制度的核心是建立信息安全等级评估机制和信息安全等级保护措施。

等保等级等保制度是按照“等级+分类”的方式执行的，也就是将不同的信息系统分为不同的安全等级，给出相应的等保等级控制要求和技术要求。

根据国家标准《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2008），等保等级分为4个级别，从高到低分别是：一级、二级、三级、四级。

其中一级要求最高，四级要求最低。

不同等保等级的信息系统，需要采取不同的安全保护措施。

等保评估信息安全等级评估是指对信息系统的安全性进行全面评估，确定其实际受到的攻击威胁以及存在的安全风险，从而确定系统的等保等级。

等保评估是等保制度的核心环节，也是等保保护措施的依据。

等保评估分为两种类型：自我评估和第三方评估。

自我评估适用于等保一级、二级信息系统，第三方评估适用于等保三级、四级信息系统。

等保保护根据等保评估结果，完成等保系统以后需要进行等保保护工作。

等保保护工作包括物理安全措施、技术安全措施、管理安全措施三个方面。

其中物理安全措施主要是对硬件设备的保护，如安装门禁、监控等；技术安全措施是对软件设备的保护，如防火墙、入侵检测等；管理安全措施是对人员进行管理，如实施权限控制、制定密码规则等。

等保保护需要全面、周密地组织实施，保障对信息系统的全面保护，确保系统安全稳定可靠。

信息安全等级保护的意义等保制度是一项非常重要的信息安全保护措施，有着广泛的应用价值。

它的重要意义表现在以下几个方面：内部保护等保制度为企业和组织内部的信息系统提供了全面的信息安全保护，确保了系统的稳定性和可靠性。

企业和组织可以根据等保等级要求对信息系统进行详细的评估，制定相应的保护措施，从而避免或者最大程度上减少信息安全事件的发生。

信息安全等级保护制度遵循以下基本原则：
1.明确责任，共同保护。

这一原则强调组织和动员国家、法人和其他组织、公民共同参与信息安全保护工作，各方主体需要按照规范和标准分别承
担明确且具体的信息安全保护责任。

2.依照标准，自行保护。

国家通过制定强制性的规范及标准，要求信息和信息系统按照相应的建设和管理要求，自行确定安全保护等级并进行保护。

3.同步建设，动态调整。

信息系统在新建、改建、扩建时应当同步建设信息安全设施，确保信息安全与信息化建设相适应。

同时，因信息和应用类
型、范围等条件的变化或其他原因，安全保护等级需要变更的，应根据等级保护的管理规范和技术标准的要求重新确定。

4.指导监督，重点保护。

国家通过信息安全监管职能部门对重要信息和信息系统的信息安全保护工作进行指导和监督，确保这些关键信息资产得到
充分的保护。

此外，信息安全等级保护制度还应遵循合法性原则，即所有活动都应符合国家法律法规的规定，如网络安全法、密码管理条例等。

请注意，信息安全等级保护制度的具体实施可能因国家、地区或组织而异，以上原则仅供参考。

信息安全等级保护制度1. 简介信息安全等级保护制度是为了保障机构和个人的信息安全，确保信息资源在使用、传输和存储过程中不受到非法获取、篡改和破坏的制度。

本文旨在介绍信息安全等级保护制度的背景、目的、原则以及具体实施步骤。

2. 背景随着信息技术的快速发展，信息安全面临越来越严峻的挑战。

大规模的网络攻击、数据泄露事件频发，给机构和个人带来了巨大的损失。

为了加强对信息安全的保护，确保国家安全和社会稳定，信息安全等级保护制度应运而生。

3. 目的信息安全等级保护制度的目的主要有以下几点：•统一信息安全管理标准：通过制定统一的标准和规范，确保信息安全管理工作的可操作性和一致性。

•提高信息安全保护水平：按照不同的安全等级要求，采取相应的措施和防护措施，提高信息安全的保护水平。

•促进信息安全技术的发展：制度的实施将推动信息安全技术的研究和应用，促进信息安全技术的发展和创新。

4. 原则信息安全等级保护制度的实施应遵循以下原则：•全面性原则：制度应对所有涉及信息资源的机构和个人适用，确保全面保护信息安全。

•灵活性原则：制度应根据不同的信息安全等级要求，采取相应的措施，灵活适应不同的情况和需求。

•风险管理原则：制度应建立完善的风险管理机制，评估和应对各种信息安全风险。

•法律依据原则：制度应遵循国家相关法律法规，确保合法合规。

•隐私保护原则：制度应保护个人隐私权益，禁止非法收集和使用个人信息。

5. 实施步骤5.1 制定信息安全等级分类标准制定信息安全等级分类标准是信息安全等级保护制度的重要基础，主要包括以下方面：•信息资源分类：对不同类型的信息资源进行分类，如国家秘密级、商业机密级、一般内部级等。

•安全等级划分：根据不同的信息资源分类，制定相应的安全等级划分标准，包括技术要求、管理要求等。

•安全风险评估：对各个安全等级进行安全风险评估，确定对应的安全等级控制要求。

5.2 制定信息安全等级保护标准与规范根据信息安全等级分类标准，制定相应的信息安全等级保护标准与规范，明确具体的安全保护要求和控制措施。

2024年民用航空安全信息管理规定民用航空安全是保障民众生命财产安全和国家利益的重要任务。

为了规范和完善民用航空安全管理，提高民用航空业的安全水平，2024年民用航空安全信息管理规定制定如下：第一章总则第一条为了统一和规范民用航空安全信息管理，保障航空工作的安全、顺畅进行，本规定制定。

第二条民用航空安全信息管理规定适用于我国境内的民用航空活动，包括但不限于航空器运行、飞行员训练、机场运营等。

第三条民用航空安全信息管理的原则是以预防为主、综合管理、分级负责、公平公正。

第四条民用航空安全信息管理应当坚持依法治理、科学管理、公开透明、信息共享的原则。

第五条为了保障民用航空安全信息的真实、准确和及时性，所有相关单位和个人应当积极配合并提供必要的支持。

第二章安全信息的采集和分发第六条民用航空安全信息的采集应当依托先进的信息技术和相关设备，包括但不限于航空器自动监测系统、卫星导航系统等。

第七条民用航空安全信息的采集范围包括航空器的飞行数据、维修记录、运行情况等。

第八条民用航空安全信息的分发应当依据需要和权限进行，确保信息的及时性和准确性。

第九条民用航空安全信息的分发对象包括但不限于航空公司、机场管理机构、国家相关机构等。

第十条民用航空安全信息的分发方式包括但不限于电子邮件、传真、网络传输等。

第三章安全事件报告和调查第十一条凡是发生民用航空安全事件，相关单位和个人应当立即向当地民航局报告。

第十二条民用航空安全事件的报告应当包括事件发生的时间、地点、原因、人员伤亡情况等详细信息。

第十三条民用航空安全事件的调查由当地民航局或者国家相关机构负责组织进行。

第十四条民用航空安全事件的调查应当依据相关法律法规和标准进行，确保调查结论的准确性和客观性。

第十五条民用航空安全事件的调查结果应当及时公布，遵守信息公开的原则。

第四章安全信息管理的要求第十六条所有民用航空单位应当建立健全安全信息管理体系，确保安全信息的采集、分发、报告和调查工作的顺利进行。

信息安全等级保护制度信息安全等级保护制度是指通过对信息系统进行安全评估，根据其安全风险等级的不同，对相关信息进行分级保护的制度。

该制度的目的是保护信息系统的安全，防止信息泄露、被篡改或被破坏，确保关键信息的机密性、完整性和可用性。

下面将重点介绍信息安全等级保护制度的主要内容。

首先，信息安全等级保护制度的制定需要明确的技术和管理标准。

技术标准包括基础设施、网络安全、加密算法等方面的标准，用于评估信息系统的安全风险等级。

管理标准包括组织安全管理、风险管理、安全培训等方面的要求，用于规范信息系统的安全保护工作。

其次，制度还需要包括信息安全等级评估的程序和方法。

评估的程序主要包括评估前准备、信息收集、风险分析、等级划定、评估报告等环节。

评估的方法可以采用定性分析、定量分析或综合分析等不同的方法，根据实际情况选择合适的方法进行评估。

接着，制度还需要明确不同等级的信息安全保护要求。

根据评估结果，将信息系统划分为不同的安全等级，每个等级都有相应的安全保护要求。

例如，高等级的信息系统需要采取更加严格的措施来保护其安全，如加密通信、身份认证、访问控制等。

而低等级的信息系统则可以采取相对简单的措施来保护其安全。

最后，制度还需要明确信息安全等级的监督和管理机制。

监督和管理机制应包括对信息系统安全保护措施的检查和评估，对违规行为的处罚和处置，对信息系统安全事件的处理等。

此外，还需要建立相关的培训和宣传制度，提高员工对信息安全的认识和意识。

总之，信息安全等级保护制度是一项非常重要的制度，对于保护信息系统的安全起着关键的作用。

通过制定明确的技术和管理标准，并采用合适的评估方法，明确不同等级的安全保护要求，建立监督和管理机制，可以有效地提高信息系统的安全性，保护信息的机密性、完整性和可用性。

信息安全等级保护制度的主要内容和要求什么是信息安全等级保护制度？信息安全等级保护制度，简称信息保护制度（或C保护制度），是指国家对各类重要信息系统的安全等级进行划分，并根据不同等级制定不同的信息安全保护措施体系。

该制度是我国信息安全行业的重要标志之一，目的是保护重要信息系统的安全和稳定运行，从而保障国家的安全利益。

信息安全等级保护制度的主要内容信息安全等级保护制度是由官方机构和专业机构共同参与制定，目前分为4个级别，分别为“核心”、“重要”、“一般”、“一般级”四个级别，每个级别的保护要求和保护措施不同。

核心级核心级是最高等级，指涉及国家安全、军事安全、重要经济命脉、人民群众生命财产安全以及社会稳定等方面的信息系统。

其主要保护措施包括：•每日备份数据至离线备份机房；•应急处置预案必须保持在最新状态；•用户需要签订保密协议，保障数据安全；•部署安全监控系统，随时捕捉异常操作或攻击情况；•信息泄露后，需在2小时内报告相关部门。

重要级重要级信息系统是指涉及国家经济建设、政治、外交、科技等国家利益和人民群众生产、生活和健康安全方面的信息系统。

其主要保护措施包括：•划分多层次访问权限，在明确范围内进行配置；•实施物理隔离和网络隔离，确保边界安全；•部署安全防护设备，包括入侵检测、防火墙等；•开展安全漏洞测试和风险评估。

一般级一般级信息系统是指涉及政府各部门、企事业单位等一般信息系统。

其主要保护措施包括：•加密重要信息，确保机密性；•网络通信安全，保护数据完整性和可用性；•安全审计，记录和监督操作日志；•针对各种攻击手段进行防范和应对。

一般级（核心部委）一般级（核心部委）是对部委系统进行特殊分类的一般级信息系统。

其主要保护措施包括：•安全防护设备，如断网安全等级保护系统（GJB1782-2005）；•资源访问控制，限制非本系统人员访问；•数据备份及恢复，避免数据丢失；•安全漏洞扫描、修复和漏洞统计。

信息安全等级保护制度的主要要求信息安全等级保护制度对每个级别都有一系列的要求，其中一些主要的要求包括：•整体安全意识要高，每个岗位、每个员工都要重视信息安全；•建立完善的安全管理和保障体系，包括安全组织、安全策略、安全标准等；•建立完善的信息管理和保障体系，包括信息采集、信息存储、信息传输等；•建立完善的安全监控和应急预案体系，包括定期演练应急处置预案、维护系统和网络设施的安全等等。

信息安全等级保护制度概述信息安全等级保护制度是指一种根据信息内容重要程度划分等级，按照不同等级的安全保障要求和分类管理标准，采取针对性的安全防范措施，降低信息泄露和网络攻击等风险的管理制度。

制度等级分类根据国家《保密法》和《信息安全等级保护管理办法》规定，信息安全等级保护分为4个等级，由高到低分别为：特级、一级、二级、三级。

1.特级：适用于涉国家安全和重要决策的核心信息；2.一级：适用于涉及国家利益和重要业务的重要信息；3.二级：适用于企事业单位的核心信息和关键技术信息；4.三级：适用于企事业单位的一般信息和管理信息。

制度要求1.信息分类：对企事业单位的信息资产进行分类，根据不同等级进行安全保护和管理。

2.安全措施：采取适当的技术措施和管理制度，确保信息在存储、传输、处理等过程中的安全性和完整性。

3.安全培训：针对不同的岗位，制定不同的安全培训计划和内容，加强安全教育，提升员工的安全意识和技能。

4.安全评估：定期进行信息安全评估和风险评估，及时发现和解决安全问题，提高信息安全等级保护能力。

5.安全应急：建立完善的安全事件应急预案，及时应对和处理安全事件，降低安全风险。

实施措施在实施信息安全等级保护制度时，需要根据企业的实际情况采取相应的措施，包括以下几个方面：制度建设1.制定信息安全管理制度，建立相关部门和岗位，明确职责和权限。

2.制定信息分类和等级划分标准，明确各级别信息的保密程度和安全要求。

3.建立安全保障和检查机制，设置安全巡查、监督和管理流程，保障信息安全。

技术措施1.建立物理安全措施，包括防火墙、入侵检测和防病毒系统等。

2.建立网络安全措施，包括网络拓扑结构设计、网络访问控制和数据加密等。

3.建立数据安全措施，采用数据加密、备份和恢复等技术手段，保障数据安全。

培训和评估1.建立安全教育、培训和考核机制，提升员工的安全意识和技能。

2.建立信息安全评估和风险评估机制，定期进行评估和改进。

总结信息安全等级保护制度是企业信息安全管理的基础和核心，通过科学的等级划分和针对性的防护措施，可以有效预防和减少信息泄露和网络攻击等风险，降低企业的安全风险，提高信息安全保护能力。

信息安全等级保护工作制度
为加强本单位信息安全等级保护工作，规范信息安全等级保护行为，制定本制度。

二、适用范围
本制度适用于本单位所有工作人员、访问者等。

三、信息安全等级保护分类
本单位将信息安全等级分为四级，即特级、一级、二级、三级。

四、信息安全等级保护管理
1. 本单位对各级信息系统进行分类管理，明确安全等级及适用范围。

2. 确定信息系统管理员，负责信息系统的管理、维护和安全保障工作。

3. 信息系统管理员应定期进行漏洞扫描，并及时排查、处理漏洞。

4. 本单位应定期组织信息安全演练，提高工作人员信息安全意识和技能水平。

5. 本单位应加强对个人信息及敏感信息的保护，防止泄露。

五、信息安全等级保护措施
1. 对特级信息系统和一级信息系统应采取物理隔离措施。

2. 本单位应建立完善的安全审计机制，对各级信息系统进行审计。

3. 对重要信息系统应建立备份机制，及时备份数据，保证数据的完整性和可用性。

4. 对所有信息系统应进行安全加固，设置防火墙、入侵检测系统等安全设备，防范网络攻击。

六、信息安全等级保护责任
1. 本单位领导应加强对信息安全等级保护的重视，全面贯彻信息安全等级保护工作。

2. 所有工作人员应严格遵守本制度，防范信息泄露和攻击。

3. 信息系统管理员应认真履行管理职责，保障系统的安全性和稳定性。

4. 违反本制度的行为，将受到相应的纪律处分。

七、附则
1. 本制度自颁布之日起施行，如有修订，经本单位领导同意后执行。

2. 本制度解释权属于本单位。

第一条为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规，制定本办法。

第二条国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。

第三条公安机关负责信息安全等级保护工作的监督、检查、指导。

国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。

国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。

涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。

国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。

第四条信息系统主管部门应当依照本办法及相关标准规范，督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。

第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范，履行信息安全等级保护的义务和责任。

第二章等级划分与保护第六条国家信息安全等级保护坚持自主定级、自主保护的原则。

信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

第七条信息系统的安全保护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

一、总则第一条为确保信息系统安全，保障国家安全、社会稳定和公共利益，根据《网络安全法》、《信息安全技术信息系统安全等级保护基本要求》等相关法律法规，制定本制度。

第二条本制度适用于公司内部所有信息系统，包括但不限于网络、主机、数据库、应用系统等。

第三条本制度遵循以下原则：1. 预防为主，防治结合；2. 综合管理，分类施策；3. 系统性、全面性、实用性；4. 依法依规，持续改进。

二、组织机构与职责第四条公司成立信息系统安全等级保护工作领导小组，负责统筹协调、监督指导信息系统安全等级保护工作。

第五条信息安全管理部门负责制定、实施、监督和评估信息系统安全等级保护工作。

第六条各部门负责人对本部门信息系统安全等级保护工作负总责，确保信息系统安全等级保护工作落实到位。

三、定级与备案第七条根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素，对信息系统进行定级。

第八条定级完成后，将定级结果报公司信息系统安全等级保护工作领导小组审核，审核通过后向公安机关备案。

四、安全建设与整改第九条根据信息系统安全等级要求，制定相应的安全防护措施，包括但不限于：1. 物理安全：确保信息系统硬件设备安全，防止非法侵入、破坏和丢失；2. 网络安全：保障网络通信安全，防止非法访问、攻击和干扰；3. 主机安全：确保主机操作系统和应用软件安全，防止恶意代码攻击和系统漏洞；4. 数据库安全：保障数据库安全，防止数据泄露、篡改和丢失；5. 应用安全：加强应用系统安全，防止系统漏洞和非法访问。

第十条对发现的安全隐患，及时进行整改，确保信息系统安全等级保护工作落到实处。

五、等级测评与监督检查第十一条定期对信息系统进行等级测评，评估安全防护措施的有效性。

第十二条对信息系统安全等级保护工作进行监督检查，确保各项措施落实到位。

六、应急响应第十三条制定信息系统安全事件应急预案，明确事件分类、应急响应流程和处置措施。

《信息安全等级保护管理办法》第一章总则第一条为规范信息安全等级爱护治理，提高信息安全保证能力和水平，爱护国家安全、社会稳固和公共利益，保证和促进信息化建设，依照《中华人民共和国运算机信息系统安全爱护条例》等有关法律法规，制定本方法。

第二条国家通过制定统一的信息安全等级爱护治理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全爱护，对等级爱护工作的实施进行监督、治理。

第三条公安机关负责信息安全等级爱护工作的监督、检查、指导。

国家保密工作部门负责等级爱护工作中有关保密工作的监督、检查、指导。

国家密码治理部门负责等级爱护工作中有关密码工作的监督、检查、指导。

涉及其他职能部门管辖范畴的事项，由有关职能部门依照国家法律法规的规定进行治理。

国务院信息化工作办公室及地点信息化领导小组办事机构负责等级爱护工作的部门间和谐。

第四条信息系统主管部门应当依照本方法及相关标准规范，督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级爱护工作。

第五条信息系统的运营、使用单位应当依照本方法及其相关标准规范，履行信息安全等级爱护的义务和责任。

第二章等级划分与爱护第六条国家信息安全等级爱护坚持自主定级、自主爱护的原则。

信息系统的安全爱护等级应当依照信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

第七条信息系统的安全爱护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严峻损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严峻损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成专门严峻损害，或者对国家安全造成严峻损害。

《中国东方航空股份有限公司信息安全管理规定》中国东方航空股份有限公司信息安全管理规定第一章总则第一条为了进一步加强中国东方航空股份有限公司（以下简称“公司”）的信息安全管理，完善信息安全体系，保护公司的信息资产，依据中华人民共和国有关信息安全法律以及国际标准，结合行业、公司信息安全建设实际情况，特制定本规定。

第二条本规定适用于公司所有信息资产及涉及信息资产的相关部门。

本规定中所称的信息资产包括但不仅限于：数据库和数据文件、系统文档、用户手册、培训资料、运行程序、存档信息、应用软件、系统软件、开发工具和实用程序、计算机、通讯设备、磁介质（磁盘与磁带）、其它技术基础设备（供电设备、空调设备、防雷设备、消防设备、门禁设备）、人员、计算服务、通讯服务、网络服务等。

第二章基本原则第三条全员参与原则。

公司每位员工都应对维护信息安全负有相应的责任和义务，具体包括：（一）所有接触和使用公司信息资产的人员和机构都有责任保障信息资产的安全。

（二）信息系统的安全由使用信息系统的业务部门、管理部门以及维护系统的技术单位、部门共同承担，其中业务、管理部门作为资产的所有者拥有信息资产的管理责任和授权权利，而维护系统的技术单位、部门通常作为信息资产的维护者，在各管理部门、业务部门的授权下，承担各应用系统的管理、维护责任。

（三）各单位、各部门需对所有员工定期进行信息安全方面的培训，并作为长期进行的制度化工作之一。

第四条职权分离原则。

对角色和责任进行分类时要考虑互相制衡的机制，使一个岗位的员工无法破坏关键的过程，如业务操作权限和系统管理权限的分开；超级账号的操作与系统审计权限的分开；业务申请操作和业务审核操作权限的分开等；公司各单位各部门应在设定岗位、制定岗位职责说明书或是具体安排人员时基于此原则，将信息安全职责落实到具体的岗位中去。

第五条“双人操作原则”。

对于重要计算机系统、网络和通信设备及相关区域的岗位，应安排两个拥有类似知识背景和专业技能的人员共同工作，以降低单个关键人员操作失误或个人蓄意破坏而导致的风险。

中国民用航空局关于印发《民用航空安全信息保护管理办法》的通知文章属性•【制定机关】中国民用航空局•【公布日期】2021.08.23•【文号】民航规〔2021〕29号•【施行日期】2021.10.01•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】民航正文关于印发《民用航空安全信息保护管理办法》的通知民航规〔2021〕29号民航各地区管理局，各运输（通用）航空公司、机场公司、服务保障公司，空管局、运行监控中心、民航大学、飞行学院、校验中心：为进一步加强民用航空安全信息的保护管理工作，确保安全信息可控，促进合理使用，根据《中华人民共和国保守国家秘密法》《民用航空器事件调查规定》《民用航空安全信息管理规定》《民用航空安全管理规定》《民航工作国家秘密范围的规定》等法律、规章及相关要求，制定了《民用航空安全信息保护管理办法》，现印发给你们，请遵照执行。

中国民用航空局2021年8月23日民用航空安全信息保护管理办法第一章总则第一条为进一步加强民用航空安全信息的保护管理工作，根据《中华人民共和国保守国家秘密法》《民用航空器事件调查规定》《民用航空安全信息管理规定》《民用航空安全管理规定》《民航工作国家秘密范围的规定》等法律、规章及相关要求，制定本办法。

第二条本办法适用于中国民用航空局、中国民用航空地区管理局、在中华人民共和国境内注册的民用航空企事业单位及其从业人员的民用航空安全信息保护管理。

第三条本办法所称民用航空安全信息（以下简称安全信息）是指在民用航空活动中产生的与安全相关的信息。

安全信息保护是指规范收集、传递和使用安全信息，避免出现不当披露或公开的情况。

第四条安全信息保护实行依法管理、重点防护、合理利用的方针，既要确保安全信息可控，又要便于安全信息的合理使用。

第五条各单位负责人对本单位安全信息保护的总体工作负责，从业人员对安全信息保护的具体工作负责。

第二章安全信息保护等级分类及范围第六条安全信息根据信息重要程度分为涉密级安全信息（以下简称涉密安全信息）、敏感级安全信息（以下简称敏感安全信息）和一般级安全信息（以下简称一般安全信息）。

民用航空网络安全等级保护基本要求
民用航空网络安全等级保护基本要求包括：
一、建立安全管理体系
1.建立安全管理框架，明确安全管理职责，建立安全管理机构，制定安全管理制度；
2.定期审计网络安全管理体系，确保网络安全管理体系的有效性；
3.定期审核网络安全等级保护措施，确保网络安全等级保护措施的有效性；
4.建立安全审计机制，定期审计网络安全状况；
5.建立安全培训机制，定期对网络安全人员进行培训。

二、确定安全等级
1.确定网络安全等级，分析网络安全风险，确定安全等级；
2.建立安全等级保护规范，确定安全等级保护措施；
3.定期评估安全等级，确保安全等级的有效性。

三、实施安全等级保护措施
1.实施访问控制措施，确保网络访问的安全性；
2.实施安全网关技术，防止未经授权的远程访问；
3.实施安全审计技术，定期审计网络安全状况；
4.实施安全编码技术，确保数据传输的安全性；
5.实施安全报警技术，及时发现网络安全漏洞；
6.实施安全防护技术，防止网络攻击。

信息安全等级保护制度的主要内容目录一、内容概要 (3)1.1 制定背景与目的 (3)1.2 信息安全等级保护制度的意义 (4)二、信息安全等级保护制度的基本概念 (5)2.1 信息安全等级保护的定义 (7)2.2 信息安全等级保护制度的结构 (8)三、信息安全等级保护制度的主要内容 (9)3.1 第一级信息系统的安全保护 (10)3.1.1 安全物理环境 (12)3.1.2 安全通信网络 (13)3.1.3 安全区域边界 (14)3.1.4 安全计算环境 (15)3.1.5 安全建设管理 (16)3.1.6 安全运维管理 (17)3.2 第二级信息系统的安全保护 (18)3.2.1 安全物理环境 (20)3.2.2 安全通信网络 (21)3.2.3 安全区域边界 (22)3.2.4 安全计算环境 (23)3.2.5 安全建设管理 (25)3.2.6 安全运维管理 (26)3.3 第三级信息系统的安全保护 (27)3.3.1 安全物理环境 (28)3.3.2 安全通信网络 (29)3.3.3 安全区域边界 (30)3.3.4 安全计算环境 (31)3.3.5 安全建设管理 (32)3.3.6 安全运维管理 (33)3.4 第四级信息系统的安全保护 (34)3.4.1 安全物理环境 (36)3.4.2 安全通信网络 (37)3.4.3 安全区域边界 (38)3.4.4 安全计算环境 (39)3.4.5 安全建设管理 (41)3.4.6 安全运维管理 (42)四、信息安全等级保护制度的实施与管理 (43)4.1 实施原则与方法 (44)4.2 信息系统定级与备案 (45)4.3 安全建设与改造 (47)4.4 运维管理与安全检查 (48)五、信息安全等级保护制度的评估与升级 (49)5.1 评估流程与方法 (50)5.2 评估结果与应用 (52)5.3 升级与改造策略 (53)六、信息安全等级保护制度的法律法规与政策支持 (54)6.1 相关法律法规概述 (55)6.2 政策支持与引导 (56)七、结论与展望 (58)7.1 主要成果与贡献 (59)7.2 发展趋势与挑战 (60)一、内容概要信息安全等级保护制度是我国针对信息安全领域的一项基本国策，旨在保障国家关键信息基础设施和重要信息系统的安全稳定运行。

MH/T 0074—2020 民用航空旅客服务信息系统信息安全保护规范1 范围本标准规定了民用航空（以下简称民航）旅客服务信息系统需要满足的相关信息安全技术要求和管理要求。

本标准适用于民航旅客服务信息系统的规划、设计、开发、运行及维护等各个阶段。

2 规范性引用文件下列文件对于本文件的应用是必不可少的。

凡是注日期的引用文件，仅注日期的版本适用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求GB/T 35273 信息安全技术 个人信息安全规范3 术语和定义下列术语和定义适用于本标准。

3.1民航旅客服务信息系统 passenger service information system of civil aviation在旅客计划行程、预定采购机票、飞行与到达全程各个阶段，需要采集旅客信息，或需要根据旅客信息为其主体提供服务的相关信息系统。

系统范围包括中国民航信息网络股份有限公司的民航旅客服务信息系统，各代理人相关售票与客户管理系统，各航空公司旅客服务相关信息系统，各机场值机、离港与行李管理信息系统，以及其他各种与民航旅客行程服务相关的信息系统。

3.2旅客信息 passenger information民航旅客服务相关机构为旅客提供信息服务过程中收集或产生的旅客相关信息，包括：个人身份、地址、联系方式、机票交易、民航增值服务交易等信息。

3.3运营者 operator运营者负责民航旅客服务信息系统的运行、管理，对本单位旅客服务信息系统安全负有主体责任。

4 总体安全要求1MH/T 0074—20202 民航旅客服务信息系统安全保护等级应不低于第二级，网络安全保护应符合GB/T 22239-2019 相应等级安全要求。

民航旅客服务信息系统对旅客信息的保护应符合《中华人民共和国网络安全法》和 GB/T 35273 相关要求。

航空公司分级安全制度介绍航空公司分级安全制度是为了确保航空公司在飞行及相关运营过程中的安全性而制定的一套规程和程序。

该制度根据不同航空公司的规模和运营情况，将航空公司分为不同的级别，并为每个级别设定相应的安全要求。

分级标准航空公司的分级标准主要基于以下几个方面：1. 航空公司的规模：航空公司的规模可以通过其机队数量、航线覆盖范围以及旅客运输量来衡量。

规模越大的航空公司一般需要更高的安全标准。

2. 运营类型：不同类型的运营（如定期航班、包机航班、货运航班等）可能涉及不同的安全风险，因此需要根据具体情况制定不同的安全要求。

3. 安全记录：航空公司的安全记录对分级安全制度也有重要影响。

如果航空公司存在安全事故或违规行为，可能会导致其被降级或受到其他制度限制。

分级制度根据以上标准，航空公司分为以下几个等级：一级一级航空公司是规模最大、运营最复杂并且安全记录最佳的公司。

这类航空公司通常拥有大型机队，覆盖全球各地的航线，并且在飞行及运营过程中保持了良好的安全纪录。

一级航空公司需要遵守最高的安全要求，并接受更频繁的安全审查。

二级二级航空公司规模较小，运营相对简单。

它们的机队规模可能较小或只覆盖特定地区。

二级航空公司需要遵守较高的安全标准，但相对于一级航空公司来说，安全审查的频率可能较低。

三级三级航空公司规模较小，经营相对简单。

它们可能只拥有少量飞机，运营固定的航线或专门提供包机服务。

三级航空公司需要遵守一定的安全要求，但相对于一、二级航空公司来说，安全审查的频率可能较低。

四级四级航空公司是规模最小、运营最简单的公司。

它们可能只有一两架飞机，运营固定的航线或为特定客户提供定制服务。

四级航空公司需要遵守基本的安全要求，但安全审查的频率相对较低。

安全监管航空公司分级安全制度的实施需要有相应的监管机构负责监督和执行。

该监管机构应当定期对各航空公司进行安全审查，并根据审查结果对航空公司进行评级或重新评级。

同时，监管机构还应当与航空公司合作，提供相关的安全培训和指导，帮助航空公司提升安全水平。