交通運輸部于2023年6月25日發布了推薦性行業標準《交通運輸行業網絡安全等級保護定級指南》（JT/T 904—2023），自2023年9月25日起實施。

一、修訂背景

2017年7月《中華人民共和國網絡安全法》正式施行，標志著網絡安全等級保護工作上升為國家法律要求。隨著信息技術發展和應用，交通運輸領域網絡安全等級保護對象已經從傳統的信息系統，擴展到網絡基礎設施、云計算平臺、大數據平臺、物聯網、工業控制系統、采用移動互聯技術的系統等。2020年4月，公安部修訂了GB/T 22240—2020《信息安全技術 網絡安全等級保護定級指南》，對網絡安全等級保護工作流程等提出了新要求。據此，為適應新形勢下網絡安全等級保護工作的新需求，更好的指導行業單位開展網絡安全等級保護定級工作，交通運輸部組織相關單位對JT/T 904—2014《交通運輸行業信息系統安全等級保護定級指南》進行了修訂。

二、標準的定位和作用

本標準規定了交通運輸行業網絡安全等級保護對象的定級方法和定級流程，包括確定定級對象、初步確定等級、確定安全保護等級和等級變更，適用于交通運輸行業信息系統、通信網絡設施、數據資源等非涉密等級保護對象的定級工作。

本標準修訂后將為交通運輸行業信息系統在開展信息安全等級保護定級工作提供技術支撐，指導并規范交通運輸行業網絡安全管理人員、安全咨詢服務機構、安全建設機構和安全運維機構等開展網絡安全等級保護定級工作。

三、主要修訂內容

與2014版標準相比，本標準主要做了以下方面的修訂：

（一）標準名稱

與《中華人民共和國網絡安全法》和GB/T 22240—2020《信息安全技術 網絡安全等級保護定級指南》中的術語保持一致，標準更名為《交通運輸行業網絡安全等級保護定級指南》。

（二）術語和定義

修改了“等級保護對象”和“客觀方面”的定義，刪除了“客體”、“系統服務”，新增了“信息系統”、“受侵害的客體”、“通信網絡設施”和“數據資源”；由于原“業務信息”、“交通運輸行業信息系統”、“定級要素”、“業務依賴程度”、“承載信息類別”和“系統服務范圍”未能在當前交通運輸行業網絡安全等級保護工作及影響范圍中有效表述，且在正文中進行了相應說明或采取了與國家上位文件一致的描述，故刪除。

（三）定級原理及流程

1. 依據最新等級保護工作影響范圍，原“信息系統安全保護等級”修改為“安全保護等級”。

2. 將二級要素描述提前，其與一級要素的表述粒度一致并集中表述。

3. 根據《交通運輸部辦公廳關于印發部內司局和部屬單位主管網絡和信息系統安全責任清單的通知》（交科技發〔2021〕1245號）文件，在原標準研究基礎上，深入研究廣播、報業、民航、林業、郵政、教育和金融7個行業定級分類思路，考慮與風險評估及關鍵信息基礎設施分類保持一致、責任單位、業務類型和業務重要性、定級對象所屬機構類別和承載業務種類等因素，對部機關、部屬單位以及省交通運輸廳的等級保護對象進行分類，總結信息系統分為行政辦公類、運行控制類、信息服務類和基礎支撐類，依據最新等級保護工作影響范圍，將“信息系統類別”修改為“等級保護對象類別”。

4. 根據《數據安全法》和《個人信息保護法》修改承載數據的表述，根據等級保護對象所處理數據的安全特征，對三類承載數據分級為“核心數據”“重要數據”和“一般數據”。

（四）確定定級對象

 交通運輸行業定級對象與GB/T 22240—2020中的規定保持一致，基本涵蓋了信息系統、通信網絡設施及數據資源。

（五）初步確定等級

1. 根據國家分級保護的工作思路以及交通運輸行業定級對象分類，著重體現了分級分類的定級思路。本標準將“信息系統”改為“等級保護對象”，對定級流程進行修改，將一級要素與二級要素的判斷順序進行調換，提升流程簡便性；將“定級方法”修改為“初步確定等級”、“定級的基本流程”修改為“定級方法”。

2. 在確定受侵害客體部分增加了如何使用二級要素確定受侵害客體的方法論，闡明了本標準的核心是用二級要素確定受侵害客體。

3. 修改了綜合判斷侵害程度的表述，使之與確定對客體的侵害程度的方法論更加匹配。

4. 根據修改后的等級保護對象分類，對業務信息安全和系統服務安全二級要素與一級要素的對應關系部分內容進行了修改。對“可能的受侵害的客體”及“對客體可能的侵害程度”進行了修改，提升標準內容的合理性；針對表格內容不完全涵蓋實際定級工作中所有情況，增加了補充說明。

5. 將“確定信息系統安全保護等級”修改為“綜合判定等級”，保留了對修改后示例的引用。

（六）確定安全保護等級

在GB/T 22240—2020基礎上，新增確定安全保護等級內容，且明確了行業主管（監管）部門；根據等級保護對象所處理數據的安全特征修改了對于數據資源的定級描述。

（七）等級變更

結合交通行業特點，修改說明了當需要對已定級的定級對象的定級情況進行變更時的原因和方法。

（八）更新了附錄示例

根據新的工作流程，體現交通運輸行業特色，將原“附錄A（資料性附錄）某省辦公自動化（OA）系統安全等級保護定級示例”調整為“附錄A（資料性）某省聯網收費結算管理系統定級示例”和“附錄B（資料性）網絡安全等級保護定級報告示例”。

四、實施注意事項

本標準適用于交通運輸行業信息系統、通信網絡設施、數據資源等非涉密等級保護對象的定級工作，在實際定級過程中如本標準未能涵蓋所有對象，可參照GB/T 22240—2020進行確定。

文稿編纂：交通運輸信息安全中心有限公司 杜漸

文稿審核：交通運輸信息通信及導航標準化技術委員會 田士海