MH／T 5057-2021  智慧民航数据治理规范数据安全

2.0.9数据存储datastorage

数据存储是指将数据进行持久化保存的过程

特种设备标准规范范本2. 0. 10数据使用 data usage

数据使用是指对数据进行访问、加工、展示等一系列处理的过程

2.0.11数据共享data sharing

数据共享是指本单位不同部门之间或与其他单位、行业主管单位的数据共享，各方承担相 关权利和义务的过程。

0.12数据销毁datades

采用数据擦除或者物理销毁的方式确保数据无法

3民航数据安全治理一般要求

3.0.1民航数据安全治理应基于数据安全原则，以数据安全分级为基础，建立覆盖数据生命周 期全过程的安全防护体系，并建立健全数据安全组织支撑。民航数据安全治理框架如图3.0. 所示。

3.0.2民航数据安全治理应符合下列基本原则：

图3.0.1民航数据安全治理框架

1合法正当原则：对数据的收集与使用应基于法律依据，履行数据相关的法律义务，确保 数据全生命周期各环节数据活动的合法性和正当性； 2权责一致原则：明确本单位数据安全治理工作相关部门及其职责，相关部门及人员应积 极落实相关措施，履行数据安全职责，因不履行或不当行使其职权等造成不良影响或损害的， 应承担相应的安全责任； 【条文说明】本规范中“单位”指民航行业各级行政主体、企业、直属单位和行业协会等组织。 3最小化原则：在保证业务功能实现的基础上应赋予数据活动中各角色最小的操作权限和 最小数据集，制定数据访问授权审批流程；

航数据安全治理一般要求

4全程可控原则：对数据进行安全分级，通过实施与数据安全级别相匹配的安全管控机制 和技术措施，确保数据在全生命周期各阶段的安全性，避免未授权访问、破坏、篡改、泄露或 丢失等； 5动态控制原则：数据的安全控制策略和防护措施应基于业务需求、安全环境属性、系统 用户行为等因素进行实时和动态调整； 6可审计原则：实现对业务各环节的数据安全审计，记录数据活动中各项操作的相关信 息，确保记录可追溯。 3.0.3民航数据安全治理应对数据进行安全分级，采用规范、明确的方法区分数据的重要性和 敏感程度差异，确定数据安全级别。 3.0.4民航数据安全治理应建立数据全生命周期安全防护，依据本规范安全措施要求，在采 集、传输、存储、使用、共享以及销毁等各个环节采取符合数据安全级别要求的安全防护措施 建立覆盖数据全生命周期的安全防护机制

4.1数据安全分级原则

4.1.1数据安全分级应遵循下列原则： 1合法合规原则：数据安全分级应满足国家法律法规及行业主管部门有关规定； 2可执行原则：数据定级规则应避免过于复杂，确保数据定级工作的可行性； 3时效性原则：数据安全级别应具有一定的有效期限，并按照级别变更策略进行及时 调整； 4自主性原则：数据安全级别应在合法合规原则下结合本单位自身数据管理需要（如战略 需要、业务需要、风险接受程度等），依据本框架制定； 【条文说明】对于在国家法律法规及行业主管部门有关规定中已明确数据安全分级的数据，其数 据安全级别按照相应要求执行；对于未在国家法律法规及行业主管部门有关规定中明确数据安 全分级的数据，各单位依据本规范确定其数据安全级别，并采取符合相应数据安全级别要求的 安全防护措施。 5差异性原则：数据安全级别应根据数据的重要性、敏感程度等差异进行划分，不宜将所 有数据集中划分到其中若干个级别中

4.2数据安全分级要素

4.2.1民航数据安全分级要素应包括影响对象与影响程度。 【条文说明】确定数据安全级别的判断依据是数据安全性遭到破坏后可能造成的影响。 4.2.2影响对象指数据安全性遭破坏后受到影响的对象，包括国家安全、公众权益、个人隐 私、企业合法权益等： 1影响对象为国家安全的情况，一般指数据的安全性遭到破坏后，可能对国家政权稳固 领土主权、民族团结、社会稳定等造成影响； 2影响对象为公众权益的情况，一般指数据的安全性遭到破坏后，可能对社会秩序和公众 的政治权利、人身自由、经济权益等造成影响：

3影响对象为个人隐私的情况，一般指数据的安全性遭到破坏后，可能对个人信息、私人 活动和私有领域等造成影响； 4影响对象为企业合法权益的情况，一般指数据的安全性遭到破坏后，可能对民航业单位 或其他行业单位的生产运营、声誉形象、公信力等造成影响。 4.2.3影响程度指数据安全性遭到破坏后所产生影响的大小，从高到低划分为严重损害、一般 损害、轻微损害和无损害。影响程度的确定宜结合民航业务属性，综合考虑数据类型、数据特 征与数据规模等因素。影响程度参考说明如表4.2.3所示

表4.2.3影响程度说明

4.3.1数据安全分级要素应通过数据安全性影响评估进行识别。 4.3.2数据安全性影响评估确定数据各项安全性（保密性、完整性、可用性）遭到破坏后所影 响的对象及影响程度，应包括保密性影响评估、完整性影响评估和可用性影响评估。 4.3.3保密性影响评估应评价数据遭受未经授权的披露所造成的影响，以及民航业单位继续使 用这些数据可能产生的影响。评估的内容包括：

1数据未经授权的披露，可能对国家安全、公众权益、个人隐私及企业合法权益造成的损 害，以及损害的严重程度； 2数据被非授权对象获取或利用，可能对国家安全、公众权益、个人隐私及企业合法权益 造成的损害，以及损害的严重程度； 3数据被非授权对象利用进行窃密、篡改、销毁或拒绝服务等攻击，可能对国家安全、公 众权益、个人隐私及企业合法权益等造成的损害，以及损害的严重程度； 4数据的未经授权披露或传播是否违反国家法律法规、行业主管部门有关规定或机构内部 管理规定。

4.3.4完整性影响评估应评价数据遭受未经授权的修改或损毁所造成的影响，以及民航业单位 继续使用这些数据可能产生的影响。评估的内容包括： 1数据未经授权修改或损毁，可能对国家安全、公众权益、个人隐私及企业合法权益造成 的损害，以及损害的严重程度； 2数据未经授权修改或损毁，可能对其他组织或个人造成的损害，以及损害的严重程度； 3数据未经授权修改或损毁，可能对机构职能、公信力造成的损害，以及损害的严重 程度； 4数据未经授权修改或损毁是否违反国家法律法规、行业主管部门有关规定或机构内部管 理规定

4.3.5可用性影响评估应评价数据

造成的影响，以及民航业单位无法正常使用这些数据可能产生的影响。评估的内容包括： 1数据的访问或使用中断，可能对国家安全、公众权益、个人隐私及企业合法权益造成的 损害，以及损害的严重程度； 2数据的访问或使用中断，可能对机构职能、公信力造成的损害，以及损害的严重程度； 3数据的访问或使用中断，可能对其他组织或个人造成的损害，以及损害的严重程度； 4数据的访间或使用中断是否违反国家法律法规、行业主管部门有关规定或机构内部管理 规定。 4.3.6数据安全定级关键要素应综合考虑保密性、完整性和可用性影响评估的结果，应符合下 列要求： 1当数据在安全性（保密性、完整性、可用性）方面有不同侧重时，应以实际业务中所侧 心人证生注用头

1当数据在安全性（保密性、完整性、可用性）方面有不同侧重时，应以实际业务中所侧 重的安全性评估结果，作为相应数据安全定级的主要依据； 2当数据的保密性、完整性和可用性要求基本一致时，应以保密性评估所确定的定级要素 为主要定级依据

4.4数据安全分级规则

4.4.1数据安全级别应根据数据安全性遭受破坏后的影响对象和影响程度，从高到低划分为5 级、4级、3级、2级和1级。重要数据的安全等级不应低于5级，重要数据的识别和认定应依 据国家及行业主管部门有关规定执行。数据安全级别划定规则及各级数据一般特征如表4.4.1 所示。 【条文说明】重要数据指依据《中华人民共和国数据安全法》由行业主管部门制定的重要数据目 录中的数据

表4.4.1数据安全分级规则参考表

4.5数据安全级别变更

4.5.1数据安全定级完成后，出现下列情形之一时，应对相关数据的安全级别进

1数据内容发生变化，导致原有数据的安全级别不适用变化后的数据，如数据脱敏、删除 关键字段等： 2数据内容未发生变化，但因数据时效性、数据规模、数据使用场景、数据加工处理方式 等发生变化，导致原定的数据安全级别不再适用； 3因数据汇聚融合导致原有数据安全级别不再适用汇聚融合后的数据，如对数据进行集 中、清洗、转换、重组、关联分析、多方计算等； 4因国家或行业主管部门要求，导致原定的数据安全级别不再适用； 5需要对数据安全级别进行变更的其他情形。

民航数据全生命周期安

5民航数据全生命周期安全防护

5.1.1数据采集阶段的主要数据安全目标是通过对采集过程的合法合规管理、采集设备 源的安全性验证，实现对数据采集过程的有效安全防护

5.1.2数据采集一般安全措施应包括下列内容

5.1.2数据采集一般安全措施应包括下列内客

1定义采集数据的目的和用途，明确数据源和采集数据范围； 2遵循合法正当原则，确保数据采集的合法性、正当性和必要性； 3对采集的数据进行分类分级标识，并对不同级别的数据实施相应的安全管理策略和保障 措施； 4制定采集数据的清洗、转换、加载等操作规范，明确操作方法、手段，并做好备份工 作，避免操作过程中出现数据遗漏、丢失等问题。

5.1.3数据采集分级安全措施应包括下列内容

1采集2级及以上数据时，应跟踪和记录采集过程，开采取技术措施确保所收集信息来源 可追溯，具备条件的单位宜记录1级及以上数据的信息来源； 2从单位外部系统采集3级及以上数据时，应结合口令密码、设备物理位置、网络接入方 式、设备风险情况等多种因素对数据采集设备或系统的安全性进行增强验证；APP、WEB等客 卢端完成采集后不应留存3级及以上数据，并及时清理缓存； 3从单位外部系统采集4级及以上数据时，应对采集的数据进行加密，对采集全过程进行 持续动态认证，确保数据采集设备或系统的真实性，必要时可实施阻断、二次认证等操作

5.2.1数据传输阶段的主要数据安全目标是通过建立针对数据和传输网络通道的安全机制，保 障数据传输的保密性和完整性

5.2.2数据传输一般安全措施应包括下列内容

1敏感数据传输至目标系统前，应确保目标系统具备与当前系统相当的安全防护能力；对 敏感数据传输信道进行加密；在通过互联网、外部系统等传输敏感数据时，应使用虚拟专网等 手段确保传输安全； 2采用设备元余、线路穴余等措施，确保数据传输可用性；采用负载均衡、防入侵攻击等 安全技术或设备来降低数据传输网络的可用性风险； 3传输通道建立前，应对通信双方进行身份鉴别和认证，确保数据传输双方可信任； 4数据传输过程中实施数据完整性校验。

5.2.3数据传输分级安全措施应包括下列内

12级及以上数据传输时，应事先经过审批授权，并留存数据传输日志；2级及以上数据 对单位外传输时，应采取数据加密、安全传输通道或安全传输协议进行数据传输； 23级及以上的数据传输时，应采取数据加密、安全传输通道或安全传输协议进行数据 传输； 3通过物理介质批量传递3级及以上数据时，应对数据进行加密或脱敏，传递过程中物理 介质不应离开相关责任人、监控设备等的监视及控制范围，且不应在无人监管情况下通过第三 方进行传递； 44级及以上数据传输时，应对数据进行字段级加密，并采用安全的传输协议进行传输

5.3.1数据存储阶段的主要数据安全目标是防止存储数据的泄露和未授权的修改、删除和 销毁。

5.3.2数据存储一般安全措施应包括下列内容

5.3.3数据存储分级安全措施应包括下列内容

亢数据全生命周期安全防

1存储2级及以上数据时，应采取技术措施保证存储数据的保密性，必要时可采取多因素 认证、固定处理终端、固定处理程序或工具等安全策略； 2存储3级及以上数据时，应采用密码技术、权限控制等技术措施保证数据完整性，采取 加密等技术措施保证数据保密性； 3保存4级及以上数据的信息系统，其网络安全建设及监督管理宜满足网络安全等级保护 3级要求，

5.4.1数据使用阶段的主要数据安全目标是通过采用预防和探测的手段，防止数据的未授权操 作，降低数据泄露、损毁、被窃取、被算改等安全风险

5.4.2数据使用一般安全措施应包括下列内容

1依据数据保护的法律法规要求，明确数据使用的目的和范围； 2遵循最小化原则，提供数据细粒度访问控制机制； 3遵循可审计原则，记录和管理数据处理活动中的操作； 4对数据处理结果进行风险评估，避免处理结果中包含可恢复的敏感数据， （条文说明】数据的使用范围控制在合理的用途之内，例如：旅客隐私数据限定在旅客出行服 务、安全防控场景等范围使用：航班运行数据限定在航班运行保障等范围使用

条文说明】数据的使用范围控制在合理的用途之内，例如：旅客隐私数据限定在旅客 务、安全防控场景等范围使用：航班运行数据限定在航班运行保障等范围使用。

5.4.3数据使用分级安全措施应包括下列内容

1访问2级及以上的数据时，应对访问者实名身份认证，将数据访问权限与实际访问者的 身份或角色进行关联，防止数据的非授权访问；2级及以上的数据访问过程应留存相关操作日 志，操作日志应包含明确的主体、客体、操作时间、具体操作类型、操作结果等； 2访问3级及以上数据时，应建立访问权限申请和审核批准机制，并对实际操作和申请操 作进行验证；3级及以上的数据访问应实现多因素认证或二次授权，并结合业务需要对数据采取 脱敏和控制访问数据行数的技术措施； 3对于2级及以上数据的明文查询业务系统应留存相关查询日志，查询日志宜留存6个月 及以上；2级及以上数据应事先通过审批授权后方可展示； 43级数据的展示应在审批的基础上采用屏散等技术措施防止信息泄露： 53级及以上数据加工之前应进行数据安全评估，并采用加密、脱等技术措施，保证数 据加工过程的数据安全性； 63级及以上数据原则上不应公开披露，4级及以上数据原则上避免明文展示； 7开发测试原则上不应涉及4级及以上数据

5.5.1数据共享阶段的主要数据安全目标是对数据的共享方式及用途等进行安全影响评估，通 过技术手段确保数据共享时的数据安全

5.5.2数据共享一般安全措施应包括下列内容

5.5.2数据共享一般安全措施应包括下列内容：

1对共享数据的使用目的、内容、传输方式、使用时间、技术防护措施、数据使用后的处 置方式等进行安全影响评估，并留存相关记录； 2数据对单位外共享时，应与数据接收方通过合同协议等方式，明确双方在数据安全方面 的责任及义务，并约定共享数据的内容、用途和使用范围等； 3定期对共享的数据进行安全审计；

5.5.3数据共享分级安全措施应包括下列内容

1共享2级及以上的数据时，应对共享过程留存日志记录，记录内容包括但不限于共享内 容、共享时间、防护技术措施等； 2共享3级及以上的数据时，应对含敏感字段的数据进行脱敏；确因业务需要，无法对数 居进行脱敏的，应对数据进行加密、选用安全可靠的传输协议或在安全可控的环境中进行共享，

5.6.1数据销毁阶段的主要数据安全目标是基于数据销毁的规范和流程，通过技术工具，保证 数据被有效销毁

5.6.2数据销毁一般安全措施应包括下列内容

1制定数据存储介质销毁操作规程，明确数据存储介质销毁场景、销毁技术措施，以及销 毁过程的安全管理要求，并针对已被共享或使用的数据制定数据存储介质销毁管控规程； 2明确数据销毁效果评估机制，定期对数据销毁效果进行抽样认定，通过数据恢复工具或 数据发现工具进行数据的尝试恢复及检查，验证数据删除结果。 【条文说明】数据销毁的场景包括业务服务停止、数据存储空间释放再分配等，处理对象涵盖数 据库、服务器、终端和硬件存储介质

5.6.3数据销毁分级安全措施应包括下列内容：

销毁分级安全措施应包括

民航数据全生命周期安全

销毁处理，确保数据不能还原；存放3级及以上数据的存储介质销毁时宜采用物理销毁的方式 对其进行处理，如消磁或磁介质粉碎、融化等； 2当涉及3级及以上数据的业务下线时，应对使用期结束后线下保存数据副本的存储介质 进行数据销毁处理，确保数据不能还原； 34级及以上数据存储介质的销毁应参照国家及行业涉密载体管理有关规定，由具备相应 资质的服务机构或数据销毁部门进行专门处理

6民航数据安全组织保障

6.0.1民航数据安全治理工作应依托本单位数据治理组织架构开展，涉及数据管理组织、业务 数据管理组织和数据安全工作组，如图6.0.1所示。 （条文说明】数据管理组织指民航行业各级行政主体、企业、直属单位和行业协会等在单位层面 设立或指派的对数据治理负有管理责任的组织（包括实体机构和虚拟组织）；业务数据管理组织 指在各业务层级设立或指派的对数据治理负有管理责任的组织（包括实体机构和虚拟组织）。

图6.0.1数据安全相关管理组红

6.0.2数据管理组织总体负责本单位数据安全工作的统筹组织、指导推进和协调落实，其数据 安全工作内容宜包括： 1制定、发布和维护本单位数据安全管理制度、规程和细则； 2组织开展本单位数据安全分级工作，组织审议各业务数据管理组织提交的数据安全分 级，将通过审议的数据安全分级进行全单位审批发布； 3制定、签发、实施、定期更新数据隐私政策和相关规程； 4监督本单位内部，以及本单位与外部合作方数据安全管理情况； 5在数据服务或相关信息系统上线发布前组织开展数据安全评估： 6公布投诉、举报方式等信息，并及时受理数据安全相关投诉和举报 6.0.3各业务数据管理组织负责落实数据安全制度及措施，其数据安全工作内容宜包括：

6民航数据安全组织保

2负责本业务所辖数据的安全分级工作，并将本业务数据安全分级提交单位数据管理组织 审议； 3经授权审批程序后，为获得授权的各相关方分配数据权限； 4对本业务所辖数据脱敏、数据对外提供等关键活动的数据安全控制有效性进行确认； 5配合执行数据相关安全评估及技术检测等工作； 6处置本业务有关数据安全事件。 6.0.4数据安全工作组负责监督和评价各业务的数据安全管理情况，其数据安全工作内容宜 包括： 1根据本单位数据相关业务实际情况，确定相应审计策略，包括但不限于审计周期、审计

6处置本业务有关数据安全事件。 6.0.4数据安全工作组负责监督和评价各业务的数据安全管理情况，其数据安全工作内容宜 包： 1根据本单位数据相关业务实际情况，确定相应审计策略矿山标准规范范本，包括但不限于审计周期、审计 方式、审计形式等内容； 2监督数据安全政策、方针的执行； 3协助数据管理组织审议各业务数据管理组织提交的数据安全分级的合理性； 4开展数据安全内部审计和分析、模拟攻击性访问、漏洞检测等工作，发现并反馈问题和 风险，并对后续相关整改工作进行监督

1为了便于在执行本规范条文时区别对待，对要求严格程度不同的用词，说明如下： 1）表示很严格，非这样做不可的用词： 正面词采用“必须”；反面词采用“严禁”。 2）表示严格，在正常情况下均应这样做的用词： 正面词采用“应”；反面词采用“不应”或“不得”。 3）表示允许稍有选择，在条件许可时首先这样做的用词： 正面词采用“宜”；反面词采用“不宜”。 4）表示有选择，在一定条件下可以这样做的，采用“可”。 2本规范中指定应按其他有关标准、规范执行时，写法为“应符合·.·的规定”或“应 安…·.··的规定执行”。非必须按所指定的标准、规范和其他规定执行时，写法为“可参照…··..”。

1为了便于在执行本规范条文时区别对待，对要求严格程度不同的用词，说明如下： 1）表示很严格，非这样做不可的用词： 正面词采用“必须”；反面词采用“严禁”。 2）表示严格，在正常情况下均应这样做的用词： 正面词采用“应”；反面词采用“不应”或“不得”。 3）表示允许稍有选择，在条件许可时首先这样做的用词： 正面词采用“宜”；反面词采用“不宜”。 4）表示有选择，在一定条件下可以这样做的，采用“可”。 2本规范中指定应按其他有关标准、规范执行时，写法为“应符合··的规定”或“应 …………·的规定执行”。非必须按所指定的标准、规范和其他规定执行时，写法为“可参照……….”。

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期 于本文件。凡是不注日期的引用文件，其最新版本（包含所有修改单）适用于本文件 [1]《中华人民共和国数据安全法》 【2］《中华人民共和国个人信息保护法》 [3]《中华人民共和国网络安全法》 【4］《关键信息基础设施安全保护条例》 [5］《信息技术服务治理第5部分：数据治理规范》（GB/T34960.5） [6]《信息安全技术术语》（GB/T25069） [7]《信息安全技术大数据服务安全能力要求》（GB/T35274） 【8」《信息安全技术数据安全能力成熟度模型》（GB/T37988） 【9］《信息安全技术大数据安全管理指南》（GB/T37973） 101《信息安全技术政务信息共享数据安全技术要求》（GB/T39477）

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本 于本文件。凡是不注日期的引用文件，其最新版本（包含所有修改单）适用于本文件航天标准， [1]《中华人民共和国数据安全法》 [2]】《中华人民共和国个人信息保护法》 [3]《中华人民共和国网络安全法》 【4］《关键信息基础设施安全保护条例》 [5］《信息技术服务治理第5部分：数据治理规范》（GB/T34960.5） [6]《信息安全技术术语》（GB/T25069） [7]《信息安全技术大数据服务安全能力要求》（GB/T35274） 【8］《信息安全技术数据安全能力成熟度模型》（GB/T37988） 【9］《信息安全技术大数据安全管理指南》（GB/T37973） 10］《信息安全技术政务信息共享数据安全技术要求》（GB/T39477）

机场建设工程行业标准出

成本价：19.00元