第六章  民航空管网络信息安全管理




             险和机遇，由组织定义和实施信息安全风险评估流程和风险处置过程。并且根据
             不同职能及层级建立信息安全目标，并以文档化形式保留。
                 ④支持：组织需要为信息安全管理体系提供建立、实施、维护和持续改进所

             需的资源，包括员工能力培训、员工安全意识、充分的沟通渠道和相关的文档控
             制等。
                 ⑤实施：根据信息安全目标采取行动，组织应确保过程受控，在重大改变提
             出或发生时进行信息安全风险评估，并按计划执行风险处置，保留相关结果的文

             档信息。
                 ⑥绩效评价：组织对信息安全管理体系进行监视、测量、分析和评价，定期
             进行内部审核确认是否满足相关要求，是否有效执行并保持。各级管理层应定期
             审视组织的信息安全管理体系，以保证其持续的适宜性、充分性和有效性。

                 ⑦改进：当发生不符合情况项时，组织应采取措施控制和改正，明确必要的
             控制措施，以消除不符合情况产生的原因，确保它不会再发生或在其他地方发生，
             所采用的纠正措施应与所发生的不符合影响程度相适应。同时，组织应不断完善
             改进信息安全管理体系的适宜性、充分性和有效性。

                 （三）信息安全民航空管的行业标准
                 中国民用航空局在 2012 年发布《民用航空网络与信息安全管理规范》（以
             下简称《管理规范》）作为中华人民共和国民用航空行业标准。该《管理规范》
             适用于民用航空网络与信息安全管理，并规定了民用航空网络与信息的安全管理

             目标、安全管理职责、系统等级保护、安全应急与处置，以及网络与信息安全技
             术保障与服务。其中在网络与信息安全管理部分提出以下几点要求：
                 ①民航各单位内的网络与信息安全管理部门需要组织在业务管理部门和生产
             安全部门之间建立相应的协调机制。

                 ②按照等级保护的相关要求，应当加强对民用航空重要网络与信息系统的安
             全防护建设和安全维护，依照同步规划、同步建设、同步运行的管理原则持续完
             善系统安全保障措施。
                 ③按照《管理规范》的要求，对于已投入使用的网络和信息系统要制定相应

             的安全改造规划，定期升级和维护安全保障设施并确保足够的信息安全经费可供
             投入。
                 ④民航网站服务需要执行备案制度，政务以及商务网站的开通、运行应当遵



                                                                                   113