T∕CSAS 0027-2025 航空数据识别指南

ICS35.030CCSL80T/CSAS团体标准Guidelinesofaviationdatarecognition2025-11-28发布四川省网络空间安全协会发布IT/CSAS0027—2025前言 2规范性引用文件 13术语和定义 4识别航空数据的基本原则 5航空数据的主要类型 6航空数据的识别维度 6.1航空数据范畴 6.2与航空宏观调控管理相关 26.3与航空市场运营管理相关 26.4与航空安全保卫相关 6.5与航空生产运行相关 6.6与航空服务相关 6.7与机场工程相关 6.8与空中交通管理相关 7航空数据识别工作流程 37.1总体流程 7.2数据资产梳理 7.3航空数据识别 7.4数据分类分级 7.5形成数据清单 7.6审核上报目录 7.7目录更新管理 附录A（资料性）数据清单 参考文献 T/CSAS0027—2025本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由四川省网络空间安全协会提出并归口。本文件起草单位：民航成都电子技术有限责任公司、中国民用航空西南地区空中交通管理局、全域数据信息安全重点联合实验室西南实验室。本文件主要起草人：马勇、潘光绪、杨皓、苏力思、宁文冠、李瑞、张瑞庆（排名不分先后）。T/CSAS0027—2025随着航空业的蓬勃发展，海量且复杂的航空数据不断涌现，其在飞行安全、航班运行、航空管理等诸多领域发挥着至关重要的作用。航空数据涵盖飞行参数、气象信息、空域数据等多个技术领域，具有高度的专业性与复杂性。航空数据识别指南有助于识别航空领域的原始及其衍生业务数据，对识别后的数据根据数据分类分级要求进行标识，并按照数据安全要求进行保护。1T/CSAS0027—2025航空数据识别指南本文件规定了民用航空数据的定义和识别流程。本文件适用于民用航空数据处理者开展民用航空非密数据识别工作，其他航空领域可借鉴参考。本文件不适用于涉及国家秘密、军事等数据的识别活动。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T35273—2020信息安全技术个人信息安全规范GB/T43697—2024数据安全技术数据分类分级规则3术语和定义GB/T35273—2020中界定的以及下列术语和定义适用于本文件。3.1个人信息personalinformation以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。[来源：GB/T43697-2024，3.5]3.2航空重要数据aviationkeydata特定领域、特定群体、特定区域或达到一定精度和规模的航空领域数据一旦被泄露或篡改、损毁，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全，包括但不限于航空器事故相关的飞行数据记录器、驾驶舱语音记录器、航空器健康状况监测数据以及同一数据集或关联数据集内累计超过100万人的旅客数据。3.3航空核心数据aviationcoredata对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的重要数据一旦被非法使用或共享，可能直接影响政治安全，如超过1亿人的旅客数据。3.4航空一般数据aviationgeneraldata未纳入重要数据和核心数据的其他航空数据。4识别航空数据的基本原则航空识别原则具体如下：a)聚焦安全影响：从国家安全、社会稳定、经济运行、公共健康、生产安全等角度识别航空数据；b)突出保护重点：明确安全保护重点和监管对象，防止泛保护，使航空数据在满足安全保护要求前提下得到开发利用和安全有序流动，非重要的一般航空数据依法自由流动，释放数据价值；c)结合既有规定：充分考虑《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》等法律法规和政策要求。充分考虑已有管理要求和行业特性，并与行业或地方已制定实施的数据管理和安全政策及标准规范进行紧密衔接；d)综合风险评判：根据航空领域数据是否与国家安全、行业发展相关，以及数据一旦遭到篡改、2T/CSAS0027—2025破坏、泄露或者非法获取、非法利用，造成的安全事故所导致的直接经济损失程度等多个角度进行识别；e)定量定性结合：以定量与定性相结合的方式识别航空数据，并根据具体数据类型、特性不同采取定量或定性方法；f)动态复查审核：定期复查审核航空数据识别结果，若数据范围、形态、用途、共享方式、敏感性等发生变化时，需对航空重要数据和核心数据进行重新识别，审核航空数据的识别结果。5航空数据的主要类型在航空运输和相关活动中产生的各种信息和数据为航空数据，主要分为三类：a)公共数据：航空行业各级行政机关、法律法规、规章授权的具有管理行业公共事务职能的单位，以及航空运输企业、机场、空中交通管理机构、运输保障企业等航空行业公共服务运营单位在依法履行职责或者提供公共服务过程中收集、产生的用于行业监管、安全保障、宏观调控、市场管理、运行监测等的数据；b)企业数据：从事航空活动的各运行主体、教育和科研机构、社会团体、企业等法人单位在生产经营活动中采集加工的不涉及个人信息和公共利益的数据；c)个人信息数据：承载个人信息的数据。个人信息是以电子或者其他方式记录的，与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。6航空数据的识别维度6.1航空数据范畴在航空行业发展、监管执法、政务管理、生产运行、服务保障等过程中产生的，或通过收集、检测等方式获取的，用于航空业务活动的原始及其衍生业务数据，以及符合任意一个识别维度的数据均属于航空数据。6.2与航空宏观调控管理相关与航空宏观调控和管理相关的各类数据，数据反映了航空行业的整体运行状况、发展趋势、经济活动、安全管理、法规执行以及人员资质等方面的信息，是政府、行业监管机构和企业进行决策、规划、监管和资源配置的重要依据，主要包括行业发展、法律法规、经济运行、投资建设、生产统计、价格管理、节能减排、行业财经信息、航空安全、风险评估、适航审定、监管执法、行政相对人、人员资质、培训考试、航医航卫、应急处置等数据。6.3与航空市场运营管理相关在航空市场运营和管理过程中产生的各类数据，用于支持航空市场的规划、监管、运营决策和市场分析，是航空企业、机场、监管部门以及相关机构进行市场调控、资源配置和业务优化的重要依据，涵盖行政审批、航权管理、航线航班、航班时刻、机票分销、货单销售以及其他与航空市场管理相关的数据。6.4与航空安全保卫相关确保航空安全和保卫工作顺利开展所涉及的各类数据，主要用于预防和应对各类安全威胁，保障航空运输的安全和正常运行，涵盖安防监控、周界安防、安全检查、人员信息、安保事件、飞行中安保以及其他与航空安全保卫相关的数据。6.5与航空生产运行相关在航空器的生产、运行和管理过程中产生的各类数据，涵盖了航空器的基本信息、飞行计划、协同决策、运行控制、航班运行、飞行训练、机务维修、安全管理、应急管理以及其他相关数据。这些数据整体反映航空公司、机场、空管部门以及相关监管部门进行航班运行管理、安全保障、资源优化和决策支持工作。3T/CSAS0027—20256.6与航空服务相关在航空运输领域，为满足旅客、货物运输以及通用航空（含无人机）服务需求而产生的各类数据，涵盖旅客服务、货运服务、通用航空服务以及其他相关服务数据，反映了航空公司、机场、货运代理、通用航空企业及相关监管部门进行的服务管理、资源配置和决策支持。6.7与机场工程相关在机场规划、设计、建设、运营和维护过程中产生的各类数据，涵盖机场的基础设施、专用设备、专业工程以及其他相关工程数据，反映了机场管理者、建设单位、航空公司及相关监管部门进行的机场工程建设、运营管理、安全保障和决策支持。6.8与空中交通管理相关在空中交通管理中用于规划、监控、控制和优化空中交通运行的各类数据，涵盖空域规划、通信导航监视、流量管理、气象服务、航空情报、运行监控、空管专业设备以及其他相关数据，是空中交通管制部门、航空公司、机场及相关监管部门进行空域管理、飞行安全保障和决策支持的重要依据。7航空数据识别工作流程7.1总体流程航空数据的识别流程主要包括数据资产梳理、航空数据识别、数据分类分级、形成数据清单、审核上报目录、目录更新管理。一般情况下，航空数据识别流程见图1。航空数据处理者开展航空数据识别工作时，可根据实际情况调整重要数据识别阶段流程。图1航空数据识别流程4T/CSAS0027—20257.2数据资产梳理航空数据处理者应识别数据处理全生命周期所涉及的数据，形成数据资产清单，并及时更新。7.3航空数据识别根据所在地区、部门的具体规定，基于第6章给出的航空数据的识别维度，判定是否为航空数据。7.4数据分类分级航空数据处理者应按照相关的数据分类分级规范标准，对航空数据进行数据分类分级及标识工作。明确数据资产清单中各类数据的用途、面临的主要安全威胁，根据数据在经济社会发展中的重要程度，以及数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享，对国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益造成的影响，识别重要数据、核心数据和一般数据。7.5形成数据清单数据类型、内容描述、数据量、存储位置、使用范围及期限、数据处理情况（数据处理目的、数据处理所涉及的信息系统）、数据对外提供情况（共享转让、公开披露、数据出境）、数据生命周期各环节安全措施配套情况，数据清单可参考附录A。7.6审核上报目录对数据识别和分类分级的结果进行审核，形成重要数据和核心数据目录，并对数据进行重要程度标识，按有关程序报送目录。7.7目录更新管理目录更新的程序根据数据处理者实际情况制定，数据目录更新周期可根据数据处理者对数据收集、使用等经验确定。数据可能因为如下原因进行识别和目录更新，包含但不限于：a)发生数据安全事件，导致数据敏感性发生变化；b)因国家或行业主管部门要求，导致原定的数据级别不再适用等场景需要根据波动情况动态调整；c)数据内容未发生变化，但数据时效性、数据规模、数据应用场景、数据加工处理方式等发生显著变化；d)数据脱敏、删除关键字段、汇聚融合等技术处理手段带来的变化。5T/CSAS0027—2025数据清单清单包括数据类型、数据名称、内容描述、数据量、存储位置、使用范围及期限、数据对外提供情况（共享转让、公开披露、数据出境）、数据处理情况（数据处理目的、数据处理所涉及的信息系统）