GD-J 037-2011 广播电视相关信息系统安全等级保护定级指南.pdf
- 文档编号:14661307
- 上传时间:2023-06-25
- 格式:PDF
- 页数:16
- 大小:444.14KB
GD-J 037-2011 广播电视相关信息系统安全等级保护定级指南.pdf
《GD-J 037-2011 广播电视相关信息系统安全等级保护定级指南.pdf》由会员分享,可在线阅读,更多相关《GD-J 037-2011 广播电视相关信息系统安全等级保护定级指南.pdf(16页珍藏版)》请在冰点文库上搜索。
中华人民共和国广播电影电视行业暂行技术文件GD/J0372011广播电视相关信息系统安全等级保护定级指南Classificationguideforclassifiedprotectionofbroadcastingrelatedinformationsystem2011-05-31发布2011-05-31实施国家广播电影电视总局科技司发布GD/J0372011I目次目次.I前言.II1范围.12术语和定义.13定级原理.13.1信息系统安全保护等级.13.2信息系统安全保护等级的定级要素.23.3定级要素与安全保护等级的关系.24定级方法.24.1定级的一般流程.24.2确定定级对象.34.3确定受侵害的客体.54.4确定对客体的侵害程度.64.5确定定级对象的安全保护等级.85等级变更.11参考文献.12GD/J0372011II前言本技术文件依据中华人民共和国计算机信息系统安全保护条例(国务院147号令)、国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号)、关于信息安全等级保护工作的实施意见(公通字200466号)、信息安全等级保护管理办法(公通字200743号)和GB/T22240-2008信息安全技术信息系统安全等级保护定级指南、广播电视安全播出管理规定(总局62号令)及各专业实施细则,对广播电视相关信息系统安全等级保护定级工作进行了规范。
本技术文件按照GB/T1.1-2009标准化工作导则第1部分:
标准的结构和编写给出的规则编制。
本技术文件由国家广播电影电视总局科技司归口。
本技术文件起草单位:
国家广播电视安全播出调度中心、北京捷成世纪科技股份有限公司。
本技术文件主要起草人:
张瑞芝、关丽霞、沈传宝、王鸣皓。
GD/J03720111广播电视相关信息系统安全等级保护定级指南1范围本技术文件规定了广播电视相关信息系统安全等级的定级方法。
本技术文件适用于为广电行业制作、播出、传输、覆盖等生产业务相关信息系统安全等级保护定级工作提供指导。
本技术文件不包含办公系统、网站发布系统以及其他与广播电视生产业务无关的信息系统。
本文中的信息系统是指由计算机及其相关的和配套的设备、网络构成的对广播电视业务信息进行采集、加工、存储、传输、检索等处理的系统。
2术语和定义下列术语和定义适用于本技术文件。
2.1等级保护对象信息安全等级保护工作直接作用的信息系统。
2.2客体受法律保护的等级保护对象受到破坏时所侵害的社会关系,如国家安全,社会秩序、公共利益以及公民、法人或社会其他组织的合法权益。
2.3客观方面对客体造成侵害的客观外在表现,包括侵害方式和侵害结果等。
3定级原理3.1信息系统安全保护等级根据等级保护相关管理文件,信息系统的安全保护等级分为以下五级:
a)第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;b)第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;c)第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;GD/J03720112d)第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害;e)第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
3.2信息系统安全保护等级的定级要素信息系统的安全保护等级由两个定级要素决定:
等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
3.2.1受侵害的客体等级保护对象受到破坏时所侵害的客体包括以下三个方面:
a)公民、法人和其他组织的合法权益;b)社会秩序、公共利益;c)国家安全。
3.2.2对客体的侵害程度对客体的侵害程度由客观方面的不同外在表现综合决定。
由于对客体的侵害是通过对等级保护对象的破坏实现的,因此,对客体的侵害外在表现为对等级保护对象的破坏,通过危害方式、危害后果和危害程度加以描述。
等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:
a)造成一般损害;b)造成严重损害;c)造成特别严重损害。
3.3定级要素与安全保护等级的关系定级要素与信息系统安全保护等级的关系见表1。
表1定级要素与信息系统安全保护等级的关系受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级4定级方法4.1定级的一般流程GD/J03720113信息系统安全包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,信息系统定级也应由业务信息安全和系统服务安全两方面确定。
从业务信息安全角度反映的信息系统安全保护等级称为业务信息安全保护等级。
从系统服务安全角度反映的信息系统安全保护等级称为系统服务安全保护等级。
确定信息系统安全保护等级的一般流程如下:
a)确定作为定级对象的信息系统;b)确定业务信息安全受到破坏时所侵害的客体;c)根据不同的受侵害客体,从多个方面综合评定业务信息安全被破坏对客体的侵害程度;d)依据表3,得到业务信息安全保护等级;e)确定系统服务安全受到破坏时所侵害的客体;f)根据不同的受侵害客体,从多个方面综合评定系统服务安全被破坏对客体的侵害程度;g)依据表4,得到系统服务安全保护等级;h)将业务信息安全保护等级和系统服务安全保护等级的较高者确定为等级保护对象的安全保护等级。
确定信息系统安全保护等级一般流程见图1。
图1确定信息系统安全保护等级一般流程4.2确定定级对象一个单位内运行的信息系统可能比较庞大,为了体现重要部分重点保护、有效控制信息安全建设成本、优化信息安全资源配置的等级保护原则,可将较大的信息系统划分为若干个较小的、可能具有不同安全保护等级的定级对象。
4.2.1作为定级对象的基本特征4.2.1.1具有唯一确定的安全责任单位GD/J03720114作为定级对象的信息系统应能够唯一地确定其安全责任单位。
如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任,则这个下级单位可以成为信息系统的安全责任单位;如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,则该信息系统的安全责任单位应是这些下级单位共同所属的单位。
4.2.1.2具有信息系统的基本要素作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。
应避免将某个单一的系统组件,如服务器、终端、网络设备等作为定级对象。
4.2.1.3承载单一或相对独立的业务应用定级对象承载“单一”的业务应用是指该业务应用的业务流程独立,且独享所有信息处理设备。
定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立,定级对象可能会与其他业务应用共享一些设备,尤其是网络传输设备。
4.2.1.4边界和边界设备当不同信息系统之间存在共用设备时,共用设备的安全保护措施按两个信息系统安全保护等级较高者确定。
4.2.2广电行业信息安全等级保护对象根据广电行业实际,按照上述定级对象的基本特征,综合考虑信息系统的责任单位、业务类型和业务重要性等各种因素,将广播电视相关信息系统按照机构类别及承载的业务种类进行分类,见表2。
表2广电行业信息安全等级保护对象分类序号分类信息系统分类定义1广播中心播出系统实现节目播出和控制的信息系统。
新闻制播系统以新闻节目为核心,制作播出一体化的信息系统。
媒资系统实现数字媒体节目的接收、存储、管理、转换、共享和发布的信息系统。
综合制作系统以节目制作为核心业务以及为核心制作业务提供辅助服务的信息系统。
业务支撑系统实现各业务系统互联互通及基础性服务支撑的信息系统。
生产管理系统与生产业务相关的管理服务等信息系统。
2电视中心播出系统实现节目播出和控制的信息系统。
新闻制播系统以新闻节目为核心,制作播出一体化的信息系统。
播出整备系统为播出进行节目准备和信号调度的信息系统。
媒资系统实现数字媒体节目的接收、存储、管理、转换、共享和发布的信息系统。
综合制作系统以节目制作为核心业务以及为核心制作业务提供辅助服务的信息系统。
GD/J03720115表2(续)序号机构分类信息系统分类定义2电视中心业务支撑系统实现各业务系统互联互通及基础性服务支撑的信息系统。
生产管理系统与生产业务相关的管理服务等信息系统。
3集成播控平台(含IP电视、移动多媒体广播、手机电视等)广播系统以广播形式进行播出的信息系统及其控制系统。
点播系统以点播形式进行播出的信息系统及其控制系统。
媒资系统实现数字媒体节目的接收、存储、管理、转换、共享和发布的信息系统。
综合制作系统以节目制作为核心业务以及为核心制作业务提供辅助服务的信息系统。
运营支撑系统实现业务运营和用户管理的信息系统。
生产管理系统与生产业务相关的管理服务等信息系统。
4有线电视网络广播系统以广播形式进行播出的信息系统及其控制系统。
点播系统以点播形式进行播出的信息系统及其控制系统。
媒资系统实现数字媒体节目的接收、存储、管理、转换、共享和发布的信息系统。
运营支撑系统实现业务运营和用户管理的信息系统。
生产管理系统与生产业务相关的管理服务等信息系统。
5无线覆盖等其它类生产调度系统实现播出监控、调度的信息系统。
生产管理系统与生产业务相关的管理服务等信息系统。
4.3确定受侵害的客体4.3.1侵害客体的几个方面定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织的合法权益。
侵害国家安全的事项包括以下方面:
影响国家政权稳固和国防实力;影响国家统一、民族团结和社会安定;影响国家对外活动中的政治、经济利益;影响国家重要的安全保卫工作;影响国家经济竞争力和科技实力;其他影响国家安全的事项。
侵害社会秩序的事项包括以下方面:
GD/J03720116影响国家机关社会管理和公共服务的工作秩序;影响各种类型的经济活动秩序;影响各行业的科研、生产秩序;影响公众在法律约束和道德规范下的正常生活秩序等;其他影响社会秩序的事项。
影响公共利益的事项包括以下方面:
影响社会成员使用公共设施;影响社会成员获取公开信息资源;影响社会成员接受公共服务等方面;其他影响公共利益的事项。
影响公民、法人和其他组织的合法权益是指由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益。
确定作为定级对象的信息系统受到破坏后所侵害的客体时,应首先判断是否侵害国家安全,然后判断是否侵害社会秩序或公众利益,最后判断是否侵害公民、法人和其他组织的合法权益。
4.3.2广播电视相关信息系统受到破坏时侵害的客体根据广电行业特点,分析各类广播电视相关信息系统与国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的关系,从而确定信息系统受到破坏时所侵害的客体。
播出系统、广播系统等直接播出的信息系统的业务信息安全或系统服务安全受到破坏,可能直接造成播出事故,侵害社会公众收听收看广播电视节目的合法权益,可能引起社会秩序混乱乃至社会动荡、可能侵害国家安全;新闻制播系统、播出整备系统、点播系统等播出密切相关信息系统的业务信息安全或系统服务安全受到破坏,可能造成播出事故,侵害社会公众收听收看广播电视节目的合法权益,可能引起社会秩序混乱,可能侵害公共利益;综合制作系统、媒资系统、业务支撑系统、运营支撑系统、运营管理系统、生产调度系统、生产管理系统等系统的业务信息安全或系统服务安全受到破坏,不会直接造成播出事故,但会给本单位造成一定的财产损失、经济纠纷、法律纠纷等,侵害本单位的权益。
4.4确定对客体的侵害程度4.4.1侵害的客观方面在客观方面,对客体的侵害行为外在表现为对定级对象的破坏,其危害方式表现为对信息安全的破坏和对系统服务安全的破坏,其中信息安全是指确保信息系统内信息的保密性、完整性和可用性等,系统服务安全是指确保信息系统可以及时、有效地提供服务,以完成预定的业务目标。
由于业务信息安全和系统服务安全受到破坏所侵害的客体和对客体的侵害程度可能会有所不同,在定级过程中,需要分别处理这两种危害方式。
信息安全和系统服务安全受到破坏后,可能产生以下危害后果:
影响行使工作职能;导致业务能力下降;引起法律纠纷;GD/J03720117导致财产损失;造成社会不良影响;对其他组织和个人造成损失;其他影响。
4.4.2综合判定侵害程度侵害程度是客观方面的不同外在表现程度,因此,应首先根据不同的受侵害客体、不同危害后果分别确定其危害程度。
对不同危害后果确定其危害程度所采取的方法和所考虑的角度可能不同,例如系统服务安全被破坏导致业务能力下降的程度可以从信息系统服务与播出业务的密切程度、播出业务覆盖的用户范围等不同方面确定,业务信息安全被破坏导致的财物损失可以从直接的资金损失大小、间接的信息恢复费用等方面进行确定。
在针对不同的受侵害客体进行侵害程度的判断时,应参照以下不同的判别基准:
如果受侵害客体是公民、法人或其他组织的合法权益,则以本人或本单位的总体利益作为判断侵害程度的基准;如果受侵害客体是社会秩序、公共利益或国家安全,则应以整个行业或国家的总体利益作为判断侵害程度的基准。
不同危害后果的三种危害程度描述如下:
一般损害:
工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的法律问题,较低的财产损失,有限的社会不良影响,对其他组织和个人造成较低损害。
严重损害:
工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害。
特别严重损害:
工作职能受到特别严重影响或丧失行使能力,业务能力严重下降且功能无法执行,出现极其严重的法律问题,极高的财产损失,大范围的社会不良影响,对其他组织和个人造成非常严重损害。
业务信息安全和系统服务安全被破坏后对客体的侵害程度,由对不同危害结果的危害程度进行综合评定得出。
由于各单位信息系统所处理的信息种类和系统服务特点各不相同,业务信息安全和系统服务安全受到破坏后可能产生的危害结果以及危害程度的计算方式均可能不同,各单位可根据本单位信息特点和系统服务特点,制定危害程度的综合评定方法,并给出侵害不同客体造成一般损害、严重损害、特别严重损害的具体定义。
4.4.3广播电视相关信息系统受到破坏对客体的侵害程度广播电视相关信息系统的业务信息安全或系统服务安全受到破坏时,对客体的侵害程度与信息系统所属单位的行政级别以及承载业务的重要性、影响程度、用户规模等有关。
分别描述如下:
国家级播出系统的业务信息覆盖全国,社会影响力大,这些系统的业务信息安全或系统服务安全受到破坏,可能直接造成播出事故,对国家安全造成严重损害;省级及省会城市、计划单列市、地市及以下级别的播出系统、节目覆盖全国或跨省的付费频道的播出系统、集成播控平台、有线电视网络的广播系统等,其业务信息有一定的覆盖面和社会影响力,这些系统的业务信息安全或系统服务安全受到破坏,可能直接造成播出事故,对国家安全造成一般损害;GD/J03720118省级(含)以上及省会城市、计划单列市的新闻制播系统、省级(含)以上播出整备系统、集成播控平台和覆盖全国的有线电视网络的点播系统等,与广播电视播出业务有较为密切的联系,这些系统的业务信息安全或系统服务安全受到破坏,可能导致广播电视业务能力下降,破坏严重时可能造成播出事故,侵害社会公众收听收看广播电视节目的合法权益,对社会秩序和公共利益造成严重损害;地市(含)以下新闻制播系统、省会城市、计划单列市及地市(含)以下播出整备系统、覆盖全省的有线电视网络的点播系统、付费频道的播出整备系统等,其承载的业务信息重要性一般,社会影响力较弱,这些系统的业务信息安全或系统服务安全受到破坏,可能导致广播电视业务能力下降,破坏严重时可能造成播出事故,侵害部分区域社会公众收听收看广播电视节目的合法权益,对社会秩序和公共利益造成一般损害;综合制作系统、媒资系统、业务支撑系统、生产调度系统等系统与实时播出业务相关度较小,这些系统的业务信息安全或系统服务安全受到破坏,不影响广播电视的正常播出,不会直接造成播出事故,但严重时会造成播出业务能力的下降,会给信息系统所属单位造成非常大的影响,如经济损失、资源浪费等,对单位权益造成特别严重损害。
运营支撑系统、生产管理系统等是广播电视播出业务辅助系统,这些系统的业务信息安全或系统服务安全受到破坏,不影响广播电视的正常播出,但会给信息系统所属单位造成一定的财产损失、经济纠纷、法律纠纷等,对单位权益造成严重损害。
4.5确定定级对象的安全保护等级4.5.1定级对象的安全保护等级根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度,依据业务信息安全保护等级矩阵表,见表3,即可得到业务信息安全保护等级。
表3业务信息安全保护等级矩阵表业务信息安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级根据系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度,依据系统服务安全保护等级矩阵表,见表4,即可得到系统服务安全保护等级。
GD/J03720119表4系统服务安全保护等级矩阵表系统安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级作为定级对象的信息系统的安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者决定。
4.5.2广播电视相关信息系统安全保护等级综合考虑各级各类广播电视相关信息系统的业务信息安全等级和系统服务安全等级,各信息系统定级建议见表5表10。
各播出机构根据本单位信息系统业务功能,进行参照定级,安全等级应不低于建议级别;对于承载复杂功能的信息系统,安全等级可高于建议级别;对于承载多个业务功能的信息系统,应以建议的最高安全等级进行定级;未在建议表中列出的信息系统,可根据其承载的业务功能,参照本定级指南进行定级。
表5各级广播中心播出相关信息系统安全保护等级序号信息系统分类级别国家级省级省会城市、计划单列市地市及以下1播出系统第四级第三级第三级第三级2新闻制播系统第三级第三级第三级第二级3业务支撑系统第二级第二级第二级第二级4媒资系统第二级第二级第二级第二级5综合制作系统第二级第二级第二级第二级6生产管理系统第二级第二级第二级第二级GD/J037201110表6各级电视中心播出相关信息系统安全保护等级序号信息系统分类级别国家级省级省会城市、计划单列市地市及以下1播出系统第四级第三级第三级第三级2新闻制播系统第三级第三级第三级第二级3播出整备系统第三级第三级第二级第二级4业务支撑系统第二级第二级第二级第二级5媒资系统第二级第二级第二级第二级6综合制作系统第二级第二级第二级第二级7生产管理系统第二级第二级第二级第二级表7付费频道播出相关信息系统安全保护等级序号信息系统分类用户规模全国或跨省全省或跨地市1播出系统第三级第三级2播出整备系统第三级第二级3媒资系统第二级第二级4综合制作系统第二级第二级5业务支撑系统第二级第二级6生产管理系统第二级第二级表8集成播控平台相关信息系统安全保护等级序号信息系统分类安全等级1广播系统第三级2点播系统第三级GD/J037201111表8(续)序号信息系统分类安全等级3媒资系统第二级4综合制作系统第二级5运营支撑系统第二级6生产管理系统第二级表9有线电视网络相关信息系统安全保护等级序号信息系统分类用户规模全国或跨省全省或跨地市1广播系统第三级第三级2点播系统第三级第二级3媒资系统第二级第二级4运营支撑系统第二级第二级5生产管理系统第二级第二级表10无线覆盖等其它类相关信息系统安全保护等级序号信息系统分类安全等级1生产调度系统第二级2生产管理系统第二级5等级变更在信息系统的运行过程中,信息系统安全保护等级应随着信息系统所处理的信息和业务状态的变化进行适当的变更,尤其是当状态变化可能导致业务信息安全或系统服务受到破坏后的受侵害客体和对客体的侵害程度有较大的变化,可能影响到系统的安全保护等级时,应重新定级。
GD/J037201112参考文献1GB/T22240-2008信息安全技术信息系统安全等级保护定级指南2总局62号令广播电视安全播出管理规定及各专业实施细则
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- GD-J 037-2011 广播电视相关信息系统安全等级保护定级指南 GD 037 2011 广播电视 相关 信息系统安全 等级 保护 定级 指南
![提示](https://static.bingdoc.com/images/bang_tan.gif)