《GD-J 037-2011 广播电视相关信息系统安全等级保护定级指南.pdf》由会员分享,可在线阅读,更多相关《GD-J 037-2011 广播电视相关信息系统安全等级保护定级指南.pdf(16页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、 中华人民共和国广播电影电视行业暂行技术文件 GD/J 0372011 广播电视相关信息系统 安全等级保护定级指南 Classification guide for classified protection of broadcasting related information system 2011-05-31 发布 2011-05-31 实施 国家广播电影电视总局科技司 发布 GD/J 0372011 I 目 次 目 次.I 前 言.II 1 范围.1 2 术语和定义.1 3 定级原理.1 3.1 信息系统安全保护等级.1 3.2 信息系统安全保护等级的定级要素.2 3.3 定级要素与安
2、全保护等级的关系.2 4 定级方法.2 4.1 定级的一般流程.2 4.2 确定定级对象.3 4.3 确定受侵害的客体.5 4.4 确定对客体的侵害程度.6 4.5 确定定级对象的安全保护等级.8 5 等级变更.11 参考文献.12 GD/J 0372011 II 前 言 本技术文件依据中华人民共和国计算机信息系统安全保护条例(国务院147号令)、国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号)、关于信息安全等级保护工作的实施意见(公通字200466号)、信息安全等级保护管理办法(公通字200743号)和GB/T 22240-2008信息安全技术 信息系统安全等级保护定
3、级指南、广播电视安全播出管理规定(总局62号令)及各专业实施细则,对广播电视相关信息系统安全等级保护定级工作进行了规范。本技术文件按照GB/T 1.1-2009标准化工作导则 第1部分:标准的结构和编写给出的规则编制。本技术文件由国家广播电影电视总局科技司归口。本技术文件起草单位:国家广播电视安全播出调度中心、北京捷成世纪科技股份有限公司。本技术文件主要起草人:张瑞芝、关丽霞、沈传宝、王鸣皓。GD/J 0372011 1 广播电视相关信息系统安全等级保护定级指南 1 范围 本技术文件规定了广播电视相关信息系统安全等级的定级方法。本技术文件适用于为广电行业制作、播出、传输、覆盖等生产业务相关信息
4、系统安全等级保护定级工作提供指导。本技术文件不包含办公系统、网站发布系统以及其他与广播电视生产业务无关的信息系统。本文中的信息系统是指由计算机及其相关的和配套的设备、网络构成的对广播电视业务信息进行采集、加工、存储、传输、检索等处理的系统。2 术语和定义 下列术语和定义适用于本技术文件。2.1 等级保护对象 信息安全等级保护工作直接作用的信息系统。2.2 客体 受法律保护的等级保护对象受到破坏时所侵害的社会关系,如国家安全,社会秩序、公共利益以及公民、法人或社会其他组织的合法权益。2.3 客观方面 对客体造成侵害的客观外在表现,包括侵害方式和侵害结果等。3 定级原理 3.1 信息系统安全保护等
5、级 根据等级保护相关管理文件,信息系统的安全保护等级分为以下五级:a)第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;b)第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;c)第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;GD/J 0372011 2 d)第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害;e)第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。3.
6、2 信息系统安全保护等级的定级要素 信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。3.2.1 受侵害的客体 等级保护对象受到破坏时所侵害的客体包括以下三个方面:a)公民、法人和其他组织的合法权益;b)社会秩序、公共利益;c)国家安全。3.2.2 对客体的侵害程度 对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的,因此,对客体的侵害外在表现为对等级保护对象的破坏,通过危害方式、危害后果和危害程度加以描述。等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:a)造成一般损害;b)造成严重损
7、害;c)造成特别严重损害。3.3 定级要素与安全保护等级的关系 定级要素与信息系统安全保护等级的关系见表1。表 1 定级要素与信息系统安全保护等级的关系 受侵害的客体 对客体的侵害程度 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益 第一级 第二级 第二级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 4 定级方法 4.1 定级的一般流程 GD/J 0372011 3 信息系统安全包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,信息系统定级也应由业务信息安全和系统服务安全两方面确定。从业务信息安全角度反映的
8、信息系统安全保护等级称为业务信息安全保护等级。从系统服务安全角度反映的信息系统安全保护等级称为系统服务安全保护等级。确定信息系统安全保护等级的一般流程如下:a)确定作为定级对象的信息系统;b)确定业务信息安全受到破坏时所侵害的客体;c)根据不同的受侵害客体,从多个方面综合评定业务信息安全被破坏对客体的侵害程度;d)依据表3,得到业务信息安全保护等级;e)确定系统服务安全受到破坏时所侵害的客体;f)根据不同的受侵害客体,从多个方面综合评定系统服务安全被破坏对客体的侵害程度;g)依据表4,得到系统服务安全保护等级;h)将业务信息安全保护等级和系统服务安全保护等级的较高者确定为等级保护对象的安全保护
9、等级。确定信息系统安全保护等级一般流程见图1。图 1 确定信息系统安全保护等级一般流程 4.2 确定定级对象 一个单位内运行的信息系统可能比较庞大,为了体现重要部分重点保护、有效控制信息安全建设成本、优化信息安全资源配置的等级保护原则,可将较大的信息系统划分为若干个较小的、可能具有不同安全保护等级的定级对象。4.2.1 作为定级对象的基本特征 4.2.1.1 具有唯一确定的安全责任单位 GD/J 0372011 4 作为定级对象的信息系统应能够唯一地确定其安全责任单位。如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任,则这个下级单位可以成为信息系统的安全责任单位;如
10、果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,则该信息系统的安全责任单位应是这些下级单位共同所属的单位。4.2.1.2 具有信息系统的基本要素 作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件,如服务器、终端、网络设备等作为定级对象。4.2.1.3 承载单一或相对独立的业务应用 定级对象承载“单一”的业务应用是指该业务应用的业务流程独立,且独享所有信息处理设备。定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立,定级对象可能会与其他业务应用共享一些设备,尤其是网络传输设备。4.2.1.4
11、 边界和边界设备 当不同信息系统之间存在共用设备时,共用设备的安全保护措施按两个信息系统安全保护等级较高者确定。4.2.2 广电行业信息安全等级保护对象 根据广电行业实际,按照上述定级对象的基本特征,综合考虑信息系统的责任单位、业务类型和业务重要性等各种因素,将广播电视相关信息系统按照机构类别及承载的业务种类进行分类,见表2。表 2 广电行业信息安全等级保护对象分类 序号 分类 信息系统分类 定义 1 广播中心 播出系统 实现节目播出和控制的信息系统。新闻制播系统 以新闻节目为核心,制作播出一体化的信息系统。媒资系统 实现数字媒体节目的接收、存储、管理、转换、共享和发布的信息系统。综合制作系统
12、 以节目制作为核心业务以及为核心制作业务提供辅助服务的信息系统。业务支撑系统 实现各业务系统互联互通及基础性服务支撑的信息系统。生产管理系统 与生产业务相关的管理服务等信息系统。2 电视中心 播出系统 实现节目播出和控制的信息系统。新闻制播系统 以新闻节目为核心,制作播出一体化的信息系统。播出整备系统 为播出进行节目准备和信号调度的信息系统。媒资系统 实现数字媒体节目的接收、存储、管理、转换、共享和发布的信息系统。综合制作系统 以节目制作为核心业务以及为核心制作业务提供辅助服务的信息系统。GD/J 0372011 5 表 2 (续)序号 机构分类 信息系统分类 定义 2 电视中心 业务支撑系统
13、 实现各业务系统互联互通及基础性服务支撑的信息系统。生产管理系统 与生产业务相关的管理服务等信息系统。3 集成播控平台(含IP 电视、移动多媒体广播、手机电视等)广播系统 以广播形式进行播出的信息系统及其控制系统。点播系统 以点播形式进行播出的信息系统及其控制系统。媒资系统 实现数字媒体节目的接收、存储、管理、转换、共享和发布的信息系统。综合制作系统 以节目制作为核心业务以及为核心制作业务提供辅助服务的信息系统。运营支撑系统 实现业务运营和用户管理的信息系统。生产管理系统 与生产业务相关的管理服务等信息系统。4 有线电视网络 广播系统 以广播形式进行播出的信息系统及其控制系统。点播系统 以点播
14、形式进行播出的信息系统及其控制系统。媒资系统 实现数字媒体节目的接收、存储、管理、转换、共享和发布的信息系统。运营支撑系统 实现业务运营和用户管理的信息系统。生产管理系统 与生产业务相关的管理服务等信息系统。5 无线覆盖等其它类 生产调度系统 实现播出监控、调度的信息系统。生产管理系统 与生产业务相关的管理服务等信息系统。4.3 确定受侵害的客体 4.3.1 侵害客体的几个方面 定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织的合法权益。侵害国家安全的事项包括以下方面:影响国家政权稳固和国防实力;影响国家统一、民族团结和社会安定;影响国家对外活动中的政治、
15、经济利益;影响国家重要的安全保卫工作;影响国家经济竞争力和科技实力;其他影响国家安全的事项。侵害社会秩序的事项包括以下方面:GD/J 0372011 6 影响国家机关社会管理和公共服务的工作秩序;影响各种类型的经济活动秩序;影响各行业的科研、生产秩序;影响公众在法律约束和道德规范下的正常生活秩序等;其他影响社会秩序的事项。影响公共利益的事项包括以下方面:影响社会成员使用公共设施;影响社会成员获取公开信息资源;影响社会成员接受公共服务等方面;其他影响公共利益的事项。影响公民、法人和其他组织的合法权益是指由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益。确定作为定级对象的
16、信息系统受到破坏后所侵害的客体时,应首先判断是否侵害国家安全,然后判断是否侵害社会秩序或公众利益,最后判断是否侵害公民、法人和其他组织的合法权益。4.3.2 广播电视相关信息系统受到破坏时侵害的客体 根据广电行业特点,分析各类广播电视相关信息系统与国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的关系,从而确定信息系统受到破坏时所侵害的客体。播出系统、广播系统等直接播出的信息系统的业务信息安全或系统服务安全受到破坏,可能直接造成播出事故,侵害社会公众收听收看广播电视节目的合法权益,可能引起社会秩序混乱乃至社会动荡、可能侵害国家安全;新闻制播系统、播出整备系统、点播系统等播出密切相
17、关信息系统的业务信息安全或系统服务安全受到破坏,可能造成播出事故,侵害社会公众收听收看广播电视节目的合法权益,可能引起社会秩序混乱,可能侵害公共利益;综合制作系统、媒资系统、业务支撑系统、运营支撑系统、运营管理系统、生产调度系统、生产管理系统等系统的业务信息安全或系统服务安全受到破坏,不会直接造成播出事故,但会给本单位造成一定的财产损失、经济纠纷、法律纠纷等,侵害本单位的权益。4.4 确定对客体的侵害程度 4.4.1 侵害的客观方面 在客观方面,对客体的侵害行为外在表现为对定级对象的破坏,其危害方式表现为对信息安全的破坏和对系统服务安全的破坏,其中信息安全是指确保信息系统内信息的保密性、完整性
18、和可用性等,系统服务安全是指确保信息系统可以及时、有效地提供服务,以完成预定的业务目标。由于业务信息安全和系统服务安全受到破坏所侵害的客体和对客体的侵害程度可能会有所不同,在定级过程中,需要分别处理这两种危害方式。信息安全和系统服务安全受到破坏后,可能产生以下危害后果:影响行使工作职能;导致业务能力下降;引起法律纠纷;GD/J 0372011 7 导致财产损失;造成社会不良影响;对其他组织和个人造成损失;其他影响。4.4.2 综合判定侵害程度 侵害程度是客观方面的不同外在表现程度,因此,应首先根据不同的受侵害客体、不同危害后果分别确定其危害程度。对不同危害后果确定其危害程度所采取的方法和所考虑
19、的角度可能不同,例如系统服务安全被破坏导致业务能力下降的程度可以从信息系统服务与播出业务的密切程度、播出业务覆盖的用户范围等不同方面确定,业务信息安全被破坏导致的财物损失可以从直接的资金损失大小、间接的信息恢复费用等方面进行确定。在针对不同的受侵害客体进行侵害程度的判断时,应参照以下不同的判别基准:如果受侵害客体是公民、法人或其他组织的合法权益,则以本人或本单位的总体利益作为判断侵害程度的基准;如果受侵害客体是社会秩序、公共利益或国家安全,则应以整个行业或国家的总体利益作为判断侵害程度的基准。不同危害后果的三种危害程度描述如下:一般损害:工作职能受到局部影响,业务能力有所降低但不影响主要功能的
20、执行,出现较轻的法律问题,较低的财产损失,有限的社会不良影响,对其他组织和个人造成较低损害。严重损害:工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害。特别严重损害:工作职能受到特别严重影响或丧失行使能力,业务能力严重下降且功能无法执行,出现极其严重的法律问题,极高的财产损失,大范围的社会不良影响,对其他组织和个人造成非常严重损害。业务信息安全和系统服务安全被破坏后对客体的侵害程度,由对不同危害结果的危害程度进行综合评定得出。由于各单位信息系统所处理的信息种类和系统服务特点各不相同,业务信
21、息安全和系统服务安全受到破坏后可能产生的危害结果以及危害程度的计算方式均可能不同,各单位可根据本单位信息特点和系统服务特点,制定危害程度的综合评定方法,并给出侵害不同客体造成一般损害、严重损害、特别严重损害的具体定义。4.4.3 广播电视相关信息系统受到破坏对客体的侵害程度 广播电视相关信息系统的业务信息安全或系统服务安全受到破坏时,对客体的侵害程度与信息系统所属单位的行政级别以及承载业务的重要性、影响程度、用户规模等有关。分别描述如下:国家级播出系统的业务信息覆盖全国,社会影响力大,这些系统的业务信息安全或系统服务安全受到破坏,可能直接造成播出事故,对国家安全造成严重损害;省级及省会城市、计
22、划单列市、地市及以下级别的播出系统、节目覆盖全国或跨省的付费频道的播出系统、集成播控平台、有线电视网络的广播系统等,其业务信息有一定的覆盖面和社会影响力,这些系统的业务信息安全或系统服务安全受到破坏,可能直接造成播出事故,对国家安全造成一般损害;GD/J 0372011 8 省级(含)以上及省会城市、计划单列市的新闻制播系统、省级(含)以上播出整备系统、集成播控平台和覆盖全国的有线电视网络的点播系统等,与广播电视播出业务有较为密切的联系,这些系统的业务信息安全或系统服务安全受到破坏,可能导致广播电视业务能力下降,破坏严重时可能造成播出事故,侵害社会公众收听收看广播电视节目的合法权益,对社会秩序
23、和公共利益造成严重损害;地市(含)以下新闻制播系统、省会城市、计划单列市及地市(含)以下播出整备系统、覆盖全省的有线电视网络的点播系统、付费频道的播出整备系统等,其承载的业务信息重要性一般,社会影响力较弱,这些系统的业务信息安全或系统服务安全受到破坏,可能导致广播电视业务能力下降,破坏严重时可能造成播出事故,侵害部分区域社会公众收听收看广播电视节目的合法权益,对社会秩序和公共利益造成一般损害;综合制作系统、媒资系统、业务支撑系统、生产调度系统等系统与实时播出业务相关度较小,这些系统的业务信息安全或系统服务安全受到破坏,不影响广播电视的正常播出,不会直接造成播出事故,但严重时会造成播出业务能力的
24、下降,会给信息系统所属单位造成非常大的影响,如经济损失、资源浪费等,对单位权益造成特别严重损害。运营支撑系统、生产管理系统等是广播电视播出业务辅助系统,这些系统的业务信息安全或系统服务安全受到破坏,不影响广播电视的正常播出,但会给信息系统所属单位造成一定的财产损失、经济纠纷、法律纠纷等,对单位权益造成严重损害。4.5 确定定级对象的安全保护等级 4.5.1 定级对象的安全保护等级 根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度,依据业务信息安全保护等级矩阵表,见表3,即可得到业务信息安全保护等级。表 3 业务信息安全保护等级矩阵表 业务信息安全被破坏时所侵害的客体 对相应客体的侵
25、害程度 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益 第一级 第二级 第二级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 根据系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度,依据系统服务安全保护等级矩阵表,见表4,即可得到系统服务安全保护等级。GD/J 0372011 9 表 4 系统服务安全保护等级矩阵表 系统安全被破坏时所侵害的客体 对相应客体的侵害程度 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益 第一级 第二级 第二级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 作为定
26、级对象的信息系统的安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者决定。4.5.2 广播电视相关信息系统安全保护等级 综合考虑各级各类广播电视相关信息系统的业务信息安全等级和系统服务安全等级,各信息系统定级建议见表5表10。各播出机构根据本单位信息系统业务功能,进行参照定级,安全等级应不低于建议级别;对于承载复杂功能的信息系统,安全等级可高于建议级别;对于承载多个业务功能的信息系统,应以建议的最高安全等级进行定级;未在建议表中列出的信息系统,可根据其承载的业务功能,参照本定级指南进行定级。表 5 各级广播中心播出相关信息系统安全保护等级 序号 信息系统分类 级别 国家级 省级
27、省会城市、计划单列市 地市及以下 1 播出系统 第四级 第三级 第三级 第三级 2 新闻制播系统 第三级 第三级 第三级 第二级 3 业务支撑系统 第二级 第二级 第二级 第二级 4 媒资系统 第二级 第二级 第二级 第二级 5 综合制作系统 第二级 第二级 第二级 第二级 6 生产管理系统 第二级 第二级 第二级 第二级 GD/J 0372011 10 表 6 各级电视中心播出相关信息系统安全保护等级 序号 信息系统分类 级别 国家级 省级 省会城市、计划单列市 地市及以下 1 播出系统 第四级 第三级 第三级 第三级 2 新闻制播系统 第三级 第三级 第三级 第二级 3 播出整备系统 第三
28、级 第三级 第二级 第二级 4 业务支撑系统 第二级 第二级 第二级 第二级 5 媒资系统 第二级 第二级 第二级 第二级 6 综合制作系统 第二级 第二级 第二级 第二级 7 生产管理系统 第二级 第二级 第二级 第二级 表 7 付费频道播出相关信息系统安全保护等级 序号 信息系统分类 用户规模 全国或跨省 全省或跨地市 1 播出系统 第三级 第三级 2 播出整备系统 第三级 第二级 3 媒资系统 第二级 第二级 4 综合制作系统 第二级 第二级 5 业务支撑系统 第二级 第二级 6 生产管理系统 第二级 第二级 表 8 集成播控平台相关信息系统安全保护等级 序号 信息系统分类 安全等级 1
29、 广播系统 第三级 2 点播系统 第三级 GD/J 0372011 11 表 8(续)序号 信息系统分类 安全等级 3 媒资系统 第二级 4 综合制作系统 第二级 5 运营支撑系统 第二级 6 生产管理系统 第二级 表 9 有线电视网络相关信息系统安全保护等级 序号 信息系统分类 用户规模 全国或跨省 全省或跨地市 1 广播系统 第三级 第三级 2 点播系统 第三级 第二级 3 媒资系统 第二级 第二级 4 运营支撑系统 第二级 第二级 5 生产管理系统 第二级 第二级 表 10 无线覆盖等其它类相关信息系统安全保护等级 序号 信息系统分类 安全等级 1 生产调度系统 第二级 2 生产管理系统 第二级 5 等级变更 在信息系统的运行过程中,信息系统安全保护等级应随着信息系统所处理的信息和业务状态的变化进行适当的变更,尤其是当状态变化可能导致业务信息安全或系统服务受到破坏后的受侵害客体和对客体的侵害程度有较大的变化,可能影响到系统的安全保护等级时,应重新定级。GD/J 0372011 12 参考文献 1 GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南 2 总局62号令广播电视安全播出管理规定及各专业实施细则