广播电视相关信息系统安全等级保护定级指南.doc

中华人民共和国广播电影电视行业暂行技术文件GD/J 037—2011广播电视相关信息系统安全等级保护定级指南Classification guide for classified protectionof broadcasting related infbnnation system2011-05-31 发布2011-05-31 实施国家广播电影电视总局科技司 发布GD/J 037—2011目 次目 次 I前 言 H1范围 12术语和定义 13定级原理 13.1信息系统安全保护等级 13.2信息系统安全保护等级的定级要素 23.3定级要素与安全保护等级的关系 24定级方法 24.1定级的一般流程 24.2确定定级对象 343确定受侵害的客体 54.4确定对客体的侵害程度 64.5确定定级对象的安全保护等级 85等级变更 11参考文献 12IGD/J 037—2011本技术文件依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信 息化领导小组关于加强信息安全保障工作的意见》（中办发［2003127号）、《关于信息安全等级保护工 作的实施意见》（公通字［2004166号）、《信息安全等级保护管理办法》（公通字［2007143号）和GB/T 22240-2008《信息安全技术信息系统安全等级保护定级指南》、《广播电视安全播出管理规定》（总 局62号令）及各专业实施细则，对广播电视相关信息系统安全等级保护定级工作进行了规范。

本技术文件按照GB/T 1. 1-2009《标准化工作导则第1部分：标准的结构和编写》给出的规则编制本技术文件由国家广播电影电视总局科技司归口本技术文件起草单位：国家广播电视安全播出调度中心、北京捷成世纪科技股份有限公司本技术文件主要起草人：张瑞芝、关丽霞、沈传宝、王鸣皓IIGD/J 037—2011广播电视相关信息系统安全等级保护定级指南1范围本技术文件规定了广播电视相关信息系统安全等级的定级方法本技术文件适用于为广电行业制作、播出、传输、覆盖等生产业务相关信息系统安全等级保护定级 工作提供指导本技术文件不包含办公系统、网站发布系统以及其他与广播电视生产业务无关的信息系 统本文中的信息系统是指由计算机及其相关的和配套的设备、网络构成的对广播电视业务信息进行采 集、加工、存储、传输、检索等处理的系统2术语和定义下列术语和定义适用于本技术文件2.1等级保护对象信息安全等级保护工作直接作用的信息系统2.2客体受法律保护的等级保护对象受到破坏时所侵害的社会关系，如国家安全，社会秩序、公共利益以及 公民、法人或社会其他组织的合法权益2.3客观方面对客体造成侵害的客观外在表现，包括侵害方式和侵害结果等。

3定级原理3.1信息系统安全保护等级根据等级保护相关管理文件，信息系统的安全保护等级分为以下五级：a） 第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国 家安全、社会秩序和公共利益；b） 第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成严重损害，或者对 社会秩序和公共利益造成损害，但不损害国家安全；c） 第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成 损害；#GD/J 037—2011d） 第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全 造成严重损害；e） 第五级，信息系统受到破坏后，会对国家安全造成特别严重损害3.2信息系统安全保护等级的定级要素信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造 成侵害的程度3. 2.1受侵害的客体等级保护对象受到破坏时所侵害的客体包括以下三个方面：a） 公民、法人和其他组织的合法权益；b） 社会秩序、公共利益；c） 国家安全3. 2.2对客体的侵害程度对客体的侵害程度由客观方面的不同外在表现综合决定。

由于对客体的侵害是通过对等级保护对象 的破坏实现的，因此，对客体的侵害外在表现为对等级保护对象的破坏，通过危害方式、危害后果和危 害程度加以描述等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种：a） 造成一般损害；b） 造成严重损害；c） 造成特别严重损害3.3定级要素与安全保护等级的关系定级要素与信息系统安全保护等级的关系见表1表1 定级要素与信息系统安全保护等级的关系受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级4定级方法4.1定级的一般流程GD/J 037—2011信息系统安全包括业务信息安全和系统服务安全，与之相关的受侵害客体和对客体的侵害程度可能 不同，因此，信息系统定级也应由业务信息安全和系统服务安全两方面确定从业务信息安全角度反映的信息系统安全保护等级称为业务信息安全保护等级从系统服务安全角度反映的信息系统安全保护等级称为系统服务安全保护等级确定信息系统安全保护等级的一般流程如下：a） 确定作为定级对象的信息系统；b） 确定业务信息安全受到破坏时所侵害的客体；c） 根据不同的受侵害客体，从多个方面综合评定业务信息安全被破坏对客体的侵害程度；d） 依据表3,得到业务信息安全保护等级；e） 确定系统服务安全受到破坏时所侵害的客体；f） 根据不同的受侵害客体，从多个方面综合评定系统服务安全被破坏对客体的侵害程度；g） 依据表4,得到系统服务安全保护等级；h） 将业务信息安全保护等级和系统服务安全保护等级的较高者确定为等级保护对象的安全保护等级。

确定信息系统安全保护等级一般流程见图1图1确定信息系统安全保护等级一般流程4.2确定定级对象一个单位内运行的信息系统可能比较庞大，为了体现重要部分重点保护、有效控制信息安全建设成 本、优化信息安全资源配置的等级保护原则，可将较大的信息系统划分为若干个较小的、可能具有不同 安全保护等级的定级对彖4. 2. 1作为定级对象的基本特征4. 2.1.1具有唯一确定的安全责任单位GD/J 037—2011作为定级对象的信息系统应能够唯一地确定其安全责任单位如果一个单位的某个下级单位负资信 息系统安全建设、运行维护等过程的全部安全贵任，则这个下级单位可以成为信息系统的安全贵任单位; 如果一个单位中的不同下级单位分别承担信息系统不同方面的安全贵任，则该信息系统的安全责任单位 应是这些下级单位共同所属的单位4. 2.1.2具有信息系统的基本要素作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成 的有形实体应避免将某个单一的系统组件，如服务器、终端、网络设备等作为定级对象4. 2.1.3承载单一或相对独立的业务应用定级对象承载“单一”的业务应用是指该业务应用的业务流程独立，且独享所有信息处理设备。

定 级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立，定级对象可能会与其他业务 应用共享一些设备，尤其是网络传输设备4. 2.1.4边界和边界设备当不同信息系统之间存在共用设备时，共用设备的安全保护措施按两个信息系统安全保护等级较高 者确定4. 2. 2广电行业信息安全等级保护对象根据广电行业实际，按照上述定级对彖的基本特征，综合考虑信息系统的责任单位、业务类型和业 务重要性等各种因素，将广播电视相关信息系统按照机构类别及承载的业务种类进行分类，见表2表2 广电行业信息安全等级保护对象分类序号分类信息系统分类定义1广播中心播出系统实现节目播出和控制的信息系统新闻制播系统以新闻节目为核心，制作播出一体化的信息系统媒资系统实现数字媒体节目的接收、存储、管理、转换、共享和发布的信息 系统综合制作系统以节目制作为核心业务以及为核心制作业务提供辅助服务的信息 系统业务支撑系统实现各业务系统互联互通及基础性服务支撐的信息系统生产管理系统与生产业务相关的管理服务等信息系统2电视中心播出系统实现节目播出和控制的信息系统新闻制播系统以新闻节目为核心，制作播出一体化的信息系统播出整备系统为播出进行节目准备和信号调度的信息系统。

媒资系统实现数字媒体节目的接收、存储、管理、转换、共享和发布的信息 系统综合制作系统以节目制作为核心业务以及为核心制作业务提供辅助服务的信息 系统GD/J 037—2011表2 （续）序号机构分类信息系统分类定义2电视中心业务支撑系统实现各业务系统互联互通及基础性服务支撐的信息系统生产管理系统与生产业务相关的管理服务等信息系统3集成播控平台（含IP电视、移动多媒体广播、电视等）广播系统以广播形式进行播出的信息系统及其控制系统点播系统以点播形式进行播出的信息系统及其控制系统媒资系统实现数字媒体节目的接收、存储、管理、转换、共享和发布的信息 系统综合制作系统以节目制作为核心业务以及为核心制作业务提供辅助服务的信息 系统运营支撑系统实现业务运营和用户管理的信息系统生产管理系统与生产业务相关的管理服务等信息系统4有线电视网络广播系统以广播形式进行播出的信息系统及其控制系统点播系统以点播形式进行播出的信息系统及其控制系统媒资系统实现数字媒体节目的接收、存储、管理、转换、共享和发布的信息 系统运营支撑系统实现业务运营和用户管理的信息系统生产管理系统与生产业务相关的管理服务等信息系统5无线覆盖等其它类生产调度系统实现播出监控、调度的信息系统。

生产管理系统与生产业务相关的管理服务等信息系统4.3确定受侵害的客体 4. 3.1侵害客体的几个方面定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织 的合法权益侵害国家安全的弟项包括•以下方面：一影响国家政权稳固和国防实力；一影响国家统一、民族团结和社会安定；一影响国家对外活动中的政治、经济利益；一影响国家重要的安全保卫工作；—影响国家经济竞争力和科技实力；—其他影响国家安全的朿项侵害社会秩序的爭项包松以下方面：#GD/J 037—2011GD/J 037—2011一影响国家机关社会管理和公共服务的工作秩序；一影响各种类型的经济活动秩序；一影响各行业的科研、生产秩序；一影响公众在法律约束和道德规范下的正常生活秩序等；一其他影响社会秩序的事项影响公共利益的弟项包括•以下方面：一影响社会成员使用公共设施；一影响社会成员获取公开信息资源；一影响社会成员接受公共服务等方面；一其他影响公共利益的审项影响公民、法人和其他组织的合法权益是指由法律确认的并受法律保护的公民、法人和其他组织所 享有的一定的社会权利和利益确定作为定级对象的信息系统受到破坏后所侵害的客体时，应首先判断是否侵害国家安全，然后判 断是否侵害社会秩序或公众利益，最后判断是否侵害公民、法人和。