GY/T 337-2020
基本信息
标准号: GY/T 337-2020
中文名称:广播电视网络安全等级保护定级指南
标准类别:广播电影电视行业标准(GY)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:515151
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GY/T 337-2020.Classification guide for classified protection of broadcasting cybersecurity.
GY/T 337描述了广播电视、网络视听节目服务相关等级保护对象的网络安全保护等级定级方法和定级流程。
GY/T 337适用于中华人民共和国境内的且非涉及国家秘密的广播电视、网络视听节目服务相关等级保护对象的网络安全保护等级定级工作。
2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件:不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB 17859- 1999计算机信息系统安全保护等级划分准则
GB/T22240-2020信息安全技术网络安全等级保护定级指南
GB/T 25069- -2010 信息安全技术术语
GB/T 31167- -2014信息安全技术 云计算服 务安全指南
3术语和定义
GB 17859- -1999、GB/T 22240- -2020、GB/T 25069- 201 0和GB/T 31167- 2014界定的以及下列术语和定义适用于本文件。
3.1等级保护对象target of classified protection广播电视网络安全等级保护工作直接作用的对象。
注:主要包括信息系统、广播电视网络设施和数据资源。[来源: GB/T 22240- -2020, 3.2,有修改]
3.2信息系统information system应用、服务、信息技术资产或其他信息处理组件。
注1:信息系统通常由计算机或者其他信息终端及相关设备组成,并按照-一定的应用目标和规则进行信息处理或过程控制。
注2:典型的信息系统如制作、插出、集成等业务系统,及运营支撑、业务支撑、管理支撑等系统,云计算平台/系统以及采用移动互联技术的系统等。
GY/T 337描述了广播电视、网络视听节目服务相关等级保护对象的网络安全保护等级定级方法和定级流程。
GY/T 337适用于中华人民共和国境内的且非涉及国家秘密的广播电视、网络视听节目服务相关等级保护对象的网络安全保护等级定级工作。
2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件:不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB 17859- 1999计算机信息系统安全保护等级划分准则
GB/T22240-2020信息安全技术网络安全等级保护定级指南
GB/T 25069- -2010 信息安全技术术语
GB/T 31167- -2014信息安全技术 云计算服 务安全指南
3术语和定义
GB 17859- -1999、GB/T 22240- -2020、GB/T 25069- 201 0和GB/T 31167- 2014界定的以及下列术语和定义适用于本文件。
3.1等级保护对象target of classified protection广播电视网络安全等级保护工作直接作用的对象。
注:主要包括信息系统、广播电视网络设施和数据资源。[来源: GB/T 22240- -2020, 3.2,有修改]
3.2信息系统information system应用、服务、信息技术资产或其他信息处理组件。
注1:信息系统通常由计算机或者其他信息终端及相关设备组成,并按照-一定的应用目标和规则进行信息处理或过程控制。
注2:典型的信息系统如制作、插出、集成等业务系统,及运营支撑、业务支撑、管理支撑等系统,云计算平台/系统以及采用移动互联技术的系统等。
标准图片预览
标准内容
中华人民共和国广播电视和网络视听行业标准GY/T337—2020
广播电视网络安全等级保护定级指南Classification guide for classified protection of broadcasting cybersecurity2020-11-23发布
国家广播电视总局
2020-11-23实施
2规范性引用文件
3术语和定义
定级原理及流程
4.1安全保护等级
4.2定级要素,
定级流程
5确定定级对象
5.1信息系统
5.2广播电视网络设施
数据资源
广播电视网络安全等级保护对象分类初步确定等级
确定受侵害的客体
初步确定定级对象的安全保护等级专家评审
主管部门核准
公安机关备案审核
等级变更
附录A(规范性)
附录B(规范性)
参考文献
广播电视网络安全等级保护对象分类建议广播电视网络安全等级保护对象安全保护等级建议GY/T337—2020
GY/T337—2020
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。
请注意本文件的某些内容可能涉及专利。本文件发布机构不承担识别这些专利的责任。本文件由全国广播电影电视标准化技术委员会(SAC/TC239)归口。本文件起草单位:国家广播电视总局监管中心、中央广播电视总台、北京广播电视台、中国有线电视网络有限公司、北京歌华有线电视网络股份有限公司、北京安信天行科技有限公司、北京华云安信息技术有限公司。
本文件主要起草人:李炎、段垚、王昌明、程露、琚宏伟、唐峰、毕江、邓晖、周伟荣、黄美莹、肖国栋、柴晓瑜、高晨光、高原、李杨、彭海龙、王鸣皓。11
1范围
广播电视网络安全等级保护定级指南GY/T337—2020
本文件描述了广播电视、网络视听节目服务相关等级保护对象的网络安全保护等级定级方法和定级流程。
本文件适用于中华人民共和国境内的且非涉及国家秘密的广播电视、网络视听节目服务相关等级保护对象的网络安全保护等级定级工作。规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件仅该日期对应的版本适用于本文件:不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB17859一1999计算机信息系统安全保护等级划分准则GB/T22240—2020信息安全技术网络安全等级保护定级指南GB/T25069—2010
信息安全技术术语
GB/T31167—2014
1信息安全技术
云计算服务安全指南
术语和定义
GB17859—1999、GB/T22240—2020、GB/T25069—2010和GB/T31167—2014界定的以及下列术语和定义适用于本文件。
等级保护对象targetofclassifiedprotection广播电视网络安全等级保护工作直接作用的对象注:主要包括信息系统、广播电视网络设施和数据资源。[来源:GB/T22240—2020.3.2,有修改3.2
Einformationsystem
信息系统
应用、服务、信息技术资产或其他信息处理组件。注1:信息系统通常由计算机或者其他信息终端及相关设备组成,并按照一定的应用目标和规则进行信息处理或过程控制。
注2:典型的信息系统如制作、播出、集成等业务系统,及运营支撑、业务支撑、管理支撑等系统,云计算平台系统以及采用移动互联技术的系统等。L来源:GB/T222402020.3.3,有修改3.3
GY/T337—2020
广播电视网络设施broadcastingnetworkinfrastructure对广播电视和网络视听业务信息流通、网络运行等起基础支撑作用的网络设备设施3.4
数据资源data resources
具有或预期具有价值的数据集合。注:数据资源多以电子形式存在。[来源:GB/T22240—2020,3.5]】3.5
受侵害的客体objectof infringement受法律保护的、等级保护对象受到破坏时所侵害的社会关系。注:本文件中简称“客体”
[来源:GB/T22240—2020,3.6]3.6
客观方面objective
对客体造成侵害的客观外在表现,包括侵害方式和侵害结果等。[来源:GB/T22240—2020,3.7]4定级原理及流程
4.1安全保护等级
根据等级保护对象在国家安全、经济建设、社会生活中的重要程度,以及一且遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全,社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度等因素,等级保护对象的安全保护等级分为以下五级:a)第一级,等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成损害,但不危害国家安全、社会秩序和公共利益:b)
第二级,等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成严重损害或特别严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全:第三级,等级保护对象受到破坏后,会对社会秩序和公共利益造成严重危害,或者对国家安全造成危害:
第四级,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害:
第五级,等级保护对象受到破坏后,会对国家安全造成特别严重危害。4.2定级要素
4.2.1定级要素概述
等级保护对象的定级要素包括:a)受侵害的客体:
b)对客体的侵害程度,
4.2.2受侵害的客体
等级保护对象受到破坏时所侵害的客体包括以下三个方面:a)公民、法人和其他组织的合法权益;b)社会秩序、公共利益;
c)国家安全。
GY/T337—2020
侵害公民、法人和其他组织的合法权益是指受法律保护的公民、法人和其他组织所享有的社会权利和利益等受到损害。
侵害社会秩序的事项包括以下方面:影响国家机关、企事业单位、社会团体的生产秩序、教学科研秩序、医疗卫生秩序:影响公共场所的活动秩序、公共交通秩序:一一影响人民群众的生活秩序:一一其他影响社会秩序的事项。侵害公共利益的事项包括以下方面:影响社会成员使用公共设施:
一一影响社会成员获取公开数据资源:一一影响社会成员接受公共服务等方面;一其他影响公共利益的事项。
侵害国家安全的事项包括以下方面:影响国家政权稳固和领生主权、海洋权益完整影响国家统一、民族团结和社会稳定:一影响国家社会主义市场经济秩序和文化实力:一一其他影响国家安全的事项。4.2.3对客体的侵害程度
对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的,因此对客体的侵害外在表现为对等级保护对象的破坏,通过侵害方式、侵害后果和侵害程度加以描述
等级保护对象受到破坏后对客体造成侵害的程度分为以下三种:a)造成一般损害:
b)造成严重损害;
c)造成特别严重损害。
三种侵害程度的描述如下:
一般损害:工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的a)
法律问题,较低的财产损失,有限的社会不良影响,对其他组织和个人造成较低损害;b)
严重损害:工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较高损害;特别严重损害:工作职能受到特别严重影响或丧失行使能力,业务能力严重下降或功能无法执行,出现极其严重的法律问题,极高的财产损失,大范围的社会不良影响,对其他组织和个人造成非常高损害。
4.2.4定级要素与安全保护等级的关系定级要素与安全保护等级的关系见表1。3
GY/T337—2020
受侵害的客体
公民、法人和其他组织的合法权益社会秩序、公共利益
国家安全
4.3定级流程
定级要素与安全保护等级的关系对客体的侵害程度
一般损害
第一级
第二级
第三级
等级保护对象定级流程如下:
a)确定定级对象;
b)初步确定等级;
专家评审:
d)主管部门核准;
e)公安机关备案审核。
严重损害
第二级
第三级
第四级
特别严重损害
第二级
第四级
第五级
安全保护等级初步确定为第二级及以上的等级保护对象,其网络运营者依据本文件组织进行专家评审、主管部门核准和备案审核,最终确定其安全保护等级。安全保护等级初步确定为第一级的等级保护对象,其网络运营者可参照本文件自行确定最终安全保护等级,可不进行专家评审、主管部门核准和备案审核。
5确定定级对象
5.1信息系统
定级对象的基本特征
作为定级对象的信息系统应具有如下基本特征:具有确定的主要安全责任主体;a)bzxZ.net
承载相对独立的业务应用;
包含相互关联的多个资源。
5.1.2云计算平台/系统
在云计算环境中,建设公有云的单位,云服务客户侧的业务系统和云服务商侧的云计算平台需分别作为单独定级对象,并根据不同服务模式将云计算平台/系统划分为不同的定级对象。租用公有云服务的单位,对其使用的运行于云计算平台上的业务系统进行定级。使用私有云的单位,按所承载业务系统的最高等级对该私有云进行定级,运行于该私有云上的业务系统可独立定级:若私有云承载单一的业务系统,且该私有云和业务系统由同一安全责任主体运维,可合并定级。5.1.3采用移动互联技术的系统
采用移动互联技术的系统主要包括移动终端、移动应用和无线网络等特征要素,可作为一个整体独立定级或与相关联业务系统一起定级,各要素不单独定级。5.2广播电视网络设施
GY/T337—2020
对于广播电视传输网等网络设施宜根据安全责任主体、业务类型或服务地域等因素将其划分为不同的定级对象。当安全责任主体相同时,跨地域的专用网络可作为一个整体对象定级:当安全责任主体不同时,需根据安全责任主体和服务区域划分为若干个定级对象。5.3数据资源
数据资源可单独定级。当安全责任主体相同时,大数据、大数据平台/系统宜作为一个整体对象定级:当安全责任主体不同时,大数据和大数据平台/系统应独立定级。5.4广播电视网络安全等级保护对象分类根据广电行业实际情况,按照定级对象的基本特征,综合考虑定级对象的责任单位、业务类型和业务重要性等因素,将广播电视网络安全等级保护对象按照机构类别及承载的业务种类进行分类,应使用附录A的建议。
对于较为庞大的网络设施和信息系统,为了体现分等级保护、优化信息安全资源配置的原则,可将其划分为多个定级对象。如果等级保护对象责任边界一致,业务关联度较大,也可将附录A中的多个系统合并为一个等级保护对象进行定级。6初步确定等级
6.1确定受侵害的客体
6.1.1定级对象受到破坏时侵害的客体定级对象的安全主要包括业务信息安全和系统服务安全,安全保护等级由业务信息安全和系统服务安全相关的受侵害客体和对客体的侵害程度来确定。分析各类定级对象与广播电视业务的相关性,分析定级对象信息安全或系统服务安全与国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的关系,从而确定定级对象受到破坏时所侵害的客体。与安全播出直接相关的定级对象业务信息安全或系统服务安全受到破坏,可能直接造成安全播出事故,侵害社会公众收听收看广播电视节目的合法权益,可能引起社会秩序混乱乃至社会动荡、可能侵害国家安全。
与安全播出相关的定级对象业务信息安全或系统服务安全受到破坏,可能造成安全播出事故,侵害社会公众收听收着广播电视节自的合法权益,可能引起社会秩序混乱,可能侵害公共利益。其他定级对象业务信息安全或系统服务安全受到破坏,可能会给本单位造成一定的财产损失、经济纠纷、法律纠纷等,侵害本单位的权益。6.1.2定级对象受到破坏对客体的侵害程度定级对象业务信息安全或系统服务安全受到破环时,对客体的侵害程度与定级对象承载业务及其系统服务的重要性、覆盖面、影响程度、用户规模等有关。国家级广播电视播出系统等定级对象业务信息覆盖全国,社会影响力大,这些系统的业务信息安全或系统服务安全受到破坏,可能直接造成播出事故,对社会秩序、公共利益造成特别严重损害,对国家安全造成严重损害。
省级及省会城市、计划单列市、地市及以下级别的播出系统等定级对象,其业务信息有一定的覆盖面和社会影响力,这些系统的业务信息安全或系统服务安全受到破坏,可能直接造成播出事故,对社会秩序、公共利益造成严重损害,对国家安全造成损害。5
GY/T337—2020
全国或跨省的运营支撑系统、管理支撑系统等定级对象,与广播电视播出业务有较为密切的联系,这些系统的业务信息安全或系统服务安全受到破坏,可能导致广播电视业务能力下降,破坏严重时可能造成播出事故,侵害社会公众收听收着广播电视节目的合法权益,对社会秩序和公共利益造成严重损害。全省或跨地市的运营支撑系统、管理支撑系统等定级对象,业务信息安全或系统服务安全受到破坏,可能导致广播电视业务能力下降,破坏严重时可能造成播出事故,侵害部分区域社会公众收听收看广播电视节目的合法权益,对社会秩序和公共利益造成一般损害。6.2初步确定定级对象的安全保护等级根据定级对象业务信息安全、系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度,建议定级对象的安全保护等级,广播电视网络安全等级保护对象分级应使用附录B中表B.1~表B.13的建议。
各单位根据本单位网络业务功能,进行参照定级,安全等级应不低于建议级别。对于承载多个业务功能的网络,应以建议的最高安全等级进行定级。对于将云计算平台作为定级对象,需根据其承载或将要承载的业务系统的重要程度确定其安全保护等级,原则上不低于其承载的业务系统的安全保护等级。涉及大量公民个人信息以及为公民提供公共服务的大数据平台/系统,原则上其安全保护等级不低于第三级。
未在建议表中列出的广播电视网络安全等级保护对象,应根据其承载的业务功能,参照GB/T22240一2020或本文件进行定级。
7专家评审
定级对象的网络运营者应按照本文件对等级保护对象进行定级,安全保护等级初步确定为第二级及以上的,需组织网络安全专家和业务专家对定级结果的合理性进行评审,并出具专家评审意见。8主管部门核准
定级对象的网络运营者应将专家评审后的定级结果报行业主管部门。公安机关备案审核
定级对象的网络运营者需按照相关管理规定,将定级结果提交公安机关进行备案审核,审核不通过,其网络运营者需组织重新定级;审核通过后最终确定定级对象的安全保护等级,10等级变更
当等级保护对象所处理的业务信息和系统服务范围发生变化,可能导致业务信息安全或系统服务安全受到破坏后的受侵害客体和对客体的侵害程度发生变化时,需根据第6章重新确定定级对象和安全保护等级。
附录A
(规范性)
广播电视网络安全等级保护对象分类建议广播电视网络安全等级保护对象分类建议见表A.1。表A.1广播电视网络安全等级保护对象分类建议序号
广播/电视中心
融媒体中心
集成平台(含IPTV
移动多媒体广播、
手机电视、互联网
电视、直播卫星等
的集成播控平台和
节目集成平台)
有线电视平台
定级对象
播出系统
融合媒体发布系统
制播一体化系统
播出整备系统
媒资系统
制作系统
融合媒体采集与制
作系统
业务支撑系统
管理支撑系统
省级技术平台
融媒体中心播出/
发布系统
其他系统
播控系统
互动系统
媒资系统
制作系统
运营支撑系统
管理支撑系统
播出系统
互动系统
宽带系统
运营支撑系统
媒资系统
制作系统
管理支撑系统
实现节目播出和播出控制的信息系统面向社交媒体、客户端等内容发布的信息系统。实现节目制作播出一体化的信息系统GY/T337—2020
为播出进行节目准备和信号(信息流)调度的信息系统。实现媒体等内容资源接收、存储、管理、转换和共享的信息系统。实现内容制作以及为制作业务提供辅助服务的信息系统。面向社交媒体、客户端等内容生产和集成的信息系统。实现各业务系统互联互通及基础性服务支撑的信息系统。实现各业务系统的监测、安全管理、运维管理、生产管理、广告管理和版权管理等功能的信息系统。为县级融媒体中心媒体服务、党建服务、政务服务、公共服务、增值服务等业务开展提供技术支撑、运营维护的省级云平台。实现融媒体中心节目播出/内容发布的信息系统,融媒体中心除播出/发布系统外的信息系统。实现节目播出控制、编码复用、加密传输的信息系统。实现互动功能以及为互动业务提供辅助服务的信息系统。实现媒体等内容资源接收、存储、管理、转换和共享的信息系统。实现内容制作以及为制作业务提供辅助服务的信息系统实现业务运营和用户管理的信息系统实现终端及业务系统的监测、安全管理、运维管理、生产管理和版权管理等功能的信息系统。
实现节目播出和播出控制的信息系统。实现互动功能以及为互动业务提供辅助服务的信息系统实现用户接入互联网,实现电脑等终端上网业务的信息系统。实现业务运营和用户管理的信息系统。实现媒体等内容资源接收、存储、管理、转换和共享的信息系统。实现内容制作以及为制作业务提供辅助服务的信息系统实现各业务系统的监测、安全管理、运维管理、生产管理、广告管理和版权管理等功能的信息系统。7
GY/T337—2020
基础网络
网络广播电视台
互联网视听节目服
务机构(不含网络
广播电视台)
无线台站
卫星地球站
应急广播中心
监测监管
数据资源
通用系统
定级对象
承载网
运营支撑系统
管理支撑系统
网站系统
播出系统
互动系统
媒资系统
制作系统
运营支撑系统
管理支撑系统
网站系统
播出系统
互动系统
调度控制系统
管理支撑系统
上行功率控制系统
制作播发系统
调度控制系统
指挥调度系统
监测监管系统
大数据
大数据系统
门户网站系统
电子政务系统
数据中心系统
邮件系统
面向公众移动互联
内部生产移动互联
表A.1(续)
基础光缆网络、城域网等基础信息网络及其控制系统,实现业务运营和用户管理的信息系统。实现各业务系统的监测、安全管理、运维管理、生产管理、广告管理和版权管理等功能的信息系统。实现面向公众提供音视频服务的业务网站。实现节目播出和播出控制的信息系统。实现互动功能以及为互动业务提供辅助服务的信息系统。实现媒体等内容资源接收、存储、管理、转换和共享的信息系统。实现内容制作以及为制作业务提供辅助服务的信息系统,实现业务运营和用户管理的信息系统。实现各业务系统的监测、安全管理、运维管理、生产管理、广告管理和版权管理等功能的信息系统。实现面向公众提供音视频服务的业务网站。实现节目播出和播出控制的信息系统。实现互动功能以及为互动业务提供辅助服务的信息系统。实现资源管理、资源调度、生成播发和效果评估等功能的信息系统。实现监测监管、调度指挥、安全管理、运维管理、生产管理和版权管理等功能的信息系统。
实现实时判断异常情况,自动、手动提升上行功率,并具备异地接收、上行自环检测等防止功率误提升技术措施的信息系统。实现信息接入、信息处理、信息制作和审核播发等功能的信息系统。实现资源管理、资源调度、生成播发和效果评估等功能的信息系统。实现安全播出资源管理、应急联动指挥等功能的信息系统。实现广播电视节目监测监管、监听监看的信息系统。具有数量巨大、来源多样、生成极快、且多变等特征并且难以用传统数据体系结构有效处理的包含大量数据集的数据实现大数据参考体系结构的全部或部分功能的信息系统实现提供某类综合性互联网信息资源和有关信息服务的信息系统。面向政府机构的信息服务和信息处理系统,实现广播电视业务信息集中处理、存储、传输、交换、管理的信息系统。
办公用电子邮件信息系统。
实现面向社会公众提供信息服务的具有移动客户端的信息系统,实现系统内部生产管理的具有移动客户端的信息系统,包含但不限于行业内政府网站、重要单位的机构网站等。8
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
广播电视网络安全等级保护定级指南Classification guide for classified protection of broadcasting cybersecurity2020-11-23发布
国家广播电视总局
2020-11-23实施
2规范性引用文件
3术语和定义
定级原理及流程
4.1安全保护等级
4.2定级要素,
定级流程
5确定定级对象
5.1信息系统
5.2广播电视网络设施
数据资源
广播电视网络安全等级保护对象分类初步确定等级
确定受侵害的客体
初步确定定级对象的安全保护等级专家评审
主管部门核准
公安机关备案审核
等级变更
附录A(规范性)
附录B(规范性)
参考文献
广播电视网络安全等级保护对象分类建议广播电视网络安全等级保护对象安全保护等级建议GY/T337—2020
GY/T337—2020
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。
请注意本文件的某些内容可能涉及专利。本文件发布机构不承担识别这些专利的责任。本文件由全国广播电影电视标准化技术委员会(SAC/TC239)归口。本文件起草单位:国家广播电视总局监管中心、中央广播电视总台、北京广播电视台、中国有线电视网络有限公司、北京歌华有线电视网络股份有限公司、北京安信天行科技有限公司、北京华云安信息技术有限公司。
本文件主要起草人:李炎、段垚、王昌明、程露、琚宏伟、唐峰、毕江、邓晖、周伟荣、黄美莹、肖国栋、柴晓瑜、高晨光、高原、李杨、彭海龙、王鸣皓。11
1范围
广播电视网络安全等级保护定级指南GY/T337—2020
本文件描述了广播电视、网络视听节目服务相关等级保护对象的网络安全保护等级定级方法和定级流程。
本文件适用于中华人民共和国境内的且非涉及国家秘密的广播电视、网络视听节目服务相关等级保护对象的网络安全保护等级定级工作。规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件仅该日期对应的版本适用于本文件:不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB17859一1999计算机信息系统安全保护等级划分准则GB/T22240—2020信息安全技术网络安全等级保护定级指南GB/T25069—2010
信息安全技术术语
GB/T31167—2014
1信息安全技术
云计算服务安全指南
术语和定义
GB17859—1999、GB/T22240—2020、GB/T25069—2010和GB/T31167—2014界定的以及下列术语和定义适用于本文件。
等级保护对象targetofclassifiedprotection广播电视网络安全等级保护工作直接作用的对象注:主要包括信息系统、广播电视网络设施和数据资源。[来源:GB/T22240—2020.3.2,有修改3.2
Einformationsystem
信息系统
应用、服务、信息技术资产或其他信息处理组件。注1:信息系统通常由计算机或者其他信息终端及相关设备组成,并按照一定的应用目标和规则进行信息处理或过程控制。
注2:典型的信息系统如制作、播出、集成等业务系统,及运营支撑、业务支撑、管理支撑等系统,云计算平台系统以及采用移动互联技术的系统等。L来源:GB/T222402020.3.3,有修改3.3
GY/T337—2020
广播电视网络设施broadcastingnetworkinfrastructure对广播电视和网络视听业务信息流通、网络运行等起基础支撑作用的网络设备设施3.4
数据资源data resources
具有或预期具有价值的数据集合。注:数据资源多以电子形式存在。[来源:GB/T22240—2020,3.5]】3.5
受侵害的客体objectof infringement受法律保护的、等级保护对象受到破坏时所侵害的社会关系。注:本文件中简称“客体”
[来源:GB/T22240—2020,3.6]3.6
客观方面objective
对客体造成侵害的客观外在表现,包括侵害方式和侵害结果等。[来源:GB/T22240—2020,3.7]4定级原理及流程
4.1安全保护等级
根据等级保护对象在国家安全、经济建设、社会生活中的重要程度,以及一且遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全,社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度等因素,等级保护对象的安全保护等级分为以下五级:a)第一级,等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成损害,但不危害国家安全、社会秩序和公共利益:b)
第二级,等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成严重损害或特别严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全:第三级,等级保护对象受到破坏后,会对社会秩序和公共利益造成严重危害,或者对国家安全造成危害:
第四级,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害:
第五级,等级保护对象受到破坏后,会对国家安全造成特别严重危害。4.2定级要素
4.2.1定级要素概述
等级保护对象的定级要素包括:a)受侵害的客体:
b)对客体的侵害程度,
4.2.2受侵害的客体
等级保护对象受到破坏时所侵害的客体包括以下三个方面:a)公民、法人和其他组织的合法权益;b)社会秩序、公共利益;
c)国家安全。
GY/T337—2020
侵害公民、法人和其他组织的合法权益是指受法律保护的公民、法人和其他组织所享有的社会权利和利益等受到损害。
侵害社会秩序的事项包括以下方面:影响国家机关、企事业单位、社会团体的生产秩序、教学科研秩序、医疗卫生秩序:影响公共场所的活动秩序、公共交通秩序:一一影响人民群众的生活秩序:一一其他影响社会秩序的事项。侵害公共利益的事项包括以下方面:影响社会成员使用公共设施:
一一影响社会成员获取公开数据资源:一一影响社会成员接受公共服务等方面;一其他影响公共利益的事项。
侵害国家安全的事项包括以下方面:影响国家政权稳固和领生主权、海洋权益完整影响国家统一、民族团结和社会稳定:一影响国家社会主义市场经济秩序和文化实力:一一其他影响国家安全的事项。4.2.3对客体的侵害程度
对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的,因此对客体的侵害外在表现为对等级保护对象的破坏,通过侵害方式、侵害后果和侵害程度加以描述
等级保护对象受到破坏后对客体造成侵害的程度分为以下三种:a)造成一般损害:
b)造成严重损害;
c)造成特别严重损害。
三种侵害程度的描述如下:
一般损害:工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的a)
法律问题,较低的财产损失,有限的社会不良影响,对其他组织和个人造成较低损害;b)
严重损害:工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较高损害;特别严重损害:工作职能受到特别严重影响或丧失行使能力,业务能力严重下降或功能无法执行,出现极其严重的法律问题,极高的财产损失,大范围的社会不良影响,对其他组织和个人造成非常高损害。
4.2.4定级要素与安全保护等级的关系定级要素与安全保护等级的关系见表1。3
GY/T337—2020
受侵害的客体
公民、法人和其他组织的合法权益社会秩序、公共利益
国家安全
4.3定级流程
定级要素与安全保护等级的关系对客体的侵害程度
一般损害
第一级
第二级
第三级
等级保护对象定级流程如下:
a)确定定级对象;
b)初步确定等级;
专家评审:
d)主管部门核准;
e)公安机关备案审核。
严重损害
第二级
第三级
第四级
特别严重损害
第二级
第四级
第五级
安全保护等级初步确定为第二级及以上的等级保护对象,其网络运营者依据本文件组织进行专家评审、主管部门核准和备案审核,最终确定其安全保护等级。安全保护等级初步确定为第一级的等级保护对象,其网络运营者可参照本文件自行确定最终安全保护等级,可不进行专家评审、主管部门核准和备案审核。
5确定定级对象
5.1信息系统
定级对象的基本特征
作为定级对象的信息系统应具有如下基本特征:具有确定的主要安全责任主体;a)bzxZ.net
承载相对独立的业务应用;
包含相互关联的多个资源。
5.1.2云计算平台/系统
在云计算环境中,建设公有云的单位,云服务客户侧的业务系统和云服务商侧的云计算平台需分别作为单独定级对象,并根据不同服务模式将云计算平台/系统划分为不同的定级对象。租用公有云服务的单位,对其使用的运行于云计算平台上的业务系统进行定级。使用私有云的单位,按所承载业务系统的最高等级对该私有云进行定级,运行于该私有云上的业务系统可独立定级:若私有云承载单一的业务系统,且该私有云和业务系统由同一安全责任主体运维,可合并定级。5.1.3采用移动互联技术的系统
采用移动互联技术的系统主要包括移动终端、移动应用和无线网络等特征要素,可作为一个整体独立定级或与相关联业务系统一起定级,各要素不单独定级。5.2广播电视网络设施
GY/T337—2020
对于广播电视传输网等网络设施宜根据安全责任主体、业务类型或服务地域等因素将其划分为不同的定级对象。当安全责任主体相同时,跨地域的专用网络可作为一个整体对象定级:当安全责任主体不同时,需根据安全责任主体和服务区域划分为若干个定级对象。5.3数据资源
数据资源可单独定级。当安全责任主体相同时,大数据、大数据平台/系统宜作为一个整体对象定级:当安全责任主体不同时,大数据和大数据平台/系统应独立定级。5.4广播电视网络安全等级保护对象分类根据广电行业实际情况,按照定级对象的基本特征,综合考虑定级对象的责任单位、业务类型和业务重要性等因素,将广播电视网络安全等级保护对象按照机构类别及承载的业务种类进行分类,应使用附录A的建议。
对于较为庞大的网络设施和信息系统,为了体现分等级保护、优化信息安全资源配置的原则,可将其划分为多个定级对象。如果等级保护对象责任边界一致,业务关联度较大,也可将附录A中的多个系统合并为一个等级保护对象进行定级。6初步确定等级
6.1确定受侵害的客体
6.1.1定级对象受到破坏时侵害的客体定级对象的安全主要包括业务信息安全和系统服务安全,安全保护等级由业务信息安全和系统服务安全相关的受侵害客体和对客体的侵害程度来确定。分析各类定级对象与广播电视业务的相关性,分析定级对象信息安全或系统服务安全与国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的关系,从而确定定级对象受到破坏时所侵害的客体。与安全播出直接相关的定级对象业务信息安全或系统服务安全受到破坏,可能直接造成安全播出事故,侵害社会公众收听收看广播电视节目的合法权益,可能引起社会秩序混乱乃至社会动荡、可能侵害国家安全。
与安全播出相关的定级对象业务信息安全或系统服务安全受到破坏,可能造成安全播出事故,侵害社会公众收听收着广播电视节自的合法权益,可能引起社会秩序混乱,可能侵害公共利益。其他定级对象业务信息安全或系统服务安全受到破坏,可能会给本单位造成一定的财产损失、经济纠纷、法律纠纷等,侵害本单位的权益。6.1.2定级对象受到破坏对客体的侵害程度定级对象业务信息安全或系统服务安全受到破环时,对客体的侵害程度与定级对象承载业务及其系统服务的重要性、覆盖面、影响程度、用户规模等有关。国家级广播电视播出系统等定级对象业务信息覆盖全国,社会影响力大,这些系统的业务信息安全或系统服务安全受到破坏,可能直接造成播出事故,对社会秩序、公共利益造成特别严重损害,对国家安全造成严重损害。
省级及省会城市、计划单列市、地市及以下级别的播出系统等定级对象,其业务信息有一定的覆盖面和社会影响力,这些系统的业务信息安全或系统服务安全受到破坏,可能直接造成播出事故,对社会秩序、公共利益造成严重损害,对国家安全造成损害。5
GY/T337—2020
全国或跨省的运营支撑系统、管理支撑系统等定级对象,与广播电视播出业务有较为密切的联系,这些系统的业务信息安全或系统服务安全受到破坏,可能导致广播电视业务能力下降,破坏严重时可能造成播出事故,侵害社会公众收听收着广播电视节目的合法权益,对社会秩序和公共利益造成严重损害。全省或跨地市的运营支撑系统、管理支撑系统等定级对象,业务信息安全或系统服务安全受到破坏,可能导致广播电视业务能力下降,破坏严重时可能造成播出事故,侵害部分区域社会公众收听收看广播电视节目的合法权益,对社会秩序和公共利益造成一般损害。6.2初步确定定级对象的安全保护等级根据定级对象业务信息安全、系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度,建议定级对象的安全保护等级,广播电视网络安全等级保护对象分级应使用附录B中表B.1~表B.13的建议。
各单位根据本单位网络业务功能,进行参照定级,安全等级应不低于建议级别。对于承载多个业务功能的网络,应以建议的最高安全等级进行定级。对于将云计算平台作为定级对象,需根据其承载或将要承载的业务系统的重要程度确定其安全保护等级,原则上不低于其承载的业务系统的安全保护等级。涉及大量公民个人信息以及为公民提供公共服务的大数据平台/系统,原则上其安全保护等级不低于第三级。
未在建议表中列出的广播电视网络安全等级保护对象,应根据其承载的业务功能,参照GB/T22240一2020或本文件进行定级。
7专家评审
定级对象的网络运营者应按照本文件对等级保护对象进行定级,安全保护等级初步确定为第二级及以上的,需组织网络安全专家和业务专家对定级结果的合理性进行评审,并出具专家评审意见。8主管部门核准
定级对象的网络运营者应将专家评审后的定级结果报行业主管部门。公安机关备案审核
定级对象的网络运营者需按照相关管理规定,将定级结果提交公安机关进行备案审核,审核不通过,其网络运营者需组织重新定级;审核通过后最终确定定级对象的安全保护等级,10等级变更
当等级保护对象所处理的业务信息和系统服务范围发生变化,可能导致业务信息安全或系统服务安全受到破坏后的受侵害客体和对客体的侵害程度发生变化时,需根据第6章重新确定定级对象和安全保护等级。
附录A
(规范性)
广播电视网络安全等级保护对象分类建议广播电视网络安全等级保护对象分类建议见表A.1。表A.1广播电视网络安全等级保护对象分类建议序号
广播/电视中心
融媒体中心
集成平台(含IPTV
移动多媒体广播、
手机电视、互联网
电视、直播卫星等
的集成播控平台和
节目集成平台)
有线电视平台
定级对象
播出系统
融合媒体发布系统
制播一体化系统
播出整备系统
媒资系统
制作系统
融合媒体采集与制
作系统
业务支撑系统
管理支撑系统
省级技术平台
融媒体中心播出/
发布系统
其他系统
播控系统
互动系统
媒资系统
制作系统
运营支撑系统
管理支撑系统
播出系统
互动系统
宽带系统
运营支撑系统
媒资系统
制作系统
管理支撑系统
实现节目播出和播出控制的信息系统面向社交媒体、客户端等内容发布的信息系统。实现节目制作播出一体化的信息系统GY/T337—2020
为播出进行节目准备和信号(信息流)调度的信息系统。实现媒体等内容资源接收、存储、管理、转换和共享的信息系统。实现内容制作以及为制作业务提供辅助服务的信息系统。面向社交媒体、客户端等内容生产和集成的信息系统。实现各业务系统互联互通及基础性服务支撑的信息系统。实现各业务系统的监测、安全管理、运维管理、生产管理、广告管理和版权管理等功能的信息系统。为县级融媒体中心媒体服务、党建服务、政务服务、公共服务、增值服务等业务开展提供技术支撑、运营维护的省级云平台。实现融媒体中心节目播出/内容发布的信息系统,融媒体中心除播出/发布系统外的信息系统。实现节目播出控制、编码复用、加密传输的信息系统。实现互动功能以及为互动业务提供辅助服务的信息系统。实现媒体等内容资源接收、存储、管理、转换和共享的信息系统。实现内容制作以及为制作业务提供辅助服务的信息系统实现业务运营和用户管理的信息系统实现终端及业务系统的监测、安全管理、运维管理、生产管理和版权管理等功能的信息系统。
实现节目播出和播出控制的信息系统。实现互动功能以及为互动业务提供辅助服务的信息系统实现用户接入互联网,实现电脑等终端上网业务的信息系统。实现业务运营和用户管理的信息系统。实现媒体等内容资源接收、存储、管理、转换和共享的信息系统。实现内容制作以及为制作业务提供辅助服务的信息系统实现各业务系统的监测、安全管理、运维管理、生产管理、广告管理和版权管理等功能的信息系统。7
GY/T337—2020
基础网络
网络广播电视台
互联网视听节目服
务机构(不含网络
广播电视台)
无线台站
卫星地球站
应急广播中心
监测监管
数据资源
通用系统
定级对象
承载网
运营支撑系统
管理支撑系统
网站系统
播出系统
互动系统
媒资系统
制作系统
运营支撑系统
管理支撑系统
网站系统
播出系统
互动系统
调度控制系统
管理支撑系统
上行功率控制系统
制作播发系统
调度控制系统
指挥调度系统
监测监管系统
大数据
大数据系统
门户网站系统
电子政务系统
数据中心系统
邮件系统
面向公众移动互联
内部生产移动互联
表A.1(续)
基础光缆网络、城域网等基础信息网络及其控制系统,实现业务运营和用户管理的信息系统。实现各业务系统的监测、安全管理、运维管理、生产管理、广告管理和版权管理等功能的信息系统。实现面向公众提供音视频服务的业务网站。实现节目播出和播出控制的信息系统。实现互动功能以及为互动业务提供辅助服务的信息系统。实现媒体等内容资源接收、存储、管理、转换和共享的信息系统。实现内容制作以及为制作业务提供辅助服务的信息系统,实现业务运营和用户管理的信息系统。实现各业务系统的监测、安全管理、运维管理、生产管理、广告管理和版权管理等功能的信息系统。实现面向公众提供音视频服务的业务网站。实现节目播出和播出控制的信息系统。实现互动功能以及为互动业务提供辅助服务的信息系统。实现资源管理、资源调度、生成播发和效果评估等功能的信息系统。实现监测监管、调度指挥、安全管理、运维管理、生产管理和版权管理等功能的信息系统。
实现实时判断异常情况,自动、手动提升上行功率,并具备异地接收、上行自环检测等防止功率误提升技术措施的信息系统。实现信息接入、信息处理、信息制作和审核播发等功能的信息系统。实现资源管理、资源调度、生成播发和效果评估等功能的信息系统。实现安全播出资源管理、应急联动指挥等功能的信息系统。实现广播电视节目监测监管、监听监看的信息系统。具有数量巨大、来源多样、生成极快、且多变等特征并且难以用传统数据体系结构有效处理的包含大量数据集的数据实现大数据参考体系结构的全部或部分功能的信息系统实现提供某类综合性互联网信息资源和有关信息服务的信息系统。面向政府机构的信息服务和信息处理系统,实现广播电视业务信息集中处理、存储、传输、交换、管理的信息系统。
办公用电子邮件信息系统。
实现面向社会公众提供信息服务的具有移动客户端的信息系统,实现系统内部生产管理的具有移动客户端的信息系统,包含但不限于行业内政府网站、重要单位的机构网站等。8
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。