搜索结果: GY/T 337-2020, GY/T337-2020, GYT 337-2020, GYT337-2020
| 标准编号 | GY/T 337-2020 (GY/T337-2020) | | 中文名称 | 广播电视网络安全等级保护定级指南 | | 英文名称 | (Guidelines for the Classification of Radio and Television Network Security Level Protection) | | 行业 | 广播电影电视 行业标准 (推荐) | | 字数估计 | 16,173 | | 发布日期 | 2020-11-23 | | 实施日期 | 2020-11-23 | | 标准依据 | 广电发(2020)82号 | | 发布机构 | 国家广播电视总局 | GY/T 337-2020: 广播电视网络安全等级保护定级指南
GY/T 337-2020 英文名称: (Guidelines for the Classification of Radio and Television Network Security Level Protection)
中华人民共和国广播电视和网络视听行业标准
广播电视网络安全等级保护定级指南
国家广播电视总局 发 布
1 范围
本文件描述了广播电视、网络视听节目服务相关等级保护对象的网络安全保护等级定级方法和定级
流程。
本文件适用于中华人民共和国境内的且非涉及国家秘密的广播电视、网络视听节目服务相关等级保
护对象的网络安全保护等级定级工作。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,
仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本
文件。
4.1 安全保护等级
根据等级保护对象在国家安全、经济建设、社会生活中的重要程度,以及一旦遭到破坏、丧失功能
或者数据被篡改、泄露、丢失、损毁后,对国家安全,社会秩序、公共利益以及公民、法人和其他组织
的合法权益的侵害程度等因素,等级保护对象的安全保护等级分为以下五级:
a) 第一级,等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成损害,但
不危害国家安全、社会秩序和公共利益;
b) 第二级,等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成严重损害
或特别严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全;
c) 第三级,等级保护对象受到破坏后,会对社会秩序和公共利益造成严重危害,或者对国家安全
造成危害;
d) 第四级,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重危害,或者对国家
安全造成严重危害;
e) 第五级,等级保护对象受到破坏后,会对国家安全造成特别严重危害。
4.2 定级要素
4.2.1 定级要素概述
等级保护对象的定级要素包括:
a) 受侵害的客体;
b) 对客体的侵害程度。
4.2.2 受侵害的客体
等级保护对象受到破坏时所侵害的客体包括以下三个方面:
a) 公民、法人和其他组织的合法权益;
b) 社会秩序、公共利益;
c) 国家安全。
侵害公民、法人和其他组织的合法权益是指受法律保护的公民、法人和其他组织所享有的社会权利
和利益等受到损害。
侵害社会秩序的事项包括以下方面:
--影响国家机关、企事业单位、社会团体的生产秩序、教学科研秩序、医疗卫生秩序;
--影响公共场所的活动秩序、公共交通秩序;
--影响人民群众的生活秩序;
--其他影响社会秩序的事项。
侵害公共利益的事项包括以下方面:
--影响社会成员使用公共设施;
--影响社会成员获取公开数据资源;
--影响社会成员接受公共服务等方面;
--其他影响公共利益的事项。
侵害国家安全的事项包括以下方面:
--影响国家政权稳固和领土主权、海洋权益完整;
--影响国家统一、民族团结和社会稳定;
--影响国家社会主义市场经济秩序和文化实力;
--其他影响国家安全的事项。
4.2.3 对客体的侵害程度
对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象
的破坏实现的,因此对客体的侵害外在表现为对等级保护对象的破坏,通过侵害方式、侵害后果和侵害
程度加以描述。
等级保护对象受到破坏后对客体造成侵害的程度分为以下三种:
a) 造成一般损害;
b) 造成严重损害;
c) 造成特别严重损害。
三种侵害程度的描述如下:
a) 一般损害:工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的
法律问题,较低的财产损失,有限的社会不良影响,对其他组织和个人造成较低损害;
b) 严重损害:工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重
的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较高损害;
c) 特别严重损害:工作职能受到特别严重影响或丧失行使能力,业务能力严重下降或功能无法执
行,出现极其严重的法律问题,极高的财产损失,大范围的社会不良影响,对其他组织和个人
造成非常高损害。
4.2.4 定级要素与安全保护等级的关系
定级要素与安全保护等级的关系见表1。
4.3 定级流程
等级保护对象定级流程如下:
a) 确定定级对象;
b) 初步确定等级;
c) 专家评审;
d) 主管部门核准;
e) 公安机关备案审核。
安全保护等级初步确定为第二级及以上的等级保护对象,其网络运营者依据本文件组织进行专家评
审、主管部门核准和备案审核,最终确定其安全保护等级。安全保护等级初步确定为第一级的等级保护
对象,其网络运营者可参照本文件自行确定最终安全保护等级,可不进行专家评审、主管部门核准和备
案审核。
5 确定定级对象
5.1 信息系统
5.1.1 定级对象的基本特征
作为定级对象的信息系统应具有如下基本特征:
a) 具有确定的主要安全责任主体;
b) 承载相对独立的业务应用;
c) 包含相互关联的多个资源。
5.1.2 云计算平台/系统
在云计算环境中,建设公有云的单位,云服务客户侧的业务系统和云服务商侧的云计算平台需分别
作为单独定级对象,并根据不同服务模式将云计算平台/系统划分为不同的定级对象。租用公有云服务
的单位,对其使用的运行于云计算平台上的业务系统进行定级。使用私有云的单位,按所承载业务系统
的最高等级对该私有云进行定级,运行于该私有云上的业务系统可独立定级;若私有云承载单一的业务
系统,且该私有云和业务系统由同一安全责任主体运维,可合并定级。
5.1.3 采用移动互联技术的系统
采用移动互联技术的系统主要包括移动终端、移动应用和无线网络等特征要素,可作为一个整体独
立定级或与相关联业务系统一起定级,各要素不单独定级。
5.2 广播电视网络设施
对于广播电视传输网等网络设施宜根据安全责任主体、业务类型或服务地域等因素将其划分为不同
的定级对象。当安全责任主体相同时,跨地域的专用网络可作为一个整体对象定级;当安全责任主体不
同时,需根据安全责任主体和服务区域划分为若干个定级对象。
5.3 数据资源
数据资源可单独定级。当安全责任主体相同时,大数据、大数据平台/系统宜作为一个整体对象定
级;当安全责任主体不同时,大数据和大数据平台/系统应独立定级。
5.4 广播电视网络安全等级保护对象分类
根据广电行业实际情况,按照定级对象的基本特征,综合考虑定级对象的责任单位、业务类型和业
务重要性等因素,将广播电视网络安全等级保护对象按照机构类别及承载的业务种类进行分类,应使用
附录A的建议。
对于较为庞大的网络设施和信息系统,为了体现分等级保护、优化信息安全资源配置的原则,可将
其划分为多个定级对象。如果等级保护对象责任边界一致,业务关联度较大,也可将附录A中的多个系
统合并为一个等级保护对象进行定级。
6 初步确定等级
6.1 确定受侵害的客体
6.1.1 定级对象受到破坏时侵害的客体
定级对象的安全主要包括业务信息安全和系统服务安全,安全保护等级由业务信息安全和系统服务
安全相关的受侵害客体和对客体的侵害程度来确定。分析各类定级对象与广播电视业务的相关性,分析
定级对象信息安全或系统服务安全与国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法
权益的关系,从而确定定级对象受到破坏时所侵害的客体。
与安全播出直接相关的定级对象业务信息安全或系统服务安全受到破坏,可能直接造成安全播出事
故,侵害社会公众收听收看广播电视节目的合法权益,可能引起社会秩序混乱乃至社会动荡、可能侵害
国家安全。
与安全播出相关的定级对象业务信息安全或系统服务安全受到破坏,可能造成安全播出事故,侵害
社会公众收听收看广播电视节目的合法权益,可能引起社会秩序混乱,可能侵害公共利益。
其他定级对象业务信息安全或系统服务安全受到破坏,可能会给本单位造成一定的财产损失、经济
纠纷、法律纠纷等,侵害本单位的权益。
6.1.2 定级对象受到破坏对客体的侵害程度
定级对象业务信息安全或系统服务安全受到破坏时,对客体的侵害程度与定级对象承载业务及其系
统服务的重要性、覆盖面、影响程度、用户规模等有关。
国家级广播电视播出系统等定级对象业务信息覆盖全国,社会影响力大,这些系统的业务信息安全
或系统服务安全受到破坏,可能直接造成播出事故,对社会秩序、公共利益造成特别严重损害,对国家
安全造成严重损害。
省级及省会城市、计划单列市、地市及以下级别的播出系统等定级对象,其业务信息有一定的覆盖
面和社会影响力,这些系统的业务信息安全或系统服务安全受到破坏,可能直接造成播出事故,对社会
秩序、公共利益造成严重损害,对国家安全造成损害。
全国或跨省的运营支撑系统、管理支撑系统等定级对象,与广播电视播出业务有较为密切的联系,
这些系统的业务信息安全或系统服务安全受到破坏,可能导致广播电视业务能力下降,破坏严重时可能
造成播出事故,侵害社会公众收听收看广播电视节目的合法权益,对社会秩序和公共利益造成严重损害。
全省或跨地市的运营支撑系统、管理支撑系统等定级对象,业务信息安全或系统服务安全受到破坏,
可能导致广播电视业务能力下降,破坏严重时可能造成播出事故,侵害部分区域社会公众收听收看广播
电视节目的合法权益,对社会秩序和公共利益造成一般损害。
6.2 初步确定定级对象的安全保护等级
根据定级对象业务信息安全、系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度,建
议定级对象的安全保护等级,广播电视网络安全等级保护对象分级应使用附录B中表B.1~表B.13的建
议。
各单位根据本单位网络业务功能,进行参照定级,安全等级应不低于建议级别。对于承载多个业务
功能的网络,应以建议的最高安全等级进行定级。
对于将云计算平台作为定级对象,需根据其承载或将要承载的业务系统的重要程度确定其安全保护
等级,原则上不低于其承载的业务系统的安全保护等级。
涉及大量公民个人信息以及为公民提供公共服务的大数据平台/系统,原则上其安全保护等级不低
于第三级。
未在建议表中列出的广播电视网......
|