中华人民共和国广播电影电视行业暂行技术文件 GD/J 037—2011 m o c . 5 广播电视相关信息系统 安全等级保护定级指南 b u Classification guide for classified protection h t i g of broadcasting related information system 2011-05-31 发布 国家广播电影电视总局科技司 2011-05-31 实施 发布 h t i g b u m o c . 5 GD/J 037—2011 目 次 目 次 .............................................................................. I 前 言 .............................................................................. II 1 范围 ................................................................................ 1 2 术语和定义 .......................................................................... 1 m o c . 5 3 定级原理 ............................................................................ 1 3.1 信息系统安全保护等级 ............................................................... 1 3.2 信息系统安全保护等级的定级要素 ..................................................... 2 3.3 定级要素与安全保护等级的关系 ....................................................... 2 b u 4 定级方法 ............................................................................ 2 4.1 定级的一般流程 ..................................................................... 2 h t i g 4.2 确定定级对象 ....................................................................... 3 4.3 确定受侵害的客体 ................................................................... 5 4.4 确定对客体的侵害程度 ............................................................... 6 4.5 确定定级对象的安全保护等级 ......................................................... 8 5 等级变更 ........................................................................... 11 参考文献 ............................................................................. 12 I GD/J 037—2011 前 言 本技术文件依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信 息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《关于信息安全等级保护工 作的实施意见》（公通字[2004]66号）、《信息安全等级保护管理办法》（公通字[2007]43号）和GB/T 22240-2008《信息安全技术 信息系统安全等级保护定级指南》、《广播电视安全播出管理规定》（总 局62号令）及各专业实施细则，对广播电视相关信息系统安全等级保护定级工作进行了规范。 本技术文件按照GB/T 1.1-2009《标准化工作导则 第1部分：标准的结构和编写》给出的规则编制。 本技术文件由国家广播电影电视总局科技司归口。 本技术文件起草单位：国家广播电视安全播出调度中心、北京捷成世纪科技股份有限公司。 本技术文件主要起草人：张瑞芝、关丽霞、沈传宝、王鸣皓。 b u m o c . 5 h t i g II GD/J 037—2011 广播电视相关信息系统安全等级保护定级指南 1 范围 本技术文件规定了广播电视相关信息系统安全等级的定级方法。 本技术文件适用于为广电行业制作、播出、传输、覆盖等生产业务相关信息系统安全等级保护定级 工作提供指导。本技术文件不包含办公系统、网站发布系统以及其他与广播电视生产业务无关的信息系 统。本文中的信息系统是指由计算机及其相关的和配套的设备、网络构成的对广播电视业务信息进行采 集、加工、存储、传输、检索等处理的系统。 m o c . 5 2 术语和定义 下列术语和定义适用于本技术文件。 2.1 b u 等级保护对象 信息安全等级保护工作直接作用的信息系统。 h t i g 2.2 客体 受法律保护的等级保护对象受到破坏时所侵害的社会关系，如国家安全，社会秩序、公共利益以及 公民、法人或社会其他组织的合法权益。 2.3 客观方面 对客体造成侵害的客观外在表现，包括侵害方式和侵害结果等。 3 定级原理 3.1 信息系统安全保护等级 根据等级保护相关管理文件，信息系统的安全保护等级分为以下五级： a) 第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国 家安全、社会秩序和公共利益； b) 第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成严重损害，或者对 社会秩序和公共利益造成损害，但不损害国家安全； c) 第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成 损害； 1 GD/J 037—2011 d) 第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全 造成严重损害； e) 第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。 3.2 信息系统安全保护等级的定级要素 信息系统的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客体和对客体造 成侵害的程度。 3.2.1 受侵害的客体 等级保护对象受到破坏时所侵害的客体包括以下三个方面： a）公民、法人和其他组织的合法权益； m o c . 5 b）社会秩序、公共利益； c）国家安全。 3.2.2 对客体的侵害程度 对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象 的破坏实现的，因此，对客体的侵害外在表现为对等级保护对象的破坏，通过危害方式、危害后果和危 b u 害程度加以描述。 等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种： a）造成一般损害； b）造成严重损害； c）造成特别严重损害。 h t i g 3.3 定级要素与安全保护等级的关系 定级要素与信息系统安全保护等级的关系见表1。 表 1 定级要素与信息系统安全保护等级的关系 对客体的侵害程度 受侵害的客体 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益 第一级 第二级 第二级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 4 定级方法 4.1 定级的一般流程 2 GD/J 037—2011 信息系统安全包括业务信息安全和系统服务安全，与之相关的受侵害客体和对客体的侵害程度可能 不同，因此，信息系统定级也应由业务信息安全和系统服务安全两方面确定。 从业务信息安全角度反映的信息系统安全保护等级称为业务信息安全保护等级。 从系统服务安全角度反映的信息系统安全保护等级称为系统服务安全保护等级。 确定信息系统安全保护等级的一般流程如下： a）确定作为定级对象的信息系统； b）确定业务信息安全受到破坏时所侵害的客体； c）根据不同的受侵害客体，从多个方面综合评定业务信息安全被破坏对客体的侵害程度； d）依据表3，得到业务信息安全保护等级； e）确定系统服务安全受到破坏时所侵害的客体； f）根据不同的受侵害客体，从多个方面综合评定系统服务安全被破坏对客体的侵害程度； m o c . 5 g）依据表4，得到系统服务安全保护等级； h）将业务信息安全保护等级和系统服务安全保护等级的较高者确定为等级保护对象的安全保护等 级。 确定信息系统安全保护等级一般流程见图1。 b u h t i g 图 1 确定信息系统安全保护等级一般流程 4.2 确定定级对象 一个单位内运行的信息系统可能比较庞大，为了体现重要部分重点保护、有效控制信息安全建设成 本、优化信息安全资源配置的等级保护原则，可将较大的信息系统划分为若干个较小的、可能具有不同 安全保护等级的定级对象。 4.2.1 作为定级对象的基本特征 4.2.1.1 具有唯一确定的安全责任单位 3 GD/J 037—2011 作为定级对象的信息系统应能够唯一地确定其安全责任单位。如果一个单位的某个下级单位负责信 息系统安全建设、运行维护等过程的全部安全责任，则这个下级单位可以成为信息系统的安全责任单位； 如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任，则该信息系统的安全责任单位 应是这些下级单位共同所属的单位。 4.2.1.2 具有信息系统的基本要素 作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成 的有形实体。应避免将某个单一的系统组件，如服务器、终端、网络设备等作为定级对象。 4.2.1.3 承载单一或相对独立的业务应用 定级对象承载“单一”的业务应用是指该业务应用的业务流程独立，且独享所有信息处理设备。定 级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立，定级对象可能会与其他业务 应用共享一些设备，尤其是网络传输设备。 4.2.1.4 边界和边界设备 m o c . 5 当不同信息系统之间存在