GYT 337-2020 广播电视网络安全等级保护定级指南

GY中华人民共和国广播电视和网络视听行业标准GY/T337—2020广播电视网络安全等级保护定级指南Classificationguideforclassifiedprotectionofbroadcastingcybersecurity2020-11-23发布2020-11-23实施国家广播电视总局发布GY/T337—2020I目次前言................................................................................II1范围..............................................................................12规范性引用文件....................................................................13术语和定义........................................................................14定级原理及流程....................................................................24.1安全保护等级..................................................................24.2定级要素......................................................................24.3定级流程......................................................................45确定定级对象......................................................................45.1信息系统......................................................................45.2广播电视网络设施..............................................................45.3数据资源......................................................................55.4广播电视网络安全等级保护对象分类..............................................56初步确定等级......................................................................56.1确定受侵害的客体..............................................................56.2初步确定定级对象的安全保护等级................................................67专家评审..........................................................................68主管部门核准......................................................................69公安机关备案审核..................................................................610等级变更.........................................................................6附录A（规范性）广播电视网络安全等级保护对象分类建议................................7附录B（规范性）广播电视网络安全等级保护对象安全保护等级建议........................9参考文献............................................................................12GY/T337—2020II前言本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件发布机构不承担识别这些专利的责任。本文件由全国广播电影电视标准化技术委员会（SAC/TC239）归口。本文件起草单位：国家广播电视总局监管中心、中央广播电视总台、北京广播电视台、中国有线电视网络有限公司、北京歌华有线电视网络股份有限公司、北京安信天行科技有限公司、北京华云安信息技术有限公司。本文件主要起草人：李炎、段垚、王昌明、程露、琚宏伟、唐峰、毕江、邓晖、周伟荣、黄美莹、肖国栋、柴晓瑜、高晨光、高原、李杨、彭海龙、王鸣皓。GY/T337—20201广播电视网络安全等级保护定级指南1范围本文件描述了广播电视、网络视听节目服务相关等级保护对象的网络安全保护等级定级方法和定级流程。本文件适用于中华人民共和国境内的且非涉及国家秘密的广播电视、网络视听节目服务相关等级保护对象的网络安全保护等级定级工作。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB17859—1999计算机信息系统安全保护等级划分准则GB/T22240—2020信息安全技术网络安全等级保护定级指南GB/T25069—2010信息安全技术术语GB/T31167—2014信息安全技术云计算服务安全指南3术语和定义GB17859—1999、GB/T22240—2020、GB/T25069—2010和GB/T31167—2014界定的以及下列术语和定义适用于本文件。3.1等级保护对象targetofclassifiedprotection广播电视网络安全等级保护工作直接作用的对象。注：主要包括信息系统、广播电视网络设施和数据资源。[来源：GB/T22240—2020,3.2，有修改]3.2信息系统informationsystem应用、服务、信息技术资产或其他信息处理组件。注1：信息系统通常由计算机或者其他信息终端及相关设备组成，并按照一定的应用目标和规则进行信息处理或过程控制。注2：典型的信息系统如制作、播出、集成等业务系统，及运营支撑、业务支撑、管理支撑等系统，云计算平台/系统以及采用移动互联技术的系统等。[来源：GB/T22240—2020,3.3，有修改]3.3GY/T337—20202广播电视网络设施broadcastingnetworkinfrastructure对广播电视和网络视听业务信息流通、网络运行等起基础支撑作用的网络设备设施。3.4数据资源dataresources具有或预期具有价值的数据集合。注：数据资源多以电子形式存在。[来源：GB/T22240—2020,3.5]3.5受侵害的客体objectofinfringement受法律保护的、等级保护对象受到破坏时所侵害的社会关系。注：本文件中简称“客体”。[来源：GB/T22240—2020,3.6]3.6客观方面objective对客体造成侵害的客观外在表现，包括侵害方式和侵害结果等。[来源：GB/T22240—2020,3.7]4定级原理及流程4.1安全保护等级根据等级保护对象在国家安全、经济建设、社会生活中的重要程度，以及一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后，对国家安全，社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度等因素，等级保护对象的安全保护等级分为以下五级：a)第一级，等级保护对象受到破坏后，会对相关公民、法人和其他组织的合法权益造成损害，但不危害国家安全、社会秩序和公共利益；b)第二级，等级保护对象受到破坏后，会对相关公民、法人和其他组织的合法权益造成严重损害或特别严重损害，或者对社会秩序和公共利益造成危害，但不危害国家安全；c)第三级，等级保护对象受到破坏后，会对社会秩序和公共利益造成严重危害，或者对国家安全造成危害；d)第四级，等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重危害，或者对国家安全造成严重危害；e)第五级，等级保护对象受到破坏后，会对国家安全造成特别严重危害。4.2定级要素4.2.1定级要素概述等级保护对象的定级要素包括：a)受侵害的客体；b)对客体的侵害程度。GY/T337—202034.2.2受侵害的客体等级保护对象受到破坏时所侵害的客体包括以下三个方面：a)公民、法人和其他组织的合法权益；b)社会秩序、公共利益；c)国家安全。侵害公民、法人和其他组织的合法权益是指受法律保护的公民、法人和其他组织所享有的社会权利和利益等受到损害。侵害社会秩序的事项包括以下方面：——影响国家机关、企事业单位、社会团体的生产秩序、教学科研秩序、医疗卫生秩序；——影响公共场所的活动秩序、公共交通秩序；——影响人民群众的生活秩序；——其他影响社会秩序的事项。侵害公共利益的事项包括以下方面：——影响社会成员使用公共设施；——影响社会成员获取公开数据资源；——影响社会成员接受公共服务等方面；——其他影响公共利益的事项。侵害国家安全的事项包括以下方面：——影响国家政权稳固和领土主权、海洋权益完整；——影响国家统一、民族团结和社会稳定；——影响国家社会主义市场经济秩序和文化实力；——其他影响国家安全的事项。4.2.3对客体的侵害程度对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的，因此对客体的侵害外在表现为对等级保护对象的破坏，通过侵害方式、侵害后果和侵害程度加以描述。等级保护对象受到破坏后对客体造成侵害的程度分为以下三种：a)造成一般损害；b)造成严重损害；c)造成特别严重损害。三种侵害程度的描述如下：a)一般损害：工作职能受到局部影响，业务能力有所降低但不影响主要功能的执行，出现较轻的法律问题，较低的财产损失，有限的社会不良影响，对其他组织和个人造成较低损害；b)严重损害：工作职能受到严重影响，业务能力显著下降且严重影响主要功能执行，出现较严重的法律问题，较高的财产损失，较大范围的社会不良影响，对其他组织和个人造成较高损害；c)特别严重损害：工作职能受到特别严重影响或丧失行使能力，业务能力严重下降或功能无法执行，出现极其严重的法律问题，极高的财产损失，大范围的社会不良影响，对其他组织和个人造成非常高损害。4.2.4定级要素与安全保护等级的关系定级要素与安全保护等级的关系见表1。GY/T337—20204表1定级要素与安全保护等级的关系受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级4.3定级流程等级保护对象定级流程如下：a)确定定级对象；b)初步确定等级；c)专家评审；d)主管部门核准；e)公安机关备案审核。安全保护等级初步确定为第二级及以上的等级保护对象，其网络运营者依据本文件组织进行专家评审、主管部门核准和备案审核，最终确定其安全保护等级。安全保护等级初步确定为第一级的等级保护对象，其网络运营者可参照本文件自行确定最终安全保护等级，可不进行专家评审、主管部门核准和备案审核。5确定定级对象5.1信息系统5.1.1定级对象的基本特征作为定级对象的信息系统应具有如下基本特征：a)具有确定的主要安全责任主体；b)承载