广播电视业务信息系统安全保护情况自查表
《广播电视相关信息系统安全等级保护基本要求》分析
广电等级保护标准二级和三级基本要求分析1概述为了适应国家对于等级保护的工作要求,2011年5月,广电总局首次发布行业信息安全规范性技术文件:《广播电视相关信息系统安全等级保护定级指南》(GD/J 037-2011)(以下简称“定级指南”)《广播电视相关信息系统安全等级保护基本要求》(GD/J 038-2011)(以下简称“基本要求”)2012年11月,广电总局又发布行业信息安全测试规范性技术文件:《广播电视相关信息系统安全等级保护测评要求》(GD/J 044-2012)(以下简称“测评要求”)2014年底,广电总局又发布了《有线数字电视系统安全指导意见》(以下简称“指导意见”),为广电网络公司实施安全提供了具体的指导意见。
这几份文件的出台为等级保护制度在广电行业的推广实施奠定了基础,为广电网络公司实施信息安全防护体系制定目标方向和方法,有必要对这几份文件作深入的学习,本文就对这几份文件作一些粗浅的分析,供大家参考。
这四个的逻辑关系大致是这样的,“定级指南”说明了如何给广电的信息系统定级,对于广电网络运营商来说,关键是下面这张表格,基本上划定了系统的范围和等级标准,所以本文中重点也就对第二级和第三级的要求进行分析:第1页共33页第 2页 共33页“基本要求”是这几个文档中的核心,对于广电系统要如何才能达到第2级和第3级要求作出了明确的规定,是需要重点研究的。
“测评要求”是针对“基本要求”所提出的各项要求提出测评的要求和标准,为广电网络公司准备测评提供指导; “指导意见”则是提出了很多具体的实施意见,为广电网络公司实施等级保护提供参考意见;所以在本文中,重点将对“基本要求”进行分析,同时在分析过程中将其他文件中的相关内容补充到其中。
基本要求中对于广电信息系统的信息安全要求大致分了三类:技术要求,物理要求和管理要求,其中技术要求根据不同级别区分不同的要求,物理要求和管理要求都是通用要求,不再细分各个不同的级别,如下图所示:物理要求这里就不进一步展开了,重点将放在技术要求和管理要求上。
网络安全检查自查表
□与其他行业系统连接□与本行业其他单位系统连
系统互联情况
接
□与本单位其他系统连接□其它_____
系统经费投入情况
系统建设投入 _____万元;系统安全建设投入 _____万元
何时投入运行使用
______年___月 ___日
二、国家级重要信息系统安全保护情况
是否指定专人负责资产管理,并明确责
设备和资产
□是 □否 □是 □否 □社会公众 □本单位
操作系统、 使用国外操作系统的比率 16 服务器、数 使用国外服务器的比率
_____% _____%
据库国产化 使用国外数据库的比率
_____%
情况
安全产品使
17
使用国外信息安全产品的比率
用情况
_____%
是否制定核心网络设备、操作系统、数
国产化替代
据库、服务器等软硬件产品的国产化替 □是 □否
2
度预算
是否能够保障网络安全所需的费用
□是 □否
年度网络安全经费情况
_____万元
年度网络安全经费执行情况
执行比率:
是否制定了网络安全规划Βιβλιοθήκη □是 □否网络安全规
网络安全规划是否遵循国家、行业相关
3 划、保护策
□是 □否
安全标准
略制定情况
是否制定了网络安全保护策略
□是 □否
信息系统是否已按照信息安全等级保护
重点包括:是否建立了单位网络安全责任追究制度是否依据责任追究制度 对单位发生的网络安全事件事故进行追责等情况;
4、单位信息系统定级备案工作情况 重点包括:单位信息系统是否全部定级备案单位系统调整是否及时进行备 案变更单位新建信息系统是否落实定级备案等工作; 5、单位信息系统安全测评和安全建设整改工作情况 重点包括:单位信息系统安全检测和整改经费落实情况;单位信息系统恶 意代码扫描、渗透性测试、等级测评和风险评估的安全检测情况;信息系 统安全建设整改方案制定和实施情况;单位网络安全保护状况的了解掌握 等情况; 6、单位网络安全管理制度的制定和实施情况 重点包括:单位信息系统建设和网络安全“同步规划、同步建设、同步运 行”措施的落实情况;单位人员管理,信息系统机房管理、设备管理、介质 管理、网络安全建设管理、运维管理、服务外包等管理制度的建设情况; 管理制度的监督保障和运行情况等; 7、单位重要数据的保护情况 重点包括:单位数据中心建设情况;单位重要数据存储和安全保护情况; 单位重要数据备份恢复情况,单位重要数据存储和应用是否由社会第三方 提供提供服务单位的具体情况等 8、单位网络安全监测和预警情况 重点包括:单位开展日常网络安全监测情况;单位网络安全监测技术手段 建设情况;单位网络安全预警工作情况等; 9、单位网络安全应急预案和演练情况 重点包括:是否制定了单位网络安全预案单位网络安全预案是否进行了演
广播电视相关信息系统安全等级保护基本要求
广播电视相关信息系统安全等级保护基本要求随着计算机技术的发展和广播电视业务在数字化、网络化方向的不断深入,广播电视行业的信息系统安全问题日益突出。
高度依赖信息系统的广播电视行业,必须建立与业务发展相适应的信息系统安全等级保护基本要求,以保障广播电视系统的信息安全。
下面是广播电视相关信息系统安全等级保护的基本要求。
一、信息系统安全基础广播电视信息系统安全等级保护需要建立并维护一套健全的信息安全管理系统,包括安全策略、安全规程、安全技术控制和应急响应机制等。
1.1安全策略:广播电视应制定合理的安全策略,明确安全目标和要求,根据实际情况确定安全风险等级并进行分级保护。
1.2安全规程:制定并实施适用的安全规程,包括用户权限管理、密码策略、维护保障措施等。
1.3安全技术控制:通过安全技术措施,保障信息系统的安全,包括网络安全、终端安全、存储安全、传输安全等方面的控制。
1.4应急响应机制:建立完善的信息系统安全事件监测与处理体系,及时应对各类安全事件。
二、网络安全保护广播电视信息系统安全等级保护要求建立完善的网络安全体系,包括网络安全策略、网络拓扑结构、网络设备安全等。
2.1网络安全策略:明确网络安全保护要求,包括网络边界防御、入侵检测与防护、防火墙设置等。
2.2网络拓扑结构:合理规划网络拓扑结构,建立安全的网络分段,隔离内外网,加强对外部网络的安全防护。
2.3网络设备安全:对网络设备进行定期维护和安全检查,包括路由器、交换机、防火墙等。
三、终端设备安全保护广播电视信息系统安全等级保护要求加强对终端设备的安全管理,包括主机设备安全、终端软件安全等。
3.1主机设备安全:对主机设备进行防护,加强物理安全措施,并配置合理的安全策略和防护措施。
3.2终端软件安全:加强终端软件的安全管理,及时更新补丁,规范软件安装和运行的权限。
四、存储安全保护广播电视信息系统安全等级保护要求保护系统重要数据的安全,包括数据备份与恢复、存储设备安全等。
数据保护自检自查表
数据保护自检自查表
1. 数据收集和处理
- [ ] 是否明确了数据处理的合法基础(例如,同意、合同履行、法定义务等)?
- [ ] 是否根据数据保护法规采取了适当的安全措施来保护收集
的数据?
- [ ] 是否提供了必要的透明度和告知,包括隐私政策和数据收
集声明?
- [ ] 是否制定了数据保留政策,明确了数据保存的期限和手段?
2. 数据访问和共享
- [ ] 是否限制了对个人数据的访问,并确保只有授权人员能够
访问?
- [ ] 是否有可行的机制来控制和审查对敏感数据的共享?
- [ ] 是否签订了必要的数据处理协议和保密协议,以确保数据
共享的安全和合规性?
- [ ] 是否采取了适当的措施,防止未经授权的数据泄露和滥用?
3. 数据主体权利
- [ ] 是否提供了数据主体行使其权利的途径,如访问、更正和
删除个人数据的机制?
- [ ] 是否设立了响应数据主体请求的流程和时限?
- [ ] 是否对数据主体行使其权利的请求进行适当的记录和追踪?
4. 风险和合规性评估
- [ ] 是否进行了数据保护风险评估,并采取了相应的风险缓解
措施?
- [ ] 是否定期进行合规性自查和评估,以确保符合相关法规和
最佳实践?
- [ ] 是否建立了适当的数据保护框架和流程,并进行定期审计
和审查?
- [ ] 是否建立了必要的内部控制,以保护个人数据免受滥用和
未经授权的访问?
请根据实际情况对以上问题进行自查,并记录纠正和改进的措施。
数据保护是一个持续的过程,确保数据安全和合规性的重要性不可低估。
网络信息安全自检自查表及报告
附件1:网络信息安全自检自查表单位名称(公章):注:以上仅是针对青少年信息网做的统计,不包括团市委其它网站(如:哈尔滨少先队,志愿者信息网等)和团市委使用的办公系统或应用软件,打印时请删除本条红字注:对业务和社会公众的影响请自行修改,打印时删除本条。
表5 系统主要软件检查记录表表6 信息技术外包服务情况检查记录表注:服务内容(类型)主要有:系统集成、软件开发、系统运维、风险评估、安全检测、安全加固、应急支持、数据存储、规划咨询、系统托管、灾难备份等。
表9 信息安全经费投入情况表表10 技术防护情况检查记录表表14 信息系统密码产品使用记录表(每个系统分别填写)表15 系统网站安全自检自查记录表(每个系统分别填写)填表说明:1.表间逻辑关系及填写要求:表1为表2至表15的汇总报告表。
其中表10、表14、表15按信息系统分别填写,其余表格按单位填写。
2.应如实填写,填写内容不实引发的后果由填表人承担,须盖单位公章后有效。
3.表中各选项前为“○”标记表示为单选项,“□”标记为可多选项。
凡有“其它”项的,在后面注明具体内容。
4.表中所指国产字处理软件、国产信息安全产品,按国家相关规定认定如下:国产信息安全产品应具有国内品牌,最终产品在中国境内生产,拥有核心模块的自主知识产权和源程序,通过国家认定的信息安全产品检测实验室的检测,并符合法律法规和政策规定的其它条件。
5.参与检查的机构指委托的专业机构,如有多个机构同时参与检查时,每个机构均应填写一个表格。
6.如表格预留空间不足,可自行复印或附页填写。
附件2:网络信息安全自检自查报告单位名称2013年4月一、信息安全自检自查工作组织开展情况概述此次安全检查工作组织开展情况、所检查的重要网络与信息系统基本情况。
二、检查结果对照通知中要求的8个方面检查内容,逐项、详细描述检查结果。
三、主要问题和威胁分析1.发现的主要问题和薄弱环节2.面临的安全威胁与风险3.整体安全状况的基本判断四、改进措施与整改效果1.改进措施2.整改效果五、加强网络信息安全工作的意见和建议注:红字部分为我填写的内容,其中有些是我的建议,打印时请删除。
学校信息安全等级保护自查表
4-14 安全事件报告和处置管理制度
有口无口
4-15 制定信息系统安全应急处置预案
有口无口
4-16 定期组织开展应急处置演练
有口无口
4-17 教育培训制度(开展信息安全知识和技能培训)
有口无口
检查内容
检查结果
(如否说明情况)
5. 信息安全产品选择和使用情况
5-1 按照《信息安全等级保护管理办法》要求的条件选择使用信息安全产品
有口无口
6-2 按照《信息安全等级保护管理办法》规定的条件选择测评机构
有口无口
6-3 要求技术测评机构提供相关材料。包括营业执照、声明、证明及资质材料等
有口无口
6-4 与测评机构签订保密协议
有口无口
6-5 要求测评机构制定技术检测方案
有口无口
6-6 对技术检测过程进行监督
有口无口
6-7 出具技术检测报告,检测报告是否规范、完整,检查结果是否客观、公正
有口无口
3-6部署和组织开展信息安全建设整改工作
有口无口
检查内容
检查结果
(如否说明情况)
4、信息安全管理制度建立和落实情况
4-1 机房安全管理制度
有口无口
4-2 网络安全管理制度
有口无口
4-3 系统运行维护管理
有口无口
4-4 系统安全风险管理制度
有口无口
4-5 资产和设备管理制度
有口无口
4-6 数据及信息安全管理制度
有口无口
6-8 根据技术检测结果,对不符合安全标准要求的,进一步进行安全整改
有口无口
7.定期自查情况
7-1定期对信息系统安全状况、安全保护制度及安全技术措施的落实情况进行自查。第三级信息系统是否每年进行一次自查,第四级信息系统是否每半年进行一次自查
重要信息系统自查表
□全省(区、市) □ 跨地(市、区)跨 □地(市、区)内 □其他
7
日 志 及 安 是否对信息系统操作行为、 设备运行状态有完善的 □是□否 全 审 计 管 日志记录? 理 是否对信息系统操作行为、 设备运行状态有安全审 □是□否 计措施?
8
恶 意 代 码 是否定期进行系统恶意代码扫描、查杀? 防范管理 是否定期进行信息系统防病毒软件进行更新?
□是□否 □是□否 □是□否 □是□否 □是□否 □是□否 □是□否 □是□否 □是□否 □是□否 □是□否
是否完整记录设备维修维护和报废信息(时间、地 □是□否 点、内容、责任人等)? 2 安 全 经 费 是否将信息安全设施运维、日常管理、教育培训、 □是□否 年度预算 等级测评和安全建设整改等费用纳入年度预算? 是否能够保障网络安全所需的费用? 年度网络安全经费情况 年度网络安全经费执行情况 3 网 络 安 全 是否制定了网络安全规划? □是□否 万元 执行比率: □是□否
信息系统是否开展了风险评估? 信息系统是否完成安全建设整改? 5 网 络 安 全 是否制定了完善的网络安全管理制度? 管 理 制 度 是否有网络安全管理操作规程? 制定情况 6 是否监督管理制度的贯彻落实?
□是□否 □是□否 □是□否 □是□否 □是□否 □是□否 □是□否
网 络 边 界 信息系统是否有明确的安全域划分? 管理 是否对系统边界有严格的安全策略控制?
服务对象
□单位内部人员 □社会公众人员 □其他
广播电视工程中的网络安全与保护
广播电视工程中的网络安全与保护在当今数字化的时代,广播电视工程作为信息传播的重要渠道,其网络安全与保护的重要性日益凸显。
广播电视不仅为人们提供娱乐、新闻和教育等内容,还在社会稳定、应急管理等方面发挥着关键作用。
然而,随着网络技术的飞速发展,广播电视工程面临着越来越多的网络安全威胁,如黑客攻击、病毒传播、数据泄露等。
因此,加强广播电视工程中的网络安全与保护已成为当务之急。
首先,我们来了解一下广播电视工程中网络安全面临的主要威胁。
其一,黑客攻击是常见的威胁之一。
黑客可能会试图入侵广播电视系统,篡改播出内容,造成恶劣的社会影响。
其二,病毒和恶意软件的传播也不容忽视。
这些恶意程序可能会导致系统瘫痪,影响正常的节目播出。
其三,数据泄露问题可能会导致广播电视机构的敏感信息,如节目策划、用户数据等被窃取,从而引发一系列的法律和声誉风险。
此外,网络设备的故障、自然灾害等不可抗力因素也可能对广播电视工程的网络安全造成威胁。
为了应对这些威胁,广播电视机构需要采取一系列的网络安全保护措施。
在技术层面,加强网络访问控制是关键。
通过设置严格的用户认证和授权机制,确保只有合法的人员能够访问和操作广播电视系统。
同时,安装防火墙、入侵检测系统等安全设备,能够有效地阻止外部的非法入侵和攻击。
定期进行系统漏洞扫描和补丁更新,及时修复可能存在的安全漏洞,降低被攻击的风险。
数据备份和恢复也是重要的环节。
广播电视机构应定期对重要的数据进行备份,并将备份数据存储在安全的位置。
这样,在遭遇数据丢失或损坏的情况下,能够迅速恢复数据,保证业务的连续性。
加密技术的应用可以保护数据的机密性和完整性,无论是在传输过程中还是在存储时,对敏感数据进行加密处理,能有效防止数据被窃取和篡改。
除了技术手段,完善的管理制度同样不可或缺。
建立健全的网络安全管理制度,明确各个部门和人员的职责,加强对员工的网络安全培训,提高他们的安全意识和防范能力。
制定应急预案,当发生网络安全事件时,能够迅速响应,采取有效的措施进行处理,将损失降到最低。
重要信息系统和网站安全专项检查自查表(填写完毕)
关于填报重要信息系统和网站安全专项检查自查表的通知附件1重要信息系统和网站安全专项检查自查表单位名称(加盖单位公章)自查时间 2013年11月7日一、单位基本情况单位名称单位地址省(区、市)地(区、市、州、盟)县(区、市、旗)邮政编码单位所在地行政区划编码网络安全工作分管领导姓名职务/职称网络安全责任部门责任部门负责人姓名职务/职称办公电话移动电话责任部门联系人姓名职务/职称办公电话移动电话单位类型 党政机关 事业单位 企业 其他所属行业网站数量(统计本单位及内设机构具有独立域名的网站数量)二、网络安全工作情况1.网络安全协调(领导)机构的建立和运行情况(包括机构建立、组成、主要职责以及网络安全工作议事或例会制度等具体情况)结合我局实际情况建立了网络安全协调(领导)机构,由网络安全工作领导、督察人员及日常管理人员组成,主要职责为网络工作安全的领导、监督、实施等,每月举行一次网络安全工作例会。
2.网络安全责任制落实情况(包括安全责任分工、信息系统安全责任人、签订网络安全责任书及责任追究制度落实等具体情况)1.成立了安全小组。
明确了信息安全的主管领导和具体负责管护人员,安全小组为管理机构。
2.建立了信息安全责任制。
按责任规定:保密小组对信息安全负首责,主管领导负总责,具体管理人负主责。
3.制定了计算机及网络的保密管理制度,签订了网络安全责任书。
网站的信息管护人员负责保密管理,密码管理,对计算机享有独立使用权,计算机的用户名和开机密码为其专有,且规定严禁外泄,如有外泄,追究其相应责任。
3.网络安全规划、策略制定和落实情况(包括网络安全工作的短期目标和长远规划、网络安全策略制定和执行、网络安全工作在信息化建设工作落实情况,如同步立项、同步设计、同步建设、同步验收,同步运维等)1.网络安全工作的短期目标为自查安全设置,消除安全隐患。
2.网络安全策略为通过系统及网络安全配置,应用防火墙及入侵检测、安全扫描、网络防病毒等技术,对出入口的信息进行严格的控制;对网络中所有的装置(如Web服务器、路由器和内部网络等)进行检测、分析和评估,发现并报告系统内存在的弱点和漏洞,评估安全风险,找出补救措施,以便有效地防止黑客入侵和病毒扩散,监控整个网络的运行状况。
广播电视相关信息系统安全等级保护定级指南
1 范围
本技术文件规定了广播电视相关信息系统安全等级的定级方法。 本技术文件适用于为广电行业制作、播出、传输、覆盖等生产业务相关信息系统安全等级保护定级 工作提供指导。本技术文件不包含办公系统、网站发布系统以及其他与广播电视生产业务无关的信息系 统。本文中的信息系统是指由计算机及其相关的和配套的设备、网络构成的对广播电视业务信息进行采 集、加工、存储、传输、检索等处理的系统。
中华人民共和国广播电影电视行业暂行技术文件
GD/J 037—2011
广播电视相关信息系统 安全等级保护定级指南
Classification guide for classified protection of broadcasting related information system
2011-05-31 发布
公民、法人和其他组织的合法权益
第一级
第二级
第二级
社会秩序、公共利益
第二级
第三级
第四级
国家安全
第三级
第四级
第五级
4 定级方法 4.1 定级的一般流程
2
GD/J 037—2011 信息系统安全包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能 不同,因此,信息系统定级也应由业务信息安全和系统服务安全两方面确定。 从业务信息安全角度反映的信息系统安全保护等级称为业务信息安全保护等级。 从系统服务安全角度反映的信息系统安全保护等级称为系统服务安全保护等级。 确定信息系统安全保护等级的一般流程如下: a)确定作为定级对象的信息系统; b)确定业务信息安全受到破坏时所侵害的客体; c)根据不同的受侵害客体,从多个方面综合评定业务信息安全被破坏对客体的侵害程度; d)依据表3,得到业务信息安全保护等级; e)确定系统服务安全受到破坏时所侵害的客体; f)根据不同的受侵害客体,从多个方面综合评定系统服务安全被破坏对客体的侵害程度; g)依据表4,得到系统服务安全保护等级; h)将业务信息安全保护等级和系统服务安全保护等级的较高者确定为等级保护对象的安全保护等
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
单位名称
系统名称安全保护等级
检查类别序号
备注
1
2
3
4
5
6
安全技术1
信息安全管理制度
□信息安全人员管理、□资产管理、□系统建设和运维管理等
安全管理制度□其他安全管理制度
安全管理员岗位设置和人员配
备情况
信息系统年度安全自查情况□有年度信息安全自查报告的□无年度信息安全自查报告
附表13
单位广播电视业务信息系统安全保护情况自查表
检查项实际情况
□有信息系统安全加固或完善计划□无信息系统安全加固或完善计划终端软件系统补丁更新,病毒及木马防范情况□系统终端操作系统及时安装补丁、升级病毒库□终端没有安装防病毒软件□终端没有升级病毒库□终端操作系统不打补丁□专职 □兼职信息系统维护手册和操作规范等文件制定情况□防火墙配置规范□操作系统安全配置规范□数据库安全配置规范□其他系统维护手册或用户操作规程应急预案制定、演练及演练后的完善情况□有应急预案□无应急预案□应急预案演练记录安全管理信息系统安全建设整改的方案
设计和实施情况
检查类别序号
备注
检查项实际情况
2
播出系统、制播混合服务
器除外
3
4
5
6
7
8
信息系统漏洞扫描、记录、分析处置情况安全技术主机及应用系统日志留存、审计等功能情况□主机操作系统开启审计功能□主机操作系统没有开启审计功能□应用系统无日志记录□应用系统有日志记录□系统配备日志管理服务器□系统没有配备日志管理服务器机房、重要区域防盗监控设施部署运行情况□设备机房安装了监控报警设施□设备机房没有安装监控报警设施机房出入口监控管理与门禁系统配备情况□机房出入口安装了电子门禁系统□机房出入口没有电子门禁系统,但有人员出入记录□机房无人员出入记录信息系统网络结构的了解掌握情况□系统网络拓扑结构图与实际一致□无系统网络拓扑图安全域划分情况□本系统与其他业务系统安全域划分清楚□本系统与其他业务系统没有划分安全域服务器软件系统补丁更新,病毒及木马防范情况□系统服务器操作系统及时安装补丁、升级病毒库□服务器没有安装防病毒软件□服务器没有升级病毒库□服务器操作系统不打补丁□有系统漏洞扫描和分析处置记录□无系统漏洞扫描和分析处
置记录
检查类别序号
备注
检查项实际情况
9
10
11
12
13
14
安全技术系统级或数据级灾难备份建设情况□建立了系统级灾难备份□仅建立数据级备份□无任何数据备份措施信息系统安全管理中心的建设和运行情况□建立了安全管理中心,对安全相关事项进行集中管理的,得2分□无安全管理中心边界防护情况□本系统与其他业务系统之间没有边界防护□本系统与其他业务系统之间通过数据交换区作为边界防护□本系统与其他业务系统之间通过网闸等协议设备进行边界防护□边界部署了IDS或IPS□系统最小安装,不进行外设数据交换的服务器和终端是否关闭了USB、光驱等端口□系统没有最小安装,外设端口没有细化管理网络设备和服务器实时监测情况□系统边界及系统内部部署了运行状态监控系统□系统边界部署了运行状态监控系统□系统边界及系统内部均没有部署运行状态监控系统主机、网络及安全设备身份鉴别认证情况□三级系统重要服务器、网络设备和网络安全设备除采用用户名/口令认证方式外,还使用其他鉴别认证技术□服务器、网络设备和网络安全设备,只采用用户名/口令认证方式□服务器、网络设备和网络安全设备,用户名/口令为默认方式注:参照技科字〔2011〕136号-广播电视相关信息系统安全等级保护基本要求(GDJ 038—2011),技科字〔2011〕137号-广播电视相关信息系统安全等级保护定级指南(GDJ 037—2011)系统访问控制情况