教育行業是我國最大的民生行業之一,也是網絡安全法定義的關鍵基礎設施行業之一。隨著教育行業信息化建設的高速發展,信息安全問題屢見不鮮。教育行業信息系統一直是等級保護工作的重點測評對象。
教育部在2019年7月15日發函,涉及中小學學科類校外線上培訓的,都需要完成icp(增值電信類)備案+完成網絡信息安全的等級保護和備案。相關部門於19年12月底之前完成對全國校外線上培訓及機構的備案排查(文中發佈的實施備案審查制度)。
今天小編就來梳理一下教育行業開展等保的相關內容:
● 等級保護定級備案的建議
按照信息系統主管單位的不同,信息系統分為“教育行政部門及其直屬事業單位信息系統”(簡稱“部門信息系統”)和“學校信息系統”兩類。
部門信息系統與學校信息系統分別定級。由於面向的對象不同、承載的業務不同、受到破壞後造成的侵害程度不同,採取不同的定級思路。
● 部門信息系統定級思路
部門信息系統根據行政級別、部署模式和業務類型與性質三個維度分析受到破壞後造成的危害程度。
行政級別與危害程度分析。行政級別與信息系統受到破壞後造成的危害程度正相關,級別越高則危害程度越嚴重,反之則相對較輕。
部署模式與危害程度分析。部署模式與信息系統受到破壞後造成的危害程度正相關,涉及的單位越多則危害程度越嚴重,統一運行信息系統大於內部信息系統。
● 學校信息系統定級思路
學校信息系統根據辦學規模、社會影響力、業務類型三個維度分析受到破壞後造成的危害程度。
辦學規模與危害程度分析。辦學規模與信息系統受到破壞後造成的危害程度正相關,規模越大則危害程度越嚴重,高等學校信息系統大於中小學校信息系統。
社會影響力與危害程度分析。社會影響力與信息系統受到破壞後造成的危害程度正相關,影響力越大則危害程度越嚴重,“985工程”學校和“211工程”學校大於其他高等學校。
部門信息系統安全保護等級建議
說明:區縣級教育行政部門及直屬事業單位的系統建議一般定為第一級,區縣級統一運行系統根據業務重要性建議可定為第二級。本表中未單獨列出。
表2:學校信息系統安全保護等級建議
● 備案
經審核批准的二級以上信息系統,由其主管單位負責組織到所在地設區的市級以上公安機關辦理備案手續。教育部全國聯網統一運行系統由教育部統一向公安部備案,其在各地運行、應用的分支系統,由主管單位組織向所在地公安部門備案,確定為三級以上信息系統同時報教育部備案。
● 安全建設整改
以《信息系統安全等級保護基本要求》為目標,從管理和技術兩方面進行安全建設整改。制定符合相應等級要求的信息系統安全技術建設整改方案,開展安全技術措施建設,落實相應的物理安全、網絡安全、主機安全、應用安全和數據安全等安全保護技術措施。
可以採取“一箇中心三維防護(即一個安全管理中心和計算環境安全、區域邊界安全和通信網絡安全)” 策略,實現相應級別信息系統的安全保護技術要求。
