欢迎光临:您是本站的第485991个访客
旧版网站 公众号 小程序 联系我们
您现在所在的位置: 首页 > 最新推荐 > 行业资讯

教育行业等保备案你必须要知道的事!


教育行业是我国最大的民生行业之一,也是网络安全法定义的关键基础设施行业之一。随着教育行业信息化建设的高速发展,信息安全问题屡见不鲜。教育行业信息系统一直是等级保护工作的重点测评对象。



教育部在2019年7月15日发函,涉及中小学学科类校外线上培训的,都需要完成icp(增值电信类)备案+完成网络信息安全的等级保护和备案。相关部门于19年12月底之前完成对全国校外线上培训及机构的备案排查(文中发布的实施备案审查制度)。



今天小编就来梳理一下教育行业开展等保的相关内容:


● 等级保护定级备案的建议


按照信息系统主管单位的不同,信息系统分为“教育行政部门及其直属事业单位信息系统”(简称“部门信息系统”)和“学校信息系统”两类。



部门信息系统与学校信息系统分别定级。由于面向的对象不同、承载的业务不同、受到破坏后造成的侵害程度不同,采取不同的定级思路。


● 部门信息系统定级思路


部门信息系统根据行政级别、部署模式和业务类型与性质三个维度分析受到破坏后造成的危害程度。

行政级别与危害程度分析。行政级别与信息系统受到破坏后造成的危害程度正相关,级别越高则危害程度越严重,反之则相对较轻。

部署模式与危害程度分析。部署模式与信息系统受到破坏后造成的危害程度正相关,涉及的单位越多则危害程度越严重,统一运行信息系统大于内部信息系统。


● 学校信息系统定级思路


学校信息系统根据办学规模、社会影响力、业务类型三个维度分析受到破坏后造成的危害程度。

办学规模与危害程度分析。办学规模与信息系统受到破坏后造成的危害程度正相关,规模越大则危害程度越严重,高等学校信息系统大于中小学校信息系统。

社会影响力与危害程度分析。社会影响力与信息系统受到破坏后造成的危害程度正相关,影响力越大则危害程度越严重,“985工程”学校和“211工程”学校大于其他高等学校。


部门信息系统安全保护等级建议



说明:区县级教育行政部门及直属事业单位的系统建议一般定为第一级,区县级统一运行系统根据业务重要性建议可定为第二级。本表中未单独列出。


表2:学校信息系统安全保护等级建议



● 备案


经审核批准的二级以上信息系统,由其主管单位负责组织到所在地设区的市级以上公安机关办理备案手续。教育部全国联网统一运行系统由教育部统一向公安部备案,其在各地运行、应用的分支系统,由主管单位组织向所在地公安部门备案,确定为三级以上信息系统同时报教育部备案。


● 安全建设整改


以《信息系统安全等级保护基本要求》为目标,从管理和技术两方面进行安全建设整改。制定符合相应等级要求的信息系统安全技术建设整改方案,开展安全技术措施建设,落实相应的物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施。


可以采取“一个中心三维防护(即一个安全管理中心和计算环境安全、区域边界安全和通信网络安全)” 策略,实现相应级别信息系统的安全保护技术要求。