在金融�����、電力���、廣電、醫(yī)療�����、教育等行業(yè)��,主管單位明確要求從業(yè)機構的信息系統(tǒng)要開展等級保護工作����,且發(fā)布了相關的規(guī)范、辦法或是指引����。
目前�,教育行業(yè)等級保護工作可以依據的行業(yè)標準有:
- 《教育部辦公廳關于印發(fā)〈教育行業(yè)信息系統(tǒng)安全等級保護定級工作指南(試行)〉的通知》(教技廳函[2014]74 號):依據國家信息安全等級保護相關政策和標準����,結合教育行業(yè)信息化工作的特點和具體實際,對教育行業(yè)信息系統(tǒng)進行分類��,提出安全等級保護的定級思路����,給出建議等級���,明確工作流程�。
2����、教育部等八部門關于引導《規(guī)范教育移動互聯(lián)網應用有序健康發(fā)展的意見》:提出2019年底要完成教育移動應用(APP)備案工作,2020年底��,建立健全教育移動應用管理制度��、規(guī)范和標準�,形成常態(tài)化的監(jiān)管機制,初步建成科學高效的治理體系�。
3���、《教育移動互聯(lián)網應用程序備案管理辦法》:目的是更好落實教育移動應用備案工作,提出要分階段完成教育移動應用備案工作�,設置ICP備案和等級保護備案緩沖期。
大家都知道�,等級保護工作分幾個階段進行,大致為:定級�、備案、安全建設��、等級測評��、監(jiān)督檢查����。
1、定級:確認定級對象���,參考《定級指南》等初步確認等級�,組織專家評審��,主管單位審核��,公安機關備案審查�����。
2、備案:持定級報告和備案表等材料到公安機關網安部門進行備案���。
3���、安全建設:以《基本要求》中對應等級的要求為標準,對定級對象當前不滿足要求的進行建設整改����。
4�����、等級測評:委托具備測評資質的測評機構對定級對象進行等級測評�,形成正式的測評報告。
5���、監(jiān)督檢查:向當地公安機關網安部門提交測評報告��,配合完成對網絡安全等級保護實施情況的檢查�。
定級是教育行業(yè)備案工作的第一步�����,但萬事開頭難,對之前沒有做過等級保護工作的教育行業(yè)各單位來說���,如何定級是一件難事:系統(tǒng)定幾級好一點�?定級流程是怎樣的�?定級后怎么備案?
就教育行業(yè)而言��,已經有了專門的定級指南�����,即《教育行業(yè)信息系統(tǒng)安全等級保護定級工作指南》���。今天就依據這個《指南》的內容�����,給大家總結一下教育行業(yè)的定級工作如何做����。
需要注意的是,本《指南》僅適用于各級教育行政部門及其直屬事業(yè)單位�、各級各類學校的非涉密信息系統(tǒng)安全等級保護定級工作。
1���、定級依據
①《中華人民共和國計算機信息系統(tǒng)安全保護條例》(國務院第147號令)
②《信息系統(tǒng)安全等級保護定級指南》(GB/T 22240-2008)
③《信息系統(tǒng)安全等級保護實施指南》(GB/T 25058-2010)
④《關于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》(公信安〔2007〕861號)
⑤《信息安全等級保護管理辦法》(公通字〔2007〕43號)
2��、教育行業(yè)信息系統(tǒng)類型劃分
信息系統(tǒng)的類型劃分是進行信息系統(tǒng)安全等級劃分的前提和基礎����。教育行業(yè)的信息系統(tǒng)可按照信息系統(tǒng)的主管單位����、業(yè)務對象、部署模式來進行分類����。
①按信息系統(tǒng)主管單位劃分
按照信息系統(tǒng)主管單位的不同���,信息系統(tǒng)分為“教育行政部門及其直屬事業(yè)單位信息系統(tǒng)”(簡稱“部門信息系統(tǒng)”)和“學校信息系統(tǒng)”兩類��。
部門信息系統(tǒng)可分為教育部機關及其直屬事業(yè)單位信息系統(tǒng)(部級系統(tǒng))���、省級教育行政部門及其直屬事業(yè)單位信息系統(tǒng)(省級系統(tǒng))、地市級教育行政部門及其直屬事業(yè)單位信息系統(tǒng)(市級系統(tǒng))和區(qū)縣級教育行政部門及其直屬事業(yè)單位信息系統(tǒng)(縣級系統(tǒng));學校信息系統(tǒng)可分為重點建設類高等學校信息系統(tǒng)(I類)���、高等學校信息系統(tǒng)(Ⅱ類)�����、中小學校(含中職中專院校)信息系統(tǒng)(Ⅲ類)��。
②按信息系統(tǒng)業(yè)務對象劃分
根據信息系統(tǒng)業(yè)務對象不同����,部門信息系統(tǒng)可分為政務管理類���、學校管理類��、學生管理類����、教師管理類���、綜合服務類���;學校信息系統(tǒng)可分為校務管理類、教學科研類、招生就業(yè)類��、綜合服務類�。
③按信息系統(tǒng)部署模式劃分
根據信息系統(tǒng)的部署模式,信息系統(tǒng)可以分為內部系統(tǒng)和統(tǒng)一運行系統(tǒng)����。內部系統(tǒng)是指僅供本單位內部使用,實現(xiàn)本單位業(yè)務管理與服務的信息系統(tǒng)�����。統(tǒng)一運行系統(tǒng)是指供多家(級)單位共同使用�����,實現(xiàn)某項業(yè)務的跨單位統(tǒng)一管理與服務的信息系統(tǒng)���。
統(tǒng)一運行系統(tǒng)可進一步分為集中式系統(tǒng)和分布式系統(tǒng)�。集中式信息系統(tǒng)邏輯上是一套系統(tǒng)��,在一個單位統(tǒng)一部署���、管理和運行,多家(級)單位共同使用,實現(xiàn)信息系統(tǒng)���、業(yè)務流程和數據的集中式管理����;分布式信息系統(tǒng)邏輯上是多套系統(tǒng)在多家(級)單位分別部署��、管理和運行��,通過技術接口實現(xiàn)信息系統(tǒng)�����、業(yè)務流程和數據的分布式管理����。
3、教育行業(yè)信息系統(tǒng)定級思路
信息系統(tǒng)的定級思路是在信息系統(tǒng)分類的基礎上���,參照國家對信息系統(tǒng)的安全保護等級標準的等級劃分�,形成教育行業(yè)信息系統(tǒng)安全等級劃分建議���。實際定級工作中��,信息系統(tǒng)所定等級原則上不應低于建議等級��。
總的來說�����,部門信息系統(tǒng)與學校信息系統(tǒng)分別定級�。信息系統(tǒng)受到破壞后造成的危害程度與其安全等級正相關,造成的危害程度越大�����,安全等級應越高�����。
4��、教育行業(yè)信息系統(tǒng)定級流程
按照“誰主管誰負責��、誰運維誰負責���、誰使用誰負責”的原則���,信息系統(tǒng)的主管單位為定級工作的責任主體,負責組織運維單位�、使用單位開展信息系統(tǒng)定級工作。
定級流程為:
①確定定級責任主體
“誰主管誰負責����、誰運維誰負責、誰使用誰負責”����。
②自主定級
對于承載復雜業(yè)務的信息系統(tǒng),安全保護等級可高于建議等級���;對于承載多個業(yè)務的信息系統(tǒng)�,應以所承載業(yè)務的信息系統(tǒng)的最高建議等級進行定級�。
③專家評審
聘請有關信息安全等級保護專家對信息系統(tǒng)自主定級情況進行評審,形成評審意見�����。擬確定為第四級及以上的信息系統(tǒng)�����,由教育部邀請國家信息安全保護等級專家評審委員會進行評審�����;擬確定為其他等級信息系統(tǒng)可由定級責任主體自行聘請專家進行評審。
④主管部門審核批準
主管單位完成信息系統(tǒng)專家評審后�,需填寫《信息系統(tǒng)安全等級保護定級報告》(附件3)、《信息系統(tǒng)安全等級保護備案表》(附件4)和信息系統(tǒng)安全等級保護專家評審意見等材料�����。各級教育行政部門將相關材料報送至上一級教育行政部門進行審核���,直屬事業(yè)單位和各級各類學校按照隸屬關系將相關材料報送至所屬教育行政部門或有關部門進行審批���。
⑤公安機關備案
經審核批準的二級以上信息系統(tǒng),由其主管單位負責組織到所在地設區(qū)的市級以上公安機關辦理備案手續(xù)��。教育部全國聯(lián)網統(tǒng)一運行系統(tǒng)由教育部統(tǒng)一向公安部備案���,其在各地運行�����、應用的分支系統(tǒng)�,由主管單位組織向所在地公安部門備案�,確定為三級以上信息系統(tǒng)同時報教育部備案���。
最后,如果教育行業(yè)已定級備案的信息系統(tǒng)的狀態(tài)變化可能導致業(yè)務信息安全或系統(tǒng)服務受到破壞后的受侵害對象和受侵害程度有較大的變化時�����,應根據具體情況重新定級�,并變更等級�����,重新備案�。
如需等保測評服務,可后臺私信聯(lián)系����。陸陸信息科技,整合云安全產品的技術優(yōu)勢�,聯(lián)合優(yōu)質等保咨詢、等保測評合作資源��,提供等保項目的一站式服務��,全面覆蓋等保定級��、備案、建設整改以及測評階段���,高效通過等保測評�,落實網絡安全等級保護工作���。
等保咨詢熱線:15084670000,15124562202
