什么是等级保护?
网络安全等级保护是指对国家秘密信息、法人或其他组织及公民专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级进行响应、处置。
教育行业为什么要做等保?
监管要求 法律驱动
《中华人民共和国网络安全法》规定:等级保护,是我国信息安全保障的基本制度。第二十一条规定:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度,履行下列安全保护义务-保障网络免受干扰、破坏、或者未经过授权的访问,防止网络数据泄露或者窃取、篡改。
《教育部 公安部 关于全面推进教育行业信息安全等级保护的工作通知》教技【2015】2号规定:按照“自主定级、自主保护”的原则,教育行业各单位是信息技术安全工作的责任主体,负责本单位所属信息安全等级保护工作。组织开展信息系统安全摸底调查工作;加快推进信息系统安全等级保护备案工作;开展信息系统安全等级测评和整改工作;开展信息系统等级保护安全专项检查工作。
教育部等六部《关于规范校外线上培训的实施意见》的目标:2019年12月底前完成对全国校外线上培训及机构的备案排查。落实网络安全等级保护制度、网络安全预警通报制度和用户信息保护制度,具有完善的安全保护技术措施。按照“后台实名,前台自愿”的原则,经过培训对象和监护人同意后,对培训对象进行真实身份信息认证。做好培训对象信息和数据安全防护,防止泄露隐私,不得非法出售或者非法向他人提供培训对象信息。用户行为日志须要留存一年以上。
更多内容:
1、《教育部办公厅关于进一步加强网络信息系统安全保障工作的通知》(教办厅函(2011)83号)
2、《教育部办公厅关于开展信息系统安全等级保护工作的通知》(教办厅(2009)80号)
3、教育部印发《教育信息关于进一步推进市属教育行业信息安全等级保护工作的通知》(京教函(2012)363号)
4、教育部《教育行业信息系统安全等级保护定级工作指南(试行)》的通知 2014
5、教育部科技司印发《关于加开推进信息系统网络安全等级保护定级备案工作的通知》
6、教育部印发《教育信息化2.0行动计划》的通知
不做等保即违法
网络安全等级保护制度是我国网络安全领域一项重要制度,不开展网络等级保护制度就是违法
业务需求 安全事件
加强教育行业的网络安全保护,是教育信息化建设的重要工作。教育类网站及APP储存大量的学生、家长及教师信息,一旦遭受到攻击或者信息泄露。无论是对企业自身还是教育用户都有严重的危害。所以教育企业应该开展等级保护工作,及时发现系统内部的安全隐患与不足之处,并通过安全整改提升系统的安全防护能力,降低被攻击的风险。
青莲网络一站式等保测评服务助力教育类企业快速通过等保测评
青莲一站式等保2.0解决方案缩短了至少 60% 的时间, 30天 内可拿证
| 角色\流程 | 定级 | 备案 | 建议整改 | 等保评测 | 监督检查 |
|---|---|---|---|---|---|
| 客户 | 确定系统或者子系统的安全等级,准备定级报告 | 准备备案材料,到当地公安网监递交备案 | 基于等保的安全技术和管理要求进行建设和整改,以符合等保要求 | 准备和接受测评机构的测评 | 接受公安网监定期的检查,主动开展每年的定期测评 |
| 青莲网络 | 辅导客户定级,准备定级报告并组织专家评审,协调第三方机构为客户提供辅导服务。 | 辅导客户准备备案材料和备案,协调第三方为客户提供辅导服务 | 提供符合等保相关要求的安全产品和服务,辅导客户进行定级相关系统和组件的安全加固,并协助建立安全管理制度 | 提供云服务商安全资质,云平台通过相关通过等保的证明材料,协助客户参与等保测评并进行整改,确保合规通过。 | 协助客户接受检查并指导整改 | 公安网监 | - | 当地公安机关审核受理备案材料 | - | - | 公安机关监督检查单位开展等级保护工作情况 |
教育行业定级备案
按照信息系统主管单位的不同:信息系统分为“教育行政部门及其直属事业单位信息系统” (简称“部门信息系统”)和“学校信息系统”两类
部门信息系统定级思路
部门信息系统根据行政级别、部署方式和业务类型与性质三个维度分析受到破坏造成的危害程度
学校信息系统定级思路
学校信息系统根据办学规模、社会影响力和业务类型三个维度分析受到破坏后造成的危害程度
校外培训信息系统定级思路
校外培训信息系统根据线上办学规模、社会影响、业务信息三个维度分析受到破坏后造成的危害程度。
校外培训信息系统定级意见
线上教育平台为重中之重,根据系统服务安全、业务信息安全、培训办学规模等受到破坏后对公民、法人、其他组织、社会秩序、公共利益、国家安全造成的风险进行分析,定级参考意见如表。
