等保2.0 | 教育行业icp备案和学校等级保护刻不容缓
教育行业是我国最大的民生行业之一,也是网络安全法定义的关键基础设施行业之一。随着教育行业信息化建设的高速发展,信息安全问题屡见不鲜。教育行业信息系统一直是等级保护工作的重点测评对象。
教育部在2019年7月15日发函,涉及中小学学科类校外线上培训的,都需要完成icp(增值电信类)备案+完成网络信息安全的等级保护和备案。相关部门于19年12月底之前完成对全国校外线上培训及机构的备案排查(文中发布的实施备案审查制度)。
今天灵狐网络科技就来梳理一下教育行业开展等保的相关内容:
● 等级保护定级备案的建议
按照信息系统主管单位的不同,信息系统分为“教育行政部门及其直属事业单位信息系统”(简称“部门信息系统”)和“学校信息系统”两类。
部门信息系统与学校信息系统分别定级。由于面向的对象不同、承载的业务不同、受到破坏后造成的侵害程度不同,采取不同的定级思路。
● 部门信息系统定级思路
部门信息系统根据行政级别、部署模式和业务类型与性质三个维度分析受到破坏后造成的危害程度。
行政级别与危害程度分析。行政级别与信息系统受到破坏后造成的危害程度正相关,级别越高则危害程度越严重,反之则相对较轻。
部署模式与危害程度分析。部署模式与信息系统受到破坏后造成的危害程度正相关,涉及的单位越多则危害程度越严重,统一运行信息系统大于内部信息系统。
● 学校信息系统定级思路
学校信息系统根据办学规模、社会影响力、业务类型三个维度分析受到破坏后造成的危害程度。
办学规模与危害程度分析。办学规模与信息系统受到破坏后造成的危害程度正相关,规模越大则危害程度越严重,高等学校信息系统大于中小学校信息系统。
社会影响力与危害程度分析。社会影响力与信息系统受到破坏后造成的危害程度正相关,影响力越大则危害程度越严重,“985工程”学校和“211工程”学校大于其他高等学校。
部门信息系统安全保护等级建议
序号 |
分类 |
信息系统 |
建议安全保护等级 |
||
部级 |
省级 |
地市 |
|||
1 |
(01) 政务管理类 |
(01)办公与事务处理 |
第二级 |
第二级 |
第二级 |
2 |
(02)公文与信息交换 |
第三级 |
第三级 |
第二级 |
|
3 |
(03)人事管理 |
第二级 |
第二级 |
第二级 |
|
4 |
(04)财务管理 |
第二级 |
第二级 |
第二级 |
|
5 |
(05)资产管理 |
第二级 |
第二级 |
第二级 |
|
6 |
(06)信访管理 |
第二级 |
第二级 |
第二级 |
|
7 |
(07)档案管理 |
|
第二级 |
第二级 |
|
8 |
(08)党务管理 |
第二级 |
第二级 |
第二级 |
|
9 |
(09)科研管理 |
第二级 |
第二级 |
第二级 |
|
10 |
(10)教育统计管理 |
第三级 |
第二级 |
第二级 |
|
11 |
(11)决策支持 |
第二级 |
第二级 |
第二级 |
|
12 |
(12)应急指挥 |
第三级 |
第二级 |
第二级 |
|
13 |
(13)舆情监测与管理 |
第三级 |
第二级 |
第二级 |
|
14 |
(14)高等教育招生计划管理 |
第三级 |
第二级 |
第二级 |
|
15 |
(15)普通高校招生网上录取管理 |
第三级 |
第三级 |
第三级 |
|
16 |
(16)教育考试考务管理与服务 |
第三级 |
第三级 |
第二级 |
|
17 |
(17)评审、表彰管理 |
第二级 |
第二级 |
第二级 |
|
18 |
(02) 学校管理类 |
(01)学校管理 |
第三级 |
第二级 |
第二级 |
19 |
(02)学科、专业管理 |
第三级 |
第二级 |
第二级 |
|
20 |
(03)教学改革管理 |
第三级 |
第二级 |
第二级 |
|
21 |
(04)教学质量评估 |
第三级 |
第二级 |
第二级 |
|
22 |
(05)校园安全与稳定管理 |
第三级 |
第二级 |
第二级 |
|
23 |
(06)教育经费监管 |
第三级 |
第二级 |
第二级 |
|
24 |
(03) 学生管理类 |
(01)学生学籍管理 |
第三级 |
第三级 |
第二级 |
25 |
(02)招生录取管理 |
第三级 |
第三级 |
第三级 |
|
26 |
(03)学生资助管理 |
第三级 |
第二级 |
第二级 |
|
27 |
(04)学位授予管理 |
第三级 |
第三级 |
第二级 |
|
28 |
(04) 教师管理类 |
(01)教师基本信息管理 |
第三级 |
第二级 |
第二级 |
29 |
(02)教师资格认定管理 |
第三级 |
第二级 |
第二级 |
|
30 |
(03)教师培训管理 |
第三级 |
第二级 |
第二级 |
|
31 |
(04)教师教育管理 |
第三级 |
第二级 |
第二级 |
|
32 |
(05)教师职称管理 |
第三级 |
第二级 |
第二级 |
|
33 |
(05) 综合服务类 |
(01)门户网站 |
第三级 |
第三级 |
第二级 |
34 |
(02)论坛、社区类网站 |
第二级 |
第二级 |
第二级 |
|
35 |
(03)教育教学资源 |
第三级 |
第二级 |
第二级 |
|
36 |
(04)毕业、就业信息管理 |
第三级 |
第二级 |
第二级 |
|
37 |
(05)电子邮件 |
第二级 |
第二级 |
第二级 |
|
38 |
(06)视频服务 |
第三级 |
第二级 |
第二级 |
|
39 |
(07)安防监控 |
第二级 |
第二级 |
第二级 |
|
40 |
(08)内网门户与身份认证 |
第三级 |
第二级 |
第二级 |
|
41 |
(09)公共数据库 |
第三级 |
第二级 |
第二级 |
|
42 |
(10)运维管理 |
第三级 |
第二级 |
第二级 |
说明:区县级教育行政部门及直属事业单位的系统建议一般定为第一级,区县级统一运行系统根据业务重要性建议可定为第二级。本表中未单独列出。
表2:学校信息系统安全保护等级建议
序号 |
分类 |
信息系统 |
建议安全保护等级 |
||
Ⅰ类学校 |
II类学校 |
Ⅲ类学校 |
|||
1 |
(01) 校务管理类 |
(01)办公与事务处理 |
第二级 |
第二级 |
第一级 |
2 |
(02)公文与信息交换 |
第二级 |
第二级 |
第一级 |
|
3 |
(03)人事管理 |
第二级 |
第二级 |
第一级 |
|
4 |
(04)财务管理 |
第二级 |
第二级 |
第一级 |
|
5 |
(05)资产管理 |
第二级 |
第二级 |
第一级 |
|
6 |
(06)后勤管理 |
第二级 |
第二级 |
第一级 |
|
7 |
(07)学生教育工作管理 |
第二级 |
第二级 |
第一级 |
|
8 |
(08)学生体质健康数据管理 |
第二级 |
第二级 |
第一级 |
|
9 |
(09)档案管理 |
第二级 |
第二级 |
第一级 |
|
10 |
(10)党务管理 |
第二级 |
第二级 |
第一级 |
|
11 |
(02) 教学科研类 |
(01)教学改革管理 |
第二级 |
第二级 |
第一级 |
12 |
(02)学科、专业管理 |
第二级 |
第二级 |
第一级 |
|
13 |
(03)教务教学管理 |
第二级 |
第二级 |
第一级 |
|
14 |
(04)教学资源管理 |
第二级 |
第二级 |
第一级 |
|
15 |
(05)教学质量评估与保障 |
第二级 |
第二级 |
第一级 |
|
16 |
(06)科研管理 |
第三级 |
第二级 |
第一级 |
|
17 |
(07)科研情报 |
第三级 |
第二级 |
第一级 |
|
18 |
(03) 招生就业类 |
(01)招生录取管理 |
第三级 |
第二级 |
第一级 |
19 |
(02)学生就业管理 |
第二级 |
第二级 |
第一级 |
|
20 |
(04) 综合服务类 |
(01)门户网站 |
第三级 |
第二级 |
第一级 |
21 |
(02)论坛、社区类网站 |
第三级 |
第二级 |
第一级 |
|
22 |
(03)数字图书馆 |
第二级 |
第二级 |
第一级 |
|
23 |
(04)电子邮件 |
第二级 |
第二级 |
第一级 |
|
24 |
(05)视频服务 |
第二级 |
第二级 |
第一级 |
|
25 |
(06)安防监控 |
第二级 |
第二级 |
第一级 |
|
26 |
(07)校园一卡通 |
第三级 |
第二级 |
第一级 |
|
27 |
(08)内网门户与身份 |
第二级 |
第二级 |
第一级 |
|
28 |
(09)公共数据库 |
第二级 |
第二级 |
第一级 |
|
29 |
(10)运维管理 |
第二级 |
第二级 |
第一级 |
● 备案
经审核批准的二级以上信息系统,由其主管单位负责组织到所在地设区的市级以上公安机关办理备案手续。教育部全国联网统一运行系统由教育部统一向公安部备案,其在各地运行、应用的分支系统,由主管单位组织向所在地公安部门备案,确定为三级以上信息系统同时报教育部备案。
● 安全建设整改
以《信息系统安全等级保护基本要求》为目标,从管理和技术两方面进行安全建设整改。制定符合相应等级要求的信息系统安全技术建设整改方案,开展安全技术措施建设,落实相应的物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施。
可以采取“一个中心三维防护(即一个安全管理中心和计算环境安全、区域边界安全和通信网络安全)” 策略,实现相应级别信息系统的安全保护技术要求。