教育App备案首批通过率不到7% 尽快完成等级保护备案ICP备案
2019年11月11日,也就是今年双十一那天,教育部办公厅关于印发《教育移动互联网应用程序备案管理办法》的通知,该《办法》已经教育部网络安全和信息化领导小组审定同意。印发给:各省、自治区、直辖市教育厅(教委),新疆生产建设兵团教育局,部属各高等学校,各直属单位,遵照执行。
通知要求:(一)高度重视教育移动应用备案工作。明确职能部门统筹教育移动应用管理工作,各省级教育行政部门应组织本地区的企业、社会机构等单位做好提供者备案,指导本地区的教育行政部门和学校做好提供者备案和使用者备案。《办法》第二十四条 教育移动应用存在违法违规或违反《教育部等八部门关于引导规范教育移动互联网应用有序健康发展的意见》要求且整改不及时的,将列入教育移动应用提供者黑名单,向教育系统通报,并撤销涉事教育移动应用备案。涉事单位六个月内不得再提交备案申请。这对教育移动应用提供者而言无疑会造成严重的后果。
通知要求:(二)分阶段完成备案工作。备案工作将依托国家数字教育资源公共服务体系(网址:app.eduyun.cn)常态化开展。各单位于2019年12月1日至2020年1月31日前完成对现有教育移动应用的备案工作,并结合实际建立本地区、本单位的备案信息动态更新机制,确保数据准确性。
通知要求:(三)ICP备案和等级保护备案缓冲期。2019年12月1日至2020年1月31日为备案缓冲期,期间ICP备案和等级保护备案不作为备案的前置条件。2020年2月1日起,未完成上述两个备案的教育移动应用备案将被撤销,并予以通报。
通知要求:(四)加强政策宣传解读。各单位应向教育移动应用提供者和使用者认真解读教育移动应用相关政策文件,介绍《办法》明确的备案流程和要求,指导工作人员开展备案工作。加强对广大师生使用教育移动应用的宣传教育,介绍相关政策,鼓励在校师生共同维护切身利益。
通知要求:(五)提高事中事后监管能力。各单位应以备案为基础建立监测预警通报机制,及时发现、处置问题隐患和安全事件。省级教育行政部门应建立本地区的监测预警通报机制,并与教育部进行数据共享。2020年2月1日起,公共服务体系将向社会公众提供备案信息查询,接受社会监督。
《办法》中规定不仅教育类移动应用程序提供者需要进行备案,教育类移动应用程序的使用者(各级教育行政部门和各级各类学校)也同样需要备案。也即是说开发和提供教育类App的服务商不备案将无法进行推广应用和服务,使用者不备案将不能使相关App进校园。而且还在备案时间上画了红线。使用者备案相对简单,而非常复杂的是教育移动应用提供者备案,要同时进行ICP备案和等级保护备案。
今天是12月24日,教育部发文已经过去将近一个半月,经过教育部门,公安机关,学校,教育应用提供者等多方努力,截至2019年12月16日,共有1321家企业,提交了2279个教育App的核验申请。根据《管理办法》要求,各省教育行政部门对提交材料进行了核验,首批通过了152个教育App的核验。通过率只有不到7%,而目前这样的通过率还是在具有“ICP备案和等级保护备案缓冲期”的前提下(《教育移动互联网应用程序备案管理办法》规定对等级保护备案、ICP备案设置了缓冲期:2019年12月1日至2020年1月31日。在此期间,等级保护备案、ICP备案不作为APP备案的前置条件,可照常提交核验。按照《教育移动互联网应用程序备案管理办法》,在缓冲期前完成备案信息的更新即可。而在2020年2月1日之后,未完成ICP备案和等级保护备案的教育移动应用备案将被撤销,并予以通报。也就是说目前的备案只是通过了信息填报,和初步核验,完成了教育App备案,其中大多数可能还未进行ICP备案和等级保护备案),可以看出通过比例还是非常低的,也充分体现了此次教育类App治理的严格,可能在教育领域的App企业将会面临一次重大的洗牌。名单如下:
由名单可以看出,很多省市的相关工作还未开展,而很教育相关企业或机构上级部门要求的时间节点是2020年1月24日前完成ICP备案和等级保护备案,否则无法进行教育部的App备案,等保与关保认为这样是因为今年春节是在1月24日,春节假期很多单位业务部门也都是放假,无法开展办理业务,也就是说实际留给相关企业、机构的时间从现在开始也就仅仅剩余一个月时间,加班加点可能才能完成工作。ICP备案相对简单,等级保护备案工作相对复杂,特别是全国很多地方的等级保护备案是要完成测评后才能颁发备案证(也是为了更好的督促运营使用单位开展测评和整改工作,有效保护系统相关的业务信息和安全系统服务安全),如果相关移动应用程序存在高危漏洞,肯定没法通过第三方测评机构的测评,当然也就无法获取最终的等级保护备案证,也就无法完成总体的备案工作,将会面临App下架和停止服务的风险,这可能对很多企业和机构都是致命的,因为很多教育App都是会员制的月服务、年服务,若被下架或停服将会面临诸多损失。
目前看留给应用提供者的时间确实已经不多了,所以下一步建议尽快抓紧这一个月时间,协调教育监管部门、公安网安部门以及测评机构,提交备案材料与等保咨询、测评同步进行,才能顺利完成相关工作。
下面转载教育类App常见Q&A,希望对大家有所帮助
Q&A-应用提供者:
一、平台基础问题
Q:教育移动互联网应用程序备案管理平台地址是?
A:app.eduyun.cn
Q:在哪里填写《教育移动应用提供者备案信息表》?
A:《教育移动应用提供者备案信息表》中的各项已内置于本平台,登录备案平台,依次创建业务系统,填报业务信息、应用信息并提交即可,平台操作可按照“帮助中心”的“操作手册”。
Q:什么是业务系统?(应该建几个业务系统?)
A:在本平台中,业务系统是指承载教育移动互联网应用程序业务开展的软件系统。业务系统通常代表应用提供者的一个教育产品线,一个应用提供者可以备案多个业务系统,一个业务系统下可添加多个应用(ios、安卓、学生端、教师端等)。一个ICP备案对应一个业务系统。
Q:备案的流程是怎么样的?
A:提供者备案:单位注册-提交申请-教育行政部门核验-发放备案号。
使用者备案:省级教育行政部门派发账号-单位填报-上级确认。
二、政策问题
Q:如何判断是否属于需要备案的教育类APP?
A:根据《教育移动互联网应用程序备案管理办法》第二条:“本办法所指的教育移动应用是以教职工、学生、家长为主要用户,以教育、学习为主要应用场景,服务于学校教学与管理、学生学习与生活以及家校互动等方面的互联网移动应用程序。”,用户和应用场景符合规定的就要备案。
注:1.不是针对教育系统开发,但被教育系统广泛应用的不是:微信、学习强国。特例:教育钉钉,是为教育进行了个性化开发的,算教育APP。
2.继续教育的APP也算教育APP,如尚德。但社会考试类的不算,如驾照、公务员。区分标准看亮点:一是是否有学历教育,二是职教部门是否指导或管理。
3.通用类的工具不算,如有道词典;但专用类的工具算,如有道少儿词典。
4.所有的教育阶段都算、校内校外的都算、素质教育和学科教育都算。
5.教育部会分批向各省提供本地区的教育APP名单,各省负责核验单位将按照名单主动联络企业进行备案。
6.在平板端使用的应用也需要备案,PC端不在此备案。
Q:备案的时间节点?
A:提供者备案:提供者应在完成互联网信息服务(ICP)备案和网络安全等级保护定级备案后,进行提供者备案。但在首次录入阶段,只要上线了就可以来备案,ICP备案和等保备案在2020年1月31日前完成即可。
使用者备案:确定使用即应备案。首次录入阶段,就是现在正在使用的APP。
Q:向谁进行提供者备案(提供者备案信息谁核验)?
A:属地管理的原则。教育行政部门、学校、企业和社会组织均向其住所地或注册地省级教育行政部门进行提供者备案。部属高校、直属单位按照属地关系到省级教育行政部门备案。
省级教育行政部门开发教育APP由教育部负责核验。省级教育行政部门的直属单位开发的依然由省级教育行政部门核验。各省负责核验的单位联系方式将在稍后确定后公布。
Q:公众号、小程序需要在本平台上进行备案吗?
A:不需要,小程序、企业号等平台第三方应用统一到平台方提交备案信息,注意关注腾讯等平台方的备案消息,教育移动互联网应用程序备案管理平台仅接收Android端和IOS端APP的备案填报。
Q:子公司的APP去哪里备案?(怎么理解集团公司的备案模式?)
A:各子公司(分公司)或分支机构开发的教育移动应用,由总公司统筹汇总并向总公司注册地的省级教育行政部门进行备案。
例如1:蚂蚁金服(重庆)、钉钉(上海),都通过阿里(浙江)向浙江省教育厅备案。
例如2:中国移动的所有分公司都应该通过集团公司向北京备案。
Q:提供者备案和使用者备案的关系?
A:使用者备案,必须在已经备案的教育APP上进行选择(系统设定)。也就是说,要进校就必须先备案,未备案的教育APP原则上不允许进校。
Q:已在广东做过学习类APP的备案,列为白名单的企业,是否还需要在此平台备案?
A:需要在本平台进行教育部开展的APP备案
Q:关于备案的时限?(提交后多久会有核验结果?)
A:提交信息后10个工作日核验单位需要有反馈。信息有误的应在10个工作日内通过公共服务体系反馈提供者。提供者应在收到反馈后的10个工作日内补充提交材料,逾期未反馈视同放弃备案。省级教育行政部门对备案材料齐全、信息准确且符合要求的提供者,应在备案信息提交10个工作日内完成备案并编号。
注:10个工作日即14天,两周时间。数据未共享前,时间可适当延长,不超过20个工作日。
Q:备案信息将如何发挥作用?
A:备案是规范管理的基础,也是事中事后监管的前提。下一步,我们会充分利用平台数据,完善相关功能。
提供教育行政部门进行决策,了解本地区教育行政部门和学校使用教育APP的情况。
为学校提供数据支撑,在选用教育APP上进行参考。
提供学生家长使用,发挥社会监督的作用。
Q:监督措施如何落地?
A:对于教育APP的提供者,省里负责核验的单位发现问题立即通知提供者;如提供者整改不及时(15个工作日未修复)、不到位(依然存在高危漏洞)的,纳入黑名单,向教育系统进行通报,并撤销涉事教育移动应用备案。涉事单位六个月内不得再提交备案申请。
对于教育行政部门和学校,发现问题整改不及时(15个工作未整改)、不到位(依然存在问题)的学校,予以通报并在考核予以扣分。
三、平台操作问题
Q:注册时提示账号重复怎么办?
A:国家数字教育资源公共服务体系、线上培训平台和教育移动互联网应用程序备案管理平台的账号是互通的,重复注册会提示。
首先查看公司在国家数字教育资源公共服务体系(system.eduyun.cn)或全国校外线上培训管理服务平台(spx.eduyun.cn)上是否已注册过账户,如确认已有账户,请通过该账户登录;如未注册过,联系客服400-8980910获取帮助。
Q:使用体系(system.eduyun.cn)或全国校外线上培训管理服务平台xspx.eduyun.cn/bmp-web的已有账户登录后,想要变更账户信息或机构信息怎么办?
A:需要来函说明情况
发函抬头:中央电化教育馆。写清需要更改的账户(登录所用手机号),机构名称,账户所属平台,说明更改原因,原信息和需要更新的信息,加盖公司公章,扫描发送至ncetjsb@moe.edu.cn。请在邮件正文注明来函的内容,方便工作人员快速处理。收到函件后将在1-2个工作日内进行处理。
Q:收到通报系统发送邮件应该怎么做?
A:登录备案管理平台,“移动APP通报”栏目,查看应用安装包的安全检测结果,根据提示对安装包进行整改,并在规定期限内重新提交。
Q:如何将备案材料提交核验?
A:备案材料先分项提交再整体提交。
1)分项提交:应用提供者注册账户后,首次登录需完善机构信息,机构信息直接提交核验;业务信息、应用信息可在创建时直接提交核验。
2) 整体提交。对整个业务系统提交核验,在“移动APP业务管理”栏目右侧的业务系统列表页面中,点击业务系统标题行“提交核验”进行提交。
Q:如何确认备案信息完成最终提交?
A:需要在“移动APP业务管理”栏目点击业务系统标题行“提交核验”,将整个业务系统所有的备案材料进行提交,在“移动APP业务管理”栏目右侧的业务系统列表页面中,业务系统标题行会显示“待核验”;
提交的前提是完成“机构信息”、“业务信息”、“应用信息”的填报,即至少有一条应用信息。最终供社会查询的备案展示名单是以应用为单位的。
Q:在备案过程中,发现有备案信息填写错误或有变更,如何修改?
A:备案信息在保存待提交时,是可以直接进行修改的;
提交后进入待核验状态,备案信息是锁定的,无法进行修改。如备案信息在提交后有更新,可以向住所地负责核验的单位提出变更申请,核验单位通过变更申请后方能修改信息。变更后的备案信息将重新进入核验流程。
Q:填写“应用信息”时Android端和IOS端需要分成两个应用进行填写,提示“应用名称已存在”怎么办?
A:备案平台会对应用名称进行重复检测。可在应用名称后加后缀“-android”、“-ios”区分两个应用。如“app-ios”、“app-android”
注:不要带引号
四、信息填写问题
Q:填写“业务信息”时,一个系统下存在多个IP,这种情况如何填报?
A:填写主域名对应的IP即可。
Q:域名和IP有多个的情况下怎么填写?
A:针对每个业务系统填写ICP备案对应的主域名。
Q:填写域名时提示格式不正确?
A:域名格式要求为:https://xxxx.xx,如:www.ahlinghu.com。
Q:提交核验时,需要填写的核验说明是什么?
A:核验说明是对本次提交的备案信息的补充情况说明,如无特殊请,可填“无”。
第三方开发者
Q:如何判断是否有第三方开发者?如有第三方开发,由谁来备案?
A:依据APP的版权来判断。由其责任主体前来备案,并在“业务信息”添加第三方开发者信息。
Q:主管单位和开发者是什么关系?
A:单位委托第三方开发的教育APP,委托方为主管单位,被委托方为开发者。
例如:安全教育平台,是高教学会主管,北京盈算计算机系统工程有限公司开发。ICP备案和等保备案均为公司所有。ICP备案和等保备案信息应与主管单位或开发者匹配。
等保、ICP备案
Q:网络安全等级保护备案、ICP备案还未申请下来的应用如何进行备案?
A:《教育移动互联网应用程序备案管理办法》对等级保护备案、ICP备案设置了缓冲期:12月1日至1月31日。在此期间,等级保护备案、ICP备案不作为APP备案的前置条件,可照常提交核验。按照《教育移动互联网应用程序备案管理办法》,在缓冲期前完成备案信息的更新即可。
Q:如何填写ICP备案证书?
A:ICP备案不提供证书,直接使用工信部ICP备案官网查询截图即可证明
Q:ICP备案和等保在哪里办理?
A:ICP备案可在“工信部ICP/IP地址/域名备案管理系统 ”上申请,等保需要向住所地的公安部门咨询。
Q:ICP备案以及ICP证的区别?
A:ICP备案和ICP证(互联网ICP经营许可证)是不同的概念,ICP备案是在“工信部ICP/IP地址/域名备案管理系统 ”办理的,备案号和备案证明可在该网站上查到(备案证明可使用域名在备案网站查询结果的截图);ICP证属于电信业务增值许可证的一种,是经营性网站必须办理的。
本平台中ICP备案为必填项(设置了缓冲期,在缓冲期前办理完成并提交即可),ICP证为选填。
Q:境外企业在国内没有服务器的如何填报ICP备案和等保?
A:根据工信部门的要求,在境内提供服务就必须要在境内拥有服务器。境外企业在国内没有服务器的,一律要求迁回境内获得ICP备案、等保备案后方可做教育APP备案。
Q:无法在缓冲期内完成等保备案怎么办?
A:平台要求填写的只是等保号和等保证明。网络安全等级保护定级备案是法定职责,必须予以坚定落实。等保分为定级、备案、测评、整改。定级备案所需时间不多,无需收费。测评整改耗时较长,收费。备案平台要求的是定级备案。但有局部地区要求完成测评整改才能定级备案,这部分的地区一般会先给号再给证,有号也可以。
Q:网络安全等保等级要做几级?
A:备案平台不作要求,建议咨询住所地公安部门的网安支队,根据当地要求及APP实际情况进行申请
Q:等保备案号和备案证明如何获取及填报?
A:等保包括定级、备案、测评、整改。目前本平台只要求定级和备案,获取备案号和备案证明并填报。如遇到必须测评才能获得证,则可以上传备案号和发送备案号的函件予以证明。
Q:如何确定要不要对APP做等保?(APP没有等保,公司的网站申请了等保,怎么办?)
A:如果备案的APP是某网站的一部分,且网站已做过等保,那么app无需单独做等保。在下一次等保年审时,加上APP的等保申请;
如果APP是独立的且没有与已做过等保的系统关联,则app需要单做等保。
漏洞问题
Q:如何查看安全检测漏洞?
A:登录账户,在左侧的“移动APP通报“栏目,打开APP通报预警页面查看。
Q:安全检测结果是 “核验未通过”能否提交核验?
A:安全检测环节不作为教育APP备案核验的前置条件。2019年12月9日后新提交的业务系统待核验通过后再开始进行安全检测,并按照时间要求进行整改,逾期整改不到位将撤销备案编号。12月9日前提交的业务系统的APP安装包可继续开展安全检测,是否通过将不作为核验通过的必要条件。
Q:移动APP通报返回的漏洞都需要修复吗?如何修复?
A:当前返回的包含漏洞分为低、中、高危(稍后将不再通报中低危),高危漏洞必须修复。修复时参考帮助中心的“APP检测项目全量漏洞修复参考文档.xlsx”。
Q:为什么安全检测结果为“检测未通过”却看不到详细漏洞信息?
A:正在调试中,请晚些再试。显示检测未通过且1天内无漏洞返回的咨询请加群
Q:漏洞提示“连接不到外部设备”,怎么处理?
A:此项漏洞稍后会撤销,可以忽略
Q:漏洞提示“系统键盘使用风险”怎么处理?
A:建议自己写登陆注册及支付时的键盘。
系统键盘使用风险:检测应用在敏感数据输入时是否使用不安全的系统键盘。
客户端的敏感界面如登录界面、注册界面、支付界面等,用户在输入敏感信息与显示(输出)时,如果未使用安全键盘,而使用第三方未知键盘或系统键盘的话可能存在数据被拦截与监听的风险,导致账号、密码等敏感数据泄露。
在敏感数据输入时使用专业的安全键盘,可以有效防止输入敏感内容时被监听。
Q&A-应用使用者:
使用者备案
Q:使用者备案登录入口?
A:在平台首页app.eduyun.cn下方,找到“登录入口”选择使用者角色,各使用者账号由省里下发,请联系各省核验单位。
Q:使用者备案的范围?
A:各级教育行政部门和各级各类学校
注:1.教育行政部门主管和其他职能部门主管的学校。其他单位分管的学校,如哈工大、哈工程等算。培训学院、党校等社会培训机构不算。
单位自主开发、自主选用和上级部门要求使用的教育APP都需要进行使用者备案。强制和推荐的都需要进行备案,学生自发使用不算(学校、教师自发强制学生使用是违规)。
Q:向谁进行提供者备案(提供者备案信息谁核验)?
A:属地管理的原则。教育行政部门、学校、企业和社会组织均向其住所地或注册地省级教育行政部门进行提供者备案。部属高校、直属单位按照属地关系到省级教育行政部门备案。
省级教育行政部门开发的到教育部备案。省级教育行政部门的直属单位开发的依然由省级教育行政部门备案。
Q:向谁进行使用者备案(使用者备案信息谁确认)?
A:学校和所属单位的使用者备案信息由其主管教育行政部门进行确认,教育行政部门的使用者备案信息由上级教育行政部门进行确认。即按照现有管理体制来执行。
Q:为什么填写应用名称时搜不到某应用?
A:该应用还未备案或未通过备案
Q:高校或教育系统的各级机构作为应用提供者如何备案?
A:如果该应用是提供给本单位外人员使用,需要重新以提供者身份注册账户,填报备案信息。
Q:怎么理解自研自用?
A:自研自用,即自己开发,自己使用,不对本单位外人员开放使用的APP。自研自用的APP一般不登录应用商店,是管理的盲区。自研自用的教育APP不用重复进行提供者备案,在使用者备案时补充提供提供者的信息。按照使用者逻辑进行管理,即行政主管单位对其进行指导、管理。
注:学校通过对成熟产品的个性化定制开发,形成专门为本单位服务的教育APP,亦属于自研自用范围。
Q:提供者备案和使用者备案的关系?
A:使用者备案,必须在已经备案的教育APP上进行选择(系统设定)。也就是说,要进校就必须先备案,未备案的教育APP原则上不允许进校。