早在去年8月,教育部等八部门就发布了关于引导《规范教育移动互联网应用有序健康发展的意见》,其明确提出,教育移动应用(教育APP)提供者应当进行ICP备案和等级保护备案工作,向机构住所地的省级教育行政部门进行教育业务备案,登记单位基本信息和所开发的教育移动应用信息。 发展到后来,教育部甚至发布公告,将对未完成备案的教育App提供者予以通报,并限时1个月进行整改。1个月内未完成整改的,将撤销教育App备案。 教育APP等级保护备案第一步是定级。教育APP提供者和教育APP机构使用者必须先确定APP的保护等级,才能准备相关材料进行备案。那么,APP保护等级定多少级合适呢? 一站式等保服务专家青莲网络指出:教育APP定级要根据等级保护标准来定,不能因为害怕定级高会导致后续测评成本增多而随意给APP定低保护等级。等保2.0时代,国家出台了相应的定级指南——GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》。教育APP提供者和教育APP机构使用者可以根据指南来行事。以下是该指南的部分重点内容: 等级保护对象的安全保护等级一共分五个级别,从一到五级别逐渐升高: 第一级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益; 第二级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全; 第三级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害; 第四级,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害; 第五级,等级保护对象受到破坏后,会对国家安全造成特别严重损害。 同时,等级保护对象的级别由两个定级要素决定: 1、受侵害的客体,分三个方面,即:公民、法人和其他组织的合法权益;社会秩序、公共利益;国家安全。 2、对客体的侵害程度,分三种程度,即:造成一般损害;造成严重损害;造成特别严重损害。 教育APP等级保护定级流程为:确定定级对象→初步确定等级→专家评审→主管部门审核→公安机关备案审查→最终确定的等级。 其中,专家评审指定级对象的运营、使用单位组织信息安全专家和业务专家,对初步定级结果的合理性进行评审,出具专家评审意见。主管部门审核指定级对象的运营、使用单位应初步定级结果上报行业主管部门或上级主管部门进行审核。公安机关备案审查指定级对象的运营、使用单位应按照相关管理规定,将初步定级结果提交公安机关进行备案审查。如果审查不通过,其运营使用单位应组织重新定级。审查通过才能最终确定定级对象的所属等级。 此外,当等级保护对象所处理的信息、业务状态和系统服务范围发生变化,可能导致业务信息安全或系统服务安全受到破坏后的受侵害客体和对客体的侵害程度有较大的变化时,应根据等保2.0标准要求重新确定定级对象和安全保护等级。 教育APP等级保护测评如何通过? 教育APP定级备案之后,如果教育APP的保护等级在二级及以上,还必须通过等级测评,通过的条件为测评得分在70以上,且没有高风险项。