欢迎访问等保测评网!

等保服务热线:18122425657

当前位置:主页 > 等保标准 >

教育行业等保标准:教育行业信息系统如何定级?

2020-07-10 09:29
在金融、电力、广电、医疗、教育等行业,主管单位明确要求从业机构的信息系统要开展等级保护工作,且发布了相关的规范、办法或是指引。
 
目前,教育行业等级保护工作可以依据的行业标准有:
  1. 《教育部办公厅关于印发〈教育行业信息系统安全等级保护定级工作指南(试行)〉的通知》(教技厅函[2014]74 号):依据国家信息安全等级保护相关政策和标准,结合教育行业信息化工作的特点和具体实际,对教育行业信息系统进行分类,提出安全等级保护的定级思路,给出建议等级,明确工作流程。
2、教育部等八部门关于引导《规范教育移动互联网应用有序健康发展的意见》:提出2019年底要完成教育移动应用(APP)备案工作,2020年底,建立健全教育移动应用管理制度、规范和标准,形成常态化的监管机制,初步建成科学高效的治理体系。
3、《教育移动互联网应用程序备案管理办法》:目的是更好落实教育移动应用备案工作,提出要分阶段完成教育移动应用备案工作,设置ICP备案和等级保护备案缓冲期。
 
大家都知道,等级保护工作分几个阶段进行,大致为:定级、备案、安全建设、等级测评、监督检查。
1、定级:确认定级对象,参考《定级指南》等初步确认等级,组织专家评审,主管单位审核,公安机关备案审查。
2、备案:持定级报告和备案表等材料到公安机关网安部门进行备案。
3、安全建设:以《基本要求》中对应等级的要求为标准,对定级对象当前不满足要求的进行建设整改。
4、等级测评:委托具备测评资质的测评机构对定级对象进行等级测评,形成正式的测评报告。
5、监督检查:向当地公安机关网安部门提交测评报告,配合完成对网络安全等级保护实施情况的检查。
 
定级是教育行业备案工作的第一步,但万事开头难,对之前没有做过等级保护工作的教育行业各单位来说,如何定级是一件难事:系统定几级好一点?定级流程是怎样的?定级后怎么备案?
 
不过,就教育行业而言,已经有了专门的定级指南,即《教育行业信息系统安全等级保护定级工作指南》。今天就依据这个《指南》的内容,给大家总结一下教育行业的定级工作如何做。
 
需要注意的是,本《指南》仅适用于各级教育行政部门及其直属事业单位、各级各类学校的非涉密信息系统安全等级保护定级工作。
 
1、定级依据
 
①《中华人民共和国计算机信息系统安全保护条例》(国务院第147号令)
②《信息系统安全等级保护定级指南》(GB/T 22240-2008)
③《信息系统安全等级保护实施指南》(GB/T 25058-2010)
④《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861号)
⑤《信息安全等级保护管理办法》(公通字〔2007〕43号)
 
2、教育行业信息系统类型划分
 
信息系统的类型划分是进行信息系统安全等级划分的前提和基础。教育行业的信息系统可按照信息系统的主管单位、业务对象、部署模式来进行分类。
 
①按信息系统主管单位划分
按照信息系统主管单位的不同,信息系统分为“教育行政部门及其直属事业单位信息系统”(简称“部门信息系统”)和“学校信息系统”两类。
 
部门信息系统可分为教育部机关及其直属事业单位信息系统(部级系统)、省级教育行政部门及其直属事业单位信息系统(省级系统)、地市级教育行政部门及其直属事业单位信息系统(市级系统)和区县级教育行政部门及其直属事业单位信息系统(县级系统);学校信息系统可分为重点建设类高等学校信息系统(I类)、高等学校信息系统(Ⅱ类)、中小学校(含中职中专院校)信息系统(Ⅲ类)。
 
②按信息系统业务对象划分
根据信息系统业务对象不同,部门信息系统可分为政务管理类、学校管理类、学生管理类、教师管理类、综合服务类;学校信息系统可分为校务管理类、教学科研类、招生就业类、综合服务类。
 
③按信息系统部署模式划分
根据信息系统的部署模式,信息系统可以分为内部系统和统一运行系统。内部系统是指仅供本单位内部使用,实现本单位业务管理与服务的信息系统。统一运行系统是指供多家(级)单位共同使用,实现某项业务的跨单位统一管理与服务的信息系统。
 
统一运行系统可进一步分为集中式系统和分布式系统。集中式信息系统逻辑上是一套系统,在一个单位统一部署、管理和运行,多家(级)单位共同使用,实现信息系统、业务流程和数据的集中式管理;分布式信息系统逻辑上是多套系统在多家(级)单位分别部署、管理和运行,通过技术接口实现信息系统、业务流程和数据的分布式管理。
 
3、教育行业信息系统定级思路
 
信息系统的定级思路是在信息系统分类的基础上,参照国家对信息系统的安全保护等级标准的等级划分,形成教育行业信息系统安全等级划分建议。实际定级工作中,信息系统所定等级原则上不应低于建议等级。
 
总的来说,部门信息系统与学校信息系统分别定级。信息系统受到破坏后造成的危害程度与其安全等级正相关,造成的危害程度越大,安全等级应越高。 
 
4、教育行业信息系统定级流程
 
按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,信息系统的主管单位为定级工作的责任主体,负责组织运维单位、使用单位开展信息系统定级工作。
 
定级流程为:
①确定定级责任主体
“谁主管谁负责、谁运维谁负责、谁使用谁负责”。
②自主定级
对于承载复杂业务的信息系统,安全保护等级可高于建议等级;对于承载多个业务的信息系统,应以所承载业务的信息系统的最高建议等级进行定级。
③专家评审
聘请有关信息安全等级保护专家对信息系统自主定级情况进行评审,形成评审意见。拟确定为第四级及以上的信息系统,由教育部邀请国家信息安全保护等级专家评审委员会进行评审;拟确定为其他等级信息系统可由定级责任主体自行聘请专家进行评审。
④主管部门审核批准
主管单位完成信息系统专家评审后,需填写《信息系统安全等级保护定级报告》(附件3)、《信息系统安全等级保护备案表》(附件4)和信息系统安全等级保护专家评审意见等材料。各级教育行政部门将相关材料报送至上一级教育行政部门进行审核,直属事业单位和各级各类学校按照隶属关系将相关材料报送至所属教育行政部门或有关部门进行审批。
⑤公安机关备案
经审核批准的二级以上信息系统,由其主管单位负责组织到所在地设区的市级以上公安机关办理备案手续。教育部全国联网统一运行系统由教育部统一向公安部备案,其在各地运行、应用的分支系统,由主管单位组织向所在地公安部门备案,确定为三级以上信息系统同时报教育部备案。
 
最后,如果教育行业已定级备案的信息系统的状态变化可能导致业务信息安全或系统服务受到破坏后的受侵害对象和受侵害程度有较大的变化时,应根据具体情况重新定级,并变更等级,重新备案。