关联平台
网络安全实验室
疫情环境下,“互联网+教育”网络安全合规怎么做-等保解读-等级保护测评机构定级备案测评一站式平台-国源天顺官网

新闻资讯

首页>>新闻资讯>>等保解读
2022-10-20 14:21:37

疫情环境下,“互联网+教育”网络安全合规怎么做

分享到:

随着“互联网+教育”的深入发展,教学场景、教研模式、教材使用等方方面面都引来数字化升级。特别是在疫情影响之下,线上教育教学工作方式日趋主流。但同时,随着疫情推动教育行业数字化快速转型发展,也为黑客实施网络攻击创造了更多条件。近年,全球范围内各类针对高校、在线教育行业企业的攻击事件频出,各类新型的攻击手段也层出不穷,教育行业的网络安全形势不容乐观。


如何在推进教育信息化的同时保障校园网络空间安全、建设网络良好生态?近年来,我国教育部门高度重视网络安全工作,先后印发多项法律法规与指导意见,贯彻推进网络安全工作责任制的落实。


近年教育行业网络安全相关要求

教科技厅〔2020〕1号 教育部办公厅关于印发《2020年教育信息化和网络安全工作要点》的通知


教技厅〔2019〕3号 教育部办公厅关于印发《教育移动互联网应用程序备案管理办法》的通知


教技函〔2019〕55号 教育部等八部门关于引导规范教育移动互联网应用有序健康发展的意见


教基函〔2019〕8号 教育部等六部门关于规范校外线上培训的实施意见指南(试行)》的通知


教技厅〔2019〕2号 教育部办公厅关于印发《2019年教育信息化和网络安全工作要点》的通知


教技〔2018〕4号 教育部关于发布《网络学习空间建设与应用指南》的通知


教技〔2018〕6号 教育部关于印发《教育信息化2.0行动计划》的通知


教技厅〔2018〕1号 教育部办公厅关于印发《2018年教育信息化和网络安全工作要点》的通知


教职成〔2017〕4号 教育部关于进一步推进职业教育信息化发展的指导意见


教技〔2015〕1 号 教育部关于进一步加强直属高校直属单位信息技术安全工作的通知


教技〔2015〕2号 教育部公安部关于全面推进教育行业信息安全等级保护工作的通知


教技〔2014〕4号 教育部关于加强教育行业网络与信息安全工作的指导意见


教技厅函〔2014〕74号 教育部办公厅关于印发《教育行业信息系统安全等级保护定级工作》


教办厅函〔2011〕83号 教育部办公厅关于进一步加强网络信息系统安全保障工作的通知


教办厅函〔2009〕80号 教育部办公厅关于开展信息系统安全等级保护工作的通知


教育行业等级保护

1、什么是等保?


国家信息安全保障的基本制度、基本策略、基本方法;对信息系统分等级进行安全保护和监管;对信息安全产品的使用实行分等级管理;信息安全事件实行分等级响应、处置的制度。


2、等级保护的地位和作用?


根据国家相关法律法规,公安部门是落实等级保护制度的主导单位;是开展信息安全工作的基本方法;是促进信息化、维护国家信息安全的根本保障。


3、等级保护能解决什么问题?


将有限的财力、物力、人力投入到重要信息系统安全保护中。有效保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统的安全,维护国家信息安全。


教育行业等级保护流程

1、定级:

信息系统运营使用单位按照等级保护管理办法和定级指南,自主确定信息系统的安全保护等级。有上级主管部门的,应当经上级主管部门审批。跨省或全国统一联网运行的信息系统可以由其主管部门统一确定安全保护等级。虽然说的是自主定级,但主要还是根据系统实际情况去定级,有行业指导文件的根据指导文件来,没有文件的需要根据定级指南来,总之一句话合理定级,该是几级就是几级,不要定的高也不要定的低。


2、备案:

第二级以上信息系统定级市级单位到所在地社区的市级以上公安机关办理备案手续。省级单位到省公安厅网安总队备案,各地市单位一般直接到市级网安支队备案,也有部分地市区县单位的定级备案资料是先交到区县公安网监大队的,具体根据各地市要求来。


3、系统建设整改:

信息系统安全保护等级确定后,运营使用单位按照管理规范和技术标准,选择管理办法要求的信息安全产品,建设符合等级要求的信息安全设施,建立安全组织,制定并落实安全管理制度。


4、测评:

根据《网络安全等级保护基本要求》GB/T 22239-2019,对信息系统从多个层面对信息系统进行最终等级测评,从单项测评、单元测评、整体测评进行安全问题风险分析,形成最终测评结论,完成测评报告。


5、监督检查:

公安机关依据信息安全等级保护管理规范及《网络安全法》相关条款,监督检查运营使用单位开展等级保护工作,定期对信息系统进行安全检查。运营使用单位应当接受公安机关的安全监督、检查、指导,如实向公安机关提供有关材料。

相关政策问题

1、教育行业等保是不是必须做?


做等保测评,对于互联网信息系统的安全不仅是对公民负责,也是对国家的负责。《网络安全法》第二十一条明确提出了网络运营者要按照网络安全等级保护制度的要求,履行义务。其中也是尤其重视互联网教育行业,严格要求教育企业必须做等保,不开展等级保护等于违法,也是对国家、公民重要信息或专有信息以及公开信息的安全的不负责任。


《网络安全法》呼吁整治社会各行各业的网络安全,提高国家整体的网络安全防御能力,教育行业也是其中整治的一部分。


之前也是因为缺乏教育行业网络安全规范的细则,一些教育行业机构也是没有很重视,但是随着《教育部等六部门关于规范校外线上培训的实施意见》、《教育部等八部门关于引导规范教育移动互联网应用有序健康发展的意见》、《教育移动互联网应用程序备案管理办法》等等相关标准的提出,省级教育行政部门要联合有关部门对逾期没有完成整改或整改不到位的校外线上培训机构进行查处,视情节暂停或者停止培训活动,包括停止平台的运营、下架培训应用、关闭微信公众号、依法进行经济处罚等。


2、不做等保的后果?


《网络安全法》“第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改......”


“第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。”


9月14日,国家互联网信息办公室会同相关部门起草了《关于修改〈中华人民共和国网络安全法〉的决定(征求意见稿)》中更是特别规定:“情节特别严重的,由省级以上有关主管部门责令改正,处一百万元以上五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令停止相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作。”


干货 | 开展等级保护工作的相关依据
等级保护中“三员管理”是什么?