教育行业是我国最大的民生行业之一,也是网络安全法定义的关键基础设施行业之一。教育行业信息系统一直是等级保护工作的重点测评对象。2019年3月1日,教育部科技司发布《教育部科技司 2019年工作要点》的通知,强调加强教育系统网络安全保障能力。
根据《网络安全法》和等保2.0的一系列标准,教育行业各单位必须严格按照相关要求落实等级保护工作。同时,教育行业的主管单位也明确要求各教育从业机构的信息系统要开展等级保护工作,出台了相关的标准或规范。
目前,教育行业等级保护工作可以参照的标准或规范有:
①《教育部办公厅关于印发〈教育行业信息系统安全等级保护定级工作指南(试行)〉的通知》(教技厅函[2014]74 号)
②教育部等八部门关于引导《规范教育移动互联网应用有序健康发展的意见》
③《教育移动互联网应用程序备案管理办法》
除了以上标准或规范,由于等保2.0的内容相比等保1.0有了一些变化,所以教育行业各单位在落实等级保护工作的时候,还要注意:
1、等保定级备案的实施发生了变化:备案时间缩短为10个工作日,同时定级要求更加严格,定级对象的等级要经过专家评审和主管部门审核通过,才能到公安机关进行审核备案;
2、测评周期方面:二级系统每两年至少进行一次等保测评,三级系统每年至少进行一次等保测评,四级系统每半年至少进行一次等保测评。
3、测评结论发生了变化:等保2.0时代,等保测评要在70分以上才算合格。此前的测评结论是:符合、基本符合、不符合。
4、“一个中心,三重防护”的思想得以升华:等保2.0标准体系更注重动态防御(变被动防护为主动防护,变静态防护为动态防护,变单点防护为整体防控,变粗放防护为精准防护),强调事前预防、事中响应、事后审计。等级保护2.0体系要求各单位应依据国家网络安全等级保护政策和标准,开展组织管理、机制建设、安全规划、安全监测、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、安全可控、队伍建设、教育培训和经费保障等工作。
需要明确的是,等级保护不只是政策和法律的要求,不只是主管单位的要求,也是企业必须做到的事。通过开展等级保护工作,教育行业各单位可以及时发现系统与国家安全标准之间存在的差距,查明系统内部存在的安全隐患与不足之处,通过安全整改,提升系统的安全防护能力,降低被攻击的风险,从而减少不必要的财产损失。