欢迎访问等保测评网!

等保服务热线:18122425657

当前位置:主页 > 等保资讯 > 等保快讯 >

等保2.0时代,上海学校网站怎么做等级保护?

2024-05-21 17:21

 
学校网站需要做等级保护。互联网飞速发展的今天,学校信息和数据基本都是存储在网上,师生和相关负责人可以通过互联网便利地保存和查询相关信息,但与此同时,互联网又给学校的操作系统、数据库系统等带来了多种多样的安全威胁。举个例子,一旦学校的系统被黑客侵入,导致学校重要信息和学生数据泄露,后果将不堪设想。
 
等保2.0时代,等级保护相关标准有了多个层面的调整,总的来说,就是要求更加具体,也更加严格了。学校信息系统存储着不计其数的重要数据,等级保护必须做起来。那么,学校网站怎么做等级保护呢?今天就以上海学校网站等级保护办理为例,给大家做个说明。
 
一、上海学校网站等级保护标准
 
首先,无论是哪个行业的等级保护,都可以参照如下四个等级保护相关标准:《网络安全法》、、GB/T 22239-2019 《信息安全技术 网络安全等级保护基本要求》、GB/T25070-2019 《信息安全技术 网络等级保护安全设计技术要求》、GB/T28448-2019 《信息安全技术 网络安全等级保护测评要求》。
 
其次,目前教育行业等级保护工作可以依据的行业标准有:
1.《教育部办公厅关于印发〈教育行业信息系统安全等级保护定级工作指南(试行)〉的通知》(教技厅函[2014]74 号):依据国家信息安全等级保护相关政策和标准,结合教育行业信息化工作的特点和具体实际,对教育行业信息系统进行分类,提出安全等级保护的定级思路,给出建议等级,明确工作流程。
2.教育部等八部门关于引导《规范教育移动互联网应用有序健康发展的意见》:提出2019年底要完成教育移动应用(APP)备案工作,2020年底,建立健全教育移动应用管理制度、规范和标准,形成常态化的监管机制,初步建成科学高效的治理体系。
3.《教育移动互联网应用程序备案管理办法》:目的是更好落实教育移动应用备案工作,提出要分阶段完成教育移动应用备案工作,设置ICP备案和等级保护备案缓冲期。
 
 
二、上海学校网站等级保护建设流程
 
上海学校网站等级保护建设流程为:定级、备案、安全建设、等级测评、监督检查
1.定级:确认定级对象,参考《定级指南》等初步确认等级,组织专家评审,主管单位审核,公安机关备案审查。
2.备案:持定级报告和备案表等材料到公安机关网安部门进行备案。
3.安全建设:以《基本要求》中对应等级的要求为标准,对定级对象当前不满足要求的进行建设整改。
4.等级测评:委托具备测评资质的测评机构对定级对象进行等级测评,形成正式的测评报告。
5.监督检查:向当地公安机关网安部门提交测评报告,配合完成对网络安全等级保护实施情况的检查。
 
下面,等级保护标准制定的参与者,等保测评网将依照等保2.0标准,对上海学校网站等级保护建设做详细解读。
 
1.等保定级流程
 
按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,信息系统的主管单位为定级工作的责任主体,负责组织运维单位、使用单位开展信息系统定级工作。
 
定级流程为:
①确定定级责任主体
“谁主管谁负责、谁运维谁负责、谁使用谁负责”。
②自主定级
对于承载复杂业务的信息系统,安全保护等级可高于建议等级;对于承载多个业务的信息系统,应以所承载业务的信息系统的最高建议等级进行定级。
③专家评审
聘请有关信息安全等级保护专家对信息系统自主定级情况进行评审,形成评审意见。拟确定为第四级及以上的信息系统,由教育部邀请国家信息安全保护等级专家评审委员会进行评审;拟确定为其他等级信息系统可由定级责任主体自行聘请专家进行评审。
④主管部门审核批准
主管单位完成信息系统专家评审后,需填写《信息系统安全等级保护定级报告》(附件3)、《信息系统安全等级保护备案表》(附件4)和信息系统安全等级保护专家评审意见等材料。各级教育行政部门将相关材料报送至上一级教育行政部门进行审核,直属事业单位和各级各类学校按照隶属关系将相关材料报送至所属教育行政部门或有关部门进行审批。
⑤公安机关备案
经审核批准的二级以上信息系统,由其主管单位负责组织到所在地设区的市级以上公安机关办理备案手续。教育部全国联网统一运行系统由教育部统一向公安部备案,其在各地运行、应用的分支系统,由主管单位组织向所在地公安部门备案,确定为三级以上信息系统同时报教育部备案。
 
最后,如果教育行业已定级备案的信息系统的状态变化可能导致业务信息安全或系统服务受到破坏后的受侵害对象和受侵害程度有较大的变化时,应根据具体情况重新定级,并变更等级,重新备案。
 
2.信息系统级别怎么确定?
 
根据等级保护相关管理文件,等级保护对象的安全保护等级一共分五个级别,从一到五级别逐渐升高。等级保护对象的级别由两个定级要素决定:①受侵害的客体;②对客体的侵害程度。
 
一般来说,教育行业信息系统被攻击后造成的危害性与办学规模、社会影响力、业务类型有关:
①办学规模
办学规模与信息系统受到破坏后造成的危害程度呈正相关,规模越大则危害程度越大,高校的信息系统大于中小学的信息系统。
②社会影响力
社会影响力与信息系统受到破坏后造成的危害程度同样呈正相关,影响力越大则危害程度越大,重点高校大于其他普通的高等院校。
③业务类型
业务连续性和业务数据重要性都与信息系受破坏后的危害程度呈正相关,承载教育教学管理与服务核心业务的信息系统和一般的业务系统相比,所造成的危害程度更高。教育教学管理和服务的核心业务涉及到国家安全、个人隐私,包括学籍学历管理、学位管理、招生录取管理等,一旦遭受攻击泄漏业务信息,危害的程度可想而知。
 
信息系统的类型划分是进行信息系统安全等级划分的前提和基础。教育行业的信息系统可按照信息系统的主管单位、业务对象、部署模式来进行分类。
 
①按信息系统主管单位划分
按照信息系统主管单位的不同,信息系统分为“教育行政部门及其直属事业单位信息系统”(简称“部门信息系统”)和“学校信息系统”两类。
 
部门信息系统可分为教育部机关及其直属事业单位信息系统(部级系统)、省级教育行政部门及其直属事业单位信息系统(省级系统)、地市级教育行政部门及其直属事业单位信息系统(市级系统)和区县级教育行政部门及其直属事业单位信息系统(县级系统);学校信息系统可分为重点建设类高等学校信息系统(I类)、高等学校信息系统(Ⅱ类)、中小学校(含中职中专院校)信息系统(Ⅲ类)。
 
②按信息系统业务对象划分
根据信息系统业务对象不同,部门信息系统可分为政务管理类、学校管理类、学生管理类、教师管理类、综合服务类;学校信息系统可分为校务管理类、教学科研类、招生就业类、综合服务类。
 
③按信息系统部署模式划分
根据信息系统的部署模式,信息系统可以分为内部系统和统一运行系统。内部系统是指仅供本单位内部使用,实现本单位业务管理与服务的信息系统。统一运行系统是指供多家(级)单位共同使用,实现某项业务的跨单位统一管理与服务的信息系统。
 
统一运行系统可进一步分为集中式系统和分布式系统。集中式信息系统逻辑上是一套系统,在一个单位统一部署、管理和运行,多家(级)单位共同使用,实现信息系统、业务流程和数据的集中式管理;分布式信息系统逻辑上是多套系统在多家(级)单位分别部署、管理和运行,通过技术接口实现信息系统、业务流程和数据的分布式管理。
 
信息系统的定级思路是在信息系统分类的基础上,参照国家对信息系统的安全保护等级标准的等级划分,形成教育行业信息系统安全等级划分建议。实际定级工作中,信息系统所定等级原则上不应低于建议等级。
 
总的来说,部门信息系统与学校信息系统分别定级。信息系统受到破坏后造成的危害程度与其安全等级正相关,造成的危害程度越大,安全等级应越高。 
 
3.上海学校网站如何进行等级保护备案?
 
根据《信息安全等级保护管理办法》、《信息安全技术 网络安全等级保护基本要求(送审稿)》等规定,已运营的二级以上信息系统应当在安全保护等级确定后10日内,新建第二级以上信息系统应当在投入运行后10日内,由其运营、使用单位到所在地公安机关办理备案手续。根据上海市备案实践,学校可以向注册地或者实际经营地所在区网安部门递交备案申请,最终由市局审核并出具备案证明。
 
具体流程方面,各地实际备案流程略有差异。根据上海市的情况,由学校先行确定定级对象及初步的等级,并根据业务及系统实际情况,自行或者委托第三方机构(汇业律师事务所黄春林律师团队可以代为办理)填报《信息系统安全等级保护备案表》及其附表并递交至属地网安部门。网安部门根据申报材料及初步审查情况,对不符合等保要求的,会要求备案单位进行整改(通常是让学校委托第三方测评机构开展网络安全等保测评),整改合格(测评结果合格)的,颁发《信息系统安全等级保护备案证明》。
 
4.上海学校网站如何进行等级保护安全建设(整改)?
 
等级保护安全建设即等级保护整改,指按照等级保护建设要求,对信息和信息系统进行的网络安全升级,包括技术层面整改(比如设备缺失)和管理层面整改(比如安全管理人员建设)。学校可以自己进行整改,也可以委托专业的第三方进行整改。等保测评网为上海市学校提供专业的等保整改服务,能根据学校实际情况定制方案。
 
8.上海学校网站如何进行等级保护测评?
 
根据等保2.0规定,二级及以上的信息系统必须进行等级测评,且等级测评得分在70分以上、系统没有高风险项才算通过。测评和整改不同,进行测评的单位需要具备测评资质。也因此,学校需要寻找专业的测评机构来进行测评。测评机构测评结束之后,会根据公安机关提供的模板出具测评报告,测评报告上面就有测评得分。测评报告主要涉及内容有:①物理安全测评;②网络安全测评、数据安全测评;③主机安全测评、数据安全测评;④应用安全测评、数据安全测评;⑤安全管理测评。主要测评对象为与信息安全管理有关的策略、制度、操作规程、运行记录、管理人员、技术人员等。测评报告也需要提交公安机关。
 
最后,学校通过等级测评之后,还要接受上海市公安机关不定期的监督检查。
 
作为等保标准制定的参与者之一,在详细整理等保相关标准的基础上,整合云安全产品的技术优势,联合优质等保咨询、等保测评合作资源,等保测评网竭诚为上海市学校提供等保项目的一站式服务,全面覆盖等保定级、备案、建设整改以及测评阶段,能帮助您高效通过等保测评,落实网络安全等级保护工作。