2019年8月,教育部等八部门关于引导《规范教育移动互联网应用有序健康发展的意见》发布,其明确提出,教育移动应用(教育APP)提供者应当进行ICP备案和等级保护备案工作,向机构住所地的省级教育行政部门进行教育业务备案,登记单位基本信息和所开发的教育移动应用信息。且限期内未完成 ICP 备案和等级保护备案的教育移动应用备案将被撤销,并予以通报。 一直到2020 年 1 月 20 日,教育部发布了《教育 App 备案名单公告》。但由于受新冠疫情影响,教育部已经于5月份发布公告,将教育APP的备案时间延期至2020年6月30日。自2020年7月1日起,将对未完成备案的教育App提供者予以通报,并限时1个月进行整改。7月31日前未完成整改的,将撤销教育App备案。ICP备案以工信部网站查询截图为准,网络安全等级保护定级备案以公安机关的备案证明为准。 虽然到目前为止,已经有不少教育APP都成功做了等保备案,但为了让还未做备案的、预备上线的教育APP有方法可依,本篇文章为大家提供教育APP的等保备案方法流程,具体如下所示: 1.教育APP的等保备案仍然需要先定级(1-5级),定级流程为:确定定级对象→初步确定等级→专家评审→主管部门审核→公安机关备案审查→最终确定的等级。 其中,专家评审指定级对象的运营、使用单位组织信息安全专家和业务专家,对初步定级结果的合理性进行评审,出具专家评审意见。主管部门审核指定级对象的运营、使用单位应初步定级结果上报行业主管部门或上级主管部门进行审核。公安机关备案审查指定级对象的运营、使用单位应按照相关管理规定,将初步定级结果提交公安机关进行备案审查。如果审查不通过,其运营使用单位应组织重新定级。审查通过才能最终确定定级对象的所属等级。 此外,当等级保护对象所处理的信息、业务状态和系统服务范围发生变化,可能导致业务信息安全或系统服务安全受到破坏后的受侵害客体和对客体的侵害程度有较大的变化时,应根据等保2.0标准要求重新确定定级对象和安全保护等级。 2.确定教育APP保护等级之后,就可以准备相关备案材料到公安机关进行等保备案,备案材料主要是《信息系统安全等级保护备案表》,同时还需要提供: ①系统拓扑结构及说明; ②系统安全组织机构和管理制度; ③系统安全保护设施设计实施方案或者改建实施方案; ④系统使用的信息安全产品清单及其认证、销售许可证明; ⑤测评后符合系统安全保护等级的技术检测评估报告; ⑥信息系统安全保护等级专家评审意见; ⑦主管单位核准信息系统安全保护等级的意见。 公安机关服务窗口会对备案材料进行审查,如审核通过,公安机关会出具《信息系统安全等级保护备案证明》。 3.对于等保二级以上的教育APP来说,备案之后还要做等保测评。等保测评得分要在70分以上,且信息系统没有高风险项才算通过。 4.等保备案不等于业务备案。等保备案成功之后,备案相关负责人还需要按照流程进行业务备案。 等保测评网是等保标准制定的参与者之一,早在2018年,我们就开始为全国企业提供等级保护的一站式服务,全面覆盖等保定级、备案、测评、整改、咨询等阶段,助力企业合规、快速通过等级保护,成功拿证,服务过的行业包括但不限于物流行业、教育行业、医疗行业等。在详细整理教育行业相关等保规范的基础上,我们为教育行业提供一站式过等保解决方案,服务内容包括: 1.协助教育APP落实等级保护定级、备案工作,包括但不限于:帮助联系专家评审,准备备案材料并提交。 2.为教育APP提供专业的等保整改服务,针对等保整改常见的三个方面的系统安全问题:设备缺失或不足、安全管理制度不完善、漏洞补丁类问题,制定专门的整改方案,包括但不限于:安全产品的采购和部署、应用及数据库安全配置、应用代码整改、安全制度编写。 3.协助开展等级测评。等保测评网在全国都有等保合作单位,因此,我们可以帮助联系具有测评机构的国家公安机关推荐的测评机构,来给教育APP进行测评,负责人就无需自己联系测评机构。同时,为了让教育APP一次通过等级测评,在测评机构测评之前,我们的技术人员就会先给教育APP进行一次预测评,并根据测评结果进行整改。这样,等教育APP真正测评的时候,测评通过的概率就会大大提高。 4.最后,我们还全程提供免费的等保咨询服务,负责人提出的任何问题,都能得到等保测评网等保团队专业人员的解答。