等保2.0时代,教育行业、物流行业、医疗行业、金融行业、电力行业的等保测评政策要求如下所示:
一、教育行业
教育行业是关乎国家发展和社会进步的基础行业之一,同时也是网络安全法定义的关键基础设施行业之一。在互联网时代,随着教育行业信息化建设的高速发展,诸多信息安全问题纷纷暴露出来。
教育行业信息系统一直是等级保护工作的重点测评对象,2019年3月1日,教育部科技司曾经发布了《教育部科技司2019年工作要点》的通知,强调加强教育系统网络安全保障能力。教育行业网络安全等级保护相关政策有:
| 1 | 《教育部办公厅关于开展信息系统安全等级保护工作的通知》教办厅函 [2009] 80号 |
| 2 | 《教育部办公厅关于进一步加强网络信息系统安全保障工作的通知》教办厅函 [2011] 83号 |
| 3 | 《教育部关于加强教育行业网络与信息安全工作的指导意见》教技 [2014] 4号 |
| 4 | 教育部办公厅关于印发《教育行业信息系统安全等级保护定级工作指南(试行)》的通知 |
| 5 | 《教育部公安部关于全面推进教育行业信息安全等级保护工作的通知》教技 [2015] 2号 |
| 6 | 《教育部关于推进职业教育信息化发展的指导意见》教职成 [2017] 4号 |
| 7 | 《教育部关于印发《教育信息2.0行动计划》的通知》教技 [2018] 6号 |
| 8 | 《教育部关于加强网络学习空间建设与应用的指导意见》教技 [2018] 16号 |
| 9 | 《教育部第八部门关于引导规范教育移动互联网应用有序健康发展的意见》教技函 [2019] 55号 |
| 10 | 教育部办公厅关于印发《教育移动互联网应用程序备案管理办法》的通知 教技厅 [2019] 3号 |
在线教育的信息系统网络安全工作也不容忽视,2019年9月,教育部等八部门联合印发《关于引导规范教育移动互联网应用有序健康发展的意见》,其要求教育APP落实网络安全等级保护制度,进行教育业务备案,登记APP信息。
二、物流行业
早在2012年,物流行业《关于进一步开展交通运输行业信息安全等级保护工作的通知》 的物流政策法规就已经发布。
2019年7月28日,交通运输部印发《数字交通发展规划纲要》,纲要中明确指出,要“落实网络安全等级保护制度,加强网络安全与信息系统同步建设,提高交通运输关键信息基础设施和重要信息系统的网络安全防护能力。”
自2020年1月1日起,由交通运输部、国家税务总局联合发布的《网络平台道路货物运输经营管理暂行办法》(以下简称《暂行办法》)已正式施行。《暂行办法》第七条规定:从事网络货运经营的,应当符合《互联网信息服务管理办法》等相关法律法规规章关于经营性互联网信息服务的要求,并具备与开展业务相适应的信息交互处理及全程跟踪记录等线上服务能力。第二十一条则指出:网络货运经营者应当遵守《中华人民共和国网络安全法》等国家关于网络和信息安全有关规定。
三、医疗行业
早在2011年,原卫生部就下发了《关于全面开展卫生行业信息安全等级保护工作的通知》,要求三级甲等医院的核心业务信息系统信息安全保护等级不低于第三级(第三级为安全标记保护级,它要求对访问者和访问对象指定不同安全标记,监督、限制访问者的权限,实现对访问对象的强制访问控制),同时要求各医院于2015年12月30日前完成信息安全等级保护建设整改工作,并通过等级测评。
2018年,国家卫健委《互联网医院管理办法(试行)》规定了承载互联网医院的平台必须通过等保三级测评。
2019年7月16日,上海市卫生健康委员会关于印发《上海市互联网医院管理办法》,其中规定“互联网医院信息系统按照《信息安全技术 网络安全等级保护基本要求》第三级标准完成定级备案和测评,每年应依法开展测评,测评通过后应提交系统年度测评报告”。此办法2019年9月1日开始实施。
四、金融行业
为落实国家对金融行业信息系统信息安全等级保护相关工作要求,加强金融行业信息安全管理和技术风险防范,保障金融行业信息系统信息安全等级保护建设、测评、整改工作顺利开展,中国人民银行组织编制了金融行业信息系统信息安全等级保护系列标准,发布了《金融行业信息系统信息安全等级保护实施指引》,以保障金融行业信息系统信息安全等级保护建设、测评、整改工作顺利开展。
互金行业监管《办法》也要求,“网络借贷信息中介机构应当按照国家网络安全相关规定和国家信息安全等级保护制度的要求,开展信息系统定级备案和等级测试。”
五、电力行业
国家能源局关于印发《电力行业信息安全等级保护管理办法》的通知对中国电力行业的信息安全等级保护工作做了明确规定:电力信息系统运营、使用单位应当按照《信息系统安全等级保护实施指南》(GB/T 25058-2010)具体实施等级保护工作。电力信息系统运营、使用单位应当依据本办法、《信息系统安全等级保护定级指南》(GB/T 22240-2008)和《电力行业信息系统安全等级保护定级指导意见》确定信息系统的安全保护等级。
