教育行業(yè)等級保護建設解決方案

一、行業(yè)概述
教育行業(yè)由于其自身行業(yè)特點，承擔著國計民生的重任，對信息化建設要求比較高，其信息化建設走在整個社會信息化建設的前沿，對信息化技術和管理有著較高的要求，也是信息安全防護的重點行業(yè)之一。而銀行又是金融行業(yè)中信息化建設最為先進、最為前沿的細分行業(yè)，本文以下描述，將以銀行業(yè)作為主要對象，闡述金融行業(yè)等級保護建設的思路。
二、政策背景
中國人民銀行組織信息安全等級保護領域?qū)＜液拖嚓P技術人員，根據(jù)國家關于信息安全等級保護工作的相關制度和標準，編制了符合金融行業(yè)特點的、切實可行的金融行業(yè)信息系統(tǒng)信息安全等級保護系列標準，并于2012年正式對外發(fā)布，包括：金融行業(yè)等保建設定級指南、金融行業(yè)等保建設實施指引、金融行業(yè)等保測評指南和金融行業(yè)等保測評服務安全指引等文件。
這些文件的發(fā)布，為金融行業(yè)等級保護建設提供了具體的參考依據(jù)，推動了金融行業(yè)積極參與等級保護建設，從而有效提升了金融行業(yè)信息安全的建設。
三、建設思路
金融行業(yè)的信息系統(tǒng)眾多、復雜，而且每個系統(tǒng)的使用部門、運維部門和開發(fā)部門也往往不同，這給等級保護建設帶來的難度，主要問題包括：
1）等級保護只是參照標準，但有很多細項并未具體措施，如何執(zhí)行？
2）與銀監(jiān)會的相關要求有何關系，是否存在沖突，如何執(zhí)行？
3）這么多信息系統(tǒng)該從哪些系統(tǒng)開始做起？
4）等級建設的主要由哪些部門參與，哪個部門牽頭等等？

結合多年金融行業(yè)等級保護建設經(jīng)驗，建議金融行業(yè)等級保護建設需要兼顧合規(guī)和自身業(yè)務安全的要求進行建設，具體如下：
1）合規(guī)：是指以人民銀行等級保護建設的標準為主要依據(jù)，結合人民銀行以及銀監(jiān)會關于信息系統(tǒng)安全建設的其他相關要求和通知，建立較為全面的合規(guī)基線，從而全面開展等級保護建設，滿足各個監(jiān)管單位對金融行業(yè)信息安全建設的要求。
2）自身業(yè)務安全需求：金融行業(yè)作為特定的行業(yè)，有著自身一些特殊的需求，這些特殊的需求難以在等級保護建設標準中全部涵蓋。此外，國有銀行和股份制銀行、股份制銀行和城市商業(yè)銀行、城市商業(yè)銀行和農(nóng)商行等之間也存在差異。因此，在滿足合規(guī)要求的同時，也必須結合自身的業(yè)務特點，建立起符合自身業(yè)務安全需求的信息安全管理和技術體系，而非為了等保而等保。