案例中心

    案例中心  >  中国矿业大学(北京)霍跃华:把等保合规建设变成一个系统工作
    中国矿业大学(北京)霍跃华:把等保合规建设变成一个系统工作
    背景图 2022-06-30 16:05:02

    距离2021版等保测评计分标准的全面调整已经过去四个月。。。。随着“缺陷扣分法”的落地,,,等保测评项得分越来越难,,,,通过难度也再加大。。。。新计分规则下,,,,不少高校开始为如何通过这场“新等保大考”而头疼。。


    近期,,,,芯启时光特别采访了中国矿业大学(北京)网络与信息中心副主任霍跃华,,,,他也是北京教育系统等保建设最早的见证者和参与者之一。。他带来了等保建设亲身经历分享以及他所在职的中国矿业大学(北京)的等保2.0建设思考。。

    教育系统等保建设最早一批的见证者,,,霍跃华谈等保建设的那些事儿


    “2007年,,我和其他74所高校的80位老师一起参加了北京市教育系统的等级保护工作会议,,,这是教育系统最早提及信息安全等级保护的一次会议。。。”作为教育等保建设最早的见证者和参与者之一,,霍跃华对十四年前的那场等保会议记忆犹新。。。。


    2007年,,,教育系统首次提出了信息安全等级保护。。。当时,,,,参加等保的信息系统按照损害程度为 “一般损害、、、严重损害和特别严重损害”的评审标准进行定级。。正所谓“一千个人眼中有一千个哈姆雷特”,,,,定性的评审标准在缺乏定量指标的指导下,,,,导致了不同学校在评审标准理解上的分歧。。。。相对而言,,,标准也很难执行落地。。后来,,,,相关部门又持续优化了等级保护的测评工作,,等保也从1.0到2.0,,,再到今年6月提出新计分标准。。。


    “其实,,,每一次标准的迭代更新都见证了等保工作的与时俱进。。。”霍跃华回忆起他参与等保工作的亲身经历感慨道,,,,教育系统等保工作历经十多年发展,,测评指标和评价体系越来越明确和规范,,管理制度也更加完善。。。。虽然测评标准越来越严格和复杂,,需要学校做的等保相关工作越来越多,,但是却全面加强了校园网络安全保障体系和能力建设,,,织密了整个教育系统的网络安全屏障。。


    高校等保2.0怎么做??首批完成等保2.0备案的中国矿业大学(北京)有话说


    在2019年,,中国矿业大学(北京)就启动了等保测评工作。。。经过八、、、、九个月的时间通过了包括统一身份认证、、、、教务系统等在内9个二级信息系统的等保测评,,,,由于恰逢等保2.0标准正式实施,,,中国矿业大学(北京)成为首批按照等保2.0标准开展等保测评工作的高校。。

    

    在中国矿业大学(北京)十几年的等保建设过程中,,霍跃华作为其中的全程参与者深有体会。。。他总结道:“以等保工作为抓手,,,建立有利于网络安全工作和网信工作的软环境,,提高师生和各部门的配合度是我校顺利推进等保建设的关键之举。。。”


    在等保建设的具体举措上,,,中国矿业大学(北京)则选择携手在网络安全领域有着丰富实践经验的芯启时光,,共同守护网络安全。。。。


    中国矿业大学(北京)以网络安全法、、、等级保护2.0标准体系等为依据,,,,特别针对等保2.0新增和加强的要求,,结合的等级保护现状和业务需求,,将系统论的思想引入等保建设工作,,确立了“持续保护,,,不止合规”的等保核心价值,,,规划了“一个中心、、四重防护”的等保建设方案,,,,并驱动“资产梳理”“制度保障”,,,形成等保规划的三驾马车,,,,推动学校搭建立体化网络安全防护体系。。。。


    1. “一个中心、、、四重防护”等保建设规划。。。学校将网络安全技术、、管理现状与等保测评项逐一进行匹配分析,,,,明确了网络安全工作与等保2.0要求之间存在的差距,,,,芯启时光依据“一个中心、、、、四重防护”提出了等保具体建设方案。。。霍跃华表示:“以安全管理为中心,,,以物理环境、、、安全区域边界、、安全通信网络、、、、安全计算环境作为防护重点,,,不仅为学校提供了技术措施的增补,,,,还优化了网络安全配置和管理体系,,全面提升了学校现有的二级等保业务系统的合规能力,,,,健全了安全技术和管理能力,,为我校顺利通过9个二级系统测评打下了坚定基础。。。。”


    2. 资产梳理加固网络安全。。。。中国矿业大学(北京)基于“一个中心、、四重防护”的建设思想,,对“安全管理中心、、、安全边界防护、、安全通信网络、、安全计算环境、、、、安全物理环境”展开网络结构梳理和自查。。。。霍跃华认为,,,,资产梳理的过程不仅是一个“发现潜在风险,,加固网络安全”的合规过程;更为今后学校的网络安全项目申报(如关键设备的采购,,,现有网络安全设备配置或位置变更)提供了指导。。


    3. 安全制度保障等保实践。。“为了让我校等保工作产生持久的效果,,我们将38个等保制度模板进行合理整合,,,,结合实际情况,,,制定出最适合中国矿业大学(北京)的安全制度,,,并且落地执行。。。”霍跃华表示,,,学校以等保制度为标尺,,,在等保合规基础之上针对学校的关键网络、、、、核心业务、、、、重要数据实施重点保护。。。。


    回顾中国矿业大学(北京)十几年的等保建设历程,,霍跃华建议:“高校不要把等保合规工作仅仅作为一件具体的事情去完成,,,,而是要通过这个具体的事情,,,把学校的网络安全工作变成一个系统的工作,,,,全面提升网络安全工作在学校范围内的认可度,,,,更好地推动学校网络安全工作的开展。。。”

    站点地图