就网传江西教育厅某数据库被格式化无备份谈等级保护责任

很多人对等级保护的理解是等级测评！有时，我就想问一句：你做等保了吗？你做的是等保吗？

今天就顺着《》结合某教育网站数据库被格式化，也没有备份这事情，再来谈谈等级保护。去年，广东省教育厅就网络安全的内容安全给全国上了一课。

今年，江西这件事情若是属实，则是从运维安全事故视角给我们上了一课。本文是根据网络上聊天截图，做一些关于等级保护合规的探讨。关于事件本身具体责任如何划分，以官方最终权威公示为准。

首先，我们说《网络安全法》第二十一条明确了国家实行网络安全等级保护制度。然后，在此基础上进一步诠释需要履行的义务，最后分解为五项内容。而这些都是等级保护制度之下的更详细的内容要求。

其中第二十一条第（四）项明确网络运营者需要“采取数据分类、重要数据备份和加密等措施”，也就是从法律文件中已经描述到“重要数据备份”的要求，也就是“重要数据备份”已经成为法定要求、强制性要求。

我们再结合2015年7月15日教育部、公安部联合发布的《关于全面推进教育行业信息安全等级保护工作的通知》（教技[2015]2号）及2014年教育部办公厅关于印发《教育行业信息系统安全等级保护定级工作指南（试行）》的通知（教技厅函[2014]74 号）等文件，看一下网传的“江西教育系统的江教在线（www.know.edu.cn），也是江西高考成绩查询的网站”应该归到哪一类，安全保护等级为第几级？

该系统为“政务管理类”，涉及到高考成绩查询与招生，省级平台。从定级指南视角，应该为第三级网络。如果仅仅是作为宣传的网站和入口，不涉及背后的其他平台。划到综合服务类，作为省级的网站，那么定级参考也是网络安全等级保护的第三级。

那么，我们再结合等级保护国家标准《网络安全等级保护基本要求》GB/T 22239-2019来看看，作为第三级的网络应该在备份方面做哪些工作？

上图，为第一级到第四级，关于数据备份恢复的技术层面的基本要求项。第三级，则需要考虑细节：

数据备份恢复技术要求项

a)应提供重要数据的本地数据备份与恢复功能；

b)应提供异地实时备份功能，利用通信网络将重要数据实时备份至备份场地；

c)应提供重要数据处理系统的热冗余，保证系统的高可用性。

上图图，为第一级到第四级，关于备份与恢复管理的管理层面的基本要求项。第三级，则需要考虑细节：

备份与恢复管理要求项

a)应识别需要定期备份的重要业务信息、系统数据及软件系统等；

b)应规定备份信息的备份方式、备份频度、存储介质、保存期等；

c)应根据数据的重要性和数据对系统运行的影响，制定数据的备份策略和恢复策略、备份程序和恢复程序等。

由此，我们可能看到了关于备份的问题，如果发生这种情况时，这类单位其实已经基本上是放弃了事件处置与应急处理，或者可以推测该等级保护对象的事件处置和应急处理应该是一塌糊涂。所谓的应急组织、应急预案等同虚设。

那么，我们回到等级保护工作的实质。如果，像这类单位在等级保护测评中，拿到的分数就算是100分，结论是优。其实，按照《网络安全法》一样会被处罚。从法理上说，监管部门指导应急过程中，会发现应急形同虚设，那么对应的《网络安全法》第二十五条处罚，而未对重要数据备份，则对应的《网络安全法》第二十一条，第（四）项。

所以，落实等级保护工作，不是拿到一纸备案，也不是测评报告上的得分。从来，也没有任何一条法律说做了有关工作就可以不处罚，这不是一个充要条件，只能证明一点，不做会被处罚，不按要求做一样被处罚。

合规需要的是要脚踏实地，落实到位又环环相扣，中途偷工减料或者应付，最终得的虚分再高，也是一场忽悠！如果报告与实际情况差距过大，那么涉嫌造假，引发更大的责任。同样，也不用找理由逃避责任，因为不明确责任人，单位一样是在违反《网络安全法》第二十一条。

这次网传事件的责任究竟该谁来承担，无论落在谁身上或许每个人都感觉自己是个背锅侠。那么，设计之处的“三同步”是如何落实的，方案是否考虑了数据备份与恢复，那么方案又是哪个专家评审的，有没有提出异议等等，出了这么低级的问题，肯定某个环节出问题了。那么，一个不能满足要求的方案又是如何付出实施的，实施过程中又有多少问题？一大堆问号应该得到解答！

谁来担责任，具体事件咱也不敢说，咱也不敢问。至少对于网络所有者是主体责任、直接责任，其次建设、运维等都有间接法律责任在里面。每次网络安全事件背后，都有一堆网络安全企业。

最后，我最想知道的是，这个网站最终定级是几级？是否开展了备案？有没有开展测评或风险评估？测评报告得分是多少？结论是什么？

那么，你的报告虚的分数再高，做的是等保吗？做的是《网络安全法》要求的等保吗？

以下图片，来自网络！