教育行业网络安全等级保护法律法规参考
目录
1.《中华人民共和国网络安全法》
2.中华人民共和国公安部令(第 151 号)
3.《教育信息化 2.0 行动计划》
4.《2019 年教育信息化和网络安全工作要点》
5.中华人民共和国公安部令(第 151 号)
6.《教育行业信息系统安全等级保护定级工作
1.《中华人民共和国网络安全法》
第二十一条
国家实行网络安全等级保护制度。网络运营者应当按照网络安
全等级保护制度的要求,履行下列安全保护义务,保障网络免受干
扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡
改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责
人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络
安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措
施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
第三十一条
国家对公共通信和信息服务、能源、交通、水利、金融、公共
服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失
功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益
的关键信息基础设施,在网络安全等级保护制度的基础上,实行重
点保护。关键信息基础设施的具体范围和安全保护办法由国务院制
定。国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信
息基础设施保护体系。
第五十九条
网络运营者不履行本法第二十一条、第二十五条规定的网络安
全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或
者导致危害网络安全等后果的,处一万元以上十万元以下罚款;对
直接负责的主管人员处五千元以上五万元以下罚款。
关键信息基础设施的运营者不履行本法第三十三条、第三十四
条、第三十六条、第三十八条规定的网络安全保护义务的,由有关
主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等
后果的,处十万元以上一百万元以下罚款;对直接负责的主管人员
处一万元以上十万元以下罚款。
2.中华人民共和国公安部令(第 151 号)
第十条 公安机关应当根据互联网服务提供者和联网使用单位履
行法定网络安全义务的实际情况,依照国家有关规定和标准,对下
列内容进行监督检查:
3
(一)是否办理联网单位备案手续,并报送接入单位和用户基
本信息及其变更情况;
(二)是否制定并落实网络安全管理制度和操作规程,确定网
络安全负责人;
(三)是否依法采取记录并留存用户注册信息和上网日志信息
的技术措施;
(四)是否采取防范计算机病毒和网络攻击、网络侵入等技术
措施;
(五)是否在公共信息服务中对法律、行政法规禁止发布或者
传输的信息依法采取相关防范措施;
(六)是否按照法律规定的要求为公安机关依法维护国家安全、
防范调查恐怖活动、侦查犯罪提供技术支持和协助;
(七)是否履行法律、行政法规规定的网络安全等级保护等义
务。
第十一条 除本规定第十条所列内容外,公安机关还应当根据提
供互联网服务的类型,对下列内容进行监督检查:
(六)对提供互联网公共上网服务的,监督检查是否采取符合
国家标准的网络与信息安全保护技术措施。
第十二条 在国家重大网络安全保卫任务期间,对与国家重大
网络安全保卫任务相关的互联网服务提供者和联网使用单位,公安
机关可以对下列内容开展专项安全监督检查:
(一)是否制定重大网络安全保卫任务所要求的工作方案、明
确网络安全责任分工并确定网络安全管理人员;
(二)是否组织开展网络安全风险评估,并采取相应风险管控
措施堵塞网络安全漏洞隐患;
(三)是否制定网络安全应急处置预案并组织开展应急演练,
应急处置相关设施是否完备有效;
(四)是否依法采取重大网络安全保卫任务所需要的其他网络
安全防范措施;
(五)是否按照要求向公安机关报告网络安全防范措施及落实
情况。
3.《教育信息化 2.0 行动计划》
(五)担当责任,保障安全
加强教育系统党组织对网络安全和信息化工作的领导,明确主
要负责人为网络安全工作的第一负责人,建立网络安全和信息化统
筹协调的领导体制,做到网络安全和信息化统一谋划、统筹推进。
完善网络安全监督考核机制,将网络安全工作纳入对领导班子、干
部的考核当中。以《网络安全法》等法律法规为纲,全面提高教育
系统网络安全防护能力。全面落实网络安全等级保护制度,深入开
展网络安全监测预警,提高网络安全态势感知水平。做好关键信息
基础设施保障,重点保障数据和信息安全,强化隐私保护,建立严
密保护、逐层开放、有序共享的良性机制,切实维护好广大师生的
切身利益。
4.《2019 年教育信息化和网络安全工作要点》
32.深入贯彻落实《网络安全法》
根据落实网络安全等级保护制度的要求,进一步完善相关管理
制度和标准规范。持续推进网络安全监测预警通报机制,建立常态
化的通用软件安全评估机制;完善网络安全信息通报机制,加强与
省级教育行政部门的信息共享,提高安全威胁信息的质量和针对性。
33.加强教育系统数据安全防护能力
研究制定教育部直属机关数据安全管理办法。建立数据分级保
障的工作机制,加强数据全生命周期管理。开展数据安全专项整治
行动,全面排查个人信息保护存在的安全隐患。
34.推进关键信息基础设施保障工作
研究制定关键信息基础设施保护规划,制定关键信息基础设施
识别认定指南,开展教育系统关键信息基础设施认定工作,明确教
育系统关键信息基础设施名单。组织关键信息基础设施网络安全应
急演练和安全评估,切实提高关键信息基础设施保障水平。
6
5.中华人民共和国公安部令(第 151 号)
建立教育信息化公共安全保障环境。加强基础设施设备和信息
系统的安全防范措施,不断提高对恶意攻击、非法入侵等的预防和
应急响应能力,保证基础设施设备和信息系统稳定可靠运行。
建立国家级教育管理基础数据库和信息系统。建设国家教育基
础数据库和国家级教育管理信息系统,实现对教育质量、招生考试、
学生流动、资源配置和毕业生就业等状况的有效监管,提供教育考
试评价服务。建设网络信息安全与运行维护保障体系。
推动地方政府建立教育管理基础数据库和信息系统。开展省级
教育管理基础数据库和管理信息系统建设,建设网络信息安全与运
行维护保障体系,并实现与国家级系统的有机衔接。推动省级教育
行政部门建设云教育管理服务平台,基于云服务模式,为本地区相
关教育机构和各级各类学校提供管理信息系统等业务应用服务。
实现系统整合与数据共享。建立教育管理信息标准与编码规范,
建立数据采集、交换共享、管理与应用的技术平台与工作机制,建
立教育管理信息安全保障体系,衔接各级各类教育管理信息系统与
基础数据库,实现系统互联与数据互通,建设纵向贯通、横向关联
的教育管理信息化体系。
完善信息安全保障。制定和实施网络与信息安全建设管理规范,
建立全方位安全保障体系,确保教育管理、教学和服务等信息系统
安全。
7
6.《教育行业信息系统安全等级保护定级工作
指南(试行)》
根据《教育行业信息系统安全等级保护定级工作指南(试
行)》要求:
学校信息系统根据办学规模、社会影响力、业务类型三个维度
分析受到破坏后造成的危害程度。
办学规模与危害程度分析。办学规模与信息系统受到破坏后造
成的危害程度正相关,规模越大则危害程度越严重,高等学校信息
系统大于中小学校信息系统。
社会影响力与危害程度分析。社会影响力与信息系统受到破坏
后造成的危害程度正相关,影响力越大则危害程度越严重,“985
工程”学校和“211 工程”学校大于其他高等学校。
业务类型与危害程度分析。承载教育教学管理与服务核心业务
的信息系统较承载一般业务的信息系统受到破坏后造成的危害程度
严重。教育教学管理与服务的核心业务包括学籍学历管理、学位管
理、招生录取管理、考试考务管理、教师管理、门户网站管理等。
业务连续性与危害程度分析。业务的连续性要求与信息系统受
到破坏后造成的危害程度正相关,连续性要求越高,其受破坏危害越
严重;
业务数据重要性与危害程度分析。业务数据的重要性要求与信
息系统受到破坏后造成的危害程度正相关,涉及的国家安全、个人隐
私和相关数据的信息系统,其受破坏危害更严重。