教育行业网络安全等级保护法律法规参考

目录

1.《中华人民共和国网络安全法》

2.中华人民共和国公安部令(第 151 号)

3.《教育信息化 2.0 行动计划》

4.《2019 年教育信息化和网络安全工作要点》

5.中华人民共和国公安部令(第 151 号)

6.《教育行业信息系统安全等级保护定级工作


1.《中华人民共和国网络安全法》

第二十一条

国家实行网络安全等级保护制度。网络运营者应当按照网络安

全等级保护制度的要求,履行下列安全保护义务,保障网络免受干

扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡

改:

(一)制定内部安全管理制度和操作规程,确定网络安全负责

人,落实网络安全保护责任;

(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络

安全行为的技术措施;

(三)采取监测、记录网络运行状态、网络安全事件的技术措

施,并按照规定留存相关的网络日志不少于六个月;

(四)采取数据分类、重要数据备份和加密等措施;

(五)法律、行政法规规定的其他义务。

第三十一条

国家对公共通信和信息服务、能源、交通、水利、金融、公共

服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失

功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益

的关键信息基础设施,在网络安全等级保护制度的基础上,实行重

点保护。关键信息基础设施的具体范围和安全保护办法由国务院制

定。国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信

息基础设施保护体系。

第五十九条

网络运营者不履行本法第二十一条、第二十五条规定的网络安

全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或

者导致危害网络安全等后果的,处一万元以上十万元以下罚款;对

直接负责的主管人员处五千元以上五万元以下罚款。

关键信息基础设施的运营者不履行本法第三十三条、第三十四

条、第三十六条、第三十八条规定的网络安全保护义务的,由有关

主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等

后果的,处十万元以上一百万元以下罚款;对直接负责的主管人员

处一万元以上十万元以下罚款。

2.中华人民共和国公安部令(第 151 号)

第十条 公安机关应当根据互联网服务提供者和联网使用单位履

行法定网络安全义务的实际情况,依照国家有关规定和标准,对下

列内容进行监督检查:

3  

(一)是否办理联网单位备案手续,并报送接入单位和用户基

本信息及其变更情况;

(二)是否制定并落实网络安全管理制度和操作规程,确定网

络安全负责人;

(三)是否依法采取记录并留存用户注册信息和上网日志信息

的技术措施;

(四)是否采取防范计算机病毒和网络攻击、网络侵入等技术

措施;

(五)是否在公共信息服务中对法律、行政法规禁止发布或者

传输的信息依法采取相关防范措施;

(六)是否按照法律规定的要求为公安机关依法维护国家安全、

防范调查恐怖活动、侦查犯罪提供技术支持和协助;

(七)是否履行法律、行政法规规定的网络安全等级保护等义

务。

第十一条 除本规定第十条所列内容外,公安机关还应当根据提

供互联网服务的类型,对下列内容进行监督检查:

(六)对提供互联网公共上网服务的,监督检查是否采取符合

国家标准的网络与信息安全保护技术措施。

第十二条 在国家重大网络安全保卫任务期间,对与国家重大

网络安全保卫任务相关的互联网服务提供者和联网使用单位,公安

机关可以对下列内容开展专项安全监督检查:

(一)是否制定重大网络安全保卫任务所要求的工作方案、明

确网络安全责任分工并确定网络安全管理人员;

(二)是否组织开展网络安全风险评估,并采取相应风险管控

措施堵塞网络安全漏洞隐患;

(三)是否制定网络安全应急处置预案并组织开展应急演练,

应急处置相关设施是否完备有效;

(四)是否依法采取重大网络安全保卫任务所需要的其他网络

安全防范措施;

(五)是否按照要求向公安机关报告网络安全防范措施及落实

情况。

3.《教育信息化 2.0 行动计划》

(五)担当责任,保障安全

加强教育系统党组织对网络安全和信息化工作的领导,明确主

要负责人为网络安全工作的第一负责人,建立网络安全和信息化统

筹协调的领导体制,做到网络安全和信息化统一谋划、统筹推进。

完善网络安全监督考核机制,将网络安全工作纳入对领导班子、干

部的考核当中。以《网络安全法》等法律法规为纲,全面提高教育

系统网络安全防护能力。全面落实网络安全等级保护制度,深入开

展网络安全监测预警,提高网络安全态势感知水平。做好关键信息

基础设施保障,重点保障数据和信息安全,强化隐私保护,建立严

密保护、逐层开放、有序共享的良性机制,切实维护好广大师生的

切身利益。

4.《2019 年教育信息化和网络安全工作要点》

32.深入贯彻落实《网络安全法》

根据落实网络安全等级保护制度的要求,进一步完善相关管理

制度和标准规范。持续推进网络安全监测预警通报机制,建立常态

化的通用软件安全评估机制;完善网络安全信息通报机制,加强与

省级教育行政部门的信息共享,提高安全威胁信息的质量和针对性。

33.加强教育系统数据安全防护能力

研究制定教育部直属机关数据安全管理办法。建立数据分级保

障的工作机制,加强数据全生命周期管理。开展数据安全专项整治

行动,全面排查个人信息保护存在的安全隐患。

34.推进关键信息基础设施保障工作

研究制定关键信息基础设施保护规划,制定关键信息基础设施

识别认定指南,开展教育系统关键信息基础设施认定工作,明确教

育系统关键信息基础设施名单。组织关键信息基础设施网络安全应

急演练和安全评估,切实提高关键信息基础设施保障水平。

6  

5.中华人民共和国公安部令(第 151 号)

建立教育信息化公共安全保障环境。加强基础设施设备和信息

系统的安全防范措施,不断提高对恶意攻击、非法入侵等的预防和

应急响应能力,保证基础设施设备和信息系统稳定可靠运行。

建立国家级教育管理基础数据库和信息系统。建设国家教育基

础数据库和国家级教育管理信息系统,实现对教育质量、招生考试、

学生流动、资源配置和毕业生就业等状况的有效监管,提供教育考

试评价服务。建设网络信息安全与运行维护保障体系。

推动地方政府建立教育管理基础数据库和信息系统。开展省级

教育管理基础数据库和管理信息系统建设,建设网络信息安全与运

行维护保障体系,并实现与国家级系统的有机衔接。推动省级教育

行政部门建设云教育管理服务平台,基于云服务模式,为本地区相

关教育机构和各级各类学校提供管理信息系统等业务应用服务。

实现系统整合与数据共享。建立教育管理信息标准与编码规范,

建立数据采集、交换共享、管理与应用的技术平台与工作机制,建

立教育管理信息安全保障体系,衔接各级各类教育管理信息系统与

基础数据库,实现系统互联与数据互通,建设纵向贯通、横向关联

的教育管理信息化体系。

完善信息安全保障。制定和实施网络与信息安全建设管理规范,

建立全方位安全保障体系,确保教育管理、教学和服务等信息系统

安全。

7  

6.《教育行业信息系统安全等级保护定级工作

指南(试行)》

根据《教育行业信息系统安全等级保护定级工作指南(试

行)》要求:

学校信息系统根据办学规模、社会影响力、业务类型三个维度

分析受到破坏后造成的危害程度。

办学规模与危害程度分析。办学规模与信息系统受到破坏后造

成的危害程度正相关,规模越大则危害程度越严重,高等学校信息

系统大于中小学校信息系统。

社会影响力与危害程度分析。社会影响力与信息系统受到破坏

后造成的危害程度正相关,影响力越大则危害程度越严重,“985

工程”学校和“211 工程”学校大于其他高等学校。

业务类型与危害程度分析。承载教育教学管理与服务核心业务

的信息系统较承载一般业务的信息系统受到破坏后造成的危害程度

严重。教育教学管理与服务的核心业务包括学籍学历管理、学位管

理、招生录取管理、考试考务管理、教师管理、门户网站管理等。

业务连续性与危害程度分析。业务的连续性要求与信息系统受

到破坏后造成的危害程度正相关,连续性要求越高,其受破坏危害越

严重;

业务数据重要性与危害程度分析。业务数据的重要性要求与信

息系统受到破坏后造成的危害程度正相关,涉及的国家安全、个人隐

私和相关数据的信息系统,其受破坏危害更严重。

你可能感兴趣的:(等级保护,安全,网络,其他,经验分享)