縣級以上人民政府國家安全機關、保密部門、密碼管理部門和其他有關部門應當在各自的職責範圍內做好計算機信息系統安全保護工作。第六條任何組織或者個人不得利用計算機信息系統從事危害國家安全、社會秩序、公共利益以及公民、法人和其他組織合法權益的活動,不得危害計算機信息系統安全。第二章安全管理第七條計算機信息系統應當實行安全等級保護。
計算機信息系統安全等級保護按照國家標準和要求,堅持獨立分級和獨立保護的原則。第八條計算機信息系統安全保護等級根據計算機信息系統在國家安全、經濟建設和社會生活中的重要程度,以及計算機信息系統對國家安全、社會秩序、公共利益和公民、法人及其他組織合法權益的危害程度確定,分為五個等級:
(壹)計算機信息系統受到破壞,可能對公民、法人和其他組織的合法權益造成損害,但未危害國家安全、社會秩序和公共利益的,為第壹級;
(二)計算機信息系統被破壞後,可能對公民、法人和其他組織的合法權益造成嚴重損害,或者可能對社會秩序和公共利益造成損害,但不危害國家安全的,為第二級;
(三)計算機信息系統被破壞後,可能對社會秩序和公共利益造成嚴重損害,或者可能對國家安全造成損害的,為第三級;
(四)計算機信息系統被破壞後,可能對社會秩序和公共利益造成特別嚴重損害,或者可能對國家安全造成嚴重損害的,為第四級;
(五)計算機信息系統被破壞後,可能對國家安全造成特別嚴重損害的,為第五級。第九條計算機信息系統的規劃、設計、建設和維護應當同時落實相應的安全措施,使用符合國家有關規定、符合計算機信息系統安全保護要求的信息技術產品。第十條計算機信息系統運營、使用單位應當按照國家有關規定,建立健全計算機信息系統安全管理制度,確定安全管理責任人,負責計算機信息系統的安全保護。
計算機信息系統信息服務提供者應當設立信息審查員,負責信息審查工作。第十壹條二級以上計算機信息系統運營、使用單位應當建立安全保護組織,並報地級以上市人民政府公安機關備案。第十二條二級以上計算機信息系統建設完成後,運營使用單位或者其主管部門應當選擇符合國家規定的安全等級評估機構,按照國家規定的技術標準,對計算機信息系統的安全等級進行等級評估。只有通過評估後才能投入使用。第十三條計算機信息系統運營、使用單位及其主管部門應當按照國家規定,定期開展計算機信息系統安全等級評估,對計算機信息系統的安全狀況和安全管理制度、措施的落實情況進行自查。
計算機信息系統安全狀況經評估或者自查不符合安全等級保護要求的,運營使用單位應當進行整改。第十四條二級以上的計算機信息系統,由運行使用單位在運行後三十日內,向地級以上市人民政府公安機關備案。第十五條備案的計算機信息系統,符合安全等級保護要求的,公安機關應當自收到備案材料之日起十個工作日內出具計算機信息系統安全等級保護證明;不符合安全等級保護要求的,應當自收到備案材料之日起十個工作日內通知備案單位補正。
運營使用單位或者其主管部門重新確定計算機信息系統等級的,應當依照本條例向公安機關重新備案。第十六條計算機信息系統運營、使用單位應當接受公安機關和國家指定的專門部門的安全監督、檢查和指導,並按照國家有關規定如實提供與計算機信息系統安全保護有關的信息、資料和數據文件。
對於計算機信息系統發生的案件和重大安全事故,計算機信息系統的運營和使用單位應當在24小時內向縣級以上人民政府公安機關報告,並保存相關原始記錄。