存儲、處理國家秘密的信息系統為涉密信息系統,按照涉密程度實行分級保護,其安全保密管理按照國家有關保密法律、法規和標準執行。第三條 省、市、縣(含縣級市、區,下同)公安機關負責信息系統安全管理工作。
國家安全、電信、保密、密碼管理等部門,在各自職責範圍內做好信息系統安全管理的有關工作。第四條 信息系統運營、使用單位應當保障計算機及其相關和配套的設備、設施(含網絡)安全,運行環境安全和信息安全,維護信息系統安全運行。第五條 任何組織和個人不得實施危害信息系統安全的行為,不得利用信息系統從事危害國家安全、社會秩序和公***利益,以及侵害公民、法人和其他組織合法權益的活動。第六條 省公安機關和省電信主管部門應當建立工作協調機制,完善信息安全保障措施。有關行政部門應當配合公安機關做好懲治侵害信息系統安全違法犯罪的工作。第二章 安全等級保護第七條 信息系統實行安全等級保護制度。根據信息系統的重要程度和信息系統受到破壞後對國家安全、社會秩序和公***利益,以及公民、法人和其他組織的合法權益的危害程度等因素,分為下列五級:
(壹)信息系統受到破壞後,將對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公***利益的,為第壹級;
(二)信息系統受到破壞後,將對公民、法人和其他組織的合法權益造成嚴重損害,或者對社會秩序和公***利益造成損害,但不損害國家安全的,為第二級;
(三)信息系統受到破壞後,將對社會秩序和公***利益造成嚴重損害,或者對國家安全造成損害的,為第三級;
(四)信息系統受到破壞後,將對社會秩序和公***利益造成特別嚴重損害,或者對國家安全造成嚴重損害的,為第四級;
(五)信息系統受到破壞後,將對國家安全造成特別嚴重損害的,為第五級。第八條 信息系統運營、使用單位應當依據國家信息系統安全等級保護管理規範和技術標準,按照自主定級、自主保護、履行義務、承擔責任的原則,確定信息系統安全保護等級。
跨省或者全國統壹聯網運行的信息系統,可以由信息系統運營、使用單位的主管部門統壹確定安全保護等級。第九條 信息系統運營、使用單位應當按照國家信息系統安全等級保護的有關技術規範,建立安全管理制度,落實安全保護技術措施,確定責任機構和人員。第十條 信息系統運營、使用單位應當在規劃、設計階段,確定信息系統的安全保護等級,同步建設符合該安全保護等級要求的安全設施,使用符合國家有關規定並能夠滿足安全保護等級要求的技術產品。
對已經投入運行但不符合安全保護等級要求的,應當采取技術措施補救或者改建。第十壹條 有下列情形之壹的,信息系統運營、使用單位應當到所在地公安機關備案:
(壹)已投入運行的第二級以上的信息系統,應當在安全保護等級確定後三十日內,到市公安機關備案;新建成的第二級以上的信息系統,應當在投入運行後三十日內,到市公安機關備案;
(二)屬於跨省或者全國統壹聯網運行的信息系統在本省運行、應用的分支系統以及省直單位信息系統,由省電信主管部門、省直單位到省公安機關備案,但省級分支機構的上級主管部門已到國務院有關部門備案的除外;
(三)屬於因信息系統的結構、處理流程、服務內容等發生重大變化,導致安全保護等級變更的,應當自變更之日起三十日內,到原受理備案的公安機關重新備案。
公安機關應當自收到備案材料之日起十個工作日內進行審核。符合安全等級保護要求的,頒發《信息系統安全等級保護備案證明》;不符合安全等級保護要求的,書面告知並說明理由。第十二條 信息系統運營、使用單位應當按照國家有關規定和技術標準,開展信息系統安全等級保護測評和自查工作。
信息系統運營、使用單位應當將等級測評報告存檔備查,同時到受理備案的公安機關備案。
未達到安全等級保護要求的,信息系統運營、使用單位應當及時進行整改。