國家安全機關、保密行政管理部門、密碼管理部門、信息化行政主管部門及其他有關部門,在各自職責範圍內,依法負責計算機信息系統安全保護的相關工作。第四條 計算機信息系統運營、使用單位,應當依法履行計算機信息系統安全保護義務。
任何組織或者個人,不得利用計算機信息系統從事危害國家利益、社會公***利益和公民、法人及其他組織的合法權益的活動,不得危害計算機信息系統的安全。第二章 安全等級保護第五條 計算機信息系統實行安全等級保護制度。
計算機信息系統安全等級保護堅持自主定級、自主保護原則,由運營、使用單位按照下列標準自主定級:
(壹)計算機信息系統受到破壞後,可能對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公***利益的,為第壹級;
(二)計算機信息系統受到破壞後,可能對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公***利益造成損害,但不損害國家安全的,為第二級;
(三)計算機信息系統受到破壞後,可能對社會秩序和公***利益造成嚴重損害,或者對國家安全造成損害的,為第三級;
(四)計算機信息系統受到破壞後,可能對社會秩序和公***利益造成特別嚴重損害,或者對國家安全造成嚴重損害的,為第四級;
(五)計算機信息系統受到破壞後,可能對國家安全造成特別嚴重損害的,為第五級。第六條 計算機信息系統涉及國家安全、社會公***利益、重大經濟建設信息的,其運營、使用單位或者主管部門應當選擇符合法定條件的安全等級測評機構,對計算機信息系統安全等級狀況進行測評,準確核定信息系統安全保護等級。第七條 計算機信息系統運營、使用單位應當遵守下列規定:
(壹)對計算機信息系統進行定級,並按照等級保護管理規範和技術標準實施保護;
(二)新建計算機信息系統的,在規劃、設計階段確定安全保護等級,同步建設符合該安全保護等級要求的信息安全保護設施,落實安全保護措施;
(三)按照計算機信息系統安全保護等級要求,使用取得國家銷售許可證的信息安全專用技術產品;
(四)定期對本單位計算機信息系統的安全狀況、保護制度和措施進行自查和整改;
(五)計算機信息系統確定為第二級以上保護等級的,應當制定重大突發事件應急處置預案;確定為第三級以上的,應當每年至少進行壹次系統安全等級測評;
(六)指定專職人員負責本單位計算機信息系統的安全管理。專職人員應當通過設區的市以上公安機關、人力資源和社會保障部門的專業培訓,並取得合格證。第八條 第二級以上計算機信息系統運營、使用單位,應當自確定安全等級之日起三十日內,將信息系統保護的具體措施,向所在地設區的市以上公安機關報送備案;屬於跨設區的市或者自治區統壹聯網的計算機信息系統,還應當向自治區公安機關報送備案。
計算機信息系統的結構、處理流程、服務內容等發生變化,致使安全保護等級發生變化,或者因實際需要公安機關要求重新定級的,計算機信息系統運營、使用單位應當重新定級、重新備案。第九條 公安機關應當自收到備案材料之日起在十五個工作日內對報送備案的材料進行審查,對符合等級保護要求的,出具備案證明;對定級不準確或者保護措施不符合技術規範的,應當自收到備案材料之日起十五個工作日內書面通知報送單位予以糾正。第十條 計算機信息系統運營、使用單位應當落實下列安全保護技術措施:
(壹)重要數據庫和系統主要設備的冗余或者備份;
(二)計算機病毒的防治;
(三)網絡攻擊的防範和追蹤;
(四)網絡安全事件的監測和記錄;
(五)身份登記和識別確認;
(六)用戶賬號和網絡地址的記錄;
(七)安全審計和預警;
(八)系統運行和用戶使用日誌記錄的保存;
(九)信息群發的控制;
(十)有害信息、垃圾信息的防治;
(十壹)法律、法規規定的其他技術保護措施。
鼓勵計算機信息系統運營、使用單位采取先進的安全保護技術措施。