存儲和處理國家秘密的信息系統為涉密信息系統,根據密級實行不同等級保護,其安全保密管理按照國家有關保密法律、法規和標準執行。第三條省、市、縣(含縣級市、區,下同)公安機關負責信息系統的安全管理。
國家安全、電信、保密、密碼管理等部門,在各自職責範圍內,做好信息系統安全管理工作。第四條信息系統運營使用單位應當確保計算機及其相關和支撐設備設施(包括網絡)的安全、運行環境和信息的安全,維護信息系統的安全運行。第五條任何組織或者個人不得實施危害信息系統安全的行為,不得利用信息系統從事危害國家安全、社會秩序和公共利益的活動,不得侵犯公民、法人和其他組織的合法權益。第六條省公安機關和省電信主管部門應當建立工作協調機制,完善信息安全保障措施。有關行政管理部門應當配合公安機關做好懲治危害信息系統安全違法犯罪的工作。第二章安全等級保護第七條信息系統應當實行安全等級保護制度。根據信息系統的重要性和對國家安全、社會秩序、公共利益以及公民、法人和其他組織合法權益的危害程度,信息系統分為以下五個等級:
(壹)信息系統遭到破壞,會損害公民、法人和其他組織的合法權益,但不會損害國家安全、社會秩序和公共利益,為第壹層次;
(二)信息系統遭到破壞,將對公民、法人和其他組織的合法權益造成嚴重損害,或者對社會秩序和公共利益造成損害,但不危害國家安全的,為第二級;
(三)信息系統被破壞後,將對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害的,為第三級;
(四)信息系統遭到破壞,將對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害的,為第四級;
(五)信息系統被破壞後,將對國家安全造成特別嚴重損害的,為第五級。第八條信息系統運營者和使用者應當根據國家信息系統安全等級保護管理規範和技術標準,遵循自主分級、自主保護、履行義務和責任的原則,確定信息系統安全保護等級。
跨省或者全國統壹網絡運行的信息系統,可以由信息系統運營和使用單位的主管部門統壹確定。第九條信息系統運營者和使用者應當按照國家信息系統安全等級保護相關技術規範,建立安全管理制度,落實安全保護技術措施,確定責任機構和人員。第十條信息系統運營和使用單位應當在規劃設計階段確定信息系統的安全保護等級,同時建設符合安全保護等級要求的安全設施,使用符合國家有關規定並能夠滿足安全保護等級要求的技術產品。
已經投入運行但不符合安全防護等級要求的,應當采取技術措施進行補救或者重建。第十壹條有下列情形之壹的,信息系統運營使用單位應當到當地公安機關備案:
(壹)已投入運行的二級以上信息系統,應當在安全保護等級確定後三十日內向市公安機關備案;新建的二級以上信息系統應當在投入運行後三十日內向市公安機關備案;
(二)屬於本省跨省或者全國統壹聯網運營的省級單位的分支系統和信息系統,由省級電信主管部門和省級單位向省級公安機關備案,省級分支機構的上級主管部門向國務院有關部門備案的除外;
(三)因信息系統結構、處理流程、服務內容等發生重大變化,安全保護等級發生變化的,應當自變化之日起30日內向原受理備案的公安機關重新備案。
公安機關應當自收到備案材料之日起十個工作日內進行審核。符合安全等級保護要求的,頒發《信息系統安全等級保護備案證書》;不符合安全等級保護要求的,書面告知並說明理由。第十二條信息系統運營者和使用者應當按照國家有關規定和技術標準,開展信息系統安全等級保護評估和自查。
信息系統運營使用單位應當將等級評估報告備案備查,同時向受理備案的公安機關備案。
未達到安全等級保護要求的,信息系統運營和使用單位應當及時整改。