本辦法所稱信息系統,是指由計算機、信息網絡及其配套設施設備組成的,按照壹定的應用目標和規則存儲、傳輸和處理信息的操作系統。第五條信息安全等級保護應當遵循分級實施、明確責任、確保安全的原則。重點保障基礎信息網絡和重要信息系統中各類信息的安全性和信息處理的連續性。
信息系統應當按照信息安全等級保護的要求,實行同步建設、動態調整、誰運行誰負責的原則。第六條縣級以上人民政府應當加強對信息安全等級保護工作的領導,將信息安全等級保護納入信息化建設規劃,協調解決相關重大問題,建立必要的經費和技術保障機制。第七條縣級以上人民政府公安、國家安全、保密、密碼、信息化等行政管理部門應當依照國家和本辦法的規定履行監督管理職責。
縣級以上人民政府其他有關部門應當按照職責分工,落實信息安全等級保護管理責任,配合做好相關工作。第二章分級保護的分類和實施第八條根據信息系統承載信息的重要性、業務處理對系統的依賴程度以及系統被破壞後對經濟社會的危害程度,確定信息系統相應的保護等級。
信息系統的保護級別分為以下五個等級:
(壹)信息系統承載的信息涉及公民、法人和其他組織權益的。信息系統受損後,可通過其他方式直接更換業務,對公民、法人和其他組織的權益造成壹定影響,但不危害國家安全、社會秩序、經濟建設和公共利益的,為壹級保護,由運營單位自主保護;
(2)信息系統承載的信息直接涉及公民、法人和其他組織的權益。信息系統遭到破壞,影響業務正常辦理,對國家安全、社會秩序、經濟建設和公共利益造成壹定損害的,屬於二級保護,運營單位在信息安全等級保護監管部門的指導下進行保護;
(三)信息系統承載的信息涉及國家、社會和公眾利益的。如果信息系統遭到破壞,將嚴重影響業務的正常辦理,對國家安全、社會秩序、經濟建設和公眾利益造成巨大損害。是三級保護,運營單位會在信息安全等級保護監管部門的監管下進行保護;
(4)信息系統承載的信息直接涉及國家、社會和公眾利益。信息系統被破壞後,業務無法正常辦理,對國家安全、社會秩序、經濟建設和公眾利益造成了嚴重損害。是四級保護,運營單位會按照信息安全等級保護監管部門的強制性要求進行保護;
(5)信息系統所承載的信息直接關系到國家安全、社會穩定、經濟建設和運行。如果信息系統遭到破壞,將對國家安全、社會秩序、經濟建設和公共利益造成特別嚴重的損害。是五級保護,運營單位會在國家指定的專門部門和專門機構的專屬控制下進行保護。第九條信息系統建設、運營和使用單位應當按照國家有關技術規範和標準以及本辦法第八條的規定,自主選擇其信息系統相應的保護等級。
基礎信息網絡和重要信息系統的保護等級,建設單位應當在信息系統規劃設計時,按照本辦法第十條的規定上報審批。第十條基礎信息網絡和重要信息系統的保護等級,實行專家評估制度。
省、設區的市信息化主管部門應當分別成立省、市信息系統保護等級專家評審組,分別組織對涉及全省、全市的基礎信息網絡和重要信息系統的保護等級進行審定。申報和審批的具體規則由省信息化行政主管部門會同省公安廳制定,並報省人民政府備案。第十壹條對於包含多個子系統的信息系統,應根據各子系統的重要性確定保護級別。第十二條信息系統建設完成後,其運營和使用單位應當按照國家有關技術規範和標準進行安全評估,符合要求後方可投入使用。