第一章 总则第一条 为加强计算机信息系统安全保护,促进计算机应用和信息化建设的健康发展,维护国家安全、社会公共利益和公民、法人及其他组织的合法权益,根据《中华人民共和国计算机信息系统安全保护条例》及有关法律、行政法规的规定,制定本条例。第二条 自治区行政区域内对计算机信息系统的安全保护,适用本条例。第三条 公安机关主管计算机信息系统的安全保护工作。
国家安全机关、保密行政管理部门、密码管理部门、信息化行政主管部门及其他有关部门,在各自职责范围内,依法负责计算机信息系统安全保护的相关工作。第四条 计算机信息系统运营、使用单位,应当依法履行计算机信息系统安全保护义务。
任何组织或者个人,不得利用计算机信息系统从事危害国家利益、社会公共利益和公民、法人及其他组织的合法权益的活动,不得危害计算机信息系统的安全。第二章 安全等级保护第五条 计算机信息系统实行安全等级保护制度。
计算机信息系统安全等级保护坚持自主定级、自主保护原则,由运营、使用单位按照下列标准自主定级:
(一)计算机信息系统受到破坏后,可能对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益的,为第一级;
(二)计算机信息系统受到破坏后,可能对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全的,为第二级;
(三)计算机信息系统受到破坏后,可能对社会秩序和公共利益造成严重损害,或者对国家安全造成损害的,为第三级;
(四)计算机信息系统受到破坏后,可能对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害的,为第四级;
(五)计算机信息系统受到破坏后,可能对国家安全造成特别严重损害的,为第五级。第六条 计算机信息系统涉及国家安全、社会公共利益、重大经济建设信息的,其运营、使用单位或者主管部门应当选择符合法定条件的安全等级测评机构,对计算机信息系统安全等级状况进行测评,准确核定信息系统安全保护等级。第七条 计算机信息系统运营、使用单位应当遵守下列规定:
(一)对计算机信息系统进行定级,并按照等级保护管理规范和技术标准实施保护;
(二)新建计算机信息系统的,在规划、设计阶段确定安全保护等级,同步建设符合该安全保护等级要求的信息安全保护设施,落实安全保护措施;
(三)按照计算机信息系统安全保护等级要求,使用取得国家销售许可证的信息安全专用技术产品;
(四)定期对本单位计算机信息系统的安全状况、保护制度和措施进行自查和整改;
(五)计算机信息系统确定为第二级以上保护等级的,应当制定重大突发事件应急处置预案;确定为第三级以上的,应当每年至少进行一次系统安全等级测评;
(六)指定专职人员负责本单位计算机信息系统的安全管理。专职人员应当通过设区的市以上公安机关、人力资源和社会保障部门的专业培训,并取得合格证。第八条 第二级以上计算机信息系统运营、使用单位,应当自确定安全等级之日起三十日内,将信息系统保护的具体措施,向所在地设区的市以上公安机关报送备案;属于跨设区的市或者自治区统一联网的计算机信息系统,还应当向自治区公安机关报送备案。
计算机信息系统的结构、处理流程、服务内容等发生变化,致使安全保护等级发生变化,或者因实际需要公安机关要求重新定级的,计算机信息系统运营、使用单位应当重新定级、重新备案。第九条 公安机关应当自收到备案材料之日起在十五个工作日内对报送备案的材料进行审查,对符合等级保护要求的,出具备案证明;对定级不准确或者保护措施不符合技术规范的,应当自收到备案材料之日起十五个工作日内书面通知报送单位予以纠正。第十条 计算机信息系统运营、使用单位应当落实下列安全保护技术措施:
(一)重要数据库和系统主要设备的冗余或者备份;
(二)计算机病毒的防治;
(三)网络攻击的防范和追踪;
(四)网络安全事件的监测和记录;
(五)身份登记和识别确认;
(六)用户账号和网络地址的记录;
(七)安全审计和预警;
(八)系统运行和用户使用日志记录的保存;
(九)信息群发的控制;
(十)有害信息、垃圾信息的防治;
(十一)法律、法规规定的其他技术保护措施。
鼓励计算机信息系统运营、使用单位采取先进的安全保护技术措施。
温馨提示:答案为网友推荐,仅供参考