本辦法所稱信息系統,是指由計算機、信息網絡及其配套的設施、設備構成的,按照壹定的應用目標和規則對信息進行存儲、傳輸、處理的運行體系。第五條 信息安全等級保護應當遵循分級實施、明確責任、確保安全的原則;重點保障基礎信息網絡和重要信息系統各類信息的安全性和信息處理的連續性。
信息系統應當按照信息安全等級保護的要求,實行同步建設、動態調整、誰運行誰負責的原則。第六條 縣級以上人民政府應當加強對信息安全等級保護工作的領導,把信息安全等級保護納入信息化建設規劃,協調、解決有關重大問題,建立必要的資金和技術的保障機制。第七條 縣級以上人民政府公安、國家安全、保密、密碼、信息化等行政主管部門應當按照國家和本辦法規定,履行監督管理職責。
縣級以上人民政府其他相關部門,應當按照職責分工,落實信息安全等級保護管理的責任,配合做好相關工作。第二章 等級保護的分級與實施第八條 根據信息系統承載的信息的重要性、業務處理對系統的依賴性以及系統遭到破壞後對經濟、社會的危害程度,確定信息系統相應的保護等級。
信息系統的保護等級分為以下五級:
(壹)信息系統承載的信息涉及公民、法人和其他組織的權益,信息系統遭到破壞後,業務可以直接用其他方式替代處理,對公民、法人和其他組織的權益有壹定影響,但不損害國家安全、社會秩序、經濟建設和公***利益的,為壹級保護,由運營單位自主保護;
(二)信息系統承載的信息直接涉及公民、法人和其他組織的權益,信息系統遭到破壞後,會影響業務的正常處理,並對國家安全、社會秩序、經濟建設和公***利益造成壹定損害的,為二級保護,由運營單位在信息安全等級保護工作監管部門的指導下進行保護;
(三)信息系統承載的信息涉及國家、社會和公***利益,信息系統遭到破壞後,會嚴重影響業務的正常處理,並對國家安全、社會秩序、經濟建設和公***利益造成較大損害的,為三級保護,由運營單位在信息安全等級保護工作監管部門的監督下進行保護;
(四)信息系統承載的信息直接涉及國家、社會和公***利益,信息系統遭到破壞後,業務無法正常處理,並對國家安全、社會秩序、經濟建設和公***利益造成嚴重損害的,為四級保護,由運營單位按照信息安全等級保護工作監管部門的強制要求進行保護;
(五)信息系統承載的信息直接關系國家安全、社會穩定、經濟建設和運行,信息系統遭到破壞後,會對國家安全、社會秩序、經濟建設和公***利益造成特別嚴重損害的,為五級保護,由運營單位在國家指定的專門部門、專門機構的專控下進行保護。第九條 信息系統的建設、運營、使用單位,應當按照國家有關技術規範、標準和本辦法第八條規定自行選定其信息系統相應的保護等級。
基礎信息網絡和重要信息系統的保護等級,建設單位應當在信息系統規劃設計時,按照本辦法第十條規定報經審定。第十條 基礎信息網絡和重要信息系統保護等級,實行專家評審制度。
省、設區的市信息化行政主管部門應當分別建立省、市信息系統保護等級專家評審組,並分別組織對關系全省和關系全市的基礎信息網絡和重要信息系統的保護等級進行審定。申報與審定的具體細則,由省信息化行政主管部門會同省公安部門制定,並報省人民政府備案。第十壹條 對於包含多個子系統的信息系統,應當根據各子系統的重要程度分別確定保護等級。第十二條 信息系統建設完成後,其運營、使用單位應當按照國家有關技術規範和標準進行安全測評,符合要求的,方可投入使用。