浙江省政府令223號
頒布時間:2006-09-30 13:26:09.000 發(fā)文單位:浙江省人民政府
《浙江省信息安全等級保護管理辦法》已經省人民政府第77次常務會議審議通過,現予公布,自2007年1月1日起施行。
省長 呂祖善
二○○六年九月三十日
浙江省信息安全等級保護管理辦法
第一章總則
第一條為加強和規(guī)范信息安全等級保護管理,提高信息安全保障能力,維護國家安全、公共利益和社會穩(wěn)定,促進信息化建設,根據國家有關規(guī)定,結合本省實際,制定本辦法。
第二條本省行政區(qū)域內建設、運營、使用信息系統(tǒng)的單位,均須遵守本辦法。
第三條本辦法所稱信息安全等級保護,是指按國家規(guī)定對需要實行安全等級保護的各類信息的存儲、傳輸、處理的信息系統(tǒng)進行相應的等級保護,對信息系統(tǒng)中發(fā)生的信息安全突發(fā)公共事件實行分等級響應和處置的安全保障制度。
第四條本辦法所稱信息,是指通過信息系統(tǒng)進行存儲、傳輸、處理的語言、文字、聲音、圖像、數字等資料。
本辦法所稱信息系統(tǒng),是指由計算機、信息網絡及其配套的設施、設備構成的,按照一定的應用目標和規(guī)則對信息進行存儲、傳輸、處理的運行體系。
第五條信息安全等級保護應當遵循分級實施、明確責任、確保安全的原則;重點保障基礎信息網絡和重要信息系統(tǒng)各類信息的安全性和信息處理的連續(xù)性。
信息系統(tǒng)應當按照信息安全等級保護的要求,實行同步建設、動態(tài)調整、誰運行誰負責的原則。
第六條縣級以上人民政府應當加強對信息安全等級保護工作的領導,把信息安全等級保護納入信息化建設規(guī)劃,協(xié)調、解決有關重大問題,建立必要的資金和技術的保障機制。
第七條縣級以上人民政府公安、國家安全、保密、密碼、信息化等行政主管部門應當按照國家和本辦法規(guī)定,履行監(jiān)督管理職責。
縣級以上人民政府其他相關部門,應當按照職責分工,落實信息安全等級保護管理的責任,配合做好相關工作。
第二章等級保護的分級與實施
第八條根據信息系統(tǒng)承載的信息的重要性、業(yè)務處理對系統(tǒng)的依賴性以及系統(tǒng)遭到破壞后對經濟、社會的危害程度,確定信息系統(tǒng)相應的保護等級。
信息系統(tǒng)的保護等級分為以下五級:
?。ㄒ唬┬畔⑾到y(tǒng)承載的信息涉及公民、法人和其他組織的權益,信息系統(tǒng)遭到破壞后,業(yè)務可以直接用其他方式替代處理,對公民、法人和其他組織的權益有一定影響,但不損害國家安全、社會秩序、經濟建設和公共利益的,為一級保護,由運營單位自主保護;
?。ǘ┬畔⑾到y(tǒng)承載的信息直接涉及公民、法人和其他組織的權益,信息系統(tǒng)遭到破壞后,會影響業(yè)務的正常處理,并對國家安全、社會秩序、經濟建設和公共利益造成一定損害的,為二級保護,由運營單位在信息安全等級保護工作監(jiān)管部門的指導下進行保護;
(三)信息系統(tǒng)承載的信息涉及國家、社會和公共利益,信息系統(tǒng)遭到破壞后,會嚴重影響業(yè)務的正常處理,并對國家安全、社會秩序、經濟建設和公共利益造成較大損害的,為三級保護,由運營單位在信息安全等級保護工作監(jiān)管部門的監(jiān)督下進行保護;
?。ㄋ模┬畔⑾到y(tǒng)承載的信息直接涉及國家、社會和公共利益,信息系統(tǒng)遭到破壞后,業(yè)務無法正常處理,并對國家安全、社會秩序、經濟建設和公共利益造成嚴重損害的,為四級保護,由運營單位按照信息安全等級保護工作監(jiān)管部門的強制要求進行保護;
?。ㄎ澹┬畔⑾到y(tǒng)承載的信息直接關系國家安全、社會穩(wěn)定、經濟建設和運行,信息系統(tǒng)遭到破壞后,會對國家安全、社會秩序、經濟建設和公共利益造成特別嚴重損害的,為五級保護,由運營單位在國家指定的專門部門、專門機構的??叵逻M行保護。
第九條信息系統(tǒng)的建設、運營、使用單位,應當按照國家有關技術規(guī)范、標準和本辦法第八條規(guī)定自行選定其信息系統(tǒng)相應的保護等級。
基礎信息網絡和重要信息系統(tǒng)的保護等級,建設單位應當在信息系統(tǒng)規(guī)劃設計時,按照本辦法第十條規(guī)定報經審定。
第十條基礎信息網絡和重要信息系統(tǒng)保護等級,實行專家評審制度。
省、設區(qū)的市信息化行政主管部門應當分別建立省、市信息系統(tǒng)保護等級專家評審組,并分別組織對關系全省和關系全市的基礎信息網絡和重要信息系統(tǒng)的保護等級進行審定。申報與審定的具體細則,由省信息化行政主管部門會同省公安部門制定,并報省人民政府備案。
第十一條對于包含多個子系統(tǒng)的信息系統(tǒng),應當根據各子系統(tǒng)的重要程度分別確定保護等級。
第十二條信息系統(tǒng)建設完成后,其運營、使用單位應當按照國家有關技術規(guī)范和標準進行安全測評,符合要求的,方可投入使用。
第十三條信息系統(tǒng)投入運行或者系統(tǒng)變更之日起三十日內,運營、使用單位應當將信息系統(tǒng)保護等級選定或者審定情況報所在地縣級以上人民政府公安部門備案。備案的具體細則由省公安部門制定。
信息系統(tǒng)涉及國家秘密的,運營、使用單位應當按照有關保密法律、法規(guī)、規(guī)章的規(guī)定執(zhí)行。
第十四條信息系統(tǒng)的運營、使用單位,應當按照國家有關技術規(guī)范和標準,建立信息安全等級保護管理制度,落實安全保護責任,采取相應的安全保護措施,切實保障信息系統(tǒng)正常安全運行。
第十五條信息系統(tǒng)的運營、使用單位,應當建立信息系統(tǒng)安全狀況日常檢測工作制度,加強對信息系統(tǒng)的日常維護和安全管理,及時消除安全隱患,確保信息的安全和系統(tǒng)的正常運行。
基礎信息網絡和重要信息系統(tǒng)的運營、使用單位,應當按照國家有關技術規(guī)范和標準,每年對系統(tǒng)的信息安全狀況進行一次全面的測評,也可以委托有相應資質的單位進行安全測評。
第十六條信息系統(tǒng)發(fā)生信息安全突發(fā)公共事件時,應當根據事件的可控性、地域影響范圍和信息系統(tǒng)遭到破壞的嚴重程度,實行分級響應和應急處置。分級響應和應急處置按照省有關網絡與信息安全應急預案的規(guī)定執(zhí)行。
通信基礎網絡發(fā)生突發(fā)公共事件時,應當按照省有關通信保障應急預案的規(guī)定執(zhí)行。
第三章監(jiān)督管理
第十七條縣級以上人民政府公安部門依法對運營、使用信息系統(tǒng)的單位的信息安全等級保護工作實施監(jiān)督管理,并做好下列工作:
?。ㄒ唬┒酱?、指導信息安全等級保護工作;
?。ǘ┍O(jiān)督、檢查信息系統(tǒng)運營、使用單位的安全等級保護管理制度和技術措施的落實情況;
?。ㄈ┦芾硇畔⑾到y(tǒng)保護等級的備案;
?。ㄋ模┮婪ú樘幮畔⑾到y(tǒng)運營、使用單位和個人的違法行為;
?。ㄎ澹┬畔踩燃壉Wo的其他相關工作。
第十八條保密工作部門依照職責分工,依法做好下列工作:
?。ㄒ唬┒酱?、指導涉及國家秘密的信息安全等級保護工作;
?。ǘ┦芾砩婕皣颐孛艿男畔⑾到y(tǒng)保護等級的備案;
?。ㄈ┮婪ú樘幮畔⑿姑堋⑹苁录?;
(四)信息安全等級保護中涉及國家秘密的其他相關工作。
第十九條密碼管理部門應當按照職責分工依法做好相關工作,加強對涉及密碼管理的信息安全等級保護工作的監(jiān)督、檢查和指導,查處信息安全等級保護工作中違反密碼管理的行為和事件。
第二十條信息化行政主管部門應當加強對信息安全等級保護工作的指導、服務、協(xié)調和管理,并做好下列工作:
?。ㄒ唬┲笇?、協(xié)調信息安全等級保護工作;
?。ǘ┙M織制定信息安全等級保護工作規(guī)范;
(三)組織專家審定信息系統(tǒng)的保護等級;
(四)為相關單位提供信息安全等級保護的有關資訊和技術咨詢;
?。ㄎ澹└鶕A案規(guī)定,組織落實信息安全突發(fā)公共事件的應急處置工作;
(六)信息安全等級保護的其他相關工作。
第二十一條信息系統(tǒng)建設、運營、使用單位,應當按照國家和本辦法有關規(guī)定,開展信息安全等級保護工作,接受有關部門的指導、檢查和監(jiān)督管理。
信息系統(tǒng)運營、使用單位,在運營、使用中發(fā)生信息安全突發(fā)公共事件、泄密失密事件的,應當按照應急預案要求,及時采取有效措施,防止事態(tài)擴大,并立即報告有關主管部門,配合做好應急處置工作。
第四章法律責任
第二十二條違反本辦法規(guī)定的行為,有關法律、法規(guī)已有行政處罰規(guī)定的,從其規(guī)定。
第二十三條信息系統(tǒng)運營、使用單位違反本辦法規(guī)定,不建立信息系統(tǒng)保護等級或者自行選定的保護等級不符合國家有關技術規(guī)范和標準的,由公安部門責令限期改正,并給予警告;逾期拒不改正的,處一千元以上二千元以下罰款。
第二十四條信息系統(tǒng)運營、使用單位違反本辦法第十二條、第十三條第一款規(guī)定的,由公安部門責令限期改正,并給予警告;逾期不改正的,處二千元罰款。
第二十五條信息系統(tǒng)運營、使用單位違反本辦法第十四條規(guī)定,未建立信息安全等級保護管理制度、落實安全保護責任和措施的,由公安部門責令限期改正,并給予警告;
逾期拒不改正的,對經營性的處五千元以上五萬元以下罰款,對非經營性的處二千元罰款。
第二十六條違反本辦法第十五條第一款規(guī)定,信息系統(tǒng)運營、使用單位未建立信息系統(tǒng)安全狀況日常檢測工作制度的,由公安部門責令限期改正,并給予警告;逾期拒不改正的,處一千元以上二千元以下罰款。
違反本辦法第十五條第二款規(guī)定,基礎信息網絡與重要信息系統(tǒng)的運營、使用單位,未定期對系統(tǒng)的信息安全狀況進行測評的,由公安部門責令限期改正,并給予警告;逾期拒不改正的,對經營性的處二千元以上二萬元以下罰款,對非經營性的處二千元罰款。
第二十七條信息系統(tǒng)運營、使用單位違反本辦法第二十一條第二款規(guī)定的,由縣級以上人民政府信息化行政主管部門責令改正,給予警告,對經營性的并處五千元以上三萬元以下罰款,對非經營性的并處二千元罰款;涉及泄密、失密的,按照有關保密法律、法規(guī)、規(guī)章的規(guī)定處理。
第二十八條有關信息安全等級保護監(jiān)管部門及其工作人員有下列行為之一的,由其主管部門或者監(jiān)察部門對直接負責的主管人員和其他直接責任人依法給予行政或者紀律處分。
?。ㄒ唬┪窗凑毡巨k法規(guī)定履行監(jiān)督管理職責的;
(二)違反國家和本辦法規(guī)定審定信息系統(tǒng)保護等級的;
?。ㄈ┻`反法定程序和權限實施行政處罰的;
?。ㄋ模┰诼男斜O(jiān)督管理職責中,玩忽職守、濫用職權、徇私舞弊的;
?。ㄎ澹┢渌麘斠婪ńo予行政或者紀律處分的行為。
第二十九條違反本辦法規(guī)定,構成犯罪的,依法追究刑事責任。
第五章附則
第三十條在本辦法施行前已經建成的信息系統(tǒng),運營、使用單位應當依照本辦法規(guī)定建立相應的保護等級。
第三十一條本辦法自2007年1月1日起施行。