浙江省信息安全等級保護管理辦法

《浙江省信息安全等級保護管理辦法》已經省人民政府第77次常務會議審議通過，現予公布，自2007年1月1日起施行。

省長 呂祖善

二○○六年九月三十日

第一章總則

第一條為加強和規範信息安全等級保護管理，提高信息安全保障能力，維護國家安全、公共利益和社會穩定，促進信息化建設，根據國家有關規定，結合本省實際，制定本辦法。

第二條本省行政區域內建設、運營、使用信息系統的單位，均須遵守本辦法。

第三條本辦法所稱信息安全等級保護，是指按國家規定對需要實行安全等級保護的各類信息的存儲、傳輸、處理的信息系統進行相應的等級保護，對信息系統中發生的信息安全突發公共事件實行分等級回響和處置的安全保障制度。

第四條本辦法所稱信息，是指通過信息系統進行存儲、傳輸、處理的語言、文字、聲音、圖像、數字等資料。

本辦法所稱信息系統，是指由計算機、信息網路及其配套的設施、設備構成的，按照一定的套用目標和規則對信息進行存儲、傳輸、處理的運行體系。

第五條信息安全等級保護應當遵循分級實施、明確責任、確保全全的原則；重點保障基礎信息網路和重要信息系統各類信息的安全性和信息處理的連續性。

信息系統應當按照信息安全等級保護的要求，實行同步建設、動態調整、誰運行誰負責的原則。

第六條縣級以上人民政府應當加強對信息安全等級保護工作的領導，把信息安全等級保護納入信息化建設規劃，協調、解決有關重大問題，建立必要的資金和技術的保障機制。

第七條縣級以上人民政府公安、國家安全、保密、密碼、信息化等行政主管部門應當按照國家和本辦法規定，履行監督管理職責。

縣級以上人民政府其他相關部門，應當按照職責分工，落實信息安全等級保護管理的責任，配合做好相關工作。

第二章等級保護的分級與實施

第八條根據信息系統承載的信息的重要性、業務處理對系統的依賴性以及系統遭到破壞後對經濟、社會的危害程度，確定信息系統相應的保護等級。

信息系統的保護等級分為以下五級：

（一）信息系統承載的信息涉及公民、法人和其他組織的權益，信息系統遭到破壞後，業務可以直接用其他方式替代處理，對公民、法人和其他組織的權益有一定影響，但不損害國家安全、社會秩序、經濟建設和公共利益的，為一級保護，由運營單位自主保護；

（二）信息系統承載的信息直接涉及公民、法人和其他組織的權益，信息系統遭到破壞後，會影響業務的正常處理，並對國家安全、社會秩序、經濟建設和公共利益造成一定損害的，為二級保護，由運營單位在信息安全等級保護工作監管部門的指導下進行保護；

（三）信息系統承載的信息涉及國家、社會和公共利益，信息系統遭到破壞後，會嚴重影響業務的正常處理，並對國家安全、社會秩序、經濟建設和公共利益造成較大損害的，為三級保護，由運營單位在信息安全等級保護工作監管部門的監督下進行保護；

（四）信息系統承載的信息直接涉及國家、社會和公共利益，信息系統遭到破壞後，業務無法正常處理，並對國家安全、社會秩序、經濟建設和公共利益造成嚴重損害的，為四級保護，由運營單位按照信息安全等級保護工作監管部門的強制要求進行保護；

（五）信息系統承載的信息直接關係國家安全、社會穩定、經濟建設和運行，信息系統遭到破壞後，會對國家安全、社會秩序、經濟建設和公共利益造成特別嚴重損害的，為五級保護，由運營單位在國家指定的專門部門、專門機構的專控下進行保護。

第九條信息系統的建設、運營、使用單位，應當按照國家有關技術規範、標準和本辦法第八條規定自行選定其信息系統相應的保護等級。

基礎信息網路和重要信息系統的保護等級，建設單位應當在信息系統規劃設計時，按照本辦法第十條規定報經審定。

第十條基礎信息網路和重要信息系統保護等級，實行專家評審制度。

省、設區的市信息化行政主管部門應當分別建立省、市信息系統保護等級專家評審組，並分別組織對關係全省和關係全市的基礎信息網路和重要信息系統的保護等級進行審定。申報與審定的具體細則，由省信息化行政主管部門會同省公安部門制定，並報省人民政府備案。

第十一條對於包含多個子系統的信息系統，應當根據各子系統的重要程度分別確定保護等級。

第十二條信息系統建設完成後，其運營、使用單位應當按照國家有關技術規範和標準進行安全測評，符合要求的，方可投入使用。

第十三條信息系統投入運行或者系統變更之日起三十日內，運營、使用單位應當將信息系統保護等級選定或者審定情況報所在地縣級以上人民政府公安部門備案。備案的具體細則由省公安部門制定。 　信息系統涉及國家秘密的，運營、使用單位應當按照有關保密法律、法規、規章的規定執行。

第十四條信息系統的運營、使用單位，應當按照國家有關技術規範和標準，建立信息安全等級保護管理制度，落實安全保護責任，採取相應的安全保護措施，切實保障信息系統正常安全運行。

第十五條信息系統的運營、使用單位，應當建立信息系統安全狀況日常檢測工作制度，加強對信息系統的日常維護和安全管理，及時消除安全隱患，確保信息的安全和系統的正常運行。

基礎信息網路和重要信息系統的運營、使用單位，應當按照國家有關技術規範和標準，每年對系統的信息安全狀況進行一次全面的測評，也可以委託有相應資質的單位進行安全測評。

第十六條信息系統發生信息安全突發公共事件時，應當根據事件的可控性、地域影響範圍和信息系統遭到破壞的嚴重程度，實行分級回響和應急處置。分級回響和應急處置按照省有關網路與信息安全應急預案的規定執行。

通信基礎網路發生突發公共事件時，應當按照省有關通信保障應急預案的規定執行。

第三章監督管理

第十七條縣級以上人民政府公安部門依法對運營、使用信息系統的單位的信息安全等級保護工作實施監督管理，並做好下列工作：

（一）督促、指導信息安全等級保護工作；

（二）監督、檢查信息系統運營、使用單位的安全等級保護管理制度和技術措施的落實情況；

（三）受理信息系統保護等級的備案；

（四）依法查處信息系統運營、使用單位和個人的違法行為；

（五）信息安全等級保護的其他相關工作。

第十八條保密工作部門依照職責分工，依法做好下列工作：

（一）督促、指導涉及國家秘密的信息安全等級保護工作；

（二）受理涉及國家秘密的信息系統保護等級的備案；

（三）依法查處信息泄密、失密事件；

（四）信息安全等級保護中涉及國家秘密的其他相關工作。

第十九條密碼管理部門應當按照職責分工依法做好相關工作，加強對涉及密碼管理的信息安全等級保護工作的監督、檢查和指導，查處信息安全等級保護工作中違反密碼管理的行為和事件。

第二十條信息化行政主管部門應當加強對信息安全等級保護工作的指導、服務、協調和管理，並做好下列工作：

（一）指導、協調信息安全等級保護工作；

（二）組織制定信息安全等級保護工作規範;

（三）組織專家審定信息系統的保護等級；

（四）為相關單位提供信息安全等級保護的有關資訊和技術諮詢；

（五）根據預案規定，組織落實信息安全突發公共事件的應急處置工作；

（六）信息安全等級保護的其他相關工作。

第二十一條信息系統建設、運營、使用單位，應當按照國家和本辦法有關規定，開展信息安全等級保護工作，接受有關部門的指導、檢查和監督管理。

信息系統運營、使用單位，在運營、使用中發生信息安全突發公共事件、泄密失密事件的，應當按照應急預案要求，及時採取有效措施，防止事態擴大，並立即報告有關主管部門，配合做好應急處置工作。

第四章法律責任

第二十二條違反本辦法規定的行為，有關法律、法規已有行政處罰規定的，從其規定。

第二十三條信息系統運營、使用單位違反本辦法規定，不建立信息系統保護等級或者自行選定的保護等級不符合國家有關技術規範和標準的，由公安部門責令限期改正，並給予警告；逾期拒不改正的，處一千元以上二千元以下罰款。

第二十四條信息系統運營、使用單位違反本辦法第十二條、第十三條第一款規定的，由公安部門責令限期改正，並給予警告；逾期不改正的，處二千元罰款。

第二十五條信息系統運營、使用單位違反本辦法第十四條規定，未建立信息安全等級保護管理制度、落實安全保護責任和措施的，由公安部門責令限期改正，並給予警告；

逾期拒不改正的，對經營性的處五千元以上五萬元以下罰款，對非經營性的處二千元罰款。

第二十六條違反本辦法第十五條第一款規定，信息系統運營、使用單位未建立信息系統安全狀況日常檢測工作制度的，由公安部門責令限期改正，並給予警告；逾期拒不改正的，處一千元以上二千元以下罰款。

違反本辦法第十五條第二款規定，基礎信息網路與重要信息系統的運營、使用單位，未定期對系統的信息安全狀況進行測評的，由公安部門責令限期改正，並給予警告；逾期拒不改正的，對經營性的處二千元以上二萬元以下罰款，對非經營性的處二千元罰款。

第二十七條信息系統運營、使用單位違反本辦法第二十一條第二款規定的，由縣級以上人民政府信息化行政主管部門責令改正，給予警告，對經營性的並處五千元以上三萬元以下罰款，對非經營性的並處二千元罰款；涉及泄密、失密的，按照有關保密法律、法規、規章的規定處理。

第二十八條有關信息安全等級保護監管部門及其工作人員有下列行為之一的，由其主管部門或者監察部門對直接負責的主管人員和其他直接責任人依法給予行政或者紀律處分。

（一）未按照本辦法規定履行監督管理職責的；

（二）違反國家和本辦法規定審定信息系統保護等級的；

（三）違反法定程式和許可權實施行政處罰的；

（四）在履行監督管理職責中，玩忽職守、濫用職權、徇私舞弊的；

（五）其他應當依法給予行政或者紀律處分的行為。

第二十九條違反本辦法規定，構成犯罪的，依法追究刑事責任。

第五章附則

第三十條在本辦法施行前已經建成的信息系統，運營、使用單位應當依照本辦法規定建立相應的保護等級。

第三十一條本辦法自2007年1月1日起施行。