第九条 安全集成单位在从事重点保护的网络与信息系统安全集成时,应当执行国家有关网络与信息系统安全保护的标准,在安全集成完成后及时将所有资料交网络与信息系统使用单位,并对安全集成系统的网络结构、配置以及在安全集成中获悉的国家秘密、商业秘密负有保密责任。禁止在安全集成的网络与信息系统中设置隐蔽信道。
第十条 重点保护的网络与信息系统在新建、改建、扩建之前,使用单位应当将安全措施方案报有管辖权的公安机关备案。
第十一条 重点保护的网络与信息系统实行安全技术检测制度。安全技术检测执行有关国家标准和行业标准。经安全技术检测不符合安全要求的,应当进行整改。
重点保护的网络与信息系统应当在正式投入使用前进行首次安全技术检测;在本规定施行前已投入正式使用的,应当在本规定施行之日起6个月内完成首次安全技术检测。
重点保护的网络与信息系统在首次安全技术检测后,应当每年至少进行一次安全技术检测。
重点保护的网络与信息系统设备更新或者改造、网络结构变更,以及处理信息的种类、性质变更,对安全保护措施产生直接影响的,应当在投入运行前对受影响的部分进行安全技术检测。
重点保护以外的网络与信息系统应当加强安全技术检测,及时消除隐患。
第十二条 重点保护的网络与信息系统的使用单位发现危害网络与信息系统安全的隐患或者事故时,应当保留有关原始记录,并在24小时内向当地县级以上公安机关报告。公安机关发现危害网络与信息系统安全的隐患或者事故时,应当及时通知有关使用单位。
使用单位应当及时采取措施,消除、处理危害网络与信息系统安全的隐患或者事故。公安机关应当加强监督检查,及时处理危害网络与信息系统安全的事件。
第十三条 网络与信息系统安全技术检测,由具有安全技术检测能力的单位承担。
从事重点保护的网络与信息系统安全技术检测的单位,应当经国家权威机构认可。因特殊情况自行完成安全技术检测的,应当具备开展计算机操作系统、数据库、网络、机房环境等安全检测的必要设备,配备适应安全技术检测需要、掌握网络与信息系统安全标准并经省级公安机关专业安全培训或者考核合格的技术人员。
