省、设区的市信息化行政主管部门应当分别建立省、市信息系统保护等级专家评审组,并分别组织对关系全省和关系全市的基础信息网络和重要信息系统的保护等级进行审定。申报与审定的具体细则,由省信息化行政主管部门会同省公安部门制定,并报省人民政府备案。
第十一条 对于包含多个子系统的信息系统,应当根据各子系统的重要程度分别确定保护等级。
第十二条 信息系统建设完成后,其运营、使用单位应当按照国家有关技术规范和标准进行安全测评,符合要求的,方可投入使用。
第十三条 信息系统投入运行或者系统变更之日起三十日内,运营、使用单位应当将信息系统保护等级选定或者审定情况报所在地县级以上人民政府公安部门备案。备案的具体细则由省公安部门制定。
信息系统涉及国家秘密的,运营、使用单位应当按照有关保密法律、法规、规章的规定执行。
第十四条 信息系统的运营、使用单位,应当按照国家有关技术规范和标准,建立信息安全等级保护管理制度,落实安全保护责任,采取相应的安全保护措施,切实保障信息系统正常安全运行。
第十五条 信息系统的运营、使用单位,应当建立信息系统安全状况日常检测工作制度,加强对信息系统的日常维护和安全管理,及时消除安全隐患,确保信息的安全和系统的正常运行。
基础信息网络和重要信息系统的运营、使用单位,应当按照国家有关技术规范和标准,每年对系统的信息安全状况进行一次全面的测评,也可以委托有相应资质的单位进行安全测评。
第十六条 信息系统发生信息安全突发公共事件时,应当根据事件的可控性、地域影响范围和信息系统遭到破坏的严重程度,实行分级响应和应急处置。分级响应和应急处置按照省有关网络与信息安全应急预案的规定执行。
通信基础网络发生突发公共事件时,应当按照省有关通信保障应急预案的规定执行。
第三章 监督管理
第十七条 县级以上人民政府公安部门依法对运营、使用信息系统的单位的信息安全等级保护工作实施监督管理,并做好下列工作:
