(一)计算机信息系统受到破坏后,可能对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益的,为第一级;
(二)计算机信息系统受到破坏后,可能对公民、法人和其他组织的合法权益产生严重损害,或者可能对社会秩序和公共利益造成损害,但不损害国家安全的,为第二级;
(三)计算机信息系统受到破坏后,可能对社会秩序和公共利益造成严重损害,或者可能对国家安全造成损害的,为第三级;
(四)计算机信息系统受到破坏后,可能对社会秩序和公共利益造成特别严重损害,或者可能对国家安全造成严重损害的,为第四级;
(五)计算机信息系统受到破坏后,可能对国家安全造成特别严重损害的,为第五级。
第九条 计算机信息系统规划、设计、建设和维护应当同步落实相应的安全措施,使用符合国家有关规定、满足计算机信息系统安全保护需求的信息技术产品。
第十条 计算机信息系统的运营、使用单位应当按照国家有关规定,建立、健全计算机信息系统安全管理制度,确定安全管理责任人,负责计算机信息系统的安全保护工作。
计算机信息系统信息服务提供者应当设立信息审查员,负责信息审查工作。
第十一条 第二级以上计算机信息系统的运营、使用单位应当建立安全保护组织,并报地级以上市人民政府公安机关备案。
第十二条 第二级以上计算机信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合国家规定的安全等级测评机构,依据国家规定的技术标准,对计算机信息系统安全等级状况开展等级测评,测评合格后方可投入使用。
第十三条 计算机信息系统的运营、使用单位及其主管部门应当按照国家规定定期对计算机信息系统开展安全等级测评,并对计算机信息系统安全状况、安全管理制度及措施的落实情况进行自查。
计算机信息系统安全状况经测评或者自查,未达到安全等级保护要求的,运营、使用单位应当进行整改。
第十四条 第二级以上计算机信息系统,由运营、使用单位在投入运行后三十日内,到地级市以上人民政府公安机关备案。
