《浙江省信息安全等級保護管理辦法》已經(jīng)省人民政府第77次常務(wù)會議審議通過，現(xiàn)予公布，自2007年1月1日起施行。

　　省長 呂祖善
二○○六年九月三十日

浙江省信息安全等級保護管理辦法

　　第一章總則

　　第一條為加強和規(guī)范信息安全等級保護管理，提高信息安全保障能力，維護國家安全、公共利益和社會穩(wěn)定，促進信息化建設(shè)，根據(jù)國家有關(guān)規(guī)定，結(jié)合本省實際，制定本辦法。

　　第二條本省行政區(qū)域內(nèi)建設(shè)、運營、使用信息系統(tǒng)的單位，均須遵守本辦法。

　　第三條本辦法所稱信息安全等級保護，是指按國家規(guī)定對需要實行安全等級保護的各類信息的存儲、傳輸、處理的信息系統(tǒng)進行相應(yīng)的等級保護，對信息系統(tǒng)中發(fā)生的信息安全突發(fā)公共事件實行分等級響應(yīng)和處置的安全保障制度。

　　第四條本辦法所稱信息，是指通過信息系統(tǒng)進行存儲、傳輸、處理的語言、文字、聲音、圖像、數(shù)字等資料。

　　本辦法所稱信息系統(tǒng)，是指由計算機、信息網(wǎng)絡(luò)及其配套的設(shè)施、設(shè)備構(gòu)成的，按照一定的應(yīng)用目標和規(guī)則對信息進行存儲、傳輸、處理的運行體系。

　　第五條信息安全等級保護應(yīng)當遵循分級實施、明確責任、確保安全的原則；重點保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)各類信息的安全性和信息處理的連續(xù)性。

　　信息系統(tǒng)應(yīng)當按照信息安全等級保護的要求，實行同步建設(shè)、動態(tài)調(diào)整、誰運行誰負責的原則。

　　第六條縣級以上人民政府應(yīng)當加強對信息安全等級保護工作的領(lǐng)導(dǎo)，把信息安全等級保護納入信息化建設(shè)規(guī)劃，協(xié)調(diào)、解決有關(guān)重大問題，建立必要的資金和技術(shù)的保障機制。

　　第七條縣級以上人民政府公安、國家安全、保密、密碼、信息化等行政主管部門應(yīng)當按照國家和本辦法規(guī)定，履行監(jiān)督管理職責。

　　縣級以上人民政府其他相關(guān)部門，應(yīng)當按照職責分工，落實信息安全等級保護管理的責任，配合做好相關(guān)工作。

　　第二章等級保護的分級與實施

　　第八條根據(jù)信息系統(tǒng)承載的信息的重要性、業(yè)務(wù)處理對系統(tǒng)的依賴性以及系統(tǒng)遭到破壞后對經(jīng)濟、社會的危害程度，確定信息系統(tǒng)相應(yīng)的保護等級。

　　信息系統(tǒng)的保護等級分為以下五級：

　　（一）信息系統(tǒng)承載的信息涉及公民、法人和其他組織的權(quán)益，信息系統(tǒng)遭到破壞后，業(yè)務(wù)可以直接用其他方式替代處理，對公民、法人和其他組織的權(quán)益有一定影響，但不損害國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益的，為一級保護，由運營單位自主保護；

　　（二）信息系統(tǒng)承載的信息直接涉及公民、法人和其他組織的權(quán)益，信息系統(tǒng)遭到破壞后，會影響業(yè)務(wù)的正常處理，并對國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益造成一定損害的，為二級保護，由運營單位在信息安全等級保護工作監(jiān)管部門的指導(dǎo)下進行保護；

　?。ㄈ┬畔⑾到y(tǒng)承載的信息涉及國家、社會和公共利益，信息系統(tǒng)遭到破壞后，會嚴重影響業(yè)務(wù)的正常處理，并對國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益造成較大損害的，為三級保護，由運營單位在信息安全等級保護工作監(jiān)管部門的監(jiān)督下進行保護；

　　（四）信息系統(tǒng)承載的信息直接涉及國家、社會和公共利益，信息系統(tǒng)遭到破壞后，業(yè)務(wù)無法正常處理，并對國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益造成嚴重損害的，為四級保護，由運營單位按照信息安全等級保護工作監(jiān)管部門的強制要求進行保護；

　?。ㄎ澹┬畔⑾到y(tǒng)承載的信息直接關(guān)系國家安全、社會穩(wěn)定、經(jīng)濟建設(shè)和運行，信息系統(tǒng)遭到破壞后，會對國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益造成特別嚴重損害的，為五級保護，由運營單位在國家指定的專門部門、專門機構(gòu)的?？叵逻M行保護。

　　第九條信息系統(tǒng)的建設(shè)、運營、使用單位，應(yīng)當按照國家有關(guān)技術(shù)規(guī)范、標準和本辦法第八條規(guī)定自行選定其信息系統(tǒng)相應(yīng)的保護等級。

　　基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的保護等級，建設(shè)單位應(yīng)當在信息系統(tǒng)規(guī)劃設(shè)計時，按照本辦法第十條規(guī)定報經(jīng)審定。

　　第十條基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)保護等級，實行專家評審制度。

　　省、設(shè)區(qū)的市信息化行政主管部門應(yīng)當分別建立省、市信息系統(tǒng)保護等級專家評審組，并分別組織對關(guān)系全省和關(guān)系全市的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的保護等級進行審定。申報與審定的具體細則，由省信息化行政主管部門會同省公安部門制定，并報省人民政府備案。

　　第十一條對于包含多個子系統(tǒng)的信息系統(tǒng)，應(yīng)當根據(jù)各子系統(tǒng)的重要程度分別確定保護等級。

　　第十二條信息系統(tǒng)建設(shè)完成后，其運營、使用單位應(yīng)當按照國家有關(guān)技術(shù)規(guī)范和標準進行安全測評，符合要求的，方可投入使用。

　　第十三條信息系統(tǒng)投入運行或者系統(tǒng)變更之日起三十日內(nèi)，運營、使用單位應(yīng)當將信息系統(tǒng)保護等級選定或者審定情況報所在地縣級以上人民政府公安部門備案。備案的具體細則由省公安部門制定。

　　信息系統(tǒng)涉及國家秘密的，運營、使用單位應(yīng)當按照有關(guān)保密法律、法規(guī)、規(guī)章的規(guī)定執(zhí)行。

　　第十四條信息系統(tǒng)的運營、使用單位，應(yīng)當按照國家有關(guān)技術(shù)規(guī)范和標準，建立信息安全等級保護管理制度，落實安全保護責任，采取相應(yīng)的安全保護措施，切實保障信息系統(tǒng)正常安全運行。

　　第十五條信息系統(tǒng)的運營、使用單位，應(yīng)當建立信息系統(tǒng)安全狀況日常檢測工作制度，加強對信息系統(tǒng)的日常維護和安全管理，及時消除安全隱患，確保信息的安全和系統(tǒng)的正常運行。

　　基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的運營、使用單位，應(yīng)當按照國家有關(guān)技術(shù)規(guī)范和標準，每年對系統(tǒng)的信息安全狀況進行一次全面的測評，也可以委托有相應(yīng)資質(zhì)的單位進行安全測評。

　　第十六條信息系統(tǒng)發(fā)生信息安全突發(fā)公共事件時，應(yīng)當根據(jù)事件的可控性、地域影響范圍和信息系統(tǒng)遭到破壞的嚴重程度，實行分級響應(yīng)和應(yīng)急處置。分級響應(yīng)和應(yīng)急處置按照省有關(guān)網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案的規(guī)定執(zhí)行。

　　通信基礎(chǔ)網(wǎng)絡(luò)發(fā)生突發(fā)公共事件時，應(yīng)當按照省有關(guān)通信保障應(yīng)急預(yù)案的規(guī)定執(zhí)行。

　　第三章監(jiān)督管理

　　第十七條縣級以上人民政府公安部門依法對運營、使用信息系統(tǒng)的單位的信息安全等級保護工作實施監(jiān)督管理，并做好下列工作：

　?。ㄒ唬┒酱佟⒅笇?dǎo)信息安全等級保護工作；

　　（二）監(jiān)督、檢查信息系統(tǒng)運營、使用單位的安全等級保護管理制度和技術(shù)措施的落實情況；

　?。ㄈ┦芾硇畔⑾到y(tǒng)保護等級的備案；

　　（四）依法查處信息系統(tǒng)運營、使用單位和個人的違法行為；

　?。ㄎ澹┬畔踩燃壉Ｗo的其他相關(guān)工作。

　　第十八條保密工作部門依照職責分工，依法做好下列工作：

　?。ㄒ唬┒酱?、指導(dǎo)涉及國家秘密的信息安全等級保護工作；

　　（二）受理涉及國家秘密的信息系統(tǒng)保護等級的備案；

　　（三）依法查處信息泄密、失密事件；

　?。ㄋ模┬畔踩燃壉Ｗo中涉及國家秘密的其他相關(guān)工作。

　　第十九條密碼管理部門應(yīng)當按照職責分工依法做好相關(guān)工作，加強對涉及密碼管理的信息安全等級保護工作的監(jiān)督、檢查和指導(dǎo)，查處信息安全等級保護工作中違反密碼管理的行為和事件。

　　第二十條信息化行政主管部門應(yīng)當加強對信息安全等級保護工作的指導(dǎo)、服務(wù)、協(xié)調(diào)和管理，并做好下列工作：

　　（一）指導(dǎo)、協(xié)調(diào)信息安全等級保護工作；

　?。ǘ┙M織制定信息安全等級保護工作規(guī)范；

　?。ㄈ┙M織專家審定信息系統(tǒng)的保護等級；

　?。ㄋ模橄嚓P(guān)單位提供信息安全等級保護的有關(guān)資訊和技術(shù)咨詢；

　?。ㄎ澹└鶕?jù)預(yù)案規(guī)定，組織落實信息安全突發(fā)公共事件的應(yīng)急處置工作；

　?。┬畔踩燃壉Ｗo的其他相關(guān)工作。

　　第二十一條信息系統(tǒng)建設(shè)、運營、使用單位，應(yīng)當按照國家和本辦法有關(guān)規(guī)定，開展信息安全等級保護工作，接受有關(guān)部門的指導(dǎo)、檢查和監(jiān)督管理。

　　信息系統(tǒng)運營、使用單位，在運營、使用中發(fā)生信息安全突發(fā)公共事件、泄密失密事件的，應(yīng)當按照應(yīng)急預(yù)案要求，及時采取有效措施，防止事態(tài)擴大，并立即報告有關(guān)主管部門，配合做好應(yīng)急處置工作。

　　第四章法律責任

　　第二十二條違反本辦法規(guī)定的行為，有關(guān)法律、法規(guī)已有行政處罰規(guī)定的，從其規(guī)定。

　　第二十三條信息系統(tǒng)運營、使用單位違反本辦法規(guī)定，不建立信息系統(tǒng)保護等級或者自行選定的保護等級不符合國家有關(guān)技術(shù)規(guī)范和標準的，由公安部門責令限期改正，并給予警告；逾期拒不改正的，處一千元以上二千元以下罰款。

　　第二十四條信息系統(tǒng)運營、使用單位違反本辦法第十二條、第十三條第一款規(guī)定的，由公安部門責令限期改正，并給予警告；逾期不改正的，處二千元罰款。

　　第二十五條信息系統(tǒng)運營、使用單位違反本辦法第十四條規(guī)定，未建立信息安全等級保護管理制度、落實安全保護責任和措施的，由公安部門責令限期改正，并給予警告；

　　逾期拒不改正的，對經(jīng)營性的處五千元以上五萬元以下罰款，對非經(jīng)營性的處二千元罰款。

　　第二十六條違反本辦法第十五條第一款規(guī)定，信息系統(tǒng)運營、使用單位未建立信息系統(tǒng)安全狀況日常檢測工作制度的，由公安部門責令限期改正，并給予警告；逾期拒不改正的，處一千元以上二千元以下罰款。

　　違反本辦法第十五條第二款規(guī)定，基礎(chǔ)信息網(wǎng)絡(luò)與重要信息系統(tǒng)的運營、使用單位，未定期對系統(tǒng)的信息安全狀況進行測評的，由公安部門責令限期改正，并給予警告；逾期拒不改正的，對經(jīng)營性的處二千元以上二萬元以下罰款，對非經(jīng)營性的處二千元罰款。

　　第二十七條信息系統(tǒng)運營、使用單位違反本辦法第二十一條第二款規(guī)定的，由縣級以上人民政府信息化行政主管部門責令改正，給予警告，對經(jīng)營性的并處五千元以上三萬元以下罰款，對非經(jīng)營性的并處二千元罰款；涉及泄密、失密的，按照有關(guān)保密法律、法規(guī)、規(guī)章的規(guī)定處理。

　　第二十八條有關(guān)信息安全等級保護監(jiān)管部門及其工作人員有下列行為之一的，由其主管部門或者監(jiān)察部門對直接負責的主管人員和其他直接責任人依法給予行政或者紀律處分。

　?。ㄒ唬┪窗凑毡巨k法規(guī)定履行監(jiān)督管理職責的；

　?。ǘ┻`反國家和本辦法規(guī)定審定信息系統(tǒng)保護等級的；

　?。ㄈ┻`反法定程序和權(quán)限實施行政處罰的；

　?。ㄋ模┰诼男斜O(jiān)督管理職責中，玩忽職守、濫用職權(quán)、徇私舞弊的；

　?。ㄎ澹┢渌麘?yīng)當依法給予行政或者紀律處分的行為。

　　第二十九條違反本辦法規(guī)定，構(gòu)成犯罪的，依法追究刑事責任。

　　第五章附則

　　第三十條在本辦法施行前已經(jīng)建成的信息系統(tǒng)，運營、使用單位應(yīng)當依照本辦法規(guī)定建立相應(yīng)的保護等級。

　　第三十一條本辦法自2007年1月1日起施行。