浙江省信息安全等級保護(hù)管理辦法

（2006年12月1日浙江省人民政府令第223號公布 自2007年1月1日起施行）

第一章 總  則

第一條　為加強(qiáng)和規(guī)范信息安全等級保護(hù)管理，提高信息安全保障能力，維護(hù)國家安全、公共利益和社會穩(wěn)定，促進(jìn)信息化建設(shè)，根據(jù)國家有關(guān)規(guī)定，結(jié)合本省實(shí)際，制定本辦法。

第二條　本省行政區(qū)域內(nèi)建設(shè)、運(yùn)營、使用信息系統(tǒng)的單位，均須遵守本辦法。

第三條　本辦法所稱信息安全等級保護(hù)，是指按國家規(guī)定對需要實(shí)行安全等級保護(hù)的各類信息的存儲、傳輸、處理的信息系統(tǒng)進(jìn)行相應(yīng)的等級保護(hù)，對信息系統(tǒng)中發(fā)生的信息安全突發(fā)公共事件實(shí)行分等級響應(yīng)和處置的安全保障制度。

第四條　本辦法所稱信息，是指通過信息系統(tǒng)進(jìn)行存儲、傳輸、處理的語言、文字、聲音、圖像、數(shù)字等資料。

本辦法所稱信息系統(tǒng)，是指由計(jì)算機(jī)、信息網(wǎng)絡(luò)及其配套的設(shè)施、設(shè)備構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進(jìn)行存儲、傳輸、處理的運(yùn)行體系。

第五條　信息安全等級保護(hù)應(yīng)當(dāng)遵循分級實(shí)施、明確責(zé)任、確保安全的原則；重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)各類信息的安全性和信息處理的連續(xù)性。

信息系統(tǒng)應(yīng)當(dāng)按照信息安全等級保護(hù)的要求，實(shí)行同步建設(shè)、動態(tài)調(diào)整、誰運(yùn)行誰負(fù)責(zé)的原則。

第六條　縣級以上人民政府應(yīng)當(dāng)加強(qiáng)對信息安全等級保護(hù)工作的領(lǐng)導(dǎo)，把信息安全等級保護(hù)納入信息化建設(shè)規(guī)劃，協(xié)調(diào)、解決有關(guān)重大問題，建立必要的資金和技術(shù)的保障機(jī)制。

第七條　縣級以上人民政府公安、國家安全、保密、密碼、信息化等行政主管部門應(yīng)當(dāng)按照國家和本辦法規(guī)定，履行監(jiān)督管理職責(zé)。

縣級以上人民政府其他相關(guān)部門，應(yīng)當(dāng)按照職責(zé)分工，落實(shí)信息安全等級保護(hù)管理的責(zé)任，配合做好相關(guān)工作。

第二章 等級保護(hù)的分級與實(shí)施

第八條　根據(jù)信息系統(tǒng)承載的信息的重要性、業(yè)務(wù)處理對系統(tǒng)的依賴性以及系統(tǒng)遭到破壞后對經(jīng)濟(jì)、社會的危害程度，確定信息系統(tǒng)相應(yīng)的保護(hù)等級。

信息系統(tǒng)的保護(hù)等級分為以下五級：

（一）信息系統(tǒng)承載的信息涉及公民、法人和其他組織的權(quán)益，信息系統(tǒng)遭到破壞后，業(yè)務(wù)可以直接用其他方式替代處理，對公民、法人和其他組織的權(quán)益有一定影響，但不損害國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益的，為一級保護(hù)，由運(yùn)營單位自主保護(hù)；

（二）信息系統(tǒng)承載的信息直接涉及公民、法人和其他組織的權(quán)益，信息系統(tǒng)遭到破壞后，會影響業(yè)務(wù)的正常處理，并對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益造成一定損害的，為二級保護(hù)，由運(yùn)營單位在信息安全等級保護(hù)工作監(jiān)管部門的指導(dǎo)下進(jìn)行保護(hù)；

（三）信息系統(tǒng)承載的信息涉及國家、社會和公共利益，信息系統(tǒng)遭到破壞后，會嚴(yán)重影響業(yè)務(wù)的正常處理，并對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益造成較大損害的，為三級保護(hù)，由運(yùn)營單位在信息安全等級保護(hù)工作監(jiān)管部門的監(jiān)督下進(jìn)行保護(hù)；

（四）信息系統(tǒng)承載的信息直接涉及國家、社會和公共利益，信息系統(tǒng)遭到破壞后，業(yè)務(wù)無法正常處理，并對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益造成嚴(yán)重?fù)p害的，為四級保護(hù)，由運(yùn)營單位按照信息安全等級保護(hù)工作監(jiān)管部門的強(qiáng)制要求進(jìn)行保護(hù)；

（五）信息系統(tǒng)承載的信息直接關(guān)系國家安全、社會穩(wěn)定、經(jīng)濟(jì)建設(shè)和運(yùn)行，信息系統(tǒng)遭到破壞后，會對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益造成特別嚴(yán)重?fù)p害的，為五級保護(hù)，由運(yùn)營單位在國家指定的專門部門、專門機(jī)構(gòu)的專控下進(jìn)行保護(hù)。

第九條　信息系統(tǒng)的建設(shè)、運(yùn)營、使用單位，應(yīng)當(dāng)按照國家有關(guān)技術(shù)規(guī)范、標(biāo)準(zhǔn)和本辦法第八條規(guī)定自行選定其信息系統(tǒng)相應(yīng)的保護(hù)等級。

基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的保護(hù)等級，建設(shè)單位應(yīng)當(dāng)在信息系統(tǒng)規(guī)劃設(shè)計(jì)時，按照本辦法第十條規(guī)定報(bào)經(jīng)審定。

第十條　基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)保護(hù)等級，實(shí)行專家評審制度。

省、設(shè)區(qū)的市信息化行政主管部門應(yīng)當(dāng)分別建立省、市信息系統(tǒng)保護(hù)等級專家評審組，并分別組織對關(guān)系全省和關(guān)系全市的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的保護(hù)等級進(jìn)行審定。申報(bào)與審定的具體細(xì)則，由省信息化行政主管部門會同省公安部門制定，并報(bào)省人民政府備案。

第十一條　對于包含多個子系統(tǒng)的信息系統(tǒng)，應(yīng)當(dāng)根據(jù)各子系統(tǒng)的重要程度分別確定保護(hù)等級。

第十二條　信息系統(tǒng)建設(shè)完成后，其運(yùn)營、使用單位應(yīng)當(dāng)按照國家有關(guān)技術(shù)規(guī)范和標(biāo)準(zhǔn)進(jìn)行安全測評，符合要求的，方可投入使用。

第十三條　信息系統(tǒng)投入運(yùn)行或者系統(tǒng)變更之日起三十日內(nèi)，運(yùn)營、使用單位應(yīng)當(dāng)將信息系統(tǒng)保護(hù)等級選定或者審定情況報(bào)所在地縣級以上人民政府公安部門備案。備案的具體細(xì)則由省公安部門制定。

信息系統(tǒng)涉及國家秘密的，運(yùn)營、使用單位應(yīng)當(dāng)按照有關(guān)保密法律、法規(guī)、規(guī)章的規(guī)定執(zhí)行。

第十四條　信息系統(tǒng)的運(yùn)營、使用單位，應(yīng)當(dāng)按照國家有關(guān)技術(shù)規(guī)范和標(biāo)準(zhǔn)，建立信息安全等級保護(hù)管理制度，落實(shí)安全保護(hù)責(zé)任，采取相應(yīng)的安全保護(hù)措施，切實(shí)保障信息系統(tǒng)正常安全運(yùn)行。

第十五條　信息系統(tǒng)的運(yùn)營、使用單位，應(yīng)當(dāng)建立信息系統(tǒng)安全狀況日常檢測工作制度，加強(qiáng)對信息系統(tǒng)的日常維護(hù)和安全管理，及時消除安全隱患，確保信息的安全和系統(tǒng)的正常運(yùn)行。

基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的運(yùn)營、使用單位，應(yīng)當(dāng)按照國家有關(guān)技術(shù)規(guī)范和標(biāo)準(zhǔn)，每年對系統(tǒng)的信息安全狀況進(jìn)行一次全面的測評，也可以委托有相應(yīng)資質(zhì)的單位進(jìn)行安全測評。

第十六條　信息系統(tǒng)發(fā)生信息安全突發(fā)公共事件時，應(yīng)當(dāng)根據(jù)事件的可控性、地域影響范圍和信息系統(tǒng)遭到破壞的嚴(yán)重程度，實(shí)行分級響應(yīng)和應(yīng)急處置。分級響應(yīng)和應(yīng)急處置按照省有關(guān)網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案的規(guī)定執(zhí)行。

通信基礎(chǔ)網(wǎng)絡(luò)發(fā)生突發(fā)公共事件時，應(yīng)當(dāng)按照省有關(guān)通信保障應(yīng)急預(yù)案的規(guī)定執(zhí)行。

第三章 監(jiān)督管理

第十七條　縣級以上人民政府公安部門依法對運(yùn)營、使用信息系統(tǒng)的單位的信息安全等級保護(hù)工作實(shí)施監(jiān)督管理，并做好下列工作：

（一）督促、指導(dǎo)信息安全等級保護(hù)工作；

（二）監(jiān)督、檢查信息系統(tǒng)運(yùn)營、使用單位的安全等級保護(hù)管理制度和技術(shù)措施的落實(shí)情況；

（三）受理信息系統(tǒng)保護(hù)等級的備案；

（四）依法查處信息系統(tǒng)運(yùn)營、使用單位和個人的違法行為；

（五）信息安全等級保護(hù)的其他相關(guān)工作。

第十八條　保密工作部門依照職責(zé)分工，依法做好下列工作：

（一）督促、指導(dǎo)涉及國家秘密的信息安全等級保護(hù)工作；

（二）受理涉及國家秘密的信息系統(tǒng)保護(hù)等級的備案； 

（三）依法查處信息泄密、失密事件；

（四）信息安全等級保護(hù)中涉及國家秘密的其他相關(guān)工作。

第十九條　密碼管理部門應(yīng)當(dāng)按照職責(zé)分工依法做好相關(guān)工作，加強(qiáng)對涉及密碼管理的信息安全等級保護(hù)工作的監(jiān)督、檢查和指導(dǎo)，查處信息安全等級保護(hù)工作中違反密碼管理的行為和事件。

第二十條　信息化行政主管部門應(yīng)當(dāng)加強(qiáng)對信息安全等級保護(hù)工作的指導(dǎo)、服務(wù)、協(xié)調(diào)和管理，并做好下列工作：

（一）指導(dǎo)、協(xié)調(diào)信息安全等級保護(hù)工作；

（二）組織制定信息安全等級保護(hù)工作規(guī)范;

（三）組織專家審定信息系統(tǒng)的保護(hù)等級；

（四）為相關(guān)單位提供信息安全等級保護(hù)的有關(guān)資訊和技術(shù)咨詢；

（五）根據(jù)預(yù)案規(guī)定，組織落實(shí)信息安全突發(fā)公共事件的應(yīng)急處置工作；

（六）信息安全等級保護(hù)的其他相關(guān)工作。

第二十一條　信息系統(tǒng)建設(shè)、運(yùn)營、使用單位，應(yīng)當(dāng)按照國家和本辦法有關(guān)規(guī)定，開展信息安全等級保護(hù)工作，接受有關(guān)部門的指導(dǎo)、檢查和監(jiān)督管理。

信息系統(tǒng)運(yùn)營、使用單位，在運(yùn)營、使用中發(fā)生信息安全突發(fā)公共事件、泄密失密事件的，應(yīng)當(dāng)按照應(yīng)急預(yù)案要求，及時采取有效措施，防止事態(tài)擴(kuò)大，并立即報(bào)告有關(guān)主管部門，配合做好應(yīng)急處置工作。

第四章 法律責(zé)任

第二十二條　違反本辦法規(guī)定的行為，有關(guān)法律、法規(guī)已有行政處罰規(guī)定的，從其規(guī)定。

第二十三條　信息系統(tǒng)運(yùn)營、使用單位違反本辦法規(guī)定，不建立信息系統(tǒng)保護(hù)等級或者自行選定的保護(hù)等級不符合國家有關(guān)技術(shù)規(guī)范和標(biāo)準(zhǔn)的，由公安部門責(zé)令限期改正，并給予警告；逾期拒不改正的，處一千元以上二千元以下罰款。

第二十四條　信息系統(tǒng)運(yùn)營、使用單位違反本辦法第十二條、第十三條第一款規(guī)定的，由公安部門責(zé)令限期改正，并給予警告；逾期不改正的，處二千元罰款。

第二十五條　信息系統(tǒng)運(yùn)營、使用單位違反本辦法第十四條規(guī)定，未建立信息安全等級保護(hù)管理制度、落實(shí)安全保護(hù)責(zé)任和措施的，由公安部門責(zé)令限期改正，并給予警告；

逾期拒不改正的，對經(jīng)營性的處五千元以上五萬元以下罰款，對非經(jīng)營性的處二千元罰款。

第二十六條　違反本辦法第十五條第一款規(guī)定，信息系統(tǒng)運(yùn)營、使用單位未建立信息系統(tǒng)安全狀況日常檢測工作制度的，由公安部門責(zé)令限期改正，并給予警告；逾期拒不改正的，處一千元以上二千元以下罰款。

違反本辦法第十五條第二款規(guī)定，基礎(chǔ)信息網(wǎng)絡(luò)與重要信息系統(tǒng)的運(yùn)營、使用單位，未定期對系統(tǒng)的信息安全狀況進(jìn)行測評的，由公安部門責(zé)令限期改正，并給予警告；逾期拒不改正的，對經(jīng)營性的處二千元以上二萬元以下罰款，對非經(jīng)營性的處二千元罰款。

第二十七條　信息系統(tǒng)運(yùn)營、使用單位違反本辦法第二十一條第二款規(guī)定的，由縣級以上人民政府信息化行政主管部門責(zé)令改正，給予警告，對經(jīng)營性的并處五千元以上三萬元以下罰款，對非經(jīng)營性的并處二千元罰款；涉及泄密、失密的，按照有關(guān)保密法律、法規(guī)、規(guī)章的規(guī)定處理。

第二十八條　有關(guān)信息安全等級保護(hù)監(jiān)管部門及其工作人員有下列行為之一的，由其主管部門或者監(jiān)察部門對直接負(fù)責(zé)的主管人員和其他直接責(zé)任人依法給予行政或者紀(jì)律處分。

（一）未按照本辦法規(guī)定履行監(jiān)督管理職責(zé)的；

（二）違反國家和本辦法規(guī)定審定信息系統(tǒng)保護(hù)等級的； 

（三）違反法定程序和權(quán)限實(shí)施行政處罰的；

（四）在履行監(jiān)督管理職責(zé)中，玩忽職守、濫用職權(quán)、徇私舞弊的；

（五）其他應(yīng)當(dāng)依法給予行政或者紀(jì)律處分的行為。

第二十九條　違反本辦法規(guī)定，構(gòu)成犯罪的，依法追究刑事責(zé)任。

第五章 附  則

第三十條　在本辦法施行前已經(jīng)建成的信息系統(tǒng)，運(yùn)營、使用單位應(yīng)當(dāng)依照本辦法規(guī)定建立相應(yīng)的保護(hù)等級。

第三十一條　本辦法自2007年1月1日起施行。