寧夏回族自治區計算機信息系統安全保護條例
國家安全機關、保密行政部門、密碼行政部門、信息行政部門和其他有關部門在各自的職責範圍內,依法負責計算機信息系統安全保護的相關工作。第四條計算機信息系統運營、使用單位應當依法履行計算機信息系統安全保護義務。
任何組織或者個人不得利用計算機信息系統從事危害國家利益、社會利益以及公民、法人和其他組織合法權益的活動,不得危害計算機信息系統安全。第二章安全等級保護第五條計算機信息系統應當實行安全等級保護制度。
計算機信息系統安全等級保護堅持自主分級、自主保護的原則,運營和使用單位按照以下標準自主分級:
(壹)計算機信息系統受到破壞,可能對公民、法人和其他組織的合法權益造成損害,但未危害國家安全、社會秩序和公共利益的,為第壹級;
(二)計算機信息系統被破壞後,可能對公民、法人和其他組織的合法權益造成嚴重損害,或者對社會秩序和公共利益造成損害,但不危害國家安全的,為第二級;
(三)計算機信息系統被破壞後,可能對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害的,為第三級;
(四)計算機信息系統被破壞後,可能對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害的,為第四級;
(五)計算機信息系統被破壞後,可能對國家安全造成特別嚴重損害的,為第五級。第六條計算機信息系統涉及國家安全、社會公共利益和重大經濟建設信息的,其運營使用單位或者主管部門應當選擇符合法定條件的安全等級評估機構對計算機信息系統進行安全等級評估,準確核定信息系統的安全保護等級。第七條計算機信息系統運營和使用單位應當遵守下列規定:
(壹)按照等級保護管理規範和技術標準,對計算機信息系統進行等級劃分並實施保護;
(二)新建計算機信息系統,在規劃設計階段確定安全保護等級,同步建設符合安全保護等級要求的信息安全保護設施,落實安全保護措施;
(三)按照計算機信息系統安全保護等級要求,使用已獲得國家銷售許可的信息安全專用技術產品;
(四)定期檢查和整改本單位計算機信息系統的安全狀況、保護制度和措施;
(五)計算機信息系統確定為二級以上保護等級,並制定重大突發事件應急預案;確定為三級以上的,每年至少進行壹次系統安全等級評估;
(六)指定專職人員負責本單位計算機信息系統的安全管理。專職工作人員應當通過設區的市級以上公安機關、人力資源和社會保障部門的專業培訓,並取得證書。第八條二級以上計算機信息系統運營、使用單位應當自安全等級確定之日起30日內,向所在地設區的市級以上公安機關提交信息系統保護的具體措施。屬於跨設區的市或者自治區統壹聯網的計算機信息系統,還應當報自治區公安機關備案。
計算機信息系統的結構、處理流程和服務內容發生變化,導致安全保護等級發生變化,或者公安機關因實際需要要求重新分級的,計算機信息系統的運營、使用單位應當重新分級、重新備案。第九條公安機關應當自收到備案材料之日起十五個工作日內,對報送備案的材料進行審查,對符合等級保護要求的,出具備案證明;分級不準確或者防護措施不符合技術規範的,應當自收到備案材料之日起十五個工作日內書面通知提交單位補正。第十條計算機信息系統運營、使用單位應當實施下列安全技術保護措施:
(1)系統重要數據庫和主要設備的冗余或備份;
(2)計算機病毒的預防和控制;
(3)預防和跟蹤網絡攻擊;
(4)網絡安全事件的監控和記錄;
(5)身份登記和身份確認;
(六)用戶賬戶和網絡地址記錄;
(七)安全審計和預警;
(八)保存系統運行和用戶使用日誌記錄;
(九)對海量信息的控制;
(十)有害信息和垃圾信息的防治;
(十壹)法律法規規定的其他技術保護措施。
鼓勵計算機信息系統的經營者和使用者采用先進的安全保護技術措施。