第七条  计算机信息系统实行安全等级保护。

计算机信息系统安全等级保护按照国家规定的标准和要求，坚持自主定级、自主保护的原则。

第八条  计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的重要程度，计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定，分为五级：

（一）计算机信息系统受到破坏后，可能对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益的，为第一级；

（二）计算机信息系统受到破坏后，可能对公民、法人和其他组织的合法权益产生严重损害，或者可能对社会秩序和公共利益造成损害，但不损害国家安全的，为第二级；

（三）计算机信息系统受到破坏后，可能对社会秩序和公共利益造成严重损害，或者可能对国家安全造成损害的，为第三级；

（四）计算机信息系统受到破坏后，可能对社会秩序和公共利益造成特别严重损害，或者可能对国家安全造成严重损害的，为第四级；

（五）计算机信息系统受到破坏后，可能对国家安全造成特别严重损害的，为第五级。

第九条  计算机信息系统规划、设计、建设和维护应当同步落实相应的安全措施，使用符合国家有关规定、满足计算机信息系统安全保护需求的信息技术产品。

第十条  计算机信息系统的运营、使用单位应当按照国家有关规定，建立、健全计算机信息系统安全管理制度，确定安全管理责任人，负责计算机信息系统的安全保护工作。
计算机信息系统信息服务提供者应当设立信息审查员，负责信息审查工作。

第十一条   第二级以上计算机信息系统的运营、使用单位应当建立安全保护组织，并报地级以上市人民政府公安机关备案。

第十二条  第二级以上计算机信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合国家规定的安全等级测评机构，依据国家规定的技术标准，对计算机信息系统安全等级状况开展等级测评，测评合格后方可投入使用。

第十三条  计算机信息系统的运营、使用单位及其主管部门应当按照国家规定定期对计算机信息系统开展安全等级测评，并对计算机信息系统安全状况、安全管理制度及措施的落实情况进行自查。计算机信息系统安全状况经测评或者自查，未达到安全等级保护要求的，运营、使用单位应当进行整改。

第十四条  第二级以上计算机信息系统，由运营、使用单位在投入运行后三十日内，到地级市以上人民政府公安机关备案。

第十五条  计算机信息系统备案后，对符合安全等级保护要求的，公安机关应当在收到备案材料之日起十个工作日内颁发计算机信息系统安全等级保护备案证明；对不符合安全等级保护要求的，应当在收到备案材料之日起十个工作日内通知备案单位予以纠正。运营、使用单位或者其主管部门重新确定计算机信息系统等级的，应当按照本条例向公安机关重新备案。

第十六条  计算机信息系统的运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导，按照国家有关规定如实提供有关计算机信息系统安全保护的信息、资料及数据文件。对计算机信息系统中发生的案件和重大安全事故，计算机信息系统的运营、使用单位应当在二十四小时内报告县级以上人民政府公安机关，并保留有关原始记录。

第十七条  第二级以上计算机信息系统的运营、使用单位应当制定重大突发事件应急处置预案。第二级以上计算机信息系统发生重大突发事件，有关单位应当按照应急处置预案的要求采取相应的处置措施，并服从公安机关和国家指定的专门部门的调度。

第十八条  第二级以上计算机信息系统的运营、使用单位应当建立并执行下列安全管理制度：

（一）计算机机房安全管理制度；

（二）安全责任制度；

（三）网络安全漏洞检测和系统升级制度；

（四）系统安全风险管理和应急处置制度；

（五）操作权限管理制度；

（六）用户登记制度；

（七）重要设备、介质管理制度；

（八）信息发布审查、登记、保存、清除和备份制度；

（九）信息群发服务管理制度。

第十九条  第二级以上计算机信息系统的运营、使用单位应当采取下列安全保护技术措施：

（一）系统重要部分的冗余或者备份措施；

（二）计算机病毒防治措施；

（三）网络攻击防范和追踪措施；

（四）安全审计和预警措施；

（五）系统运行和用户使用日志记录保存六十日以上措施；

（六）记录用户账号、主叫电话号码和网络地址的措施；

（七）身份登记和识别确认措施；

（八）垃圾信息、有害信息防治措施；

（九）信息群发限制措施。

第二十条  涉密计算机信息系统应当依据国家信息安全等级保护的要求，按照国家有关涉密计算机信息系统分级保护的管理规定和技术标准，结合计算机信息系统实际情况进行保护。

第二十一条   涉密计算机信息系统按照所处理信息的最高密级，由低到高分为秘密、机密、绝密三个等级，并实行涉密计算机信息系统分级保护。

第二十二条  涉密计算机信息系统建设使用单位应当将涉密计算机信息系统定级和建设使用情况，及时报业务主管部门和负责系统审批的保密工作部门备案，并接受保密工作部门的监督、检查、指导。

第二十三条  涉密计算机信息系统投入使用前，应当按照国家有关规定报地级市以上人民政府保密工作部门审批，通过审批后方可投入使用。

第二十四条  计算机信息系统安全等级保护中密码的配备、使用和管理等，应当按照国家密码管理的有关规定执行。