(四) 计算机信息系统受到破坏后,可能对社会秩序和公共利益造成特别严重损害,或者可能对国家安全造成严重损害的,为第四级;
(五) 计算机信息系统受到破坏后,可能对国家安全造成特别严重损害的,为第五级。
第六条 计算机信息系统运营、使用单位应当遵守下列规定:
(一) 对计算机信息系统安全保护等级准确定级,并按照等级保护管理规范和技术标准实施保护;
(二) 新建计算机信息系统的,应当在规划、设计阶段确定安全保护等级,同步建设符合该安全保护等级要求的信息系统安全保护设施,落实安全保护措施;
(三) 计算机信息系统的结构、处理流程、服务内容等发生重大变化,或者公安机关要求重新确定等级的,应当重新定级;
(四) 按照计算机信息系统安全保护等级要求,使用符合国家及自治区规定并取得国家计算机信息系统安全专用产品销售许可证的信息安全产品;
(五) 定期对本单位计算机信息系统的安全状况、保护制度和措施进行自查和整改;
(六) 建立安全保护组织,确定安全管理责任人,指定专职人员负责本单位计算机信息系统的安全管理。
第七条 第二级以上计算机信息系统运营、使用单位,应当自确定安全保护等级之日起30日内,到所在地盟行政公署、设区的市人民政府公安机关或者其指定的受理机构备案;属于自治区统一联网、跨盟市或者中央驻自治区、自治区直属单位的计算机信息系统,应当到自治区人民政府公安机关或者其指定的受理机构备案。
第八条 公安机关应当在收到备案材料之日起10个工作日内对报送备案的材料进行审查,对符合等级保护要求的,出具备案证明。对定级不准确或者保护措施不符合技术规范的,应当书面通知报送单位予以纠正。
第九条 计算机信息系统涉及国家安全、社会公共利益、重大经济建设等信息的,其运营、使用单位或者主管部门应当选择符合法定条件的安全等级测评机构,依据国家规定的技术标准,对计算机信息系统安全等级状况进行测评。
第二级以上计算机信息系统建设完成后,经测评合格方可投入使用。
第十条 计算机信息系统确定为第二级保护等级的,应当每两年至少进行一次系统安全等级测评;确定为第三级的,应当每年至少进行一次系统安全等级测评;确定为第四级以上的,应当每半年至少进行一次系统安全等级测评。
