縣級以上公安機關負責本行政區域內網絡與信息系統的安全監督管理。
縣級以上國家安全機關、國家保密部門、信息產業部門和其他有關部門在各自職責範圍內負責網絡與信息系統安全管理的相關工作。第三條網絡與信息系統應當實行安全等級保護制度。下列單位涉及基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統安全的,實行重點保護:
(壹)各級機關;?
(二)銀行、保險、證券等金融機構;?
(三)郵政和電信單位;?
(四)廣播、電視、新聞出版單位;?
(五)電力、煤炭、燃氣、燃油等重點用能單位;?
(六)航空、鐵路和重點公路、水運等運輸單位;?
(七)水利和供水單位;?
(八)重要物資儲備單位;?
(九)重點項目建設單位;?
(十)大型工商、信息技術企業;?
(十壹)重點科研教育機構;?
(十二)醫療衛生、消防、應急救援等社會應急服務機構;
(十三)其他需要保護的單位。?第四條重點保護的網絡與信息系統應當符合以下安全保護要求:
(壹)機房及外部環境、設備和介質的安全符合相關法律、法規、規章和標準的要求;
(二)具有風險分析、備份與恢復、災難恢復等信息運行安全保護措施;
(三)具有操作系統安全、數據庫安全、網絡安全、病毒防護和訪問控制等信息安全保護措施,以及防範網絡和信息系統非法入侵和攻擊的安全防護措施;
(四)使用具有《計算機信息系統安全專用產品銷售許可證》等行政許可證書的網絡與信息系統安全專用產品;
(五)設立網絡與信息系統安全管理機構或配備專職或兼職網絡與信息系統安全人員,具體負責網絡與信息系統安全保護工作。第五條從事國際聯網業務或者向公眾提供互聯網服務的重點保護網絡和信息系統,除符合第四條規定外,還應當符合下列安全保護要求:
(壹)具有60天以上的系統運行和用戶使用日誌記錄;
(二)有記錄用戶主叫電話號碼或網絡地址的措施;
(三)有用戶身份登記、識別和確認措施;
(四)具有垃圾郵件過濾和有害信息控制等安全保護措施;
(五)安裝國家規定的安全管理軟件和硬件。第六條重點保護網絡與信息系統的用戶應當建立以下安全防護體系:
(壹)機房安全管理制度;
(二)安全管理負責人的任免和安全責任制;
(3)網絡安全漏洞檢測和安全系統升級管理系統;
(4)操作權限管理系統;
(5)用戶註冊系統;
(六)信息發布的審查、登記、保存、刪除和備份制度;
(七)大眾信息服務管理制度。?第七條配備重點保護網絡和信息系統的專職或者兼職網絡與信息系統安全工作人員,應當取得國家認可的信息安全專業人員資格。未取得信息安全專業人員資格的,應當經過縣級以上公安機關組織或者會同有關部門組織的專業培訓,並經考核合格。
網絡與信息系統安全員應當實行年度專業考核制度。第八條網絡與信息系統安全集成,由具有網絡與信息系統安全集成能力的單位承擔。?
從事重點保護網絡與信息系統安全集成的單位,應當取得國家有關部門認可的集成資質,配備能夠滿足安全集成需要、掌握相關網絡與信息系統安全標準的技術人員。?
網絡與信息系統安全集成單位應當向州(市)級以上公安機關備案,並接受公安機關的監督檢查。?第九條安全集成單位從事重點保護網絡與信息系統安全集成時,應當執行國家網絡與信息系統安全保護標準,在安全集成完成後及時向網絡與信息系統用戶移交所有資料,並對安全集成系統的網絡結構和配置以及安全集成中知悉的國家秘密和商業秘密負責保密。禁止在安全集成的網絡與信息系統中設置隱蔽通道。?第十條重點保護網絡與信息系統在新建、改建、擴建前,用戶應當將安全措施報主管公安機關備案。?