(二)计算机信息系统受到破坏后,可能对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全的,为第二级;
(三)计算机信息系统受到破坏后,可能对社会秩序和公共利益造成严重损害,或者对国家安全造成损害的,为第三级;
(四)计算机信息系统受到破坏后,可能对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害的,为第四级;
(五)计算机信息系统受到破坏后,可能对国家安全造成特别严重损害的,为第五级。
第六条 计算机信息系统涉及国家安全、社会公共利益、重大经济建设信息的,其运营、使用单位或者主管部门应当选择符合法定条件的安全等级测评机构,对计算机信息系统安全等级状况进行测评,准确核定信息系统安全保护等级。
第七条 计算机信息系统运营、使用单位应当遵守下列规定:
(一)对计算机信息系统进行定级,并按照等级保护管理规范和技术标准实施保护;
(二)新建计算机信息系统的,在规划、设计阶段确定安全保护等级,同步建设符合该安全保护等级要求的信息安全保护设施,落实安全保护措施;
(三)按照计算机信息系统安全保护等级要求,使用取得国家销售许可证的信息安全专用技术产品;
(四)定期对本单位计算机信息系统的安全状况、保护制度和措施进行自查和整改;
(五)计算机信息系统确定为第二级以上保护等级的,应当制定重大突发事件应急处置预案;确定为第三级以上的,应当每年至少进行一次系统安全等级测评;
(六)指定专职人员负责本单位计算机信息系统的安全管理。专职人员应当通过设区的市以上公安机关、人力资源和社会保障部门的专业培训,并取得合格证。
第八条 第二级以上计算机信息系统运营、使用单位,应当自确定安全等级之日起三十日内,将信息系统保护的具体措施,向所在地设区的市以上公安机关报送备案;属于跨设区的市或者自治区统一联网的计算机信息系统,还应当向自治区公安机关报送备案。
计算机信息系统的结构、处理流程、服务内容等发生变化,致使安全保护等级发生变化,或者因实际需要公安机关要求重新定级的,计算机信息系统运营、使用单位应当重新定级、重新备案。
