Reglamento de protección de seguridad del sistema de información informática de la Región Autónoma Hui de Ningxia
Las agencias de seguridad nacional, los departamentos de administración de confidencialidad, los departamentos de administración de criptografía, los departamentos de administración de información y otros departamentos relevantes son responsables del trabajo relacionado con la protección de seguridad de los sistemas de información informática dentro del alcance de sus respectivas responsabilidades de acuerdo con el ley. Artículo 4 Las unidades que operan y utilizan sistemas de información informática cumplirán con sus obligaciones de protección de la seguridad de los sistemas de información informática de conformidad con la ley.
Ninguna organización o individuo podrá utilizar sistemas de información informática para realizar actividades que pongan en peligro los intereses nacionales, los intereses sociales y los derechos e intereses legítimos de los ciudadanos, personas jurídicas y otras organizaciones, y no debe poner en peligro la seguridad. de los sistemas de información informáticos. Capítulo 2 Protección del nivel de seguridad Artículo 5 Los sistemas de información informática deberán implementar un sistema de protección del nivel de seguridad.
La protección del nivel de seguridad del sistema de información de la computadora se adhiere al principio de clasificación independiente y la operación de protección independiente y las unidades de usuario se clasifican de forma independiente de acuerdo con los siguientes estándares:
(1) Si la información de la computadora. El sistema está dañado, puede causar daños al sistema de información informática. Si causa daño a los derechos e intereses legítimos de los ciudadanos, personas jurídicas y otras organizaciones, pero no pone en peligro la seguridad nacional, el orden social y los intereses públicos, es el primero. nivel;
(2) Una vez destruido el sistema de información informática, puede causar daño a los ciudadanos si causa daños graves a los derechos e intereses legítimos de las personas jurídicas y otras organizaciones, o causa daños al orden social. y los intereses públicos, pero no pone en peligro la seguridad nacional, se clasifica como Nivel 2;
(3) Después de que se destruye el sistema de información informática, lo que puede causar graves daños al orden social y los intereses públicos, o causar daño a la seguridad nacional, es Nivel 3;
(4) Después de que el sistema de información informática sea destruido, puede causar daños graves al orden social y a los intereses públicos si el daño es particularmente grave, o si causa. daño grave a la seguridad nacional, se clasificará como Nivel 4;
(5) Si el sistema de información informática es destruido y puede causar daños particularmente graves a la seguridad nacional, se clasificará como Nivel 5 . Artículo 6 Si un sistema de información informática involucra seguridad nacional, intereses públicos sociales o información importante sobre construcción económica, su unidad operativa o departamento competente seleccionará una agencia de evaluación del nivel de seguridad que cumpla con las condiciones legales para realizar una evaluación del nivel de seguridad del sistema de información informática y evaluar con precisión el nivel de protección de seguridad del sistema de información. Artículo 7 Las unidades que operan y utilizan sistemas de información informática deberán cumplir con las siguientes disposiciones:
(1) Clasificar los sistemas de información informática e implementar la protección de acuerdo con especificaciones de gestión de protección graduadas y normas técnicas;
(2) Construir nuevamente un sistema de información informática, determinar el nivel de protección de seguridad durante la etapa de planificación y diseño, construir simultáneamente instalaciones de protección de seguridad de la información que cumplan con los requisitos del nivel de protección de seguridad e implementar medidas de protección de seguridad;
(3) De acuerdo con los requisitos del nivel de protección de seguridad del sistema del sistema de información informática, se requiere el uso de productos tecnológicos específicos de seguridad de la información que hayan obtenido licencias de ventas nacionales;
(4) Inspeccionar y rectificar periódicamente la seguridad estado, sistemas de protección y medidas del sistema de información informática de la unidad;
>(5) Se determina que el sistema de información informática tiene un nivel de protección de Nivel 2 o superior, y se deberá formular un plan de respuesta a emergencias importantes. si se determina que el sistema de información informática es de Nivel 3 o superior, se deberá realizar una evaluación del nivel de seguridad del sistema al menos una vez al año;
(6) Designar personal de tiempo completo para que sea responsable de la seguridad; Gestión de los sistemas de información informática de la unidad. El personal de tiempo completo debe aprobar una formación profesional de los órganos de seguridad pública, los departamentos de recursos humanos y de seguridad social del nivel municipal de distrito o superior y obtener certificados. Artículo 8 Las unidades que operan y utilizan sistemas de información informática de nivel 2 o superior deberán, dentro de los 30 días siguientes a la fecha en que se determine el nivel de seguridad, presentar medidas específicas para la protección del sistema de información a los órganos locales de seguridad pública del nivel municipal o superior con distritos. Los sistemas de información informática que estén conectados en red uniformemente en ciudades divididas en distritos o regiones autónomas también deben informarse a los órganos de seguridad pública de las regiones autónomas para su archivo.
Si la estructura, el flujo de procesamiento y el contenido del servicio del sistema de información informática cambian, lo que resulta en un cambio en el nivel de protección de seguridad, o si el órgano de seguridad pública requiere una reclasificación debido a necesidades reales, las unidades operativas y de usuario del sistema de información informática reclasificará el sistema, rearchivándolo.
Artículo 9 El órgano de seguridad pública revisará los materiales presentados para su archivo dentro de los quince días hábiles siguientes a la fecha de recepción del material de archivo y emitirá un certificado de presentación si el material cumple con los requisitos del nivel de protección es inexacto o la clasificación; Las medidas de protección no cumplen con los requisitos técnicos. Si está estandarizado, se notificará por escrito a la unidad presentadora dentro de los quince días hábiles siguientes a la fecha de recepción del material de presentación para realizar las correcciones. Artículo 10 Las unidades que operan y utilizan sistemas de información informática implementarán las siguientes medidas de protección técnica de seguridad:
(1) Redundancia o copia de seguridad de bases de datos importantes del sistema y equipos importantes;
(2) Prevención y control de virus informáticos;
(3) Prevención y seguimiento de ataques a la red;
(4) Monitoreo y registro de eventos de seguridad de la red;
( 5) Registro de identidad y confirmación de identidad;
(6) Registros de cuentas de usuario y direcciones de red;
(7) Auditoría de seguridad y alerta temprana;
(8 ) Registros de operación del Sistema de Almacenamiento y uso de los usuarios;
(9) Control de información masiva;
(10) Prevención y control de información dañina e información spam;
( 11) Otras medidas técnicas de protección prescritas por leyes y reglamentos.
Incentivar a los operadores y usuarios de sistemas informáticos de información a adoptar medidas técnicas avanzadas de protección de la seguridad.