信息安全等级保护工作实施细则

北京市信息安全等级保护工作实施细则

第一章 总则

第一条 信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。为加强本市信息安全等级保护工作，规范信息安全等级保护安全管理，促进各职能部门之间的分工与协调合作，提高首都信息安全保障能力和水平，根据《北京市公共服务网络与信息系统安全管理规定》（市政府第 163号令）、《市公安局、市信息办、市国家保密局、市国家密码办关于开展信息安全等级保护工作的通知》（京公网监字

[2006]208号）和相关法律法规，结合本市实际情况，制定本实施细则。

第二条 信息安全等级保护，是指对国家秘密信息及公民、法人和其他组织的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。

第三条 本实施细则所指的重要信息系统，是指包括本市公共服务网络与信息系统在内的财政、金融、税务、海关、审计、工商、社会保障、能源、交通运输、国防工业等关系国计民生的信息系统；教育、国家科研等单位的信息系统；公共通信、广播电视传输等基础信

息网络中的信息系统；互联网管理中心、重要网站和网络节点的信息系统、重点工程和其他领域的信息系统。

第四条 信息系统运营、使用单位是指信息系统的所有者或信息系统所承载业务的主管单位，且对该信息系统的安全运行负主要责任的最小法人单位或组织。本实施细则适用于新建和已建的所有信息系统。

第五条 本市辖区内的信息系统运营、使用单位按照谁主管谁负责、谁运营谁负责的原则，对其信息系统分等级进行保护，履行信息安全等级保护职责。

第六条 信息系统安全保护等级分为五级：

（一）第一级为自主保护级，信息系统运营、使用单位可以依据相关管理规范和技术标准进行保护。

（二）第二级为指导保护级，信息系统运营、使用单位应当依据相关管理规范和技术标准进行保护。必要时，相关职能部门可以对其信息安全等级保护工作进行指导。

（三）第三级为监督保护级，信息系统运营、使用单位应当依据相关管理规范和技术标准进行保护，相关职能部门对其信息安全等级保护工作进行监督、管理、检查、指导。

（四）第四级为强制保护级，信息系统运营、使用单位应当依据相关管理规范和技术标准进行保护，相关职能部门对其信息安全等级保护工作进行强制监督、管理、检查、指导。

（五）第五级为专控保护级，由国家指定的专门部门或者专门机构对其信息安全等级保护工作进行专门监督、管理、指导。

第七条 北京市成立信息安全等级保护领导小组，负责北京市信息安全等级保护工作的整体协调和指导，北京市公安局牵头，联合市信息办、市国家保密局、市国家密码管理委员会办公室共同开展此项工作。北京市信息安全等级保护领导小组下设办公室负责：

（一）对市信息安全等级保护领导小组决定的有关信息安全等级保护工作的落实情况进行督办和检查；

（二）对各区县、各相关职能单位的信息系统安全等级保护工作进行监督、协调和指导；

（三）传达市信息安全等级保护领导小组工作指示，制定、下发相关文件；

（四）推动制定北京市信息安全等级保护相关法律法规和技术标准的细化；

（五）汇总有关信息安全等级保护工作的信息，并报市信息安全等级保护领导小组审核后上报市委、市政府和公安部；

（六）研究制定北京市信息安全等级保护工作规划，编制信息安全等级保护工作简报。

第八条 市公安机关负责：

本市所辖区域内所有信息系统安全等级保护工作的监督、检查和指导：

（一）负责组织信息安全等级保护的相关法律法规、标准和政策的培训和宣贯工作，以提高社会对信息安全等级保护工作的认识和重视。

（二）对所管辖的运营、使用单位等级保护工作情况进行检查、指导和监督；

（三）对所管辖的运营、使用单位检查中发现的信息系统安全隐患，督促落实整改措施；

（四）对所管辖的运营、使用单位检查中违反等级保护工作相关法律法规的依法给予行政处罚；

（五）对所管辖的运营、使用单位的信息系统发生的安全事件进行调查、处理，并依法追究相关人员的法律责任；

（六）分阶段汇总情况，报市信息安全等级保护办公室。

第二章 工作流程

第九条 信息系统运营、使用单位法定代表人或相同级别的主管领导为信息系统安全等级保护工作第一责任人，负责本单位信息安全等级保护工作的组织实施，为开展信息安全等级保护工作提供必要的条件。

第十条 信息系统运营、使用单位应当按照相关法律法规和技术标准的要求，评估和分析本单位信息系统安全状况，确定信息系统的安全保护等级。有主管部门的，应当报主管部门审核批准。

属于重要信息系统的，运营使用单位及其主管部门在确定信息系统的安全保护等级时，应请北京市信息安全保护等级专家评审委员会给予咨询评审。

第十一条 公安机关负责及时、准确掌握本市重要信息系统数量、行业分布、区域分布、安全事件发生和等级评定等基本情况。

第十二条 信息系统运营、使用单位应在确定本单位信息系统的安全等级后 7日内，登录北京市信息安全等级保护网站，网上在线填报《信息系统安全定级备案表》；信息系统运营、使用单位也可以下载后填写，将等级评定情况上报属地、保卫关系所属公安机关进行定级备案。

跨地域的信息系统由其主管部门向其所在地的公安机关备案，分系统分别由当地信息系统运营、使用单位到本地备案。

属地、保卫关系所属公安机关汇总各信息系统运营、使用单位定级备案情况上报市公安局，市公安局负责统计分析信息系统定级情况。

第十三条 信息系统运营、使用单位变更本单位信息系统的安全等级，需按照本细则第十二条规定，进行重新备案。

第十四条 信息系统的运营、使用单位应当根据已确定的安全保护等级，按照等级保护相关法律法规和技术标准，使用经过相关部门认可的安全产品，进行信息系统建设。

第十五条 信息系统运营、使用单位及其主管部门按照等级保护相关法律法规和技术标准，对已完成安全等级保护建设的信息系统进行自行评估，发现问题及时整改，加强自我保护。

第十六条 三级以上（含三级）的信息系统建设完成后，其运营、使用单位及其主管部门应选择具有相关资质和认可的信息安全测评单位进行安全检测和评估后，方可投入使用。

本市目前具有相关技术资质和安全资质，并得到认可的测评机构有：北京网络行业协会信息系统等级保护测评中心和北京信息安全测评中心。

第十七条 信息系统安全等级保护测评的单位，需按照相关技术标准进行安全测评后，为信息系统运营、使用单位出具信息安全测评报告，并提出相应整改意见。

信息系统安全等级保护测评单位应当遵守国家和本市有关法律法规和技术标准规定，保守在测评活动中知悉的国家秘密、商业秘密和个人隐私，提供安全、客观、公正的检测服务。

第十八条 安全保护等级在三级以上（含三级）的信息系统，运营、使用单位应当自系统投入运行之日起 30日内，到属地、保卫关系所属公安机关进行信息系统安全等级备案。

跨地域的信息系统由其主管部门向其所在地的公安机关进行总备案，分系统分别由当地信息系统运营、使用单位到本地备案。

第十九条 属地、保卫关系所属公安机关收到等级备案申请材料后，填写《信息安全保护等级备案受理回执单》，对提交材料的准确

性和完整性进行审查，日期从受理申请之日起开始计算， 10个工作日内完成，审查不符合要求的通知前来备案的信息系统运营、使用单位。通知方式包括：口头通知和书面通知。

口头通知：当信息系统运营、使用单位人员在办理备案登记的过程中，受理备案的人员当时就发现有不符合的情况应当直接口头通知其进行补充、完善或纠正。

书面通知：填写《信息安全保护等级备案审查结果通知单》正式通知信息系统运营、使用单位其备案材料具体哪些内容经审查不符合要求。

属地、保卫关系所属公安机关审查符合要求后，将等级备案材料连同审查意见上报市公安局备案。符合备案要求的信息系统由北京市信息安全等级保护办公室在北京市信息安全等级保护网站上向社会公布，并颁发备案证书。

公安机关应当建立备案数据库，进行备案管理，并上报北京市信息安全等级保护办公室。

第二十条 信息系统运营、使用单位到属地、保卫关系所属公安机关备案需要提交以下材料：

（一）信息系统运营、使用单位法定代表人或相同级别的主管领导签订的第一责任书；

（二）信息系统运营、使用单位法定代表人或相同级别主管领导的身份证明；

（三）《信息系统安全定级备案表》；

（四）信息系统安全测评报告；

（五）《信息系统安全保护等级备案登记表》（可在北京市信息安全等级保护网站网上下载）；

（六）信息系统安全管理人员从业资质；

（七）信息系统安全事件应急响应与处置预案。

第二十一条 信息系统的备案事项发生变更时，信息系统运营、使用单位或其主管部门应当自变更之日起 30日内按本实施细则中第二十条规定将变更情况报原备案机关。

第二十二条 备案事项发生变更，法定代表人或相同级别的主管领导发生变化的，需重新提交信息系统运营、使用单位法定代表人或相同级别的主管领导签订的第一责任书和信息系统运营、使用单位法定代表人或相同级别的主管领导的身份证明；信息系统的结构、处理流程等关键部分发生重大变更的应当及时重新定级，并出具相应等级的测评报告。

第三章 信息安全等级保护职责

第二十三条 信息系统的运营、使用单位应当履行下列安全等级保护职责：

（一）落实主管负责人和主管机构，并配备具有相应资格的工作人员；

（二）建立健全安全等级保护管理制度；

（三）落实安全等级保护技术标准要求；

（四）建立信息安全事件分等级应急响应、处置制度，制定安全事件应急预案，并定期进行演练；

（五）定期进行安全状况检测和评估；

（六）其他应当履行的安全等级保护职责。

第二十四条 公安机关组织专家、科研机构、安全厂商建立信息安全应急救援服务体系，为发生信息安全事件的单位提供救援服务。信息安全应急救援服务组织应当公布救援电话，在接到救援请求时，及时提供救援服务。

第二十五条 公安机关负责规划和组织建设应急处置体系，建立信息安全等级保护安全事件应急处置制度，收集整理信息安全事件基础数据，对全市信息安全事件进行分等级的监控和处置。

第二十六条 安全保护等级为三、四级的运营、使用单位信息系统需进行重点安全事件监控，并纳入本市信息安全应急处置体系中，根据信息安全事件所造成的破坏程度以及涉及的范围，确定事件等级，对不同等级事件分等级进行响应和处置。

第二十七条 安全保护等级为三、四级的信息系统，发生信息系统安全事件后，其运营、使用单位应当迅速采取措施降低损害程度，防止事件扩大，保存相关记录，并按要求及时向公安机关报告。

第二十八条 信息系统运营、使用单位应当依据信息系统安全等级保护管理要求，对信息系统和信息数据进行容灾、备份。

第二十九条 公安机关负责对信息系统运营、使用单位开展信息系统安全等级保护工作情况进行检查、指导和监督，安全保护等级为

三级的信息系统每年至少检查一次，安全保护等级为四级的信息系统每半年至少检查一次。

第三十条 第五级信息系统适用于涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统，其运营、使用单位应当依据国家管理规范和技术标准进行保护，由国家指定的专门部门或者专门机构对其信息安全等级保护工作进行专门监督、管理、指导。

第四章 罚则

第三十一条 公安机关对经认可的测评机构进行监督和管理，经发现违反本细则十七条规定开展测评工作的责令其限期整改，情节严重的，取消在本市的测评资格，关于测评工作的管理办法另行规定。

第三十二条 信息系统运营、使用单位未按要求履行备案职责的，按照职责分工，由公安机关责令其限期整改，给予警告，对单位可以并处三万元以下罚款。

第三十三条 一、二级信息系统的运营、使用单位未履行安全等级保护职责，有下列行为之一的，由公安机关责令其限期整改，给予警告，对单位可以并处一万元以下罚款：

（一）未落实主管负责人和主管机构并配备具有相应资格工作人员的；

（二）未建立健全安全等级保护管理制度的；

（三）未落实安全等级保护技术标准要求的；

（四）未履行其他的安全等级保护职责的。

第三十四条 三级（含三级）以上信息系统的运营、使用单位未履行安全等级保护职责，有下列行为之一的，由公安机关责令其限期整改，给予警告，对单位可以并处三万元以下罚款，情节严重的，可以给予 6个月以内的停机整顿的处罚。

（一）未落实主管负责人和主管机构，并配备具有相应资格工作人员的；

（二）未建立健全安全等级保护管理制度的；

（三）未落实安全等级保护技术标准要求的；

（四）未按照北京市信息安全等级保护相关规范建立信息安全事件的分等级应急响应、处置制度，制定安全事件应急预案，并定期进行演练的；

（五）未履行其他的安全等级保护职责的。

第三十五条 三级（含三级）以上的信息系统的运营、使用单位对信息系统未定期测评的，由公安机关责令其限期整改，给予警告，对单位可以并处三万元以下罚款。

第三十六条 三级以上（含三级）信息系统的运营、使用单位信息系统发生变化后，不重新进行信息系统等级备案的，按照职责分工，由公安机关责令其限期整改，给予警告，对单位可以并处三万元以下罚款；情节严重的，可以给予 6个月以内的停机整顿的处罚。

第三十七条 三级以上（含三级）信息系统的运营、使用单位没有对本单位负责信息系统安全等级保护工作的行政主管和技术人员

进行教育和培训的，按照职责分工，由公安机关责令其限期整改，给予警告。

第三十八条 信息系统运营、使用单位有违反以下规定的，由公安机关责令其限期整改，给予警告，对单位可以并处三万元以下罚款；情节严重的，可以给予 6个月以内的停机整顿的处罚：

（一）未及时向公安机关上报信息安全事件，或有缓报、谎 报、破坏原始记录行为的，未迅速采取措施降低损害程度，造成事件扩大的；

（二）未对信息系统和信息数据进行容灾、备份的；

（三）接到整改通知后，拒不整改或未按期整改的；

第三十九条 在信息安全等级保护工作中，公安机关对危害公共安全或违反相关法律、法规和规章行为，依法处理，构成犯罪的，依法追究法律责任。

第四十条 信息系统运营、使用单位对公安机关的整改意见有不同意见的，应及时提出。所提意见不被采纳时可向上一级公安部门申请复查，接到申请复查的公安机关应于 10日内进行复查并做出决定。

信息系统运营、使用单位在整改期间要求延期整改的，应向提出整改意见的公安机关申请延期，接到申请延期的公安机关应于 5日内做出决定，但延期最长不得超过 6个月。

其他处罚有不同意见的可参照法定程序

北京市信息安全等级保护工作实施细则

第一章 总则

第一条 信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。为加强本市信息安全等级保护工作，规范信息安全等级保护安全管理，促进各职能部门之间的分工与协调合作，提高首都信息安全保障能力和水平，根据《北京市公共服务网络与信息系统安全管理规定》（市政府第 163号令）、《市公安局、市信息办、市国家保密局、市国家密码办关于开展信息安全等级保护工作的通知》（京公网监字

[2006]208号）和相关法律法规，结合本市实际情况，制定本实施细则。

第二条 信息安全等级保护，是指对国家秘密信息及公民、法人和其他组织的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。

第三条 本实施细则所指的重要信息系统，是指包括本市公共服务网络与信息系统在内的财政、金融、税务、海关、审计、工商、社会保障、能源、交通运输、国防工业等关系国计民生的信息系统；教育、国家科研等单位的信息系统；公共通信、广播电视传输等基础信

息网络中的信息系统；互联网管理中心、重要网站和网络节点的信息系统、重点工程和其他领域的信息系统。

第四条 信息系统运营、使用单位是指信息系统的所有者或信息系统所承载业务的主管单位，且对该信息系统的安全运行负主要责任的最小法人单位或组织。本实施细则适用于新建和已建的所有信息系统。

第五条 本市辖区内的信息系统运营、使用单位按照谁主管谁负责、谁运营谁负责的原则，对其信息系统分等级进行保护，履行信息安全等级保护职责。

第六条 信息系统安全保护等级分为五级：

（一）第一级为自主保护级，信息系统运营、使用单位可以依据相关管理规范和技术标准进行保护。

（二）第二级为指导保护级，信息系统运营、使用单位应当依据相关管理规范和技术标准进行保护。必要时，相关职能部门可以对其信息安全等级保护工作进行指导。

（三）第三级为监督保护级，信息系统运营、使用单位应当依据相关管理规范和技术标准进行保护，相关职能部门对其信息安全等级保护工作进行监督、管理、检查、指导。

（四）第四级为强制保护级，信息系统运营、使用单位应当依据相关管理规范和技术标准进行保护，相关职能部门对其信息安全等级保护工作进行强制监督、管理、检查、指导。

（五）第五级为专控保护级，由国家指定的专门部门或者专门机构对其信息安全等级保护工作进行专门监督、管理、指导。

第七条 北京市成立信息安全等级保护领导小组，负责北京市信息安全等级保护工作的整体协调和指导，北京市公安局牵头，联合市信息办、市国家保密局、市国家密码管理委员会办公室共同开展此项工作。北京市信息安全等级保护领导小组下设办公室负责：

（一）对市信息安全等级保护领导小组决定的有关信息安全等级保护工作的落实情况进行督办和检查；

（二）对各区县、各相关职能单位的信息系统安全等级保护工作进行监督、协调和指导；

（三）传达市信息安全等级保护领导小组工作指示，制定、下发相关文件；

（四）推动制定北京市信息安全等级保护相关法律法规和技术标准的细化；

（五）汇总有关信息安全等级保护工作的信息，并报市信息安全等级保护领导小组审核后上报市委、市政府和公安部；

（六）研究制定北京市信息安全等级保护工作规划，编制信息安全等级保护工作简报。

第八条 市公安机关负责：

本市所辖区域内所有信息系统安全等级保护工作的监督、检查和指导：

（一）负责组织信息安全等级保护的相关法律法规、标准和政策的培训和宣贯工作，以提高社会对信息安全等级保护工作的认识和重视。

（二）对所管辖的运营、使用单位等级保护工作情况进行检查、指导和监督；

（三）对所管辖的运营、使用单位检查中发现的信息系统安全隐患，督促落实整改措施；

（四）对所管辖的运营、使用单位检查中违反等级保护工作相关法律法规的依法给予行政处罚；

（五）对所管辖的运营、使用单位的信息系统发生的安全事件进行调查、处理，并依法追究相关人员的法律责任；

（六）分阶段汇总情况，报市信息安全等级保护办公室。

第二章 工作流程

第九条 信息系统运营、使用单位法定代表人或相同级别的主管领导为信息系统安全等级保护工作第一责任人，负责本单位信息安全等级保护工作的组织实施，为开展信息安全等级保护工作提供必要的条件。

第十条 信息系统运营、使用单位应当按照相关法律法规和技术标准的要求，评估和分析本单位信息系统安全状况，确定信息系统的安全保护等级。有主管部门的，应当报主管部门审核批准。

属于重要信息系统的，运营使用单位及其主管部门在确定信息系统的安全保护等级时，应请北京市信息安全保护等级专家评审委员会给予咨询评审。

第十一条 公安机关负责及时、准确掌握本市重要信息系统数量、行业分布、区域分布、安全事件发生和等级评定等基本情况。

第十二条 信息系统运营、使用单位应在确定本单位信息系统的安全等级后 7日内，登录北京市信息安全等级保护网站，网上在线填报《信息系统安全定级备案表》；信息系统运营、使用单位也可以下载后填写，将等级评定情况上报属地、保卫关系所属公安机关进行定级备案。

跨地域的信息系统由其主管部门向其所在地的公安机关备案，分系统分别由当地信息系统运营、使用单位到本地备案。

属地、保卫关系所属公安机关汇总各信息系统运营、使用单位定级备案情况上报市公安局，市公安局负责统计分析信息系统定级情况。

第十三条 信息系统运营、使用单位变更本单位信息系统的安全等级，需按照本细则第十二条规定，进行重新备案。

第十四条 信息系统的运营、使用单位应当根据已确定的安全保护等级，按照等级保护相关法律法规和技术标准，使用经过相关部门认可的安全产品，进行信息系统建设。

第十五条 信息系统运营、使用单位及其主管部门按照等级保护相关法律法规和技术标准，对已完成安全等级保护建设的信息系统进行自行评估，发现问题及时整改，加强自我保护。

第十六条 三级以上（含三级）的信息系统建设完成后，其运营、使用单位及其主管部门应选择具有相关资质和认可的信息安全测评单位进行安全检测和评估后，方可投入使用。

本市目前具有相关技术资质和安全资质，并得到认可的测评机构有：北京网络行业协会信息系统等级保护测评中心和北京信息安全测评中心。

第十七条 信息系统安全等级保护测评的单位，需按照相关技术标准进行安全测评后，为信息系统运营、使用单位出具信息安全测评报告，并提出相应整改意见。

信息系统安全等级保护测评单位应当遵守国家和本市有关法律法规和技术标准规定，保守在测评活动中知悉的国家秘密、商业秘密和个人隐私，提供安全、客观、公正的检测服务。

第十八条 安全保护等级在三级以上（含三级）的信息系统，运营、使用单位应当自系统投入运行之日起 30日内，到属地、保卫关系所属公安机关进行信息系统安全等级备案。

跨地域的信息系统由其主管部门向其所在地的公安机关进行总备案，分系统分别由当地信息系统运营、使用单位到本地备案。

第十九条 属地、保卫关系所属公安机关收到等级备案申请材料后，填写《信息安全保护等级备案受理回执单》，对提交材料的准确

性和完整性进行审查，日期从受理申请之日起开始计算， 10个工作日内完成，审查不符合要求的通知前来备案的信息系统运营、使用单位。通知方式包括：口头通知和书面通知。

口头通知：当信息系统运营、使用单位人员在办理备案登记的过程中，受理备案的人员当时就发现有不符合的情况应当直接口头通知其进行补充、完善或纠正。

书面通知：填写《信息安全保护等级备案审查结果通知单》正式通知信息系统运营、使用单位其备案材料具体哪些内容经审查不符合要求。

属地、保卫关系所属公安机关审查符合要求后，将等级备案材料连同审查意见上报市公安局备案。符合备案要求的信息系统由北京市信息安全等级保护办公室在北京市信息安全等级保护网站上向社会公布，并颁发备案证书。

公安机关应当建立备案数据库，进行备案管理，并上报北京市信息安全等级保护办公室。

第二十条 信息系统运营、使用单位到属地、保卫关系所属公安机关备案需要提交以下材料：

（一）信息系统运营、使用单位法定代表人或相同级别的主管领导签订的第一责任书；

（二）信息系统运营、使用单位法定代表人或相同级别主管领导的身份证明；

（三）《信息系统安全定级备案表》；

（四）信息系统安全测评报告；

（五）《信息系统安全保护等级备案登记表》（可在北京市信息安全等级保护网站网上下载）；

（六）信息系统安全管理人员从业资质；

（七）信息系统安全事件应急响应与处置预案。

第二十一条 信息系统的备案事项发生变更时，信息系统运营、使用单位或其主管部门应当自变更之日起 30日内按本实施细则中第二十条规定将变更情况报原备案机关。

第二十二条 备案事项发生变更，法定代表人或相同级别的主管领导发生变化的，需重新提交信息系统运营、使用单位法定代表人或相同级别的主管领导签订的第一责任书和信息系统运营、使用单位法定代表人或相同级别的主管领导的身份证明；信息系统的结构、处理流程等关键部分发生重大变更的应当及时重新定级，并出具相应等级的测评报告。

第三章 信息安全等级保护职责

第二十三条 信息系统的运营、使用单位应当履行下列安全等级保护职责：

（一）落实主管负责人和主管机构，并配备具有相应资格的工作人员；

（二）建立健全安全等级保护管理制度；

（三）落实安全等级保护技术标准要求；

（四）建立信息安全事件分等级应急响应、处置制度，制定安全事件应急预案，并定期进行演练；

（五）定期进行安全状况检测和评估；

（六）其他应当履行的安全等级保护职责。

第二十四条 公安机关组织专家、科研机构、安全厂商建立信息安全应急救援服务体系，为发生信息安全事件的单位提供救援服务。信息安全应急救援服务组织应当公布救援电话，在接到救援请求时，及时提供救援服务。

第二十五条 公安机关负责规划和组织建设应急处置体系，建立信息安全等级保护安全事件应急处置制度，收集整理信息安全事件基础数据，对全市信息安全事件进行分等级的监控和处置。

第二十六条 安全保护等级为三、四级的运营、使用单位信息系统需进行重点安全事件监控，并纳入本市信息安全应急处置体系中，根据信息安全事件所造成的破坏程度以及涉及的范围，确定事件等级，对不同等级事件分等级进行响应和处置。

第二十七条 安全保护等级为三、四级的信息系统，发生信息系统安全事件后，其运营、使用单位应当迅速采取措施降低损害程度，防止事件扩大，保存相关记录，并按要求及时向公安机关报告。

第二十八条 信息系统运营、使用单位应当依据信息系统安全等级保护管理要求，对信息系统和信息数据进行容灾、备份。

第二十九条 公安机关负责对信息系统运营、使用单位开展信息系统安全等级保护工作情况进行检查、指导和监督，安全保护等级为

三级的信息系统每年至少检查一次，安全保护等级为四级的信息系统每半年至少检查一次。

第三十条 第五级信息系统适用于涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统，其运营、使用单位应当依据国家管理规范和技术标准进行保护，由国家指定的专门部门或者专门机构对其信息安全等级保护工作进行专门监督、管理、指导。

第四章 罚则

第三十一条 公安机关对经认可的测评机构进行监督和管理，经发现违反本细则十七条规定开展测评工作的责令其限期整改，情节严重的，取消在本市的测评资格，关于测评工作的管理办法另行规定。

第三十二条 信息系统运营、使用单位未按要求履行备案职责的，按照职责分工，由公安机关责令其限期整改，给予警告，对单位可以并处三万元以下罚款。

第三十三条 一、二级信息系统的运营、使用单位未履行安全等级保护职责，有下列行为之一的，由公安机关责令其限期整改，给予警告，对单位可以并处一万元以下罚款：

（一）未落实主管负责人和主管机构并配备具有相应资格工作人员的；

（二）未建立健全安全等级保护管理制度的；

（三）未落实安全等级保护技术标准要求的；

（四）未履行其他的安全等级保护职责的。

第三十四条 三级（含三级）以上信息系统的运营、使用单位未履行安全等级保护职责，有下列行为之一的，由公安机关责令其限期整改，给予警告，对单位可以并处三万元以下罚款，情节严重的，可以给予 6个月以内的停机整顿的处罚。

（一）未落实主管负责人和主管机构，并配备具有相应资格工作人员的；

（二）未建立健全安全等级保护管理制度的；

（三）未落实安全等级保护技术标准要求的；

（四）未按照北京市信息安全等级保护相关规范建立信息安全事件的分等级应急响应、处置制度，制定安全事件应急预案，并定期进行演练的；

（五）未履行其他的安全等级保护职责的。

第三十五条 三级（含三级）以上的信息系统的运营、使用单位对信息系统未定期测评的，由公安机关责令其限期整改，给予警告，对单位可以并处三万元以下罚款。

第三十六条 三级以上（含三级）信息系统的运营、使用单位信息系统发生变化后，不重新进行信息系统等级备案的，按照职责分工，由公安机关责令其限期整改，给予警告，对单位可以并处三万元以下罚款；情节严重的，可以给予 6个月以内的停机整顿的处罚。

第三十七条 三级以上（含三级）信息系统的运营、使用单位没有对本单位负责信息系统安全等级保护工作的行政主管和技术人员

进行教育和培训的，按照职责分工，由公安机关责令其限期整改，给予警告。

第三十八条 信息系统运营、使用单位有违反以下规定的，由公安机关责令其限期整改，给予警告，对单位可以并处三万元以下罚款；情节严重的，可以给予 6个月以内的停机整顿的处罚：

（一）未及时向公安机关上报信息安全事件，或有缓报、谎 报、破坏原始记录行为的，未迅速采取措施降低损害程度，造成事件扩大的；

（二）未对信息系统和信息数据进行容灾、备份的；

（三）接到整改通知后，拒不整改或未按期整改的；

第三十九条 在信息安全等级保护工作中，公安机关对危害公共安全或违反相关法律、法规和规章行为，依法处理，构成犯罪的，依法追究法律责任。

第四十条 信息系统运营、使用单位对公安机关的整改意见有不同意见的，应及时提出。所提意见不被采纳时可向上一级公安部门申请复查，接到申请复查的公安机关应于 10日内进行复查并做出决定。

信息系统运营、使用单位在整改期间要求延期整改的，应向提出整改意见的公安机关申请延期，接到申请延期的公安机关应于 5日内做出决定，但延期最长不得超过 6个月。

其他处罚有不同意见的可参照法定程序