第四十二条 基础网络和重要信息系统的运营、使用单位,应当按照国家技术规范和标准,进行信息安全风险评估,或者委托具有相应资质的检测机构进行评估,并根据评估结果,采取相应的安全保护措施。
县级以上人民政府信息化主管部门应当组织有关部门对基础网络和重要信息系统的信息安全进行检查;必要时,可以组织有关部门进行信息安全风险检查评估。
基础网络和重要信息系统的具体范围,由省信息化主管部门确定,并报省人民政府批准。
第四十三条 基础网络和重要信息系统的主管部门和运营、使用单位,应当按照国家和省有关规定建立健全冗灾备份系统和灾难恢复机制,确保信息安全和作业的连续性。
第四十四条 县级以上人民政府信息化主管部门应当会同有关部门编制本行政区域网络与信息安全突发事件应急预案,经本级人民政府批准后实施,并报上一级信息化主管部门备案。
基础网络和重要信息系统的主管部门和运营、使用单位,应当按照国家和省有关规定制定网络与信息安全突发事件应急预案,定期演练。应急预案应当按照规定报信息化主管部门及有关部门备案。
发生网络与信息安全突发事件时,事发单位应当迅速启动应急响应,及时采取措施,防止事件扩大,保存相关记录,按照规定向本级人民政府和有关部门报告;县级以上人民政府及有关部门应当按照应急预案的规定,开展应急处置。
第四十五条 任何单位和个人不得擅自拆除、迁移或者损毁电信网、广播电视网、互联网等公共信息基础设施;不得从事故意制作、传播计算机病毒等危害网络与信息安全的活动。
第七章 法律责任
第四十六条 违反本条例规定的行为,有关法律、法规已有行政处罚规定的,从其规定;构成犯罪的,依法追究刑事责任。
第四十七条 违反本条例第四十二条第一款的规定,基础网络和重要信息系统的运营、使用单位未按照国家技术规范和标准进行信息安全风险评估的,由县级以上人民政府信息化主管部门责令限期改正,给予警告;逾期不改正的,处五千元以上三万元以下罚款。其中,公用通信网和互联网运营单位未按照国家技术规范和标准进行信息安全风险评估的,由通信管理机构按照本条规定予以处罚。
