第一篇:1998金融機構計算機信息系統安全保護工作暫行規定
金融機構計算機信息系統安全保護工作暫行規定
2004-06-25 信息來源:
金融機構計算機信息系統安全保護工作暫行規定
(公安部、中國人民中國人民銀行1998年8月31日發布)
第一章總則
第一條為加強金融機構計算機信息系統安全保護工作,保障國家財產的安全,保證金融事
業的順利發展,根據《中華人民共和國中國人民銀行法》《中華人民共和國計算機信息系統安全保護條例》等有關法律、法規制定本暫行規定。
第二條金融機構計算機信息系統安全保護工作實行誰主管、誰負責、預防為主、綜合治理、人員防范和技術防范相結合的原則,逐級建立安全保護責任制,加強制度建設,逐步實現科學化、規范化管理。
第三條金融機構計算機信息系統安全保護工作的基本任務是:預防、打擊利用或者針對金
融機構計算機信息系統進行的違法犯罪活動,預防、處理各種安全事故,提高金融機構計算機信息系統的整體安全水平,保障國家、集體和個人財產的安全。
第四條金融機構的主要負責人為本單位計算機信息系統安全保護工作的第一責任人。金融
機構的計算機信息系統安全保護領導小組、專職部門和專(兼)職安全管理人員以及其他有關人員應當協助第一責任人組織落實有關規定。
第五條金融機構應當建立同公安機關計算機管理監察部門的通報聯系制度,及時通報有關
計算機信息系統案件和事故情況,協助公安機關查處與本單位有關的案件和事故。
第六條公安機關計算機管理監察部門應當加強對金融機構計算機信息系統安全保護工作實
施的指導和監督,及時查處金融機構計算機信息系統發生的案件和事故。
第二章安全防范設施
第七條本暫行規定所稱金融機構計算機信息系統安全防范設施包括計算機主機房的構筑防
護設施和計算機信息系統及其相關的配套設備的技術防護設施。
第八條金融機構的數據處理中心計算機主機房應當符合下列基本要求:
(一)主機房在建筑內應為獨立區域。
(二)主機房周圍100米內不得有危險建筑,如:加油站、煤氣站等。
(三)主機房必須按照有關標準配置防火、防水、防盜設施并和當地公安機關110聯
網,以便報警。
(四)對不能停機的主機房必須采用雙回路供電,或者配置發電機、持續工作八小時以
上的UPS等設施。
第九條計算機設備必須有可靠接地,接地電阻不大于相應設備的技術要求,并裝置必要的防雷電設施。
第十條金融機構應當在主機房、柜面等要害部位安裝監控設備,落實值班監視制度。
第十一條對不能停機的計算機信息系統,金融機構應當配置必要的備份機,以便故障時切
換使用。
第十二條重要的通訊控制裝置及通訊線必須要有備份。
第十三條網絡通訊設施要有安全技術措施。
第三章安全防范管理
第十四條中國人民銀行和各政策性銀行、商業銀行應當加強信息科技管理部門,并設立專
職的計算機信息系統安全管理人員。
第十五條縣級以上金融機構必須成立計算機信息系統安全保護領導小組,由分管領導任組
長,并確定專職部門負責日常的計算機信息系統安全保護工作。領導小組名單應當報同級人民銀行計算機信息系統安全保護領導小組和公安機關計算機管理監察部門備案。其專職部門應當接受公安機關計算機管理監察部門的工作指導和監督。
第十六條金融基層單位應當設立專職或者兼職計算機信息系統安全管理人員。
第十七條各級金融機構應當將計算機信息系統安全防范工作納入職工的崗位責任制,并與
其他工作同時進行檢查考核。定期對職工進行法制教育、安全意識教育和防范技能訓練。
第十八條計算機信息系統安全保護領導小組負責本單位內各部門計算機信息系統安全管理
和檢查,并積極配合和支持公安機關計算機管理監察部門開展安全監察和查處案件。
第十九條計算機信息系統安全保護專職部門或者安全管理人員應當對本單位的主要計算機
信息系統資源配置、技術人員構成進行登記,報同級公安機關計算機管理監察部門備案。
第二十條金融機構應當加強主要崗位工作人員的錄用、考核制度,不適宜的人員必須及時
調離。對重要崗位計算機信息系統的安全情況經常進行檢查,及時整改不安全隱患。
第二十一條計算機工作人員調離時,必須移交全部技術手冊及有關資料,并更換計算機的有關口令和密鑰。涉及銀行業務核心部分開發的技術人員調離本系統時,應當確認對本系統安全不會造成危害后方可調離。
第二十二條金融機構應當對與計算機有關的衛星天線、電源接口、通信接口等設備進行定
期檢查維護。
第二十三條金融機構應當建立計算機主機房的值班及人員出入管理登記等制度。
第二十四條金融機構應當建立操作人員密碼制度,分清各自責任。密碼修改要有記錄。
第二十五條金融機構應當實行權限分散原則。明確系統管理員、系統操作員、終端操作員、程序員的權限和操作范圍。建立系統運行日志,每天打印重要的操作清單。日志信息長期保存,以備稽查。
第二十六條金融機構應當對易受病毒攻擊的計算機信息系統,定期進行病毒檢查。用介質
交換信息要按規定手續管理,并進行病毒預檢,防止病毒對系統和數據的破壞。
第二十七條金融機構對證券交易、儲蓄、會計等業務的計算機數據處理,應當建立嚴格的管理措施,以防止各類事故的發生。
第二十八條金融機構應當用軟、硬件技術嚴格控制各級用戶對數據信息的訪問權限,包括
訪問的方式和內容。
第二十九條金融機構應當對重要的數據建立數據備份制度,并做到異地保存。
第三十條金融機構應當對貯有重要數據的故障設備,交外單位人員修理時,本單位必須派
專人在場監督。
第三十一條金融機構應當建立廢棄數據、介質的處理制度。
第三十二條金融機構修改金融業務程序和系統參數,必須履行一定的審批手續,并做好文
檔資料的相應修改。
第三十三條金融機構的開發系統應當和業務系統分離,程序員只能在開發系統上工作。業
務用機不得用于項目開發,不得含有源程序、編譯工具、連接工具等工具軟件,不使用與業務無關的任何存貯介質。
第三十四條系統管理員不能兼任柜面及事后稽核等工作,不得參與相關軟件開發。參加過
應用系統開發的人員,不得擔任相應系統的管理員。
第三十五條金融機構啟用新的應用軟件,應當按規定手續交系統維護人員安裝到業務系統,并做好日志記錄。
第三十六條重要系統應用軟件運行過程中出現異常現象,金融機構應當立即報告本級銀行
安全管理職能部門,做好詳細記錄,經領導同意后,由系統管理人員進行檢查、修改、維護。
第三十七條金融機構應當建立定期的系統和程序備份制度,異地保存兩個以上最新的版本
及其目錄打印清單,以備系統和程序的恢復。
第三十八條金融機構對重要的業務系統及設備,必須制定應急情況處理方案。
第三十九條金融機構對聯網的計算機及其網絡設備和通訊設備的安裝、使用,應當建立嚴
格的管理措施,以防“黑客”的侵襲。
第四十條金融機構對重要通信應當采用加密措施,并定期更換通訊密鑰。重要線路應當采
用專線聯接方式或者虛擬專線聯接方式。
第四十一條金融機構應當建立嚴格的密鑰管理制度和在緊急情況下銷毀密鑰的手段和措
施,以防止密鑰的失密。
第四十二條金融機構對與國際聯網的計算機信息系統,要按有關規定向公安機關登記備案。對生產機以及存放重要數據的計算機不得以任何方式與國際互聯網聯網。
第四十三條公安機關應當定期對金融機構的計算機信息系統進行檢查,發現有影響計算機
信息系統安全的隱患時,應當及時通知該金融機構。
第四十四條公安機關應當對金融機構的計算機信息系統安全管理人員進行安全知識培訓,并頒發《計算機安全員上崗證》,并協助金融機構建立、完善計算機信息系統安全保護制度。
第四章事故與案件的處理
第四十五條金融機構計算機信息系統發生重大事故,應當立即報告本單位計算機信息系統
安全保護領導小組和專職部門,并填寫《計算機事故申報表》,報同級公安機關計算機管理監察部門和人民銀行計算機信息系統安全保護領導小組。
第四十六條金融機構發現計算機犯罪案件,應當立即向當地公安機關報案,并保護好發案
現場。發現其他不屬公安機關管轄的案件,要將主要案情通報當地公安機關。
第四十七條公安機關接到金融單位報案后,應當立即派人趕赴現場,查處案件。
第五章獎勵與處罰
第四十八條執行本暫行規定,在金融機構計算機信息系統安全保護工作中成績顯著的單位
和個人,由上級金融主管部門、本單位或者公安機關給予表彰、獎勵。
第四十九條違反本暫行規定,存在計算機信息系統安全隱患的金融機構,由公安機關發出
整改通知,限期整改。因不及時整改而發生重大案件和事故的,由上級金融主管部門對該單位的主管負責人和直接責任人予以行政處分;構成違反治安管理或者計算機管理監察行為的,由公安機關依法予以處罰;構成犯罪的,由司法機關依法追究刑事責任。
第六章附則
第五十條本暫行規定由公安部和中國人民銀行負責解釋。
第五十一條本暫行規定自發布之日起施行。
第二篇:內蒙古自治區計算機信息系統安全保護辦法
內蒙古自治區計算機信息系統安全保護辦法
第一章 總 則
第一條 為保護計算機信息系統安全,根據《中華人民共和國計算機信息系統安全保護條例》及有關法律法規,結合自治區實際,制定本辦法。
第二條 本辦法適用于自治區行政區域內計算機信息系統的安全保護。
第三條 旗縣級以上人民政府公安機關主管本行政區域內計算機信息系統的安全保護工作。國家安全機關、保密工作部門、密碼管理部門和其他有關部門在各自職責范圍內做好計算機信息系統的安全保護工作。
第四條 計算機信息系統的安全保護,應當保障計算機及其相關的和配套的設備、設施、網絡的安全,運行環境的安全,保障信息的安全,保障計算機功能的正常發揮,以維護計算機信息系統的安全運行。
第二章 安全等級保護
第五條 計算機信息系統實行安全等級保護制度。安全保護等級根據計算機信息系統在國家安全、經濟建設、社會生活中的重要程度,計算機信息系統受到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織合法權益的危害程度等因素確定,分為五級。
(一)計算機信息系統受到破壞后,可能對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益的,為第一級;
(二)計算機信息系統受到破壞后,可能對公民、法人和其他組織的合法權益造成嚴重損害,或者可能對社會秩序和公共利益造成損害,但不損害國家安全的,為第二級;
(三)計算機信息系統受到破壞后,可能對社會秩序和公共利益造成嚴重損害,或者可能對國家安全造成損害的,為第三級;
(四)計算機信息系統受到破壞后,可能對社會秩序和公共利益造成特別嚴重損害,或者可能對國家安全造成嚴重損害的,為第四級;
(五)計算機信息系統受到破壞后,可能對國家安全造成特別嚴重損害的,為第五級。
第六條 計算機信息系統運營、使用單位應當遵守下列規定:
(一)對計算機信息系統安全保護等級準確定級,并按照等級保護管理規范和技術標準實施保護;
(二)新建計算機信息系統的,應當在規劃、設計階段確定安全保護等級,同步建設符合該安全保護等級要求的信息系統安全保護設施,落實安全保護措施;
(三)計算機信息系統的結構、處理流程、服務內容等發生重大變化,或者公安機關要求重新確定等級的,應當重新定級;
(四)按照計算機信息系統安全保護等級要求,使用符合國家及自治區規定并取得國家計算機信息系統安全專用產品銷售許可證的信息安全產品;
(五)定期對本單位計算機信息系統的安全狀況、保護制度和措施進行自查和整改;
(六)建立安全保護組織,確定安全管理責任人,指定專職人員負責本單位計算機信息系統的安
全管理。
第七條 第二級以上計算機信息系統運營、使用單位,應當自確定安全保護等級之日起30日內,到所在地盟行政公署、設區的市人民政府公安機關或者其指定的受理機構備案;屬于自治區統一聯網、跨盟市或者中央駐自治區、自治區直屬單位的計算機信息系統,應當到自治區人民政府公安機關或者其指定的受理機構備案。
第八條 公安機關應當在收到備案材料之日起10個工作日內對報送備案的材料進行審查,對符合等級保護要求的,出具備案證明。對定級不準確或者保護措施不符合技術規范的,應當書面通知報送單位予以糾正。
第九條 計算機信息系統涉及國家安全、社會公共利益、重大經濟建設等信息的,其運營、使用單位或者主管部門應當選擇符合法定條件的安全等級測評機構,依據國家規定的技術標準,對計算機信息系統安全等級狀況進行測評。
第二級以上計算機信息系統建設完成后,經測評合格方可投入使用。
第十條 計算機信息系統確定為第二級保護等級的,應當每兩年至少進行一次系統安全等級測評;確定為第三級的,應當每年至少進行一次系統安全等級測評;確定為第四級以上的,應當每半年至少進行一次系統安全等級測評。
第十一條 從事計算機信息系統安全等級測評工作的機構和人員應當遵守國家規定。申請成立安全等級測評機構的單位應當經自治區人民政府公安機關初審,并通過公安部信息安全等級保護評估中心的測評能力評估。
自治區人民政府公安機關應當加強對安全等級測評機構的監督、檢查和指導。
第十二條 旗縣級以上人民政府公安機關應當對計算機信息系統運營、使用單位的信息安全等級保護情況進行檢查。對第三級計算機信息系統每年至少檢查一次,對第四級計算機信息系統每半年至少檢查一次。
對第五級計算機信息系統,應當由國家指定的專門部門進行檢查。
第三章 安全管理
第十三條 公安機關應當為公眾提供計算機信息系統安全保護指導,開展安全宣傳教育。
第十四條 公安機關對計算機信息系統安全服務機構實行分級管理和推薦制度。
第十五條 計算機信息系統安全服務機構應當向盟市級以上公安機關備案。
計算機信息系統安全服務機構應當執行國家及自治區有關計算機信息系統安全標準,應當配備適應開展相應安全服務需要、掌握國家及自治區有關計算機信息系統安全標準的技術人員。
計算機信息系統安全服務機構及其工作人員不得泄露在開展安全服務過程中獲悉的國家秘密、商業秘密以及計算機信息系統網絡結構、配置等用戶信息;不得非法占有、使用用戶的信息資源;不得在計算機信息系統中設置隱蔽信道。
第十六條 發生重大突發事件,危及國家安全、公共安全、社會穩定及重要計算機信息系統安全的緊急情況時,盟市級以上公安機關可以按照有關法律、法規的規定,要求有關單位采取相應控制措施。計算機信息系統的運營、使用單位應當服從公安機關和國家指定部門的調度。
第十七條 基礎電信運營企業和計算機信息系統的運營、使用單位應當接受公安機關的安全監督、檢查、指導,并如實提供有關計算機信息系統安全保護的信息資料、互聯網基礎數據及其他數據文件。
第十八條 基礎電信運營企業等提供互聯網接入服務的單位應當執行下列規定:
(一)配合公安機關做好接入本網絡聯網單位和用戶的備案工作,真實、準確、完整登記聯網單位和用戶的名稱、性質、有效證件、互聯網地址、裝機地址、上網電話、聯系人等公安機關要求備案的信息,報送同級公安機關,并及時報告本網絡中聯網單位和用戶的變更情況;
(二)記錄并留存接入本網絡的聯網單位和用戶登錄、退出互聯網時間及主叫號碼、賬號、互聯網地址等上網日志信息,留存時間不少于1年;
(三)落實相關安全保護技術措施,通過互聯網地址和相關網絡應用信息能夠對應聯網單位和用戶信息;
(四)協助公安機關查處涉及互聯網的違法犯罪行為,并采取人工值守、遠程聯網查詢等方式提供24小時快速查詢支持;
(五)協助公安機關對接入本網絡的聯網單位和用戶進行安全宣傳教育,落實安全保護措施;
(六)互聯網絡拓撲結構、通信協議等擬進行重大調整的,應當報自治區人民政府公安機關備案后實施。
第十九條 提供互聯網接入服務的單位、提供服務器托管或租賃空間服務的單位、互聯網信息服務提供者及其他有關電信業務經營者應當建立安全管理制度,采取異常流量和違法信息監測等安全保護技術措施,及時發現危害信息網絡安全、網上傳播違法信息等違法犯罪活動,保留有關原始記錄,及時采取刪除、停止傳輸等措施,并在24小時內向當地公安機關報告。
第二十條 聯網單位和用戶應當采取設置安全性較高的密碼等安全保護措施,定期更改密碼,保障所使用上網賬號的安全。
基礎電信運營企業可以采取動態密碼認證等技術措施為聯網單位和用戶提供互聯網接入服務。
第二十一條 聯網單位和用戶向其他單位、個人提供互聯網上網服務或者與其他單位、個人共用上網線路、賬號的,應當遵守國家有關規定,并到旗縣級以上人民政府公安機關備案。
第二十二條 提供互聯網上網服務的單位和通過局域網接入互聯網用戶終端在10臺以上的聯網單位應當安裝、運行符合國家及自治區規定的安全管理系統。
第二十三條 賓館、酒店、餐廳、機場、車站、閱覽室等提供互聯網上網服務的場所和通過無線方式接入互聯網的地點管理者,應當采取用戶登錄認證安全技術措施,并對上網用戶的身份證等有效證件進行核對、登記。
第二十四條 使用內部網絡地址與互聯網網絡地址轉換方式接入互聯網的聯網單位,應當記錄并留存用戶上網終端硬件地址等信息與內部網絡地址和互聯網網絡地址的對應關系。留存時間不少于1年。
第二十五條 生產、銷售或者提供具有計算機信息系統遠程控制、密碼猜解、漏洞檢測、信息群發功能的產品和工具的,應當報自治區人民政府公安機關或者其指定的公安機關備案。
第四章 安全秩序
第二十六條 計算機信息系統的運營、使用單位應當建立并執行下列安全管理制度:
(一)計算機機房安全管理制度;
(二)安全責任制度;
(三)病毒、網絡安全漏洞檢測和系統升級制度;
(四)系統安全風險管理和應急處置制度;
(五)賬號使用登記和操作權限管理制度;
(六)安全管理人員崗位工作職責;
(七)重要設備、介質管理制度;
(八)信息發布審查、登記、保存、清除和備份制度;
(九)信息群發服務管理制度;
(十)安全教育和培訓制度;
(十一)案件、事件報告和協助查處制度;
(十二)其他與安全保護相關的管理制度。
第二十七條 計算機信息系統的運營、使用單位應當采取下列安全保護技術措施:
(一)系統重要部分的冗余或者備份措施;
(二)計算機病毒防治措施;
(三)網絡攻擊防范和追蹤措施;
(四)安全審計和預警措施;
(五)系統運行和用戶使用日志記錄留存1年以上措施;
(六)記錄用戶賬號、主叫電話號碼和網絡地址措施;
(七)身份登記和識別確認措施;
(八)垃圾信息、有害信息的防治、清理措施;
(九)信息群發限制措施;
(十)其他保護計算機信息系統安全的技術措施。
第二十八條 任何單位和個人不得利用計算機信息系統、移動通訊終端制作、傳播、復制下列信息:
(一)危害國家統一、主權和領土完整的;
(二)泄露國家秘密,危害國家安全或者損害國家榮譽和利益的;
(三)煽動民族仇恨、民族歧視,破壞民族團結或者侵害民族風俗、習慣的;
(四)破壞國家宗教政策,宣揚邪教、封建迷信的;
(五)散布謠言,發布虛假信息,擾亂社會秩序,破壞社會穩定的;
(六)煽動聚眾滋事,損害社會公共利益的;
(七)宣揚淫穢、色情、賭博、暴力、兇殺、恐怖的;
(八)教唆犯罪或者傳授犯罪方法的;
(九)散布他人隱私,侮辱、誹謗、恐嚇他人,侵害他人合法權益的;
(十)從事考試作弊相關活動的;
(十一)販賣假幣、假證件、假發票、假冒偽劣商品、槍支彈藥、爆炸物、迷藥、竊聽器和其他
法律、法規禁止流通的物品的;
(十二)法律、法規禁止制作、傳播、復制的其他信息。
第二十九條 任何單位和個人不得實施下列行為:
(一)未經允許,進入計算機信息系統或者非法占有、使用、竊取計算機信息系統資源;
(二)未經允許,對計算機信息系統功能進行刪除、修改、增加或者干擾;
(三)未經允許,對計算機信息系統中存儲、處理或者傳輸的數據和應用程序進行刪除、修改或者增加;
(四)利用計算機信息系統竊取他人賬號和密碼,或者擅自向第三方公開他人賬號和密碼;
(五)非法截取、篡改、刪除他人電子郵件或者其他數據資料;
(六)故意制作、傳播計算機病毒、惡意軟件等破壞性程序;
(七)利用計算機信息系統假冒他人名義制作、傳播信息,或者以其他方式進行網絡詐騙;
(八)建立或者管理主要用于傳播、交流違法犯罪信息的網站、群組、論壇等;
(九)允許、放任他人在自己所有或者管理的網站、網頁、群組上發布第二十八條所禁止的信息;
(十)為非法網站提供服務器托管、虛擬主機、網絡存儲空間等服務,或者通過投放廣告等方式向其直接、間接提供資金;
(十一)明知是非法網站,向其提供互聯網接入、通訊傳輸通道、代收費、費用結算等服務;
(十二)以牟利為目的,在互聯網上散布、刪除信息,侵犯他人合法權益;
(十三)提供侵入、非法控制計算機信息系統的方法、程序、工具;
(十四)法律、法規禁止的其他利用計算機信息系統實施的行為。
第五章 法律責任
第三十條 違反本辦法第六條、第九條、第十條、第十七條、第十八條第一至四項、第十九條、第二十六條、第二十七條規定的,由公安機關責令限期改正,給予警告,有違法所得的,沒收違法所得;在規定的限期內未改正的,對單位的主管負責人員和其他直接責任人員處以5000元以下的罰款,對單位處以15000元以下的罰款,可以建議主管部門對相關單位的主要領導給予處分;情節嚴重的,并可以給予6個月以內停止聯網、停機整頓的處罰。
第三十一條 違反本辦法第十五條第三款規定的,由公安機關對單位的主管負責人員和其他直接責任人員處以5000元以下的罰款,對單位處以5000元以上15000元以下的罰款;有違法所得的,除沒收違法所得外,可以處以違法所得1至3倍的罰款,但是最高不得超過30000元。
第三十二條 違反本辦法第二十條第一款規定的,由公安機關責令限期改正,給予警告;在規定的限期內未改正的,可以給予6個月以內停止聯網、停機整頓的處罰。
第三十三條 違反本辦法第二十二條、第二十三條、第二十四條規定的,由公安機關責令限期改正,給予警告,有違法所得的,沒收違法所得;在規定的限期內未改正的,對單位的主管負責人員和其他直接責任人員處以5000元以下的罰款,對單位處以15000元以下的罰款;情節嚴重的,并可以給予6個月以內停止聯網、停機整頓的處罰。
第三十四條 違反本辦法第二十八條、第二十九條規定的,由公安機關給予警告,對個人可以并處5000元以下的罰款,對單位可以并處15000元以下的罰款;有違法所得的,除沒收違法所得
外,可以處以違法所得1至3倍的罰款,但是最高不得超過30000元;情節嚴重的,并可以給予6個月以內停止聯網、停機整頓的處罰。
第三十五條 從事計算機信息系統安全等級測評工作的單位和人員有下列行為之一的,由公安機關對單位主管負責人員和其他直接責任人員處以5000元以下的罰款,對單位處以5000元以上15000元以下的罰款;有違法所得的,除沒收違法所得外,可以處以違法所得1至3倍的罰款,但是最高不得超過30000元:
(一)未通過測評能力評估,從事測評活動的;
(二)影響被測評計算機信息系統正常運行,危害被測評計算機信息系統安全的;
(三)擅自向第三方泄露被測評計算機信息系統運營、使用單位秘密和其他信息的;
(四)故意隱瞞測評過程中發現的安全問題,或者在測評過程中弄虛作假,未如實出具測評報告的;
(五)擅自占有、使用測評相關資料及數據文件的;
(六)分包或者轉包測評項目的;
(七)從事計算機信息系統安全專用產品的開發、銷售及信息系統安全集成業務,或者限定被測評單位購買、使用其指定的信息安全專用產品的;
(八)其他可能影響測評結果客觀、公正的行為,或者未按照國家規定開展測評工作的。
第三十六條 違反本辦法規定,構成違反治安管理行為的,依照《中華人民共和國治安管理處罰法》的規定處罰;給國家、其他組織或者他人財產造成損失的,應當依法承擔民事責任;構成犯罪的,依法追究刑事責任。
第三十七條 公安機關和其他有關部門及其工作人員有下列行為之一的,對直接負責的主管人員和其他直接責任人員依法給予行政處分;構成犯罪的,依法追究刑事責任。
(一)利用職權索取、收受賄賂,或者玩忽職守、濫用職權的;
(二)泄露計算機信息系統運營、使用單位或者個人的有關信息、資料及數據文件的;
(三)其他不履行法定職責的。
第六章 附 則
第三十八條 本辦法所稱的計算機信息系統,是指由計算機及其相關的和配套的設備、設施、網絡構成的,按照一定的應用目標和規則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統。
本辦法所稱的信息安全等級測評,是指對計算機信息系統的安全狀況進行測試、評價、判斷。本辦法所稱的安全服務機構,是指從事計算機信息系統安全設計、建設、檢測、維護、監理、咨詢、培訓等業務的單位。
本辦法所稱聯網單位和用戶包括通過計算機或者手機等通訊終端以有線、無線等方式接入互聯網的單位和用戶。
第三十九條 本辦法自2012年2月1日起施行。
第三篇:杭州市計算機信息系統安全保護管理辦法
杭州市計算機信息系統安全保護管理辦法 杭州市人民政府令
第211號
《杭州市計算機信息系統安全保護管理辦法》已經2004年10月25日市人民政府第53次常務會議審議通過,現予公布,自2005年1月1日起施行。
代市長
二○○四年十一月三日
杭州市計算機信息系統安全保護管理辦法
第一章 總
則
第一條 為加強對計算機信息系統的安全保護,維護公共秩序和社會穩定,促進信息化的健康發展,根據《中華人民共和國計算機信息系統安全保護條例》、《中華人民共和國計算機信息網絡國際聯網管理暫行規定》等規定,結合本市實際,制定本辦法。
第二條 本辦法所稱的計算機信息系統,是指由計算機及其相關的和配套的設備、設施(含有線、無線等網絡,下同)構成的,按照一定的應用目標和規則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統,包括互聯網、局域網、移動網等。
第三條 杭州市行政區域范圍內計算機信息系統的安全保護管理,適用本辦法。
第四條 杭州市公安局主管全市計算機信息系統安全保護管理工作。
杭州市公安局公共信息網絡安全監察分局具體負責市區范圍內(蕭山區、余杭區除外)計算機信息系統安全保護管理工作。
各縣(市)公安局和蕭山區、余杭區公安分局負責本行政區域范圍內計算機信息系統安全保護管理工作。
國家安全機關、保密機關、信息化行政主管部門及政府其他有關職能部門,在各自職責范圍內負責計算機信息系統安全保護管理的有關工作。
第五條 公安機關、國家安全機關、保密機關、信息化行政主管部門及政府其他有關職能部門,應當建立協調合作管理機制,共同做好計算機信息系統安全保護管理工作。
第六條 公安機關、國家安全機關、保密機關、信息化行政主管部門及政府其他有關職能部門在履行管理職責過程中,應當保護計算機信息系統使用單位和個人的合法權益,保守其秘密。
計算機信息系統使用單位和個人應當協助公安機關等有關職能部門做好計算機信息系統的安全保護管理工作。在公安機關等有關職能部門依法履行管理職責時,使用單位和個人應當如實提供本單位計算機信息系統的技術資料。
第七條 計算機信息系統的安全保護工作,重點維護下列涉及國家事務、公共利益、經濟建設、尖端科學技術等重要領域和單位(以下簡稱重點安全保護單位)的計算機信息系統的安全:
(一)各級國家機關;
(二)金融、證券、保險、期貨、能源、交通、社會保障、郵電通信及其他公用事業單位;
(三)重點科研、教育單位;
(四)有關國計民生的企業;
(五)從事國際聯網的互聯單位、接入單位及重點政務、商務、新聞網站;
(六)向公眾提供上網服務的單位;
(七)互聯網絡游戲、手機短信轉發、各類聊天室等互動欄目的開發、運營和維護單位;
(八)其他對社會公共利益有重大影響的計算機信息系統使用單位。
第二章 計算機信息系統使用單位的安全管理
第八條 計算機信息系統使用單位應當建立人員管理、機房管理、設備設施管理、數據管理、磁介質管理、輸入輸出控制管理和安全監督等制度,健全計算機信息系統安全保障體系,保障本單位計算機信息系統安全。
第九條 計算機信息系統使用單位應當確定本單位的計算機信息系統安全管理責任人。安全管理責任人應履行下列職責:
(一)組織宣傳計算機信息系統安全保護管理方面的法律、法規、規章和有關政策;
(二)組織實施本單位計算機信息系統安全保護管理制度和安全保護技術措施;
(三)組織本單位計算機從業人員的安全教育和培訓;
(四)定期組織檢查計算機信息系統的安全運行情況,及時排除安全隱患。
第十條 計算機信息系統使用單位應當配備本單位的計算機信息系統安全技術人員。安全技術人員應履行下列職責:
(一)嚴格執行本單位計算機信息系統安全保護技術措施;
(二)對計算機信息系統安全運行情況進行檢查測試,及時排除安全隱患;
(三)計算機信息系統發生安全事故或違法犯罪案件時,應立即向本單位報告,并采取妥善措施保護現場,避免危害的擴大;
(四)負責收集本單位的網絡拓撲結構圖及信息系統的其他相關技術資料。
第十一條 重點安全保護單位應當建立并執行以下安全保護管理制度:
(一)計算機機房安全管理制度;
(二)安全管理責任人、安全技術人員的安全責任制度;
(三)網絡安全漏洞檢測和系統升級管理制度;
(四)操作權限管理制度;
(五)用戶登記制度;
(六)信息發布審查、登記、保存、清除和備份制度;
(七)信息保密制度;
(八)信息系統安全應急處置制度;
(九)其他相關安全保護管理制度。
第十二條 重點安全保護單位應當落實以下安全保護技術措施:
(一)系統重要部分的冗余措施;
(二)重要信息的異地備份措施和保密措施;
(三)計算機病毒和有害數據防治措施;
(四)網絡攻擊防范和追蹤措施;
(五)安全審計和預警措施;
(六)信息群發限制措施;
(七)其他相關安全保護技術措施。
第十三條 重點安全保護單位的安全管理責任人和安全技術人員,應當經過計算機信息系統安全知識培訓。
第十四條 重點安全保護單位應當對其主服務器輸入輸出數據進行24小時監控,發現異常數據應注意保護現場,并同時報告公安機關等有關職能部門。
第十五條 使用和銷售計算機信息系統安全專用產品,必須是依法取得計算機信息系統安全專用產品銷售許可證的產品。
進入本市銷售計算機信息系統安全專用產品的銷售單位,其銷售產品目錄應報市公安局備案。
市公安局應定期發布通告,公布合格的計算機信息系統安全專用產品目錄。
保密技術專用產品的管理,按照國家和省、市的有關規定執行。
第十六條 計算機信息系統使用單位發現計算機信息系統中發生安全事故和違法犯罪案件時,應在24小時內向當地公安機關報告,并做好運行日志等原始記錄的現場保留工作。涉及重大安全事故和違法犯罪案件的,未經公安機關查勘或同意,使用單位不得擅自恢復、刪除現場。涉及其他管理部門法定職權的,公安機關應當在接到報告后及時通知有關部門。
第十七條 計算機信息系統發生突發性事件或存在安全隱患,可能危及公共安全或損害公共利益時,公安機關等有關職能部門應當及時通知計算機信息系統使用單位采取安全保護措施,并有權對使用單位采取暫停聯網、停機檢查、備份數據等應急措施,計算機信息系統使用單位應當予以配合。
突發性事件或安全隱患消除之后,公安機關等有關職能部門應立即解除暫停聯網或停機檢查措施,恢復計算機信息系統的正常工作。
第三章 計算機信息系統安全檢測
第十八條 重點安全保護單位的計算機信息系統進行新建、改建、擴建的,其安全保護設計方案應報公安機關備案。
系統建成后,重點安全保護單位應進行1至6個月的試運行,并委托符合條件的檢測機構對其系統進行安全保障體系檢測,檢測合格的,系統方能投入正式運行。重點安全保護單位應將檢測合格報告書報公安機關備案。
涉密計算機信息系統的建設、檢測等按照國家和省、市的有關規定執行。
第十九條 計算機信息系統安全保障體系檢測包括以下內容:
(一)安全保護管理制度和安全保護技術措施的制定和執行情況;
(二)計算機硬件性能和機房環境;
(三)計算機系統軟件和應用軟件的可靠性;
(四)技術測試情況和其他相關情況。
市公安局應當根據計算機信息系統安全保護的行業特點,會同有關部門制定并公布重點行業計算機信息系統安全保障體系的安全要求規范。
第二十條 重點安全保護單位對計算機信息系統進行設備更新或改造時,對安全保障體系產生直接影響的,應當委托符合條件的檢測機構對受影響的部分進行檢測,確保其符合該行業計算機信息系統安全保障體系的安全要求規范。
第二十一條 重點安全保護單位應加強對計算機信息系統的安全保護,定期委托符合條件的檢測機構對計算機信息系統進行安全保障體系檢測,并將檢測合格報告書報公安機關備案。對檢測不合格的,重點安全保護單位應當按照該行業計算機信息系統安全保障體系的安全要求規范進行整改,整改后達到要求的,系統方能繼續運行。
第二十二條 公安機關應當會同有關部門,按照國家有關規定和相關行業安全要求規范,對重點安全保護單位的計算機信息系統安全保障體系進行檢查。檢查內容包括:
(一)安全保護管理制度和安全保護技術措施的落實情況;
(二)計算機信息系統實體的安全;
(三)計算機網絡通訊和數據傳輸的安全;
(四)計算機軟件和數據庫的安全;
(五)計算機信息系統安全審計狀況和安全事故應急措施的執行情況;
(六)其他計算機信息系統的安全情況。
第二十三條 公安機關等有關職能部門發現重點安全保護單位的計算機信息系統存在安全隱患、可能危及公共安全或損害公共利益的,可委托符合條件的檢測機構對其安全保障體系進行檢測。經檢測發現存在安全問題的,重點安全保護單位應當立即予以整改。
第二十四條 檢測機構進行計算機信息系統安全檢測時,應保障被檢測單位各種活動的正常進行,并不得泄露其秘密。
檢測機構應當嚴格按照國家有關規定和相關規范進行檢測,并對其出具的檢測報告承擔法律責任。
第四章 計算機信息網絡公共秩序管理
第二十五條 互聯網絡接入單位以及申請從事互聯網信息服務的單位和個人,除應當按照國家有關規定辦理相關手續外,還應當自網絡正式聯通之日起30日內到公安機關辦理安全備案手續。
第二十六條 用戶在接入單位辦理入網手續時,應當填寫用戶備案表。接入單位應當定期將接入本網絡的用戶情況報當地公安機關備案。
第二十七條 設立互聯網上網服務營業場所,應當按照《互聯網上網服務營業場所管理條例》的規定向公安機關申請信息網絡安全審核。經公安機關審核合格,發給互聯網上網服務營業場所信息網絡安全許可證明后,再向文化、工商部門辦理有關審批手續。
互聯網上網服務營業場所經營單位變更營業場所地址或者對營業場所進行改建、擴建,變更計算機數量或者其他重要事項的,應當經原審核機關同意。
互聯網上網服務營業場所經營單位變更名稱、住所、法定代表人或者主要負責人、注冊資本、網絡地址或者終止經營活動的,應當依法到工商行政管理部門辦理變更登記或者注銷登記,并到文化行政部門、公安機關辦理相關手續。
第二十八條 互聯網上網服務營業場所經營單位必須使用固定的IP地址聯網,并按規定落實安全保護技術措施。
互聯網上網服務營業場所經營單位應按規定對上網人員進行電子實名登記,登記內容包括姓名、身份證號碼、上網起止時間,并應記錄上網信息。登記內容和記錄備份保存時間不得少于60日,在保存期內不得修改或者刪除。
第二十九條 任何單位和個人不得從事下列危害計算機信息網絡安全的活動:
(一)未經授權查閱他人電子郵箱,或者以贏利和非正常使用為目的,未經允許向第三方公開他人電子郵箱地址;
(二)故意向他人發送垃圾郵件,或者冒用他人名義發送電子郵件;(三)利用計算機信息網絡傳播有害手機短信;
(四)侵犯他人隱私、竊取他人帳號、進行網上詐騙活動;
(五)未經計算機信息網絡所有者同意,掃描他人信息網絡漏洞;
(六)利用計算機信息網絡鼓動公眾惡意評論他人或公開發布他人隱私,或者暗示、影射對他人進行人身攻擊;
(七)其他危害計算機信息網絡安全的行為。
第三十條 從事信息網絡經營、服務的單位和個人應當遵守下列規定:
(一)制訂安全保護管理制度,對本網絡用戶進行安全教育;
(二)落實安全保護技術措施,保障本網絡的運行安全和其發布的信息安全;
(三)建立電子公告系統的信息審核制度,設立信息審核員,發現有害信息的,應在做好數據保存工作后及時刪除;
(四)發現本辦法第二十九條中各類情況時應保留有關稽核記錄,并立即向公安機關報告;
(五)落實信息群發限制、匿名轉發限制和有害數據防治措施;
(六)落實系統運行和上網用戶使用日志記錄措施;
(七)按公安機關要求報送各類接入狀況及基礎數據。
第三十一條 發現計算機信息網絡傳播病毒、轉發垃圾郵件、轉發有害手機短信或傳播有害信息的,信息網絡的經營、服務單位和個人應當采取技術措施予以防護和制止,并在24小時內向公安機關報告。
對不采取技術措施予以防護和制止的信息網絡經營、服務單位和個人,公安機關有權責令其采取技術措施,或主動采取有關技術措施予以防護和制止。
第三十二條 公安機關應對計算機信息網絡的安全狀況、公共秩序狀況進行經常性監測,發現危害信息安全和危害公共秩序的事件應及時進行處理,并及時通知有關單位和個人予以整改。
第五章 法律責任
第三十三條 違反本辦法規定,有下列行為之一的,給予警告,責令限期改正,并可處以1000元以上10000元以下罰款;情節嚴重的,可以給予6個月以內停機整頓的處罰:
(一)計算機信息系統使用單位未建立安全保護管理制度或未落實安全保護技術措施,危害計算機信息系統安全的;
(二)計算機信息系統使用單位不按照規定時間報告計算機信息系統中發生的安全事故和違法犯罪案件,造成危害的;
(三)重點安全保護單位的計算機信息系統未經檢測或檢測不合格即投入正式運行的。
第三十四條 違反本辦法規定,銷售計算機信息系統安全專用產品未向公安機關備案的,給予警告,責令限期改正,并可處以200元以上2000元以下罰款。
第三十五條 違反本辦法規定,接入單位或從事互聯網信息服務的單位和個人不辦理安全備案手續的,給予警告,責令限期改正,并可處以1000元以上5000元以下的罰款;情節嚴重的,可以給予6個月以內停機整頓的處罰。
第三十六條 違反本辦法規定,未取得互聯網上網服務營業場所信息網絡安全許可證明從事互聯網上網服務經營活動的,責令限期補辦手續,并可處以1000元以上10000元以下的罰款。
第三十七條 有本辦法第二十九條規定行為之一的,給予警告,責令限期改正,并可處以1000元以上5000元以下的罰款;情節嚴重的,可以給予6個月以內停機整頓的處罰。
第三十八條 違反本辦法第三十條和第三十一條第一款規定的,給予警告,責令限期改正,并可處以1000元以上10000元以下的罰款;情節嚴重的,可以給予6個月以內停機整頓的處罰。
第三十九條 計算機信息系統使用單位的安全管理責任人和安全技術人員不履行本辦法規定的職責,造成安全事故或重大損害的,給予警告,并可建議其所在單位按照相關規定給予其行政處分。
第四十條 對本辦法規定的行政處罰,市區范圍內(蕭山區、余杭區除外)由市公安局公共信息網絡安全監察分局負責;各縣(市)和蕭山區、余杭區范圍內由各縣(市)公安局和蕭山區、余杭區公安分局負責。
第四十一條 對違反本辦法規定的行為,涉及其他有關法律法規的,由有關部門依法予以處罰。對違反治安管理行為的,依照《中華人民共和國治安管理處罰條例》的規定給予處罰;構成犯罪的,依法追究刑事責任。
第四十二條 行政機關工作人員違反本辦法規定,玩忽職守、濫用職權、徇私舞弊的,由其所在單位或有關部門按照有關規定給予其行政處分;構成犯罪的,由司法機關依法追究刑事責任。
第六章 附
則
第四十三條 計算機信息系統的保密管理,按照國家有關規定執行。
第四十四條 市公安局可以根據本辦法的規定,制定相關的實施細則。
第四十五條 本辦法自2005年1月1日起施行。
第四篇:廣東省計算機信息系統安全保護管理規定
廣 東 省 人 民 政 府 令
第81號
《廣東省計算機信息系統安全保護管理規定》已經2003年3月31日廣東省人民政府第十屆4次常務會議通過,現予發布,自2003年6月1日起施行。
省長 黃華華
二○○三年四月八日
廣東省計算機信息系統安全保護管理規定
第一條 為了保護計算機信息系統的安全,促進信息化建設的健康發展,根據《中華人民共和國計算機信息系統安全保護條例》和《計算機信息網絡國際聯網安全保護管理辦法》規定,結合本省實際,制定本規定。
第二條 本省行政區域內計算機信息系統的安全保護,適用本規定。
未聯網的微型計算機的安全保護辦法,按國家有關規定執行。
第三條 本規定所稱的計算機信息系統,是指由計算機及其相關的和配套的設備、設施(含網絡)構成的,按照一定的應用目標和規則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統。
第四條 縣級以上人民政府公安機關主管本行政區域內的計算機信息系統安全保護工作。
國家安全機關、保密工作部門和政府其他有關部門,在各自職責范圍內做好計算機信息系統安全保護工作。
第五條 公安機關、國家安全機關為保護計算機信息系統安全,在緊急情況下,可采取24小時內暫時停機、暫停聯網、備份數據等措施,有關單位和個人應當如實提供有關信息和資料,并提供相關技術支持和必要的協助。
第六條 地級以上市公安機關應當有專門機構負責計算機信息系統中發生的案件和重大安全事故報警的接受和處理,為計算機信息系統使用單位和個人提供安全指導,并向社會公布舉報電話和電子郵箱。
第七條 計算機信息系統使用單位應當確定計算機安全管理責任人,建立健全安全保護制度,落實安全保護技術措施,保障本單位計算機信息系統安全,并協助公安機關做好安全保護管理工作。
提供電子公告、個人主頁等信息服務的使用單位,應當設立信息審查員,負責信息審查工作。
第八條 計算機信息系統使用單位應當建立并執行以下安全保護制度:
(一)計算機機房安全管理制度;
(二)安全管理責任人、信息審查員的任免和安全責任制度;
(三)網絡安全漏洞檢測和系統升級管理制度;
(四)操作權限管理制度;
(五)用戶登記制度;
(六)信息發布審查、登記、保存、清除和備份制度,信息群發服務管理制度。
第九條 計算機信息系統使用單位應當落實以下安全保護技術措施:
(一)系統重要部分的冗余或備份措施;
(二)計算機病毒防治措施;
(三)網絡攻擊防范、追蹤措施;
(四)安全審計和預警措施;
(五)系統運行和用戶使用日志記錄保存60日以上措施;
(六)記錄用戶主叫電話號碼和網絡地址的措施;
(七)身份登記和識別確認措施;
(八)信息群發限制和有害數據防治措施。
向公眾提供上網服務的場所以及其他從事國際聯網業務的單位應當安裝國家規定的安全管理軟件。
第十條 對計算機信息系統中發生的重大安全事故,使用單位應當采取應急措施,保留有關原始記錄,在24小時內向當地縣級以上人民政府公安機關報告。
第十一條 任何單位和個人不得利用計算機信息系統從事下列行為:
(一)制作、復制、查閱、傳播有害信息;
(二)侵犯他人隱私,竊取他人帳號,假冒他人名義發送信息,或者向他人發送垃圾信息;
(三)以盈利或者非正常使用為目的,未經允許向第三方公開他人電子郵箱地址;
(四)未經允許修改、刪除、增加、破壞計算機信息系統的功能、程序及數據;
(五)危害計算機信息系統安全的其他行為。
第十二條 計算機信息系統及計算機機房應當按照國家有關規定以及國家標準進行安全保護設計和建設。
第十三條 銷售的計算機信息系統安全專用產品(含計算機信息系統安全檢測產品)應當取得公安部頒發的《計算機信息系統安全專用產品銷售許可證》。密碼產品的管理,按國家有關規定執行。
第十四條 下列計算機信息系統使用單位為重點安全保護單位:
(一)縣級以上國家機關、國防單位;
(二)銀行、證券、能源、交通、郵電通信單位;
(三)國家及省重點科研、教育單位;
(四)國有大中型企業;
(五)互聯單位、接入單位及重點網站;
(六)向公眾提供上網服務的場所。
第十五條 重點安全保護單位計算機安全管理責任人和信息審查員應當參加縣級以上人民政府公安機關認可的安全技術培訓,并取得安全技術培訓合格證書。
第十六條 重點安全保護單位計算機信息系統及計算機機房安全保障體系的設計、建設和檢測應當由有安全服務資質的機構承擔。
重點安全保護單位計算機信息系統及計算機機房應當由有安全服務資質的機構檢測合格后,方可投入使用。
第十七條 申請安全服務資質,應當具備以下條件:
(一)取得相應經營范圍的營業執照;
(二)取得安全技術培訓合格證書的專業技術人員不少于10人,其中大學本科以上學歷的人員所占比例不少于70%;
(三)負責安全服務工作的管理人員應當具有2年以上從事計算機信息系統安全技術領域企業管理工作經歷,并取得安全技術培訓合格證書;
(四)有與其從事的安全服務業務相適應的技術裝備;
(五)有與其從事的安全服務業務相適應的組織管理制度;
(六)法律法規規定的其他條件。
第十八條 申請安全服務資質,應當持下列資料向地級以上市公安機關提出申請:
(一)申請書;
(二)營業執照(復印件);
(三)管理人員和專業技術人員的身份證明、學歷證明和安全技術培訓合格證書;
(四)技術裝備情況及組織管理制度報告。
地級以上市公安機關應當自接到申請材料之日起15日內進行初審。初審合格的,報送省公安機關核準;初審不合格的,退回申請并說明理由。
省公安機關應當自接到初審意見之日起15日內進行審查,符合條件的,核發資質證書。不符合條件的,作出不予核準的決定并說明理由。
資質證書實行年審制度。年審不得收費。
第十九條 計算機信息系統使用單位應當將計算機信息系統安全保護工作納入內部檢查、考核、評比內容。對在工作中成績突出的部門和個人,應當給予表彰獎勵。對未依法履行安全保護職責或違反本單位安全保護制度的,應當依照有關規定對責任人員給予行政處分。
第二十條 違反本規定,有下列行為之一的,由縣級以上人民政府公安機關給予警告,并責令限期整改;逾期不改的,可以給予6個月以內停機整頓或者停止聯網的處罰,并可對單位處以5000元以下罰款,對安全管理責任人處以500元以下罰款。國家另有規定的,從其規定。
(一)未按規定建立安全保護制度的;
(二)未按規定落實安全保護技術措施的;
(三)計算機信息系統及計算機機房未按國家有關規定和國家標準進行安全保護設計和建設的;
(四)重點安全保護單位計算機安全管理責任人和信息審查員未經縣級以上人民政府公安機關認可的安全技術培訓并取得合格證書的;
(五)重點安全保護單位將本單位計算機信息系統及計算機機房安全保障體系的設計、建設和檢測交由未具有安全服務資質的機構承擔的,或者未經有安全服務資質的機構檢測合格即投入使用的。
第二十一條 計算機信息系統使用單位對計算機信息系統中發生的重大安全事故,未在規定時間內報告公安機關的,由縣級以上人民政府公安機關處以警告或者停機整頓。
第二十二條 利用國際聯網的計算機信息系統從事本規定第十一條所規定行為的,依照國家有關規定進行處理。
利用未國際聯網的計算機信息系統從事本規定第十一條所規定行為的,由縣級以上人民政府公安機關給予警告,對單位可處以1000元以下罰款,對個人可處以100元以下罰款。
第二十三條 計算機信息系統安全專用產品未取得《計算機信息系統安全專用產品銷售許可證》進行銷售的,依照國家有關規定進行處理。
第二十四條 未取得安全服務資質的機構,承擔重點安全保護單位計算機信息系統及計算機機房安全保障體系的設計、建設和檢測的,由縣級以上人民政府公安機關責令限期整改,并處以1萬元以下罰款。
第二十五條 行政管理部門的工作人員違反本規定,玩忽職守、濫用職權的,由主管部門依照有關規定給予行政處分;構成犯罪的,由司法機關依法追究刑事責任。
第二十六條 軍隊的計算機信息系統安全保護工作,按照軍隊的有關規定執行。
第二十七條 計算機信息系統的保密管理,依照國家和省的有關規定執行。
第二十八條 本規定自2003年6月1日起施行。
第五篇:計算機信息系統安全管理制度
計算機信息系統安全管理制度
總 則
第一條 為加強公司網絡管理,明確崗位職責,規范操作流程,維護網絡正常運行,確保計算機信息系統的安全,現根據《中華人民共和國計算機信息系統安全保護條例》等有關規定,結合本公司實際,特制訂本制度。
第二條 計算機信息系統是指由計算機及其相關的和配套的設備、設施(含網絡)構成的,按照一定的應用目標和規則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統。
第三條信息中心的職責為專門負責本公司范圍內的計算機信息系統安全管理工作。
第一章 網絡管理
第四條 遵守公司的規章制度,嚴格執行安全保密制度,不得利用網絡從事危害公司安全、泄露公司秘密等活動,不得制作、瀏覽、復制、傳播反動及淫穢信息,不得在網絡上發布公司相關的非法和虛假消息,不得在網上泄露公司的任何隱私。嚴禁通過網絡進行任何黑客活動和性質類似的破壞活動,嚴格控制和防范計算機病毒的侵入。
第五條 各工作計算機未進行安全配置、未裝防火墻或殺毒軟件的,不得入網。各計算機終端用戶應定期對計算機系統、殺毒軟件等進行升級和更新,并定期進行病毒清查,不要下載和使用未經測試和來歷不明的軟件、不要打開來歷不明的電子郵件、以及不要隨意使用帶毒U盤等介質。
第六條 禁止未授權用戶接入公司計算機網絡及訪問網絡中的資源,禁止未授權用戶使用BT、電驢等占用大量帶寬的下載工具。
第七條 任何員工不得制造或者故意輸入、傳播計算機病毒和其他有害數據,不得利用非法手段復制、截收、篡改計算機信息系統中的數據。
第八條 公司員工禁止利用掃描、監聽、偽裝等工具對網絡和服務器進行惡意攻擊,禁止非法侵入他人網絡和服務器系統,禁止利用計算機和網絡干擾他人正常工作的行為。
第九條 計算機各終端用戶應保管好自己的用戶帳號和密碼。嚴禁隨意向他人泄露、借用自己的帳號和密碼;嚴禁不以真實身份登錄系統。計算機使用者更應定期更改密碼、使用復雜密碼。
第十條 IP地址為計算機網絡的重要資源,計算機各終端用戶應在信息中心的規劃下使用這些資源,不得擅自更改。另外,某些系統服務對網絡產生影響,計算機各終端用戶應在信息中心的指導下使用,禁止隨意開啟計算機中的系統服務,保證計算機網絡暢通運行。
第二章 設備管理
第十一條 公司員工因工作需要,確需購買IT設備或配件的,可向信息中心提出申請,若有符合需求的可調配設備;若無可調配或有但不符合工作需要的設備,由申請人填寫《信息設備申請表》。若因工作需要對設備配置有特殊要求的,需在申請表中說明。
第十二條 凡登記在案的IT設備,由信息中心統一管理并張貼IT設備卡。IT設備卡作為相應設備的標識,各終端用戶有義務保證貼牌的整潔與完整,不得遮蓋、撕毀、涂畫等。
第十三條 IT設備安全管理實行“誰使用誰負責”的原則(公用設備責任落實到部門)。凡子公司或合作單位自行購買的設備,原則上由分公司或合作單位自行負責,但若有需要,信息中心可協助處理。
第十四條 嚴禁使用假冒偽劣產品;嚴禁擅自外接電源開關和插座;嚴禁擅自移動和裝拆各類設備及其他輔助設備;嚴禁擅自請人維修;嚴禁擅自調整部門內部計算機信息系統的安排。
第十五條 設備硬件或重裝操作系統等問題由信息中心進行處理。第十六條 原購IT設備原則上在規定使用年限內不再重復購買,達到規定使用年限后,由信息中心會同相關部門對其審核后處理。在規定使用年限期間,計算機終端用戶因工作需要發生調動或離職,需要繼續使用該計算機的應在信息中心作變更備案;不繼續使用該計算機的,部門領導需監督責任人將計算機及相關設備及時退回信息中心,由信息中心再行支配。
第十七條 設備出現故障無法維修或維修成本過高,且符合報廢條件的,由IT設備終端用戶提出申請,并填寫《IT設備報廢申請表》,由相應部門經理簽字后報信息中心。經信息中心對設備使用年限、維修情況等進行鑒定,將報廢設備交有關部門處理,如報廢設備能出售,將收回的資金交公司財務入賬。同時,由信息中心對報廢設備登記備案、存檔。
第三章 數據管理
第十八條 計算機終端用戶計算機內的資料涉及公司秘密的,應該為計算機設定開機密碼或將文件加密;凡涉及公司機密的數據或文件,非工作需要不得以任何形式轉移,更不得透露給他人。離開原工作崗位的員工由所在部門經理負責將其所有工作資料收回并保存。
第十九條 工作范圍內的重要數據(重要程度由各部門經理核定)由計算機終端用戶定期更新、備份,并提交給所在部門部長,由部門部長負責保存。各部門經理在一個季度開始后10天之內將本部門上一季度的工作數據交行政人事部匯集后統一采用磁性介質或光盤保存。
第二十條 計算機終端用戶務必將有價值的數據存放在除系統盤(操作系統所在的硬盤分區,一般是C盤)外的盤上。計算機信息系統發生故障,應及時與信息中心聯系并采取保護數據安全的措施。
第二十一條 對重要的數據應準備雙份,存放在不同的地點;對采用磁性介質或光盤保存的數據,要定期進行檢查,定期進行復制,防止由于磁性介質損壞,而使數據丟失;做好防磁、防火、防潮和防塵工作。
第四章 操作管理
第二十二條 凡涉及業務的專業軟件由使用人員自行負責。嚴禁利用計算機干與工作無關的事情;嚴禁除維修人員以外的外部人員操作各類設備;嚴禁非信息中心人員隨意更改設備配置。
第二十三條 信息中心將有針對性地對員工的計算機應用技能進行定期或不定期的培訓,培訓成績將記入員工績效考核;由信息中心收集計算機信息系統常見故障及排除方法并整理成冊,供公司員工學習參考。
第二十四條 計算機終端用戶在工作中遇到計算機信息系統問題,首先要學會自行處理或參照手冊處理;若遇到手冊中沒有此問題,或培訓未曾講過的問題,再與信息中心或軟件開發單位、硬件供應商聯系,盡快解決問題。
第五章 網站管理
第二十五條 公司網站由信息中心提供技術支持和后臺管理,由公司相關部門提供經審核后的書面和電子版網站建設資料。
(一)網站、網頁出現非法言論時的緊急處置措施
1、網站、網頁由信息中心人員隨時密切監視信息內容。
2、發現網上出現非法信息時,負責人員應立即向部門領導通報情況,情況緊急的應先采取刪除等處理措施,再按流程辦理。
3、網站負責人員在接到通知后立即清理非法信息,強化安全防范措施,并將網站網頁重新投入使用。
4、網站負責人員應妥善保存有關記錄及日志或檢查記錄。
(二)黑客攻擊時的緊急處置措施
1、當有網頁內容被篡改,或通過公司網絡防火墻發現有黑客正在進行攻擊時, 首先應將被攻擊的服務器等設備斷開網絡,同時向上級領導匯報情況。
2、網站負責人員立即進行將被破壞系統進行恢復和重建。
(三)病毒安全緊急處置措施
1、當發現計算機感染病毒后,應立即將該機從網絡上隔離出來。
2、對存放數據的計算機的硬盤進行數據備份。
3、啟用反病毒軟件對該機進行殺毒,同時用殺毒軟件對其他聯網機器進行病毒掃描和清除。
4、如發現殺毒軟件無法清除該病毒,應立即向上級領導報告。
5、經網站負責人員確認確實無法查殺該病毒后,應作好相關記錄,同時立即聯系相關技術人員迅速研究并解決問題。
6、如果感染病毒的設備是服務器或者主機系統,經上級領導同意,應立即切斷服務器并告知客戶端人員進行客戶端機器的殺毒工作。
(四)軟件系統遭受破壞性攻擊的緊急處置措施
1、OA等重要的軟件系統平時必須存有備份,與軟件系統相對應的數據必須有多日備份,并將它們保存于不同的機器上。
2、如發現軟件遭到破壞或運行不正常,應立即向信息中心人員報告。
3、信息中心人員立即進行軟件系統和數據的恢復。
(五)數據庫安全緊急處置措施
1、各數據庫系統要至少準備兩個以上數據庫備份。
2、一旦數據庫崩潰,應立即上級領導報告,同時通知各部門使用人員暫緩上傳上報數據。
3、信息中心人員應對主機系統進行維護,如遇無法解決的問題,立即向上級領導匯報并及時通知專業技術人員進行處理。
4、系統修復完畢后,按照要求恢復數據。
5、如果備份數據也出現問題,及時匯報領導并且聯系軟件開發商解決。
(六)設備安全緊急處置措施
1、計算機、服務器等關鍵設備損壞后,應立即通知信息中心人員。
2、信息中心人員應立即查明原因。
3、如果能夠自行恢復,應立即用備件替換受損部件。
4、如果不能自行恢復的,立即與設備提供商聯系,請求派專業維修人員進行維修。
5、如果設備一時不能修復,應向上級領導匯報。
(七)關鍵人員不在崗的緊急處置措施
1、對于關鍵崗位平時應做好人員儲備,確保一項工作有兩人能操作。
2、一旦發生關鍵人員不在崗的情況,首先應向上級領導匯報。
3、經上級領導批準后由信息中心其他人員進行操作。
第六章 處罰措施
第二十六條 計算機終端用戶擅自下載、安裝或存放與工作無關的文件,經查實后,根據文件大小第一次按10元/100M(四舍五入到百兆)進行罰款,以后每次按倍數原則(第二次20元/100M,第三40元/100M,第四次80元/100M,以此類推)處罰。凡某一使用責任人此種情況出現三次以上(包括三次),將給予行政處罰。
第二十七條 有以下情況之一者,視情節嚴重程度處以50元以上500元以下罰款。
(一)制造或者故意輸入、傳播計算機病毒以及其他有害數據的;
(二)非法復制、截收、篡改計算機信息系統中的數據危害計算機信息系統安全的;
(三)對網絡和服務器進行惡意攻擊,侵入他人網絡和服務器系統,利用計算機和網絡干擾他人正常工作;
(四)訪問未經授權的文件、系統或更改設備設置;
(五)申請人在設備領用或報廢一周之內未將第二章所涉及到的表單交會信息中心;
(六)擅自與他人更換使用計算機或相關設備;
(七)擅自調整部門內部計算機的安排且未向信息中心備案;
(八)日常抽查、崗位調動、離職時檢查到計算機配置與該計算機檔案不符、IT設備卡被撕毀、涂畫或遮蓋等。
(九)工作時間外使用公司計算機做與工作無關的事務;
(十)相同故障多次出現且經判斷故障原因為個人原因所導致的;
(十一)因工作需要長時間(五個小時以上)離開辦公位置或下班后無故未將計算機關閉;
第二十八條 計算機終端用戶因主觀操作不當對設備造成破壞兩次以上或蓄意對設備造成破壞的,視情節嚴重,按所破壞設備市場價值的20%~80%賠償,并給予行政處罰。
第七章 附 則
第二十九條 本制度下列用語的含義:
設備:指為完成工作而購買的筆記本電腦、臺式電腦、打印機、復印機、傳真機、掃描儀等IT設備。
有害數據:指與計算機信息系統相關的,含有危害計算機信息系統安全運行的程序,或者對國家和社會公共安全構成危害或潛在威脅的數據。
合法用戶:經信息中心授權使用本公司網絡資源的本公司員工,其余均為非法用戶。
第三十條 計算機終端用戶應積極配合信息中心共同做好計算機信息系統安全管理工作。
第三十一條 本制度適用于全公司范圍,由總裁辦信息中心負責解釋、修訂。
第三十二條 本制度自發布之日起實施,凡原制度與本制度不相符的,照本制度執行。
點擊咨詢 