第一篇:廣東省計算機信息系統安全保護條例
廣東省計算機信息系統安全保護條例
(2007年12月20日廣東省第十屆人民代表大會常務委員會第三十六次會議通過)
第一章
總則
第一條
為保護計算機信息系統安全,根據《中華人民共和國計算機信息系統安全保護條例》及有關法律法規,結合本省實際,制定本條例。
第二條
本條例所稱的計算機信息系統,是指由計算機及其相關的和配套的設備、設施構成的,按照一定的應用目標和規則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統或者網絡。
第三條
本條例適用于本省行政區域內計算機信息系統的安全保護。
第四條
計算機信息系統的安全保護,應當保障計算機及其相關的和配套的設備、設施、網絡的安全,運行環境的安全,保障信息的安全,保障計算機功能的正常發揮,以維護計算機信息系統的安全運行。
第五條
縣級以上人民政府公安機關主管本行政區域內計算機信息系統的安全保護工作。縣級以上人民政府國家安全機關、保密工作部門、密碼管理部門和其他有關部門在各自職責范圍內做好計算機信息系統的安全保護工作。
第六條
任何組織或者個人,不得利用計算機信息系統從事危害國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的活動,不得危害計算機信息系統的安全。
第二章
安全管理
第七條
計算機信息系統實行安全等級保護。計算機信息系統安全等級保護按照國家規定的標準和要求,堅持自主定級、自主保護的原則。
第八條
計算機信息系統安全保護等級根據計算機信息系統在國家安全、經濟建設、社會生活中的重要程度,計算機信息系統受到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定,分為五級:
(一)計算機信息系統受到破壞后,可能對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益的,為第一級;
(二)計算機信息系統受到破壞后,可能對公民、法人和其他組織的合法權益產生嚴重損害,或者可能對社會秩序和公共利益造成損害,但不損害國家安全的,為第二級;
(三)計算機信息系統受到破壞后,可能對社會秩序和公共利益造成嚴重損害,或者可能對國家安全造成損害的,為第三級;
(四)計算機信息系統受到破壞后,可能對社會秩序和公共利益造成特別嚴重損害,或者可能對國家安全造成嚴重損害的,為第四級;
(五)計算機信息系統受到破壞后,可能對國家安全造成特別嚴重損害的,為第五級。
第九條
計算機信息系統規劃、設計、建設和維護應當同步落實相應的安全措施,使用符合國家有關規定、滿足計算機信息系統安全保護需求的信息技術產品。
第十條
計算機信息系統的運營、使用單位應當按照國家有關規定,建立、健全計算機信息系統安全管理制度,確定安全管理責任人,負責計算機信息系統的安全保護工作。
計算機信息系統信息服務提供者應當設立信息審查員,負責信息審查工作。
第十一條 第二級以上計算機信息系統的運營、使用單位應當建立安全保護組織,并報地級以上市人民政府公安機關備案。第十二條
第二級以上計算機信息系統建設完成后,運營、使用單位或者其主管部門應當選擇符合國家規定的安全等級測評機構,依據國家規定的技術標準,對計算機信息系統安全等級狀況開展等級測評,測評合格后方可投入使用。
第十三條
計算機信息系統的運營、使用單位及其主管部門應當按照國家規定定期對計算機信息系統開展安全等級測評,并對計算機信息系統安全狀況、安全管理制度及措施的落實情況進行自查。
計算機信息系統安全狀況經測評或者自查,未達到安全等級保護要求的,運營、使用單位應當進行整改。
第十四條
第二級以上計算機信息系統,由運營、使用單位在投入運行后三十日內,到地級市以上人民政府公安機關備案。
第十五條
計算機信息系統備案后,對符合安全等級保護要求的,公安機關應當在收到備案材料之日起十個工作日內頒發計算機信息系統安全等級保護備案證明;對不符合安全等級保護要求的,應當在收到備案材料之日起十個工作日內通知備案單位予以糾正。
運營、使用單位或者其主管部門重新確定計算機信息系統等級的,應當按照本條例向公安機關重新備案。
第十六條
計算機信息系統的運營、使用單位應當接受公安機關、國家指定的專門部門的安全監督、檢查、指導,按照國家有關規定如實提供有關計算機信息系統安全保護的信息、資料及數據文件。
對計算機信息系統中發生的案件和重大安全事故,計算機信息系統的運營、使用單位應當在二十四小時內報告縣級以上人民政府公安機關,并保留有關原始記錄。
第十七條
第二級以上計算機信息系統的運營、使用單位應當制定重大突發事件應急處置預案。
第二級以上計算機信息系統發生重大突發事件,有關單位應當按照應急處置預案的要求采取相應的處置措施,并服從公安機關和國家指定的專門部門的調度。
第十八條
第二級以上計算機信息系統的運營、使用單位應當建立并執行下列安全管理制度:
(一)計算機機房安全管理制度;
(二)安全責任制度;
(三)網絡安全漏洞檢測和系統升級制度;
(四)系統安全風險管理和應急處置制度;
(五)操作權限管理制度;
(六)用戶登記制度;
(七)重要設備、介質管理制度;
(八)信息發布審查、登記、保存、清除和備份制度;
(九)信息群發服務管理制度。第十九條
第二級以上計算機信息系統的運營、使用單位應當采取下列安全保護技術措施:
(一)系統重要部分的冗余或者備份措施;
(二)計算機病毒防治措施;
(三)網絡攻擊防范和追蹤措施;
(四)安全審計和預警措施;
(五)系統運行和用戶使用日志記錄保存六十日以上措施;
(六)記錄用戶賬號、主叫電話號碼和網絡地址的措施;
(七)身份登記和識別確認措施;
(八)垃圾信息、有害信息防治措施;
(九)信息群發限制措施。
第二十條
涉密計算機信息系統應當依據國家信息安全等級保護的要求,按照國家有關涉密計算機信息系統分級保護的管理規定和技術標準,結合計算機信息系統實際情況進行保護。
第二十一條 涉密計算機信息系統按照所處理信息的最高密級,由低到高分為秘密、機密、絕密三個等級,并實行涉密計算機信息系統分級保護。
第二十二條
涉密計算機信息系統建設使用單位應當將涉密計算機信息系統定級和建設使用情況,及時報業務主管部門和負責系統審批的保密工作部門備案,并接受保密工作部門的監督、檢查、指導。
第二十三條
涉密計算機信息系統投入使用前,應當按照國家有關規定報地級市以上人民政府保密工作部門審批,通過審批后方可投入使用。
第二十四條
計算機信息系統安全等級保護中密碼的配備、使用和管理等,應當按照國家密碼管理的有關規定執行。
第三章
安全秩序
第二十五條
任何單位和個人不得利用計算機信息系統制作、傳播、復制下列信息:
(一)反對憲法確定的基本原則的;
(二)危害國家統一、主權和領土完整的;
(三)泄露國家秘密,危害國家安全或者損害國家榮譽和利益的;
(四)煽動民族仇恨、民族歧視,破壞民族團結或者侵害民族風俗、習慣的;
(五)破壞國家宗教政策,宣揚邪教、迷信的;
(六)散布謠言,發布虛假信息,擾亂社會秩序,破壞社會穩定的;
(七)煽動聚眾滋事,損害社會公共利益的;
(八)宣揚淫穢、色情、賭博、暴力、兇殺、恐怖的;
(九)教唆犯罪的;
(十)侮辱或者誹謗他人,侵害他人合法權益的;
(十一)其他法律法規禁止的內容。
第二十六條 任何單位和個人不得利用計算機信息系統實施下列行為:
(一)未經允許進入計算機信息系統或者非法占有、使用、竊取計算機信息系統資源;
(二)竊取、騙取、奪取計算機信息系統控制權;
(三)擅自向第三方公開他人電子郵箱地址和其他個人信息資料;
(四)竊取他人賬號和密碼,或者擅自向第三方公開他人賬號和密碼;
(五)假冒他人名義發送信息;
(六)未經允許,對計算機信息系統功能進行刪除、修改、增加或者干擾;
(七)未經允許,對計算機信息系統中存儲、處理或者傳輸的數據和應用程序進行刪除、修改或者增加;
(八)故意制作、傳播計算機病毒、惡意軟件等破壞性程序;
(九)危害計算機信息系統安全的其他行為。第二十七條
任何單位和個人不得利用計算機信息系統非法傳遞或者交易涉及國家秘密的文件、資料和其他物品,不得將涉密計算機信息系統與國際互聯網、其它公共信息網絡相聯接,不得利用非涉密計算機信息系統處理涉及國家秘密的信息。
第二十八條
提供互聯網上網服務的場所應當安裝國家規定的安全管理系統。
接入互聯網的計算機信息系統的運營、使用單位和互聯網服務單位采取的安全保護技術措施,應當具有符合公共安全行業技術標準的聯網接口。
第二十九條
接入服務提供者、信息服務提供者以及數據中心服務提供者應當加強對本網絡用戶的安全宣傳,落實安全保護措施,確保網絡正常運行。發現有害信息應當保存有關記錄,及時采取刪除、停止傳輸等技術措施,同時報告公安機關,配合公安機關查處違法犯罪行為。
第三十條
生產、銷售或者提供含有計算機信息網絡遠程控制、密碼猜解、漏洞檢測、信息群發技術的產品和工具的,應當報地級以上市人民政府公安機關備案。
第三十一條
計算機信息系統安全等級測評機構等安全服務機構和從事計算機信息系統安全保護工作的人員應當保守用戶秘密, 不得擅自向第三方泄露用戶信息,不得非法占有、使用用戶的信息資源。
第四章
安全監督
第三十二條
公安機關、國家安全機關、保密工作部門、密碼管理部門等有關部門應當按照國家規定,對計算機信息系統運營、使用單位的安全保護工作進行監督管理。
第三十三條
公安機關應當為公眾提供計算機信息系統安全指導,加強安全動態分析,積極開展安全宣傳,推動計算機信息系統安全保護能力的提高。
公安機關應當加強對計算機信息系統安全服務機構的指導,推動安全服務質量和技術水平的提高。
第三十四條
地級市以上人民政府公安機關、國家安全機關為保護計算機信息系統安全,在發生重大突發事件,危及國家安全、公共安全及社會穩定的緊急情況下,可以采取二十四小時內暫時停機、暫停聯網、備份數據等措施。
第三十五條
地級市以上人民政府公安機關應當對第三級、第四級計算機信息系統的運營、使用單位的信息安全等級保護工作情況進行檢查。對第三級計算機信息系統每年至少檢查一次,對第四級計算機信息系統每半年至少檢查一次。
對第五級計算機信息系統,應當由國家指定的專門部門進行檢查。第三十六條
公安機關發現計算機信息系統的安全保護等級和安全措施不符合國家信息安全等級保護管理規范和技術標準,或者存在安全隱患的,應當通知運營、使用單位進行整改。運營、使用單位應當按照整改通知要求進行整改,并將整改報告向公安機關備案。
第三十七條
地級市以上人民政府公安機關和人事部門應當組織計算機信息系統的運營、使用單位的安全保護組織成員、管理責任人、信息審查員參加信息安全專業技術培訓。
第三十八條
保密工作部門依法對涉密計算機信息系統分級保護工作實施指導、監督和檢查,具體負責下列工作:
(一)指導涉密計算機信息系統建設使用單位規范信息定密,合理確定系統保護等級;
(二)參與涉密計算機信息系統分級保護方案論證,指導建設使用單位做好保密設施的同步規劃設計;
(三)依法對涉密計算機信息系統集成資質單位進行監督管 理;
(四)按照國家規定進行系統測評和審批工作并監督檢查
涉密計算機信息系統建設使用單位分級保護管理制度和技術措施的落實情況;
(五)按照國家規定定期對涉密計算機信息系統進行監督 檢查;
(六)了解各級各類涉密計算機信息系統的管理使用情況,查處各種違法行為和泄密事件。
第三十九條
密碼管理部門應當對計算機信息系統安全保護工作中密碼配備、使用和管理的情況進行檢查和測評,發現存在安全隱患、違反密碼管理相關規定或者未達到密碼相關標準要求的,應當按照國家密碼管理的相關規定進行處置。
第五章
法律責任
第四十條
違反本條例,有下列行為之一的,由公安機關責令限期改正,給予警告;逾期不改的,對單位的主管人員、其他直接責任人員可以處五千元以下罰款,對單位可以處一萬五千元以下罰款:
(一)第二級以上計算機信息系統的運營、使用單位違反本條例第十一條規定,未建立安全保護組織的;
(二)第二級以上計算機信息系統的運營、使用單位違反本條例第十二條規定,計算機信息系統投入使用前未經符合國家規定的安全等級測評機構測評合格的;
(三)計算機信息系統的運營、使用單位未依照本條例第十六條第一款規定如實提供有關計算機信息系統安全保護的信息、資料及數據文件的;
(四)第二級以上計算機信息系統的運營、使用單位違反本條例第十七條規定,在重大突發事件應急處置中不服從公安機關和國家指定的專門部門調度的;
(五)第二級以上計算機信息系統的運營、使用單位未依照本條例第十八條規定建立安全管理制度的;
(六)第二級以上計算機信息系統的運營、使用單位未依照本條例第十九條規定采取安全保護技術措施的;
(七)接入互聯網的計算機信息系統的運營、使用單位和互聯網服務單位違反本條例第二十八條第二款規定,采取的安全保護技術措施不具有符合公共安全行業技術標準的聯網接口的;
(八)接入服務提供者、信息服務提供者以及數據中心服務提供者違反本條例第二十九條規定,發現有害信息不及時采取刪除、停止傳輸等技術措施的;
(九)含有計算機信息網絡遠程控制、密碼猜解、漏洞檢測、信息群發技術的產品和工具的生產者、銷售者或者提供者違反本條例第三十條規定,沒有向地級以上市人民政府公安機關備案的。前款第(一)項至第(八)項行為,有違法所得的,沒收違法所得;情節嚴重的,并給予六個月以內的停止聯網、停機整頓的處罰;必要時公安機關可以建議原許可機構撤銷許可或者取消聯網資格。
第四十一條
違 反本條例第二十五條、第二十六條第(一)項、第(二)項、第(五)項、第(六)項、第(七)項、第(八)項、第(九)項規定的,違反第二十六條第(三)項、第(四)項規定竊取他人賬號和密碼、以營利或者非正當使用為目的擅自向第三方公開他人電子郵箱地址和其他個人信息資料、以非正當使用為目的擅自向第三 方公開他人賬號和密碼的,由公安機關給予警告,有違法所得的,沒收違法所得;對個人可以并處五千元以下罰款,對單位可以并處一萬五千元以下罰款;情節嚴重 的,并可以給予六個月以內停止聯網、停機整頓的處罰;必要時公安機關可以建議原許可機構撤銷許可或者取消聯網資格;違反《中華人民共和國治安管理處罰法》 的,依法予以處罰;構成犯罪的,依法追究刑事責任。
第四十二條
計算機信息系統的運營、使用單位違反本條例第十四條規定,沒有向地級市以上人民政府公安機關備案的,或者違反本條例第三十六條規定,接到公安機關要求整改的通知后拒不按要求整改的,由公安機關處以警告或者停機整頓。第四十三條
違 反本條例第二十二條、第二十三條、第二十四條、第二十七條和其他有關保密管理和密碼管理規定的,由保密工作部門或者密碼管理部門按照職責分工責令限期改 正;逾期不改的,給予警告,并向其上級主管部門通報情況,建議對其主管人員和其他直接責任人員予以處理;構成犯罪的,依法追究刑事責任。
第四十四條
公安機關、保密工作部門、密碼管理部門和政府其他有關部門及其工作人員有下列行為之一的,對主管人員、其他直接責任人員,或者有關工作人員給予處分;構成犯罪的,依法追究刑事責任:
(一)利用職權索取、收受賄賂,或者玩忽職守、濫用職權的;
(二)泄露計算機信息系統的運營、使用單位或者個人的
有關信息、資料及數據文件的;
(三)其他不履行法定職責的。
第六章
附則
第四十五條
本條例所稱的安全等級測評,是指對計算機信息系統的安全狀況進行測試、評價、判斷。
本條例所稱的安全服務,是指從事計算機信息系統安全設計、建設、檢測、維護、監理、咨詢、培訓等業務。本條例所稱的重大突發事件,是指有害信息大范圍傳播、大規模網絡攻擊、計算機病毒疫情等危害計算機信息系統安全的重大事件。
第四十六條 本條例自2008年4月1日起施行。
第二篇:廣東省計算機信息系統安全保護管理規定
廣 東 省 人 民 政 府 令
第81號
《廣東省計算機信息系統安全保護管理規定》已經2003年3月31日廣東省人民政府第十屆4次常務會議通過,現予發布,自2003年6月1日起施行。
省長 黃華華
二○○三年四月八日
廣東省計算機信息系統安全保護管理規定
第一條 為了保護計算機信息系統的安全,促進信息化建設的健康發展,根據《中華人民共和國計算機信息系統安全保護條例》和《計算機信息網絡國際聯網安全保護管理辦法》規定,結合本省實際,制定本規定。
第二條 本省行政區域內計算機信息系統的安全保護,適用本規定。
未聯網的微型計算機的安全保護辦法,按國家有關規定執行。
第三條 本規定所稱的計算機信息系統,是指由計算機及其相關的和配套的設備、設施(含網絡)構成的,按照一定的應用目標和規則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統。
第四條 縣級以上人民政府公安機關主管本行政區域內的計算機信息系統安全保護工作。
國家安全機關、保密工作部門和政府其他有關部門,在各自職責范圍內做好計算機信息系統安全保護工作。
第五條 公安機關、國家安全機關為保護計算機信息系統安全,在緊急情況下,可采取24小時內暫時停機、暫停聯網、備份數據等措施,有關單位和個人應當如實提供有關信息和資料,并提供相關技術支持和必要的協助。
第六條 地級以上市公安機關應當有專門機構負責計算機信息系統中發生的案件和重大安全事故報警的接受和處理,為計算機信息系統使用單位和個人提供安全指導,并向社會公布舉報電話和電子郵箱。
第七條 計算機信息系統使用單位應當確定計算機安全管理責任人,建立健全安全保護制度,落實安全保護技術措施,保障本單位計算機信息系統安全,并協助公安機關做好安全保護管理工作。
提供電子公告、個人主頁等信息服務的使用單位,應當設立信息審查員,負責信息審查工作。
第八條 計算機信息系統使用單位應當建立并執行以下安全保護制度:
(一)計算機機房安全管理制度;
(二)安全管理責任人、信息審查員的任免和安全責任制度;
(三)網絡安全漏洞檢測和系統升級管理制度;
(四)操作權限管理制度;
(五)用戶登記制度;
(六)信息發布審查、登記、保存、清除和備份制度,信息群發服務管理制度。
第九條 計算機信息系統使用單位應當落實以下安全保護技術措施:
(一)系統重要部分的冗余或備份措施;
(二)計算機病毒防治措施;
(三)網絡攻擊防范、追蹤措施;
(四)安全審計和預警措施;
(五)系統運行和用戶使用日志記錄保存60日以上措施;
(六)記錄用戶主叫電話號碼和網絡地址的措施;
(七)身份登記和識別確認措施;
(八)信息群發限制和有害數據防治措施。
向公眾提供上網服務的場所以及其他從事國際聯網業務的單位應當安裝國家規定的安全管理軟件。
第十條 對計算機信息系統中發生的重大安全事故,使用單位應當采取應急措施,保留有關原始記錄,在24小時內向當地縣級以上人民政府公安機關報告。
第十一條 任何單位和個人不得利用計算機信息系統從事下列行為:
(一)制作、復制、查閱、傳播有害信息;
(二)侵犯他人隱私,竊取他人帳號,假冒他人名義發送信息,或者向他人發送垃圾信息;
(三)以盈利或者非正常使用為目的,未經允許向第三方公開他人電子郵箱地址;
(四)未經允許修改、刪除、增加、破壞計算機信息系統的功能、程序及數據;
(五)危害計算機信息系統安全的其他行為。
第十二條 計算機信息系統及計算機機房應當按照國家有關規定以及國家標準進行安全保護設計和建設。
第十三條 銷售的計算機信息系統安全專用產品(含計算機信息系統安全檢測產品)應當取得公安部頒發的《計算機信息系統安全專用產品銷售許可證》。密碼產品的管理,按國家有關規定執行。
第十四條 下列計算機信息系統使用單位為重點安全保護單位:
(一)縣級以上國家機關、國防單位;
(二)銀行、證券、能源、交通、郵電通信單位;
(三)國家及省重點科研、教育單位;
(四)國有大中型企業;
(五)互聯單位、接入單位及重點網站;
(六)向公眾提供上網服務的場所。
第十五條 重點安全保護單位計算機安全管理責任人和信息審查員應當參加縣級以上人民政府公安機關認可的安全技術培訓,并取得安全技術培訓合格證書。
第十六條 重點安全保護單位計算機信息系統及計算機機房安全保障體系的設計、建設和檢測應當由有安全服務資質的機構承擔。
重點安全保護單位計算機信息系統及計算機機房應當由有安全服務資質的機構檢測合格后,方可投入使用。
第十七條 申請安全服務資質,應當具備以下條件:
(一)取得相應經營范圍的營業執照;
(二)取得安全技術培訓合格證書的專業技術人員不少于10人,其中大學本科以上學歷的人員所占比例不少于70%;
(三)負責安全服務工作的管理人員應當具有2年以上從事計算機信息系統安全技術領域企業管理工作經歷,并取得安全技術培訓合格證書;
(四)有與其從事的安全服務業務相適應的技術裝備;
(五)有與其從事的安全服務業務相適應的組織管理制度;
(六)法律法規規定的其他條件。
第十八條 申請安全服務資質,應當持下列資料向地級以上市公安機關提出申請:
(一)申請書;
(二)營業執照(復印件);
(三)管理人員和專業技術人員的身份證明、學歷證明和安全技術培訓合格證書;
(四)技術裝備情況及組織管理制度報告。
地級以上市公安機關應當自接到申請材料之日起15日內進行初審。初審合格的,報送省公安機關核準;初審不合格的,退回申請并說明理由。
省公安機關應當自接到初審意見之日起15日內進行審查,符合條件的,核發資質證書。不符合條件的,作出不予核準的決定并說明理由。
資質證書實行年審制度。年審不得收費。
第十九條 計算機信息系統使用單位應當將計算機信息系統安全保護工作納入內部檢查、考核、評比內容。對在工作中成績突出的部門和個人,應當給予表彰獎勵。對未依法履行安全保護職責或違反本單位安全保護制度的,應當依照有關規定對責任人員給予行政處分。
第二十條 違反本規定,有下列行為之一的,由縣級以上人民政府公安機關給予警告,并責令限期整改;逾期不改的,可以給予6個月以內停機整頓或者停止聯網的處罰,并可對單位處以5000元以下罰款,對安全管理責任人處以500元以下罰款。國家另有規定的,從其規定。
(一)未按規定建立安全保護制度的;
(二)未按規定落實安全保護技術措施的;
(三)計算機信息系統及計算機機房未按國家有關規定和國家標準進行安全保護設計和建設的;
(四)重點安全保護單位計算機安全管理責任人和信息審查員未經縣級以上人民政府公安機關認可的安全技術培訓并取得合格證書的;
(五)重點安全保護單位將本單位計算機信息系統及計算機機房安全保障體系的設計、建設和檢測交由未具有安全服務資質的機構承擔的,或者未經有安全服務資質的機構檢測合格即投入使用的。
第二十一條 計算機信息系統使用單位對計算機信息系統中發生的重大安全事故,未在規定時間內報告公安機關的,由縣級以上人民政府公安機關處以警告或者停機整頓。
第二十二條 利用國際聯網的計算機信息系統從事本規定第十一條所規定行為的,依照國家有關規定進行處理。
利用未國際聯網的計算機信息系統從事本規定第十一條所規定行為的,由縣級以上人民政府公安機關給予警告,對單位可處以1000元以下罰款,對個人可處以100元以下罰款。
第二十三條 計算機信息系統安全專用產品未取得《計算機信息系統安全專用產品銷售許可證》進行銷售的,依照國家有關規定進行處理。
第二十四條 未取得安全服務資質的機構,承擔重點安全保護單位計算機信息系統及計算機機房安全保障體系的設計、建設和檢測的,由縣級以上人民政府公安機關責令限期整改,并處以1萬元以下罰款。
第二十五條 行政管理部門的工作人員違反本規定,玩忽職守、濫用職權的,由主管部門依照有關規定給予行政處分;構成犯罪的,由司法機關依法追究刑事責任。
第二十六條 軍隊的計算機信息系統安全保護工作,按照軍隊的有關規定執行。
第二十七條 計算機信息系統的保密管理,依照國家和省的有關規定執行。
第二十八條 本規定自2003年6月1日起施行。
第三篇:內蒙古自治區計算機信息系統安全保護辦法
內蒙古自治區計算機信息系統安全保護辦法
第一章 總 則
第一條 為保護計算機信息系統安全,根據《中華人民共和國計算機信息系統安全保護條例》及有關法律法規,結合自治區實際,制定本辦法。
第二條 本辦法適用于自治區行政區域內計算機信息系統的安全保護。
第三條 旗縣級以上人民政府公安機關主管本行政區域內計算機信息系統的安全保護工作。國家安全機關、保密工作部門、密碼管理部門和其他有關部門在各自職責范圍內做好計算機信息系統的安全保護工作。
第四條 計算機信息系統的安全保護,應當保障計算機及其相關的和配套的設備、設施、網絡的安全,運行環境的安全,保障信息的安全,保障計算機功能的正常發揮,以維護計算機信息系統的安全運行。
第二章 安全等級保護
第五條 計算機信息系統實行安全等級保護制度。安全保護等級根據計算機信息系統在國家安全、經濟建設、社會生活中的重要程度,計算機信息系統受到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織合法權益的危害程度等因素確定,分為五級。
(一)計算機信息系統受到破壞后,可能對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益的,為第一級;
(二)計算機信息系統受到破壞后,可能對公民、法人和其他組織的合法權益造成嚴重損害,或者可能對社會秩序和公共利益造成損害,但不損害國家安全的,為第二級;
(三)計算機信息系統受到破壞后,可能對社會秩序和公共利益造成嚴重損害,或者可能對國家安全造成損害的,為第三級;
(四)計算機信息系統受到破壞后,可能對社會秩序和公共利益造成特別嚴重損害,或者可能對國家安全造成嚴重損害的,為第四級;
(五)計算機信息系統受到破壞后,可能對國家安全造成特別嚴重損害的,為第五級。
第六條 計算機信息系統運營、使用單位應當遵守下列規定:
(一)對計算機信息系統安全保護等級準確定級,并按照等級保護管理規范和技術標準實施保護;
(二)新建計算機信息系統的,應當在規劃、設計階段確定安全保護等級,同步建設符合該安全保護等級要求的信息系統安全保護設施,落實安全保護措施;
(三)計算機信息系統的結構、處理流程、服務內容等發生重大變化,或者公安機關要求重新確定等級的,應當重新定級;
(四)按照計算機信息系統安全保護等級要求,使用符合國家及自治區規定并取得國家計算機信息系統安全專用產品銷售許可證的信息安全產品;
(五)定期對本單位計算機信息系統的安全狀況、保護制度和措施進行自查和整改;
(六)建立安全保護組織,確定安全管理責任人,指定專職人員負責本單位計算機信息系統的安
全管理。
第七條 第二級以上計算機信息系統運營、使用單位,應當自確定安全保護等級之日起30日內,到所在地盟行政公署、設區的市人民政府公安機關或者其指定的受理機構備案;屬于自治區統一聯網、跨盟市或者中央駐自治區、自治區直屬單位的計算機信息系統,應當到自治區人民政府公安機關或者其指定的受理機構備案。
第八條 公安機關應當在收到備案材料之日起10個工作日內對報送備案的材料進行審查,對符合等級保護要求的,出具備案證明。對定級不準確或者保護措施不符合技術規范的,應當書面通知報送單位予以糾正。
第九條 計算機信息系統涉及國家安全、社會公共利益、重大經濟建設等信息的,其運營、使用單位或者主管部門應當選擇符合法定條件的安全等級測評機構,依據國家規定的技術標準,對計算機信息系統安全等級狀況進行測評。
第二級以上計算機信息系統建設完成后,經測評合格方可投入使用。
第十條 計算機信息系統確定為第二級保護等級的,應當每兩年至少進行一次系統安全等級測評;確定為第三級的,應當每年至少進行一次系統安全等級測評;確定為第四級以上的,應當每半年至少進行一次系統安全等級測評。
第十一條 從事計算機信息系統安全等級測評工作的機構和人員應當遵守國家規定。申請成立安全等級測評機構的單位應當經自治區人民政府公安機關初審,并通過公安部信息安全等級保護評估中心的測評能力評估。
自治區人民政府公安機關應當加強對安全等級測評機構的監督、檢查和指導。
第十二條 旗縣級以上人民政府公安機關應當對計算機信息系統運營、使用單位的信息安全等級保護情況進行檢查。對第三級計算機信息系統每年至少檢查一次,對第四級計算機信息系統每半年至少檢查一次。
對第五級計算機信息系統,應當由國家指定的專門部門進行檢查。
第三章 安全管理
第十三條 公安機關應當為公眾提供計算機信息系統安全保護指導,開展安全宣傳教育。
第十四條 公安機關對計算機信息系統安全服務機構實行分級管理和推薦制度。
第十五條 計算機信息系統安全服務機構應當向盟市級以上公安機關備案。
計算機信息系統安全服務機構應當執行國家及自治區有關計算機信息系統安全標準,應當配備適應開展相應安全服務需要、掌握國家及自治區有關計算機信息系統安全標準的技術人員。
計算機信息系統安全服務機構及其工作人員不得泄露在開展安全服務過程中獲悉的國家秘密、商業秘密以及計算機信息系統網絡結構、配置等用戶信息;不得非法占有、使用用戶的信息資源;不得在計算機信息系統中設置隱蔽信道。
第十六條 發生重大突發事件,危及國家安全、公共安全、社會穩定及重要計算機信息系統安全的緊急情況時,盟市級以上公安機關可以按照有關法律、法規的規定,要求有關單位采取相應控制措施。計算機信息系統的運營、使用單位應當服從公安機關和國家指定部門的調度。
第十七條 基礎電信運營企業和計算機信息系統的運營、使用單位應當接受公安機關的安全監督、檢查、指導,并如實提供有關計算機信息系統安全保護的信息資料、互聯網基礎數據及其他數據文件。
第十八條 基礎電信運營企業等提供互聯網接入服務的單位應當執行下列規定:
(一)配合公安機關做好接入本網絡聯網單位和用戶的備案工作,真實、準確、完整登記聯網單位和用戶的名稱、性質、有效證件、互聯網地址、裝機地址、上網電話、聯系人等公安機關要求備案的信息,報送同級公安機關,并及時報告本網絡中聯網單位和用戶的變更情況;
(二)記錄并留存接入本網絡的聯網單位和用戶登錄、退出互聯網時間及主叫號碼、賬號、互聯網地址等上網日志信息,留存時間不少于1年;
(三)落實相關安全保護技術措施,通過互聯網地址和相關網絡應用信息能夠對應聯網單位和用戶信息;
(四)協助公安機關查處涉及互聯網的違法犯罪行為,并采取人工值守、遠程聯網查詢等方式提供24小時快速查詢支持;
(五)協助公安機關對接入本網絡的聯網單位和用戶進行安全宣傳教育,落實安全保護措施;
(六)互聯網絡拓撲結構、通信協議等擬進行重大調整的,應當報自治區人民政府公安機關備案后實施。
第十九條 提供互聯網接入服務的單位、提供服務器托管或租賃空間服務的單位、互聯網信息服務提供者及其他有關電信業務經營者應當建立安全管理制度,采取異常流量和違法信息監測等安全保護技術措施,及時發現危害信息網絡安全、網上傳播違法信息等違法犯罪活動,保留有關原始記錄,及時采取刪除、停止傳輸等措施,并在24小時內向當地公安機關報告。
第二十條 聯網單位和用戶應當采取設置安全性較高的密碼等安全保護措施,定期更改密碼,保障所使用上網賬號的安全。
基礎電信運營企業可以采取動態密碼認證等技術措施為聯網單位和用戶提供互聯網接入服務。
第二十一條 聯網單位和用戶向其他單位、個人提供互聯網上網服務或者與其他單位、個人共用上網線路、賬號的,應當遵守國家有關規定,并到旗縣級以上人民政府公安機關備案。
第二十二條 提供互聯網上網服務的單位和通過局域網接入互聯網用戶終端在10臺以上的聯網單位應當安裝、運行符合國家及自治區規定的安全管理系統。
第二十三條 賓館、酒店、餐廳、機場、車站、閱覽室等提供互聯網上網服務的場所和通過無線方式接入互聯網的地點管理者,應當采取用戶登錄認證安全技術措施,并對上網用戶的身份證等有效證件進行核對、登記。
第二十四條 使用內部網絡地址與互聯網網絡地址轉換方式接入互聯網的聯網單位,應當記錄并留存用戶上網終端硬件地址等信息與內部網絡地址和互聯網網絡地址的對應關系。留存時間不少于1年。
第二十五條 生產、銷售或者提供具有計算機信息系統遠程控制、密碼猜解、漏洞檢測、信息群發功能的產品和工具的,應當報自治區人民政府公安機關或者其指定的公安機關備案。
第四章 安全秩序
第二十六條 計算機信息系統的運營、使用單位應當建立并執行下列安全管理制度:
(一)計算機機房安全管理制度;
(二)安全責任制度;
(三)病毒、網絡安全漏洞檢測和系統升級制度;
(四)系統安全風險管理和應急處置制度;
(五)賬號使用登記和操作權限管理制度;
(六)安全管理人員崗位工作職責;
(七)重要設備、介質管理制度;
(八)信息發布審查、登記、保存、清除和備份制度;
(九)信息群發服務管理制度;
(十)安全教育和培訓制度;
(十一)案件、事件報告和協助查處制度;
(十二)其他與安全保護相關的管理制度。
第二十七條 計算機信息系統的運營、使用單位應當采取下列安全保護技術措施:
(一)系統重要部分的冗余或者備份措施;
(二)計算機病毒防治措施;
(三)網絡攻擊防范和追蹤措施;
(四)安全審計和預警措施;
(五)系統運行和用戶使用日志記錄留存1年以上措施;
(六)記錄用戶賬號、主叫電話號碼和網絡地址措施;
(七)身份登記和識別確認措施;
(八)垃圾信息、有害信息的防治、清理措施;
(九)信息群發限制措施;
(十)其他保護計算機信息系統安全的技術措施。
第二十八條 任何單位和個人不得利用計算機信息系統、移動通訊終端制作、傳播、復制下列信息:
(一)危害國家統一、主權和領土完整的;
(二)泄露國家秘密,危害國家安全或者損害國家榮譽和利益的;
(三)煽動民族仇恨、民族歧視,破壞民族團結或者侵害民族風俗、習慣的;
(四)破壞國家宗教政策,宣揚邪教、封建迷信的;
(五)散布謠言,發布虛假信息,擾亂社會秩序,破壞社會穩定的;
(六)煽動聚眾滋事,損害社會公共利益的;
(七)宣揚淫穢、色情、賭博、暴力、兇殺、恐怖的;
(八)教唆犯罪或者傳授犯罪方法的;
(九)散布他人隱私,侮辱、誹謗、恐嚇他人,侵害他人合法權益的;
(十)從事考試作弊相關活動的;
(十一)販賣假幣、假證件、假發票、假冒偽劣商品、槍支彈藥、爆炸物、迷藥、竊聽器和其他
法律、法規禁止流通的物品的;
(十二)法律、法規禁止制作、傳播、復制的其他信息。
第二十九條 任何單位和個人不得實施下列行為:
(一)未經允許,進入計算機信息系統或者非法占有、使用、竊取計算機信息系統資源;
(二)未經允許,對計算機信息系統功能進行刪除、修改、增加或者干擾;
(三)未經允許,對計算機信息系統中存儲、處理或者傳輸的數據和應用程序進行刪除、修改或者增加;
(四)利用計算機信息系統竊取他人賬號和密碼,或者擅自向第三方公開他人賬號和密碼;
(五)非法截取、篡改、刪除他人電子郵件或者其他數據資料;
(六)故意制作、傳播計算機病毒、惡意軟件等破壞性程序;
(七)利用計算機信息系統假冒他人名義制作、傳播信息,或者以其他方式進行網絡詐騙;
(八)建立或者管理主要用于傳播、交流違法犯罪信息的網站、群組、論壇等;
(九)允許、放任他人在自己所有或者管理的網站、網頁、群組上發布第二十八條所禁止的信息;
(十)為非法網站提供服務器托管、虛擬主機、網絡存儲空間等服務,或者通過投放廣告等方式向其直接、間接提供資金;
(十一)明知是非法網站,向其提供互聯網接入、通訊傳輸通道、代收費、費用結算等服務;
(十二)以牟利為目的,在互聯網上散布、刪除信息,侵犯他人合法權益;
(十三)提供侵入、非法控制計算機信息系統的方法、程序、工具;
(十四)法律、法規禁止的其他利用計算機信息系統實施的行為。
第五章 法律責任
第三十條 違反本辦法第六條、第九條、第十條、第十七條、第十八條第一至四項、第十九條、第二十六條、第二十七條規定的,由公安機關責令限期改正,給予警告,有違法所得的,沒收違法所得;在規定的限期內未改正的,對單位的主管負責人員和其他直接責任人員處以5000元以下的罰款,對單位處以15000元以下的罰款,可以建議主管部門對相關單位的主要領導給予處分;情節嚴重的,并可以給予6個月以內停止聯網、停機整頓的處罰。
第三十一條 違反本辦法第十五條第三款規定的,由公安機關對單位的主管負責人員和其他直接責任人員處以5000元以下的罰款,對單位處以5000元以上15000元以下的罰款;有違法所得的,除沒收違法所得外,可以處以違法所得1至3倍的罰款,但是最高不得超過30000元。
第三十二條 違反本辦法第二十條第一款規定的,由公安機關責令限期改正,給予警告;在規定的限期內未改正的,可以給予6個月以內停止聯網、停機整頓的處罰。
第三十三條 違反本辦法第二十二條、第二十三條、第二十四條規定的,由公安機關責令限期改正,給予警告,有違法所得的,沒收違法所得;在規定的限期內未改正的,對單位的主管負責人員和其他直接責任人員處以5000元以下的罰款,對單位處以15000元以下的罰款;情節嚴重的,并可以給予6個月以內停止聯網、停機整頓的處罰。
第三十四條 違反本辦法第二十八條、第二十九條規定的,由公安機關給予警告,對個人可以并處5000元以下的罰款,對單位可以并處15000元以下的罰款;有違法所得的,除沒收違法所得
外,可以處以違法所得1至3倍的罰款,但是最高不得超過30000元;情節嚴重的,并可以給予6個月以內停止聯網、停機整頓的處罰。
第三十五條 從事計算機信息系統安全等級測評工作的單位和人員有下列行為之一的,由公安機關對單位主管負責人員和其他直接責任人員處以5000元以下的罰款,對單位處以5000元以上15000元以下的罰款;有違法所得的,除沒收違法所得外,可以處以違法所得1至3倍的罰款,但是最高不得超過30000元:
(一)未通過測評能力評估,從事測評活動的;
(二)影響被測評計算機信息系統正常運行,危害被測評計算機信息系統安全的;
(三)擅自向第三方泄露被測評計算機信息系統運營、使用單位秘密和其他信息的;
(四)故意隱瞞測評過程中發現的安全問題,或者在測評過程中弄虛作假,未如實出具測評報告的;
(五)擅自占有、使用測評相關資料及數據文件的;
(六)分包或者轉包測評項目的;
(七)從事計算機信息系統安全專用產品的開發、銷售及信息系統安全集成業務,或者限定被測評單位購買、使用其指定的信息安全專用產品的;
(八)其他可能影響測評結果客觀、公正的行為,或者未按照國家規定開展測評工作的。
第三十六條 違反本辦法規定,構成違反治安管理行為的,依照《中華人民共和國治安管理處罰法》的規定處罰;給國家、其他組織或者他人財產造成損失的,應當依法承擔民事責任;構成犯罪的,依法追究刑事責任。
第三十七條 公安機關和其他有關部門及其工作人員有下列行為之一的,對直接負責的主管人員和其他直接責任人員依法給予行政處分;構成犯罪的,依法追究刑事責任。
(一)利用職權索取、收受賄賂,或者玩忽職守、濫用職權的;
(二)泄露計算機信息系統運營、使用單位或者個人的有關信息、資料及數據文件的;
(三)其他不履行法定職責的。
第六章 附 則
第三十八條 本辦法所稱的計算機信息系統,是指由計算機及其相關的和配套的設備、設施、網絡構成的,按照一定的應用目標和規則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統。
本辦法所稱的信息安全等級測評,是指對計算機信息系統的安全狀況進行測試、評價、判斷。本辦法所稱的安全服務機構,是指從事計算機信息系統安全設計、建設、檢測、維護、監理、咨詢、培訓等業務的單位。
本辦法所稱聯網單位和用戶包括通過計算機或者手機等通訊終端以有線、無線等方式接入互聯網的單位和用戶。
第三十九條 本辦法自2012年2月1日起施行。
第四篇:杭州市計算機信息系統安全保護管理辦法
杭州市計算機信息系統安全保護管理辦法 杭州市人民政府令
第211號
《杭州市計算機信息系統安全保護管理辦法》已經2004年10月25日市人民政府第53次常務會議審議通過,現予公布,自2005年1月1日起施行。
代市長
二○○四年十一月三日
杭州市計算機信息系統安全保護管理辦法
第一章 總
則
第一條 為加強對計算機信息系統的安全保護,維護公共秩序和社會穩定,促進信息化的健康發展,根據《中華人民共和國計算機信息系統安全保護條例》、《中華人民共和國計算機信息網絡國際聯網管理暫行規定》等規定,結合本市實際,制定本辦法。
第二條 本辦法所稱的計算機信息系統,是指由計算機及其相關的和配套的設備、設施(含有線、無線等網絡,下同)構成的,按照一定的應用目標和規則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統,包括互聯網、局域網、移動網等。
第三條 杭州市行政區域范圍內計算機信息系統的安全保護管理,適用本辦法。
第四條 杭州市公安局主管全市計算機信息系統安全保護管理工作。
杭州市公安局公共信息網絡安全監察分局具體負責市區范圍內(蕭山區、余杭區除外)計算機信息系統安全保護管理工作。
各縣(市)公安局和蕭山區、余杭區公安分局負責本行政區域范圍內計算機信息系統安全保護管理工作。
國家安全機關、保密機關、信息化行政主管部門及政府其他有關職能部門,在各自職責范圍內負責計算機信息系統安全保護管理的有關工作。
第五條 公安機關、國家安全機關、保密機關、信息化行政主管部門及政府其他有關職能部門,應當建立協調合作管理機制,共同做好計算機信息系統安全保護管理工作。
第六條 公安機關、國家安全機關、保密機關、信息化行政主管部門及政府其他有關職能部門在履行管理職責過程中,應當保護計算機信息系統使用單位和個人的合法權益,保守其秘密。
計算機信息系統使用單位和個人應當協助公安機關等有關職能部門做好計算機信息系統的安全保護管理工作。在公安機關等有關職能部門依法履行管理職責時,使用單位和個人應當如實提供本單位計算機信息系統的技術資料。
第七條 計算機信息系統的安全保護工作,重點維護下列涉及國家事務、公共利益、經濟建設、尖端科學技術等重要領域和單位(以下簡稱重點安全保護單位)的計算機信息系統的安全:
(一)各級國家機關;
(二)金融、證券、保險、期貨、能源、交通、社會保障、郵電通信及其他公用事業單位;
(三)重點科研、教育單位;
(四)有關國計民生的企業;
(五)從事國際聯網的互聯單位、接入單位及重點政務、商務、新聞網站;
(六)向公眾提供上網服務的單位;
(七)互聯網絡游戲、手機短信轉發、各類聊天室等互動欄目的開發、運營和維護單位;
(八)其他對社會公共利益有重大影響的計算機信息系統使用單位。
第二章 計算機信息系統使用單位的安全管理
第八條 計算機信息系統使用單位應當建立人員管理、機房管理、設備設施管理、數據管理、磁介質管理、輸入輸出控制管理和安全監督等制度,健全計算機信息系統安全保障體系,保障本單位計算機信息系統安全。
第九條 計算機信息系統使用單位應當確定本單位的計算機信息系統安全管理責任人。安全管理責任人應履行下列職責:
(一)組織宣傳計算機信息系統安全保護管理方面的法律、法規、規章和有關政策;
(二)組織實施本單位計算機信息系統安全保護管理制度和安全保護技術措施;
(三)組織本單位計算機從業人員的安全教育和培訓;
(四)定期組織檢查計算機信息系統的安全運行情況,及時排除安全隱患。
第十條 計算機信息系統使用單位應當配備本單位的計算機信息系統安全技術人員。安全技術人員應履行下列職責:
(一)嚴格執行本單位計算機信息系統安全保護技術措施;
(二)對計算機信息系統安全運行情況進行檢查測試,及時排除安全隱患;
(三)計算機信息系統發生安全事故或違法犯罪案件時,應立即向本單位報告,并采取妥善措施保護現場,避免危害的擴大;
(四)負責收集本單位的網絡拓撲結構圖及信息系統的其他相關技術資料。
第十一條 重點安全保護單位應當建立并執行以下安全保護管理制度:
(一)計算機機房安全管理制度;
(二)安全管理責任人、安全技術人員的安全責任制度;
(三)網絡安全漏洞檢測和系統升級管理制度;
(四)操作權限管理制度;
(五)用戶登記制度;
(六)信息發布審查、登記、保存、清除和備份制度;
(七)信息保密制度;
(八)信息系統安全應急處置制度;
(九)其他相關安全保護管理制度。
第十二條 重點安全保護單位應當落實以下安全保護技術措施:
(一)系統重要部分的冗余措施;
(二)重要信息的異地備份措施和保密措施;
(三)計算機病毒和有害數據防治措施;
(四)網絡攻擊防范和追蹤措施;
(五)安全審計和預警措施;
(六)信息群發限制措施;
(七)其他相關安全保護技術措施。
第十三條 重點安全保護單位的安全管理責任人和安全技術人員,應當經過計算機信息系統安全知識培訓。
第十四條 重點安全保護單位應當對其主服務器輸入輸出數據進行24小時監控,發現異常數據應注意保護現場,并同時報告公安機關等有關職能部門。
第十五條 使用和銷售計算機信息系統安全專用產品,必須是依法取得計算機信息系統安全專用產品銷售許可證的產品。
進入本市銷售計算機信息系統安全專用產品的銷售單位,其銷售產品目錄應報市公安局備案。
市公安局應定期發布通告,公布合格的計算機信息系統安全專用產品目錄。
保密技術專用產品的管理,按照國家和省、市的有關規定執行。
第十六條 計算機信息系統使用單位發現計算機信息系統中發生安全事故和違法犯罪案件時,應在24小時內向當地公安機關報告,并做好運行日志等原始記錄的現場保留工作。涉及重大安全事故和違法犯罪案件的,未經公安機關查勘或同意,使用單位不得擅自恢復、刪除現場。涉及其他管理部門法定職權的,公安機關應當在接到報告后及時通知有關部門。
第十七條 計算機信息系統發生突發性事件或存在安全隱患,可能危及公共安全或損害公共利益時,公安機關等有關職能部門應當及時通知計算機信息系統使用單位采取安全保護措施,并有權對使用單位采取暫停聯網、停機檢查、備份數據等應急措施,計算機信息系統使用單位應當予以配合。
突發性事件或安全隱患消除之后,公安機關等有關職能部門應立即解除暫停聯網或停機檢查措施,恢復計算機信息系統的正常工作。
第三章 計算機信息系統安全檢測
第十八條 重點安全保護單位的計算機信息系統進行新建、改建、擴建的,其安全保護設計方案應報公安機關備案。
系統建成后,重點安全保護單位應進行1至6個月的試運行,并委托符合條件的檢測機構對其系統進行安全保障體系檢測,檢測合格的,系統方能投入正式運行。重點安全保護單位應將檢測合格報告書報公安機關備案。
涉密計算機信息系統的建設、檢測等按照國家和省、市的有關規定執行。
第十九條 計算機信息系統安全保障體系檢測包括以下內容:
(一)安全保護管理制度和安全保護技術措施的制定和執行情況;
(二)計算機硬件性能和機房環境;
(三)計算機系統軟件和應用軟件的可靠性;
(四)技術測試情況和其他相關情況。
市公安局應當根據計算機信息系統安全保護的行業特點,會同有關部門制定并公布重點行業計算機信息系統安全保障體系的安全要求規范。
第二十條 重點安全保護單位對計算機信息系統進行設備更新或改造時,對安全保障體系產生直接影響的,應當委托符合條件的檢測機構對受影響的部分進行檢測,確保其符合該行業計算機信息系統安全保障體系的安全要求規范。
第二十一條 重點安全保護單位應加強對計算機信息系統的安全保護,定期委托符合條件的檢測機構對計算機信息系統進行安全保障體系檢測,并將檢測合格報告書報公安機關備案。對檢測不合格的,重點安全保護單位應當按照該行業計算機信息系統安全保障體系的安全要求規范進行整改,整改后達到要求的,系統方能繼續運行。
第二十二條 公安機關應當會同有關部門,按照國家有關規定和相關行業安全要求規范,對重點安全保護單位的計算機信息系統安全保障體系進行檢查。檢查內容包括:
(一)安全保護管理制度和安全保護技術措施的落實情況;
(二)計算機信息系統實體的安全;
(三)計算機網絡通訊和數據傳輸的安全;
(四)計算機軟件和數據庫的安全;
(五)計算機信息系統安全審計狀況和安全事故應急措施的執行情況;
(六)其他計算機信息系統的安全情況。
第二十三條 公安機關等有關職能部門發現重點安全保護單位的計算機信息系統存在安全隱患、可能危及公共安全或損害公共利益的,可委托符合條件的檢測機構對其安全保障體系進行檢測。經檢測發現存在安全問題的,重點安全保護單位應當立即予以整改。
第二十四條 檢測機構進行計算機信息系統安全檢測時,應保障被檢測單位各種活動的正常進行,并不得泄露其秘密。
檢測機構應當嚴格按照國家有關規定和相關規范進行檢測,并對其出具的檢測報告承擔法律責任。
第四章 計算機信息網絡公共秩序管理
第二十五條 互聯網絡接入單位以及申請從事互聯網信息服務的單位和個人,除應當按照國家有關規定辦理相關手續外,還應當自網絡正式聯通之日起30日內到公安機關辦理安全備案手續。
第二十六條 用戶在接入單位辦理入網手續時,應當填寫用戶備案表。接入單位應當定期將接入本網絡的用戶情況報當地公安機關備案。
第二十七條 設立互聯網上網服務營業場所,應當按照《互聯網上網服務營業場所管理條例》的規定向公安機關申請信息網絡安全審核。經公安機關審核合格,發給互聯網上網服務營業場所信息網絡安全許可證明后,再向文化、工商部門辦理有關審批手續。
互聯網上網服務營業場所經營單位變更營業場所地址或者對營業場所進行改建、擴建,變更計算機數量或者其他重要事項的,應當經原審核機關同意。
互聯網上網服務營業場所經營單位變更名稱、住所、法定代表人或者主要負責人、注冊資本、網絡地址或者終止經營活動的,應當依法到工商行政管理部門辦理變更登記或者注銷登記,并到文化行政部門、公安機關辦理相關手續。
第二十八條 互聯網上網服務營業場所經營單位必須使用固定的IP地址聯網,并按規定落實安全保護技術措施。
互聯網上網服務營業場所經營單位應按規定對上網人員進行電子實名登記,登記內容包括姓名、身份證號碼、上網起止時間,并應記錄上網信息。登記內容和記錄備份保存時間不得少于60日,在保存期內不得修改或者刪除。
第二十九條 任何單位和個人不得從事下列危害計算機信息網絡安全的活動:
(一)未經授權查閱他人電子郵箱,或者以贏利和非正常使用為目的,未經允許向第三方公開他人電子郵箱地址;
(二)故意向他人發送垃圾郵件,或者冒用他人名義發送電子郵件;(三)利用計算機信息網絡傳播有害手機短信;
(四)侵犯他人隱私、竊取他人帳號、進行網上詐騙活動;
(五)未經計算機信息網絡所有者同意,掃描他人信息網絡漏洞;
(六)利用計算機信息網絡鼓動公眾惡意評論他人或公開發布他人隱私,或者暗示、影射對他人進行人身攻擊;
(七)其他危害計算機信息網絡安全的行為。
第三十條 從事信息網絡經營、服務的單位和個人應當遵守下列規定:
(一)制訂安全保護管理制度,對本網絡用戶進行安全教育;
(二)落實安全保護技術措施,保障本網絡的運行安全和其發布的信息安全;
(三)建立電子公告系統的信息審核制度,設立信息審核員,發現有害信息的,應在做好數據保存工作后及時刪除;
(四)發現本辦法第二十九條中各類情況時應保留有關稽核記錄,并立即向公安機關報告;
(五)落實信息群發限制、匿名轉發限制和有害數據防治措施;
(六)落實系統運行和上網用戶使用日志記錄措施;
(七)按公安機關要求報送各類接入狀況及基礎數據。
第三十一條 發現計算機信息網絡傳播病毒、轉發垃圾郵件、轉發有害手機短信或傳播有害信息的,信息網絡的經營、服務單位和個人應當采取技術措施予以防護和制止,并在24小時內向公安機關報告。
對不采取技術措施予以防護和制止的信息網絡經營、服務單位和個人,公安機關有權責令其采取技術措施,或主動采取有關技術措施予以防護和制止。
第三十二條 公安機關應對計算機信息網絡的安全狀況、公共秩序狀況進行經常性監測,發現危害信息安全和危害公共秩序的事件應及時進行處理,并及時通知有關單位和個人予以整改。
第五章 法律責任
第三十三條 違反本辦法規定,有下列行為之一的,給予警告,責令限期改正,并可處以1000元以上10000元以下罰款;情節嚴重的,可以給予6個月以內停機整頓的處罰:
(一)計算機信息系統使用單位未建立安全保護管理制度或未落實安全保護技術措施,危害計算機信息系統安全的;
(二)計算機信息系統使用單位不按照規定時間報告計算機信息系統中發生的安全事故和違法犯罪案件,造成危害的;
(三)重點安全保護單位的計算機信息系統未經檢測或檢測不合格即投入正式運行的。
第三十四條 違反本辦法規定,銷售計算機信息系統安全專用產品未向公安機關備案的,給予警告,責令限期改正,并可處以200元以上2000元以下罰款。
第三十五條 違反本辦法規定,接入單位或從事互聯網信息服務的單位和個人不辦理安全備案手續的,給予警告,責令限期改正,并可處以1000元以上5000元以下的罰款;情節嚴重的,可以給予6個月以內停機整頓的處罰。
第三十六條 違反本辦法規定,未取得互聯網上網服務營業場所信息網絡安全許可證明從事互聯網上網服務經營活動的,責令限期補辦手續,并可處以1000元以上10000元以下的罰款。
第三十七條 有本辦法第二十九條規定行為之一的,給予警告,責令限期改正,并可處以1000元以上5000元以下的罰款;情節嚴重的,可以給予6個月以內停機整頓的處罰。
第三十八條 違反本辦法第三十條和第三十一條第一款規定的,給予警告,責令限期改正,并可處以1000元以上10000元以下的罰款;情節嚴重的,可以給予6個月以內停機整頓的處罰。
第三十九條 計算機信息系統使用單位的安全管理責任人和安全技術人員不履行本辦法規定的職責,造成安全事故或重大損害的,給予警告,并可建議其所在單位按照相關規定給予其行政處分。
第四十條 對本辦法規定的行政處罰,市區范圍內(蕭山區、余杭區除外)由市公安局公共信息網絡安全監察分局負責;各縣(市)和蕭山區、余杭區范圍內由各縣(市)公安局和蕭山區、余杭區公安分局負責。
第四十一條 對違反本辦法規定的行為,涉及其他有關法律法規的,由有關部門依法予以處罰。對違反治安管理行為的,依照《中華人民共和國治安管理處罰條例》的規定給予處罰;構成犯罪的,依法追究刑事責任。
第四十二條 行政機關工作人員違反本辦法規定,玩忽職守、濫用職權、徇私舞弊的,由其所在單位或有關部門按照有關規定給予其行政處分;構成犯罪的,由司法機關依法追究刑事責任。
第六章 附
則
第四十三條 計算機信息系統的保密管理,按照國家有關規定執行。
第四十四條 市公安局可以根據本辦法的規定,制定相關的實施細則。
第四十五條 本辦法自2005年1月1日起施行。
第五篇:廣東省計算機信息系統安全保護管理規定(廣東省人民政府令第81號)
【發布單位】廣東省
【發布文號】廣東省人民政府令第81號 【發布日期】2003-04-08 【生效日期】2003-04-08 【失效日期】 【所屬類別】地方法規 【文件來源】中國法院網
廣東省計算機信息系統安全保護管理規定
(廣東省人民政府令第81號)
2003年4月8日
第一條第一條 為了保護計算機信息系統的安全,促進信息化建設的健康發展,根據《 中華人民共和國計算機信息系統安全保護條例》和《 計算機信息網絡國際聯網安全保護管理辦法》規定,結合本省實際,制定本規定。
第二條第二條 本省行政區域內計算機信息系統的安全保護,適用本規定。
未聯網的微型計算機的安全保護辦法,按國家有關規定執行。
第三條第三條 本規定所稱的計算機信息系統,是指由計算機及其相關的和配套的設備、設施(含網絡)構成的,按照一定的應用目標和規則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統。
第四條第四條 縣級以上人民政府公安機關主管本行政區域內的計算機信息系統安全保護工作。
國家安全機關、保密工作部門和政府其他有關部門,在各自職責范圍內做好計算機信息系統安全保護工作。
第五條第五條 公安機關、國家安全機關為保護計算機信息系統安全,在緊急情況下,可采取24小時內暫時停機、暫停聯網、備份數據等措施,有關單位和個人應當如實提供有關信息和資料,并提供相關技術支持和必要的協助。
第六條第六條 地級以上市公安機關應當有專門機構負責計算機信息系統中發生的案件和重大安全事故報警的接受和處理,為計算機信息系統使用單位和個人提供安全指導,并向社會公布舉報電話和電子郵箱。
第七條第七條 計算機信息系統使用單位應當確定計算機安全管理責任人,建立健全安全保護制度,落實安全保護技術措施,保障本單位計算機信息系統安全,并協助公安機關做好安全保護管理工作。
提供電子公告、個人主頁等信息服務的使用單位,應當設立信息審查員,負責信息審查工作。
第八條第八條 計算機信息系統使用單位應當建立并執行以下安全保護制度:
(一)計算機機房安全管理制度;
(二)安全管理責任人、信息審查員的任免和安全責任制度;
(三)網絡安全漏洞檢測和系統升級管理制度;
(四)操作權限管理制度;
(五)用戶登記制度;
(六)信息發布審查、登記、保存、清除和備份制度,信息群發服務管理制度。
第九條第九條 計算機信息系統使用單位應當落實以下安全保護技術措施:
(一)系統重要部分的冗余或備份措施;
(二)計算機病毒防治措施;
(三)網絡攻擊防范、追蹤措施;
(四)安全審計和預警措施;
(五)系統運行和用戶使用日志記錄保存60日以上措施;
(六)記錄用戶主叫電話號碼和網絡地址的措施;
(七)身份登記和識別確認措施;
(八)信息群發限制和有害數據防治措施。
向公眾提供上網服務的場所以及其他從事國際聯網業務的單位應當安裝國家規定的安全管理軟件。
第十條第十條 對計算機信息系統中發生的重大安全事故,使用單位應當采取應急措施,保留有關原始記錄,在24小時內向當地縣級以上人民政府公安機關報告。
第十一條第十一條 任何單位和個人不得利用計算機信息系統從事下列行為:
(一)制作、復制、查閱、傳播有害信息;
(二)侵犯他人隱私,竊取他人賬號,假冒他人名義發送信息,或者向他人發送垃圾信息;
(三)以營利或者非正常使用為目的,未經允許向第三方公開他人電子郵箱地址;
(四)未經允許修改、刪除、增加、破壞計算機信息系統的功能、程序及數據;
(五)危害計算機信息系統安全的其他行為。
第十二條第十二條 計算機信息系統及計算機機房應當按照國家有關規定以及國家標準進行安全保護設計和建設。
第十三條第十三條 銷售的計算機信息系統安全專用產品(含計算機信息系統安全檢測產品)應當取得公安部頒發的《計算機信息系統安全專用產品銷售許可證》。密碼產品的管理,按國家有關規定執行。
第十四條第十四條 下列計算機信息系統使用單位為重點安全保護單位:
(一)縣級以上國家機關、國防單位;
(二)銀行、證券、能源、交通、郵電通信單位;
(三)國家及省重點科研、教育單位;
(四)國有大中型企業;
(五)互聯單位、接入單位及重點網站;
(六)向公眾提供上網服務的場所。
第十五條第十五條 重點安全保護單位計算機安全管理責任人和信息審查員應當參加縣級以上人民政府公安機關認可的安全技術培訓,并取得安全技術培訓合格證書。
第十六條第十六條 重點安全保護單位計算機信息系統及計算機機房安全保障體系的設計、建設和檢測應當由有安全服務資質的機構承擔。
重點安全保護單位計算機信息系統及計算機機房應當由有安全服務資質的機構檢測合格后,方可投入使用。
第十七條第十七條 申請安全服務資質,應當具備以下條件:
(一)取得相應經營范圍的營業執照;
(二)取得安全技術培訓合格證書的專業技術人員不少于10人,其中大學本科以上學歷的人員所占比例不少于70%;
(三)負責安全服務工作的管理人員應當具有2年以上從事計算機信息系統安全技術領域企業管理工作經歷,并取得安全技術培訓合格證書;
(四)有與其從事的安全服務業務相適應的技術裝備;
(五)有與其從事的安全服務業務相適應的組織管理制度;
(六)法律法規規定的其他條件。
第十八條第十八條 申請安全服務資質,應當持下列資料向地級以上市公安機關提出申請:
(一)申請書;
(二)營業執照(復印件);
(三)管理人員和專業技術人員的身份證明、學歷證明和安全技術培訓合格證書;
(四)技術裝備情況及組織管理制度報告。
地級以上市公安機關應當自接到申請資料之日起15日內進行初審。初審合格的,報送省公安機關核準;初審不合格的,退回申請并說明理由。
省公安機關應當自接到初審意見之日起15日內進行審查,符合條件的,核發資質證書。不符合條件的,作出不予核準的決定并說明理由。
資質證書實行年審制度。年審不得收費。
第十九條第十九條 計算機信息系統使用單位應當將計算機信息系統安全保護工作納入內部檢查、考核、評比內容。對在工作中成績突出的部門和個人,應當給予表彰獎勵。對未依法履行安全保護職責或違反本單位安全保護制度的,應當依照有關規定對責任人員給予行政處分。
第二十條第二十條 違反本規定,有下列行為之一的,由縣級以上人民政府公安機關給予警告,并責令限期整改;逾期不改的,可以給予6個月以內停機整頓或者停止聯網的處罰,并可對單位處以5000元以下罰款,對安全管理責任人處以500元以下罰款。國家另有規定的,從其規定。
(一)未按規定建立安全保護制度的;
(二)未按規定落實安全保護技術措施的;
(三)計算機信息系統及計算機機房未按國家有關規定和國家標準進行安全保護設計和建設的;
(四)重點安全保護單位計算機安全管理責任人和信息審查員未經縣級以上人民政府公安機關認可的安全技術培訓并取得合格證書的;
(五)重點安全保護單位將本單位計算機信息系統及計算機機房安全保障體系的設計、建設和檢測交由未具有安全服務資質的機構承擔的,或者未經有安全服務資質的機構檢測合格即投入使用的。
第二十一條第二十一條 計算機信息系統使用單位對計算機信息系統中發生的重大安全事故,未在規定時間內報告公安機關的,由縣級以上人民政府公安機關處以警告或者停機整頓。
第二十二條第二十二條 利用國際聯網的計算機信息系統從事本規定第十一條所規定行為的,依照國家有關規定進行處理。
利用未國際聯網的計算機信息系統從事本規定第十一條所規定行為的,由縣級以上人民政府公安機關給予警告,對單位可處以1000元以下罰款,對個人可處以100元以下罰款。
第二十三條第二十三條 計算機信息系統安全專用產品未取得《計算機信息系統安全專用產品銷售許可證》進行銷售的,依照國家有關規定進行處理。
第二十四條第二十四條 未取得安全服務資質的機構,承擔重點安全保護單位計算機信息系統及計算機機房安全保障體系的設計、建設和檢測的,由縣級以上人民政府公安機關責令限期整改,并處以1萬元以下罰款。
第二十五條第二十五條 行政管理部門的工作人員違反本規定,玩忽職守、濫用職權的,由主管部門依照有關規定給予行政處分;構成犯罪的,由司法機關依法追究刑事責任。
第二十六條第二十六條 軍隊的計算機信息系統安全保護工作,按照軍隊的有關規定執行。
第二十七條第二十七條 計算機信息系統的保密管理,依照國家和省的有關規定執行。
第二十八條第二十八條 本規定自2003年6月1日起施行。
本內容來源于政府官方網站,如需引用,請以正式文件為準。
點擊咨詢 