廣東省計算機信息系統安全保護管理規定
廣東省計算機信息系統安全保護管理規定
為保護計算機信息系統的安全,促進信息化建設的健康發展,根據《中華人民共和國計算機信息系統安全保護條例》和《計算機信息網路國際聯網安全保護管理辦法》規定,結合實際,制定《廣東省計算機信息系統安全保護管理規定》。該《規定》經2003年3月31日廣東省人民政府第十屆4次常務會議通過,2003年4月8日廣東省人民政府令第81號發布,自2003年6月1日起施行。
廣東省人民政府令
(第81號)
《廣東省計算機信息系統安全保護管理規定》已經2003年3月31日廣東省人民政府第十屆4次常務會議通過,現予發布,自2003年6月1日起施行。
省長 黃華華
2003年4月8日
廣東省計算機信息系統安全保護管理規定
第一條 為了保護計算機信息系統的安全,促進信息化建設的健康發展,根據《中華人民共和國計算機信息系統安全保護條例》和《計算機信息網路國際聯網安全保護管理辦法》規定,結合本省實際,制定本規定。
第二條 本省行政區域內計算機信息系統的安全保護,適用本規定。
未聯網的微型計算機的安全保護辦法,按國家有關規定執行。
第三條 本規定所稱的計算機信息系統,是指由計算機及其相關的和配套的設備、設施(含網路)構成的,按照一定的應用目標和規則對信息進行採集、加工、存儲、傳輸、檢索等處理的人機系統。
第四條 縣級以上人民政府公安機關主管本行政區域內的計算機信息系統安全保護工作。
國家安全機關、保密工作部門和政府其他有關部門,在各自職責範圍內做好計算機信息系統安全保護工作。
第五條 公安機關、國家安全機關為保護計算機信息系統安全,在緊急情況下,可採取24小時內暫時停機、暫停聯網、備份數據等措施,有關單位和個人應當如實提供有關信息和資料,並提供相關技術支持和必要的協助。
第六條 地級以上市公安機關應當有專門機構負責計算機信息系統中發生的案件和重大安全事故報警的接受和處理,為計算機信息系統使用單位和個人提供安全指導,並向社會公布舉報電話和電子郵箱。
第七條 計算機信息系統使用單位應當確定計算機安全管理責任人,建立健全安全保護制度,落實安全保護技術措施,保障本單位計算機信息系統安全,並協助公安機關做好安全保護管理工作。
提供電子公告、個人主頁等信息服務的使用單位,應當設立信息審查員,負責信息審查工作。
第八條 計算機信息系統使用單位應當建立並執行以下安全保護制度:
(一)計算機機房安全管理制度;
(二)安全管理責任人、信息審查員的任免和安全責任制度;
(三)網路安全漏洞檢測和系統升級管理制度;
(四)操作許可權管理制度;
(五)用戶登記制度;
(六)信息發布審查、登記、保存、清除和備份制度,信息群發服務管理制度。
第九條 計算機信息系統使用單位應當落實以下安全保護技術措施:
(一)系統重要部分的冗餘或備份措施;
(二)計算機病毒防治措施;
(三)網路攻擊防範、追蹤措施;
(四)安全審計和預警措施;
(五)系統運行和用戶使用日誌記錄保存60日以上措施;
(六)記錄用戶主叫電話號碼和網路地址的措施;
(七)身份登記和識別確認措施;
(八)信息群發限制和有害數據防治措施。
向公眾提供上網服務的場所以及其他從事國際聯網業務的單位應當安裝國家規定的安全管理軟體。
第十條 對計算機信息系統中發生的重大安全事故,使用單位應當採取應急措施,保留有關原始記錄,在24小時內向當地縣級以上人民政府公安機關報告。
第十一條 任何單位和個人不得利用計算機信息系統從事下列行為:
(一)製作、複製、查閱、傳播有害信息;
(二)侵犯他人隱私,竊取他人賬號,假冒他人名義發送信息,或者向他人發送垃圾信息;
(三)以營利或者非正常使用為目的,未經允許向第三方公開他人電子郵箱地址;
(四)未經允許修改、刪除、增加、破壞計算機信息系統的功能、程序及數據;
(五)危害計算機信息系統安全的其他行為。
第十二條 計算機信息系統及計算機機房應當按照國家有關規定以及國家標準進行安全保護設計和建設。
第十三條 銷售的計算機信息系統安全專用產品(含計算機信息系統安全檢測產品)應當取得公安部頒發的《計算機信息系統安全專用產品銷售許可證》。密碼產品的管理,按國家有關規定執行。
第十四條 下列計算機信息系統使用單位為重點安全保護單位:
(一)縣級以上國家機關、國防單位;
(二)銀行、證券、能源、交通、郵電通信單位;
(三)國家及省重點科研、教育單位;
(四)國有大中型企業;
(五)互聯單位、接入單位及重點網站;
(六)向公眾提供上網服務的場所。
第十五條 重點安全保護單位計算機安全管理責任人和信息審查員應當參加縣級以上人民政府公安機關認可的安全技術培訓,並取得安全技術培訓合格證書。
第十六條 重點安全保護單位計算機信息系統及計算機機房安全保障體系的設計、建設和檢測應當由有安全服務資質的機構承擔。
重點安全保護單位計算機信息系統及計算機機房應當由有安全服務資質的機構檢測合格后,方可投入使用。
第十七條 申請安全服務資質,應當具備以下條件:
(一)取得相應經營範圍的營業執照;
(二)取得安全技術培訓合格證書的專業技術人員不少於10人,其中大學本科以上學歷的人員所佔比例不少於70%;
(三)負責安全服務工作的管理人員應當具有2年以上從事計算機信息系統安全技術領域企業管理工作經歷,並取得安全技術培訓合格證書;
(四)有與其從事的安全服務業務相適應的技術裝備;
(五)有與其從事的安全服務業務相適應的組織管理制度;
(六)法律法規規定的其他條件。
第十八條 申請安全服務資質,應當持下列資料向地級以上市公安機關提出申請:
(一)申請書;
(二)營業執照(複印件);
(三)管理人員和專業技術人員的身份證明、學歷證明和安全技術培訓合格證書;
(四)技術裝備情況及組織管理制度報告。
地級以上市公安機關應當自接到申請資料之日起15日內進行初審。初審合格的,報送省公安機關核准;初審不合格的,退回申請並說明理由。
省公安機關應當自接到初審意見之日起15日內進行審查,符合條件的,核發資質證書。不符合條件的,作出不予核准的決定並說明理由。
資質證書實行年審制度。年審不得收費。
第十九條 計算機信息系統使用單位應當將計算機信息系統安全保護工作納入內部檢查、考核、評比內容。對在工作中成績突出的部門和個人,應當給予表彰獎勵。對未依法履行安全保護職責或違反本單位安全保護制度的,應當依照有關規定對責任人員給予行政處分。
第二十條 違反本規定,有下列行為之一的,由縣級以上人民政府公安機關給予警告,並責令限期整改;逾期不改的,可以給予6個月以內停機整頓或者停止聯網的處罰,並可對單位處以5000元以下罰款,對安全管理責任人處以500元以下罰款。國家另有規定的,從其規定。
(一)未按規定建立安全保護制度的;
(二)未按規定落實安全保護技術措施的;
(三)計算機信息系統及計算機機房未按國家有關規定和國家標準進行安全保護設計和建設的;
(四)重點安全保護單位計算機安全管理責任人和信息審查員未經縣級以上人民政府公安機關認可的安全技術培訓並取得合格證書的;
(五)重點安全保護單位將本單位計算機信息系統及計算機機房安全保障體系的設計、建設和檢測交由未具有安全服務資質的機構承擔的,或者未經有安全服務資質的機構檢測合格即投入使用的。
第二十一條 計算機信息系統使用單位對計算機信息系統中發生的重大安全事故,未在規定時間內報告公安機關的,由縣級以上人民政府公安機關處以警告或者停機整頓。
第二十二條 利用國際聯網的計算機信息系統從事本規定第十一條所規定行為的,依照國家有關規定進行處理。
利用未國際聯網的計算機信息系統從事本規定第十一條所規定行為的,由縣級以上人民政府公安機關給予警告,對單位可處以1000元以下罰款,對個人可處以100元以下罰款。
第二十三條 計算機信息系統安全專用產品未取得《計算機信息系統安全專用產品銷售許可證》進行銷售的,依照國家有關規定進行處理。
第二十四條 未取得安全服務資質的機構,承擔重點安全保護單位計算機信息系統及計算機機房安全保障體系的設計、建設和檢測的,由縣級以上人民政府公安機關責令限期整改,並處以1萬元以下罰款。
第二十五條 行政管理部門的工作人員違反本規定,玩忽職守、濫用職權的,由主管部門依照有關規定給予行政處分;構成犯罪的,由司法機關依法追究刑事責任。
第二十六條 軍隊的計算機信息系統安全保護工作,按照軍隊的有關規定執行。
第二十七條 計算機信息系統的保密管理,依照國家和省的有關規定執行。
第二十八條 本規定自2003年6月1日起施行。
第81號
《廣東省計算機信息系統安全保護管理規定》已經2003年3月31日廣東省人民政府第十屆4次常務會議通過,現予發布,自2003年6月1日起施行。
省 長 黃華華
二○○三年四月八日
第一條 為了保護計算機信息系統的安全,促進信息化建設的健康發展,根據《中華人民共和國計算機信息系統安全保護條例》和《計算機信息網路國際聯網安全保護管理辦法》規定,結合本省實際,制定本規定。
第二條 本省行政區域內計算機信息系統的安全保護,適用本規定。未聯網的微型計算機的安全保護辦法,按國家有關規定執行。
第三條 本規定所稱的計算機信息系統,是指由計算機及其相關的和配套的設備、設施(含網路)構成的,按照一定的應用目標和規則對信息進行採集、加工、存儲、傳輸、檢索等處理的人機系統。
第四條 縣級以上人民政府公安機關主管本行政區域內的計算機信息系統安全保護工作。
國家安全機關、保密工作部門和政府其他有關部門,在各自職責範圍內做好計算機信息系統安全保護工作。
第五條 公安機關、國家安全機關為保護計算機信息系統安全,在緊急情況下,可採取24小時內暫時停機、暫停聯網、備份數據等措施,有關單位和個人應當如實提供有關信息和資料,並提供相關技術支持和必要的協助。
第六條 地級以上市公安機關應當有專門機構負責計算機信息系統中發生的案件和重大安全事故報警的接受和處理,為計算機信息系統使用單位和個人提供安全指導,並向社會公布舉報電話和電子郵箱。
第七條 計算機信息系統使用單位應當確定計算機安全管理責任人,建立健全安全保護制度,落實安全保護技術措施,保障本單位計算機信息系統安全,並協助公安機關做好安全保護管理工作。
提供電子公告、個人主頁等信息服務的使用單位,應當設立信息審查員,負責信息審查工作。
第八條 計算機信息系統使用單位應當建立並執行以下安全保護制度:
(一)計算機機房安全管理制度;
(二)安全管理責任人、信息審查員的任免和安全責任制度;
(三)網路安全漏洞檢測和系統升級管理制度;
(四)操作許可權管理制度;
(五)用戶登記制度;
(六)信息發布審查、登記、保存、清除和備份制度,信息群發服務管理制度。
第九條 計算機信息系統使用單位應當落實以下安全保護技術措施:
(一)系統重要部分的冗餘或備份措施;
(二)計算機病毒防治措施;
(三)網路攻擊防範、追蹤措施;
(四)安全審計和預警措施;
(五)系統運行和用戶使用日誌記錄保存60日以上措施;
(六)記錄用戶主叫電話號碼和網路地址的措施;
(七)身份登記和識別確認措施;
(八)信息群發限制和有害數據防治措施。
向公眾提供上網服務的場所以及其他從事國際聯網業務的單位應當安裝國家規定的安全管理軟體。
第十條 對計算機信息系統中發生的重大安全事故,使用單位應當採取應急措施,保留有關原始記錄,在24小時內向當地縣級以上人民政府公安機關報告。
第十一條 任何單位和個人不得利用計算機信息系統從事下列行為:
(一)製作、複製、查閱、傳播有害信息;
(二)侵犯他人隱私,竊取他人帳號,假冒他人名義發送信息,或者向他人發送垃圾信息;
(三)以營利或者非正常使用為目的,未經允許向第三方公開他人電子郵箱地址;
(四)未經允許修改、刪除、增加、破壞計算機信息系統的功能、程序及數據;
(五)危害計算機信息系統安全的其他行為。
第十二條 計算機信息系統及計算機機房應當按照國家有關規定以及國家標準進行安全保護設計和建設。
第十三條 銷售的計算機信息系統安全專用產品(含計算機信息系統安全檢測產品)應當取得公安部頒發的《計算機信息系統安全專用產品銷售許可證》。
密碼產品的管理,按國家有關規定執行。
第十四條 下列計算機信息系統使用單位為重點安全保護單位:
(一)縣級以上國家機關、國防單位;
(二)銀行、證券、能源、交通、郵電通信單位;
(三)國家及省重點科研、教育單位;
(四)國有大中型企業;
(五)互聯單位、接入單位及重點網站;
(六)向公眾提供上網服務的場所。
第十五條 重點安全保護單位計算機安全管理責任人和信息審查員應當參加縣級以上人民政府公安機關認可的安全技術培訓,並取得安全技術培訓合格證書。
第十六條 重點安全保護單位計算機信息系統及計算機機房安全保障體系的設計、建設和檢測應當由有安全服務資質的機構承擔。
重點安全保護單位計算機信息系統及計算機機房應當由有安全服務資質的機構檢測合格后,方可投入使用。
第十七條 申請安全服務資質,應當具備以下條件:
(一)取得相應經營範圍的營業執照;
(二)取得安全技術培訓合格證書的專業技術人員不少於10人,其中大學本科以上學歷的人員所佔比例不少於70%;
(三)負責安全服務工作的管理人員應當具有2年以上從事計算機信息系統
安全技術領域企業管理工作經歷,並取得安全技術培訓合格證書;
(四)有與其從事的安全服務業務相適應的技術裝備;
(五)有與其從事的安全服務業務相適應的組織管理制度;
(六)法律法規規定的其他條件。
第十八條 申請安全服務資質,應當持下列資料向地級以上市公安機關提出申請:
(一)申請書;
(二)營業執照(複印件);
(三)管理人員和專業技術人員的身份證明、學歷證明和安全技術培訓合格證書;
(四)技術裝備情況及組織管理制度報告。
地級以上市公安機關應當自接到申請資料之日起15日內進行初審。初審合格的,報送省公安機關核准;初審不合格的,退回申請並說明理由。
省公安機關應當自接到初審意見之日起15日內進行審查,符合條件的,核發資質證書。不符合條件的,作出不予核准的決定並說明理由。
資質證書實行年審制度。年審不得收費。
第十九條 計算機信息系統使用單位應當將計算機信息系統安全保護工作納入內部檢查、考核、評比內容。對在工作中成績突出的部門和個人,應當給予表彰獎勵。對未依法履行安全保護職責或違反本單位安全保護制度的,應當依照有關規定對責任人員給予行政處分。
第二十條 違反本規定,有下列行為之一的,由縣級以上人民政府公安機關給予警告,並責令限期整改;逾期不改的,可以給予8個月以內停機整頓或者停止聯網的處罰,並可對單位處以5000元以下罰款,對安全管理責任人處以500元以下罰款。國家另有規定的,從其規定。
(一)未按規定建立安全保護制度的;
(二)未按規定落實安全保護技術措施的;
(三)計算機信息系統及計算機機房未按國家有關規定和國家標準進行安全保護設計和建設的;
(四)重點安全保護單位計算機安全管理責任人和信息審查員未經縣級以上人民政府公安機關認可的安全技術培訓並取得合格證書的;
(五)重點安全保護單位將本單位計算機信息系統及計算機機房安全保障體系的設計、建設和檢測交由未具有安全服務資質的機構承擔的,或者未經有安全服務資質的機構檢測合格即投入使用的。
第二十一條 計算機信息系統使用單位對計算機信息系統中發生的重大安全事故,未在規定時間內報告公安機關的,由縣級以上人民政府公安機關處以警告或者停機整頓。
第二十二條 利用國際聯網的計算機信息系統從事本規定第十一條所規定行為的,依照國家有關規定進行處理。
利用未國際聯網的計算機信息系統從事本規定第十一條所規定行為的,由縣級以上人民政府公安機關給予警告,對單位可處以1000元以下罰款,對個人可處以100元以下罰款。
第二十三條 計算機信息系統安全專用產品未取得《計算機信息系統安全專用產品銷售許可證》進行銷售的,依照國家有關規定進行處理。
第二十四條 未取得安全服務資質的機構,承擔重點安全保護單位計算機信息系統及計算機機房安全保障體系的設計、建設和檢測的,由縣級以上人民政府公安機關責令限期整改,並處以1萬元以下罰款。
第二十五條 行政管理部門的工作人員違反本規定,玩忽職守、濫用職權的,由主管部門依照有關規定給予行政處分;構成犯罪的,由司法機關依法追究刑事責任。
第二十六條 軍隊的計算機信息系統安全保護工作,按照軍隊的有關規定執行。
第二十七條 計算機信息系統的保密管理,依照國家和省的有關規定執行。
第二十八條 本規定自2003年6月1日起施行。