代市長 孫忠煥
二OO四年十一月三日
杭州市計算機信息系統安全保護管理辦法
第一章 總 則
第一條 為加強對計算機信息系統的安全保護,維護公共秩序和社會穩定,促進信息化的健康發展,根據《中華人民共和國計算機信息系統安全保護條例》、《中華人民共和國計算機信息網路國際聯網管理暫行規定》等規定,結合本市實際,制定本辦法。
第二條 本辦法所稱的計算機信息系統,是指由計算機及其相關的和配套的設備、設施(含有線、無線等網路,下同)構成的,按照一定的套用目標和規則對信息進行採集、加工、存儲、傳輸、檢索等處理的人機系統,包括網際網路、區域網路、移動網等。
第三條 杭州市行政區域範圍內計算機信息系統的安全保護管理,適用本辦法。
第四條 杭州市公安局主管全市計算機信息系統安全保護管理工作。
杭州市公安局公共信息網路安全監察分局具體負責市區範圍內(蕭山區、餘杭區除外)計算機信息系統安全保護管理工作。
各縣(市)公安局和蕭山區、餘杭區公安分局負責本行政區域範圍內計算機信息系統安全保護管理工作。
國家安全機關、保密機關、信息化行政主管部門及政府其他有關職能部門,在各自職責範圍內負責計算機信息系統安全保護管理的有關工作。
第五條 公安機關、國家安全機關、保密機關、信息化行政主管部門及政府其他有關職能部門,應當建立協調合作管理機制,共同做好計算機信息系統安全保護管理工作。
第六條 公安機關、國家安全機關、保密機關、信息化行政主管部門及政府其他有關職能部門在履行管理職責過程中,應當保護計算機信息系統使用單位和個人的合法權益,保守其秘密。
計算機信息系統使用單位和個人應當協助公安機關等有關職能部門做好計算機信息系統的安全保護管理工作。在公安機關等有關職能部門依法履行管理職責時,使用單位和個人應當如實提供本單位計算機信息系統的技術資料。
第七條 計算機信息系統的安全保護工作,重點維護下列涉及國家事務、公共利益、經濟建設、尖端科學技術等重要領域和單位(以下簡稱重點安全保護單位)的計算機信息系統的安全:
(一)各級國家機關;
(二)金融、證券、保險、期貨、能源、交通、社會保障、郵電通信及其他公用事業單位;
(三)重點科研、教育單位;
(四)有關國計民生的企業;
(五)從事國際聯網的互聯單位、接入單位及重點政務、商務、新聞網站;
(六)向公眾提供上網服務的單位;
(七)網際網路遊戲、手機簡訊轉發、各類聊天室等互動欄目的開發、運營和維護單位;
(八)其他對社會公共利益有重大影響的計算機信息系統使用單位。
第二章 計算機信息系統使用單位的安全管理
第八條 計算機信息系統使用單位應當建立人員管理、機房管理、設備設施管理、數據管理、磁介質管理、輸入輸出控制管理和安全監督等制度,健全計算機信息系統安全保障體系,保障本單位計算機信息系統安全。
第九條 計算機信息系統使用單位應當確定本單位的計算機信息系統安全管理責任人。安全管理責任人應履行下列職責:
(一)組織宣傳計算機信息系統安全保護管理方面的法律、法規、規章和有關政策;
(二)組織實施本單位計算機信息系統安全保護管理制度和安全保護技術措施;
(三)組織本單位計算機從業人員的安全教育和培訓;
(四)定期組織檢查計算機信息系統的安全運行情況,及時排除安全隱患。
第十條 計算機信息系統使用單位應當配備本單位的計算機信息系統安全技術人員。安全技術人員應履行下列職責:
(一)嚴格執行本單位計算機信息系統安全保護技術措施;
(二)對計算機信息系統安全運行情況進行檢查測試,及時排除安全隱患;
(三)計算機信息系統發生安全事故或違法犯罪案件時,應立即向本單位報告,並採取妥善措施保護現場,避免危害的擴大;
(四)負責收集本單位的網路拓撲結構圖及信息系統的其他相關技術資料。
第十一條 重點安全保護單位應當建立並執行以下安全保護管理制度:
(一)計算機機房安全管理制度;
(二)安全管理責任人、安全技術人員的安全責任制度;
(三)網路安全漏洞檢測和系統升級管理制度;
(四)操作許可權管理制度;
(五)用戶登記制度;
(六)信息發布審查、登記、保存、清除和備份制度;
(七)信息保密制度;
(八)信息系統安全應急處置制度;
(九)其他相關安全保護管理制度。
第十二條 重點安全保護單位應當落實以下安全保護技術措施:
(一)系統重要部分的冗餘措施;
(二)重要信息的異地備份措施和保密措施;
(三)計算機病毒和有害數據防治措施;
(四)網路攻擊防範和追蹤措施;
(五)安全審計和預警措施;
(六)信息群發限制措施;
(七)其他相關安全保護技術措施。
第十三條 重點安全保護單位的安全管理責任人和安全技術人員,應當經過計算機信息系統安全知識培訓。
第十四條 重點安全保護單位應當對其主伺服器輸入輸出數據進行24小時監控,發現異常數據應注意保護現場,並同時報告公安機關等有關職能部門。
第十五條 使用和銷售計算機信息系統安全專用產品,必須是依法取得計算機信息系統安全專用產品銷售許可證的產品。
進入本市銷售計算機信息系統安全專用產品的銷售單位,其銷售產品目錄應報市公安局備案。
市公安局應定期發布通告,公布合格的計算機信息系統安全專用產品目錄。
保密技術專用產品的管理,按照國家和省、市的有關規定執行。
第十六條 計算機信息系統使用單位發現計算機信息系統中發生安全事故和違法犯罪案件時,應在24小時內向當地公安機關報告,並做好運行日誌等原始記錄的現場保留工作。涉及重大安全事故和違法犯罪案件的,未經公安機關查勘或同意,使用單位不得擅自恢復、刪除現場。涉及其他管理部門法定職權的,公安機關應當在接到報告後及時通知有關部門。
第十七條 計算機信息系統發生突發性事件或存在安全隱患,可能危及公共安全或損害公共利益時,公安機關等有關職能部門應當及時通知計算機信息系統使用單位採取安全保護措施,並有權對使用單位採取暫停聯網、停機檢查、備份數據等應急措施,計算機信息系統使用單位應當予以配合。
突發性事件或安全隱患消除之後,公安機關等有關職能部門應立即解除暫停聯網或停機檢查措施,恢復計算機信息系統的正常工作。
第三章 計算機信息系統安全檢測
第十八條 重點安全保護單位的計算機信息系統進行新建、改建、擴建的,其安全保護設計方案應報公安機關備案。
系統建成後,重點安全保護單位應進行1至6個月的試運行,並委託符合條件的檢測機構對其系統進行安全保障體系檢測,檢測合格的,系統方能投入正式運行。重點安全保護單位應將檢測合格報告書報公安機關備案。
涉密計算機信息系統的建設、檢測等按照國家和省、市的有關規定執行。
第十九條 計算機信息系統安全保障體系檢測包括以下內容:
(一)安全保護管理制度和安全保護技術措施的制定和執行情況;
(二)計算機硬體性能和機房環境;
(三)計算機系統軟體和套用軟體的可靠性;
(四)技術測試情況和其他相關情況。
市公安局應當根據計算機信息系統安全保護的行業特點,會同有關部門制定並公布重點行業計算機信息系統安全保障體系的安全要求規範。
第二十條 重點安全保護單位對計算機信息系統進行設備更新或改造時,對安全保障體系產生直接影響的,應當委託符合條件的檢測機構對受影響的部分進行檢測,確保其符合該行業計算機信息系統安全保障體系的安全要求規範。
第二十一條 重點安全保護單位應加強對計算機信息系統的安全保護,定期委託符合條件的檢測機構對計算機信息系統進行安全保障體系檢測,並將檢測合格報告書報公安機關備案。對檢測不合格的,重點安全保護單位應當按照該行業計算機信息系統安全保障體系的安全要求規範進行整改,整改後達到要求的,系統方能繼續運行。
第二十二條 公安機關應當會同有關部門,按照國家有關規定和相關行業安全要求規範,對重點安全保護單位的計算機信息系統安全保障體系進行檢查。檢查內容包括:
(一)安全保護管理制度和安全保護技術措施的落實情況;
(二)計算機信息系統實體的安全;
(三)計算機網路通訊和數據傳輸的安全;
(四)計算機軟體和資料庫的安全;
(五)計算機信息系統安全審計狀況和安全事故應急措施的執行情況;
(六)其他計算機信息系統的安全情況。
第二十三條 公安機關等有關職能部門發現重點安全保護單位的計算機信息系統存在安全隱患、可能危及公共安全或損害公共利益的,可委託符合條件的檢測機構對其安全保障體系進行檢測。經檢測發現存在安全問題的,重點安全保護單位應當立即予以整改。
第二十四條 檢測機構進行計算機信息系統安全檢測時,應保障被檢測單位各種活動的正常進行,並不得泄露其秘密。
檢測機構應當嚴格按照國家有關規定和相關規範進行檢測,並對其出具的檢測報告承擔法律責任。
第四章 計算機信息網路公共秩序管理
第二十五條 網際網路接入單位以及申請從事網際網路信息服務的單位和個人,除應當按照國家有關規定辦理相關手續外,還應當自網路正式聯通之日起30日內到公安機關辦理安全備案手續。
第二十六條 用戶在接入單位辦理入網手續時,應當填寫用戶備案表。接入單位應當定期將接入本網路的用戶情況報當地公安機關備案。
第二十七條 設立網際網路上網服務營業場所,應當按照《網際網路上網服務營業場所管理條例》的規定向公安機關申請信息網路安全審核。經公安機關審核合格,發給網際網路上網服務營業場所信息網路安全許可證明後,再向文化、工商部門辦理有關審批手續。
網際網路上網服務營業場所經營單位變更營業場所地址或者對營業場所進行改建、擴建,變更計算機數量或者其他重要事項的,應當經原審核機關同意。
網際網路上網服務營業場所經營單位變更名稱、住所、法定代表人或者主要負責人、註冊資本、網路地址或者終止經營活動的,應當依法到工商行政管理部門辦理變更登記或者註銷登記,併到文化行政部門、公安機關辦理相關手續。
第二十八條 網際網路上網服務營業場所經營單位必須使用固定的IP位址聯網,並按規定落實安全保護技術措施。
網際網路上網服務營業場所經營單位應按規定對上網人員進行電子實名登記,登記內容包括姓名、身份證號碼、上網起止時間,並應記錄上網信息。登記內容和記錄備份保存時間不得少於60日,在保存期內不得修改或者刪除。
第二十九條 任何單位和個人不得從事下列危害計算機信息網路安全的活動:
(一)未經授權查閱他人電子信箱,或者以贏利和非正常使用為目的,未經允許向第三方公開他人電子信箱地址;
(二)故意向他人傳送垃圾郵件,或者冒用他人名義傳送電子郵件;(三)利用計算機信息網路傳播有害手機簡訊;
(四)侵犯他人隱私、竊取他人帳號、進行網上詐欺活動;
(五)未經計算機信息網路所有者同意,掃描他人信息網路漏洞;
(六)利用計算機信息網路鼓動公眾惡意評論他人或公開發布他人隱私,或者暗示、影射對他人進行人身攻擊;
(七)其他危害計算機信息網路安全的行為。
第三十條 從事信息網路經營、服務的單位和個人應當遵守下列規定:
(一)制訂安全保護管理制度,對本網路用戶進行安全教育;
(二)落實安全保護技術措施,保障本網路的運行安全和其發布的信息安全;
(三)建立電子公告系統的信息審核制度,設立信息審核員,發現有害信息的,應在做好數據保存工作後及時刪除;
(四)發現本辦法第二十九條中各類情況時應保留有關稽核記錄,並立即向公安機關報告;
(五)落實信息群發限制、匿名轉發限制和有害數據防治措施;
(六)落實系統運行和上網用戶使用日誌記錄措施;
(七)按公安機關要求報送各類接入狀況及基礎數據。
第三十一條 發現計算機信息網路傳播病毒、轉發垃圾郵件、轉發有害手機簡訊或傳播有害信息的,信息網路的經營、服務單位和個人應當採取技術措施予以防護和制止,並在24小時內向公安機關報告。
對不採取技術措施予以防護和制止的信息網路經營、服務單位和個人,公安機關有權責令其採取技術措施,或主動採取有關技術措施予以防護和制止。
第三十二條 公安機關應對計算機信息網路的安全狀況、公共秩序狀況進行經常性監測,發現危害信息安全和危害公共秩序的事件應及時進行處理,並及時通知有關單位和個人予以整改。
第五章 法律責任
第三十三條 違反本辦法規定,有下列行為之一的,給予警告,責令限期改正,並可處以1000元以上10000元以下罰款;情節嚴重的,可以給予6個月以內停機整頓的處罰:
(一)計算機信息系統使用單位未建立安全保護管理制度或未落實安全保護技術措施,危害計算機信息系統安全的;
(二)計算機信息系統使用單位不按照規定時間報告計算機信息系統中發生的安全事故和違法犯罪案件,造成危害的;
(三)重點安全保護單位的計算機信息系統未經檢測或檢測不合格即投入正式運行的。
第三十四條 違反本辦法規定,銷售計算機信息系統安全專用產品未向公安機關備案的,給予警告,責令限期改正,並可處以200元以上2000元以下罰款。
第三十五條 違反本辦法規定,接入單位或從事網際網路信息服務的單位和個人不辦理安全備案手續的,給予警告,責令限期改正,並可處以1000元以上5000元以下的罰款;情節嚴重的,可以給予6個月以內停機整頓的處罰。
第三十六條 違反本辦法規定,未取得網際網路上網服務營業場所信息網路安全許可證明從事網際網路上網服務經營活動的,責令限期補辦手續,並可處以1000元以上10000元以下的罰款。
第三十七條 有本辦法第二十九條規定行為之一的,給予警告,責令限期改正,並可處以1000元以上5000元以下的罰款;情節嚴重的,可以給予6個月以內停機整頓的處罰。
第三十八條 違反本辦法第三十條和第三十一條第一款規定的,給予警告,責令限期改正,並可處以1000元以上10000元以下的罰款;情節嚴重的,可以給予6個月以內停機整頓的處罰。
第三十九條 計算機信息系統使用單位的安全管理責任人和安全技術人員不履行本辦法規定的職責,造成安全事故或重大損害的,給予警告,並可建議其所在單位按照相關規定給予其行政處分。
第四十條 對本辦法規定的行政處罰,市區範圍內(蕭山區、餘杭區除外)由市公安局公共信息網路安全監察分局負責;各縣(市)和蕭山區、餘杭區範圍內由各縣(市)公安局和蕭山區、餘杭區公安分局負責。
第四十一條 對違反本辦法規定的行為,涉及其他有關法律法規的,由有關部門依法予以處罰。對違反治安管理行為的,依照《中華人民共和國治安管理處罰條例》的規定給予處罰;構成犯罪的,依法追究刑事責任。
第四十二條 行政機關工作人員違反本辦法規定,玩忽職守、濫用職權、徇私舞弊的,由其所在單位或有關部門按照有關規定給予其行政處分;構成犯罪的,由司法機關依法追究刑事責任。
第六章 附 則
第四十三條 計算機信息系統的保密管理,按照國家有關規定執行。
第四十四條 市公安局可以根據本辦法的規定,制定相關的實施細則。
第四十五條 本辦法自2005年1月1日起施行。