鐵路計算機信息系統安全保護辦法
中華人民共和國鐵道部令
第 10 號
《鐵路計算機信息系統安全保護辦法》已經2003年7月11日鐵道部部長辦公會議通過,現予公布,自2003年9月1日起施行。
部 長 劉志軍
二○○三年七月十五日
鐵路計算機信息系統安全保護辦法
第一章 總 則
第一條 為了保護鐵路計算機信息系統安全,促進計算機的套用和發展,保障鐵路運輸和現代化建設順利進行,根據《中華人民共和國計算機信息系統安全保護條例》的規定,制定本辦法。
第二條 本辦法適用於鐵路系統的機關、企業、事業單位及鐵路計算機信息系統的延伸點。
第三條 本辦法所稱的計算機信息系統,是指由計算機及其相關和配套的設備、設施(含網路)構成的,按照一定的套用目標和規則對信息進行採集、加工、存儲、傳輸、檢索等處理的人機系統。
第四條 鐵路計算機信息系統安全保護工作的主要任務是:提高鐵路計算機信息系統的整體安全水平,保障鐵路運輸安全。
第五條 鐵路計算機信息系統的安全保護工作,是鐵路運輸安全保護工作的組成部分,應貫徹“預防為主、綜合治理、人員防範和技術防範相結合”的方針,逐級建立安全保護責任制,加強制度建設,逐步實現科學化、規範化管理。
第六條 鐵道部公安局主管鐵路計算機信息系統安全保護工作,各鐵路(含鐵路工程、鐵道建築)公安局、處應明確信息網路安全監察機構,負責計算機信息系統安全保護工作。
第二章 安全監督
第七條 鐵路公安機關對鐵路計算機信息系統安全保護工作行使下列監督職權:
(一)督促計算機信息系統的管理部門和使用單位執行國家有關計算機信息安全法律、法規和規定,依法對其安全保護工作進行監督、檢查和指導;
(二)負責對新建、改建和擴建鐵路計算機信息系統的安全保護措施進行備案;
(三)負責檢查、指導鐵路計算機信息系統的安全技術措施;
(四)負責計算機信息系統安全員的培訓;
(五)負責計算機信息系統安全專用產品使用的審核;
(六)負責監督、檢查計算機信息系統安全管理制度的落實;
(七)組織計算機病毒防治和通報疫情;
(八)查處和偵破危害鐵路計算機信息系統安全的事故和案件;
(九)負責獎勵和處罰;
(十)辦理有關鐵路計算機信息系統安全管理手續;
(十一)組織計算機信息系統安全檢查、檢測工作;
(十二)組織計算機信息系統安全知識的培訓和宣傳工作。
第八條 鐵路公安機關負責轄區內的計算機網路國際聯網安全保護監督管理工作。
第九條 鐵路公安機關發現影響計算機信息系統安全隱患時,要及時通知使用單位採取安全措施,限期整改。
第十條 鐵路公安機關信息網路安全監察人員必須持鐵路計算機安全監察證方可上崗工作。監察證由鐵道部公安局簽發。
第十一條 鐵路公安基層段、所隊應當協助信息網路安全監察機構,做好計算機信息系統安全保護工作。在特殊情況下,經上級鐵路公安機關批准,可行使有關計算機安全監察職權。
第三章 安全保護
第十二條 計算機信息系統安全保護工作實行“誰主管,誰負責,誰經營,誰負責”的原則。使用、管理計算機信息系統的單位(部門)要建立計算機信息系統安全管理組織並設立安全員,負責本單位(部門)的計算機信息系統安全保護工作,其職責是:
(一)確定本單位計算機信息系統的安全保護策略,建立健全安全管理制度;
(二)完善和落實計算機信息系統安全措施,實現內部網與外部網的物理隔離,嚴禁一機兩用;
(三)配合公安機關辦理有關計算機信息系統安全保護管理手續;
(四)嚴格管理計算機信息系統資源,建立計算機信息系統資源台賬;
(五)嚴格管理系統管理員;
(六)建立與公安機關的通報聯繫制度,定期向鐵路公安信息網路安全監察部門報告計算機信息系統安全情況;
(七)對造成損失並影響運輸安全、計算機信息系統安全的案件、事故及違法行為,在12小時內報告鐵路公安機關,並保護現場及有關資料,協助開展調查,處理責任者。
第十三條 計算機信息系統安全員必須經過鐵路公安機關培訓,經考試取得培訓合格證書後方可上崗。
第十四條 進行國際聯網的個人、單位,必須嚴格執行國家、鐵道部有關規定。
第十五條 計算機機房的建設應當符合國家和鐵道部的有關規定。
第十六條 重要部門的計算機機房應當制定嚴格的出入制度,未經主管部門批准的人員,不得接觸和使用信息處理設備和媒體。
第十七條 鐵路各單位和部門在新建、改建、擴建計算機系統前應當將計算機系統安全保護方案報鐵路公安機關備案。
第十八條 重要部門的計算機信息系統需要對外聯網或提供服務時,在報上級主管部門批准的同時,應當報鐵路公安機關備案。
第十九條 各單位和部門使用的計算機信息系統安全專用產品,必須是經國家有關部門許可的產品,未經許可的產品不得使用。
第二十條 聯網的計算機必須配置防病毒工具進行實時監控和檢測。
第二十一條 重要計算機信息系統應設定雙路雙機冗餘,實行封閉運行,制定應急方案,確保系統在發生意外情況後能夠迅速恢復正常。
第二十二條 所有的計算機信息系統資產要嚴格執行登記使用制度,並建立完整的設備台賬及設備檔案,定期進行清查。
第二十三條 對信息處理的各個環節和流程要有安全保護和安全控制措施,防止被人非法利用、更改、損害和泄露。
第二十四條 計算機設備使用和信息存取權,按工作需要原則授予,任何人不得越權使用。
第二十五條 連線重要計算機信息系統的計算機不得存儲與工作無關的程式和數據。存儲介質和檔案資料要嚴格執行安全保密制度,並設專人、專櫃妥善保管。未經主管領導批准,不得隨意利用、修改、複製和外借。
第二十六條 使用、管理計算機的單位要做好日常數據和軟體備份,對新引用的軟體和外來數據必須進行安全檢測,確認無誤再投入正常運行。
第二十七條 重要計算機信息系統應當建立完善的計算機信息系統日誌,根據信息的重要程度設定保存時間,最短不少於60天。
第四章 法律責任
第二十八條 違反本辦法,有下列行為之一的,由公安機關處以警告:
(一)逾期不到公安機關辦理有關計算機信息系統安全管理手續的;
(二)發生計算機信息系統案件、事故或違法行為,在12小時內不報告的;
(三)違反計算機信息系統國際聯網備案制度的;
(四)接到整改通知書後,不按期進行整改的;
(五)拒絕、阻礙鐵路公安機關依法實施計算機信息系統安全檢查、監督的;
(六)有危害計算機信息系統安全的其他行為的。
第二十九條 計算機信息系統存有嚴重安全隱患或違法犯罪嫌疑證據,需要技術檢驗核實的或者發生重大計算機信息系統安全事故或違法犯罪案件,需要保護現場或取證的,由公安機關採取措施保全證據。
第三十條 故意製作、傳播計算機病毒及其他有害數據的,由公安機關對個人處以5000元以下罰款、對單位處以15000元以下罰款。
第三十一條 違反本辦法,應給予行政處罰的,由鐵路公安機關依照《行政處罰法》規定的程式給予行政處罰。
第三十二條 鐵路公安機關對違反本辦法給予行政罰款處罰的,應當實行罰款決定與罰款收繳相分離的制度。鐵路公安機關應當確定罰款代收機構,由公安機關出具處罰決定文書,被處罰人到代收銀行自行繳納罰款。
第三十三條 鐵路公安機關實施行政處罰,使用公安部制發的《行政處罰決定書》。按照《行政處罰法》第四十八條規定,經當事人提出,由鐵路公安機關當場收繳罰款的,鐵路公安機關應當向當事人出具財政部指定的收據。
第三十四條 違反本辦法、構成犯罪的,依照刑法的有關規定追究刑事責任。
第三十五條 對鐵路公安機關依照本辦法作出的行政處罰不服的,可以依法向上一級鐵路公安機關申請複議或向人民法院提起行政訴訟。
第三十六條 因計算機信息系統安全保護工作不落實,導致發生危害後果的單位,除處罰直接責任者外,還要追究單位主要領導的責任。
第三十七條 鐵路公安信息網路安全監察部門、人員違反本辦法規定,由上一級鐵路公安機關依法處罰。
第五章 附 則
第三十八條 本辦法所稱“重要部門”、“重要計算機信息系統”、“計算機事故及違法行為”另行規定。
第三十九條 中國鐵路工程總公司、中國鐵道建築總公司應當適用本辦法。
第四十條 本辦法由鐵道部負責解釋。
第四十一條 本辦法自2003年9月1日起施行。鐵道部《鐵路計算機信息系統安全保護辦法》(鐵公安〔1998〕74號)同時廢止。