第一章 总 则
第一条[目的和依据]
为加强计算机信息网络安全的保护和管理,维护国家安全、公共利益和社会稳定,促进信息化的健康发展,根据《中华人民共和国治安管理处罚法》、《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《中华人民共和国计算机信息网络国际联网安全保护管理办法》等法律法规规定,结合我省实际,制定本条例。
第二条[定义]本条例所称的计算机信息网络,是指计算机及其相关的和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统和运行体系。
计算机信息网络的安全包括计算机信息网络的运行安全和信息内容的安全。
第三条[定义]计算机信息网络的安全保护,应当保障计算机信息网络的运行安全和信息内容的安全,预防和打击危害计算机信息系统安全的违法犯罪活动。
第四条[重点]计算机信息网络安全保护工作,重点维护涉及国家事务、经济建设、国防建设、尖端科学技术等重要领域以及国际联网的计算机信息 系统的安全。
第五条[适用范围]本省行政区域内的计算机信息网络安全保护与互联网安全管理活动,适用本条例。
本省行政区域内建设、运营、使用计算机信息网络的单位和个人,均须遵守本条例。
第六条[基本原则]
计算机信息网络安全坚持保护与管理并重和“谁主管、谁负责,谁运营、谁负责,谁使用、谁负责,谁受益、谁负责”的原则。
第七条[职责分工]
县级以上人民政府公安机关主管本行政区域内的计算机信息网络安全保护管理工作。
国家安全机关、保密机关、密码管理部门、信息化行政主管部门及政府其他有关职能部门,在各自职责范围内负责计算机信息网络安全保护管理的有关工作。
第八条 [权利义务]
任何单位和个人依法使用计算机信息网络的合法权利,受本条例保护。
任何单位和个人不得利用计算机信息网络从事危害国家利益、社会秩序、公共利益以及侵犯公民、法人和其他组织合法权益的活动,不得危害计算机信息网络的安全。
第二章 安全保护
第九条[基本制度]
本省计算机信息系统实行安全等级保护制度。
计算机信息系统安全等级保护按照国家规定的标准和要求,坚持自主定级、自主保护的原则。基础信息网络和重要信息系统安全保护等级,实行专家评审制度。
根据计算机信息系统在国家安全、经济建设、社会生活中的重要程度,计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素,本省计算机信息系统的安全保护等级分为五个等级:
(一)计算机信息系统受到破坏后,可能对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益的,为第一级;
(二)计算机信息系统受到破坏后,可能对公民、法人和其他组织的合法权益产生严重损害,或者可能对社会秩序和公共利益造成损害,但不损害国家安全的,为第二级;
(三)计算机信息系统受到破坏后,可能对社会秩序和公共利益造成严重损害,或者可能对国家安全造成损害的,为第三级;
(四)计算机信息系统受到破坏后,可能对社会秩序和公共利益造成特别严重损害,或者可能对国家安全造成严重损害的,为第四级;
(五)计算机信息系统受到破坏后,可能对国家安全造成特别严重损害的,为第五级。
第十条[安全专用产品]
计算机信息系统的规划、建设和运营、使用单位在信息系统安全保护设施的规划、建设中,应当依照国家信息安全等级保护管理规范和技术标准,使用符合国家有关规定、满足计算机信息系统安全保护需求的计算机信息系统安全专用产品。
计算机信息系统安全专用产品进入市场销售,实行许可证制度。计算机信息系统安全专用产品生产者在其产品进入市场销售之前,应当依照国家有关规定,向公安部公共信息网络安全监察机构申领《计算机信息系统安全专用产品销售许可证》。从事计算机信息系统安全专用产品经营的,应当向市级以上公安机关办理登记手续。
第十一条[责任主体]
计算机信息系统的运营、使用单位是安全等级保护的责任主体。安全保护等级确定后,运营、使用者应当按照国家有关管理规范、技术标准,确定安全管理机构和责任人,建立信息系统安全管理制度,采取相应的安全保护措施,切实保障信息系统正常安全运行。
第十二条[等级备案]
新建第二级以上计算机信息系统,其运营、使用单位应当在系统投入运行后30日内到地级以上市人民政府公安机关办理备案手续。已运行的第二级以上计算机信息系统,其运营、使用单位应当在安全保护等级确定后30日内到地级以上市人民政府公安机关办理备案手续。
接到备案材料后,对符合安全等级保护要求的,公安机关应当在收到备案材料之日起十个工作日内颁发计算机信息系统安全等级保护备案证明;对不符合安全等级保护要求的,应当在收到备案材料之日起十个工作日内通知备案单位予以纠正。
运营、使用单位或者其主管部门重新确定计算机信息系统等级的,应当按照本条例向公安机关重新备案。
第十三条[安全测评]
第三级以上计算机信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合国家规定的安全等级测评机构,依据国家规定的技术标准,对计算机信息系统安全等级状况开展等级测评,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评,并将测评合格报告书报所在地公安机关备案。
信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查,第四级信息系统应当每半年至少进行一次自查,第五级信息系统应当依据特殊安全需求进行自查。
经测评或者自查,信息系统安全状况未达到安全保护等级要求的,运营、使用单位应当制定方案进行整改。
第十四条[安全保护制度]
计算机信息系统运营、使用单位应当建立并落实以下安全保护制度:
(一)安全责任制度;
(二)核实、登记并及时更新用户注册信息制度;
(三)信息发布审查、登记保存、清除和备份制度;
(四)信息网络安全教育和培训制度;
(五)信息网络安全应急处置制度;
(六)违法案件报告和协助查处制度。
第十五条[安全保护技术措施]
计算机信息系统运营、使用单位应当落实以下安全保护措施:
(一)系统重要数据备份、冗灾恢复措施;
(二)计算机病毒和破坏性程序的防治措施;
(三)系统运行和用户使用日志备份并保存60日以上的措施;
(四)记录、监测网络运行状态、变化和各种网络安全事件的安全审计措施;
(五)网络安全隔离以及防范网络入侵、攻击破坏等危害网络安全的措施;
(六)密钥、密码安全管理措施。
第十六条[应急预案]
第二级以上计算机信息系统的运营、使用单位应当制定重大突发事件应急处置预案。发生重大突发事件时,运营、使用者应当按照应急处置预案的要求采取相应的处置措施,并服从公安机关和国家指定的专门部门的调度。
第十七条[配合义务]
计算机信息系统的运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导,按照国家有关规定如实提供有关计算机信息系统安全保护的信息、资料及数据文件。
对信息系统中发生的案件和重大安全事故,计算机信息系统的运营、使用单位应当在二十四小时内报告所在地县级以上人民政府公安机关,并保留有关原始记录。
第十八条[信息安全服务机构]
信息安全服务机构在提供信息安全服务过程中,应当保守国家秘密和用户秘密。
提供安全服务过程中,如发现、掌握危害信息安全的证据时,应当向公安机关报告并提供发现、掌握的计算机病毒或者破坏性程序的样本。
第三章
公共秩序
第十九条[营业备案]
互联网运营、服务者应当自批准营业或者网络联通之日起30日内向所在市公安机关备案。
第二十条[互联网运营服务者的安全保护责任]
从事互联网接入(包括无线接入服务)、主机托管和租赁、虚拟空间租用等服务的互联网运营服务者,应当建立并落实以下安全保护制度和安全保护技术措施:
(一)记录并留存用户注册信息;
(二)应当记录并留存用户登录和退出时间、主叫号码、账号、互联, 网地址或域名、系统维护日志的技术措施,并保存有关记录60天以上。
(三)在用户申请服务时,如实登记各级用户基本情况、应用种类和范围以及身份证明或者资格证明,每月将用户登记情况及所分配的网络地址等有关情况报所在地公安机关备案;
(四)依法与用户签署服务协议,并在其中明确告知用户所应承担的信息安全法律责任;
(五)定期检查用户的网络应用范围、种类、内容,发现用户的活动超出协议约定范围、种类的,应当及时予以纠正,发现用户服务使用的内容违反国家有关法律、法规规定的,应当立即停止传输违法内容,保存相关记录,并向所在地公安机关报告。
(六)使用内部网络地址与互联网网络地址转换方式为用户提供接入服务的,能够记录并留存用户使用的互联网网络地址和内部网络地址对应关系;
(七)提供互联网接入服务的,应当落实具备记录、跟踪网络运行状态,监测、记录网络安全事件等安全审计功能的技术措施。
(八)提供互联网主机托管和租赁、虚拟空间租用等服务的,应当落实具备在公共信息服务中发现、停止传输违法信息并保留相关记录功能的技术措施;
第二十一条[互联网信息服务提供者的安全保护责任]
互联网信息服务提供者应当建立并落实以下安全保护制度和安全保护技术措施:
(一)具备在公共信息服务中发现、停止传输违法信息并保留相关记录功能的技术措施;
(二)记录并留存用户登录和退出时间、主叫号码、账号、互联网地址或域名、系统维护日志的技术措施,并保存有关记录60天以上;
(三)提供电子公告服务的,应当建立信息审核制度,设立信息审核员,发现有害信息的,要立即停止发布,已经发布的要立即删除,保存相关记录,并向所在地公安机关报告;
(四)提供新闻、出版以及电子公告等服务的,能够记录并留存所发布信息的内容、时间及互联网地址60日以上;
(五)开办政务、新闻、重点商务网站的,能够防范网站、网页被篡改,发现被篡改后能够立即恢复;
(六)提供电子公告、网络游戏、聊天室和其他即时通信服务的,具有用户注册信息和发布信息审核功能,如实登记申请开办者的有效身份证明文件;(五)提供电子邮件和网上短信、彩信服务的,具有信息群发限制措施并且能够防范、清除发送伪造、隐匿信息发送者真实标记的电子邮件、短信或者彩信;
(七)因信息审核制度和措施不到位,出现10次以上违法信息的网站,应当由公安机关安装交互式信息实时传输审阅系统;
(八)电子公告服务或其他交互式信息服务提供者,其计算机信息网络应具备专用的服务器和独立的固定互联网地址。
本条所称的电子公告服务是指开设留言板、论坛、博客、播客等提供信息交流的服务。
第二十二条[互联网上网服务提供者的安全保护责任]
设立互联网上网服务营业场所的经营单位在申领《网络文化经营许可证》之前应当到公安机关申请信息网络安全审核。未经审核批准,任何组织和个人不得从事互联网上网服务经营活动。非经营性互联网上网服务提供单位应当自开放之日起15日内向所在地公安机关备案。
互联网上网服务提供单位应当建立并落实以下安全保护制度和安全保护技术措施:
(一)提供互联网上网服务的服务器应当使用固定的互联网地址;
(二)如实登记用户有效身份证明文件、上网时间等有关情况,登记记录应当保留60日以上;
(三)落实防病毒、防入侵安全保护技术措施;
(四)安装具有防违法信息传播、记录上网用户日志等功能的互联网公共上网服务场所安全管理系统,并保证其在线正常运行;
(五)发现法律、法规所禁止的行为和信息,应当中止传播,保存有关日志和记录,并向所在地公安机关报告;
(六)互联网上网服务场所提供无线接入服务的,能记录并留存使用用户的信息及对应的计算机信息。
第二十三条[联网使用单位的安全保护责任]互联网联网使用单位应当落实具有以下功能的安全保护技术措施:
(一)记录并留存用户注册信息;
(二)记录并留存用户登录和退出时间、主叫号码、账号、互联网地址或域名、系统维护日志的技术措施;
(三)在公共信息服务中发现、停止传输违法信息,并保留相关记录;
(四)联网使用单位使用内部网络地址与互联网网络地址转换方式向用户提供接入服务的,能够记录并留存用户使用的互联网网络地址和内部网络地址对应关系。
第二十四条互联网安全保护技术措施应当符合国家标准。没有国家标准的,应当符合公共安全行业技术标准。
互联网服务提供者依照本规定采取的互联网安全保护技术措施应当具有符合公共安全行业技术标准的联网接口。
第二十五条[计算机病毒管理] 未经省公安厅或者公安部公共信息网络安全监察机构批准,任何单位和个人不得从事下列活动:
(一)收集、保存计算机病毒;
(二)公开发布计算机病毒疫情消息
第二十六条[用户的行为禁则]
任何单位或个人不得从事下列危害计算机信息网络安全和秩序的活动:
(一)未经允许,增加、修改、删除、干扰他人网络或信息系统的数据和功能;
(二)未经允许,进入、使用他人网络或信息系统;
(三)故意制作、传播、使用计算机病毒或者破坏性程序,或者制作、发布、复制、传播含有计算机病毒、破坏性程序机理及其源程序的信息;
(四)破坏网络或信息系统运行环境、设备设施;
(五)窃取、盗用、篡改、破坏他人网络资源;
(六)故意阻塞、阻碍、中断信息网络、信息系统的信息传输,恶意占用网络资源;
(七)利用计算机信息网络大量或者多次发送电子邮件、短信息等,干扰他人正常生活秩序或者网络秩序;
(八)利用计算机信息网络违背他人意愿,冒用他人名义发布信息,情节恶劣或者鼓动公众恶意评论他人、公开发布他人隐私或暗示、影射对他人进行人身攻击;
(九)明知本单位或本人的计算机信息网络的IP地址、主机空间等资源已被他人使用进行可能危害计算机信息网络安全的行为而不予制止;
(十)未经允许,利用计算机信息网络收集、使用、提供、买卖他人专有信息;
(十一)其他危害计算机信息网络安全和秩序的活动。
第二十七条[用户的信息内容禁则]
任何单位或个人不得利用计算机信息网络制作、发布、复制、传播下列信息:
(一)抗拒、破坏法律、法规实施的信息;
(二)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的信息;
(三)煽动民族仇恨、民族歧视,破坏民族团结,或者侵犯民族风俗习惯的信息;
(四)宣扬会道门、邪教、迷信的信息;
(五)公然侮辱、诽谤他人,侵害他人合法权益的信息;
(六)散布谣言,扰乱社会秩序的信息;
(七)煽动进行非法集会、游行、示威等聚众扰乱社会秩序的活动的信息;
(八)以非法社团名义活动的信息;
(九)销售、展示国家禁止自由流通、对公众安全构成危胁的危险物品的信息;
(十)含有淫秽色情、赌博、欺诈等内容或者教唆犯罪、传授犯罪方法的信息;
(十)违反法律、法规其他有关规定的信息。
第二十八条[执法协助配合义务]
计算机信息系统运营、使用者发现有违反本条例的危害计算机信息网络安全的行为的,应当在24小时以内向所在地公安机关报告并协助查处。
因计算机病毒或破坏性程序发生导致信息系统瘫痪、程序和数据严重损坏等计算机信息网络安全事故的,信息系统运营、使用者应当及时向所在地公安机关报告,保护现场并提供计算机病毒或破坏性程序样本。
公安机关、国家安全机关对危害计算机信息网络安全和涉嫌违法犯罪的活动依法进行调查时,信息系统运营、使用者应当依法如实提供有关信息、资料及数据文件。
第四章 安全监督
第二十九条[公安机关监管职责]
公安机关对信息安全保护工作履行以下职责:
(一)宣传计算机信息系统安全保护法律、法规和规章;
(二)指导信息系统主管部门和运营、使用者开展等级保护工作,接受第二级以上信息系统备案,并对其安全保护状况进行监督、检查;
(三)监督、检查、指导信息系统运营、使用者在联接并使用互联网的过程中,建立、落实网络与信息安全保护制度和安全保护技术措施;
(四)依法对计算机信息网络中的公共信息服务实施监督、检查,发现公共信息中含有本条例第二十五条所列信息的,应当通知信息系统运营、使用者予以删除,必要时中止对发送者的网络服务;
(五)负责接受危害网络与信息安全的事件、案件的报告、举报,勘查危害网络与信息安全事件、案件的现场并收集相关证据,提取疑似计算机病毒、破坏性程序的样本,依法查处针对或者利用信息系统实施的计算机信息网络安全违法犯罪案件;
(六)监督、检查计算机信息系统安全专用产品销售活动;
(七)管理计算机病毒和其他有害数据的防治工作,向社会发布信息安全事件和计算机病毒疫情;
(八)与计算机信息网络安全保护工作相关的其他监督职责。
公安机关发现计算机信息网络存在安全隐患,可能危及公共安全的,公安机关可以委托符合国家规定条件的测评机构进行测评。经测评发现存在安全问题的,运营、使用者应当立即予以整改。
第三十条[紧急措施]
公安机关、国家安全机关为保护计算机信息系统安全,在发生重大突发事件,危及国家安全、公共安全及社会稳定的紧急情况下,可以采取二十四小时内暂时停机、暂停联网、备份数据等措施。
第三十一条[安全培训]公安机关应当组织计算机系统运营、使用者的安全保护组织成员、管理责任人、信息审查员等从事信息网络安全保护工作的人员参加计算机信息网络安全法律法规和专业技术培训。
各类计算机知识教育和计算机知识考核,应当有计算机信息系统安全保护法律、法规和安全保护基础知识的内容。
第三十二条[保密机关监督职责]
保密机关依法对涉密信息系统分级保护工作实施监督管理,并做好以下工作:
(一)指导、监督和检查分级保护工作的开展;
(二)指导涉密信息系统建设、使用者规范信息定密,合理确定系统保护等级;
(三)参与涉密信息系统分级保护方案论证,指导建设、使用者做好保密设施的同步规划设计;
(四)严格进行系统测评和审批工作,监督检查涉密信息系统建设、使用者分级保护管理制度和技术措施的落实情况;
(五)了解掌握各级各类涉密信息系统的管理使用情况,及时发现和查处各种违规违法行为和泄密事件。
第三十三条[密码管理部门监督职责]
密码管理部门应当加强对在计算机信息系统内使用密码产品的单位的监督、检查和指导,定期对信息系统等级保护工作中密码配备、使用和管理的情况进行检查和测评,同时对密码产品使用单位的操作人员和管理人员进行培训。
第五章 法律责任
第三十四条[法律责任]
违反第十条规定,未使用符合国家有关规定、满足计算机信息系统安全保护需求的计算机信息系统安全专用产品的,由公安机关给予警告,责令限期改正,逾期不改正的,可以给予6个月以内停机整顿的处罚;未经许可出售计算机信息系统安全专用产品或者从事计算机信息系统安全专用产品经营之前未向销售地市级以上公安机关办理登记手续的,由公安机关处以警告或者对个人处以1000元至5000元的罚款,对单位处以3000元至15000元的罚款;有违法所得的,没收违法所得,可并处违法所得1至3倍的罚款。
第三十五条[法律责任]
第二级以上计算机信息系统的运营、使用单位未按照本条例第十二条的规定进行等级备案的,由公安机关给予警告,并限期改正;逾期不改正的,可处以1000元以上5000元以下的罚款;情节严重的,可以给予六个月以内停机整顿的处罚。
第三十六条[法律责任] 违反本条例规定,有下列行为之一的,由公安机关给予警告,责令限期改正;逾期不改正的,对单位可处以3000元以上15000元以下的罚款,对单位的主管负责人员、直接责任人员或者其他个人可处以1000元以上5000元以下的罚款;情节严重的,可以给予6个月以内停机整顿的处罚:
(一)计算机信息系统运营、使用单位未按照第十三条规定定期开展等级测评和自查并针对检查、检测出的问题进行安全整改的;
(二)计算机信息系统运营、使用者未按照第十四条和第十五条的规定建立并落实安全保护管理制度和安全保护技术措施的;
(三)计算机信息系统运营、使用者违反第十六条规定,在重大突发事件应急处置中不服从公安机关和国家指定的专门部门的调度的;
(四)计算机信息系统运营、使用者违反第十七条规定,未如实提供有关计算机信息系统安全保护的信息、资料及数据文件或者未及时向公安机关报告信息系统中发生的案件和重大安全事故,造成危害的。
第三十七条[法律责任]违反第十八条的规定,信息安全服务机构在提供信息安全服务过程中,泄露国家秘密和用户秘密的,依照国家有关保密法规和规章处理;。
第三十八条[法律责任] 违反本条例第十九条规定,计算机信息系统运营、服务者未按规定向公安机关备案的,由公安机关给予警告,并限期改正;逾期不改正的,可处以1000元以上10000元以下的罚款;情节严重的,可以给予六个月以内停机整顿的处罚。
第三十九条[法律责任]
违反本条例第二十条、第二十一条、第二十二条、第二十三条、第二十四条规定,从事互联网运营服务、信息服务和上网服务的单位或个人未建立并落实相应安全保护制度和安全保护技术措施的,由公安机关给予警告,并限期改正;逾期不改正的,可处以1000元以上15000元以下的罚款;情节严重的,可以给予六个月以内停机整顿的处罚。
第四十条[法律责任]
违反本条例第二十二条规定,互联网上网服务场所的经营单位未经信息网络安全审核从事互联网上网服务的,由公安机关责令停业、限期补办手续,并可处以1000元以上15000元以下的罚款。
第四十一条[法律责任] 违反第二十五条规定的,处以 1000元以上、3000元以下的罚款。
第四十二条[法律责任]
违反本条例第二十六条、第二十七条规定,由公安机关给予警告,有违法所得的,没收违法所得;对个人可并处1000元以上5000元以下的罚款,对单位可并处3000元以上15000元以下的罚款。
第四十三条[法律责任]
违反本条例第二十八条的规定,由公安机关给予警告,情节严重的,可以给予六个月以内停止联网、停机整顿的处罚。
第四十四条[法律责任]
对本条例规定的由公安机关作出的行政处罚,由县级以上公安机关承担公共信息网络安全监察工作的机构负责。
第四十五条[法律责任]
对在计算机信息网络内使用密码产品,违反《商用密码管理条例》及相关法规的行为,由密码管理部门依据有关规定予以处罚。
对违反本条例规定的行为,涉及其他有关法律法规的,由有关部门依法予以处罚。对违反治安管理规定的行为,依照《中华人民共和国治安管理处罚法》的规定给予处罚;构成犯罪的,依法追究刑事责任。
第四十六条[法律责任]
公安机关及其他部门工作人员违反本条例规定,玩忽职守、滥用职权、徇私舞弊的,由其所在单位或有关部门按照有关规定给予其行政处分;构成犯罪的,由司法机关依法追究刑事责任。
第六章 附 则
第四十七条[实施细则]
省公安厅可以根据本条例的规定,制定相关的实施细则。
第四十八条 本办法下列用语的含义为:
计算机病毒,是指编制的或者在计算机程序中插入的,破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
有害数据,是指与计算机信息系统相关的,含有危害计算机信息系统安全运行的程序,或者对国家安全和社会公共安全构成危害或潜在威胁的数据。
计算机信息系统安全专用产品,是指用于保护计算机信息系统安全的专用硬件和软件产品。
第四十九条 本条例自 年 月 日起施行,原《安徽省计算机信息系统安全保护办法》同时废止。
|
