徐州市計算機信息系統安全保護條例
| 徐州市計算機信息系統安全保護條例 制定機關:徐州市人民代表大會常務委員會 |
| ||||||||||||
徐州市計算機信息系統安全保護條例
(2008年12月12日徐州市第十四屆人民代表大會常務委員會第六次會議制定2009年1月18日江蘇省第十一屆人民代表大會常務委員會第七次會議批准)
目 錄
第一章 總則
第二章 安全保護和管理
第三章 秩序管理
第四章 監督檢查
第五章 法律責任
第六章 附則
第一章 總則
第一條 為了加強計算機信息系統的安全保護工作,維護國家安全、社會秩序和公共利益,促進信息化的健康發展,根據《中華人民共和國計算機信息系統安全保護條例》等法律、法規,結合本市實際,制定本條例。
第二條 本條例適用於徐州市行政區域內計算機信息系統及其信息內容的安全保護和監督管理。
第三條 市、縣(市)、賈汪區公安機關(以下簡稱公安機關)主管本行政區域內計算機信息系統安全保護工作。
國家安全、文化、保密、信息化管理及其他有關部門,依據各自職責做好計算機信息系統安全保護有關工作。
第四條 公安、國家安全、文化、保密、信息化管理及其他有關部門在履行職責過程中,應當維護計算機信息系統運營、使用單位和個人的合法權益,保守其商業秘密和個人隱私。
第五條 任何組織或者個人,不得危害計算機信息系統的安全;不得利用計算機信息系統從事危害國家安全、社會秩序、公共利益以及侵害公民、法人和其他組織合法權益的活動。
第二章 安全保護和管理
第六條 計算機信息系統實行安全等級保護制度。
計算機信息系統安全保護等級按照國家規定劃分為以下五級:
(一)計算機信息系統受到破壞後,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益的,為第一級;
(二)計算機信息系統受到破壞後,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全的,為第二級;
(三)計算機信息系統受到破壞後,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害的,為第三級;
(四)計算機信息系統受到破壞後,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害的,為第四級;
(五)計算機信息系統受到破壞後,會對國家安全造成特別嚴重損害的,為第五級。
第七條 計算機信息系統運營、使用單位應當根據國家有關管理規範、技術標準確定計算機信息系統的安全保護等級,對於新建、改建、擴建的計算機信息系統,運營、使用單位應當在規劃、設計階段確定計算機信息系統的安全保護等級,並同步建設符合該安全保護等級要求的安全保護設施。
第八條 第二級以上計算機信息系統投入運行後三十日內,其運營、使用單位應當向市公安機關備案。
市公安機關應當自收到備案材料之日起十日內,對符合安全保護等級要求的,頒發備案證明;對定級不準確的,通知運營、使用單位重新定級後予以備案。
第九條 計算機信息系統的結構、處理流程、服務內容等發生變化,致使安全保護等級發生變更的,運營、使用單位應當重新定級、重新備案。
計算機信息系統備案事項發生變更的,運營、使用單位應當自變更之日起三十日內將變更情況報告公安機關。
第十條 計算機信息系統運營、使用單位應當使用符合信息系統安全保護等級要求的信息技術產品和依法取得銷售許可證的安全專用產品。
第十一條 計算機信息系統運營、使用單位應當按照國家規定,定期對計算機信息系統安全等級保護狀況開展等級測評,對計算機信息系統安全狀況、安全保護制度及措施的落實情況進行自查;未達到安全保護等級要求的,應當進行整改。
第十二條 計算機信息系統運營、使用單位應當明確安全管理責任人、安全管理人員及安全技術人員,建立並執行下列安全保護制度:
(一)計算機機房安全管理;
(二)網絡安全漏洞檢測和系統升級管理;
(三)信息發布審查、登記、保存、清除和備份;
(四)違法犯罪案件報告和協助查處;
(五)信息系統安全教育和培訓;
(六)安全應急處置。
第十三條 計算機信息系統運營、使用單位應當按照國家規定採取下列安全保護措施:
(一)身份登記和識別確認;
(二)記錄用戶賬號、主叫號碼和網絡地址;
(三)系統運行和用戶使用日誌記錄保存六十日以上。
第二級以上計算機信息系統運營、使用單位還應當採取下列安全保護措施:
(一)系統重要部分的冗餘、重要數據備份;
(二)計算機病毒防治;
(三)網絡攻擊防範和追蹤;
(四)安全審計和預警;
(五)法律、法規規定的其他安全保護措施。
第十四條 涉及國家秘密的計算機信息系統的設計實施、定級備案、運行維護和日常保密管理,應當依據國家信息安全等級保護的要求,按照保密部門的有關規定和技術標準執行。
第三章 秩序管理
第十五條 互聯網接入服務、互聯網數據中心服務、互聯網信息服務的提供者,應當自網絡聯通之日起三十日內向市公安機關備案。
第十六條 互聯網信息服務的提供者應當採取以下管理措施:
(一)確定信息審核人員;
(二)防治垃圾信息、違法信息;
(三)限制信息群發、匿名信息發送;
(四)按照國家規定,刪除本網絡中含有本條例第十九條內容的地址、目錄或者關閉服務器,並保存有關記錄。
第十七條 向社會公眾提供互聯網上網服務的網吧、賓館等場所的經營單位應當採取以下安全保護措施:
(一)安裝並運行國家規定的安全管理系統;
(二)對上網人員進行實名登記;
(三)記錄有關上網信息,登記內容和記錄備份保存時間不得少於六十日,在保存期內不得修改或者刪除。
第十八條 任何單位和個人不得利用計算機信息系統實施下列行為:
(一)未經允許,進入計算機信息系統或者非法占有、使用、竊取計算機信息系統資源;
(二)竊取、騙取、奪取計算機信息系統控制權;
(三)未經允許,對計算機信息系統功能進行刪除、修改、增加或者干擾;
(四)未經允許,對計算機信息系統存儲、處理或者傳輸的數據和應用程序進行刪除、修改或者增加;
(五)故意製作、傳播計算機病毒、惡意軟件等破壞性程序;
(六)竊取他人賬號、密碼及其他信息資料;
(七)未經允許,提供或者公開他人的信息資料;
(八)非法截獲、篡改、刪除他人電子郵件或者其他數據資料;
(九)假冒他人名義發布、發送信息。
第十九條 任何單位和個人不得利用計算機信息系統製作、複製、傳播下列信息:
(一)危害國家統一、主權和領土完整的;
(二)泄露國家秘密,危害國家安全或者損害國家榮譽和利益的;
(三)煽動民族仇恨、民族歧視,破壞民族團結或者侵害民族風俗、習慣的;
(四)破壞國家宗教政策,宣揚邪教、迷信的;
(五)煽動聚眾滋事,損害社會公共利益的;
(六)散布謠言,發布虛假信息,擾亂社會秩序,破壞社會穩定的;
(七)宣揚淫穢、色情、賭博、暴力、兇殺、恐怖的;
(八)教唆犯罪或者傳授犯罪方法的;
(九)散布他人隱私,或者侮辱、誹謗、恐嚇他人的;
(十)買賣法律、法規禁止流通的物品的;
(十一)提供假票據、假證件的。
第二十條 計算機信息系統運營、使用單位發現計算機信息系統發生重大安全事故和違法犯罪案件,應當及時採取技術措施予以防護和制止,留存運行日誌等原始記錄,並在二十四小時內向公安機關報告;涉及其他管理部門職責的,還應當及時報告有關部門。
第四章 監督檢查
第二十一條 公安、國家安全、文化、保密、信息化管理及其他有關部門應當建立計算機信息系統安全監督管理協作機制,按照國家規定,對計算機信息系統運營、使用單位的安全保護工作進行監督檢查。
第二十二條 公安機關應當定期對計算機信息系統運營、使用單位的信息安全等級保護工作進行檢查、指導和監督;對第三級計算機信息系統每年至少檢查一次,對第四級計算機信息系統每半年至少檢查一次。
第二十三條 計算機信息系統的安全保護等級和安全保護措施不符合信息安全等級保護管理規定,或者存在安全隱患的,公安機關應當通知運營、使用單位進行整改。運營、使用單位應當及時整改,並將整改情況報告公安機關。
第二十四條 在計算機信息系統發生突發事件,造成或者可能造成嚴重社會危害的緊急情況下,公安機關可以採取停機檢查、暫停聯網、備份數據等措施,計算機信息系統運營、使用單位應當予以配合。
突發事件消除後,公安機關應當及時解除暫停聯網或者停機檢查措施,恢復計算機信息系統的正常運行。
第二十五條 計算機信息系統運營、使用單位應當協助公安機關及其他有關部門做好安全保護監督管理工作。在公安機關及其他有關部門依法履行職責時,應當如實提供計算機信息系統的有關資料。
第五章 法律責任
第二十六條 有下列行為之一的,由公安機關責令限期改正,給予警告,有違法所得的,沒收違法所得;逾期不改正的,可以並處一千元以上一萬元以下罰款,對單位的主管人員和其他直接責任人員可以並處五百元以上五千元以下罰款;情節嚴重的,並可以給予六個月以內停止聯網、停機整頓的處罰,必要時可以建議許可機構吊銷經營許可證或者取消聯網資格:
(一)違反本條例第十二條規定,未建立或者未執行安全保護制度的;
(二)違反本條例第十三條規定,未採取安全保護措施的;
(三)違反本條例第十六條規定,未採取管理措施的;
(四)違反本條例第二十五條規定,未如實提供計算機信息系統有關資料的。
國有企業事業單位有前款第一項、第二項所列行為之一,造成嚴重後果的,還應當依法對主管人員、其他直接責任人員給予行政處分。
第二十七條 違反本條例第十七條規定的,由公安機關給予警告,可以並處一千元以上一萬元以下罰款;情節嚴重的,責令停業整頓,必要時可以建議許可機構吊銷經營許可證。
第二十八條 違反本條例規定,有第十八條、第十九條所列行為之一的,由公安機關給予警告,有違法所得的,沒收違法所得,對個人可以並處五百元以上五千元以下罰款,對單位可以並處一千元以上一萬元以下罰款;情節嚴重的,並可以給予六個月以內停止聯網、停機整頓的處罰,必要時可以建議許可機構吊銷經營許可證或者取消聯網資格;違反《中華人民共和國治安管理處罰法》的,依法予以處罰。
第二十九條 有下列行為之一的,由公安機關責令改正,給予警告;情節嚴重的,處以一個月以內停機整頓的處罰:
(一)違反本條例第七條規定,未確定安全保護等級的;
(二)違反本條例第十五條規定,未辦理備案手續的;
(三)違反本條例第二十條規定,未按時向公安機關報告的;
(四)違反本條例第二十三條規定,接到公安機關整改通知後,未及時整改的。
第三十條 公安、國家安全、文化、保密及其他有關部門及其工作人員有下列行為之一的,對主管人員、其他直接責任人員依法給予行政處分:
(一)利用職權索取、收受賄賂,或者玩忽職守、濫用職權、徇私舞弊的;
(二)泄露計算機信息系統運營、使用單位或者個人的有關信息、資料及數據文件的;
(三)不依法履行監督管理職責,造成嚴重後果的。
第三十一條 違反本條例規定的行為,有關法律、法規對處罰及處罰機關另有規定的,從其規定。
第六章 附則
第三十二條 本條例有關用語的含義:
(一)計算機信息系統,是指由計算機及其相關的和配套的設備、設施構成的,按照一定的應用目標和規則對信息進行採集、加工、存儲、傳輸、檢索等處理的人機系統,包括未接入互聯網的計算機信息系統(含局域網)以及接入(含無線方式接入)互聯網的計算機信息系統;
(二)互聯網數據中心服務,是指提供主機託管、租賃和虛擬空間租用等服務。
第三十三條 本條例自2009年6月1日起施行。
Public domainPublic domainfalsefalse