江西省計算機信息系統(tǒng)安全保護辦法
江西省計算機信息系統(tǒng)安全保護辦法
(2004年9月23日江西省人民政府令第135號公布 2022年7月8日江西省人民政府令第255號第一次修正)
第一條 為了保護計算機信息系統(tǒng)的安全,促進計算機的應(yīng)用和發(fā)展,維護國家利益和社會公共利益,根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》等有關(guān)規(guī)定,結(jié)合本省實際,制定本辦法。
第二條 本辦法所稱的計算機信息系統(tǒng),是指由計算機及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))構(gòu)成的,按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)。
第三條 本省行政區(qū)域內(nèi)的計算機信息系統(tǒng)的安全保護,適用本辦法。
未聯(lián)網(wǎng)的微型計算機的安全保護辦法,按國家有關(guān)規(guī)定執(zhí)行。
第四條 計算機信息系統(tǒng)的安全保護工作,重點維護下列涉及國家事務(wù)、經(jīng)濟建設(shè)、國防建設(shè)、尖端科學(xué)技術(shù)等重要領(lǐng)域、重點單位的計算機信息系統(tǒng)的安全:
(一)縣級以上國家機關(guān)、國防單位;
(二)銀行、保險、證券等金融領(lǐng)域;
(三)郵政、電信、廣播、電視領(lǐng)域;
(四)能源、交通領(lǐng)域;
(五)國家及省重點科研單位;
(六)重點網(wǎng)站;
(七)國家規(guī)定的其他重要領(lǐng)域、重點單位。
第五條 公安機關(guān)是計算機信息系統(tǒng)安全保護工作的主管部門,其主要職責(zé)是:
(一)宣傳計算機信息系統(tǒng)安全保護法律、法規(guī)、規(guī)章;
(二)監(jiān)督、檢查、指導(dǎo)計算機信息系統(tǒng)安全保護工作;
(三)組織培訓(xùn)計算機信息系統(tǒng)安全管理人員;
(四)查處危害計算機信息系統(tǒng)安全的違法犯罪案件;
(五)對重要領(lǐng)域、重點單位的計算機信息系統(tǒng)的建設(shè)工程進行安全指導(dǎo);
(六)負責(zé)計算機病毒和其他有害數(shù)據(jù)的防治管理工作;
(七)監(jiān)督、檢查計算機信息系統(tǒng)安全專用產(chǎn)品的銷售活動;
(八)依法應(yīng)當(dāng)履行的其他職責(zé)。
國家安全機關(guān)、國家保密機關(guān)和政府其他有關(guān)部門,在規(guī)定的職責(zé)范圍內(nèi)做好計算機信息系統(tǒng)安全保護的有關(guān)工作。
第六條 計算機信息系統(tǒng)的建設(shè)和應(yīng)用,應(yīng)當(dāng)遵守法律、法規(guī)和國家其他有關(guān)規(guī)定。
重要領(lǐng)域、重點單位新建的計算機信息系統(tǒng),應(yīng)當(dāng)按照有關(guān)規(guī)定在投入運行后30日內(nèi)由其運營、使用單位報所在地設(shè)區(qū)的市級以上人民政府公安機關(guān)備案。
第七條 計算機信息系統(tǒng)實行安全等級保護。安全等級的劃分標(biāo)準(zhǔn)和安全等級保護的具體辦法,按照國家有關(guān)規(guī)定執(zhí)行。
第八條 計算機信息系統(tǒng)國際聯(lián)網(wǎng)實行備案制度。
使用計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)的公民、法人和其他組織,在接入單位辦理入網(wǎng)手續(xù)時應(yīng)當(dāng)填寫用戶備案表。接入單位應(yīng)當(dāng)自網(wǎng)絡(luò)正式聯(lián)通之日起30日內(nèi),到省公安機關(guān)指定的受理單位辦理備案手續(xù),并及時報告本網(wǎng)絡(luò)中用戶的變更情況。
第九條 重要領(lǐng)域、重點單位的計算機信息系統(tǒng)使用單位應(yīng)當(dāng)建立計算機信息系統(tǒng)安全管理組織,指定安全管理人員。
安全管理組織及安全管理人員負責(zé)對計算機信息系統(tǒng)運行情況和運行環(huán)境進行檢查,編制運行日志,及時消除安全隱患,對可能遭受的侵害和破壞制定應(yīng)急處置預(yù)案。
安全管理人員應(yīng)當(dāng)參加公安機關(guān)組織的計算機信息系統(tǒng)安全知識培訓(xùn)。
第十條 重要領(lǐng)域、重點單位的計算機信息系統(tǒng)使用單位應(yīng)當(dāng)建立下列安全保護管理制度:
(一)計算機機房安全管理制度;
(二)信息發(fā)布審核、登記制度;
(三)信息監(jiān)視、保存、清除和備份制度;
(四)病毒檢測和網(wǎng)絡(luò)安全漏洞檢測制度;
(五)賬號使用登記和操作權(quán)限管理制度;
(六)安全教育和培訓(xùn)制度;
(七)違法案件報告和協(xié)助查處制度;
(八)其他與安全保護相關(guān)的管理制度。
第十一條 重要領(lǐng)域、重點單位的計算機信息系統(tǒng)使用單位應(yīng)當(dāng)落實下列安全保護技術(shù)措施:
(一)采取監(jiān)測、記錄網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施,并按照規(guī)定留存6個月以上系統(tǒng)網(wǎng)絡(luò)運行日志和用戶使用日志記錄;
(二)安全審計和預(yù)警措施;
(三)垃圾郵件清理措施;
(四)身份登記和識別確認措施;
(五)計算機病毒防治措施;
(六)信息群發(fā)限制和有害數(shù)據(jù)防治措施;
(七)國家規(guī)定的其他安全技術(shù)措施。
第十二條 互聯(lián)網(wǎng)上網(wǎng)服務(wù)營業(yè)場所經(jīng)營單位在完成籌建后,應(yīng)當(dāng)向同級人民政府公安機關(guān)承諾符合信息網(wǎng)絡(luò)安全審核條件,并經(jīng)公安機關(guān)確認當(dāng)場簽署承諾書。互聯(lián)網(wǎng)上網(wǎng)服務(wù)營業(yè)場所經(jīng)營單位還應(yīng)當(dāng)依法取得有關(guān)部門頒發(fā)的證照。
互聯(lián)網(wǎng)上網(wǎng)服務(wù)營業(yè)場所經(jīng)營單位應(yīng)當(dāng)依法履行計算機信息系統(tǒng)安全保護義務(wù),不得擅自停止實施安全技術(shù)措施。
第十三條 任何單位和個人不得利用國際聯(lián)網(wǎng)從事下列危害計算機信息網(wǎng)絡(luò)安全的活動:
(一)制作、復(fù)制、查閱、傳播有害信息;
(二)未經(jīng)允許,對計算機信息網(wǎng)絡(luò)功能進行刪除、修改或者增加;
(三)未經(jīng)允許,對計算機信息網(wǎng)絡(luò)中存儲、處理或者傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進行刪除、修改或者增加;
(四)故意制作、傳播計算機病毒等破壞性程序;
(五)未經(jīng)允許,進入計算機信息網(wǎng)絡(luò)或者使用計算機信息網(wǎng)絡(luò)資源;
(六)未經(jīng)允許,對計算機網(wǎng)絡(luò)功能進行刪除、修改或者增加;
(七)危害計算機信息網(wǎng)絡(luò)安全的其他行為。
第十四條 設(shè)區(qū)的市級以上人民政府公安機關(guān)應(yīng)當(dāng)依法在網(wǎng)站或者其他媒體上及時發(fā)布計算機病毒疫情預(yù)報。
第十五條 對計算機信息系統(tǒng)中發(fā)生的違法案件,使用單位發(fā)現(xiàn)后應(yīng)當(dāng)迅速采取措施,保護現(xiàn)場和相關(guān)資料,并在24小時內(nèi)向縣級以上人民政府公安機關(guān)報告。公安機關(guān)接到報告后應(yīng)當(dāng)立即采取措施進行處置。涉及國家安全的,由國家安全機關(guān)依法進行處置。
對計算機信息系統(tǒng)中發(fā)生的違法案件和重大安全事故的有關(guān)情況,縣級以上人民政府公安機關(guān)應(yīng)當(dāng)及時向使用單位通報。
第十六條 公安機關(guān)應(yīng)當(dāng)對計算機信息系統(tǒng)進行不定期安全檢查,發(fā)現(xiàn)安全隱患時,應(yīng)當(dāng)及時向使用單位發(fā)出《計算機信息系統(tǒng)安全隱患整改通知書》,并提出改進意見,指導(dǎo)、督促使用單位限期整改,消除隱患。
第十七條 公安機關(guān)為保護計算機信息系統(tǒng)安全,在下列緊急情況下,可以采取24小時內(nèi)暫時停機、暫停聯(lián)網(wǎng)、備份數(shù)據(jù)等措施,有關(guān)單位和個人應(yīng)當(dāng)如實提供有關(guān)信息和資料,并提供相關(guān)技術(shù)支持和必要的協(xié)助:
(一)計算機信息系統(tǒng)遭惡意攻擊導(dǎo)致系統(tǒng)癱瘓的;
(二)計算機信息系統(tǒng)遭病毒感染導(dǎo)致系統(tǒng)癱瘓的;
(三)通過計算機信息系統(tǒng)向外大量發(fā)送有害信息的;
(四)在對計算機信息系統(tǒng)中發(fā)生的案件進行偵察過程中,證據(jù)可能滅失或者以后難以取得的;
(五)其他應(yīng)當(dāng)采取緊急措施的情況。
縣級以上人民政府公安機關(guān)采取前款規(guī)定的緊急措施前,應(yīng)當(dāng)報經(jīng)本機關(guān)主要負責(zé)人批準(zhǔn)。
第十八條 計算機信息系統(tǒng)安全專用產(chǎn)品生產(chǎn)者在其產(chǎn)品進入市場銷售之前,應(yīng)當(dāng)依法取得公安部頒發(fā)的《計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證》,并在其產(chǎn)品的固定位置標(biāo)明“銷售許可”標(biāo)記。
任何單位和個人不得銷售無“銷售許可”標(biāo)記的安全專用產(chǎn)品。
從事計算機信息系統(tǒng)安全專用產(chǎn)品經(jīng)營的,應(yīng)當(dāng)在開業(yè)后30日內(nèi)報設(shè)區(qū)市以上人民政府公安機關(guān)備案。
第十九條 設(shè)區(qū)市以上人民政府公安機關(guān)負責(zé)計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證的監(jiān)督檢查工作,對銷售計算機信息系統(tǒng)安全專用產(chǎn)品的單位和個人,可以采取驗證檢查和抽樣檢測等監(jiān)督措施。
對商用密碼的管理,按照國務(wù)院《商用密碼管理條例》的規(guī)定執(zhí)行。
第二十條 重要領(lǐng)域、重點單位新建的計算機信息系統(tǒng)未在規(guī)定期限內(nèi)備案的,由公安機關(guān)責(zé)令限期改正,并按有關(guān)規(guī)定進行處理。
第二十一條 公安機關(guān)應(yīng)當(dāng)自互聯(lián)網(wǎng)上網(wǎng)服務(wù)營業(yè)場所經(jīng)營單位正式開展經(jīng)營活動20個工作日內(nèi),對其依法履行信息網(wǎng)絡(luò)安全職責(zé)情況進行實地檢查。檢查發(fā)現(xiàn)互聯(lián)網(wǎng)上網(wǎng)服務(wù)營業(yè)場所經(jīng)營單位未履行承諾的信息網(wǎng)絡(luò)安全責(zé)任的,由公安機關(guān)給予警告,可以并處15000元以下罰款;情節(jié)嚴(yán)重的,責(zé)令停業(yè)整頓,直至由文化和旅游主管部門吊銷《網(wǎng)絡(luò)文化經(jīng)營許可證》。
第二十二條 利用國際聯(lián)網(wǎng)從事本辦法第十三條所列活動的,由公安機關(guān)給予警告,有違法所得的,沒收違法所得,對個人可以并處5000元以下罰款,對單位可以并處15000元以下罰款;情節(jié)嚴(yán)重的,可以并處6個月以內(nèi)停止聯(lián)網(wǎng)、停機整頓,必要時可以建議原發(fā)證、審批機構(gòu)吊銷經(jīng)營許可證或者取消聯(lián)網(wǎng)資格;違反治安管理規(guī)定的,依法予以治安處罰;構(gòu)成犯罪的,依法追究刑事責(zé)任。
第二十三條 違反本辦法規(guī)定的其他行為,國家另有處罰規(guī)定的,從其規(guī)定。
第二十四條 公安人員在計算機信息系統(tǒng)安全保護工作中,利用職權(quán)索取、收受賄賂或者有其他違法、失職行為,構(gòu)成犯罪的,依法追究刑事責(zé)任;尚不構(gòu)成犯罪的,依法給予處分。
第二十五條 本辦法下列用語的含義為:
計算機病毒,是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù),影響計算機使用,并能自我復(fù)制的一組計算機指令或者程序代碼。
有害數(shù)據(jù),是指計算機信息系統(tǒng)及其存儲介質(zhì)中存在、出現(xiàn)的,危害計算機信息系統(tǒng)安全運行和功能發(fā)揮的程序,或者對國家安全和社會公共安全構(gòu)成危害或者潛在威脅的信息。
接入單位,是指負責(zé)接入國際聯(lián)網(wǎng)的計算機信息網(wǎng)絡(luò)運行單位。
計算機信息系統(tǒng)安全專用產(chǎn)品,是指用于保護計算機信息系統(tǒng)安全的專用硬件和軟件產(chǎn)品。
第二十六條 軍隊的計算機信息系統(tǒng)安全保護工作,按照軍隊的有關(guān)法規(guī)執(zhí)行。
第二十七條 計算機信息系統(tǒng)的保密管理,依照國家和省的有關(guān)規(guī)定執(zhí)行。
第二十八條 本辦法自2004年11月1日起施行。