云南省網(wǎng)絡(luò)與信息系統(tǒng)安全監(jiān)察管理規(guī)定
云南省網(wǎng)絡(luò)與信息系統(tǒng)安全監(jiān)察管理規(guī)定
(2004年11月7日云南省人民政府令130號(hào)公布 自2005年1月1日起施行)
第一條 為了保護(hù)網(wǎng)絡(luò)與信息系統(tǒng)安全,促進(jìn)網(wǎng)絡(luò)的應(yīng)用和發(fā)展,根據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》和有關(guān)法律、法規(guī),結(jié)合本省實(shí)際情況,特制定本規(guī)定。
第二條 縣級(jí)以上人民政府領(lǐng)導(dǎo)和協(xié)調(diào)網(wǎng)絡(luò)與信息系統(tǒng)安全工作。
縣級(jí)以上公安機(jī)關(guān)主管本行政區(qū)域內(nèi)網(wǎng)絡(luò)與信息系統(tǒng)安全監(jiān)察管理工作。
縣級(jí)以上國(guó)家安全機(jī)關(guān)、國(guó)家保密工作部門、信息產(chǎn)業(yè)部門和其他有關(guān)部門,在各自職責(zé)范圍內(nèi)負(fù)責(zé)網(wǎng)絡(luò)與信息系統(tǒng)安全管理的有關(guān)工作。
第三條 對(duì)網(wǎng)絡(luò)與信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)制度。
對(duì)下列單位涉及的基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)的安全,實(shí)行重點(diǎn)保護(hù):
(一)各級(jí)機(jī)關(guān);
(二)銀行、保險(xiǎn)、證券等金融單位;
(三)郵政、電信單位;
(四)廣播、電視、新聞出版單位;
(五)重點(diǎn)電力、煤炭、燃?xì)狻⑷加偷饶茉磫挝唬?/span>
(六)航空、鐵路和重點(diǎn)公路、水運(yùn)等運(yùn)輸單位;
(七)水利及水源供給單位;
(八)重要物資儲(chǔ)備單位;
(九)重點(diǎn)工程建設(shè)單位;
(十)大型工商、信息技術(shù)企業(yè);
(十一)重點(diǎn)科研、教育機(jī)構(gòu);
(十二)醫(yī)療衛(wèi)生、消防、緊急救援等社會(huì)應(yīng)急服務(wù)機(jī)構(gòu);
(十三)需要實(shí)行重點(diǎn)保護(hù)的其他單位。
第四條 重點(diǎn)保護(hù)的網(wǎng)絡(luò)與信息系統(tǒng)應(yīng)當(dāng)達(dá)到下列安全保護(hù)要求:
(一)機(jī)房及外部環(huán)境、設(shè)備及媒體的安全應(yīng)當(dāng)符合有關(guān)法律、法規(guī)、規(guī)章和標(biāo)準(zhǔn)的要求;
(二)具備風(fēng)險(xiǎn)分析、備份與恢復(fù)、容災(zāi)應(yīng)急等信息運(yùn)行安全保護(hù)措施;
(三)具有操作系統(tǒng)安全、數(shù)據(jù)庫安全、網(wǎng)絡(luò)安全、病毒防護(hù)、訪問控制等信息安全保護(hù)措施和防范非法侵入、攻擊網(wǎng)絡(luò)與信息系統(tǒng)的安全保護(hù)措施;
(四)使用具有《計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可證》等行政許可證件的網(wǎng)絡(luò)與信息系統(tǒng)安全專用產(chǎn)品;
(五)設(shè)置網(wǎng)絡(luò)與信息系統(tǒng)安全管理機(jī)構(gòu)或者配備專職或者兼職網(wǎng)絡(luò)與信息系統(tǒng)安全員,具體負(fù)責(zé)網(wǎng)絡(luò)與信息系統(tǒng)安全保護(hù)工作。
第五條 從事國(guó)際聯(lián)網(wǎng)業(yè)務(wù)或者向公眾提供上網(wǎng)服務(wù)的重點(diǎn)保護(hù)的網(wǎng)絡(luò)與信息系統(tǒng),除應(yīng)當(dāng)達(dá)到第四條規(guī)定的安全保護(hù)要求外,還應(yīng)當(dāng)達(dá)到下列安全保護(hù)要求:
(一)具有系統(tǒng)運(yùn)行和用戶使用日志記錄保存60日以上的措施;
(二)具有記錄用戶主叫電話號(hào)碼或者網(wǎng)絡(luò)地址的措施;
(三)具有使用者身份登記和識(shí)別確認(rèn)措施;
(四)具有垃圾郵件過濾、有害信息控制等安全防護(hù)措施;
(五)安裝有國(guó)家規(guī)定的安全管理軟硬件。
第六條 重點(diǎn)保護(hù)的網(wǎng)絡(luò)與信息系統(tǒng)使用單位應(yīng)當(dāng)建立以下安全保護(hù)制度:
(一)計(jì)算機(jī)機(jī)房安全管理制度;
(二)安全管理責(zé)任人的任免和安全責(zé)任制度;
(三)網(wǎng)絡(luò)安全漏洞檢測(cè)和安全系統(tǒng)升級(jí)管理制度;
(四)操作權(quán)限管理制度;
(五)用戶登記制度;
(六)信息發(fā)布的審查、登記、保存、清除和備份制度;
(七)信息群發(fā)服務(wù)管理制度。
第七條 重點(diǎn)保護(hù)的網(wǎng)絡(luò)與信息系統(tǒng)配備的專職或者兼職網(wǎng)絡(luò)與信息系統(tǒng)安全員應(yīng)當(dāng)取得國(guó)家認(rèn)可的信息安全專業(yè)人員資格,未取得信息安全專業(yè)人員資格的,應(yīng)當(dāng)經(jīng)過縣級(jí)以上公安機(jī)關(guān)組織或者會(huì)同有關(guān)部門組織的專業(yè)培訓(xùn),并考核合格。
網(wǎng)絡(luò)與信息系統(tǒng)安全員實(shí)行年度專業(yè)考核制度。
第八條 網(wǎng)絡(luò)與信息系統(tǒng)安全集成,由具有網(wǎng)絡(luò)與信息系統(tǒng)安全集成能力的單位承擔(dān)。
從事重點(diǎn)保護(hù)的網(wǎng)絡(luò)與信息系統(tǒng)安全集成的單位應(yīng)當(dāng)取得國(guó)家有關(guān)部門認(rèn)可的集成資質(zhì),并配備適應(yīng)安全集成需要、掌握相關(guān)網(wǎng)絡(luò)與信息系統(tǒng)安全標(biāo)準(zhǔn)的技術(shù)人員。
網(wǎng)絡(luò)與信息系統(tǒng)安全集成單位應(yīng)當(dāng)向州(市)以上公安機(jī)關(guān)備案,并接受公安機(jī)關(guān)的監(jiān)督檢查。
第九條 安全集成單位在從事重點(diǎn)保護(hù)的網(wǎng)絡(luò)與信息系統(tǒng)安全集成時(shí),應(yīng)當(dāng)執(zhí)行國(guó)家有關(guān)網(wǎng)絡(luò)與信息系統(tǒng)安全保護(hù)的標(biāo)準(zhǔn),在安全集成完成后及時(shí)將所有資料交網(wǎng)絡(luò)與信息系統(tǒng)使用單位,并對(duì)安全集成系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)、配置以及在安全集成中獲悉的國(guó)家秘密、商業(yè)秘密負(fù)有保密責(zé)任。禁止在安全集成的網(wǎng)絡(luò)與信息系統(tǒng)中設(shè)置隱蔽信道。
第十條 重點(diǎn)保護(hù)的網(wǎng)絡(luò)與信息系統(tǒng)在新建、改建、擴(kuò)建之前,使用單位應(yīng)當(dāng)將安全措施方案報(bào)有管轄權(quán)的公安機(jī)關(guān)備案。
第十一條 重點(diǎn)保護(hù)的網(wǎng)絡(luò)與信息系統(tǒng)實(shí)行安全技術(shù)檢測(cè)制度。安全技術(shù)檢測(cè)執(zhí)行有關(guān)國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)。經(jīng)安全技術(shù)檢測(cè)不符合安全要求的,應(yīng)當(dāng)進(jìn)行整改。
重點(diǎn)保護(hù)的網(wǎng)絡(luò)與信息系統(tǒng)應(yīng)當(dāng)在正式投入使用前進(jìn)行首次安全技術(shù)檢測(cè);在本規(guī)定施行前已投入正式使用的,應(yīng)當(dāng)在本規(guī)定施行之日起6個(gè)月內(nèi)完成首次安全技術(shù)檢測(cè)。
重點(diǎn)保護(hù)的網(wǎng)絡(luò)與信息系統(tǒng)在首次安全技術(shù)檢測(cè)后,應(yīng)當(dāng)每年至少進(jìn)行一次安全技術(shù)檢測(cè)。
重點(diǎn)保護(hù)的網(wǎng)絡(luò)與信息系統(tǒng)設(shè)備更新或者改造、網(wǎng)絡(luò)結(jié)構(gòu)變更,以及處理信息的種類、性質(zhì)變更,對(duì)安全保護(hù)措施產(chǎn)生直接影響的,應(yīng)當(dāng)在投入運(yùn)行前對(duì)受影響的部分進(jìn)行安全技術(shù)檢測(cè)。
重點(diǎn)保護(hù)以外的網(wǎng)絡(luò)與信息系統(tǒng)應(yīng)當(dāng)加強(qiáng)安全技術(shù)檢測(cè),及時(shí)消除隱患。
第十二條 重點(diǎn)保護(hù)的網(wǎng)絡(luò)與信息系統(tǒng)的使用單位發(fā)現(xiàn)危害網(wǎng)絡(luò)與信息系統(tǒng)安全的隱患或者事故時(shí),應(yīng)當(dāng)保留有關(guān)原始記錄,并在24小時(shí)內(nèi)向當(dāng)?shù)乜h級(jí)以上公安機(jī)關(guān)報(bào)告。公安機(jī)關(guān)發(fā)現(xiàn)危害網(wǎng)絡(luò)與信息系統(tǒng)安全的隱患或者事故時(shí),應(yīng)當(dāng)及時(shí)通知有關(guān)使用單位。
使用單位應(yīng)當(dāng)及時(shí)采取措施,消除、處理危害網(wǎng)絡(luò)與信息系統(tǒng)安全的隱患或者事故。公安機(jī)關(guān)應(yīng)當(dāng)加強(qiáng)監(jiān)督檢查,及時(shí)處理危害網(wǎng)絡(luò)與信息系統(tǒng)安全的事件。
第十三條 網(wǎng)絡(luò)與信息系統(tǒng)安全技術(shù)檢測(cè),由具有安全技術(shù)檢測(cè)能力的單位承擔(dān)。
從事重點(diǎn)保護(hù)的網(wǎng)絡(luò)與信息系統(tǒng)安全技術(shù)檢測(cè)的單位,應(yīng)當(dāng)經(jīng)國(guó)家權(quán)威機(jī)構(gòu)認(rèn)可。因特殊情況自行完成安全技術(shù)檢測(cè)的,應(yīng)當(dāng)具備開展計(jì)算機(jī)操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)、機(jī)房環(huán)境等安全檢測(cè)的必要設(shè)備,配備適應(yīng)安全技術(shù)檢測(cè)需要、掌握網(wǎng)絡(luò)與信息系統(tǒng)安全標(biāo)準(zhǔn)并經(jīng)省級(jí)公安機(jī)關(guān)專業(yè)安全培訓(xùn)或者考核合格的技術(shù)人員。
網(wǎng)絡(luò)與信息系統(tǒng)安全技術(shù)檢測(cè)單位應(yīng)當(dāng)向州(市)以上公安機(jī)關(guān)備案,并接受公安機(jī)關(guān)的監(jiān)督檢查。
第十四條 安全技術(shù)檢測(cè)單位對(duì)被檢測(cè)單位網(wǎng)絡(luò)與信息系統(tǒng)的檢測(cè)內(nèi)容、檢測(cè)結(jié)果和所涉及的國(guó)家秘密、商業(yè)秘密等所有資料應(yīng)當(dāng)保密。禁止在所檢測(cè)的網(wǎng)絡(luò)與信息系統(tǒng)中設(shè)置隱蔽信道。
第十五條 從事網(wǎng)絡(luò)與信息系統(tǒng)安全專用產(chǎn)品研究開發(fā)和從事計(jì)算機(jī)病毒等有害數(shù)據(jù)防治研究的單位,應(yīng)當(dāng)報(bào)省級(jí)公安機(jī)關(guān)備案。
第十六條 從事網(wǎng)吧等互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所經(jīng)營(yíng)活動(dòng)的單位,應(yīng)當(dāng)按照《互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所管理?xiàng)l例》的規(guī)定及國(guó)家有關(guān)規(guī)定,履行信息網(wǎng)絡(luò)安全職責(zé),落實(shí)信息網(wǎng)絡(luò)安全技術(shù)措施,接受公安機(jī)關(guān)和有關(guān)部門的監(jiān)督管理。
第十七條 單位或者個(gè)人有下列行為之一的,由縣級(jí)以上公安機(jī)關(guān)責(zé)令改正,給予警告或者對(duì)單位處15000元以下的罰款,對(duì)個(gè)人處5000元以下的罰款;構(gòu)成犯罪的,依法追究刑事責(zé)任:
(一)非法侵入重點(diǎn)保護(hù)的網(wǎng)絡(luò)與信息系統(tǒng),修改、刪除、增加、破壞網(wǎng)絡(luò)與信息系統(tǒng)的功能、程序及數(shù)據(jù)的;
(二)制作、傳播危害網(wǎng)絡(luò)與信息系統(tǒng)安全的程序,或者惡意傳授危害網(wǎng)絡(luò)與信息系統(tǒng)安全的程序制作和使用等方法,造成網(wǎng)絡(luò)與信息系統(tǒng)損害的;
(三)故意干擾網(wǎng)絡(luò)與信息系統(tǒng)正常運(yùn)行的;
(四)有其他危害網(wǎng)絡(luò)與信息系統(tǒng)安全行為的。
第十八條 單位或者個(gè)人利用網(wǎng)絡(luò)與信息系統(tǒng)實(shí)施下列行為之一的,由公安機(jī)關(guān)依法給予行政處罰;構(gòu)成犯罪的,依法追究刑事責(zé)任:
(一)危害國(guó)家安全、破壞社會(huì)穩(wěn)定、破壞民族團(tuán)結(jié)、宣揚(yáng)邪教、迷信的;
(二)宣傳淫穢、賭博、暴力,實(shí)施詐騙活動(dòng),擾亂社會(huì)秩序,侵害他人合法權(quán)益的;
(三)法律、法規(guī)禁止的其他行為。
第十九條 重點(diǎn)保護(hù)的網(wǎng)絡(luò)與信息系統(tǒng)使用單位有下列情形之一的,由縣級(jí)以上公安機(jī)關(guān)責(zé)令限期改正,或者會(huì)同有關(guān)部門進(jìn)行處理;逾期不改正的,對(duì)單位處1萬元以下的罰款,對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員可以處1000元以下的罰款;構(gòu)成違紀(jì)的,依法給予行政處分或者紀(jì)律處分;構(gòu)成犯罪的,依法追究刑事責(zé)任:
(一)未達(dá)到本規(guī)定第四條規(guī)定的網(wǎng)絡(luò)與信息系統(tǒng)安全保護(hù)要求的;
(二)從事國(guó)際聯(lián)網(wǎng)業(yè)務(wù)和向公眾提供上網(wǎng)服務(wù)的網(wǎng)絡(luò)與信息系統(tǒng)未達(dá)到本規(guī)定第四條和第五條規(guī)定的網(wǎng)絡(luò)與信息系統(tǒng)安全保護(hù)要求的;
(三)未建立本規(guī)定第六條規(guī)定的安全保護(hù)制度的;
(四)未按規(guī)定進(jìn)行網(wǎng)絡(luò)與信息系統(tǒng)安全技術(shù)檢測(cè),或者經(jīng)檢測(cè)達(dá)不到安全要求而擅自使用的;
(五)發(fā)現(xiàn)危害網(wǎng)絡(luò)與信息系統(tǒng)安全的隱患或者事故而隱瞞、緩報(bào)、謊報(bào)或者故意破壞原始記錄的。
第二十條 網(wǎng)絡(luò)與信息系統(tǒng)安全集成單位、安全技術(shù)檢測(cè)單位在安全集成、安全技術(shù)檢測(cè)活動(dòng)中有下列情形之一的,由縣級(jí)以上公安機(jī)關(guān)責(zé)令改正,對(duì)單位處3萬元以下的罰款,對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員可以處5000元以下的罰款;構(gòu)成犯罪的,依法追究刑事責(zé)任:
(一)不按照國(guó)家網(wǎng)絡(luò)與信息系統(tǒng)安全標(biāo)準(zhǔn)進(jìn)行安全集成或者安全技術(shù)檢測(cè),造成網(wǎng)絡(luò)與信息系統(tǒng)損害的;
(二)故意在進(jìn)行安全集成或者安全技術(shù)檢測(cè)的網(wǎng)絡(luò)與信息系統(tǒng)中設(shè)置隱蔽信道的;
(三)泄露安全集成系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)、配置或者在安全集成、安全技術(shù)檢測(cè)過程中獲取的其他國(guó)家秘密、商業(yè)秘密的;
(四)出具虛假安全集成、安全技術(shù)檢測(cè)結(jié)果證明的。
第二十一條 國(guó)家機(jī)關(guān)工作人員在網(wǎng)絡(luò)與信息系統(tǒng)安全監(jiān)察管理工作中玩忽職守、濫用職權(quán)、徇私舞弊的,依法給予行政處分;構(gòu)成犯罪的,依法追究刑事責(zé)任。
第二十二條 本規(guī)定自2005年1月1日起施行。