徐州市计算机信息系统安全保护条例
公告第5号
《徐州市计算机信息系统安全保护条例》已由徐州市第十四届人民代表大会常务委员会第六次会议于2008年12月12日制定,经江苏省第十一届人民代表大会常务委员会第七次会议于2009年1月18日批准,现予公布,自2009年6月1日起施行。
2009年1月22日
徐州市计算机信息系统安全保护条例
(2008年12月12日徐州市第十四届人民代表大会常务委员会第六次会议制定 2009年1月18日江苏省第十一届人民代表大会常务委员会第七次会议批准)
第一章 总 则
第一条 为了加强计算机信息系统的安全保护工作,维护国家安全、社会秩序和公共利益,促进信息化的健康发展,根据《中华人民共和国计算机信息系统安全保护条例》等法律、法规,结合本市实际,制定本条例。
第二条 本条例适用于徐州市行政区域内计算机信息系统及其信息内容的安全保护和监督管理。
第三条 市、县(市)、贾汪区公安机关(以下简称公安机关)主管本行政区域内计算机信息系统安全保护工作。
国家安全、文化、保密、信息化管理及其他有关部门,依据各自职责做好计算机信息系统安全保护有关工作。
第四条 公安、国家安全、文化、保密、信息化管理及其他有关部门在履行职责过程中,应当维护计算机信息系统运营、使用单位和个人的合法权益,保守其商业秘密和个人隐私。
第五条 任何组织或者个人,不得危害计算机信息系统的安全;不得利用计算机信息系统从事危害国家安全、社会秩序、公共利益以及侵害公民、法人和其他组织合法权益的活动。
第二章 安全保护和管理
第六条 计算机信息系统实行安全等级保护制度。
计算机信息系统安全保护等级按照国家规定划分为以下五级:
(一)计算机信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益的,为第一级;
(二)计算机信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全的,为第二级;
(三)计算机信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害的,为第三级;
(四)计算机信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害的,为第四级;
(五)计算机信息系统受到破坏后,会对国家安全造成特别严重损害的,为第五级。
第七条 计算机信息系统运营、使用单位应当根据国家有关管理规范、技术标准确定计算机信息系统的安全保护等级,对于新建、改建、扩建的计算机信息系统,运营、使用单位应当在规划、设计阶段确定计算机信息系统的安全保护等级,并同步建设符合该安全保护等级要求的安全保护设施。
第八条 第二级以上计算机信息系统投入运行后三十日内,其运营、使用单位应当向市公安机关备案。
市公安机关应当自收到备案材料之日起十日内,对符合安全保护等级要求的,颁发备案证明;对定级不准确的,通知运营、使用单位重新定级后予以备案。
第九条 计算机信息系统的结构、处理流程、服务内容等发生变化,致使安全保护等级发生变更的,运营、使用单位应当重新定级、重新备案。
计算机信息系统备案事项发生变更的,运营、使用单位应当自变更之日起三十日内将变更情况报告公安机关。
第十条 计算机信息系统运营、使用单位应当使用符合信息系统安全保护等级要求的信息技术产品和依法取得销售许可证的安全专用产品。
第十一条 计算机信息系统运营、使用单位应当按照国家规定,定期对计算机信息系统安全等级保护状况开展等级测评,对计算机信息系统安全状况、安全保护制度及措施的落实情况进行自查;未达到安全保护等级要求的,应当进行整改。
第十二条 计算机信息系统运营、使用单位应当明确安全管理责任人、安全管理人员及安全技术人员,建立并执行下列安全保护制度:
(一)计算机机房安全管理;
(二)网络安全漏洞检测和系统升级管理;
(三)信息发布审查、登记、保存、清除和备份;
(四)违法犯罪案件报告和协助查处;
(五)信息系统安全教育和培训;
(六)安全应急处置。
第十三条 计算机信息系统运营、使用单位应当按照国家规定采取下列安全保护措施:
(一)身份登记和识别确认;
(二)记录用户帐号、主叫号码和网络地址;
(三)系统运行和用户使用日志记录保存六十日以上。
第二级以上计算机信息系统运营、使用单位还应当采取下列安全保护措施:
(一)系统重要部分的冗余、重要数据备份;
(二)计算机病毒防治;
(三)网络攻击防范和追踪;
(四)安全审计和预警;
(五)法律、法规规定的其他安全保护措施。
第十四条 涉及国家秘密的计算机信息系统的设计实施、定级备案、运行维护和日常保密管理,应当依据国家信息安全等级保护的要求,按照保密部门的有关规定和技术标准执行。
第三章 秩序管理
第十五条 互联网接入服务、互联网数据中心服务、互联网信息服务的提供者,应当自网络联通之日起三十日内向市公安机关备案。
第十六条 互联网信息服务的提供者应当采取以下管理措施:
(一)确定信息审核人员;
(二)防治垃圾信息、违法信息;
(三)限制信息群发、匿名信息发送;
(四)按照国家规定,删除本网络中含有本条例第十九条内容的地址、目录或者关闭服务器,并保存有关记录。
第十七条 向社会公众提供互联网上网服务的网吧、宾馆等场所的经营单位应当采取以下安全保护措施:
(一)安装并运行国家规定的安全管理系统;
(二)对上网人员进行实名登记;
(三)记录有关上网信息,登记内容和记录备份保存时间不得少于六十日,在保存期内不得修改或者删除。
第十八条 任何单位和个人不得利用计算机信息系统实施下列行为:
(一)未经允许,进入计算机信息系统或者非法占有、使用、窃取计算机信息系统资源;
(二)窃取、骗取、夺取计算机信息系统控制权;
(三)未经允许,对计算机信息系统功能进行删除、修改、增加或者干扰;
(四)未经允许,对计算机信息系统存储、处理或者传输的数据和应用程序进行删除、修改或者增加;
(五)故意制作、传播计算机病毒、恶意软件等破坏性程序;
(六)窃取他人账号、密码及其他信息资料;
(七)未经允许,提供或者公开他人的信息资料;
(八)非法截获、篡改、删除他人电子邮件或者其他数据资料;
(九)假冒他人名义发布、发送信息。
第十九条 任何单位和个人不得利用计算机信息系统制作、复制、传播下列信息:
(一)危害国家统一、主权和领土完整的;
(二)泄露国家秘密,危害国家安全或者损害国家荣誉和利益的;
(三)煽动民族仇恨、民族歧视,破坏民族团结或者侵害民族风俗、习惯的;
(四)破坏国家宗教政策,宣扬邪教、迷信的;
(五)煽动聚众滋事,损害社会公共利益的;
(六)散布谣言,发布虚假信息,扰乱社会秩序,破坏社会稳定的;
(七)宣扬淫秽、色情、赌博、暴力、凶杀、恐怖的;
(八)教唆犯罪或者传授犯罪方法的;
(九)散布他人隐私,或者侮辱、诽谤、恐吓他人的;
(十)买卖法律、法规禁止流通的物品的;
(十一)提供假票据、假证件的。
第二十条 计算机信息系统运营、使用单位发现计算机信息系统发生重大安全事故和违法犯罪案件,应当及时采取技术措施予以防护和制止,留存运行日志等原始记录,并在二十四小时内向公安机关报告;涉及其他管理部门职责的,还应当及时报告有关部门。
第四章 监督检查
第二十一条 公安、国家安全、文化、保密、信息化管理及其他有关部门应当建立计算机信息系统安全监督管理协作机制,按照国家规定,对计算机信息系统运营、使用单位的安全保护工作进行监督检查。
第二十二条 公安机关应当定期对计算机信息系统运营、使用单位的信息安全等级保护工作进行检查、指导和监督;对第三级计算机信息系统每年至少检查一次,对第四级计算机信息系统每半年至少检查一次。
第二十三条 计算机信息系统的安全保护等级和安全保护措施不符合信息安全等级保护管理规定,或者存在安全隐患的,公安机关应当通知运营、使用单位进行整改。运营、使用单位应当及时整改,并将整改情况报告公安机关。
第二十四条 在计算机信息系统发生突发事件,造成或者可能造成严重社会危害的紧急情况下,公安机关可以采取停机检查、暂停联网、备份数据等措施,计算机信息系统运营、使用单位应当予以配合。
突发事件消除后,公安机关应当及时解除暂停联网或者停机检查措施,恢复计算机信息系统的正常运行。
第二十五条 计算机信息系统运营、使用单位应当协助公安机关及其他有关部门做好安全保护监督管理工作。在公安机关及其他有关部门依法履行职责时,应当如实提供计算机信息系统的有关资料。
第五章 法律责任
第二十六条 有下列行为之一的,由公安机关责令限期改正,给予警告,有违法所得的,没收违法所得;逾期不改正的,可以并处一千元以上一万元以下罚款,对单位的主管人员和其他直接责任人员可以并处五百元以上五千元以下罚款;情节严重的,并可以给予六个月以内停止联网、停机整顿的处罚,必要时可以建议许可机构吊销经营许可证或者取消联网资格:
(一)违反本条例第十二条规定,未建立或者未执行安全保护制度的;
(二)违反本条例第十三条规定,未采取安全保护措施的;
(三)违反本条例第十六条规定,未采取管理措施的;
(四)违反本条例第二十五条规定,未如实提供计算机信息系统有关资料的。
国有企业事业单位有前款第一项、第二项所列行为之一,造成严重后果的,还应当依法对主管人员、其他直接责任人员给予行政处分。
第二十七条 违反本条例第十七条规定的,由公安机关给予警告,可以并处一千元以上一万元以下罚款;情节严重的,责令停业整顿,必要时可以建议许可机构吊销经营许可证。
第二十八条 违反本条例规定,有第十八条、第十九条所列行为之一的,由公安机关给予警告,有违法所得的,没收违法所得,对个人可以并处五百元以上五千元以下罚款,对单位可以并处一千元以上一万元以下罚款;情节严重的,并可以给予六个月以内停止联网、停机整顿的处罚,必要时可以建议许可机构吊销经营许可证或者取消联网资格;违反《中华人民共和国治安管理处罚法》的,依法予以处罚。
第二十九条 有下列行为之一的,由公安机关责令改正,给予警告;情节严重的,处以一个月以内停机整顿的处罚:
(一)违反本条例第七条规定,未确定安全保护等级的;
(二)违反本条例第十五条规定,未办理备案手续的;
(三)违反本条例第二十条规定,未按时向公安机关报告的;
(四)违反本条例第二十三条规定,接到公安机关整改通知后,未及时整改的。
第三十条 公安、国家安全、文化、保密及其他有关部门及其工作人员有下列行为之一的,对主管人员、其他直接责任人员依法给予行政处分:
(一)利用职权索取、收受贿赂,或者玩忽职守、滥用职权、徇私舞弊的;
(二)泄露计算机信息系统运营、使用单位或者个人的有关信息、资料及数据文件的;
(三)不依法履行监督管理职责,造成严重后果的。
第三十一条 违反本条例规定的行为,有关法律、法规对处罚及处罚机关另有规定的,从其规定。
第六章 附 则
第三十二条 本条例有关用语的含义:
(一)计算机信息系统,是指由计算机及其相关的和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统,包括未接入互联网的计算机信息系统(含局域网)以及接入(含无线方式接入)互联网的计算机信息系统;
(二)互联网数据中心服务,是指提供主机托管、租赁和虚拟空间租用等服务。
第三十三条 本条例自2009年6月1日起施行。
关于《徐州市计算机信息系统安全保护条例》的说明
——2009年1月17日在省十一届人大常委会第七次会议上
徐州市人大常委会
主任、各位副主任、秘书长、各位委员:
《徐州市计算机信息系统安全保护条例》(以下简称条例),已于2008年12月12日经徐州市十四届人大常委会第六次会议制定,现提请省人大常委会本次会议审议批准。我受徐州市人大常委会的委托,现就条例的有关问题作如下说明:
一、关于计算机信息系统的等级保护
对计算机信息系统实行安全等级保护管理,是计算机信息系统安全保护的一项基础性制度,也是保障信息系统安全的基本方法和有效途径。根据《中华人民共和国计算机信息系统安全保护条例》关于“计算机信息系统实行安全等级保护”和2007年公安部等四部委联合出台的《信息安全等级保护管理办法》的规定,条例从我市实际出发就计算机信息系统等级保护管理主要作了以下几个方面的规定:
一是计算机信息系统运营、使用单位应当根据国家规定确定计算机信息系统安全保护等级,对于新建、改建、扩建计算机信息系统,应当在设计、规划阶段确定其安全保护等级,并同步建
设符合安全等级保护要求的安全保护设施(见条例第七条)。
二是第二级以上的计算机信息系统投入运行后三十日内,其运营、使用单位应当向市公安机关备案(见条例第八条)。
三是对安全等级测评和自查制度作了原则性规定(见条例第十一条)。
二、关于安全管理制度
计算机信息系统的安全涉及面广、影响大、情况复杂,建立有效的、可行的安全保护管理制度十分重要。根据《中华人民共和国计算机信息系统安全保护条例》关于“计算机信息系统的使用单位应当建立健全安全管理制度,负责本单位计算机信息系统的安全保护工作”,条例第十二条规定了计算机信息系统运营、使用单位应当建立六个方面的管理制度,具体包括计算机机房安全管理;网络安全漏洞检测和系统升级管理;信息发布审查、登记、保存、清除和备份;违法犯罪案件报告和协助查处;信息系统安全教育和培训;安全应急处置等,有利于加强和规范运营、使用单位的安全管理。
三、关于安全保护措施
在计算机信息系统的关键区域、关键部位、关键节点采取安全保护措施,或者对互联网上的违法犯罪的实施过程、结果予以审计,是保障计算机信息系统安全,预防和打击计算机违法犯罪的重要技术手段。条例在规范安全保护措施上,主要作了以下几个方面的规定:
一是规定了所有的计算机信息系统均应采取的安全保护措施。包括身份登记和识别确认;记录用户帐号、主叫号码和网络地址;系统运行和用户使用日志记录保存六十日以上(见条例第十三条第一款)。
二是对第二级以上计算机信息系统的安全保护措施作了更严格的规定。包括系统重要部分的冗余、重要数据备份;计算机病毒防治;网络攻击防范和追踪;安全审计和预警等(见条例第十三条第二款)。
三是对互联网信息服务的提供者应当采取的安全保护措施作了特别的规定。包括确定信息审核人员;防治垃圾信息、违法信息;限制信息群发、匿名信息发送;按照国家规定,删除本网络中含有本条例第十九条内容的地址、目录或者关闭服务器,并保存有关记录等(见条例第十六条)。
四是根据国务院《互联网上网服务营业场所管理条例》的规定,条例对向社会公众提供互联网上网服务的网吧、宾馆等场所的经营单位应当采取的安全保护措施作了特别规定。包括安装并运行国家规定的安全管理系统;对上网人员进行实名登记;记录有关上网信息,登记内容和记录备份保存时间不得少于六十日,在保存期内不得修改或者删除等(见条例第十七条)。
四、关于禁止性行为的规定
当前,利用计算机信息系统进行违法犯罪活动情况比较严重,非法盗取他人帐号、密码,网络黑客攻击他人系统时有发生,计算机病毒、木马等破坏性程序大肆传播,淫秽、色情、暴力、诈骗信息屡禁不止,散布、传播谣言以及擅自公布他人信息等危害社会秩序、公共利益和他人合法权益的行为较为突出,已经成为人民群众十分关注的热点问题。为了保障计算机信息系统的正常运行,维护互联网上网秩序,营造洁净的网络空间,条例第十八条、第十九条对利用计算机信息系统实施的违法行为采取列举的方式,作出了禁止性规定,并设定了相应的法律责任。
五、关于法律责任
根据上位法的规定和我市实际,按照不与上位法抵触的原则,对一些违反条例的行为作了较为具体的处罚规定(见条例第二十六条至第三十一条)。
以上说明连同条例,请予审议。
关于《徐州市计算机信息系统安全保护条例》审议意见的报告
——2009年1月17日在省十一届人大常委会第七次会议上
省人大法制委员会
主任、各位副主任、秘书长、各位委员:
《徐州市计算机信息系统安全保护条例》已经徐州市十四届人大常委会第六次会议制定,现报省人大常委会批准。省人大常委会法制工作委员会在该条例通过前进行了初步审查,并征求了省政府法制办、省公安厅、省文化厅等有关部门以及部分省人大代表、立法专家的意见。省人大法制委员会于12月30日召开全体会议对该条例进行了审议,现将审议意见报告如下:
随着经济社会的迅速发展,计算机作为现代社会的高科技产物被广泛应用,但计算机信息系统的建设、应用和管理还不够规范,信息系统的安全问题日益突出。为了加强计算机信息系统的安全保护工作,维护国家安全、社会秩序和公共利益,徐州市根据国家的有关规定,结合本市实际,制定该条例是必要的。该条例对计算机信息系统的等级保护、安全管理制度、安全保护措施等方面作了明确规定,内容具体,可操作性较强。
该条例同宪法、法律、行政法规和本省的地方性法规不相抵触。建议本次会议审议后予以批准。
以上报告,请予审议。