贵阳市计算机信息网络安全保护管理办法
贵阳市人民政府令
第5号
《贵阳市计算机信息网络安全保护管理办法》已经2012年5月21日市人民政府常务会议通过,现予公布,自2012年7月1日起施行。
市长 李再勇
二○一二年五月二十五日
__________________________________
第一章 总则
第一条 为加强计算机信息网络安全保护管理,促进信息化建设健康发展,维护合法权益、公共利益和社会稳定,根据《中华人民共和国计算机信息系统安全保护条例》等法律、法规,结合本市实际,制定本办法。
第二条 本市行政区域管理权限范围内的计算机信息网络安全保护管理活动,适用本办法。
涉及国家秘密的计算机信息系统按照有关保密法律、法规的规定执行。
第三条 计算机信息网络安全坚持“保护与管理并重”和“谁主管、谁负责与谁运营、谁负责”的原则。
第四条 市、区(市、县)人民政府应当加强计算机信息网络安全保护管理工作的领导,将该项工作纳入本级人民政府社会管理综合治理和年度目标考核。
第五条 市公安机关负责全市计算机信息网络安全保护管理工作,其所属的网络安全保卫部门具体负责计算机信息网络安全保护管理的日常工作。
区、县(市)公安机关按照职责权限负责本辖区范围内的计算机信息网络安全保护管理工作。
国家安全机关和保密、密码、工商、文化广播电影电视、工业和信息、监察及其他有关行政主管部门,按照各自职责,做好计算机信息网络安全保护管理的相关工作。
计算机信息网络运营、使用单位,应当按规定做好计算机信息网络安全保护管理的相关工作。
第二章 监督管理职责
第六条 公安机关在计算机信息网络安全保护管理工作中履行下列职责:
(一)指导、监督、检查计算机信息网络运营、使用单位建立并落实各项安全保护制度和安全保护技术措施;
(二)指导、监督、检查计算机信息网络中的公共信息服务、信息安全等级保护和计算机信息网络安全服务机构的安全测评等工作,发现公共信息中含有本办法第二十四条所列信息的,应当通知计算机信息网络运营、服务单位予以删除,必要时依法中止对发送者的网络服务;
(三)办理有关计算机信息网络的备案手续;
(四)负责受理危害计算机信息网络安全事件、案件的报告、举报,勘查现场并收集相关证据,依法查处违反计算机信息网络安全管理的违法行为;
(五)指导或者组织计算机信息网络运营、使用单位从事计算机信息网络安全保护工作的人员进行计算机信息网络安全培训;
(六)负责计算机病毒防治管理工作;
(七)发生计算机信息网络重大突发事件,危及国家安全、发生公共安全、社会稳定及重要计算机信息网络安全等紧急情况时,按照法定程序报批后,要求相关单位采取相应的紧急控制措施;
(八)法律、法规、规章规定的其他职责。
第七条 国家安全机关负责计算机信息网络国家安全事项管理工作,依法查处利用计算机信息网络危害国家安全的违法行为。
第八条 保密行政管理部门依法对有关计算机信息网络保守国家秘密工作实施监督管理。
第九条 密码管理部门应当加强对计算机信息系统内密码产品使用单位的监督、检查和指导,定期对计算机信息系统安全等级保护工作中密码配备、使用和管理的情况进行检查和测评,并对密码产品使用单位的操作和管理人员进行培训。
密码管理部门在监督检查过程中发现存在安全隐患、违反密码管理规定或者未达到密码标准要求的,应当按照密码管理的相关规定进行处理。
第十条 计算机信息网络运营、使用单位应当履行下列职责:
(一)负责本单位计算机信息网络安全保护管理工作,建立健全安全保护管理制度,落实安全保护技术措施,保障本单位网络运行安全和信息安全;
(二)负责对本网络相关用户的安全教育培训;
(三)发现公共信息中含有危害信息网络安全、有害数据或者利用网络实施违法行为,应当立即停止传输违法内容,保留有关原始记录,在24小时内向所在地公安机关报告;
(四)协助、配合公安机关、国家安全机关等部门依法查处违法行为;
(五)如实向公安机关、国家安全机关及其他有关部门提供计算机信息系统安全保护的信息资料、互联网基础数据及其他数据文件;
(六)法律、法规、规章规定的其他职责。
第三章 安全保护
第十一条 计算机信息系统实行安全等级保护制度。
计算机信息系统的安全保护等级分为五个等级,其确定的原则、标准、各级别安全保护及管理内容按照国家有关规定执行。
涉密信息系统应当根据国家信息安全等级保护的基本要求,按照有关规定和技术标准,结合系统实际情况进行保护。
第十二条 计算机信息网络的运营、使用单位应当按照国家有关管理规范和技术标准确定计算机信息系统的安全保护等级。
新建、改建、扩建的计算机信息系统,其运营、使用单位应当在规划、设计阶段确定计算机信息系统的安全保护等级,并同步建设符合该安全保护等级要求的信息安全设施,落实安全保护措施。
计算机信息系统的规划、建设、运营和使用单位在计算机信息系统安全保护设施的规划、建设中,应当使用符合国家规定并满足计算机信息系统安全保护需求的信息安全产品。
第十三条 第二级及第二级以上计算机信息网络的运营、使用单位,应当按照下列规定到市公安机关网络安全保卫部门申请办理定级备案手续:
(一)新建计算机信息网络的,自投入运行之日起30日内;
(二)已运行计算机信息网络的,自本办法施行之日起30日内;
(三)计算机信息网络的结构、处理流程、服务内容等发生变更的,自变更之日起30日内。
第十四条 计算机信息网络运营、使用单位应当建立健全并落实以下安全保护管理制度:
(一)计算机机房安全管理制度;
(二)安全责任制度和保密制度;
(三)核实、登记并及时更新用户注册信息制度;
(四)账号使用登记和操作权限管理制度;
(五)安全管理人员岗位工作职责;
(六)重要设备、介质管理制度;
(七)信息发布审核、登记、保存、清除和备份制度;
(八)信息网络安全教育和培训制度;
(九)信息网络安全应急处置制度;
(十)案件、事件报告和协助查处制度;
(十一)应当建立并落实的其他安全保护制度。
第十五条 计算机信息网络运营、使用单位应当严格按照《互联网安全保护技术措施规定》和其他有关法律、法规、规章的规定实施安全保护技术措施。
第十六条 计算机信息网络运营、使用单位应当加强对计算机信息网络安全状况的日常检测工作,按照国家有关管理规范和技术标准定期对计算机信息网络进行等级测评和对其安全状况进行自查,经测评、自查,对不符合要求的,应当及时整改。
第十七条 计算机信息网络运营、使用单位应当制定计算机信息系统重大突发事件应急处置预案。
计算机信息网络发生重大突发事件时,其运营、使用单位应当按照应急处置预案的要求及时处理,并服从公安机关和指定的其他有关部门的调度。
违反国家保密规定泄露或者可能泄露国家秘密的,应当立即采取措施并报告有关机关、单位,有关机关、单位应当立即作出处理,向所在地国家安全机关或者保密行政管理部门报告,并保留有关原始记录。
第十八条 互联网服务提供者、联网使用单位,应当自网络联通之日起30日内,网络已经联通的自本办法施行之日起30日内,到市公安机关网络安全保卫部门申请办理备案手续。
互联网服务提供者应当登记用户的真实资料。用户资料发生变更的,应当自变更之日起30日内,到原备案的公安机关网络安全保卫部门申请办理备案变更手续。
第十九条 互联网信息服务单位应当建立健全信息审核制度,明确信息审核人员,发现属于本办法第二十四条规定信息的,应当立即删除违法内容,保存有关原始记录,并向所在地公安机关、国家安全机关报告,涉及其他部门的向有关行政主管部门报告。
提供电子公告、网络游戏和其他即时通信服务的,其计算机信息网络应当使用固定的互联网网络地址,如实记录并留存用户注册信息。
第二十条 使用内部网络地址与互联网网络地址转换方式接入互联网的联网使用单位,应当记录并留存用户上网终端硬件地址等信息与内部网络地址和互联网网络地址的对应关系,并留存60日以上。
第二十一条 依法设立互联网上网服务营业场所的单位,应当严格执行《互联网上网服务营业场所管理条例》的相关规定,定期将其网络安全状况及相关资料报送有管理权限的公安机关网络安全保卫部门备案。
第二十二条 非经营性互联网上网服务提供单位,应当遵守下列规定:
(一)提供互联网上网服务之日起15日内,已经提供互联网上网服务的自本办法施行之日起15日内,到所在地公安机关网络安全保卫部门申请办理备案手续;
(二)其法定代表人、场所、网络地址等发生变更的,自上述情形变更之日起15日内,到原备案的公安机关申请办理备案变更手续;
(三)安装、运行符合国家标准的安全保护技术设施,与公安机关信息管理平台联网,并保证其在线正常运行;
(四)提供无线方式接入服务的互联网上网服务场所,应当记录并留存用户信息及对应的上网终端硬件地址等信息。
第二十三条 计算机信息网络安全服务机构应当依法设立。拟在本市从事相关业务活动的应当在开展业务活动之前30日内,已经开展业务活动的自本办法施行之日起30日内,到市公安机关网络安全保卫部门申请办理备案手续。
计算机信息网络安全服务机构及其工作人员应当遵守下列规定:
(一)按照有关法律、法规的规定和信息安全技术标准提供服务;
(二)在进行服务过程中,不得泄露所获悉的国家秘密、商业秘密和计算机信息系统的技术秘密;
(三)不得非法占有、使用用户的信息资源;
(四)不得在计算机信息系统中设置隐蔽信道。
第二十四条 任何单位或者个人不得利用计算机信息网络制作、发布、传播含有下列内容的信息:
(一)反对宪法规定的基本原则的;
(二)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;
(三)损害国家荣誉、利益和公共利益的;
(四)煽动民族仇恨、民族歧视,破坏民族团结,或者侵害民族风俗习惯的;
(五)破坏国家宗教政策,宣扬邪教、封建迷信的;
(六)散布谣言,扰乱社会秩序,破坏社会稳定的;
(七)鼓动公众恶意评论他人、公开发布他人隐私或者通过暗示、影射等方式对他人进行人身攻击的;
(八)公然侮辱他人或者捏造事实诽谤他人的;
(九)以非法社团名义活动的;
(十)买卖法律、法规禁止流通的物品的;
(十一)非法买卖法律、法规限制流通的物品对公共安全构成威胁的;
(十二)含有淫秽、色情、赌博、暴力、欺诈、恐怖等内容,或者教唆犯罪、传授犯罪方法的;
(十三)法律、法规、规章禁止的其他信息内容。
第二十五条 任何单位或者个人不得从事下列危害计算机信息网络安全和秩序的活动:
(一)未经允许,进入计算机信息系统或者非法占有、使用、窃取计算机信息系统资源;
(二)未经允许,对计算机信息系统功能进行删除、修改、增加或者干扰;
(三)未经允许,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改或者增加;
(四)破坏计算机信息网络运行环境、设施设备;
(五)窃取、盗用、篡改、破坏他人网络资源;
(六)故意制作、传播、使用计算机病毒、恶意软件等破坏性程序,或者制作、发布、复制、传播含破坏性程序或者其机理、源程序的信息;
(七)故意阻塞、阻碍、中断计算机信息网络的信息传输,恶意占用网络资源;
(八)利用计算机信息网络违背他人意愿、冒用他人名义发布信息;
(九)明知本单位或者本人的计算机信息网络的网络地址、主机空间等资源已被他人利用,从事可能危害计算机信息网络安全的活动而不予制止;
(十)擅自利用计算机信息网络收集、使用、提供、买卖他人专有信息;
(十一)其他危害计算机信息网络安全和秩序的行为。
第四章 罚则
第二十六条 国家机关、国有企业、事业单位的主要负责人违反本办法规定,造成严重后果的,依照相关规定给予行政处分。
公安机关及其他部门的工作人员违反本办法规定,玩忽职守、滥用职权或者徇私舞弊的,由其所在单位或者上级主管部门、监察机关按照相关规定予以处理。
第二十七条 违反本办法规定,有下列情形之一的,由公安机关在管理权限范围内给予警告,责令其限期改正;逾期不改正的,依法给予6个月以内停机整顿:
(一)未建立计算机信息系统安全保护等级的;
(二)不办理备案手续或者变更备案手续的;
(三)不在规定时间报告计算机信息系统中发生重大安全事故的;
(四)计算机信息系统安全保护设施不按照国家信息安全等级保护管理规范和技术标准进行规划、建设的。
第二十八条 违反本办法规定,有下列情形之一的,由公安机关在管理权限范围内给予警告,责令其限期改正;逾期不改正的,对非经营性质的单位处500元以上1000元以下罚款,对经营性质的单位处1000元以上1万元以下罚款:
(一)不按国家有关规定对计算机信息系统进行等级测评和对其安全状况进行自查,或者经测评和自查不符合要求又不及时整改的;
(二)有关部门对危害计算机信息网络安全和涉嫌违法行为依法进行调查时,不如实提供有关信息资料、互联网基础数据及其他数据文件的;
(三)未制定计算机信息系统重大突发事件应急处理预案,或者发生重大突发事件时不及时处理并不服从有关部门调度的。
第二十九条 违反本办法规定,未建立并落实计算机信息网络安全保护管理制度,或者未落实安全技术保护措施的,由公安机关在管理权限范围内按照《计算机信息网络国际联网安全保护管理办法》第二十一条的规定予以处罚。
第三十条 互联网上网服务营业场所的经营单位违反相关管理规定,按照《互联网上网服务营业场所管理条例》的相关规定予以处罚。
第三十一条 经依法取得营业执照的互联网上网服务营业场所,无正当理由超过法定期限未开业或者开业后自行停业符合法定吊销、注销营业执照条件的,由该营业场所所在地有管理权限的工商行政管理登记机关依法吊销、注销其营业执照。
第三十二条 单位或者个人违反本办法第二十四条、第二十五条规定情形之一的,由公安机关在管理权限范围内按照《中华人民共和国治安管理处罚法》、《计算机信息网络国际联网安全保护管理办法》的规定和其他有关规定予以处罚。
第三十三条 违反本办法规定,其他法律、法规、规章有行政处罚规定的,依法处理。
第三十四条 对于本市无管理权限的违法行为,报请有管理权限的上级有关部门依法处理。
第五章 附则
第三十五条 本办法中下列用语的含义:
(一)“计算机信息网络”,是指由计算机及其相关配套设施设备构成的,按照一定应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统,包括未接入互联网的计算机信息系统(含局域网)和接入(含无线方式接入)互联网的计算机信息系统;
(二)“计算机信息网络安全”,包括计算机信息网络的运行安全和信息内容安全;
(三)“计算机信息网络运营、使用单位”,是指与计算机信息系统发生联系的所有经营者、使用者,包括互联网接入服务单位、互联网数据中心服务单位、互联网信息服务单位、互联网上网服务单位、联网使用(含无线方式接入)单位、未接入互联网的计算机信息系统(含局域网方式)使用单位等;
(四)“重大突发事件”,是指有害信息大范围传播、大规模网络攻击、计算机病毒疫情等危害计算机信息网络安全的重大事件;
(五)“互联网服务提供者”,是指向用户提供互联网接入服务、互联网数据中心服务、互联网信息服务和互联网上网服务的单位;
(六)“联网使用单位”,是指为本单位应用需要连接并使用互联网的单位;
(七)“互联网数据中心服务单位”,是指提供主机托管、租赁和虚拟空间租用等服务的单位;
(八)“计算机信息网络安全服务机构”,是指从事计算机信息网络安全设计、建设、检测、维护、监理、咨询、培训、测评等业务的单位;
(九)“电子公告服务”,是指在互联网上以论坛、聊天室、留言板、博客、微博等交互形式为上网用户提供信息发布条件的行为。
第三十六条 本办法自2012年7月1日起施行。