廈門市計算機信息系統安全保護暫行辦法

第一章　總則

第一條　為促進計算機的套用和發展，加強計算機信息系統安全保護，保障廈門市信息港建設的順利進行，根據《中華人民共和國計算機信息系統安全保護條例》等有關法律、法規，結合本市實際，制定本辦法。

第二條　本市區域內計算機信息系統的安全保護，適用本辦法。

第三條　本辦法所稱計算機信息系統，是指由計算機及其相關的和配套的設備、設施（網路）構成的，按照一定的套用目標和規則對信息進行採集、加工、存儲、傳輸、檢索等處理的人機系統。

第四條　計算機信息系統的安全保護，應當保障計算機及其相關的和配套的設備、設施（含網路）的安全，保障計算機信息系統運行環境的安全，保障計算機信息的安全，保障計算機功能的正常發揮，以維護計算機信息系統的安全運行。

第五條　計算機信息系統的安全保護工作，重點維護下列涉及國家事務、經濟建設、尖端科學技術等重要領域和單位（以下稱重要行業、重點單位）的計算機信息系統的安全∶

一存儲、處理、傳輸公用信息和國家秘密的計算機信息系統；

二金融、證券和公用事業單位的計算機信息系統；

三從事國際聯網的網際網路、接入網路的計算機信息系統。

第六條　公安機關主管本市計算機信息系統安全保護工作，主要職責是：

一監督、檢查、指導計算機信息系統安全保護工作；

二防範、查處危害計算機信息系統安全的違法犯罪案件；

三監督、檢查重要行業、重點單位計算機機房的新建、改建、擴建的安全保護工作；

四負責國際聯網的安全管理和用戶備案登記工作；

五負責計算機信息系統安全知識的宣傳教育工作；

六監督、管理計算機病毒疫情的發布和有害數據的防治工作；

七履行計算機信息系統安全保護的其他職責。

國家安全、保密等有關行政部門在各自職責範圍內負責計算機信息系統安全保護的有關工作。

第七條　任何單位和個人不得利用計算機信息系統從事危害國家利益、集體利益和公民合法利益的活動，不得危害計算機信息系統的安全。

第二章　安全保護制度

第八條　計算機信息系統套用單位應建立人員管理、機房管理、設備管理（含網路設備）、數據管理、磁介質管理、輸入輸出控制管理和安全監督等制度，健全計算機信息系統安全保障體系，做好本單位的計算機信息系統安全保護工作。

第九條　計算機信息系統套用單位應配備計算機信息系統安全技術人員。安全技術人員應履行下列職責：

一嚴格執行計算機信息系統安全管理制度；

二對計算機信息系統安全運行情況進行檢查，及時查處不安全因素，排除安全隱患；

三編制違章報告、運行日誌和其他與計算機信息系統安全有關的材料；

四定期檢查系統運行環境，防止對系統的非法操作；

五發生計算機信息系統安全事故和計算機違法犯罪案件時，立即向單位領導報告，並保護現場。

第十條　重要行業、重點單位的計算機信息系統套用單位應當建立計算機信息系統安全管理組織，並報公安機關備案。安全管理組織應履行下列職責：

一制定並落實計算機信息系統安全管理制度；

二對計算機信息系統從業人員進行安全教育；

三定期組織安全檢查和安全稽核；

四協助公安機關查處計算機違法犯罪案件。

第十一條　重要行業、重點單位的計算機信息系統套用單位的安全技術人員應當經過公安機關認可的安全知識培訓，考核合格後持證上崗。

第十二條　重要行業、重點單位的計算機信息系統套用單位應制定災難恢復計畫，並確定實施方案。

重要行業、重點單位的計算機信息系統套用單位應建立計算機信息系統安全審計制度，對數據安全規程和措施是否適合現有安全策略進行檢查，並確保落實。

第十三條　涉及國家秘密的計算機信息及計算機信息系統的管理，按照國家有關規定執行。

對涉及國家秘密信息的計算機信息系統工作人員，應進行政審、考核、保密知識培訓，並依國家有關規定進行管理。

第十四條　運輸、攜帶、郵寄計算機信息媒體進出境的，應如實向海關申報。

第十五條　計算機信息系統安全專用產品經銷單位應當銷售經檢測合格的產品。進入本市銷售的計算機信息系統安全專用產品，應按規定經公安機關認證，方可銷售。

前款所稱計算機信息系統安全專用產品，是指用於保護計算機信息系統安全的專用硬體、軟體和網路產品。

公安機關應當定期發布通告，公布合格的計算機信息系統安全專用產品目錄。

第十六條　計算機信息系統套用單位發現計算機信息系統中發生安全事故和計算機違法犯罪案件時，應在24小時內向公安機關報告，但發生重大安全事故和案件應當立即報告。

第十七條　計算機信息系統發生突發性事件或安全隱患可能危及公共安全時，公安機關有權採取暫停聯網、停機檢查等應急措施，但應事先協同有關套用單位做好安全保護工作。

第三章　安全檢測

第十八條　計算機機房應符合國家標準和國家有關規定。

計算機機房附近的設施或在計算機機房附近施工，不得危害計算機信息系統的安全。

第十九條　計算機機房的設計、施工單位應具備相應的計算機機房設計、施工技術能力。

計算機機房防雷工程的設計、施工單位，應持有關部門核發的防雷工程設計、安裝資質證書。計算機機房消防設施的設計、施工按國家有關消防法律、法規執行。

第二十條　重要行業、重點單位計算機機房的新建、擴建、改建的設計方案應由建設單位報公安機關對其安全性能進行審核。計算機機房竣工後，應由建設單位報公安機關組織檢測，確定安全等級，發給計算機機房安全等級證書。

公安機關應當自收到審核或檢測申請之日起15日內作出審核或檢測結論。

第二十一條　公安機關應會同有關部門對重要行業、重點單位的計算機信息系統安全保障體系按有關規定和標準組織檢查。檢查內容包括：

一系統安全管理制度；

二計算機信息系統實體的安全；

三計算機網路通訊和數據傳輸的安全；

四計算機軟體和資料庫的安全；

五計算機信息系統安全審計狀況和災難恢復計畫執行情況。

第二十二條　重要行業、重點單位的計算機信息系統安全保障體系技術項目的檢測，被檢測單位應將檢測報告報公安機關審核。

第二十三條　重要行業、重點單位的計算機信息系統套用單位進行計算機信息系統設備更新或改造時，對安全保障體系產生直接影響的，應當報公安機關備案，公安機關應會同有關部門對受影響的部分組織檢查，確保計算機信息系統達到最低安全要求。

第二十四條　公安機關發現計算機信息系統套用單位計算機信息系統安全保障體系存在安全隱患時，可組織檢測。經檢測發現確有安全問題的，由公安機關責令其限期改正。

第二十五條　計算機信息系統法定檢測單位應當嚴格執行國家標準和有關規定，確保出具的檢測報告真實、客觀、公正、完整，並不得泄露被檢測單位的商業秘密，不得影響被檢測單位生產、經營、科研等活動的正常進行。

第四章　有害數據管理

第二十六條　計算機信息系統套用單位應當建立信息安全管理制度，防止信息被非法增加、刪除、修改、複製。

計算機信息系統套用單位應當建立計算機信息系統數據備份制度，加強備份數據管理、更新。

第二十七條　計算機信息系統套用單位按有關規定發布的信息應當真實、完整、可靠。

第二十八條　任何單位和個人不得傳播、製造、出版、複製、銷售含有計算機病毒源程式及其他有害數據的媒體；不得製造、銷售反動、黃色、盜版的電子媒體；不得擅自公開舉辦有關計算機病毒機理的講座或培訓。

第二十九條　公安機關應預先發布計算機病毒疫情公告。其他任何單位和個人不得以任何方式發布計算機病毒疫情。

第三十條　計算機信息系統套用單位在有害數據管理工作中應履行下列職責：

一制定並落實專門的計算機病毒和其他有害數據管理制度；

二計算機硬體、軟體使用前，應進行計算機病毒和其他有害數據檢測；

三定期進行計算機病毒和其他有害數據檢測，及時清除計算機病毒和其他有害數據；

四發現不能清除的計算機病毒應採取保護措施，並在24小時內提取樣本報送公安機關；

五協助公安機關追查計算機病毒來源。

第三十一條　製造、銷售、出租、維修、商業性贈送計算機產品的單位和個人，應確保其產品經檢測合格，不得攜帶有計算機病毒和其他有害數據。

第五章　國際聯網管理

第三十二條　申請從事國際聯網經營活動或非經營活動，應當按國家有關規定辦理審批手續，並報公安機關備案。

涉及國家事務、經濟建設、尖端科學技術等重要領域的計算機信息系統擬與國際聯網，應報公安機關審批後方可聯網。

第三十三條　通過物理通信信道直接或間接與境外計算機信息系統進行聯網的計算機信息系統套用單位和個人，應在聯網開通、聯網方式變更、終止聯網之日起30日內，到公安機關辦理備案、變更或註銷手續。

第三十四條　涉及國家秘密的計算機信息系統不得與國際聯網，並應採取與國際聯網完全隔離的安全保密技術措施；涉及國家秘密的計算機信息不得與國際聯網存儲、傳輸、處理。

第三十五條　計算機信息系統套用單位開放計算機信息網路電子公告系統、新聞討論組等廣播式傳播媒體，應向公安機關備案，並履行下列安全保護職責：

一落實專人負責、24小時值班制度；

二建立用戶登記和信息管理制度；

三加強信息監測，發現有害數據應立即採取相應措施並及時向公安機關報告。

第三十六條　計算機信息系統套用單位利用公用帳號從事網際網路咖啡屋、網咖、網路俱樂部等開放式國際聯網經營活動，應履行下列安全保護職責：

一建立健全安全管理制度，落實安全保護技術措施；

二建立用戶登記和監督管理制度；

三勸阻、制止網上非法活動，並及時向公安機關報告。

第六章　罰則

第三十七條　違反本辦法規定，有下列行為之一的，由公安機關責令改正；拒不改正的，處以100元以上1000元以下的罰款：

一未配備計算機信息系統安全技術人員或重要行業、重點單位的計算機信息系統套用單位未建立計算機安全管理組織的；

二重要行業、重點單位的計算機信息系統安全技術人員未取得培訓合格證上崗工作的；

三未制定並落實專門的計算機病毒和其他有害數據管理制度的；

四對計算機信息系統中發生的安全事故和計算機違法犯罪案件未報告的。

第三十八條　違反本辦法規定，有下列行為之一的，由公安機關責令改正，給予警告，或對單位處以5000元以上10000元以下的罰款；對個人處以1000元以上5000元以下的罰款：

一擅自公開舉辦計算機病毒機理的講座、培訓或擅自向社會發布計算機病毒疫情的；

二製造、銷售、出租、維修、商業性贈送的計算機產品中攜帶有計算機病毒和其他有害數據的；

三傳播、製造、出版、複製、銷售含有計算機病毒源程式及其他有害數據的媒體危害計算機信息系統安全或製造、銷售反動、黃色、盜版的電子媒體的；

四重要行業、重點單位的計算機機房的設計方案未報公安機關進行安全性能審核或竣工後未報公安機關組織檢測以及經檢測不合格而擅自投入使用的；

五從事危害計算機信息系統安全施工的。

第三十九條　違反本辦法規定，有下列行為之一的，由公安機關給予警告，或對單位處以3000元以上15000元以下罰款；對個人處以1000元以上5000元以下的罰款；有違法所得的，除予以沒收外，可以處以違法所得1至3倍的罰款：

一故意輸入計算機病毒以及其他有害數據危害計算機信息系統安全的；

二未經認證銷售計算安全專用產品的。

第四十條　違反本辦法規定，有下列行為之一的，由公安機關給予警告、責令停止聯網，可並處15000元以下的罰款：

一與國際聯網未按規定到公安機關辦理審核或備案手續的；

二將涉及國家秘密的計算機信息系統與國際聯網的；

三將涉及國家秘密的計算機信息與國際聯網存儲、傳輸、處理的。

第四十一條　違反本辦法規定，有下列行為之一的，由公安機關責令限期改正，給予警告，有違法所得的沒收違法所得；在規定的期限內未改正的，對單位的主管負責人員和其他直接責任人員可並處1000元以上5000元以下的罰款，對單位可並處5000元以上15000元以下的罰款；情節嚴重的，並可給予6個月以內的停止聯網、停機整頓的處罰：

一國際聯網未建立保護管理制度或國際聯網未採取安全技術保護措施的；

二開放式國際聯網經營單位未建立用戶登記和信息管理制度的。

第四十二條　違反本辦法有關規定，情節嚴重構成犯罪的，依法追究刑事責任。

第四十三條　計算機信息系統法定檢測單位泄露被檢測單位商業秘密，應承擔賠償責任。

公安機關執法人員在執行本辦法過程中玩忽職守、索賄受賄、徇私舞弊、泄露管理相對人商業秘密，構成犯罪的，依法追究刑事責任；尚不構成犯罪的，給予行政處分。

第七章　附則

第四十四條　本辦法自發布之日起施行。

地方規章(類別)

根據《中華人民共和國行政許可法》規定，廈門市人民政府組織對現行有效的市政府規章進行了清理。經過清理，決定對下列市政府規章予以廢止、修改：

(十一)《廈門市計算機信息系統安全保護暫行辦法》(市政府令第82號公布)

1、刪除第十一條

2、第十五條修改為：“計算機信息系統安全專用產品的銷售，按國家規定實行許可證制度。”

3、刪除第二十條。

4、刪除第二十二條。

5、第三十二條第二款修改為：“涉及國家事務、經濟建設、尖端科學技術等重要領域的計算機信息系統擬與國際聯網，在向公安機關備案時應當出具其行政主管部門的審批證明。”

6、刪除第三十七條第（二）項。

7、刪除第三十八條第（四）項。

8、第三十九條修改為：“違反本辦法規定，故意輸入計算機病毒以及其他有害數據危害計算機信息系統安全的，由公安機關給予警告，或對單位處以3000元以上1、5萬元以下的罰款；對個人處以1000元以上5000元以下的罰款；有違法所得的，除予以沒收外，可以處以違法所得1至3倍的罰款。”