江西省計算機信息系統安全保護辦法

（2004年9月7日江西省人民政府第25次常務會議審議通過 2004年9月23日江西省人民政府令第135號公布 自2004年11月1日起施行）

第一條 為了保護計算機信息系統的安全，促進計算機的套用和發展，維護國家利益和社會公共利益，根據《中華人民共和國計算機信息系統安全保護條例》等有關規定，結合本省實際，制定本辦法。

第二條 本辦法所稱的計算機信息系統，是指由計算機及其相關的和配套的設備、設施（含網路）構成的，按照一定的套用目標和規則對信息進行採集、加工、存儲、傳輸、檢索等處理的人機系統。

第三條 本省行政區域內的計算機信息系統的安全保護，適用本辦法。

未聯網的微型計算機的安全保護辦法，按國家有關規定執行。

第四條 計算機信息系統的安全保護工作，重點維護下列涉及國家事務、經濟建設、國防建設、尖端科學技術等重要領域、重點單位的計算機信息系統的安全：

（一）縣級以上國家機關、國防單位；

（二）銀行、保險、證券等金融領域；

（三）郵政、電信、廣播、電視領域；

（四）能源、交通領域；

（五）國家及省重點科研單位；

（六）重點網站；

（七）國家規定的其他重要領域、重點單位。

第五條 公安機關是計算機信息系統安全保護工作的主管部門，其主要職責是：

（一）宣傳計算機信息系統安全保護法律、法規、規章；

（二）監督、檢查、指導計算機信息系統安全保護工作；

（三）組織培訓計算機信息系統安全管理人員；

（四）查處危害計算機信息系統安全的違法犯罪案件；

（五）對重要領域、重點單位的計算機信息系統的建設工程進行安全指導；

（六）負責計算機病毒和其他有害數據的防治管理工作；

（七）監督、檢查計算機信息系統安全專用產品的銷售活動；

（八）依法應當履行的其他職責。

國家安全機關、國家保密機關和政府其他有關部門，在規定的職責範圍內做好計算機信息系統安全保護的有關工作。

第六條 計算機信息系統的建設和套用，應當遵守法律、法規和國家其他有關規定。

重要領域、重點單位新建的計算機信息系統，應當在系統建成後30日內由系統建設單位報同級人民政府公安機關備案。

第七條 計算機信息系統實行安全等級保護。安全等級的劃分標準和安全等級保護的具體辦法，按照國家有關規定執行。

第八條 計算機信息系統國際聯網實行備案制度。

使用計算機信息網路國際聯網的公民、法人和其他組織，在接入單位辦理入網手續時應當填寫用戶備案表。接入單位應當自網路正式聯通之日起30日內，到省公安機關指定的受理單位辦理備案手續，並定期報告本網路中用戶的變更情況。

第九條 重要領域、重點單位的計算機信息系統使用單位應當建立計算機信息系統安全管理組織，指定安全管理人員。

安全管理組織及安全管理人員負責對計算機信息系統運行情況和運行環境進行檢查，編制運行日誌，及時消除安全隱患，對可能遭受的侵害和破壞制定應急處置預案。

安全管理人員應當參加公安機關組織的計算機信息系統安全知識培訓。

第十條 重要領域、重點單位的計算機信息系統使用單位應當建立下列安全保護管理制度：

（一）計算機機房安全管理制度；

（二）信息發布審核、登記制度；

（三）信息監視、保存、清除和備份制度；

（四）病毒檢測和網路安全漏洞檢測制度；

（五）賬號使用登記和操作許可權管理制度；

（六）安全教育和培訓制度；

（七）違法案件報告和協助查處制度；

（八）其他與安全保護相關的管理制度。

第十一條 重要領域、重點單位的計算機信息系統使用單位應當落實下列安全保護技術措施：

（一）60日以上系統網路運行日誌和用戶使用日誌記錄保存措施；

（二）安全審計和預警措施；

（三）垃圾郵件清理措施；

（四）身份登記和識別確認措施；

（五）計算機病毒防治措施；

（六）信息群發限制和有害數據防治措施；

（七）國家規定的其他安全技術措施。

第十二條 網際網路上網服務營業場所經營單位在開業前，必須依法經縣級以上人民政府公安機關對信息網路安全予以審核合格，並依法取得有關部門頒發的證照。

網際網路上網服務營業場所經營單位應當依法履行計算機信息系統安全保護義務，不得擅自停止實施安全技術措施。

第十三條 任何單位和個人不得利用國際聯網從事下列危害計算機信息網路安全的活動：

（一）製作、複製、發布、傳播有害信息；

（二）未經允許，對計算機信息網路功能進行刪除、修改或者增加；

（三）未經允許，對計算機信息網路中存儲、處理或者傳輸的數據和應用程式進行刪除、修改或者增加；

（四）故意製作、傳播計算機病毒等破壞性程式；

（五）危害計算機信息網路安全的其他行為。

第十四條 設區市以上人民政府公安機關應當在網站或者其他媒體上及時發布計算機病毒疫情預報。

其他任何單位和個人不得以任何方式發布計算機病毒疫情。

第十五條 對計算機信息系統中發生的違法案件，使用單位發現後應當迅速採取措施，保護現場和相關資料，並在24小時內向縣級以上人民政府公安機關報告。公安機關接到報告後應當立即採取措施進行處置。涉及國家安全的，由國家安全機關依法進行處置。

對計算機信息系統中發生的違法案件和重大安全事故的有關情況，縣級以上人民政府公安機關應當及時向使用單位通報。

第十六條 公安機關應當對計算機信息系統進行不定期安全檢查，發現安全隱患時，應當及時向使用單位發出《計算機信息系統安全隱患整改通知書》，並提出改進意見，指導、督促使用單位限期整改，消除隱患。

第十七條 公安機關為保護計算機信息系統安全，在下列緊急情況下，可以採取24小時內暫時停機、暫停聯網、備份數據等措施，有關單位和個人應當如實提供有關信息和資料，並提供相關技術支持和必要的協助：

（一）計算機信息系統遭惡意攻擊導致系統癱瘓的；

（二）計算機信息系統遭病毒感染導致系統癱瘓的；

（三）通過計算機信息系統向外大量傳送有害信息的；

（四）在對計算機信息系統中發生的案件進行偵察過程中，證據可能滅失或者以後難以取得的；

（五）其他應當採取緊急措施的情況。

縣級以上人民政府公安機關採取前款規定的緊急措施前，應當報經本機關主要負責人批准。

第十八條 計算機信息系統安全專用產品生產者在其產品進入市場銷售之前，應當依法取得公安部頒發的《計算機信息系統安全專用產品銷售許可證》，並在其產品的固定位置標明“銷售許可”標記。

任何單位和個人不得銷售無“銷售許可”標記的安全專用產品。

從事計算機信息系統安全專用產品經營的，應當在開業後30日內報設區市以上人民政府公安機關備案。

第十九條 設區市以上人民政府公安機關負責計算機信息系統安全專用產品銷售許可證的監督檢查工作，對銷售計算機信息系統安全專用產品的單位和個人，可以採取驗證檢查和抽樣檢測等監督措施。

對商用密碼的管理，按照國務院《商用密碼管理條例》的規定執行。

第二十條 重要領域、重點單位新建的計算機信息系統未在規定期限內備案的，由公安機關責令限期改正；逾期不改正的，處以1000元以下罰款。

第二十一條 重要領域、重點單位的計算機信息系統使用單位違反本辦法第九條規定的，由公安機關責令限期整改；逾期不整改的，公安機關可以處以6個月以內停機整頓。

第二十二條 重要領域、重點單位的計算機信息系統使用單位違反本辦法第十條、第十一條規定的，由公安機關責令限期改正，給予警告；逾期不改正的，對單位直接負責的主管人員和其他直接責任人員可以並處5000元以下罰款，對單位可以並處15000元以下罰款；情節嚴重的，可以並處6個月以內停止聯網、停機整頓。

第二十三條 利用國際聯網從事本辦法第十三條所列活動的，由公安機關給予警告，有違法所得的，沒收違法所得，對個人可以並處5000元以下罰款，對單位可以並處15000元以下罰款；情節嚴重的，可以並處6個月以內停止聯網、停機整頓；違反治安管理規定的，依法予以治安處罰；構成犯罪的，依法追究刑事責任。

第二十四條 計算機信息系統安全專用產品經營者銷售無“銷售許可”標記的安全專用產品，或者未按照本辦法的要求在規定期限內辦理備案手續的，由公安機關責令限期改正；逾期不改正的，處以1000元以上5000元以下罰款。

第二十五條 違反本辦法規定的其他行為，國家另有處罰規定的，從其規定。

第二十六條 公安人員在計算機信息系統安全保護工作中，利用職權索取、收受賄賂或者有其他違法、失職行為，構成犯罪的，依法追究刑事責任；尚不構成犯罪的，依法給予行政處分。

第二十七條 本辦法下列用語的含義為：

計算機病毒，是指編制或者在電腦程式中插入的破壞計算機功能或者毀壞數據，影響計算機使用，並能自我複製的一組計算機指令或者程式代碼。

有害數據，是指計算機信息系統及其存儲介質中存在、出現的，危害計算機信息系統安全運行和功能發揮的程式，或者對國家安全和社會公共安全構成危害或者潛在威脅的信息。

接入單位，是指負責接入國際聯網的計算機信息網路運行單位。

計算機信息系統安全專用產品，是指用於保護計算機信息系統安全的專用硬體和軟體產品。

第二十八條 軍隊的計算機信息系統安全保護工作，按照軍隊的有關法規執行。

第二十九條 計算機信息系統的保密管理，依照國家和省的有關規定執行。

第三十條 本辦法自2004年11月1日起施行。

《江西省人民政府關於廢止7件和修改5件省政府規章的決定》經2022年7月1日第94次省政府常務會議審議通過，於2022年7月8日公布，對《江西省計算機信息系統安全保護辦法》部分條款予以修改，自公布之日起施行。

1. 將第六條第二款修改為：“重要領域、重點單位新建的計算機信息系統，應當按照有關規定在投入運行後30日內由其運營、使用單位報所在地設區的市級以上人民政府公安機關備案。”

2. 將第八條第二款中的“定期”修改為“及時”。

3. 將第十一條第一項修改為：“採取監測、記錄網路運行狀態、網路安全事件的技術措施，並按照規定留存6個月以上系統網路運行日誌和用戶使用日誌記錄；”

4. 將第十二條第一款修改為：“網際網路上網服務營業場所經營單位在完成籌建後，應當向同級人民政府公安機關承諾符合信息網路安全審核條件，並經公安機關確認當場簽署承諾書。網際網路上網服務營業場所經營單位還應當依法取得有關部門頒發的證照。”

5. 將第十三條修改為：“任何單位和個人不得利用國際聯網從事下列危害計算機信息網路安全的活動：

“（一）製作、複製、查閱、傳播有害信息；

“（二）未經允許，對計算機信息網路功能進行刪除、修改或者增加；

“（三）未經允許，對計算機信息網路中存儲、處理或者傳輸的數據和應用程式進行刪除、修改或者增加；

“（四）故意製作、傳播計算機病毒等破壞性程式；

“（五）未經允許，進入計算機信息網路或者使用計算機信息網路資源；

“（六）未經允許，對計算機網路功能進行刪除、修改或者增加；

“（七）危害計算機信息網路安全的其他行為。”

6. 將第十四條修改為：“設區的市級以上人民政府公安機關應當依法在網站或者其他媒體上及時發布計算機病毒疫情預報。”

7. 將第二十條修改為：“重要領域、重點單位新建的計算機信息系統未在規定期限內備案的,由公安機關責令限期改正,並按有關規定進行處理。”

8. 增加一條，作為第二十一條：“公安機關應當自網際網路上網服務營業場所經營單位正式開展經營活動20個工作日內，對其依法履行信息網路安全職責情況進行實地檢查。檢查發現網際網路上網服務營業場所經營單位未履行承諾的信息網路安全責任的，由公安機關給予警告，可以並處15000元以下罰款；情節嚴重的，責令停業整頓，直至由文化和旅遊主管部門吊銷《網路文化經營許可證》。”

9. 將第二十三條改為第二十二條，修改為：“利用國際聯網從事本辦法第十三條所列活動的，由公安機關給予警告，有違法所得的，沒收違法所得，對個人可以並處5000元以下罰款，對單位可以並處15000元以下罰款；情節嚴重的，可以並處6個月以內停止聯網、停機整頓，必要時可以建議原發證、審批機構吊銷經營許可證或者取消聯網資格；違反治安管理規定的，依法予以治安處罰；構成犯罪的，依法追究刑事責任。”

10. 將第二十六條改為第二十四條，將其中的“行政處分”修改為“處分”。

11. 刪除第二十一條、第二十二條、第二十四條。