1998年7月17日深圳市人民政府令第75號發布,根據2004年8月26日深圳市人民政府令第135號修訂。
基本介紹
- 中文名:深圳經濟特區計算機信息系統公共安全管理規定
- 頒布時間:2004年08月26日
- 實施時間:2004年08月26日
- 頒布單位:深圳市人民政府
第一章 總則
第一條 為了保障深圳經濟特區(以下簡稱特區)計算機信息系統安全,維護計算機信息系統公共秩序,促進社會穩定,根據特區實際,制定本規定。
第二條 特區內下列計算機信息系統套用單位(以下簡稱計算機套用單位)的計算機信息系統公共安全管理(以下簡稱計算機安全管理),適用本規定:
(一)計算機信息網路經營、服務單位的計算機信息系統;
(二)國家機關用於存儲、處理、傳輸公用信息和機密資料的計算機信息系統;
(三)金融、證券和公共事業單位的計算機信息系統;
(四)國防建設、尖端科學技術和國家重點經濟建設單位的計算機信息系統;
(五)其他對社會公共利益有重大影響的計算機信息系統。
第三條 本規定所稱計算機信息系統,是指由計算機及其相關和配套的設備、設施(含網路)構成的,按照一定的套用目標和規則對信息進行採集、加工、存儲、傳輸、檢索等處理的人機系統。
第四條 深圳市人民政府公安機關是特區計算機安全管理工作的行政主管部門(以下簡稱市主管部門)。其所屬的計算機安全管理部門具體承擔本規定規定的計算機安全管理工作。
其他有關政府職能部門,在各自職責範圍內配合市主管部門,做好計算機安全管理的有關工作。
第五條 市主管部門應積極開展計算機信息系統安全宣傳教育和學術交流,指導計算機信息系統安全技術行業協會的活動;為計算機套用單位提供計算機信息系統安全保障體系技術服務。
第二章 計算機套用單位的安全管理
第六條 計算機套用單位應當建立和完善計算機信息系統安全保障體系。
計算機信息系統安全保障體系包括技術安全管理和安全組織管理。技術安全管理包括計算機信息系統實體安全、軟體安全、輸入輸出控制和網路安全的管理以及安全稽核、風險分析等內容;安全組織管理包括建立安全組織和健全各種安全管理制度及制定應急計畫等內容。
市主管部門應當監督、指導計算機套用單位建立和完善計算機信息系統安全保障體系。
第七條 市主管部門應當根據計算機套用單位的行業特點,會同市政府有關主管部門發布計算機安全管理行業技術規範,計算機套用單位的安全保障體系不得低於該行業技術規範的最低安全要求。
第八條 計算機套用單位應當確定計算機安全管理責任人。
安全管理責任人應當履行下列職責:
(一)組織宣傳計算機安全管理方面的法律、法規和有關政策;
(二)擬定並組織實施本單位計算機安全管理的各項規章制度;
(三)定期組織檢查計算機信息系統安全運行情況,及時排除各種安全隱患;
(四)負責組織安全稽核;
(五)負責組織本單位計算機從業人員的安全教育和培訓;
(六)發生安全事故或計算機犯罪案件時,立即向市主管部門報告並採取妥善措施,保護現場,避免危害的擴大。
本規定所稱的安全事故是指計算機信息系統中出現的因人為或自然因素造成的具有社會危害性的事件;所稱的計算機犯罪案件是指針對或利用計算機信息系統的犯罪案件。
第九條 計算機套用單位應當按照計算機安全管理行業技術規範要求,配備計算機安全技術人員。
計算機安全技術人員應履行下列職責:
(一)執行本單位計算機安全管理的各項規章制度;
(二)按照計算機安全管理行業技術規範要求對計算機信息系統安全運行情況進行檢查測試,及時排除各種安全隱患;
(三)發生安全事故或計算機犯罪案件時,應當立即向本單位安全管理責任人報告或直接向市主管部門報告,並採取妥善措施,保護現場,避免危害的擴大。
第十條 計算機套用單位使用的計算機信息系統安全專用產品必須符合國家有關技術規範或經過專業檢測機構檢測不低於本行業計算機安全管理技術規範中的最低安全要求。
前款所稱的計算機信息系統安全專用產品是指用於保護計算機信息系統安全的專用硬體和軟體產品。
市主管部門應當定期發布通告,公布合格的計算機信息系統安全專用產品目錄。
第十一條 計算機套用單位發現計算機信息系統中發生安全事故或計算機犯罪案件時,應當在24小時內向市主管部門報告。
第十二條 計算機信息系統發生突發性事件,可能危及公共安全時,市主管部門有權對計算機套用單位採取暫停聯網、停機檢查等應急措施。但應當事先協同計算機套用單位做好安全保護工作。
第三章 計算機信息系統安全檢測
第十三條 計算機信息系統安全保障體系檢測應包括以下內容:
(一)計算機安全管理責任人和安全技術人員;
(二)安全管理制度和安全稽核制度;
(三)計算機硬體性能和機房環境;
(五)技術安全措施;
(六)技術測試情況。
各行業計算機信息系統安全保障體系的安全要求,由市主管部門會同市有關行業主管部門制定後發布。
第十四條 專業檢測機構在檢測時應當保障計算機套用單位生產、教學、科研和經營等活動的正常進行,並保守其商業秘密。
計算機套用單位對專業檢測機構檢測結論有異議的,可要求市主管部門組織復檢。
第十五條 計算機套用單位對計算機信息系統進行設備更新或改造時,對安全保障體系產生直接影響的,應當由專業檢測機構對受影響的部分進行檢測,確保其不低於最低安全要求。
第十六條 市主管部門認為計算機套用單位存在安全隱患時,可委託專業檢測機構對其安全保障體系進行檢測。發現問題的,由市主管部門責令套用單位限期按照計算機安全管理行業技術規範要求進行改進。
第十七條 依本規定進行的計算機信息系統安全保障體系檢測、計算機信息系統安全專用產品最低安全要求檢測,由市主管部門核准的具有檢測資格的專業檢測機構承擔。
專業檢測機構應按照計算機安全管理行業技術規範進行檢測,其出具的檢測報告應真實、客觀、公正、完整。
計算機信息系統安全保障體系檢測報告副本由專業檢測機構報市主管部門備案。
第四章 計算機信息安全和有害數據管理
第十八條 計算機套用單位應當制訂信息安全管理制度,並對信息進行安全稽核,防止信息被非法增加、刪除、修改或複製。
第十九條 計算機套用單位管理和發布的信息應當具有真實性、完整性和可靠性。
第二十條 計算機套用單位應建立計算機信息系統數據備份制度,按照計算機安全管理行業技術規範要求對備份數據進行保存。
第二十一條 任何單位和個人認為計算機信息系統對其合法權益造成侵害的,可以向市主管部門或其他有關主管部門投訴。
市主管部門或其他有關主管部門認為投訴反映的問題可能損害公共安全的,應當進行調查核實;發現計算機套用單位存在安全隱患的,應當責令其改正。
第二十二條 任何單位和個人不得從事製造、故意傳播計算機病毒和其他有害數據的活動;不得舉辦有關計算機病毒機理的講座或培訓班。
教學單位在從事教學活動時,不得講授製造計算機病毒的方法。
第二十三條 市主管部門負責發布重大計算機病毒疫情。其他單位和個人不得以任何方式發布計算機病毒疫情。
第二十四條 計算機套用單位在有害數據管理工作中應當履行下列職責:
(一)制定並落實專門的計算機病毒和其他有害數據的管理制度;
(二)計算機軟、硬體使用前,應當進行計算機病毒和其他有害數據檢測;
(三)定期進行計算機病毒和其他有害數據檢測,發現計算機病毒和其他有害數據,應當及時清除;
(四)發現不能清除的計算機病毒,應當採取保護措施,並在24小時內取樣本報送市主管部門;
(五)協助市主管部門追查計算機病毒來源。
第二十五條 製造、銷售、出租、維修、商業性贈送各類計算機產品的單位或個人,其產品應經過檢測,不得攜帶有計算機病毒和其他有害數據。
第五章 計算機信息網路公共秩序管理
第二十六條 計算機信息網路經營單位申請從事國際聯網經營活動的,應當向有權受理從事國際聯網經營活動申請的互聯單位主管部門或主管單位申請領取國際聯網經營許可證;計算機信息網路服務單位申請從事國際聯網非經營活動的,應當報經有權受理從事非經營活動申請的互聯單位主管部門或主管單位審批。
凡通過物理通信信道與境外計算機信息系統進行聯網的計算機信息系統的使用者,在聯網開通、聯網方式變更或終止聯網之日起30日內,均應書面告知市主管部門,相應的計算機信息網路經營、服務單位應當予以協助。
第二十七條 計算機套用單位的計算機信息系統與國際聯網,必須採取有關行業技術規範規定的安全保護措施。
第二十八條 凡使用公用賬號進行計算機信息系統聯網的單位,均應建立公用賬號使用管理制度。
經營性開放式機房的管理單位應當建立使用者登記管理制度。
第二十九條 任何單位和個人,不得從事下列活動:
(一)利用計算機信息網路製作、傳播、複製有害信息;
(二)非法侵入計算機信息網路;
(三)違反國家規定,對計算機信息系統功能進行增加、刪除、修改、干擾,影響計算機信息系統正常運行;
(四)違反國家規定,對計算機信息系統中存儲、處理或者傳輸的數據和應用程式進行增加、刪除、修改、複製等;
(五)非法竊取計算機信息系統中的信息資源;
(六)未經授權查閱他人電子信箱;
(七)冒用他人名義傳送電子郵件;
(八)故意干擾計算機信息網路暢通;
(九)從事其它危害計算機信息系統安全的活動。
第三十條 計算機信息網路經營、服務單位應當負責本網路的信息安全和公共秩序安全,履行下列職責:
(一)制訂安全管理制度,對本網路用戶進行安全教育;
(二)落實安全技術措施,保障本網路的運行安全和其發布的信息安全;
(三)建立電子公告系統的信息審核制度,發現反動、黃色等有害信息,應當及時刪除;
(四)發現本規定第二十九條中各類情況時應當保留有關稽核記錄,並立即向市主管部門報告;
(五)配合市主管部門對網上違法活動的查處工作。
第三十一條 市主管部門應當對計算機信息網路的公共秩序狀況進行經常性監測,發現危害公共秩序的事件應及時處理,以維護計算機信息網路公共秩序的安全。
第六章 法律責任
第三十二條 違反本規定,有下列行為之一的,由市主管部門責令改正,並可處10000元以下罰款:
(一)計算機套用單位未按規定確定計算機安全責任人或配備計算機安全技術人員的;
(二)計算機套用單位發現本單位計算機信息系統中的安全事故或計算機犯罪案件,在24小時內未向市主管部門報告的;
(三)計算機套用單位使用不合格計算機信息系統安全專用產品的;
(四)計算機套用單位未建立計算機信息系統安全保障體系的;
(五)計算機信息系統經檢測未達到本行業計算機安全管理技術規範中的最低安全要求而擅自使用的;
(六)計算機套用單位未按規定進行計算機病毒和其他有害數據檢測,造成損害的;
(七)使用公用賬號進行計算機信息系統聯網的單位,未建立公用賬號使用管理制度的;
(八)經營性開放式機房的管理單位未建立使用者登記管理制度的;
(九)計算機信息網路經營、服務單位未建立電子公告系統信息審核制度的;
(十)計算機信息網路經營、服務單位發現本規定第二十九條中各類情況未保留有關稽核記錄,或未向市主管部門報告的。
第三十三條 計算機套用單位的安全責任人或安全技術人員不履行本規定規定的職責,造成安全事故或重大損害的,由市主管部門予以警告,並可建議其所在單位給予紀律或經濟處分;情節嚴重的,依法追究刑事責任。
第三十四條 專業檢測機構違反本規定,在檢測報告中弄虛作假的,由市主管部門責令改正;情節嚴重的,取消其檢測資格。
專業檢測機構違反本規定,未能保守計算機套用單位商業秘密,致使其合法權益遭受侵害的,依法承擔法律責任,並由市主管部門取消其檢測資格。
第三十五條 計算機套用單位信息安全管理制度不完善,致使信息被非法增加、刪除、修改或複製,造成損失的,由市主管部門予以警告。
第三十六條 違反本規定,有下列行為之一的,由市主管部門予以警告、責令其停止違法行為,並可對單位處50000元以下罰款,對個人處5000元以下罰款;有違法所得的,可處以違法所得一至三倍的罰款;情節嚴重的,依法追究刑事責任:
(一)從事製造、故意傳播計算機病毒和其他有害數據活動的;
(二)擅自舉辦有關計算機病毒機理的講座、培訓班的;
(三)擅自向社會發布計算機病毒疫情的;
(四)製造、銷售、出租、維修、商業性贈送的計算機產品中攜帶有計算機病毒和其他有害數據的。
第三十七條 違反本規定第二十六條規定的,由市主管部門予以警告,責令停止聯網,對經營單位可並處15000元以下罰款,對使用者可並處1000元以下罰款;有違法所得的,可處以違法所得一至三倍的罰款。
第三十八條 違反本規定第二十九條規定的,由市主管機關給予警告,並可對單位處50000元以下罰款,對個人處5000元以下罰款;有違法所得的,可處以違法所得一至三倍的罰款。
第三十九條 計算機套用單位的計算機信息系統存在重大安全隱患,在市主管部門規定的期限內未進行改進,繼續運行可能嚴重影響計算機信息系統安全的,由市主管部門處以停機整頓。
第七章 附則
第四十條 本規定自發布之日起施行。