第一章 總則
第一條 為加強計算機信息網路安全保護管理,促進信息化建設健康發展,維護合法權益、公共利益和社會穩定,根據《中華人民共和國計算機信息系統安全保護條例》等法律、法規,結合本市實際,制定本辦法。
第二條 本市行政區域管理許可權範圍內的計算機信息網路安全保護管理活動,適用本辦法。
涉及國家秘密的計算機信息系統按照有關保密法律、法規的規定執行。
第三條 計算機信息網路安全堅持“保護與管理並重”和“誰主管、誰負責與誰運營、誰負責”的原則。
第四條 市、區(市、縣)人民政府應當加強計算機信息網路安全保護管理工作的領導,將該項工作納入本級人民政府社會管理綜合治理和年度目標考核。
第五條 市公安機關負責全市計算機信息網路安全保護管理工作,其所屬的網路安全保衛部門具體負責計算機信息網路安全保護管理的日常工作。
區、縣(市)公安機關按照職責許可權負責本轄區範圍內的計算機信息網路安全保護管理工作。
國家安全機關和保密、密碼、工商、文化廣播電影電視、工業和信息、監察及其他有關行政主管部門,按照各自職責,做好計算機信息網路安全保護管理的相關工作。
計算機信息網路運營、使用單位,應當按規定做好計算機信息網路安全保護管理的相關工作。
第二章 監督管理職責
第六條 公安機關在計算機信息網路安全保護管理工作中履行下列職責:
(一)指導、監督、檢查計算機信息網路運營、使用單位建立並落實各項安全保護制度和安全保護技術措施;
(二)指導、監督、檢查計算機信息網路中的公共信息服務、信息安全等級保護和計算機信息網路安全服務機構的安全測評等工作,發現公共信息中含有本辦法第二十四條所列信息的,應當通知計算機信息網路運營、服務單位予以刪除,必要時依法中止對傳送者的網路服務;
(三)辦理有關計算機信息網路的備案手續;
(四)負責受理危害計算機信息網路安全事件、案件的報告、舉報,勘查現場並收集相關證據,依法查處違反計算機信息網路安全管理的違法行為;
(五)指導或者組織計算機信息網路運營、使用單位從事計算機信息網路安全保護工作的人員進行計算機信息網路安全培訓;
(六)負責計算機病毒防治管理工作;
(七)發生計算機信息網路重大突發事件,危及國家安全、發生公共安全、社會穩定及重要計算機信息網路安全等緊急情況時,按照法定程式報批後,要求相關單位採取相應的緊急控制措施;
(八)法律、法規、規章規定的其他職責。
第七條 國家安全機關負責計算機信息網路國家安全事項管理工作,依法查處利用計算機信息網路危害國家安全的違法行為。
第八條 保密行政管理部門依法對有關計算機信息網路保守國家秘密工作實施監督管理。
第九條 密碼管理部門應當加強對計算機信息系統內密碼產品使用單位的監督、檢查和指導,定期對計算機信息系統安全等級保護工作中密碼配備、使用和管理的情況進行檢查和測評,並對密碼產品使用單位的操作和管理人員進行培訓。
密碼管理部門在監督檢查過程中發現存在安全隱患、違反密碼管理規定或者未達到密碼標準要求的,應當按照密碼管理的相關規定進行處理。
第十條 計算機信息網路運營、使用單位應當履行下列職責:
(一)負責本單位計算機信息網路安全保護管理工作,建立健全安全保護管理制度,落實安全保護技術措施,保障本單位網路運行安全和信息安全;
(二)負責對本網路相關用戶的安全教育培訓;
(三)發現公共信息中含有危害信息網路安全、有害數據或者利用網路實施違法行為,應當立即停止傳輸違法內容,保留有關原始記錄,在24小時內向所在地公安機關報告;
(四)協助、配合公安機關、國家安全機關等部門依法查處違法行為;
(五)如實向公安機關、國家安全機關及其他有關部門提供計算機信息系統安全保護的信息資料、網際網路基礎數據及其他數據檔案;
(六)法律、法規、規章規定的其他職責。
第三章 安全保護
第十一條 計算機信息系統實行安全等級保護制度。
計算機信息系統的安全保護等級分為五個等級,其確定的原則、標準、各級別安全保護及管理內容按照國家有關規定執行。
涉密信息系統應當根據國家信息安全等級保護的基本要求,按照有關規定和技術標準,結合系統實際情況進行保護。
第十二條 計算機信息網路的運營、使用單位應當按照國家有關管理規範和技術標準確定計算機信息系統的安全保護等級。
新建、改建、擴建的計算機信息系統,其運營、使用單位應當在規劃、設計階段確定計算機信息系統的安全保護等級,並同步建設符合該安全保護等級要求的信息安全設施,落實安全保護措施。
計算機信息系統的規劃、建設、運營和使用單位在計算機信息系統安全保護設施的規劃、建設中,應當使用符合國家規定並滿足計算機信息系統安全保護需求的信息安全產品。
第十三條 第二級及第二級以上計算機信息網路的運營、使用單位,應當按照下列規定到市公安機關網路安全保衛部門申請辦理定級備案手續:
(一)新建計算機信息網路的,自投入運行之日起30日內;
(二)已運行計算機信息網路的,自本辦法施行之日起30日內;
(三)計算機信息網路的結構、處理流程、服務內容等發生變更的,自變更之日起30日內。
第十四條 計算機信息網路運營、使用單位應當建立健全並落實以下安全保護管理制度:
(一)計算機機房安全管理制度;
(二)安全責任制度和保密制度;
(三)核實、登記並及時更新用戶註冊信息制度;
(四)賬號使用登記和操作許可權管理制度;
(五)安全管理人員崗位工作職責;
(六)重要設備、介質管理制度;
(七)信息發布審核、登記、保存、清除和備份制度;
(八)信息網路安全教育和培訓制度;
(九)信息網路安全應急處置制度;
(十)案件、事件報告和協助查處制度;
(十一)應當建立並落實的其他安全保護制度。
第十五條 計算機信息網路運營、使用單位應當嚴格按照《網際網路安全保護技術措施規定》和其他有關法律、法規、規章的規定實施安全保護技術措施。
第十六條 計算機信息網路運營、使用單位應當加強對計算機信息網路安全狀況的日常檢測工作,按照國家有關管理規範和技術標準定期對計算機信息網路進行等級測評和對其安全狀況進行自查,經測評、自查,對不符合要求的,應當及時整改。
第十七條 計算機信息網路運營、使用單位應當制定計算機信息系統重大突發事件應急處置預案。
計算機信息網路發生重大突發事件時,其運營、使用單位應當按照應急處置預案的要求及時處理,並服從公安機關和指定的其他有關部門的調度。
違反國家保密規定泄露或者可能泄露國家秘密的,應當立即採取措施並報告有關機關、單位,有關機關、單位應當立即作出處理,向所在地國家安全機關或者保密行政管理部門報告,並保留有關原始記錄。
第十八條 網際網路服務提供者、聯網使用單位,應當自網路聯通之日起30日內,網路已經聯通的自本辦法施行之日起30日內,到市公安機關網路安全保衛部門申請辦理備案手續。
網際網路服務提供者應當登記用戶的真實資料。用戶資料發生變更的,應當自變更之日起30日內,到原備案的公安機關網路安全保衛部門申請辦理備案變更手續。
第十九條 網際網路信息服務單位應當建立健全信息審核制度,明確信息審核人員,發現屬於本辦法第二十四條規定信息的,應當立即刪除違法內容,保存有關原始記錄,並向所在地公安機關、國家安全機關報告,涉及其他部門的向有關行政主管部門報告。
提供電子公告、網路遊戲和其他即時通信服務的,其計算機信息網路應當使用固定的網際網路網路地址,如實記錄並留存用戶註冊信息。
第二十條 使用內部網路地址與網際網路網路地址轉換方式接入網際網路的聯網使用單位,應當記錄並留存用戶上網終端硬體地址等信息與內部網路地址和網際網路網路地址的對應關係,並留存60日以上。
第二十一條 依法設立網際網路上網服務營業場所的單位,應當嚴格執行《網際網路上網服務營業場所管理條例》的相關規定,定期將其網路安全狀況及相關資料報送有管理許可權的公安機關網路安全保衛部門備案。
第二十二條 非經營性網際網路上網服務提供單位,應當遵守下列規定:
(一)提供網際網路上網服務之日起15日內,已經提供網際網路上網服務的自本辦法施行之日起15日內,到所在地公安機關網路安全保衛部門申請辦理備案手續;
(二)其法定代表人、場所、網路地址等發生變更的,自上述情形變更之日起15日內,到原備案的公安機關申請辦理備案變更手續;
(三)安裝、運行符合國家標準的安全保護技術設施,與公安機關信息管理平台聯網,並保證其線上正常運行;
(四)提供無線方式接入服務的網際網路上網服務場所,應當記錄並留存用戶信息及對應的上網終端硬體地址等信息。
第二十三條 計算機信息網路安全服務機構應當依法設立。擬在本市從事相關業務活動的應當在開展業務活動之前30日內,已經開展業務活動的自本辦法施行之日起30日內,到市公安機關網路安全保衛部門申請辦理備案手續。
計算機信息網路安全服務機構及其工作人員應當遵守下列規定:
(一)按照有關法律、法規的規定和信息安全技術標準提供服務;
(二)在進行服務過程中,不得泄露所獲悉的國家秘密、商業秘密和計算機信息系統的技術秘密;
(三)不得非法占有、使用用戶的信息資源;
(四)不得在計算機信息系統中設定隱蔽信道。
第二十四條 任何單位或者個人不得利用計算機信息網路製作、發布、傳播含有下列內容的信息:
(一)反對憲法規定的基本原則的;
(二)危害國家安全,泄露國家秘密,顛覆國家政權,破壞國家統一的;
(三)損害國家榮譽、利益和公共利益的;
(四)煽動民族仇恨、民族歧視,破壞民族團結,或者侵害民族風俗習慣的;
(五)破壞國家宗教政策,宣揚邪教、封建迷信的;
(六)散布謠言,擾亂社會秩序,破壞社會穩定的;
(七)鼓動公眾惡意評論他人、公開發布他人隱私或者通過暗示、影射等方式對他人進行人身攻擊的;
(八)公然侮辱他人或者捏造事實誹謗他人的;
(九)以非法社團名義活動的;
(十)買賣法律、法規禁止流通的物品的;
(十一)非法買賣法律、法規限制流通的物品對公共安全構成威脅的;
(十二)含有淫穢、色情、賭博、暴力、欺詐、恐怖等內容,或者教唆犯罪、傳授犯罪方法的;
(十三)法律、法規、規章禁止的其他信息內容。
第二十五條 任何單位或者個人不得從事下列危害計算機信息網路安全和秩序的活動:
(一)未經允許,進入計算機信息系統或者非法占有、使用、竊取計算機信息系統資源;
(二)未經允許,對計算機信息系統功能進行刪除、修改、增加或者干擾;
(三)未經允許,對計算機信息系統中存儲、處理或者傳輸的數據和應用程式進行刪除、修改或者增加;
(四)破壞計算機信息網路運行環境、設施設備;
(五)竊取、盜用、篡改、破壞他人網路資源;
(六)故意製作、傳播、使用計算機病毒、惡意軟體等破壞性程式,或者製作、發布、複製、傳播含破壞性程式或者其機理、源程式的信息;
(七)故意阻塞、阻礙、中斷計算機信息網路的信息傳輸,惡意占用網路資源;
(八)利用計算機信息網路違背他人意願、冒用他人名義發布信息;
(九)明知本單位或者本人的計算機信息網路的網路地址、主機空間等資源已被他人利用,從事可能危害計算機信息網路安全的活動而不予制止;
(十)擅自利用計算機信息網路收集、使用、提供、買賣他人專有信息;
(十一)其他危害計算機信息網路安全和秩序的行為。
第四章 罰則
第二十六條 國家機關、國有企業、事業單位的主要負責人違反本辦法規定,造成嚴重後果的,依照相關規定給予行政處分。
公安機關及其他部門的工作人員違反本辦法規定,玩忽職守、濫用職權或者徇私舞弊的,由其所在單位或者上級主管部門、監察機關按照相關規定予以處理。
第二十七條 違反本辦法規定,有下列情形之一的,由公安機關在管理許可權範圍內給予警告,責令其限期改正;逾期不改正的,依法給予6個月以內停機整頓:
(一)未建立計算機信息系統安全保護等級的;
(二)不辦理備案手續或者變更備案手續的;
(三)不在規定時間報告計算機信息系統中發生重大安全事故的;
(四)計算機信息系統安全保護設施不按照國家信息安全等級保護管理規範和技術標準進行規劃、建設的。
第二十八條 違反本辦法規定,有下列情形之一的,由公安機關在管理許可權範圍內給予警告,責令其限期改正;逾期不改正的,對非經營性質的單位處500元以上1000元以下罰款,對經營性質的單位處1000元以上1萬元以下罰款:
(一)不按國家有關規定對計算機信息系統進行等級測評和對其安全狀況進行自查,或者經測評和自查不符合要求又不及時整改的;
(二)有關部門對危害計算機信息網路安全和涉嫌違法行為依法進行調查時,不如實提供有關信息資料、網際網路基礎數據及其他數據檔案的;
(三)未制定計算機信息系統重大突發事件應急處理預案,或者發生重大突發事件時不及時處理並不服從有關部門調度的。
第二十九條 違反本辦法規定,未建立並落實計算機信息網路安全保護管理制度,或者未落實安全技術保護措施的,由公安機關在管理許可權範圍內按照《計算機信息網路國際聯網安全保護管理辦法》第二十一條的規定予以處罰。
第三十條 網際網路上網服務營業場所的經營單位違反相關管理規定,按照《網際網路上網服務營業場所管理條例》的相關規定予以處罰。
第三十一條 經依法取得營業執照的網際網路上網服務營業場所,無正當理由超過法定期限未開業或者開業後自行停業符合法定吊銷、註銷營業執照條件的,由該營業場所所在地有管理許可權的工商行政管理登記機關依法吊銷、註銷其營業執照。
第三十二條 單位或者個人違反本辦法第二十四條、第二十五條規定情形之一的,由公安機關在管理許可權範圍內按照《中華人民共和國治安管理處罰法》、《計算機信息網路國際聯網安全保護管理辦法》的規定和其他有關規定予以處罰。
第三十三條 違反本辦法規定,其他法律、法規、規章有行政處罰規定的,依法處理。
第三十四條 對於本市無管理許可權的違法行為,報請有管理許可權的上級有關部門依法處理。
第五章 附則
第三十五條 本辦法中下列用語的含義:
(一)“計算機信息網路”,是指由計算機及其相關配套設施設備構成的,按照一定套用目標和規則對信息進行採集、加工、存儲、傳輸、檢索等處理的人機系統,包括未接入網際網路的計算機信息系統(含區域網路)和接入(含無線方式接入)網際網路的計算機信息系統;
(二)“計算機信息網路安全”,包括計算機信息網路的運行安全和信息內容安全;
(三)“計算機信息網路運營、使用單位”,是指與計算機信息系統發生聯繫的所有經營者、使用者,包括網際網路接入服務單位、網際網路數據中心服務單位、網際網路信息服務單位、網際網路上網服務單位、聯網使用(含無線方式接入)單位、未接入網際網路的計算機信息系統(含區域網路方式)使用單位等;
(四)“重大突發事件”,是指有害信息大範圍傳播、大規模網路攻擊、計算機病毒疫情等危害計算機信息網路安全的重大事件;
(五)“網際網路服務提供者”,是指向用戶提供網際網路接入服務、網際網路數據中心服務、網際網路信息服務和網際網路上網服務的單位;
(六)“聯網使用單位”,是指為本單位套用需要連線並使用網際網路的單位;
(七)“網際網路數據中心服務單位”,是指提供主機託管、租賃和虛擬空間租用等服務的單位;
(八)“計算機信息網路安全服務機構”,是指從事計算機信息網路安全設計、建設、檢測、維護、監理、諮詢、培訓、測評等業務的單位;
(九)“電子公告服務”,是指在網際網路上以論壇、聊天室、留言板、部落格、微博等互動形式為上網用戶提供信息發布條件的行為。
第三十六條 本辦法自2012年7月1日起施行。
地方規章(類別)