內蒙古自治區計算機信息系統安全保護辦法是一項由內蒙古自治區政府相關部門頒布的檔案。
基本介紹
- 中文名:內蒙古自治區計算機信息系統安全保護辦法
- 外文名:Security protection methods of the Inner Mongolia Autonomous Region computer information system
- 檔案號:內蒙古自治區人民政府令第183號
- 頒布單位:內蒙古自治區人民政府
- 頒布時間:2011年12月6日
通知發布,章程,
通知發布
內蒙古自治區人民政府令
第 183 號
《內蒙古自治區計算機信息系統安全保護辦法》已經2011年11月16日自治區人民政府第十二次常務會議審議通過。現予發布,自2012年2月1日起施行。
自治區主席 巴特爾
2011年12月6日
章程
第一章 總 則
第一條 為保護計算機信息系統安全,根據《中華人民共和國計算機信息系統安全保護條例》及有關法律法規,結合自治區實際,制定本辦法。
第二條 本辦法適用於自治區行政區域內計算機信息系統的安全保護。
第三條 旗縣級以上人民政府公安機關主管本行政區域內計算機信息系統的安全保護工作。
國家安全機關、保密工作部門、密碼管理部門和其他有關部門在各自職責範圍內做好計算機信息系統的安全保護工作。
第四條 計算機信息系統的安全保護,應當保障計算機及其相關的和配套的設備、設施、網路的安全,運行環境的安全,保障信息的安全,保障計算機功能的正常發揮,以維護計算機信息系統的安全運行。
第二章 安全等級保護
第五條 計算機信息系統實行安全等級保護制度。安全保護等級根據計算機信息系統在國家安全、經濟建設、社會生活中的重要程度,計算機信息系統受到破壞後對國家安全、社會秩序、公共利益以及公民、法人和其他組織合法權益的危害程度等因素確定,分為五級。
(一)計算機信息系統受到破壞後,可能對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益的,為第一級;
(二 計算機信息系統受到破壞後,可能對公民、法人和其他組織的合法權益造成嚴重損害,或者可能對社會秩序和公共利益造成損害,但不損害國家安全的,為第二級;
(三)計算機信息系統受到破壞後,可能對社會秩序和公共利益造成嚴重損害,或者可能對國家安全造成損害的,為第三級;
(四)計算機信息系統受到破壞後,可能對社會秩序和公共利益造成特別嚴重損害,或者可能對國家安全造成嚴重損害的,為第四級;
(五)計算機信息系統受到破壞後,可能對國家安全造成特別嚴重損害的,為第五級。
第六條 計算機信息系統運營、使用單位應當遵守下列規定:
(一)對計算機信息系統安全保護等級準確定級,並按照等級保護管理規範和技術標準實施保護;
(二)新建計算機信息系統的,應當在規劃、設計階段確定安全保護等級,同步建設符合該安全保護等級要求的信息系統安全保護設施,落實安全保護措施;
(三)計算機信息系統的結構、處理流程、服務內容等發生重大變化,或者公安機關要求重新確定等級的,應當重新定級;
(四)按照計算機信息系統安全保護等級要求,使用符合國家及自治區規定並取得國家計算機信息系統安全專用產品銷售許可證的信息安全產品;
(五)定期對本單位計算機信息系統的安全狀況、保護制度和措施進行自查和整改;
(六)建立安全保護組織,確定安全管理責任人,指定專職人員負責本單位計算機信息系統的安全管理。
第七條 第二級以上計算機信息系統運營、使用單位,應當自確定安全保護等級之日起30日內,到所在地盟行政公署、設區的市人民政府公安機關或者其指定的受理機構備案;屬於自治區統一聯網、跨盟市或者中央駐自治區、自治區直屬單位的計算機信息系統,應當到自治區人民政府公安機關或者其指定的受理機構備案。
第八條 公安機關應當在收到備案材料之日起10個工作日內對報送備案的材料進行審查,對符合等級保護要求的,出具備案證明。對定級不準確或者保護措施不符合技術規範的,應當書面通知報送單位予以糾正。
第九條 計算機信息系統涉及國家安全、社會公共利益、重大經濟建設等信息的,其運營、使用單位或者主管部門應當選擇符合法定條件的安全等級測評機構,依據國家規定的技術標準,對計算機信息系統安全等級狀況進行測評。
第二級以上計算機信息系統建設完成後,經測評合格方可投入使用。
第十條 計算機信息系統確定為第二級保護等級的,應當每兩年至少進行一次系統安全等級測評;確定為第三級的,應當每年至少進行一次系統安全等級測評;確定為第四級以上的,應當每半年至少進行一次系統安全等級測評。
第十一條 從事計算機信息系統安全等級測評工作的機構和人員應當遵守國家規定。
申請成立安全等級測評機構的單位應當經自治區人民政府公安機關初審,並通過公安部信息安全等級保護評估中心的測評能力評估。
自治區人民政府公安機關應當加強對安全等級測評機構的監督、檢查和指導。
第十二條 旗縣級以上人民政府公安機關應當對計算機信息系統運營、使用單位的信息安全等級保護情況進行檢查。對第三級計算機信息系統每年至少檢查一次,對第四級計算機信息系統每半年至少檢查一次。
對第五級計算機信息系統,應當由國家指定的專門部門進行檢查。
第三章 安全管理
第十三條 公安機關應當為公眾提供計算機信息系統安全保護指導,開展安全宣傳教育。
第十四條 公安機關對計算機信息系統安全服務機構實行分級管理和推薦制度。
第十五條 計算機信息系統安全服務機構應當向盟市級以上公安機關備案。
計算機信息系統安全服務機構應當執行國家及自治區有關計算機信息系統安全標準,應當配備適應開展相應安全服務需要、掌握國家及自治區有關計算機信息系統安全標準的技術人員。
計算機信息系統安全服務機構及其工作人員不得泄露在開展安全服務過程中獲悉的國家秘密、商業秘密以及計算機信息系統網路結構、配置等用戶信息;不得非法占有、使用用戶的信息資源;不得在計算機信息系統中設定隱蔽信道。
第十六條 發生重大突發事件,危及國家安全、公共安全、社會穩定及重要計算機信息系統安全的緊急情況時,盟市級以上公安機關可以按照有關法律、法規的規定,要求有關單位採取相應控制措施。計算機信息系統的運營、使用單位應當服從公安機關和國家指定部門的調度。
第十七條 基礎電信運營企業和計算機信息系統的運營、使用單位應當接受公安機關的安全監督、檢查、指導,並如實提供有關計算機信息系統安全保護的信息資料、網際網路基礎數據及其他數據檔案。
第十八條 基礎電信運營企業等提供網際網路接入服務的單位應當執行下列規定:
(一) 配合公安機關做好接入本網路聯網單位和用戶的備案工作,真實、準確、完整登記聯網單位和用戶的名稱、性質、有效證件、網際網路地址、裝機地址、上網電話、聯繫人等公安機關要求備案的信息,報送同級公安機關,並及時報告本網路中聯網單位和用戶的變更情況;
(二) 記錄並留存接入本網路的聯網單位和用戶登錄、退出網際網路時間及主叫號碼、賬號、網際網路地址等上網日誌信息,留存時間不少於1年;
(三) 落實相關安全保護技術措施,通過網際網路地址和相關網路套用信息能夠對應聯網單位和用戶信息;
(四) 協助公安機關查處涉及網際網路的違法犯罪行為,並採取人工值守、遠程聯網查詢等方式提供24小時快速查詢支持;
(五) 協助公安機關對接入本網路的聯網單位和用戶進行安全宣傳教育,落實安全保護措施;
(六) 網際網路拓撲結構、通信協定等擬進行重大調整的,應當報自治區人民政府公安機關備案後實施。
第十九條 提供網際網路接入服務的單位、提供伺服器託管或租賃空間服務的單位、網際網路信息服務提供者及其他有關電信業務經營者應當建立安全管理制度,採取異常流量和違法信息監測等安全保護技術措施,及時發現危害信息網路安全、網上傳播違法信息等違法犯罪活動,保留有關原始記錄,及時採取刪除、停止傳輸等措施,並在24小時內向當地公安機關報告。
第二十條 聯網單位和用戶應當採取設定安全性較高的密碼等安全保護措施,定期更改密碼,保障所使用上網賬號的安全。
基礎電信運營企業可以採取動態密碼認證等技術措施為聯網單位和用戶提供網際網路接入服務。
第二十一條 聯網單位和用戶向其他單位、個人提供網際網路上網服務或者與其他單位、個人共用上網線路、賬號的,應當遵守國家有關規定,併到旗縣級以上人民政府公安機關備案。
第二十二條 提供網際網路上網服務的單位和通過區域網路接入網際網路用戶終端在10台以上的聯網單位應當安裝、運行符合國家及自治區規定的安全管理系統。
第二十三條 賓館、酒店、餐廳、機場、車站、閱覽室等提供網際網路上網服務的場所和通過無線方式接入網際網路的地點管理者,應當採取用戶登錄認證安全技術措施,並對上網用戶的身份證等有效證件進行核對、登記。
第二十四條 使用內部網路地址與網際網路網路地址轉換方式接入網際網路的聯網單位,應當記錄並留存用戶上網終端硬體地址等信息與內部網路地址和網際網路網路地址的對應關係。留存時間不少於1年。
第二十五條 生產、銷售或者提供具有計算機信息系統遠程控制、密碼猜解、漏洞檢測、信息群發功能的產品和工具的,應當報自治區人民政府公安機關或者其指定的公安機關備案。
第四章 安全秩序
第二十六條 計算機信息系統的運營、使用單位應當建立並執行下列安全管理制度:
(一)計算機機房安全管理制度;
(二)安全責任制度;
(三)病毒、網路安全漏洞檢測和系統升級制度;
(四)系統安全風險管理和應急處置制度;
(五)賬號使用登記和操作許可權管理制度;
(六)安全管理人員崗位工作職責;
(七)重要設備、介質管理制度;
(八)信息發布審查、登記、保存、清除和備份制度;
(九)信息群發服務管理制度;
(十)安全教育和培訓制度;
(十一)案件、事件報告和協助查處制度;
(十二)其他與安全保護相關的管理制度。
第二十七條 計算機信息系統的運營、使用單位應當採取下列安全保護技術措施:
(一)系統重要部分的冗餘或者備份措施;
(二)計算機病毒防治措施;
(三)網路攻擊防範和追蹤措施;
(四)安全審計和預警措施;
(五)系統運行和用戶使用日誌記錄留存1年以上措施;
(六)記錄用戶賬號、主叫電話號碼和網路地址措施;
(七)身份登記和識別確認措施;
(八)垃圾信息、有害信息的防治、清理措施;
(九)信息群發限制措施;
(十)其他保護計算機信息系統安全的技術措施。
第二十八條 任何單位和個人不得利用計算機信息系統、移動通訊終端製作、傳播、複製下列信息:
(一)危害國家統一、主權和領土完整的;
(二)泄露國家秘密,危害國家安全或者損害國家榮譽和利益的;
(三)煽動民族仇恨、民族歧視,破壞民族團結或者侵害民族風俗、習慣的;
(四)破壞國家宗教政策,宣揚邪教、封建迷信的;
(五)散布謠言,發布虛假信息,擾亂社會秩序,破壞社會穩定的;
(六)煽動聚眾滋事,損害社會公共利益的;
(七)宣揚淫穢、色情、賭博、暴力、兇殺、恐怖的;
(八)教唆犯罪或者傳授犯罪方法的;
(九)散布他人隱私,侮辱、誹謗、恐嚇他人,侵害他人合法權益的;
(十)從事考試作弊相關活動的;
(十一)販賣假幣、假證件、假髮票、假冒偽劣商品、槍枝彈藥、爆炸物、迷藥、竊聽器和其他法律、法規禁止流通的物品的;
(十二)法律、法規禁止製作、傳播、複製的其他信息。
第二十九條 任何單位和個人不得實施下列行為:
(一)未經允許,進入計算機信息系統或者非法占有、使用、竊取計算機信息系統資源;
(二)未經允許,對計算機信息系統功能進行刪除、修改、增加或者干擾;
(三)未經允許,對計算機信息系統中存儲、處理或者傳輸的數據和應用程式進行刪除、修改或者增加;
(四)利用計算機信息系統竊取他人賬號和密碼,或者擅自向第三方公開他人賬號和密碼;
(五)非法截取、篡改、刪除他人電子郵件或者其他數據資料;
(六)故意製作、傳播計算機病毒、惡意軟體等破壞性程式;
(七)利用計算機信息系統假冒他人名義製作、傳播信息,或者以其他方式進行網路詐欺;
(八)建立或者管理主要用於傳播、交流違法犯罪信息的網站、群組、論壇等;
(九)允許、放任他人在自己所有或者管理的網站、網頁、群組上發布第二十八條所禁止的信息;
(十)為非法網站提供伺服器託管、虛擬主機、網路存儲空間等服務,或者通過投放廣告等方式向其直接、間接提供資金;
(十一)明知是非法網站,向其提供網際網路接入、通訊傳輸通道、代收費、費用結算等服務;
(十二)以牟利為目的,在網際網路上散布、刪除信息,侵犯他人合法權益;
(十三)提供侵入、非法控制計算機信息系統的方法、程式、工具;
(十四)法律、法規禁止的其他利用計算機信息系統實施的行為。
第五章 法律責任
第三十條 違反本辦法第六條、第九條、第十條、第十七條、第十八條第一至四項、第十九條、第二十六條、第二十七條規定的,由公安機關責令限期改正,給予警告,有違法所得的,沒收違法所得;在規定的限期內未改正的,對單位的主管負責人員和其他直接責任人員處以5000元以下的罰款,對單位處以15000元以下的罰款,可以建議主管部門對相關單位的主要領導給予處分;情節嚴重的,並可以給予6個月以內停止聯網、停機整頓的處罰。
第三十一條 違反本辦法第十五條第三款規定的,由公安機關對單位的主管負責人員和其他直接責任人員處以5000元以下的罰款,對單位處以5000元以上15000元以下的罰款;有違法所得的,除沒收違法所得外,可以處以違法所得1至3倍的罰款,但是最高不得超過30000元。
第三十二條 違反本辦法第二十條第一款規定的,由公安機關責令限期改正,給予警告;在規定的限期內未改正的,可以給予6個月以內停止聯網、停機整頓的處罰。
第三十三條 違反本辦法第二十二條、第二十三條、第二十四條規定的,由公安機關責令限期改正,給予警告,有違法所得的,沒收違法所得;在規定的限期內未改正的,對單位的主管負責人員和其他直接責任人員處以5000元以下的罰款,對單位處以15000元以下的罰款;情節嚴重的,並可以給予6個月以內停止聯網、停機整頓的處罰。
第三十四條 違反本辦法第二十八條、第二十九條規定的,由公安機關給予警告,對個人可以並處5000元以下的罰款,對單位可以並處15000元以下的罰款;有違法所得的,除沒收違法所得外,可以處以違法所得1至3倍的罰款,但是最高不得超過30000元;情節嚴重的,並可以給予6個月以內停止聯網、停機整頓的處罰。
第三十五條 從事計算機信息系統安全等級測評工作的單位和人員有下列行為之一的,由公安機關對單位主管負責人員和其他直接責任人員處以5000元以下的罰款,對單位處以5000元以上15000元以下的罰款;有違法所得的,除沒收違法所得外,可以處以違法所得1至3倍的罰款,但是最高不得超過30000元:
(一)未通過測評能力評估,從事測評活動的;
(二)影響被測評計算機信息系統正常運行,危害被測評計算機信息系統安全的;
(三)擅自向第三方泄露被測評計算機信息系統運營、使用單位秘密和其他信息的;
(四)故意隱瞞測評過程中發現的安全問題,或者在測評過程中弄虛作假,未如實出具測評報告的;
(五)擅自占有、使用測評相關資料及數據檔案的;
(六)分包或者轉包測評項目的;
(七)從事計算機信息系統安全專用產品的開發、銷售及信息系統安全集成業務,或者限定被測評單位購買、使用其指定的信息安全專用產品的;
(八) 其他可能影響測評結果客觀、公正的行為,或者未按照國家規定開展測評工作的。
第三十六條 違反本辦法規定,構成違反治安管理行為的,依照《中華人民共和國治安管理處罰法》的規定處罰;給國家、其他組織或者他人財產造成損失的,應當依法承擔民事責任;構成犯罪的,依法追究刑事責任。
第三十七條 公安機關和其他有關部門及其工作人員有下列行為之一的,對直接負責的主管人員和其他直接責任人員依法給予行政處分;構成犯罪的,依法追究刑事責任。
(一)利用職權索取、收受賄賂,或者玩忽職守、濫用職權的;
(二)泄露計算機信息系統運營、使用單位或者個人的有關信息、資料及數據檔案的;
(三)其他不履行法定職責的。
第六章 附 則
第三十八條 本辦法所稱的計算機信息系統,是指由計算機及其相關的和配套的設備、設施、網路構成的,按照一定的套用目標和規則對信息進行採集、加工、存儲、傳輸、檢索等處理的人機系統。
本辦法所稱的信息安全等級測評,是指對計算機信息系統的安全狀況進行測試、評價、判斷。
本辦法所稱的安全服務機構,是指從事計算機信息系統安全設計、建設、檢測、維護、監理、諮詢、培訓等業務的單位。
本辦法所稱聯網單位和用戶包括通過計算機或者手機等通訊終端以有線、無線等方式接入網際網路的單位和用戶。
第三十九條 本辦法自2012年2月1日起施行。
