寧夏回族自治區計算機信息系統安全保護條例

寧夏回族自治區人民代表大會常務委員會公告

第六十二號

《寧夏回族自治區計算機信息系統安全保護條例》已由寧夏回族自治區第十屆人民代表大會常務委員會第十一次會議於2009年7月31日通過，現予公布，自2009年10月1日起施行。

寧夏回族自治區人民代表大會常務委員會

二OO九年七月三十一日

寧夏回族自治區計算機信息系統安全保護條例

（2009年7月31日寧夏回族自治區第十屆

人民代表大會常務委員會第十一次會議通過）

第一條　為加強計算機信息系統安全保護， 促進計算機套用和信息化建設的健康發展，維護國家安全、社會公共利益和公民、法人及其他組織的合法權益，根據《中華人民共和國計算機信息系統安全保護條例》及有關法律、行政法規的規定，制定本條例。

第二條　自治區行政區域內對計算機信息系統的安全保護，適用本條例。

第三條 公安機關主管計算機信息系統的安全保護工作。

國家安全機關、保密行政管理部門、密碼管理部門、信息化行政主管部門及其他有關部門，在各自職責範圍內，依法負責計算機信息系統安全保護的相關工作。

第四條　計算機信息系統運營、使用單位，應當依法履行計算機信息系統安全保護義務。

任何組織或者個人，不得利用計算機信息系統從事危害國家利益、社會公共利益和公民、法人及其他組織的合法權益的活動，不得危害計算機信息系統的安全。

第五條　計算機信息系統實行安全等級保護制度。

計算機信息系統安全等級保護堅持自主定級、自主保護原則，由運營、使用單位按照下列標準自主定級：

（一）計算機信息系統受到破壞後，可能對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益的，為第一級；

（二）計算機信息系統受到破壞後，可能對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全的，為第二級；

（三）計算機信息系統受到破壞後，可能對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害的，為第三級；

（四）計算機信息系統受到破壞後，可能對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害的，為第四級；

（五）計算機信息系統受到破壞後，可能對國家安全造成特別嚴重損害的，為第五級。

第六條 計算機信息系統涉及國家安全、社會公共利益、重大經濟建設信息的，其運營、使用單位或者主管部門應當選擇符合法定條件的安全等級測評機構，對計算機信息系統安全等級狀況進行測評，準確核定信息系統安全保護等級。

第七條 計算機信息系統運營、使用單位應當遵守下列規定：

（一）對計算機信息系統進行定級，並按照等級保護管理規範和技術標準實施保護；

（二）新建計算機信息系統的，在規劃、設計階段確定安全保護等級，同步建設符合該安全保護等級要求的信息安全保護設施，落實安全保護措施；

（三）按照計算機信息系統安全保護等級要求，使用取得國家銷售許可證的信息安全專用技術產品；

（四）定期對本單位計算機信息系統的安全狀況、保護制度和措施進行自查和整改；

（五）計算機信息系統確定為第二級以上保護等級的，應當制定重大突發事件應急處置預案；確定為第三級以上的，應當每年至少進行一次系統安全等級測評；

（六）指定專職人員負責本單位計算機信息系統的安全管理。專職人員應當通過設區的市以上公安機關、人力資源和社會保障部門的專業培訓，並取得合格證。

第八條 第二級以上計算機信息系統運營、使用單位，應當自確定安全等級之日起三十日內，將信息系統保護的具體措施，向所在地設區的市以上公安機關報送備案；屬於跨設區的市或者自治區統一聯網的計算機信息系統，還應當向自治區公安機關報送備案。

計算機信息系統的結構、處理流程、服務內容等發生變化，致使安全保護等級發生變化，或者因實際需要公安機關要求重新定級的，計算機信息系統運營、使用單位應當重新定級、重新備案。

第九條 公安機關應當自收到備案材料之日起在十五個工作日內對報送備案的材料進行審查，對符合等級保護要求的，出具備案證明；對定級不準確或者保護措施不符合技術規範的，應當自收到備案材料之日起十五個工作日內書面通知報送單位予以糾正。

第十條　計算機信息系統運營、使用單位應當落實下列安全保護技術措施：

（一）重要資料庫和系統主要設備的冗餘或者備份；

（二）計算機病毒的防治；

（三）網路攻擊的防範和追蹤；

（四）網路安全事件的監測和記錄；

（五）身份登記和識別確認；

（六）用戶賬號和網路地址的記錄；

（七）安全審計和預警；

（八）系統運行和用戶使用日誌記錄的保存；

（九）信息群發的控制；

（十）有害信息、垃圾信息的防治；

（十一）法律、法規規定的其他技術保護措施。

鼓勵計算機信息系統運營、使用單位採取先進的安全保護技術措施。

第十一條 涉及國家秘密計算機信息系統（以下簡稱涉密系統）應當依據涉密信息系統分級保護的管理規定和技術標準，按照秘密、機密、絕密三個等級的不同要求，實施分級保護。

涉密系統的安全保護水平，應當不低於計算機信息系統安全等級保護第三級以上的水平。

第十二條 涉密系統使用單位應當遵守下列規定：

（一）規劃、設計和建設涉密系統時，應當按照國家保密標準配備設施和設備，同步設計和建設，同步運行；

（二）對已建成使用的涉密系統，定期進行安全保密性能測評；

（三）依法對涉密系統存儲、處理和傳輸的信息，按照系統處理信息的最高密級確定保護等級和技術措施，並報保密行政管理部門備案。

第十三條 承擔規劃、設計、建設和維護涉密系統的單位，應當具有涉密集成資質。

涉密系統的安全保密設計方案和實施方案應當經過保密行政管理部門的審查。

第十四條 涉密系統投入使用前，建設使用單位應當向設區的市以上保密行政管理部門申請批准，非經保密行政管理部門批准的涉密系統不得投入使用。

設區的市以上保密行政管理部門應當自受理申請之日起二十日內，依據保密技術標準，對涉密系統進行審查。對不符合標準的，不予批准並提出書面整改意見，由使用單位進行整改後重新報批。

未經審查批准的涉密系統，不得存儲、處理和傳輸涉密信息，不得與其他涉密系統互聯。

第十五條 涉密系統使用單位應當根據實際需要採取下列保密防護措施：

（一）物理隔離；

（二）惡意代碼的防護；

（三）身份鑑別和訪問控制防護；

（四）涉密移動存儲設備監管；

（五）密碼保護；

（六）電磁泄漏發射防護；

（七）邊界安全防護；

（八）其他需要的保密防護措施。

第十六條 涉密系統運營、使用單位採用密碼進行等級保護的，應當執行國家密碼管理的有關規定。

第十七條 任何單位或者個人不得利用計算機信息系統製作、傳播、複製下列有害信息：

（一）危害國家統一、主權和領土完整的；

（二）泄露國家秘密、危害國家安全或者損害國家榮譽和利益的；

（三）煽動民族仇恨、民族歧視，或者故意侵害民族風俗、習慣，破壞民族團結的；

（四）煽動聚眾滋事，損害社會公共利益的；

（五）散布謠言，擾亂社會秩序、破壞社會穩定的；

（六）宣揚邪教、封建迷信的；

（七）宣揚暴力、兇殺、恐怖、淫穢、色情、賭博的；

（八）教唆犯罪或者傳授犯罪方法的；

（九）侮辱、誹謗、恐嚇他人，侵害他人合法權益的；

（十）法律、法規禁止製作、傳播、複製的其他信息。

第十八條 任何單位或者個人不得利用計算機信息系統實施下列行為：

（一）未經允許，進入計算機信息系統或者非法占有、竊取、使用計算機信息系統資源；

（二）未經允許，對計算機信息系統的功能或者存儲、處理、傳輸的數據和應用程式進行控制、刪除、修改或者增加；

（三）故意製作、傳播計算機病毒、惡意軟體等破壞性程式；

（四）提供專門用於侵入、非法控制他人計算機信息系統的程式或者工具；

（五）竊取他人賬號和密碼，或者擅自向第三方公開他人賬號和密碼；

（六）非法截取、篡改、刪除他人電子郵件或者其他數據資料；

（七）假冒他人名義發布、傳送信息，或者以其他方式進行網路詐欺；

（八）擅自公開他人的信息資料；

（九）買賣法律、法規禁止流通的物品；

（十）非法提供虛假票據、證件；

（十一）其他危害國家、社會和他人合法權益的行為。

第十九條 提供網際網路公共上網服務的單位，應當遵守下列規定：

（一）安裝並運行國家規定的計算機信息安全管理系統；

（二）對上網人員進行實名登記並記錄其上網信息，登記和記錄的內容保存時間不少於六十日，在保存期內不得修改或者刪除。

第二十條 網際網路服務提供者應當自網路正式聯通之日起三十日內，到所在地的設區的市以上公安機關備案，並應當將接入本網路系統的接入單位和用戶數據資料及其變更情況備案。

網際網路服務提供者應當對互動式服務欄目管理者的真實資料和信息發布者的註冊信息進行登記，並對發布的信息進行審核。提供網際網路接入、伺服器託管、虛擬空間出租的單位，應當登記用戶的真實資料。

第二十一條　生產、銷售具有計算機信息網路遠程控制、密碼猜解、漏洞檢測、信息群發等功能的產品和工具的單位，應當向設區的市以上公安機關備案。

第二十二條 網際網路服務提供者和聯網使用單位，應當落實網際網路安全保護制度和技術措施，保障網路運行安全和信息安全，發現有本條例第十七條規定有害信息之一的，應當及時採取刪除、停止傳輸、保存記錄等技術措施，並報告公安機關；發現有危害國家安全的，同時報國家安全機關；發現有涉及泄露國家秘密的，同時報國家安全機關和保密行政管理部門；發現有本條例第十八條規定行為之一的，應當予以制止，並向公安機關舉報。

公安機關和國家安全機關查處違法行為時，網際網路服務提供者和聯網使用單位應當如實提供有關數據檔案、原始記錄等信息資料。

第二十三條 網際網路服務提供者和聯網使用單位不得利用網際網路安全保護技術措施侵犯用戶的通信自由和通信秘密，未經用戶同意，不得公開、泄露用戶註冊信息。

第二十四條 計算機信息系統安全等級測評機構和從事計算機信息系統安全保護工作的人員，應當保守用戶秘密， 不得泄露用戶信息，不得擅自占有、使用用戶的信息資源。

第二十五條　公安機關、國家安全機關、保密行政管理部門、密碼管理部門及其他有關部門，應當依法對計算機信息系統運營、使用單位信息系統的安全保護工作進行監督檢查；對發現的泄密、失密行為，應當依法查處。

實施監督檢查時不得妨礙運營、使用單位的正常工作秩序。能夠聯合進行監督檢查的，應當聯合進行。

第二十六條　設區的市以上公安機關應當對第三級以上計算機信息系統的運營、使用單位的信息安全等級保護工作情況定期進行檢查。

設區的市以上公安機關應當對計算機信息系統安全等級測評工作進行監督管理。

第二十七條　保密行政管理部門應當對秘密級、機密級信息系統每年至少進行一次保密檢查，每兩年進行一次保密系統測評；對絕密級信息系統每年至少進行一次保密檢查或者系統測評。

第二十八條　公安機關、國家安全機關和保密行政管理部門，發現計算機信息系統的安全保護、保密等級和安全措施不符合國家信息安全等級保護、保密管理規範和技術標準，或者存在安全隱患的，應當通知運營、使用單位限期進行整改。運營、使用單位應當按照整改通知書要求進行整改，並將整改情況向監管部門報告。

第二十九條　發生危及國家安全、公共安全及社會穩定的重大信息網路安全事故，計算機信息系統運營、使用單位應當立即報告公安機關和國家安全機關，並啟動應急預案。公安機關可以對運營、使用單位採取二十四小時內停機檢查、暫停聯網、備份數據等應急措施。

第三十條　密碼管理部門應當對計算機信息系統密碼使用和管理的情況進行監督檢查，發現存在安全隱患、違反密碼管理有關規定或者未達到密碼相關標準要求的，應當按照國家密碼管理的相關規定進行處置。

第三十一條 公民、法人和其他組織發現有危害計算機信息系統安全違法行為的，有權向公安機關舉報。公安機關應當公布接受舉報電子信箱、電話等，並為舉報人保守秘密。

第三十二條 計算機信息系統運營、使用單位以及網際網路服務提供者和聯網使用單位有違反本條例第十條、第二十條第二款規定行為之一的，對單位的主管負責人和其他直接責任人員可以處五千元以下罰款，對單位可以處五千元以上一萬五千元以下罰款；不履行第七條、第八條、第二十條第一款、第二十二條和第二十三條規定的，由公安機關責令限期改正；逾期不改正的，給予警告；情節嚴重的，處以五日至三十日停止聯網、停機整頓的處罰。

第三十三條　單位和個人違反本條例第十七條、第十八條規定的，由公安機關給予警告， 責令限期改正，有違法所得的，沒收違法所得，對個人可以並處以五千元以下罰款，對單位並處以五千元以上一萬五千元以下罰款，情節嚴重的，可以給予六個月以內的停止聯網、停機整頓的處罰，必要時，可以建議原發證、審批機構吊銷許可或者取消聯網資格。

違反《中華人民共和國治安管理處罰法》和《中華人民共和國國家安全法》的，由公安機關和國家安全機關依法予以處罰；構成犯罪的，依法追究刑事責任。

第三十四條 提供網際網路公共上網服務的單位違反本條例第十九條規定的，由公安機關給予警告，責令限期改正，逾期不改正的，處以五千元以上一萬五千元以下的罰款；情節嚴重的，給予六個月以內的停止聯網、停業整頓的處罰，並可以建議原許可機關吊銷許可或者取消聯網資格。

第三十五條 生產、銷售或者提供含有計算機信息網路遠程控制、密碼猜解、漏洞檢測、信息群發技術等功能的產品和工具的單位違反本條例第二十一條規定的，由公安機關給予警告，責令限期改正，處以五千元以上一萬五千元以下罰款。

第三十六條 計算機信息系統安全等級測評機構和從事計算機信息系統安全保護工作的人員違反本條例第二十四條規定的，由公安機關處以三千元以上一萬元以下罰款；給單位或者他人財產造成損失的，應當依法承擔賠償責任。

第三十七條　涉密系統使用單位違反本條例第十二條、第十四條第三款、第十五條規定的，由保密行政管理部門責令限期改正；逾期不改的，給予警告，並向其上級主管部門通報情況；情節嚴重的，建議對主管人員和其他直接責任人員給予處分；構成犯罪的，依法追究刑事責任。

第三十八條　公安機關、國家安全機關、保密行政管理等部門的工作人員有下列行為之一的，對直接負責的主管人員和其他直接責任人員給予處分；構成犯罪的，依法追究刑事責任：

（一）不履行監督檢查職責，造成嚴重後果的；

（二）收到備案材料，不按照規定期限和要求辦理的；

（三）接到舉報，未依職責處理的；

（四）泄露計算機信息系統運營、使用單位或者個人的有關信息、資料及數據檔案的；

（五）有其他徇私舞弊、濫用職權、玩忽職守行為的。

第三十九條 本條例下列用語的含義是：

（一）計算機信息系統，是指由計算機及其相關的和配套的設備、設施（含網路）構成的，按照一定的套用目標和規則對信息進行採集、加工、存儲、傳輸、檢索等處理的人機系統。

（二）網際網路服務提供者，是指向用戶提供網際網路接入服務、網際網路數據中心服務、網際網路信息服務和網際網路上網服務的單位。

（三）聯網使用單位，是指為本單位套用需要連線並使用網際網路的單位。

第四十條 本條例自2009年10 月1日起施行。