徐州市計算機信息系統安全保護條例

（2008年12月12日徐州市第十四屆人民代表大會常務委員會第6次會議制定，2009年1月18日江蘇省第十一屆人民代表大會常務委員會第7次會議批准）

第一條 為了加強計算機信息系統的安全保護工作，維護國家安全、社會秩序和公共利益，促進信息化的健康發展，根據《中華人民共和國計算機信息系統安全保護條例》等法律、法規，結合本市實際，制定本條例。

第二條 本條例適用於徐州市行政區域內計算機信息系統及其信息內容的安全保護和監督管理。

第三條 市、縣（市）、賈汪區公安機關(以下簡稱公安機關)主管本行政區域內計算機信息系統安全保護工作。

國家安全、文化、保密、信息化管理及其他有關部門，依據各自職責做好計算機信息系統安全保護有關工作。

第四條 公安、國家安全、文化、保密、信息化管理及其他有關部門在履行職責過程中，應當維護計算機信息系統運營、使用單位和個人的合法權益，保守其商業秘密和個人隱私。

第五條 任何組織或者個人，不得危害計算機信息系統的安全；不得利用計算機信息系統從事危害國家安全、社會秩序、公共利益以及侵害公民、法人和其他組織合法權益的活動。

第六條 計算機信息系統實行安全等級保護制度。

計算機信息系統安全保護等級按照國家規定劃分為以下五級：

（一）計算機信息系統受到破壞後，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益的，為第一級；

（二）計算機信息系統受到破壞後，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全的，為第二級；

（三）計算機信息系統受到破壞後，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害的，為第三級；

（四）計算機信息系統受到破壞後，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害的，為第四級；

（五）計算機信息系統受到破壞後，會對國家安全造成特別嚴重損害的，為第五級。

第七條 計算機信息系統運營、使用單位應當根據國家有關管理規範、技術標準確定計算機信息系統的安全保護等級，對於新建、改建、擴建的計算機信息系統，運營、使用單位應當在規劃、設計階段確定計算機信息系統的安全保護等級，並同步建設符合該安全保護等級要求的安全保護設施。

第八條 第二級以上計算機信息系統投入運行後三十日內，其運營、使用單位應當向市公安機關備案。

市公安機關應當自收到備案材料之日起十日內，對符合安全保護等級要求的，頒發備案證明；對定級不準確的，通知運營、使用單位重新定級後予以備案。

第九條 計算機信息系統的結構、處理流程、服務內容等發生變化，致使安全保護等級發生變更的，運營、使用單位應當重新定級、重新備案。

計算機信息系統備案事項發生變更的，運營、使用單位應當自變更之日起三十日內將變更情況報告公安機關。

第十條 計算機信息系統運營、使用單位應當使用符合信息系統安全保護等級要求的信息技術產品和依法取得銷售許可證的安全專用產品。

第十一條 計算機信息系統運營、使用單位應當按照國家規定，定期對計算機信息系統安全等級保護狀況開展等級測評，對計算機信息系統安全狀況、安全保護制度及措施的落實情況進行自查；未達到安全保護等級要求的，應當進行整改。

第十二條 計算機信息系統運營、使用單位應當明確安全管理責任人、安全管理人員及安全技術人員，建立並執行下列安全保護制度：

（一）計算機機房安全管理；

（二）網路安全漏洞檢測和系統升級管理；

（三）信息發布審查、登記、保存、清除和備份；

（四）違法犯罪案件報告和協助查處；

（五）信息系統安全教育和培訓；

（六）安全應急處置。

第十三條 計算機信息系統運營、使用單位應當按照國家規定採取下列安全保護措施：

（一）身份登記和識別確認；

（二）記錄用戶帳號、主叫號碼和網路地址；

（三）系統運行和用戶使用日誌記錄保存六十日以上。

第二級以上計算機信息系統運營、使用單位還應當採取下列安全保護措施：

（一）系統重要部分的冗餘、重要數據備份；

（二）計算機病毒防治；

（三）網路攻擊防範和追蹤；

（四）安全審計和預警；

（五）法律、法規規定的其他安全保護措施。

第十四條 涉及國家秘密的計算機信息系統的設計實施、定級備案、運行維護和日常保密管理，應當依據國家信息安全等級保護的要求，按照保密部門的有關規定和技術標準執行。

第十五條 網際網路接入服務、網際網路數據中心服務、網際網路信息服務的提供者，應當自網路聯通之日起三十日內向市公安機關備案。

第十六條 網際網路信息服務的提供者應當採取以下管理措施：

（一）確定信息審核人員；

（二）防治垃圾信息、違法信息；

（三）限制信息群發、匿名信息傳送；

（四）按照國家規定，刪除本網路中含有本條例第十九條內容的地址、目錄或者關閉伺服器，並保存有關記錄。

第十七條 向社會公眾提供網際網路上網服務的網咖、賓館等場所的經營單位應當採取以下安全保護措施：

（一）安裝並運行國家規定的安全管理系統；

（二）對上網人員進行實名登記；

（三）記錄有關上網信息，登記內容和記錄備份保存時間不得少於六十日，在保存期內不得修改或者刪除。

第十八條 任何單位和個人不得利用計算機信息系統實施下列行為：

（一）未經允許，進入計算機信息系統或者非法占有、使用、竊取計算機信息系統資源；

（二）竊取、騙取、奪取計算機信息系統控制權；

（三）未經允許，對計算機信息系統功能進行刪除、修改、增加或者干擾；

（四）未經允許，對計算機信息系統存儲、處理或者傳輸的數據和應用程式進行刪除、修改或者增加；

（五）故意製作、傳播計算機病毒、惡意軟體等破壞性程式；

（六）竊取他人賬號、密碼及其他信息資料；

（七）未經允許，提供或者公開他人的信息資料；

（八）非法截獲、篡改、刪除他人電子郵件或者其他數據資料；

（九）假冒他人名義發布、傳送信息。

第十九條 任何單位和個人不得利用計算機信息系統製作、複製、傳播下列信息：

（一）危害國家統一、主權和領土完整的；

（二）泄露國家秘密，危害國家安全或者損害國家榮譽和利益的；

（三）煽動民族仇恨、民族歧視，破壞民族團結或者侵害民族風俗、習慣的；

（四）破壞國家宗教政策，宣揚邪教、迷信的；

（五）煽動聚眾滋事，損害社會公共利益的；

（六）散布謠言，發布虛假信息，擾亂社會秩序，破壞社會穩定的；

（七）宣揚淫穢、色情、賭博、暴力、兇殺、恐怖的；

（八）教唆犯罪或者傳授犯罪方法的；

（九）散布他人隱私，或者侮辱、誹謗、恐嚇他人的；

（十）買賣法律、法規禁止流通的物品的；

（十一）提供假票據、假證件的。

第二十條 計算機信息系統運營、使用單位發現計算機信息系統發生重大安全事故和違法犯罪案件，應當及時採取技術措施予以防護和制止，留存運行日誌等原始記錄，並在二十四小時內向公安機關報告；涉及其他管理部門職責的，還應當及時報告有關部門。

第二十一條 公安、國家安全、文化、保密、信息化管理及其他有關部門應當建立計算機信息系統安全監督管理協作機制，按照國家規定，對計算機信息系統運營、使用單位的安全保護工作進行監督檢查。

第二十二條 公安機關應當定期對計算機信息系統運營、使用單位的信息安全等級保護工作進行檢查、指導和監督；對第三級計算機信息系統每年至少檢查一次，對第四級計算機信息系統每半年至少檢查一次。

第二十三條 計算機信息系統的安全保護等級和安全保護措施不符合信息安全等級保護管理規定，或者存在安全隱患的，公安機關應當通知運營、使用單位進行整改。運營、使用單位應當及時整改，並將整改情況報告公安機關。

第二十四條 在計算機信息系統發生突發事件，造成或者可能造成嚴重社會危害的緊急情況下，公安機關可以採取停機檢查、暫停聯網、備份數據等措施，計算機信息系統運營、使用單位應當予以配合。

突發事件消除後，公安機關應當及時解除暫停聯網或者停機檢查措施，恢復計算機信息系統的正常運行。

第二十五條 計算機信息系統運營、使用單位應當協助公安機關及其他有關部門做好安全保護監督管理工作。在公安機關及其他有關部門依法履行職責時，應當如實提供計算機信息系統的有關資料。

第二十六條 有下列行為之一的，由公安機關責令限期改正，給予警告，有違法所得的，沒收違法所得；逾期不改正的，可以並處一千元以上一萬元以下罰款，對單位的主管人員和其他直接責任人員可以並處五百元以上五千元以下罰款；情節嚴重的，並可以給予六個月以內停止聯網、停機整頓的處罰，必要時可以建議許可機構吊銷經營許可證或者取消聯網資格：

（一）違反本條例第十二條規定，未建立或者未執行安全保護制度的；

（二）違反本條例第十三條規定，未採取安全保護措施的；

（三）違反本條例第十六條規定，未採取管理措施的；

（四）違反本條例第二十五條規定，未如實提供計算機信息系統有關資料的。

國有企業事業單位有前款第一項、第二項所列行為之一，造成嚴重後果的，還應當依法對主管人員、其他直接責任人員給予行政處分。

第二十七條 違反本條例第十七條規定的，由公安機關給予警告，可以並處一千元以上一萬元以下罰款；情節嚴重的，責令停業整頓，必要時可以建議許可機構吊銷經營許可證。

第二十八條 違反本條例規定，有第十八條、第十九條所列行為之一的，由公安機關給予警告，有違法所得的，沒收違法所得，對個人可以並處五百元以上五千元以下罰款，對單位可以並處一千元以上一萬元以下罰款；情節嚴重的，並可以給予六個月以內停止聯網、停機整頓的處罰，必要時可以建議許可機構吊銷經營許可證或者取消聯網資格；違反《中華人民共和國治安管理處罰法》的，依法予以處罰。

第二十九條 有下列行為之一的，由公安機關責令改正，給予警告；情節嚴重的，處以一個月以內停機整頓的處罰：

（一）違反本條例第七條規定，未確定安全保護等級的；

（二）違反本條例第十五條規定，未辦理備案手續的；

（三）違反本條例第二十條規定，未按時向公安機關報告的；

（四）違反本條例第二十三條規定，接到公安機關整改通知後，未及時整改的。

第三十條 公安、國家安全、文化、保密及其他有關部門及其工作人員有下列行為之一的，對主管人員、其他直接責任人員依法給予行政處分：

（一）利用職權索取、收受賄賂，或者玩忽職守、濫用職權、徇私舞弊的；

（二）泄露計算機信息系統運營、使用單位或者個人的有關信息、資料及數據檔案的；

（三）不依法履行監督管理職責，造成嚴重後果的。

第三十一條 違反本條例規定的行為，有關法律、法規對處罰及處罰機關另有規定的，從其規定。

第三十二條 本條例有關用語的含義：

（一）計算機信息系統，是指由計算機及其相關的和配套的設備、設施構成的，按照一定的套用目標和規則對信息進行採集、加工、存儲、傳輸、檢索等處理的人機系統，包括未接入網際網路的計算機信息系統（含區域網路）以及接入（含無線方式接入）網際網路的計算機信息系統；

（二）網際網路數據中心服務，是指提供主機託管、租賃和虛擬空間租用等服務。

第三十三條 本條例自2009年6月1日起施行。

主任、各位副主任、秘書長、各位委員：

《徐州市計算機信息系統安全保護條例》（以下簡稱條例），已於2008年12月12日經徐州市十四屆人大常委會第六次會議制定，現提請省人大常委會本次會議審議批准。我受徐州市人大常委會的委託，現就條例的有關問題作如下說明：

一、關於計算機信息系統的等級保護

對計算機信息系統實行安全等級保護管理，是計算機信息系統安全保護的一項基礎性制度，也是保障信息系統安全的基本方法和有效途徑。根據《中華人民共和國計算機信息系統安全保護條例》關於“計算機信息系統實行安全等級保護”和2007年公安部等四部委聯合出台的《信息安全等級保護管理辦法》的規定，條例從我市實際出發就計算機信息系統等級保護管理主要作了以下幾個方面的規定：

一是計算機信息系統運營、使用單位應當根據國家規定確定計算機信息系統安全保護等級，對於新建、改建、擴建計算機信息系統，應當在設計、規劃階段確定其安全保護等級，並同步建

設符合安全等級保護要求的安全保護設施（見條例第七條）。

二是第二級以上的計算機信息系統投入運行後三十日內，其運營、使用單位應當向市公安機關備案（見條例第八條）。

三是對安全等級測評和自查制度作了原則性規定（見條例第十一條）。

二、關於安全管理制度

計算機信息系統的安全涉及面廣、影響大、情況複雜，建立有效的、可行的安全保護管理制度十分重要。根據《中華人民共和國計算機信息系統安全保護條例》關於“計算機信息系統的使用單位應當建立健全安全管理制度，負責本單位計算機信息系統的安全保護工作”，條例第十二條規定了計算機信息系統運營、使用單位應當建立六個方面的管理制度，具體包括計算機機房安全管理；網路安全漏洞檢測和系統升級管理；信息發布審查、登記、保存、清除和備份；違法犯罪案件報告和協助查處；信息系統安全教育和培訓；安全應急處置等，有利於加強和規範運營、使用單位的安全管理。

三、關於安全保護措施

在計算機信息系統的關鍵區域、關鍵部位、關鍵節點採取安全保護措施，或者對網際網路上的違法犯罪的實施過程、結果予以審計，是保障計算機信息系統安全，預防和打擊計算機違法犯罪的重要技術手段。條例在規範安全保護措施上，主要作了以下幾個方面的規定：

一是規定了所有的計算機信息系統均應採取的安全保護措施。包括身份登記和識別確認；記錄用戶帳號、主叫號碼和網路地址；系統運行和用戶使用日誌記錄保存六十日以上（見條例第十三條第一款）。

二是對第二級以上計算機信息系統的安全保護措施作了更嚴格的規定。包括系統重要部分的冗餘、重要數據備份；計算機病毒防治；網路攻擊防範和追蹤；安全審計和預警等（見條例第十三條第二款）。

三是對網際網路信息服務的提供者應當採取的安全保護措施作了特別的規定。包括確定信息審核人員；防治垃圾信息、違法信息；限制信息群發、匿名信息傳送；按照國家規定，刪除本網路中含有本條例第十九條內容的地址、目錄或者關閉伺服器，並保存有關記錄等（見條例第十六條）。

四是根據國務院《網際網路上網服務營業場所管理條例》的規定，條例對向社會公眾提供網際網路上網服務的網咖、賓館等場所的經營單位應當採取的安全保護措施作了特別規定。包括安裝並運行國家規定的安全管理系統；對上網人員進行實名登記；記錄有關上網信息，登記內容和記錄備份保存時間不得少於六十日，在保存期內不得修改或者刪除等（見條例第十七條）。

四、關於禁止性行為的規定

當前，利用計算機信息系統進行違法犯罪活動情況比較嚴重，非法盜取他人帳號、密碼，網路黑客攻擊他人系統時有發生，計算機病毒、木馬等破壞性程式大肆傳播，淫穢、色情、暴力、詐欺信息屢禁不止，散布、傳播謠言以及擅自公布他人信息等危害社會秩序、公共利益和他人合法權益的行為較為突出，已經成為人民民眾十分關注的熱點問題。為了保障計算機信息系統的正常運行，維護網際網路上網秩序，營造潔淨的網路空間，條例第十八條、第十九條對利用計算機信息系統實施的違法行為採取列舉的方式，作出了禁止性規定，並設定了相應的法律責任。

五、關於法律責任

根據上位法的規定和我市實際，按照不與上位法牴觸的原則，對一些違反條例的行為作了較為具體的處罰規定（見條例第二十六條至第三十一條）。

以上說明連同條例，請予審議。

主任、各位副主任、秘書長、各位委員：

《徐州市計算機信息系統安全保護條例》已經徐州市十四屆人大常委會第六次會議制定，現報省人大常委會批准。省人大常委會法制工作委員會在該條例通過前進行了初步審查，並徵求了省政府法制辦、省公安廳、省文化廳等有關部門以及部分省人大代表、立法專家的意見。省人大法制委員會於12月30日召開全體會議對該條例進行了審議，現將審議意見報告如下：

隨著經濟社會的迅速發展，計算機作為現代社會的高科技產物被廣泛套用，但計算機信息系統的建設、套用和管理還不夠規範，信息系統的安全問題日益突出。為了加強計算機信息系統的安全保護工作，維護國家安全、社會秩序和公共利益，徐州市根據國家的有關規定，結合本市實際，制定該條例是必要的。該條例對計算機信息系統的等級保護、安全管理制度、安全保護措施等方面作了明確規定，內容具體，可操作性較強。

該條例同憲法、法律、行政法規和本省的地方性法規不相牴觸。建議本次會議審議後予以批准。

以上報告，請予審議。