雲南省網路與信息系統安全監察管理規定

2004年5月10日省人民政府第17次常務會議通過，現予公布，自2005年1月1日起施行。

二00四年十一月七日

第一條　為了保護網路與信息系統安全，促進網路的套用和發展，根據《中華人民共和國計算機信息系統安全保護條例》和有關法律、法規，結合本省實際情況，特制定本規定。

第二條　縣級以上人民政府領導和協調網路與信息系統安全工作。縣級以上公安機關主管本行政區域區域網路絡與信息系統安全監察管理工作。

縣級以上國家安全機關、國家保密工作部門、信息產業部門和其他有關部門，在各自職責範圍內負責網路與信息系統安全管理的有關工作。

第三條　對網路與信息系統實行安全等級保護制度。對下列單位涉及的基礎信息網路和關係國家安全、經濟命脈、社會穩定等方面的重要信息系統的安全，實行重點保護：

（一）各級機關；

（二）銀行、保險、證券等金融單位；

（三）郵政、電信單位；

（四）廣播、電視、新聞出版單位；

（五）重點電力、煤炭、燃氣、燃油等能源單位；

（六）航空、鐵路和重點公路、水運等運輸單位；

（七）水利及水源供給單位；

（八）重要物資儲備單位；

（九）重點工程建設單位；

（十）大型工商、信息技術企業；

（十一）重點科研、教育機構；

（十二）醫療衛生、消防、緊急救援等社會應急服務機構；

（十三）需要實行重點保護的其他單位。

第四條　重點保護的網路與信息系統應當達到下列安全保護要求：

（一）機房及外部環境、設備及媒體的安全應當符合有關法律、法規、規章和標準的要求；

（二）具備風險分析、備份與恢復、容災應急等信息運行安全保護措施；

（三）具有作業系統安全、資料庫安全、網路安全、病毒防護、訪問控制等信息安全保護措施和防範非法侵入、攻擊網路與信息系統的安全保護措施；

（四）使用具有《計算機信息系統安全專用產品銷售許可證》等行政許可證件的網路與信息系統安全專用產品；

（五）設定網路與信息系統安全管理機構或者配備專職或者兼職網路與信息系統安全員，具體負責網路與信息系統安全保護工作。

第五條　從事國際聯網業務或者向公眾提供上網服務的重點保護的網路與信息系統，除應當達到第四條規定的安全保護要求外，還應當達到下列安全保護要求：

（一）具有系統運行和用戶使用日誌記錄保存60日以上的措施；

（二）具有記錄用戶主叫電話號碼或者網路地址的措施；

（三）具有使用者身份登記和識別確認措施；

（四）具有垃圾郵件過濾、有害信息控制等安全防護措施；

（五）安裝有國家規定的安全管理軟硬體。

第六條　重點保護的網路與信息系統使用單位應當建立以下安全保護制度：

（一）計算機機房安全管理制度；

（二）安全管理責任人的任免和安全責任制度；

（三）網路安全漏洞檢測和安全系統升級管理制度；

（四）操作許可權管理制度；

（五）用戶登記制度；

（六）信息發布的審查、登記、保存、清除和備份制度；

（七）信息群發服務管理制度。

第七條　重點保護的網路與信息系統配備的專職或者兼職網路與信息系統安全員應當取得國家認可的信息安全專業人員資格，未取得信息安全專業人員資格的，應當經過縣級以上公安機關組織或者會同有關部門組織的專業培訓，並考核合格。

網路與信息系統安全員實行年度專業考核制度。

第八條　網路與信息系統安全集成，由具有網路與信息系統安全集成能力的單位承擔。

從事重點保護的網路與信息系統安全集成的單位應當取得國家有關部門認可的集成資質，並配備適應安全集成需要、掌握相關網路與信息系統安全標準的技術人員。

網路與信息系統安全集成單位應當向州（市）以上公安機關備案，並接受公安機關的監督檢查。

第九條　安全集成單位在從事重點保護的網路與信息系統安全集成時，應當執行國家有關網路與信息系統安全保護的標準，在安全集成完成後及時將所有資料交網路與信息系統使用單位，並對安全集成系統的網路結構、配置以及在安全集成中獲悉的國家秘密、商業秘密負有保密責任。禁止在安全集成的網路與信息系統中設定隱蔽信道。

第十條　重點保護的網路與信息系統在新建、改建、擴建之前，使用單位應當將安全措施方案報有管轄權的公安機關備案。

第十一條　重點保護的網路與信息系統實行安全技術檢測制度。安全技術檢測執行有關國家標準和行業標準。經安全技術檢測不符合安全要求的，應當進行整改。

重點保護的網路與信息系統應當在正式投入使用前進行首次安全技術檢測；在本規定施行前已投入正式使用的，應當在本規定施行之日起6個月內完成首次安全技術檢測。

重點保護的網路與信息系統在首次安全技術檢測後，應當每年至少進行一次安全技術檢測。

重點保護的網路與信息系統設備更新或者改造、網路結構變更，以及處理信息的種類、性質變更，對安全保護措施產生直接影響的，應當在投入運行前對受影響的部分進行安全技術檢測。

重點保護以外的網路與信息系統應當加強安全技術檢測，及時消除隱患。

第十二條　重點保護的網路與信息系統的使用單位發現危害網路與信息系統安全的隱患或者事故時，應當保留有關原始記錄，並在24小時內向當地縣級以上公安機關報告。公安機關發現危害網路與信息系統安全的隱患或者事故時，應當及時通知有關使用單位。

使用單位應當及時採取措施，消除、處理危害網路與信息系統安全的隱患或者事故。公安機關應當加強監督檢查，及時處理危害網路與信息系統安全的事件。

第十三條　網路與信息系統安全技術檢測，由具有安全技術檢測能力的單位承擔。

從事重點保護的網路與信息系統安全技術檢測的單位，應當經國家權威機構認可。因特殊情況自行完成安全技術檢測的，應當具備開展計算機作業系統、資料庫、網路、機房　環境等安全檢測的必要設備，配備適應安全技術檢測需要、掌握網路與信息系統安全標準並經省級公安機關專業安全培訓或者考核合格的技術人員。

網路與信息系統安全技術檢測單位應當向州（市）以上公安機關備案，並接受公安機關的監督檢查。

第十四條　安全技術檢測單位對被檢測單位網路與信息系統的檢測內容、檢測結果和所涉及的國家秘密、商業秘密等所有資料應當保密。禁止在所檢測的網路與信息系統中設定隱蔽信道。

第十五條　從事網路與信息系統安全專用產品研究開發和從事計算機病毒等有害數據防治研究的單位，應當報省級公安機關備案。

第十六條　從事網咖等網際網路上網服務營業場所經營活動的單位，應當按照《網際網路上網服務營業場所管理條例》的規定及國家有關規定，履行信息網路安全職責，落實信息網路安全技術措施，接受公安機關和有關部門的監督管理。

第十七條　單位或者個人有下列行為之一的，由縣級以上公安機關責令改正，給予警告或者對單位處15000元以下的罰款，對個人處5000元以下的罰款；構成犯罪的，依法追究刑事責任：

（一）非法侵入重點保護的網路與信息系統，修改、刪除、增加、破壞網路與信息系統的功能、程式及數據的；

（二）製作、傳播危害網路與信息系統安全的程式，或者惡意傳授危害網路與信息系統安全的程式製作和使用等方法，造成網路與信息系統損害的；

（三）故意干擾網路與信息系統正常運行的；

（四）有其他危害網路與信息系統安全行為的。

第十八條　單位或者個人利用網路與信息系統實施下列行為之一的，由公安機關依法給予行政處罰；構成犯罪的，依法追究刑事責任：

（一）危害國家安全、破壞社會穩定、破壞民族團結、宣揚邪教、迷信的；

（二）宣傳淫穢、賭博、暴力，實施詐欺活動，擾亂社會秩序，侵害他人合法權益的；

（三）法律、法規禁止的其他行為。

第十九條　重點保護的網路與信息系統使用單位有下列情形之一的，由縣級以上公安機關責令限期改正，或者會同有關部門進行處理；逾期不改正的，對單位處1萬元以下的罰款，對直接負責的主管人員和其他直接責任人員可以處1000元以下的罰款；構成違紀的，依法給予行政處分或者紀律處分；構成犯罪的，依法追究刑事責任：

（一）未達到本規定第四條規定的網路與信息系統安全保護要求的；

（二）從事國際聯網業務和向公眾提供上網服務的網路與信息系統未達到本規定第四條和第五條規定的網路與信息系統安全保護要求的；

（三）未建立本規定第六條規定的安全保護制度的；

（四）未按規定進行網路與信息系統安全技術檢測，或者經檢測達不到安全要求而擅自使用的；

（五）發現危害網路與信息系統安全的隱患或者事故而隱瞞、緩報、謊報或者故意破壞原始記錄的。

第二十條　網路與信息系統安全集成單位、安全技術檢測單位在安全集成、安全技術檢測活動中有下列情形之一的，由縣級以上公安機關責令改正，對單位處3萬元以下的罰款，對直接負責的主管人員和其他直接責任人員可以處5000元以下的罰款；構成犯罪的，依法追究刑事責任：

（一）不按照國家網路與信息系統安全標準進行安全集成或者安全技術檢測，造成網路與信息系統損害的；

（二）故意在進行安全集成或者安全技術檢測的網路與信息系統中設定隱蔽信道的；

（三）泄露安全集成系統的網路結構、配置或者在安全集成、安全技術檢測過程中獲取的其他國家秘密、商業秘密的；

（四）出具虛假安全集成、安全技術檢測結果證明的。

第二十一條　國家機關工作人員在網路與信息系統安全監察管理工作中玩忽職守、濫用職權、徇私舞弊的，依法給予行政處分；構成犯罪的，依法追究刑事責任。

第二十二條　本規定自2005年1月1日起施行。