廣東省計算機信息系統(tǒng)安全保護條例

廣東省計算機信息系統(tǒng)安全保護條例

（2007年12月20日廣東省第十屆人民代表大會常務(wù)委員會第三十六次會議通過）

第一章  總則

第一條  為保護計算機信息系統(tǒng)安全，根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》及有關(guān)法律法規(guī)，結(jié)合本省實際，制定本條例。

第二條  本條例所稱的計算機信息系統(tǒng)，是指由計算機及其相關(guān)的和配套的設(shè)備、設(shè)施構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)或者網(wǎng)絡(luò)。

第三條  本條例適用于本省行政區(qū)域內(nèi)計算機信息系統(tǒng)的安全保護。

第四條  計算機信息系統(tǒng)的安全保護，應(yīng)當(dāng)保障計算機及其相關(guān)的和配套的設(shè)備、設(shè)施、網(wǎng)絡(luò)的安全，運行環(huán)境的安全，保障信息的安全，保障計算機功能的正常發(fā)揮，以維護計算機信息系統(tǒng)的安全運行。

第五條  縣級以上人民政府公安機關(guān)主管本行政區(qū)域內(nèi)計算機信息系統(tǒng)的安全保護工作。

縣級以上人民政府國家安全機關(guān)、保密工作部門、密碼管理部門和其他有關(guān)部門在各自職責(zé)范圍內(nèi)做好計算機信息系統(tǒng)的安全保護工作。

第六條  任何組織或者個人，不得利用計算機信息系統(tǒng)從事危害國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的活動，不得危害計算機信息系統(tǒng)的安全。

 

第二章  安全管理

第七條  計算機信息系統(tǒng)實行安全等級保護。

計算機信息系統(tǒng)安全等級保護按照國家規(guī)定的標(biāo)準(zhǔn)和要求，堅持自主定級、自主保護的原則。

第八條  計算機信息系統(tǒng)安全保護等級根據(jù)計算機信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度，計算機信息系統(tǒng)受到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定，分為五級：

（一）計算機信息系統(tǒng)受到破壞后，可能對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益的，為第一級；

（二）計算機信息系統(tǒng)受到破壞后，可能對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者可能對社會秩序和公共利益造成損害，但不損害國家安全的，為第二級；

（三）計算機信息系統(tǒng)受到破壞后，可能對社會秩序和公共利益造成嚴(yán)重?fù)p害，或者可能對國家安全造成損害的，為第三級；

（四）計算機信息系統(tǒng)受到破壞后，可能對社會秩序和公共利益造成特別嚴(yán)重?fù)p害，或者可能對國家安全造成嚴(yán)重?fù)p害的，為第四級；

（五）計算機信息系統(tǒng)受到破壞后，可能對國家安全造成特別嚴(yán)重?fù)p害的，為第五級。

第九條  計算機信息系統(tǒng)規(guī)劃、設(shè)計、建設(shè)和維護應(yīng)當(dāng)同步落實相應(yīng)的安全措施，使用符合國家有關(guān)規(guī)定、滿足計算機信息系統(tǒng)安全保護需求的信息技術(shù)產(chǎn)品。

第十條  計算機信息系統(tǒng)的運營、使用單位應(yīng)當(dāng)按照國家有關(guān)規(guī)定，建立、健全計算機信息系統(tǒng)安全管理制度，確定安全管理責(zé)任人，負(fù)責(zé)計算機信息系統(tǒng)的安全保護工作。

計算機信息系統(tǒng)信息服務(wù)提供者應(yīng)當(dāng)設(shè)立信息審查員，負(fù)責(zé)信息審查工作。

第十一條   第二級以上計算機信息系統(tǒng)的運營、使用單位應(yīng)當(dāng)建立安全保護組織，并報地級以上市人民政府公安機關(guān)備案。

第十二條  第二級以上計算機信息系統(tǒng)建設(shè)完成后，運營、使用單位或者其主管部門應(yīng)當(dāng)選擇符合國家規(guī)定的安全等級測評機構(gòu)，依據(jù)國家規(guī)定的技術(shù)標(biāo)準(zhǔn)，對計算機信息系統(tǒng)安全等級狀況開展等級測評，測評合格后方可投入使用。

第十三條  計算機信息系統(tǒng)的運營、使用單位及其主管部門應(yīng)當(dāng)按照國家規(guī)定定期對計算機信息系統(tǒng)開展安全等級測評，并對計算機信息系統(tǒng)安全狀況、安全管理制度及措施的落實情況進行自查。

計算機信息系統(tǒng)安全狀況經(jīng)測評或者自查，未達到安全等級保護要求的，運營、使用單位應(yīng)當(dāng)進行整改。

第十四條  第二級以上計算機信息系統(tǒng)，由運營、使用單位在投入運行后三十日內(nèi)，到地級市以上人民政府公安機關(guān)備案。

第十五條  計算機信息系統(tǒng)備案后，對符合安全等級保護要求的，公安機關(guān)應(yīng)當(dāng)在收到備案材料之日起十個工作日內(nèi)頒發(fā)計算機信息系統(tǒng)安全等級保護備案證明；對不符合安全等級保護要求的，應(yīng)當(dāng)在收到備案材料之日起十個工作日內(nèi)通知備案單位予以糾正。

運營、使用單位或者其主管部門重新確定計算機信息系統(tǒng)等級的，應(yīng)當(dāng)按照本條例向公安機關(guān)重新備案。

第十六條  計算機信息系統(tǒng)的運營、使用單位應(yīng)當(dāng)接受公安機關(guān)、國家指定的專門部門的安全監(jiān)督、檢查、指導(dǎo)，按照國家有關(guān)規(guī)定如實提供有關(guān)計算機信息系統(tǒng)安全保護的信息、資料及數(shù)據(jù)文件。

對計算機信息系統(tǒng)中發(fā)生的案件和重大安全事故，計算機信息系統(tǒng)的運營、使用單位應(yīng)當(dāng)在二十四小時內(nèi)報告縣級以上人民政府公安機關(guān)，并保留有關(guān)原始記錄。

第十七條  第二級以上計算機信息系統(tǒng)的運營、使用單位應(yīng)當(dāng)制定重大突發(fā)事件應(yīng)急處置預(yù)案。

第二級以上計算機信息系統(tǒng)發(fā)生重大突發(fā)事件，有關(guān)單位應(yīng)當(dāng)按照應(yīng)急處置預(yù)案的要求采取相應(yīng)的處置措施，并服從公安機關(guān)和國家指定的專門部門的調(diào)度。

第十八條  第二級以上計算機信息系統(tǒng)的運營、使用單位應(yīng)當(dāng)建立并執(zhí)行下列安全管理制度：

（一）計算機機房安全管理制度；

（二）安全責(zé)任制度；

（三）網(wǎng)絡(luò)安全漏洞檢測和系統(tǒng)升級制度；

（四）系統(tǒng)安全風(fēng)險管理和應(yīng)急處置制度；

（五）操作權(quán)限管理制度；

（六）用戶登記制度；

（七）重要設(shè)備、介質(zhì)管理制度；

（八）信息發(fā)布審查、登記、保存、清除和備份制度；

（九）信息群發(fā)服務(wù)管理制度。

第十九條  第二級以上計算機信息系統(tǒng)的運營、使用單位應(yīng)當(dāng)采取下列安全保護技術(shù)措施：

（一）系統(tǒng)重要部分的冗余或者備份措施；

（二）計算機病毒防治措施；

（三）網(wǎng)絡(luò)攻擊防范和追蹤措施；

（四）安全審計和預(yù)警措施；

（五）系統(tǒng)運行和用戶使用日志記錄保存六十日以上措施；

（六）記錄用戶賬號、主叫電話號碼和網(wǎng)絡(luò)地址的措施；

（七）身份登記和識別確認(rèn)措施；

（八）垃圾信息、有害信息防治措施；

（九）信息群發(fā)限制措施。

第二十條  涉密計算機信息系統(tǒng)應(yīng)當(dāng)依據(jù)國家信息安全等級保護的要求，按照國家有關(guān)涉密計算機信息系統(tǒng)分級保護的管理規(guī)定和技術(shù)標(biāo)準(zhǔn)，結(jié)合計算機信息系統(tǒng)實際情況進行保護。

第二十一條   涉密計算機信息系統(tǒng)按照所處理信息的最高密級，由低到高分為秘密、機密、絕密三個等級，并實行涉密計算機信息系統(tǒng)分級保護。

第二十二條  涉密計算機信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)將涉密計算機信息系統(tǒng)定級和建設(shè)使用情況，及時報業(yè)務(wù)主管部門和負(fù)責(zé)系統(tǒng)審批的保密工作部門備案，并接受保密工作部門的監(jiān)督、檢查、指導(dǎo)。

第二十三條  涉密計算機信息系統(tǒng)投入使用前，應(yīng)當(dāng)按照國家有關(guān)規(guī)定報地級市以上人民政府保密工作部門審批，通過審批后方可投入使用。

第二十四條  計算機信息系統(tǒng)安全等級保護中密碼的配備、使用和管理等，應(yīng)當(dāng)按照國家密碼管理的有關(guān)規(guī)定執(zhí)行。

 

第三章  安全秩序

第二十五條  任何單位和個人不得利用計算機信息系統(tǒng)制作、傳播、復(fù)制下列信息：

（一）反對憲法確定的基本原則的；

（二）危害國家統(tǒng)一、主權(quán)和領(lǐng)土完整的；

（三）泄露國家秘密，危害國家安全或者損害國家榮譽和利益的；

（四）煽動民族仇恨、民族歧視，破壞民族團結(jié)或者侵害民族風(fēng)俗、習(xí)慣的；

（五）破壞國家宗教政策，宣揚邪教、迷信的；

（六）散布謠言，發(fā)布虛假信息，擾亂社會秩序，破壞社會穩(wěn)定的；

（七）煽動聚眾滋事，損害社會公共利益的；

（八）宣揚淫穢、色情、賭博、暴力、兇殺、恐怖的；

（九）教唆犯罪的；

（十）侮辱或者誹謗他人，侵害他人合法權(quán)益的；

（十一）其他法律法規(guī)禁止的內(nèi)容。

第二十六條  任何單位和個人不得利用計算機信息系統(tǒng)實施下列行為：

（一）未經(jīng)允許進入計算機信息系統(tǒng)或者非法占有、使用、竊取計算機信息系統(tǒng)資源；

（二）竊取、騙取、奪取計算機信息系統(tǒng)控制權(quán)；

（三）擅自向第三方公開他人電子郵箱地址和其他個人信息資料;

（四）竊取他人賬號和密碼，或者擅自向第三方公開他人賬號和密碼；

（五）假冒他人名義發(fā)送信息；

（六）未經(jīng)允許，對計算機信息系統(tǒng)功能進行刪除、修改、

增加或者干擾；

（七）未經(jīng)允許，對計算機信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進行刪除、修改或者增加；

（八）故意制作、傳播計算機病毒、惡意軟件等破壞性程序;

（九）危害計算機信息系統(tǒng)安全的其他行為。

第二十七條  任何單位和個人不得利用計算機信息系統(tǒng)非法傳遞或者交易涉及國家秘密的文件、資料和其他物品，不得將涉密計算機信息系統(tǒng)與國際互聯(lián)網(wǎng)、其它公共信息網(wǎng)絡(luò)相聯(lián)接，不得利用非涉密計算機信息系統(tǒng)處理涉及國家秘密的信息。

第二十八條  提供互聯(lián)網(wǎng)上網(wǎng)服務(wù)的場所應(yīng)當(dāng)安裝國家規(guī)定的安全管理系統(tǒng)。

接入互聯(lián)網(wǎng)的計算機信息系統(tǒng)的運營、使用單位和互聯(lián)網(wǎng)服務(wù)單位采取的安全保護技術(shù)措施，應(yīng)當(dāng)具有符合公共安全行業(yè)技術(shù)標(biāo)準(zhǔn)的聯(lián)網(wǎng)接口。

第二十九條  接入服務(wù)提供者、信息服務(wù)提供者以及數(shù)據(jù)中心服務(wù)提供者應(yīng)當(dāng)加強對本網(wǎng)絡(luò)用戶的安全宣傳，落實安全保護措施，確保網(wǎng)絡(luò)正常運行。發(fā)現(xiàn)有害信息應(yīng)當(dāng)保存有關(guān)記錄，及時采取刪除、停止傳輸?shù)燃夹g(shù)