廣東省計算機信息系統安全保護條例
(2007年12月20日廣東省第十屆人民代表大會常務委員會第三十六次會議通過 2007年12月20日公布 自2008年4月1日起施行)
第一章 總則
第二章 安全管理
第三章 安全秩序
第四章 安全監督
第五章 法律責任
第六章 附則
第一章 總則
第一條 為保護計算機信息系統安全,根據《中華人民共和國計算機信息系統安全保護條例》及有關法律法規,結合本省實際,制定本條例。
第二條 本條例所稱的計算機信息系統,是指由計算機及其相關的和配套的設備、設施構成的,按照一定的應用目標和規則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統或者網絡。
第三條 本條例適用于本省行政區域內計算機信息系統的安全保護。
第四條 計算機信息系統的安全保護,應當保障計算機及其相關的和配套的設備、設施、網絡的安全,運行環境的安全,保障信息的安全,保障計算機功能的正常發揮,以維護計算機信息系統的安全運行。
第五條 縣級以上人民政府公安機關主管本行政區域內計算機信息系統的安全保護工作。
縣級以上人民政府國家安全機關、保密工作部門、密碼管理部門和其他有關部門在各自職責范圍內做好計算機信息系統的安全保護工作。
第六條 任何組織或者個人,不得利用計算機信息系統從事危害國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的活動,不得危害計算機信息系統的安全。
第二章 安全管理
第七條 計算機信息系統實行安全等級保護。
計算機信息系統安全等級保護按照國家規定的標準和要求,堅持自主定級、自主保護的原則。
第八條 計算機信息系統安全保護等級根據計算機信息系統在國家安全、經濟建設、社會生活中的重要程度,計算機信息系統受到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定,分為五級:
(一)計算機信息系統受到破壞后,可能對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益的,為第一級;
(二)計算機信息系統受到破壞后,可能對公民、法人和其他組織的合法權益產生嚴重損害,或者可能對社會秩序和公共利益造成損害,但不損害國家安全的,為第二級;
(三)計算機信息系統受到破壞后,可能對社會秩序和公共利益造成嚴重損害,或者可能對國家安全造成損害的,為第三級;
(四)計算機信息系統受到破壞后,可能對社會秩序和公共利益造成特別嚴重損害,或者可能對國家安全造成嚴重損害的,為第四級;
(五)計算機信息系統受到破壞后,可能對國家安全造成特別嚴重損害的,為第五級。
第九條 計算機信息系統規劃、設計、建設和維護應當同步落實相應的安全措施,使用符合國家有關規定、滿足計算機信息系統安全保護需求的信息技術產品。
第十條 計算機信息系統的運營、使用單位應當按照國家有關規定,建立、健全計算機信息系統安全管理制度,確定安全管理責任人,負責計算機信息系統的安全保護工作。
計算機信息系統信息服務提供者應當設立信息審查員,負責信息審查工作。
第十一條 第二級以上計算機信息系統的運營、使用單位應當建立安全保護組織,并報地級以上市人民政府公安機關備案。
第十二條 第二級以上計算機信息系統建設完成后,運營、使用單位或者其主管部門應當選擇符合國家規定的安全等級測評機構,依據國家規定的技術標準,對計算機信息系統安全等級狀況開展等級測評,測評合格后方可投入使用。
第十三條 計算機信息系統的運營、使用單位及其主管部門應當按照國家規定定期對計算機信息系統開展安全等級測評,并對計算機信息系統安全狀況、安全管理制度及措施的落實情況進行自查。
計算機信息系統安全狀況經測評或者自查,未達到安全等級保護要求的,運營、使用單位應當進行整改。
第十四條 第二級以上計算機信息系統,由運營、使用單位在投入運行后三十日內,到地級市以上人民政府公安機關備案。
第十五條 計算機信息系統備案后,對符合安全等級保護要求的,公安機關應當在收到備案材料之日起十個工作日內頒發計算機信息系統安全等級保護備案證明;對不符合安全等級保護要求的,應當在收到備案材料之日起十個工作日內通知備案單位予以糾正。
運營、使用單位或者其主管部門重新確定計算機信息系統等級的,應當按照本條例向公安機關重新備案。
第十六條 計算機信息系統的運營、使用單位應當接受公安機關、國家指定的專門部門的安全監督、檢查、指導,按照國家有關規定如實提供有關計算機信息系統安全保護的信息、資料及數據文件。
對計算機信息系統中發生的案件和重大安全事故,計算機信息系統的運營、使用單位應當在二十四小時內報告縣級以上人民政府公安機關,并保留有關原始記錄。
第十七條 第二級以上計算機信息系統的運營、使用單位應當制定重大突發事件應急處置預案。
第二級以上計算機信息系統發生重大突發事件,有關單位應當按照應急處置預案的要求采取相應的處置措施,并服從公安機關和國家指定的專門部門的調度。
第十八條 第二級以上計算機信息系統的運營、使用單位應當建立并執行下列安全管理制度:
(一)計算機機房安全管理制度;
(二)安全責任制度;
(三)網絡安全漏洞檢測和系統升級制度;
(四)系統安全風險管理和應急處置制度;
(五)操作權限管理制度;
(六)用戶登記制度;
(七)重要設備、介質管理制度;
(八)信息發布審查、登記、保存、清除和備份制度;
(九)信息群發服務管理制度。
第十九條 第二級以上計算機信息系統的運營、使用單位應當采取下列安全保護技術措施:
(一)系統重要部分的冗余或者備份措施;
(二)計算機病毒防治措施;
(三)網絡攻擊防范和追蹤措施;
(四)安全審計和預警措施;
(五)系統運行和用戶使用日志記錄保存六十日以上措施;
(六)記錄用戶賬號、主叫電話號碼和網絡地址的措施;
(七)身份登記和識別確認措施;
(八)垃圾信息、有害信息防治措施;
(九)信息群發限制措施。
第二十條 涉密計算機信息系統應當依據國家信息安全等級保護的要求,按照國家有關涉密計算機信息系統分級保護的管理規定和技術標準,結合計算機信息系統實際情況進行保護。
第二十一條 涉密計算機信息系統按照所處理信息的最高密級,由低到高分為秘密、機密、絕密三個等級,并實行涉密計算機信息系統分級保護。
第二十二條 涉密計算機信息系統建設使用單位應當將涉密計算機信息系統定級和建設使用情況,及時報業務主管部門和負責系統審批的保密工作部門備案,并接受保密工作部門的監督、檢查、指導。
第二十三條 涉密計算機信息系統投入使用前,應當按照國家有關規定報地級市以上人民政府保密工作部門審批,通過審批后方可投入使用。
第二十四條 計算機信息系統安全等級保護中密碼的配備、使用和管理等,應當按照國家密碼管理的有關規定執行。
第三章 安全秩序
第二十五條 任何單位和個人不得利用計算機信息系統制作、傳播、復制下列信息:
(一)反對憲法確定的基本原則的;
(二)危害國家統一、主權和領土完整的;
(三)泄露國家秘密,危害國家安全或者損害國家榮譽和利益的;
(四)煽動民族仇恨、民族歧視,破壞民族團結或者侵害民族風俗、習慣的;
(五)破壞國家宗教政策,宣揚邪教、迷信的;
(六)散布謠言,發布虛假信息,擾亂社會秩序,破壞社會穩定的;
(七)煽動聚眾滋事,損害社會公共利益的;
(八)宣揚淫穢、色情、賭博、暴力、兇殺、恐怖的;
(九)教唆犯罪的;
(十)侮辱或者誹謗他人,侵害他人合法權益的;
(十一)其他法律法規禁止的內容。
第二十六條 任何單位和個人不得利用計算機信息系統實施下列行為:
(一)未經允許進入計算機信息系統或者非法占有、使用、竊取計算機信息系統資源;
(二)竊取、騙取、奪取計算機信息系統控制權;
(三)擅自向第三方公開他人電子郵箱地址和其他個人信息資料;
(四)竊取他人賬號和密碼,或者擅自向第三方公開他人賬號和密碼;
(五)假冒他人名義發送信息;
(六)未經允許,對計算機信息系統功能進行刪除、修改、增加或者干擾;
(七)未經允許,對計算機信息系統中存儲、處理或者傳輸的數據和應用程序進行刪除、修改或者增加;
(八)故意制作、傳播計算機病毒、惡意軟件等破壞性程序;
(九)危害計算機信息系統安全的其他行為。
第二十七條 任何單位和個人不得利用計算機信息系統非法傳遞或者交易涉及國家秘密的文件、資料和其他物品,不得將涉密計算機信息系統與國際互聯網、其它公共信息網絡相聯接,不得利用非涉密計算機信息系統處理涉及國家秘密的信息。
第二十八條 提供互聯網上網服務的場所應當安裝國家規定的安全管理系統。
接入互聯網的計算機信息系統的運營、使用單位和互聯網服務單位采取的安全保護技術措施,應當具有符合公共安全行業技術標準的聯網接口。
第二十九條 接入服務提供者、信息服務提供者以及數據中心服務提供者應當加強對本網絡用戶的安全宣傳,落實安全保護措施,確保網絡正常運行。發現有害信息應當保存有關記錄,及時采取刪除、停止傳輸等技術措施,同時報告公安機關,配合公安機關查處違法犯罪行為。
第三十條 生產、銷售或者提供含有計算機信息網絡遠程控制、密碼猜解、漏洞檢測、信息群發技術的產品和工具的,應當報地級以上市人民政府公安機關備案。
第三十一條 計算機信息系統安全等級測評機構等安全服務機構和從事計算機信息系統安全保護工作的人員應當保守用戶秘密, 不得擅自向第三方泄露用戶信息,不得非法占有、使用用戶的信息資源。
第四章 安全監督
第三十二條 公安機關、國家安全機關、保密工作部門、密碼管理部門等有關部門應當按照國家規定,對計算機信息系統運營、使用單位的安全保護工作進行監督管理。
第三十三條 公安機關應當為公眾提供計算機信息系統安全指導,加強安全動態分析,積極開展安全宣傳,推動計算機信息系統安全保護能力的提高。
公安機關應當加強對計算機信息系統安全服務機構的指導,推動安全服務質量和技術水平的提高。
第三十四條 地級市以上人民政府公安機關、國家安全機關為保護計算機信息系統安全,在發生重大突發事件,危及國家安全、公共安全及社會穩定的緊急情況下,可以采取二十四小時內暫時停機、暫停聯網、備份數據等措施。
第三十五條 地級市以上人民政府公安機關應當對第三級、第四級計算機信息系統的運營、使用單位的信息安全等級保護工作情況進行檢查。對第三級計算機信息系統每年至少檢查一次,對第四級計算機信息系統每半年至少檢查一次。
對第五級計算機信息系統,應當由國家指定的專門部門進行檢查。
第三十六條 公安機關發現計算機信息系統的安全保護等級和安全措施不符合國家信息安全等級保護管理規范和技術標準,或者存在安全隱患的,應當通知運營、使用單位進行整改。運營、使用單位應當按照整改通知要求進行整改,并將整改報告向公安機關備案。
第三十七條 地級市以上人民政府公安機關和人事部門應當組織計算機信息系統的運營、使用單位的安全保護組織成員、管理責任人、信息審查員參加信息安全專業技術培訓。
第三十八條 保密工作部門依法對涉密計算機信息系統分級保護工作實施指導、監督和檢查,具體負責下列工作:
(一)指導涉密計算機信息系統建設使用單位規范信息定密,合理確定系統保護等級;
(二)參與涉密計算機信息系統分級保護方案論證,指導建設使用單位做好保密設施的同步規劃設計;
(三)依法對涉密計算機信息系統集成資質單位進行監督管理;
(四)按照國家規定進行系統測評和審批工作并監督檢查涉密計算機信息系統建設使用單位分級保護管理制度和技術措施的落實情況;
(五)按照國家規定定期對涉密計算機信息系統進行監督檢查;
(六)了解各級各類涉密計算機信息系統的管理使用情況,查處各種違法行為和泄密事件。
第三十九條 密碼管理部門應當對計算機信息系統安全保護工作中密碼配備、使用和管理的情況進行檢查和測評,發現存在安全隱患、違反密碼管理相關規定或者未達到密碼相關標準要求的,應當按照國家密碼管理的相關規定進行處置。
第五章 法律責任
第四十條 違反本條例,有下列行為之一的,由公安機關責令限期改正,給予警告;逾期不改的,對單位的主管人員、其他直接責任人員可以處五千元以下罰款,對單位可以處一萬五千元以下罰款:
(一)第二級以上計算機信息系統的運營、使用單位違反本條例第十一條規定,未建立安全保護組織的;
(二)第二級以上計算機信息系統的運營、使用單位違反本條例第十二條規定,計算機信息系統投入使用前未經符合國家規定的安全等級測評機構測評合格的;
(三)計算機信息系統的運營、使用單位未依照本條例第十六條第一款規定如實提供有關計算機信息系統安全保護的信息、資料及數據文件的;
(四)第二級以上計算機信息系統的運營、使用單位違反本條例第十七條規定,在重大突發事件應急處置中不服從公安機關和國家指定的專門部門調度的;
(五)第二級以上計算機信息系統的運營、使用單位未依照本條例第十八條規定建立安全管理制度的;
(六)第二級以上計算機信息系統的運營、使用單位未依照本條例第十九條規定采取安全保護技術措施的;
(七)接入互聯網的計算機信息系統的運營、使用單位和互聯網服務單位違反本條例第二十八條第二款規定,采取的安全保護技術措施不具有符合公共安全行業技術標準的聯網接口的;
(八)接入服務提供者、信息服務提供者以及數據中心服務提供者違反本條例第二十九條規定,發現有害信息不及時采取刪除、停止傳輸等技術措施的;
(九)含有計算機信息網絡遠程控制、密碼猜解、漏洞檢測、信息群發技術的產品和工具的生產者、銷售者或者提供者違反本條例第三十條規定,沒有向地級以上市人民政府公安機關備案的。
前款第(一)項至第(八)項行為,有違法所得的,沒收違法所得;情節嚴重的,并給予六個月以內的停止聯網、停機整頓的處罰;必要時公安機關可以建議原許可機構撤銷許可或者取消聯網資格。
第四十一條 違反本條例第二十五條、第二十六條第(一)項、第(二)項、第(五)項、第(六)項、第(七)項、第(八)項、第(九)項規定的,違反第二十六條第(三)項、第(四)項規定竊取他人賬號和密碼、以營利或者非正當使用為目的擅自向第三方公開他人電子郵箱地址和其他個人信息資料、以非正當使用為目的擅自向第三方公開他人賬號和密碼的,由公安機關給予警告,有違法所得的,沒收違法所得;對個人可以并處五千元以下罰款,對單位可以并處一萬五千元以下罰款;情節嚴重的,并可以給予六個月以內停止聯網、停機整頓的處罰;必要時公安機關可以建議原許可機構撤銷許可或者取消聯網資格;違反《中華人民共和國治安管理處罰法》的,依法予以處罰;構成犯罪的,依法追究刑事責任。
第四十二條 計算機信息系統的運營、使用單位違反本條例第十四條規定,沒有向地級市以上人民政府公安機關備案的,或者違反本條例第三十六條規定,接到公安機關要求整改的通知后拒不按要求整改的,由公安機關處以警告或者停機整頓。
第四十三條 違反本條例第二十二條、第二十三條、第二十四條、第二十七條和其他有關保密管理和密碼管理規定的,由保密工作部門或者密碼管理部門按照職責分工責令限期改正;逾期不改的,給予警告,并向其上級主管部門通報情況,建議對其主管人員和其他直接責任人員予以處理;構成犯罪的,依法追究刑事責任。
第四十四條 公安機關、保密工作部門、密碼管理部門和政府其他有關部門及其工作人員有下列行為之一的,對主管人員、其他直接責任人員,或者有關工作人員給予處分;構成犯罪的,依法追究刑事責任:
(一)利用職權索取、收受賄賂,或者玩忽職守、濫用職權的;
(二)泄露計算機信息系統的運營、使用單位或者個人的有關信息、資料及數據文件的;
(三)其他不履行法定職責的。
第六章 附則
第四十五條 本條例所稱的安全等級測評,是指對計算機信息系統的安全狀況進行測試、評價、判斷。
本條例所稱的安全服務,是指從事計算機信息系統安全設計、建設、檢測、維護、監理、咨詢、培訓等業務。
本條例所稱的重大突發事件,是指有害信息大范圍傳播、大規模網絡攻擊、計算機病毒疫情等危害計算機信息系統安全的重大事件。
第四十六條 本條例自2008年4月1日起施行。