邯郸市计算机信息系统安全保护规定
- 颁布日期:1994-04-16
- 实施日期:
- 时 效 性:失效
- 发文文号:
- 颁布单位:邯郸市人民政府
第一章 总则
第二章 安全保护制度
第三章 安全监督
第四章 法律责任
第五章 附则
一九九四年三月一日市政府第十一次常务会议通过,现予发布施行。
一九九四年四月十六日第一章 总则 第一条 为保护计算机信息系统的安全,促进计算机的应用和发展,保障社会主义现代化建设的顺利进行,根据《中华人民共和国计算机信息系统安全保护条例》及有关规定,结合我市实际,制定本规定。 第二条 本规定适用于我市所辖区域内研制、生产、销售、出租、维修和应用计算机信息系统的单位和个人。 第三条 本规定所称的计算机信息系统(以下简称系统),是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 第四条 市公安局主管全市系统的安全保护工作,市公安局计算机管理监察处负责日常工作。 第五条 系统的研制、开发、生产、销售、应用等环节,必须遵守国家有关安全标准、安全规范等规定。
任何单位和个人不得利用系统从事危害国家、集体和他人利益的活动,不得干扰、侵袭、破坏系统的正常运行。第二章 安全保护制度 第六条 系统安全是指系统资源和信息资源不受自然和人为有害因素的威胁和危害,实行安全等级保护。系统的安全保护分为实体安全保护、信息安全保护和系统功能安全保护。 第七条 系统的实体安全保护必须遵守下列规定:
(一)计算中心和信息处理工作站机房的建设应当符合国家有关标准和规定;
(二)计算中心和信息处理工作站及其内部重要区域应当制定严格的人员出入管理制度;
(三)计算中心和信息处理工作站应当建立系统使用管理制度,未经批准或者授权,不得接触、使用和利用;
(四)系统资产应当建立登记台帐,定期清点,严格管理;
(五)重要系统的设备、设施应当有应急方案和应急措施,确保系统在非正常中断或者发生事故后,可以迅速恢复运行能力;
(六)系统的管理、技术和操作人员,必须经安全教育和培训合格后,方可上岗工作;
(七)重要系统应有防雷、防磁、防静电、防电磁辐射、防盗、防潮、防火等安全保护措施。 第八条 系统的信息安全保护必须遵守下列规定:
(一)信息应当按照国家有关规定分类,标明信息来源及时间、类别、密级和使用范围;
(二)信息存取必须按所授权限进行,任何人不得非法或超越权限存取信息;
(三)不得输入计算机病毒等有害数据,重要信息的存取活动必须有可供审查的记录;
(四)数据流程的采集、编码、录入、存储、备份等环节要有严格的保障信息安全的措施;
(五)单位联网或增添、更换、维修设备时,应当采取相应的安全措施,保障信息的安全;
(六)重要信息的购买、交换、借阅、转让、出售等,必须制定严格的制度和交接手续,严防泄密、病毒传播、丢失信息。 第九条 系统的功能安全保护必须遵守下列规定:
(一)系统能够随时检测、报告故障及其主要部位、原因和对系统的危害程度;
(二)系统应当具有控制局部故障、防止事故影响系统整体功能的能力;
(三)系统应当具有追查事故和辨认非法存取活动的能力;
(四)系统软件、支持软件、应用软件及其说明和文档资料,应当按照国家有关规定分类,加强管理,任何人不得以非法利用、修改、复制等手段危害系统功能的安全;
(五)系统信息通信安全措施应当同所传输信息的级别相适应。 第十条 计算机病毒预防和控制必须遵守下列规定:
(一)任何单位和个人不得故意制造、传播、修改计算机病毒,不得输入危害系统安全的其他有害数据;
(二)未经市公安局批准,不得出版、印发、销售计算机病毒机理、源程序的刊物、书籍和资料;
(三)生产、销售、出租、使用计算机硬件、软件的单位和个人,在计算机硬件、软件出厂、销售、出租以前或维修以后(含上级配发和外地购买的微机),必须进行计算机病毒的检查和消除。 第十一条 禁止利用系统进行封建迷信和赌博活动。 第十二条 禁止利用系统进行淫秽、色情和不健康的活动。 第十三条 禁止利用系统印刷非法书籍、刊物、反动标语及匿名信。 第十四条 生产、销售计算机硬件和软件安全专用产品应遵守下列规定:
(一)单位和个人研制的硬件和软件安全专用产品,需经市公安局报省公安厅批准并领取《计算机安全专用产品生产许可证》后方可生产;
(二)销售单位需经市公安局报省公安厅批准领取《计算机安全专用产品销售许可证》并在当地工商行政管理部门登记注册后,方可经营计算机安全专用产品。
销售单位只能经营有《计算机安全专用产品生产许可证》的计算机安全专用产品。 第十五条 有下列情形之一的单位和个人,应报市公安局备案:
(一)重点管理单位建立计算中心(站)或计算机联网的;
(二)应用单位和个人的主要计算机设备(含新增设备);
(三)系统需对外提供服务或出租的;
(四)系统安全保护等级需要确定或变动的;
(五)计算机安全管理组织或管理人员需变更的。 第十六条 系统应用单位发生系统重大事故以及危害系统安全的案件,应在24小时内向市公安局报告。第三章 安全监督 第十七条 市公安局在系统安全管理中行使下列职权:
(一)监督单位和个人执行计算机安全管理法规、规章和技术规范;
(二)负责计算机安全状况调查和计算机安全宣传、教育、培训,推广安全技术成果;
(三)对新建、改建和扩建系统的安全方案进行审查,对竣工系统进行安全验收;
(四)办理系统安全审查、登记和备案等手续;
(五)对系统存在严重安全问题的单位和个人,发出《限期改进安全状况通知书》;
(六)追查病毒来源,协助使用计算机的单位和个人解决清除计算机病毒工作中遇到的疑难问题;
(七)查处危害系统安全的违法犯罪案件;
(八)履行系统安全保护工作的其他职责。 第十八条 生产、销售、使用系统的单位应建立计算机安全管理机构或者指定安全管理人员,报市公安局备案。
安全管理机构和安全管理人员负责对有关工作人员的录用审查;定期进行安全教育;协助公安机关追查计算机病毒来源,报告新发现或清除不掉的计算机病毒;检查安全管理法规、规章、制度等执行情况;按时上报各种安全报表;对信息处理活动和安全措施的效力进行经常性的内部监督,确保各项安全措施的落实。第四章 法律责任 第十九条 违反本规定,有下列行为之一的,由市公安局处以警告、通报批评或者停机整顿:
(一)违反系统安全等级保护制度,危害系统安全的;
(二)不按规定时间报告系统中发生的案件的;
(三)接到市公安局要求改进安全状况的通知后,在限期内拒不改进的;
(四)有危害系统安全的其他行为的。 第二十条 违反本规定,有下列行为之一的,由市公安局给予1000元以下罚款:
(一)违反机房管理制度,擅自修改、盗窃口令、保密字等,非法进入系统的;
(二)超越权限存取信息或使用设备的;
(三)泄漏机密,造成严重后果的;
(四)不按操作规定操作,使设备损坏或信息丢失的;
(五)不按规定注册、登记、备案,情节严重的;
(六)不建立台帐,设备、信息管理混乱,造成重大损失的;
(七)不按规定检查、消除计算机病毒的。 第二十一条 违反本规定第十一条、第十二条或故意出卖经济或其他情报的,给予2000元以上5000元以下罚款。情节严重,构成犯罪的,追究其刑事责任。 第二十二条 违反本规定第十条第一款或者未经许可出售系统安全专用产品的,由市公安局予以警告或对个人处以5000元以下的罚款,对单位处以15000元以下的罚款;有违法所得的,除没收违法所得外,可并处违法所得1至3倍的罚款。 第二十三条 违反本规定第十条第二款、第十三条规定的,没收其违法所得及出版物,并处出版物价值总额3倍以下的罚款。 第二十四条 违反本规定,构成违反治安管理行为的,依照《中华人民共和国治安处罚条例》的有关规定处罚;构成犯罪的,依法追究刑事责任。 第二十五条 任何组织和个人违反本规定,给国家、集体或者他人财产造成损失的,应当依法承担民事责任。 第二十六条 当事人对公安机关依照本规定作出的行政处罚不服的,可以依法申请行政复议或者提起行政诉讼。第五章 附则 第二十七条 本规定由市公安局负责解释。 第二十八条 本规定自发布之日起施行。
第二章 安全保护制度
第三章 安全监督
第四章 法律责任
第五章 附则
一九九四年三月一日市政府第十一次常务会议通过,现予发布施行。
一九九四年四月十六日
任何单位和个人不得利用系统从事危害国家、集体和他人利益的活动,不得干扰、侵袭、破坏系统的正常运行。
(一)计算中心和信息处理工作站机房的建设应当符合国家有关标准和规定;
(二)计算中心和信息处理工作站及其内部重要区域应当制定严格的人员出入管理制度;
(三)计算中心和信息处理工作站应当建立系统使用管理制度,未经批准或者授权,不得接触、使用和利用;
(四)系统资产应当建立登记台帐,定期清点,严格管理;
(五)重要系统的设备、设施应当有应急方案和应急措施,确保系统在非正常中断或者发生事故后,可以迅速恢复运行能力;
(六)系统的管理、技术和操作人员,必须经安全教育和培训合格后,方可上岗工作;
(七)重要系统应有防雷、防磁、防静电、防电磁辐射、防盗、防潮、防火等安全保护措施。 第八条 系统的信息安全保护必须遵守下列规定:
(一)信息应当按照国家有关规定分类,标明信息来源及时间、类别、密级和使用范围;
(二)信息存取必须按所授权限进行,任何人不得非法或超越权限存取信息;
(三)不得输入计算机病毒等有害数据,重要信息的存取活动必须有可供审查的记录;
(四)数据流程的采集、编码、录入、存储、备份等环节要有严格的保障信息安全的措施;
(五)单位联网或增添、更换、维修设备时,应当采取相应的安全措施,保障信息的安全;
(六)重要信息的购买、交换、借阅、转让、出售等,必须制定严格的制度和交接手续,严防泄密、病毒传播、丢失信息。 第九条 系统的功能安全保护必须遵守下列规定:
(一)系统能够随时检测、报告故障及其主要部位、原因和对系统的危害程度;
(二)系统应当具有控制局部故障、防止事故影响系统整体功能的能力;
(三)系统应当具有追查事故和辨认非法存取活动的能力;
(四)系统软件、支持软件、应用软件及其说明和文档资料,应当按照国家有关规定分类,加强管理,任何人不得以非法利用、修改、复制等手段危害系统功能的安全;
(五)系统信息通信安全措施应当同所传输信息的级别相适应。 第十条 计算机病毒预防和控制必须遵守下列规定:
(一)任何单位和个人不得故意制造、传播、修改计算机病毒,不得输入危害系统安全的其他有害数据;
(二)未经市公安局批准,不得出版、印发、销售计算机病毒机理、源程序的刊物、书籍和资料;
(三)生产、销售、出租、使用计算机硬件、软件的单位和个人,在计算机硬件、软件出厂、销售、出租以前或维修以后(含上级配发和外地购买的微机),必须进行计算机病毒的检查和消除。 第十一条 禁止利用系统进行封建迷信和赌博活动。 第十二条 禁止利用系统进行淫秽、色情和不健康的活动。 第十三条 禁止利用系统印刷非法书籍、刊物、反动标语及匿名信。 第十四条 生产、销售计算机硬件和软件安全专用产品应遵守下列规定:
(一)单位和个人研制的硬件和软件安全专用产品,需经市公安局报省公安厅批准并领取《计算机安全专用产品生产许可证》后方可生产;
(二)销售单位需经市公安局报省公安厅批准领取《计算机安全专用产品销售许可证》并在当地工商行政管理部门登记注册后,方可经营计算机安全专用产品。
销售单位只能经营有《计算机安全专用产品生产许可证》的计算机安全专用产品。 第十五条 有下列情形之一的单位和个人,应报市公安局备案:
(一)重点管理单位建立计算中心(站)或计算机联网的;
(二)应用单位和个人的主要计算机设备(含新增设备);
(三)系统需对外提供服务或出租的;
(四)系统安全保护等级需要确定或变动的;
(五)计算机安全管理组织或管理人员需变更的。 第十六条 系统应用单位发生系统重大事故以及危害系统安全的案件,应在24小时内向市公安局报告。
(一)监督单位和个人执行计算机安全管理法规、规章和技术规范;
(二)负责计算机安全状况调查和计算机安全宣传、教育、培训,推广安全技术成果;
(三)对新建、改建和扩建系统的安全方案进行审查,对竣工系统进行安全验收;
(四)办理系统安全审查、登记和备案等手续;
(五)对系统存在严重安全问题的单位和个人,发出《限期改进安全状况通知书》;
(六)追查病毒来源,协助使用计算机的单位和个人解决清除计算机病毒工作中遇到的疑难问题;
(七)查处危害系统安全的违法犯罪案件;
(八)履行系统安全保护工作的其他职责。 第十八条 生产、销售、使用系统的单位应建立计算机安全管理机构或者指定安全管理人员,报市公安局备案。
安全管理机构和安全管理人员负责对有关工作人员的录用审查;定期进行安全教育;协助公安机关追查计算机病毒来源,报告新发现或清除不掉的计算机病毒;检查安全管理法规、规章、制度等执行情况;按时上报各种安全报表;对信息处理活动和安全措施的效力进行经常性的内部监督,确保各项安全措施的落实。
(一)违反系统安全等级保护制度,危害系统安全的;
(二)不按规定时间报告系统中发生的案件的;
(三)接到市公安局要求改进安全状况的通知后,在限期内拒不改进的;
(四)有危害系统安全的其他行为的。 第二十条 违反本规定,有下列行为之一的,由市公安局给予1000元以下罚款:
(一)违反机房管理制度,擅自修改、盗窃口令、保密字等,非法进入系统的;
(二)超越权限存取信息或使用设备的;
(三)泄漏机密,造成严重后果的;
(四)不按操作规定操作,使设备损坏或信息丢失的;
(五)不按规定注册、登记、备案,情节严重的;
(六)不建立台帐,设备、信息管理混乱,造成重大损失的;
(七)不按规定检查、消除计算机病毒的。 第二十一条 违反本规定第十一条、第十二条或故意出卖经济或其他情报的,给予2000元以上5000元以下罚款。情节严重,构成犯罪的,追究其刑事责任。 第二十二条 违反本规定第十条第一款或者未经许可出售系统安全专用产品的,由市公安局予以警告或对个人处以5000元以下的罚款,对单位处以15000元以下的罚款;有违法所得的,除没收违法所得外,可并处违法所得1至3倍的罚款。 第二十三条 违反本规定第十条第二款、第十三条规定的,没收其违法所得及出版物,并处出版物价值总额3倍以下的罚款。 第二十四条 违反本规定,构成违反治安管理行为的,依照《中华人民共和国治安处罚条例》的有关规定处罚;构成犯罪的,依法追究刑事责任。 第二十五条 任何组织和个人违反本规定,给国家、集体或者他人财产造成损失的,应当依法承担民事责任。 第二十六条 当事人对公安机关依照本规定作出的行政处罚不服的,可以依法申请行政复议或者提起行政诉讼。