河南省计算机信息系统安全保护暂行办法
- 颁布日期:1999-11-22
- 实施日期:
- 时 效 性:有效
- 发文文号:
- 颁布单位:河南省人民政府
第一章 总则
第二章 安全保护制度
第三章 从业安全管理
第四章 安全监督
第五章 法律责任
第六章 附则第一章 总则 第一条 为了保护计算机信息系统的安全,促进计算机的应用和发展,根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》和有关法律、法规,结合我省实际,制定本办法。 第二条 本省行政区域内所有单位的计算机信息系统安全保护工作,必须遵守有关计算机信息系统安全保护法律、法规和本办法。
本办法所称计算机信息系统,是指由计算机及其相关的和配套的设备、设施(含网络)构成的、按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 第三条 省公安机关主管全省计算机信息系统的安全保护工作。市地、县(市、区)公安机关监督管理本行政区域内的计算机信息系统安全保护工作。
国家安全、保密、电信等有关部门,在各自的职责范围内做好计算机信息系统安全保护的有关工作。 第四条 任何单位和个人不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动,不得危害计算机信息系统的安全。 第五条 任何组织或者个人不得利用计算机信息系统制作、复制和传播下列信息:
(一)煽动抗拒、破坏实施我国宪法和法律、法规的;
(二)煽动颠覆国家政权,推翻社会主义制度的;
(三)煽动分裂国家,破坏国家统一的;
(四)煽动民族仇恨、民族歧视,破坏民族团结的;
(五)捏造或者歪曲事实,散布谣言,扰乱社会秩序的;
(六)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪的;
(七)侮辱他人或者捏造事实诽谤他人的;
(八)损害国家机关信誉的;
(九)其他违反宪法和法律、法规的。 第六条 任何单位和个人不得从事下列危害计算机信息系统安全的活动:
(一)未经使用单位允许,进入计算机信息系统或者使用计算机信息系统资源的;
(二)未经使用单位允许,对计算机信息系统功能进行删除、修改或者增加的;
(三)未经使用单位允许,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的;
(四)故意制作、传播计算机病毒等破坏性程序的;
(五)其他危害计算机信息系统安全的。 第七条 所有单位和公民有权对危害计算机信息系统安全的行为制止、检举和揭发。
对保护计算机信息系统安全做出突出贡献的单位和个人,由县级以上公安机关或有关部门给予表彰或奖励。第二章 安全保护制度 第八条 计算机信息系统的建立和应用,应当遵守国家有关技术规范和技术标准。
计算机机房应当符合国家标准和国家有关规定。重要领域的计算机机房应当按照国家标准实行安全检测制度。安全检测机构应当认真履行职责,并对检测质量负责。
在计算机机房附近施工,不得危害计算机信息系统的安全。 第九条 计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,按照国家有关规定执行。 第十条 重要领域计算机信息系统的管理人员和应用人员必须经过安全培训和备案后方能上机操作。安全培训备案的具体办法由省公安机关会同有关主管部门或主管单位另行制定。 第十一条 重要领域计算机信息系统与国际联网的,使用单位必须报行政主管部门或主管单位审批,并采取相应的安全保护措施。 第十二条 从事国际联网业务的单位和个人应当接受公安机关的监督、检查,如实向公安机关提供有关安全保护的信息、资料及数据文件,协助公安机关查处通过国际联网的计算机信息系统的违法犯罪行为。 第十三条 国际联网的使用单位应当在网络正式联通之日起30日内,到公安机关办理备案手续;国际联网的接入单位应当在每月20日前向公安机关报告本网络用户的变更情况。
国际联网的使用单位应当加强公用入网账号的管理,建立账号使用登记制度。 第十四条 计算机信息系统的使用单位发现有以下情形之一的,应当迅速采取隔离、控制措施,保护现场和相关资料,并应当在24小时内向当地县级以上公安机关报告:
(一)发现计算机病毒并且无法清除的;
(二)发现本办法第五条所列内容的病毒或者有害数据的;
(三)发现本办法第六条所列行为之一的;
(四)计算机信息系统发生事故或犯罪案件的。 第十五条 未经省、国家公安机关批准,任何单位和个人不得收集计算机病毒样本,不得向社会发布计算机病毒疫情。第三章 从业安全管理 第十六条 从事以下计算机信息系统有关业务的单位或个人应当实行安全备案登记制度:
(一)工程造价50万元以上计算机信息系统安全工程施工的;
(二)计算机信息系统安全专用产品生产、销售、安装的;
(三)计算机信息系统安全检测的;
(四)开办经营性开放式计算机房的;
(五)其他形式的计算机信息系统经营业务或技术服务的。
安全备案登记手续由当地县级公安机关办理。计算机信息系统安全备案登记表由省公安机关统一印制。
计算机信息系统使用单位不得聘用或雇用未经从业安全备案登记的单位或个人从事本条所列的各项有关业务。 第十七条 所有计算机信息系统的管理和应用人员都负有保护计算机信息系统安全的义务。
重要领域的计算机信息系统的管理和应用人员对其职责范围内的计算机信息系统安全负责,应依法认真履行职责,保护国家和集体的合法权益。未经本单位允许和安全备案登记,不得在本单位以外或市场上从事计算机信息系统经营业务或技术服务活动。 第十八条 重要领域的计算机信息系统使用单位或主管单位,应当对本单位负责重要岗位的计算机信息系统管理人员和应用人员加强培训和监督,采取专门的信息安全保密和人事组织管理措施,经常检查计算机信息系统安全管理制度的执行情况,对危害安全的事故隐患及时予以整改。 第十九条 任何单位和个人销售、出租、安装、维修计算机软件、硬件,必须对产品进行检测,确保产品不携带计算机病毒和其他有害数据。
计算机安全专用产品必须按国家有关规定取得《计算机信息系统安全专用产品销售许可证》后,方可上市销售。严禁销售无销售许可标记的安全专用产品。第四章 安全监督 第二十条 计算机信息系统的使用单位应当制定计算机信息系统安全保护的规章制度,重要领域的计算机信息系统使用单位应当建立计算机信息安全保护组织,保护组织由本部门、本单位的保卫、保密、计算机业务等有关人员组成,并履行下列职责:
(一)组织实施计算机信息系统安全管理法规和规章制度;
(二)负责监督本单位计算机信息系统的安全,及时查处事故隐患;
(三)组织安全教育和安全检查;
(四)定期审阅运行日志和其他与计算机信息系统安全有关的材料,预防对计算机信息系统的非法侵入;
(五)及时向单位负责人和公安机关报告本单位计算机信息系统的安全情况,协助公安机关侦破计算机犯罪案件。
国际联网的接入单位,还应当对委托发布信息的单位和个人所提供的信息内容进行审核,并建立登记制度;负责计算机信息网络电子公告系统的用户登记和信息审核。 第二十一条 各级公安机关依法对计算机信息系统安全保护工作进行指导、检查、监督;应当采取措施,改善管理和服务,促进计算机信息系统安全技术的普及推广;发现计算机信息系统安全隐患时,应当作出详细记录并及时向有关单位发出整改通知,限期改正。 第二十二条 公安机关负责追踪和查处通过计算机信息系统的违法行为和针对计算机信息系统的犯罪案件。对违反本办法第四条规定的违法犯罪行为,同时触犯其他法律、法规的,依照有关法律、法规处理,或者按照国家有关规定移送有关部门和司法机关处理。第五章 法律责任 第二十三条 有以下行为之一的,依照《中华人民共和国计算机信息系统安全保护条例》或《中华人民共和国计算机信息网络国际联网管理暂行规定》的有关规定处理或处罚:
(一)违反计算机信息系统安全等级保护制度,危害计算机信息系统安全的;
(二)违反计算机信息系统国际联网备案制度的;
(三)不按规定时间如实报告计算机信息系统中发生的案件的;
(四)不按照公安机关的要求在限期内改进安全状况的;
(五)计算机机房不符合国家标准和国家其他有关规定的,或者在计算机机房附近施工危害计算机信息系统安全的;
(六)故意输入计算机病毒以及其他有害数据危害计算机信息系统安全的,或者未经许可出售计算机信息系统安全专用产品的;
(七)自行建立或者使用其他信道进行国际联网的;
(八)擅自进行国际联网、未经通过互联网络进行国际联网或者擅自从事国际联网经营业务的;
(九)危害计算机信息系统安全的其他行为。 第二十四条 违反本办法规定,有下列行为之一的,由公安机关责令改正;后果严重的,依照有关法律、法规和本办法的规定处理:
(一)聘请或雇用未经安全备案登记的单位或人员从事计算机信息系统有关业务的;
(二)计算机信息系统安全检测机构未履行安全检测职责,弄虚作假的。 第二十五条 任何组织或者个人违反计算机信息系统安全保护法律、法规和本办法的规定,给国家、集体或者他人财产造成损失的,应当依法承担民事责任。违反治安管理的,依照《中华人民共和国治安管理处罚条例》的规定处罚。构成犯罪的,依法追究其刑事责任。 第二十六条 当事人对公安机关依照本办法所作出的具体行政行为不服的,可以依法申请行政复议或者提起行政诉讼。 第二十七条 执行本办法的国家公务员利用职权,索取、收受贿赂或者有其他违法、失职行为的,构成犯罪的,依法追究刑事责任;尚不构成犯罪的,给予行政处分。第六章 附则 第二十八条 本办法下列用语的含义:
计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
计算机病毒疫情,是指某种计算机病毒爆发、流行的时间、范围、破坏特点、破坏后果等情况的报告或者预报。
计算机信息系统安全专用产品,是指用于保护计算机信息系统安全的专用硬件和软件产品。
重要领域的计算机信息系统,是指本省行政区域内的有关国家事务、经济建设、国防建设、尖端科技等重要领域的计算机信息系统。
接入单位,是指负责接入网络运行的单位。接入网络,是指通过接入互联网络进入国际联网的计算机信息网络。 第二十九条 本办法执行中的具体应用问题,由省公安机关负责解释。 第三十条 本办法自发布之日起施行。
第二章 安全保护制度
第三章 从业安全管理
第四章 安全监督
第五章 法律责任
第六章 附则
本办法所称计算机信息系统,是指由计算机及其相关的和配套的设备、设施(含网络)构成的、按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 第三条 省公安机关主管全省计算机信息系统的安全保护工作。市地、县(市、区)公安机关监督管理本行政区域内的计算机信息系统安全保护工作。
国家安全、保密、电信等有关部门,在各自的职责范围内做好计算机信息系统安全保护的有关工作。 第四条 任何单位和个人不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动,不得危害计算机信息系统的安全。 第五条 任何组织或者个人不得利用计算机信息系统制作、复制和传播下列信息:
(一)煽动抗拒、破坏实施我国宪法和法律、法规的;
(二)煽动颠覆国家政权,推翻社会主义制度的;
(三)煽动分裂国家,破坏国家统一的;
(四)煽动民族仇恨、民族歧视,破坏民族团结的;
(五)捏造或者歪曲事实,散布谣言,扰乱社会秩序的;
(六)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪的;
(七)侮辱他人或者捏造事实诽谤他人的;
(八)损害国家机关信誉的;
(九)其他违反宪法和法律、法规的。 第六条 任何单位和个人不得从事下列危害计算机信息系统安全的活动:
(一)未经使用单位允许,进入计算机信息系统或者使用计算机信息系统资源的;
(二)未经使用单位允许,对计算机信息系统功能进行删除、修改或者增加的;
(三)未经使用单位允许,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的;
(四)故意制作、传播计算机病毒等破坏性程序的;
(五)其他危害计算机信息系统安全的。 第七条 所有单位和公民有权对危害计算机信息系统安全的行为制止、检举和揭发。
对保护计算机信息系统安全做出突出贡献的单位和个人,由县级以上公安机关或有关部门给予表彰或奖励。
计算机机房应当符合国家标准和国家有关规定。重要领域的计算机机房应当按照国家标准实行安全检测制度。安全检测机构应当认真履行职责,并对检测质量负责。
在计算机机房附近施工,不得危害计算机信息系统的安全。 第九条 计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,按照国家有关规定执行。 第十条 重要领域计算机信息系统的管理人员和应用人员必须经过安全培训和备案后方能上机操作。安全培训备案的具体办法由省公安机关会同有关主管部门或主管单位另行制定。 第十一条 重要领域计算机信息系统与国际联网的,使用单位必须报行政主管部门或主管单位审批,并采取相应的安全保护措施。 第十二条 从事国际联网业务的单位和个人应当接受公安机关的监督、检查,如实向公安机关提供有关安全保护的信息、资料及数据文件,协助公安机关查处通过国际联网的计算机信息系统的违法犯罪行为。 第十三条 国际联网的使用单位应当在网络正式联通之日起30日内,到公安机关办理备案手续;国际联网的接入单位应当在每月20日前向公安机关报告本网络用户的变更情况。
国际联网的使用单位应当加强公用入网账号的管理,建立账号使用登记制度。 第十四条 计算机信息系统的使用单位发现有以下情形之一的,应当迅速采取隔离、控制措施,保护现场和相关资料,并应当在24小时内向当地县级以上公安机关报告:
(一)发现计算机病毒并且无法清除的;
(二)发现本办法第五条所列内容的病毒或者有害数据的;
(三)发现本办法第六条所列行为之一的;
(四)计算机信息系统发生事故或犯罪案件的。 第十五条 未经省、国家公安机关批准,任何单位和个人不得收集计算机病毒样本,不得向社会发布计算机病毒疫情。
(一)工程造价50万元以上计算机信息系统安全工程施工的;
(二)计算机信息系统安全专用产品生产、销售、安装的;
(三)计算机信息系统安全检测的;
(四)开办经营性开放式计算机房的;
(五)其他形式的计算机信息系统经营业务或技术服务的。
安全备案登记手续由当地县级公安机关办理。计算机信息系统安全备案登记表由省公安机关统一印制。
计算机信息系统使用单位不得聘用或雇用未经从业安全备案登记的单位或个人从事本条所列的各项有关业务。 第十七条 所有计算机信息系统的管理和应用人员都负有保护计算机信息系统安全的义务。
重要领域的计算机信息系统的管理和应用人员对其职责范围内的计算机信息系统安全负责,应依法认真履行职责,保护国家和集体的合法权益。未经本单位允许和安全备案登记,不得在本单位以外或市场上从事计算机信息系统经营业务或技术服务活动。 第十八条 重要领域的计算机信息系统使用单位或主管单位,应当对本单位负责重要岗位的计算机信息系统管理人员和应用人员加强培训和监督,采取专门的信息安全保密和人事组织管理措施,经常检查计算机信息系统安全管理制度的执行情况,对危害安全的事故隐患及时予以整改。 第十九条 任何单位和个人销售、出租、安装、维修计算机软件、硬件,必须对产品进行检测,确保产品不携带计算机病毒和其他有害数据。
计算机安全专用产品必须按国家有关规定取得《计算机信息系统安全专用产品销售许可证》后,方可上市销售。严禁销售无销售许可标记的安全专用产品。
(一)组织实施计算机信息系统安全管理法规和规章制度;
(二)负责监督本单位计算机信息系统的安全,及时查处事故隐患;
(三)组织安全教育和安全检查;
(四)定期审阅运行日志和其他与计算机信息系统安全有关的材料,预防对计算机信息系统的非法侵入;
(五)及时向单位负责人和公安机关报告本单位计算机信息系统的安全情况,协助公安机关侦破计算机犯罪案件。
国际联网的接入单位,还应当对委托发布信息的单位和个人所提供的信息内容进行审核,并建立登记制度;负责计算机信息网络电子公告系统的用户登记和信息审核。 第二十一条 各级公安机关依法对计算机信息系统安全保护工作进行指导、检查、监督;应当采取措施,改善管理和服务,促进计算机信息系统安全技术的普及推广;发现计算机信息系统安全隐患时,应当作出详细记录并及时向有关单位发出整改通知,限期改正。 第二十二条 公安机关负责追踪和查处通过计算机信息系统的违法行为和针对计算机信息系统的犯罪案件。对违反本办法第四条规定的违法犯罪行为,同时触犯其他法律、法规的,依照有关法律、法规处理,或者按照国家有关规定移送有关部门和司法机关处理。
(一)违反计算机信息系统安全等级保护制度,危害计算机信息系统安全的;
(二)违反计算机信息系统国际联网备案制度的;
(三)不按规定时间如实报告计算机信息系统中发生的案件的;
(四)不按照公安机关的要求在限期内改进安全状况的;
(五)计算机机房不符合国家标准和国家其他有关规定的,或者在计算机机房附近施工危害计算机信息系统安全的;
(六)故意输入计算机病毒以及其他有害数据危害计算机信息系统安全的,或者未经许可出售计算机信息系统安全专用产品的;
(七)自行建立或者使用其他信道进行国际联网的;
(八)擅自进行国际联网、未经通过互联网络进行国际联网或者擅自从事国际联网经营业务的;
(九)危害计算机信息系统安全的其他行为。 第二十四条 违反本办法规定,有下列行为之一的,由公安机关责令改正;后果严重的,依照有关法律、法规和本办法的规定处理:
(一)聘请或雇用未经安全备案登记的单位或人员从事计算机信息系统有关业务的;
(二)计算机信息系统安全检测机构未履行安全检测职责,弄虚作假的。 第二十五条 任何组织或者个人违反计算机信息系统安全保护法律、法规和本办法的规定,给国家、集体或者他人财产造成损失的,应当依法承担民事责任。违反治安管理的,依照《中华人民共和国治安管理处罚条例》的规定处罚。构成犯罪的,依法追究其刑事责任。 第二十六条 当事人对公安机关依照本办法所作出的具体行政行为不服的,可以依法申请行政复议或者提起行政诉讼。 第二十七条 执行本办法的国家公务员利用职权,索取、收受贿赂或者有其他违法、失职行为的,构成犯罪的,依法追究刑事责任;尚不构成犯罪的,给予行政处分。
计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
计算机病毒疫情,是指某种计算机病毒爆发、流行的时间、范围、破坏特点、破坏后果等情况的报告或者预报。
计算机信息系统安全专用产品,是指用于保护计算机信息系统安全的专用硬件和软件产品。
重要领域的计算机信息系统,是指本省行政区域内的有关国家事务、经济建设、国防建设、尖端科技等重要领域的计算机信息系统。
接入单位,是指负责接入网络运行的单位。接入网络,是指通过接入互联网络进入国际联网的计算机信息网络。 第二十九条 本办法执行中的具体应用问题,由省公安机关负责解释。 第三十条 本办法自发布之日起施行。