赣州市人民政府关于印发《赣州市计算机信息系统安全管理办法》的通知
赣州市人民政府关于印发《赣州市计算机信息系统安全管理办法》的通知
赣市府发[2005]57号
各县(市、区)人民政府,赣州经济技术开发区,市政府各部门,市属、驻市各单位:
《赣州市计算机信息系统安全管理办法》属“十大体系”之信息网络体系建设配套文件,它借鉴了“长珠闽”地区的经验与做法,结合赣州实际,就加强我市计算机信息系统的安全保护提出了规范,是建立和完善我市信息网络体系的重要政策措施。经研究同决,现印发给你们,请认真贯彻执行。
二OO五年六月十六日
赣州市计算机信息系统安全管理办法
第一条 为了保护计算机信息系统的安全,促进计算机的应用发展,维护国家利益和社会公共利益,根据《中华人民共和国计算机信息系统安全保护条例》、《江西省计算机信息系统安全保护办法》等有关规定,结合本市实际,制定本办法。
第二条 本办法所称的计算机信息系统,是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或网络。
第三条 本市行政区域内的计算机信息系统的安全保护,适用本办法。
第四条 计算机信息系统的安全保护工作,重点维护下列涉及国家事务、经济建设、国防建设、尖端科学技术等重要领域、重点单位的计算机信息系统的安全:
(一)县级以上国家机关、国防单位;
(二)银行、保险、证券等金融领域;
(三)邮政、电信、广播、电视领域;
(四)能源、交通领域;
(五)国家及省、市重点科研单位;
(六)重点网站;
(七)国家规定的其他重要领域、重点单位。
第五条 公安机关是计算机信息系统安全保护工作的主管部门,其主要职责是:
(一)宣传计算机信息系统安全保护法律、法规、规章;
(二)监督、检查、指导计算机信息系统安全保护工作;
(三)组织培训计算机信息系统安全管理人员;
(四)查处危害计算机信息系统安全的违法犯罪案件;
(五)对重要领域、重点单位的计算机信息系统的建设工程进行安全指导;
(六)监督、检查计算机信息系统安全专用产品的销售活动;
(七)依法应当履行的其他职责。
国家安全机关、国家保密机关和政府其他有关部门,在规定的职责范围内做好计算机信息系统安全保护的有关工作。
第六条 计算机信息系统的建设和应用,应当遵守法律、法规和国家其他有关规定。
重要领域、重点单位新建的计算机信息系统,应当在系统建成后30日内由系统建设单位报同级政府公安机关备案。
第七条 计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,按照国家有关规定执行。
第八条 计算机信息系统国际联网实行备案制度。
使用计算机信息网络国际联网的公民、法人和其他组织,在接入单位办理入网手续时应当填写用户备案表。接入单位应当自网络正式联通之日起30日内,到市公安机关办理备案手续,并报告本网络中用户的变更情况。
第九条 重要领域、重点单位的计算机信息系统使用单位应当建立计算机信息系统安全管理组织,指定安全管理人员。
安全管理组织及安全管理人员负责对计算机信息系统运行情况和运行环境进行检查,编制运行日志,及时消除安全隐患,对可能遭受的侵害和破坏制定应急处置预案。
第十条 重要领域、重点单位的计算机信息系统使用单位应当建立下列安全保护管理制度:
(一)计算机机房安全管理制度;
(二)信息发布审核、登记制度;
(三)信息监视、保存、清除和备份制度;
(四)病毒检测和网络安全漏洞检测制度;
(五)帐号使用登记和操作权限管理制度;
(六)安全教育和培训制度;
(七)违法案件报告和协助查处制度;
(八)其他与安全保护相关的管理制度。
第十一条 重要领域、重点单位的计算机信息系统使用单位应当落实下列安全保护技术措施:
(一)60日以上系统网络运行日志和用户使用日志记录保存措施;
(二)安全审计和预警措施;
(三)垃圾邮件清理措施;
(四)身份登记和识别确认措施;
(五)计算机病毒防治措施;
(六)信息群发限制和有害数据防治措施;
(七)国家规定的其他安全技术措施。
第十二条 互联网上网服务营业场所经营单位在开业前,必须依法经县级以上人民政府公安机关对信息网络安全予以审核合格,并依法取得有关部门颁发的证照。
互联网上网服务营业场所经营单位应当依法履行计算机信息系统安全保护义务,使用固定IP上网,不得擅自停止实施安全技术措施。
第十三条 社区、学校、图书馆、计算机培训中心、宾馆、酒店等提供上网服务的场所必须落实相应的安全措施,使用固定IP上网,安装已取得《计算机信息系统安全专用产品销售许可证》的安全管理系统。
第十四条 任何单位和个人不得从事下列危害计算机信息网络安全的活动:
(一)制作、复制、发布、传播有害信息;
(二)未经允许,对计算机信息网络功能进行删除、修改或者增加;
(三)未经允许,对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加;
(四)故意制作、传播计算机病毒等破坏性程序;
(五)危害计算机信息网络安全的其他行为。
第十五条 对计算机信息系统中发生的违法案件,使用单位发现后应当迅速采取措施,保护现场和相关资料,并在24小时内向县级以上人民政府公安机关报告。
第十六条 公安机关为保护计算机信息系统安全,在下列紧急情况下,可以采取24小时内暂时停机、暂停联网、备份数据等措施,有关单位和个人应当如实提供有关信息和资料,并提供相关技术支持和必要的协助:
(一)计算机信息系统遭恶意攻击导致系统瘫痪的;
(二)计算机信息系统遭病毒感染导致系统瘫痪的;
(三)通过计算机信息系统向外大量发送有害信息的;
(四)在对计算机信息系统中发生的案件进行侦察过程中,证据可能灭失或者以后难以取得的;
(五)其他应当采取紧急措施的情况。
县级以上人民政府公安机关采取前款规定的紧急措施前,应当报经本机关主要负责人批准。
第十七条 计算机信息系统安全专用产品生产者在其产品进入市场销售之前,应当依法取得公安部颁发的《计算机信息系统安全专用产品销售许可证》,并在其产品的固定位置标明“销售许可”标记。
任何单位和个人不得销售无“销售许可”标记的安全专用产品。
从事计算机信息系统安全专用产品经营的,应当在开业后30日内报市公安机关备案。
第十八条 市公安机关负责计算机信息系统安全专用产品销售许可证的监督检查工作,对销售计算机信息系统安全专用产品的单位和个人,可以采取验证检查和抽样检测等监督措施。
对商用密码的管理,按照国务院《商用密码管理条例》的规定执行。
第十九条 下列人员应当参加市公安机关组织的计算机安全培训,取得计算机安全培训合格证书:
(一)计算机信息系统使用单位安全管理责任人、信息审查员;
(二)重要领域、重点单位计算机信息系统维护和管理人员;
(三)计算机信息系统安全专用产品生产、销售单位专业技术人员;
(四)计算机信息系统安全服务机构专业技术人员、安全服务管理人员;
(五)互联网上网服务营业场所安全管理人员;
(六)社区、学校、图书馆、计算机培训中心、宾馆、酒店等提供上网服务的场所的安全管理人员;
(七)其他从事计算机信息系统安全保护工作的人员。
第二十条 计算机安全培训和考试按照有关规定进行,实行统一教学大纲,统一教材,统一考试,统一发证。
第二十一条 违反本办法规定的行为,构成处罚的,依照有关法律法规进行处罚。
第二十二条 本办法下列用语的含义为:
计算机病毒:是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
有害数据:是指计算机信息系统及其存储介质中存在、出现的,危害计算机信息系统安全运行和功能发挥的程序,或者对国家安全和社会公共安全构成危害或者潜在威胁的信息。
接入单位:是指负责接入国际联网的计算机信息网络运行单位。
电信:是指电信、移动、联通、网通、铁通、广电等接入单位。
计算机信息系统安全专用产品:是指用于保护计算机信息系统安全的专用硬件和软件产品。
计算机信息系统安全服务:是指从事计算机信息系统安全设计、建设、检测、维护、监理等业务。
IP地址:在互联网上有千百万台主机,为了区分这些主机,人们给每台主机都分配了一个专门的地址,称为IP地址。
固定IP:固定IP地址是长期固定分配给一台计算机使用的IP地址。
第二十三条 军队的计算机信息系统安全保护工作,按照军队的有关法规执行。
第二十四条 计算机信息系统的保密管理,依照国家和省的有关规定执行。
第二十五条 本办法自公布之日起施行。