• 【發(fā)布單位】浙江省杭州市
• 【發(fā)布文號】杭州市人民政府令第211號
• 【發(fā)布日期】2004-11-03
• 【生效日期】2005-01-01
• 【失效日期】--
• 【文件來源】法律圖書館新法規(guī)速遞
• 【所屬類別】地方法規(guī)

杭州市計算機信息系統(tǒng)安全保護管理辦法

杭州市計算機信息系統(tǒng)安全保護管理辦法

(杭州市人民政府令第211號)





 《杭州市計算機信息系統(tǒng)安全保護管理辦法》已經(jīng)2004年10月25日市人民政府第53次常務(wù)會議審議通過,，現(xiàn)予公布,，自2005年1月1日起施行。



 代市長

 二○○四年十一月三日





杭州市計算機信息系統(tǒng)安全保護管理辦法




第一章 總 則




第一條 為加強對計算機信息系統(tǒng)的安全保護,，維護公共秩序和社會穩(wěn)定,，促進信息化的健康發(fā)展，根據(jù)《
中華人民共和國計算機信息系統(tǒng)安全保護條例》,、《
中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》等規(guī)定,，結(jié)合本市實際，制定本辦法,。




第二條 本辦法所稱的計算機信息系統(tǒng),，是指由計算機及其相關(guān)的和配套的設(shè)備、設(shè)施(含有線,、無線等網(wǎng)絡(luò),，下同)構(gòu)成的，按照一定的應(yīng)用目標和規(guī)則對信息進行采集,、加工,、存儲、傳輸,、檢索等處理的人機系統(tǒng),，包括互聯(lián)網(wǎng)、局域網(wǎng),、移動網(wǎng)等,。




第三條 杭州市行政區(qū)域范圍內(nèi)計算機信息系統(tǒng)的安全保護管理，適用本辦法,。




第四條 杭州市公安局主管全市計算機信息系統(tǒng)安全保護管理工作,。



 杭州市公安局公共信息網(wǎng)絡(luò)安全監(jiān)察分局具體負責市區(qū)范圍內(nèi)(蕭山區(qū)、余杭區(qū)除外)計算機信息系統(tǒng)安全保護管理工作。



 各縣(市)公安局和蕭山區(qū),、余杭區(qū)公安分局負責本行政區(qū)域范圍內(nèi)計算機信息系統(tǒng)安全保護管理工作。



 國家安全機關(guān),、保密機關(guān),、信息化行政主管部門及政府其他有關(guān)職能部門，在各自職責范圍內(nèi)負責計算機信息系統(tǒng)安全保護管理的有關(guān)工作,。




第五條 公安機關(guān),、國家安全機關(guān)、保密機關(guān),、信息化行政主管部門及政府其他有關(guān)職能部門,，應(yīng)當建立協(xié)調(diào)合作管理機制，共同做好計算機信息系統(tǒng)安全保護管理工作,。




第六條 公安機關(guān),、國家安全機關(guān)、保密機關(guān),、信息化行政主管部門及政府其他有關(guān)職能部門在履行管理職責過程中,，應(yīng)當保護計算機信息系統(tǒng)使用單位和個人的合法權(quán)益，保守其秘密,。



 計算機信息系統(tǒng)使用單位和個人應(yīng)當協(xié)助公安機關(guān)等有關(guān)職能部門做好計算機信息系統(tǒng)的安全保護管理工作,。在公安機關(guān)等有關(guān)職能部門依法履行管理職責時，使用單位和個人應(yīng)當如實提供本單位計算機信息系統(tǒng)的技術(shù)資料,。




第七條 計算機信息系統(tǒng)的安全保護工作,，重點維護下列涉及國家事務(wù)、公共利益,、經(jīng)濟建設(shè),、尖端科學技術(shù)等重要領(lǐng)域和單位(以下簡稱重點安全保護單位)的計算機信息系統(tǒng)的安全:



 (一)各級國家機關(guān)；



 (二)金融,、證券,、保險、期貨,、能源,、交通、社會保障,、郵電通信及其他公用事業(yè)單位,；



 (三)重點科研、教育單位,；



 (四)有關(guān)國計民生的企業(yè),；



 (五)從事國際聯(lián)網(wǎng)的互聯(lián)單位、接入單位及重點政務(wù)、商務(wù),、新聞網(wǎng)站,；



 (六)向公眾提供上網(wǎng)服務(wù)的單位；



 (七)互聯(lián)網(wǎng)絡(luò)游戲,、手機短信轉(zhuǎn)發(fā),、各類聊天室等互動欄目的開發(fā)、運營和維護單位,；



 (八)其他對社會公共利益有重大影響的計算機信息系統(tǒng)使用單位,。




第二章 計算機信息系統(tǒng)使用單位的安全管理




第八條 計算機信息系統(tǒng)使用單位應(yīng)當建立人員管理、機房管理,、設(shè)備設(shè)施管理,、數(shù)據(jù)管理、磁介質(zhì)管理,、輸入輸出控制管理和安全監(jiān)督等制度,，健全計算機信息系統(tǒng)安全保障體系，保障本單位計算機信息系統(tǒng)安全,。




第九條 計算機信息系統(tǒng)使用單位應(yīng)當確定本單位的計算機信息系統(tǒng)安全管理責任人,。安全管理責任人應(yīng)履行下列職責:



 (一)組織宣傳計算機信息系統(tǒng)安全保護管理方面的法律、法規(guī),、規(guī)章和有關(guān)政策,；



 (二)組織實施本單位計算機信息系統(tǒng)安全保護管理制度和安全保護技術(shù)措施；



 (三)組織本單位計算機從業(yè)人員的安全教育和培訓,；



 (四)定期組織檢查計算機信息系統(tǒng)的安全運行情況,，及時排除安全隱患。




第十條 計算機信息系統(tǒng)使用單位應(yīng)當配備本單位的計算機信息系統(tǒng)安全技術(shù)人員,。安全技術(shù)人員應(yīng)履行下列職責:



 (一)嚴格執(zhí)行本單位計算機信息系統(tǒng)安全保護技術(shù)措施,；



 (二)對計算機信息系統(tǒng)安全運行情況進行檢查測試，及時排除安全隱患,；



 (三)計算機信息系統(tǒng)發(fā)生安全事故或違法犯罪案件時,，應(yīng)立即向本單位報告，并采取妥善措施保護現(xiàn)場,，避免危害的擴大,；



 (四)負責收集本單位的網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖及信息系統(tǒng)的其他相關(guān)技術(shù)資料。




第十一條 重點安全保護單位應(yīng)當建立并執(zhí)行以下安全保護管理制度:



 (一)計算機機房安全管理制度,；



 (二)安全管理責任人,、安全技術(shù)人員的安全責任制度；



 (三)網(wǎng)絡(luò)安全漏洞檢測和系統(tǒng)升級管理制度,；



 (四)操作權(quán)限管理制度,；



 (五)用戶登記制度；



 (六)信息發(fā)布審查、登記,、保存,、清除和備份制度；



 (七)信息保密制度,；



 (八)信息系統(tǒng)安全應(yīng)急處置制度,；



 (九)其他相關(guān)安全保護管理制度。




第十二條 重點安全保護單位應(yīng)當落實以下安全保護技術(shù)措施:



 (一)系統(tǒng)重要部分的冗余措施,；



 (二)重要信息的異地備份措施和保密措施；



 (三)計算機病毒和有害數(shù)據(jù)防治措施,；



 (四)網(wǎng)絡(luò)攻擊防范和追蹤措施,；



 (五)安全審計和預(yù)警措施；



 (六)信息群發(fā)限制措施,；



 (七)其他相關(guān)安全保護技術(shù)措施,。




第十三條 重點安全保護單位的安全管理責任人和安全技術(shù)人員，應(yīng)當經(jīng)過計算機信息系統(tǒng)安全知識培訓,。




第十四條 重點安全保護單位應(yīng)當對其主服務(wù)器輸入輸出數(shù)據(jù)進行24小時監(jiān)控,，發(fā)現(xiàn)異常數(shù)據(jù)應(yīng)注意保護現(xiàn)場，并同時報告公安機關(guān)等有關(guān)職能部門,。




第十五條 使用和銷售計算機信息系統(tǒng)安全專用產(chǎn)品,，必須是依法取得計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證的產(chǎn)品。



 進入本市銷售計算機信息系統(tǒng)安全專用產(chǎn)品的銷售單位,，其銷售產(chǎn)品目錄應(yīng)報市公安局備案,。



 市公安局應(yīng)定期發(fā)布通告，公布合格的計算機信息系統(tǒng)安全專用產(chǎn)品目錄,。



 保密技術(shù)專用產(chǎn)品的管理,，按照國家和省、市的有關(guān)規(guī)定執(zhí)行,。




第十六條 計算機信息系統(tǒng)使用單位發(fā)現(xiàn)計算機信息系統(tǒng)中發(fā)生安全事故和違法犯罪案件時,，應(yīng)在24小時內(nèi)向當?shù)毓矙C關(guān)報告，并做好運行日志等原始記錄的現(xiàn)場保留工作,。涉及重大安全事故和違法犯罪案件的,，未經(jīng)公安機關(guān)查勘或同意，使用單位不得擅自恢復(fù),、刪除現(xiàn)場,。涉及其他管理部門法定職權(quán)的，公安機關(guān)應(yīng)當在接到報告后及時通知有關(guān)部門,。




第十七條 計算機信息系統(tǒng)發(fā)生突發(fā)性事件或存在安全隱患,，可能危及公共安全或損害公共利益時，公安機關(guān)等有關(guān)職能部門應(yīng)當及時通知計算機信息系統(tǒng)使用單位采取安全保護措施，并有權(quán)對使用單位采取暫停聯(lián)網(wǎng),、停機檢查,、備份數(shù)據(jù)等應(yīng)急措施，計算機信息系統(tǒng)使用單位應(yīng)當予以配合,。



 突發(fā)性事件或安全隱患消除之后,，公安機關(guān)等有關(guān)職能部門應(yīng)立即解除暫停聯(lián)網(wǎng)或停機檢查措施，恢復(fù)計算機信息系統(tǒng)的正常工作,。




第三章 計算機信息系統(tǒng)安全檢測




第十八條 重點安全保護單位的計算機信息系統(tǒng)進行新建,、改建、擴建的,，其安全保護設(shè)計方案應(yīng)報公安機關(guān)備案,。



 系統(tǒng)建成后，重點安全保護單位應(yīng)進行1至6個月的試運行,，并委托符合條件的檢測機構(gòu)對其系統(tǒng)進行安全保障體系檢測,，檢測合格的，系統(tǒng)方能投入正式運行,。重點安全保護單位應(yīng)將檢測合格報告書報公安機關(guān)備案,。



 涉密計算機信息系統(tǒng)的建設(shè)、檢測等按照國家和省,、市的有關(guān)規(guī)定執(zhí)行,。




第十九條 計算機信息系統(tǒng)安全保障體系檢測包括以下內(nèi)容:



 (一)安全保護管理制度和安全保護技術(shù)措施的制定和執(zhí)行情況；



 (二)計算機硬件性能和機房環(huán)境,；



 (三)計算機系統(tǒng)軟件和應(yīng)用軟件的可靠性,；



 (四)技術(shù)測試情況和其他相關(guān)情況。



 市公安局應(yīng)當根據(jù)計算機信息系統(tǒng)安全保護的行業(yè)特點,，會同有關(guān)部門制定并公布重點行業(yè)計算機信息系統(tǒng)安全保障體系的安全要求規(guī)范,。




第二十條 重點安全保護單位對計算機信息系統(tǒng)進行設(shè)備更新或改造時，對安全保障體系產(chǎn)生直接影響的,，應(yīng)當委托符合條件的檢測機構(gòu)對受影響的部分進行檢測,，確保其符合該行業(yè)計算機信息系統(tǒng)安全保障體系的安全要求規(guī)范。




第二十一條 重點安全保護單位應(yīng)加強對計算機信息系統(tǒng)的安全保護,，定期委托符合條件的檢測機構(gòu)對計算機信息系統(tǒng)進行安全保障體系檢測,，并將檢測合格報告書報公安機關(guān)備案。對檢測不合格的,，重點安全保護單位應(yīng)當按照該行業(yè)計算機信息系統(tǒng)安全保障體系的安全要求規(guī)范進行整改,，整改后達到要求的，系統(tǒng)方能繼續(xù)運行,。




第二十二條 公安機關(guān)應(yīng)當會同有關(guān)部門,，按照國家有關(guān)規(guī)定和相關(guān)行業(yè)安全要求規(guī)范,，對重點安全保護單位的計算機信息系統(tǒng)安全保障體系進行檢查。檢查內(nèi)容包括:



 (一)安全保護管理制度和安全保護技術(shù)措施的落實情況,；



 (二)計算機信息系統(tǒng)實體的安全,；



 (三)計算機網(wǎng)絡(luò)通訊和數(shù)據(jù)傳輸?shù)陌踩?


 (四)計算機軟件和數(shù)據(jù)庫的安全；



 (五)計算機信息系統(tǒng)安全審計狀況和安全事故應(yīng)急措施的執(zhí)行情況,；



 (六)其他計算機信息系統(tǒng)的安全情況,。




第二十三條 公安機關(guān)等有關(guān)職能部門發(fā)現(xiàn)重點安全保護單位的計算機信息系統(tǒng)存在安全隱患、可能危及公共安全或損害公共利益的,，可委托符合條件的檢測機構(gòu)對其安全保障體系進行檢測,。經(jīng)檢測發(fā)現(xiàn)存在安全問題的，重點安全保護單位應(yīng)當立即予以整改,。




第二十四條 檢測機構(gòu)進行計算機信息系統(tǒng)安全檢測時,，應(yīng)保障被檢測單位各種活動的正常進行，并不得泄露其秘密,。



 檢測機構(gòu)應(yīng)當嚴格按照國家有關(guān)規(guī)定和相關(guān)規(guī)范進行檢測，并對其出具的檢測報告承擔法律責任,。




第四章 計算機信息網(wǎng)絡(luò)公共秩序管理




第二十五條 互聯(lián)網(wǎng)絡(luò)接入單位以及申請從事互聯(lián)網(wǎng)信息服務(wù)的單位和個人,，除應(yīng)當按照國家有關(guān)規(guī)定辦理相關(guān)手續(xù)外，還應(yīng)當自網(wǎng)絡(luò)正式聯(lián)通之日起30日內(nèi)到公安機關(guān)辦理安全備案手續(xù),。




第二十六條 用戶在接入單位辦理入網(wǎng)手續(xù)時,，應(yīng)當填寫用戶備案表。接入單位應(yīng)當定期將接入本網(wǎng)絡(luò)的用戶情況報當?shù)毓矙C關(guān)備案,。




第二十七條 設(shè)立互聯(lián)網(wǎng)上網(wǎng)服務(wù)營業(yè)場所,，應(yīng)當按照《互聯(lián)網(wǎng)上網(wǎng)服務(wù)營業(yè)場所管理條例》的規(guī)定向公安機關(guān)申請信息網(wǎng)絡(luò)安全審核。經(jīng)公安機關(guān)審核合格,，發(fā)給互聯(lián)網(wǎng)上網(wǎng)服務(wù)營業(yè)場所信息網(wǎng)絡(luò)安全許可證明后,，再向文化、工商部門辦理有關(guān)審批手續(xù),。



 互聯(lián)網(wǎng)上網(wǎng)服務(wù)營業(yè)場所經(jīng)營單位變更營業(yè)場所地址或者對營業(yè)場所進行改建,、擴建，變更計算機數(shù)量或者其他重要事項的,，應(yīng)當經(jīng)原審核機關(guān)同意,。



 互聯(lián)網(wǎng)上網(wǎng)服務(wù)營業(yè)場所經(jīng)營單位變更名稱、住所,、法定代表人或者主要負責人,、注冊資本、網(wǎng)絡(luò)地址或者終止經(jīng)營活動的,，應(yīng)當依法到工商行政管理部門辦理變更登記或者注銷登記,，并到文化行政部門,、公安機關(guān)辦理相關(guān)手續(xù)。




第二十八條 互聯(lián)網(wǎng)上網(wǎng)服務(wù)營業(yè)場所經(jīng)營單位必須使用固定的IP地址聯(lián)網(wǎng),，并按規(guī)定落實安全保護技術(shù)措施,。



 互聯(lián)網(wǎng)上網(wǎng)服務(wù)營業(yè)場所經(jīng)營單位應(yīng)按規(guī)定對上網(wǎng)人員進行電子實名登記，登記內(nèi)容包括姓名,、身份證號碼,、上網(wǎng)起止時間，并應(yīng)記錄上網(wǎng)信息,。登記內(nèi)容和記錄備份保存時間不得少于60日,，在保存期內(nèi)不得修改或者刪除。




第二十九條 任何單位和個人不得從事下列危害計算機信息網(wǎng)絡(luò)安全的活動:



 (一)未經(jīng)授權(quán)查閱他人電子郵箱,，或者以贏利和非正常使用為目的,，未經(jīng)允許向第三方公開他人電子郵箱地址；



 (二)故意向他人發(fā)送垃圾郵件,，或者冒用他人名義發(fā)送電子郵件,；(三)利用計算機信息網(wǎng)絡(luò)傳播有害手機短信；



 (四)侵犯他人隱私,、竊取他人帳號,、進行網(wǎng)上詐騙活動；



 (五)未經(jīng)計算機信息網(wǎng)絡(luò)所有者同意,，掃描他人信息網(wǎng)絡(luò)漏洞,；



 (六)利用計算機信息網(wǎng)絡(luò)鼓動公眾惡意評論他人或公開發(fā)布他人隱私，或者暗示,、影射對他人進行人身攻擊,；



 (七)其他危害計算機信息網(wǎng)絡(luò)安全的行為。




第三十條 從事信息網(wǎng)絡(luò)經(jīng)營,、服務(wù)的單位和個人應(yīng)當遵守下列規(guī)定:



 (一)制訂安全保護管理制度,，對本網(wǎng)絡(luò)用戶進行安全教育；



 (二)落實安全保護技術(shù)措施,，保障本網(wǎng)絡(luò)的運行安全和其發(fā)布的信息安全,；



 (三)建立電子公告系統(tǒng)的信息審核制度，設(shè)立信息審核員,，發(fā)現(xiàn)有害信息的,，應(yīng)在做好數(shù)據(jù)保存工作后及時刪除；



 (四)發(fā)現(xiàn)本辦法第二十九條中各類情況時應(yīng)保留有關(guān)稽核記錄,，并立即向公安機關(guān)報告,；



 (五)落實信息群發(fā)限制、匿名轉(zhuǎn)發(fā)限制和有害數(shù)據(jù)防治措施,；



 (六)落實系統(tǒng)運行和上網(wǎng)用戶使用日志記錄措施,；



 (七)按公安機關(guān)要求報送各類接入狀況及基礎(chǔ)數(shù)據(jù),。




第三十一條 發(fā)現(xiàn)計算機信息網(wǎng)絡(luò)傳播病毒、轉(zhuǎn)發(fā)垃圾郵件,、轉(zhuǎn)發(fā)有害手機短信或傳播有害信息的,，信息網(wǎng)絡(luò)的經(jīng)營、服務(wù)單位和個人應(yīng)當采取技術(shù)措施予以防護和制止,，并在24小時內(nèi)向公安機關(guān)報告,。



 對不采取技術(shù)措施予以防護和制止的信息網(wǎng)絡(luò)經(jīng)營、服務(wù)單位和個人,，公安機關(guān)有權(quán)責令其采取技術(shù)措施,，或主動采取有關(guān)技術(shù)措施予以防護和制止。




第三十二條 公安機關(guān)應(yīng)對計算機信息網(wǎng)絡(luò)的安全狀況,、公共秩序狀況進行經(jīng)常性監(jiān)測,，發(fā)現(xiàn)危害信息安全和危害公共秩序的事件應(yīng)及時進行處理，并及時通知有關(guān)單位和個人予以整改,。




第五章 法律責任




第三十三條 違反本辦法規(guī)定,，有下列行為之一的，給予警告,，責令限期改正,，并可處以1000元以上10000元以下罰款；情節(jié)嚴重的,，可以給予6個月以內(nèi)停機整頓的處罰:



 (一)計算機信息系統(tǒng)使用單位未建立安全保護管理制度或未落實安全保護技術(shù)措施，危害計算機信息系統(tǒng)安全的,；



 (二)計算機信息系統(tǒng)使用單位不按照規(guī)定時間報告計算機信息系統(tǒng)中發(fā)生的安全事故和違法犯罪案件,，造成危害的；



 (三)重點安全保護單位的計算機信息系統(tǒng)未經(jīng)檢測或檢測不合格即投入正式運行的,。




第三十四條 違反本辦法規(guī)定,，銷售計算機信息系統(tǒng)安全專用產(chǎn)品未向公安機關(guān)備案的，給予警告,，責令限期改正,，并可處以200元以上2000元以下罰款。




第三十五條 違反本辦法規(guī)定,，接入單位或從事互聯(lián)網(wǎng)信息服務(wù)的單位和個人不辦理安全備案手續(xù)的,，給予警告，責令限期改正,，并可處以1000元以上5000元以下的罰款,；情節(jié)嚴重的，可以給予6個月以內(nèi)停機整頓的處罰,。




第三十六條 違反本辦法規(guī)定,，未取得互聯(lián)網(wǎng)上網(wǎng)服務(wù)營業(yè)場所信息網(wǎng)絡(luò)安全許可證明從事互聯(lián)網(wǎng)上網(wǎng)服務(wù)經(jīng)營活動的,，責令限期補辦手續(xù)，并可處以1000元以上10000元以下的罰款,。




第三十七條 有本辦法第二十九條規(guī)定行為之一的,，給予警告，責令限期改正,，并可處以1000元以上5000元以下的罰款,；情節(jié)嚴重的，可以給予6個月以內(nèi)停機整頓的處罰,。




第三十八條 違反本辦法第三十條和第三十一條第一款規(guī)定的,，給予警告，責令限期改正,，并可處以1000元以上10000元以下的罰款,；情節(jié)嚴重的，可以給予6個月以內(nèi)停機整頓的處罰,。




第三十九條 計算機信息系統(tǒng)使用單位的安全管理責任人和安全技術(shù)人員不履行本辦法規(guī)定的職責,，造成安全事故或重大損害的，給予警告,，并可建議其所在單位按照相關(guān)規(guī)定給予其行政處分,。




第四十條 對本辦法規(guī)定的行政處罰，市區(qū)范圍內(nèi)(蕭山區(qū),、余杭區(qū)除外)由市公安局公共信息網(wǎng)絡(luò)安全監(jiān)察分局負責,；各縣(市)和蕭山區(qū)、余杭區(qū)范圍內(nèi)由各縣(市)公安局和蕭山區(qū),、余杭區(qū)公安分局負責,。




第四十一條 對違反本辦法規(guī)定的行為，涉及其他有關(guān)法律法規(guī)的,，由有關(guān)部門依法予以處罰,。對違反治安管理行為的，依照《中華人民共和國治安管理處罰條例》的規(guī)定給予處罰,；構(gòu)成犯罪的,，依法追究刑事責任。




第四十二條 行政機關(guān)工作人員違反本辦法規(guī)定,，玩忽職守,、濫用職權(quán)、徇私舞弊的,，由其所在單位或有關(guān)部門按照有關(guān)規(guī)定給予其行政處分,；構(gòu)成犯罪的，由司法機關(guān)依法追究刑事責任,。




第六章 附 則




第四十三條 計算機信息系統(tǒng)的保密管理,，按照國家有關(guān)規(guī)定執(zhí)行,。




第四十四條 市公安局可以根據(jù)本辦法的規(guī)定，制定相關(guān)的實施細則,。




第四十五條 本辦法自2005年1月1日起施行,。