安徽省计算机信息系统安全保护办法
安徽省人民政府令
(第110号)
《安徽省计算机信息系统安全保护办法》业经1998年12月15日省人民政府第19次常务会议通过,现予发布,自1999年1月1日起施行。
代省长 王太华
一九九八年十二月二十二日
安徽省计算机信息系统安全保护办法
第一章 总则
第一条 为了保护计算机信息系统安全,促进计算机应用和发展,维护社会稳定,保障社会主义建设事业顺利进行,根据《中华人民共和国计算机信息系统安全保护条例》及其他有关法律、法规,结合本省实际,制定本办法。
第二条 本办法所称计算机信息系统,是指由计算机及其相关的和配套的设备、设施(含网络,下同)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
第三条 计算机信息系统的安全保护,应当保障计算机及其相关和配套的设备、设施和运行环境的安全,确保计算机功能的正常发挥,维护计算机信息系统的安全运行,保障信息的安全,预防和打击危害计算机信息系统安全的违法犯罪活动。
第四条 计算机信息系统安全保护工作,重点维护涉及国家事务、经济建设、国防建设、尖端科学技术等重要领域以及国际联网的计算机信息系统的安全。
第五条 本省行政区域内的计算机信息系统安全保护,适用本办法。
军队计算机信息系统的安全保护,按照国家有关规定执行。
第六条 公安机关主管计算机信息系统安全保护工作。
国家安全、国家保密部门和其他有关部门,在其职责范围内做好计算机信息系统保护的有关工作。
第七条 任何单位和个人,不得危害计算机信息系统的安全,不得利用计算机信息系统从事危害公共利益和公民、法人及其他组织合法权益的活动,不得利用计算机信息系统危害国家安全、泄露国家秘密。
第二章 安全保护
第八条 计算机信息系统使用单位应当建立健全计算机信息系统安全管理制度,负责本单位计算机信息的安全保护工作。
第九条 公安机关对计算机信息系统安全保护工作实行指导、监督,其具体职责:
(一)宣传计算机信息系统安全保护法律、法规和规章;
(二)检查计算机信息系统安全保护工作;
(三)管理计算机病毒和其他有害数据的防治工作;
(四)监督、检查计算机信息系统安全专用产品销售活动;
(五)查处危害计算机信息系统安全的违法犯罪案件;
(六)依法应当履行的其他职责。
第十条 公安机关在对计算机信息系统安全保护工作进行指导、监督中,发现计算机信息系统存在安全隐患,应当在3日内书面通知使用单位和个人限期采取安全保护措施。
第十一条 计算机信息系统实行安全等级保护。
计算机信息系统的安全等级,由公安机关根据计算机信息系统处理信息的等级和国家有关规定划定。
计算机信息系统使用单位应当根据划定的安全等级,采取相应的安全保护措施。
第十二条 根据信息的种类和性质,计算机信息系统处理的信息分为以下四个等级:
(一)A级,即密级信息,含绝密信息、机密信息、秘密信息三个次等级;
(二)B级,即敏感信息;
(三)C级,即内部管理信息;
(四)D级,即公共信息。
信息等级的具体标准,由省公安厅会同有关部门依照国家法律、法规和其他有关规定制定。
第十三条 计算机信息系统使用单位应当将计算机信息系统处理的信息的种类和性质,向当地公安机关报告。公安机关应当自接到报告之日起15日内划定安全等级,通知使用单位采取相应的安全保护措施。
计算机信息系统处理的信息的种类和性质变化的,使用单位应当在30日内报告公安机关,重新划定安全等级。
第十四条 利用计算机信息系统处理C级以上信息的单位,或者计算机信息系统国际联网的单位,应当指定专人负责计算机信息系统安全保护工作,确定计算机信息系统安全管理员。
第十五条 利用计算机信息系统处理B级以上信息的单位或者计算机信息系统国际联网的单位的计算机信息系统安全管理员,应当参加公安机关组织的计算机信息系统安全知识培训,取得《安徽省计算机信息系统安全管理员证》。
第十六条 利用计算机系统处理B级以上信息的单位,应当对机信息系统应用的软件和处理的数据异地备份;系统操作人员应当填写操作日志,记录计算机信息系统运行情况。
第十七条 计算机机房建设应当符合国家标准和国家有关规定。
处理A级信息的计算机机房,应有相应的保密技术防范设备。
在计算机机房附近施工或者进行其他活动,不得危害计算机信息系统的安全。
第十八条 任何单位和个人不得从事下列活动:
(一)制作、故意传播计算机病毒等破坏性程序和其他有害数据;
(二)未经使用单位允许,进入计算机信息系统或者使用计算机信息系统资源;
(三)未经使用单位允许,对计算机信息功能行进行删除、修改或者增加;
(四)未经使用单位允许,对计算机信息系统中存储、处理或者传输的数据和应用程度进行删除、修改或者增加。
第十九条 未经省公安厅或者公安部计算机安全监察机构批准,任何单位和个人不得从事下列活动:
(一)收集、保存计算机病毒;
(二)公开发布计算机病毒疫情消息。
第二十条 计算机信息系统使用单位和个人发现危害计算机信息系统违法犯罪活动的,应当在24小时内报告当地公安机关,并保护现场和相关资料。
第二十一条 计算机信息系统国际联网实行备案制定。
计算机信息系统使用单位和个人在接入单位办理入网手续时,应当填写由公安部监制的用户备案表。
互联单位、接人单位、使用计算机信息网络国际联网的法人和其他组织(包括跨省、自治区、直辖市联网的单位和所属的分支机构,下同),应当自网络正式联通之日起30日内,到省公安厅指定的受理机关办理备案手续。
互联单位、接人单位、使用计算机信息网络国际联网的法人和其他组织,负责将接入本网络的接入单位、用户情况报当地公安机关备案,并报告本网络中接入单位、用户的变更情况。
第二十二条 计算机信息系统安全专用产品进入市场销售,实行许可证制度。
计算机信息系统安全专用产品生产者在其产品进入市场销售之前,应当依照国家有关规定,向公安部计算机安全监察机构申领《计算机信息系统安全专用产品销售许可证》。
从事计算机信息系统安全专用产品经营的,应当向地级以上公安机关办理登记手续。
第二十三条 从事计算机硬件、软件制造、销售、出租、维修等经营活动的单位和个人,发现计算机病毒等破坏性程序和其他有害数据的,应当在24小时内报告当地公安机关。
第二十四条 计算机知识教育和计算机知识考核,应当有计算机信息系统安全保护法律、法规和安全保护基础知识的内容。
第二十五条 运输、携带、邮寄计算机信息媒体进出境的,必须如实向海关申报。必要时,公安机关可协助海关对进出境的计算信息媒体进行安全检测。
第三章 法律责任
第二十六条 有下列行为之一的,处以警告或者2个月以内的停机整顿:
(一)接到公安机关要求改进安全状况的通知后,在限期内拒不改进的;
(二)未将计算机信息系统处理的信息的种类和性质向公安机关报告,或者未按确定的安全等采取相应的安全保护措施的;
(三)发现危害计算机信息系统违法犯罪活动,或者发现经营的计算机硬件、软件含计算机病毒等破坏性程序和其他有害数据,未按规定的时间报告的;
(四)违反计算机信息系统国际联网备案制度的。
第二十七条 违反第十七条规定的,由公安机关会同有关单位处理。
第二十八条 违反本办法第十八条规定的,处以警告,有违法所得的,没收违法所得,对个人处以1000元至5000元的罚款,对单位处以3000元至15000元的罚款。
第二十九条 违反本办法第二十二条规定,处以500元以下的罚款。
第三十条 违反本办法第二十二条规定的,处以警告,或者对个人处以1000元至5000元的罚款,对单位处以3000元至15000元的罚款;有违法所得的,没收违法所得,可并处违法所得1至3倍的罚款。
第三十一条 运输、携带、邮寄计算机信息媒体进出境,不如实向海关申报的,由海关依照《中华人民共和国海关法》和有关法律、法规的规定进行处理。
第三十二条 违反本办法,触犯其他有关法律、法规的,依照有关法律、法规和规定处理;构成犯罪的,依法追究刑事责任。
第三十三条 当事人对依照本办法作出的行政处罚不服的,可以依法申请行政复议或者提起行政诉讼。
第三十四条 国家工作人员在指导、监督计算机信息系统安全保护工作中滥用职权、徇私舞弊、玩忽职守的,依法给予行政处分;构成犯罪的,依法追究刑事责任。
第四章 附则
第三十五条 本办法下列用语的含义为:
计算机病毒,是指编制的或者在计算机程序中插入的,破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
有害数据,是指与计算机信息系统相关的,含有危害计算机信息系统安全运行的程序,或者对国家安全和社会公共安全构成危害或潜在威胁的数据。
计算机信息媒体,是指可存储、携带计算机程序、数据和信息的计算机硬磁盘、软磁盘、光盘、磁带、磁卡、纸带、卡片、打印纸、芯片等。
计算机信息系统安全专用产品,是指用于保护计算机信息系统安全的专用硬件和软件产品。
第三十六条 本办法自1999年1月1日起施行。