杭州市计算机信息系统安全保护管理办法
发表日期:2011-04-22 20:43:21 来源:互联网; 点击次数:
《杭州市计算机信息系统安全保护管理办法》已经2004年10月25日市人民政府第53次常务会议审议通过,现予公布,自2005年1月1日起施行。
代市长
二○○四年十一月三日
杭州市计算机信息系统安全保护管理办法
第一章 总 则
第一条 为加强对计算机信息系统的安全保护,维护公共秩序和社会稳定,促进信息化的健康发展,根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》等规定,结合本市实际,制定本办法。
第二条 本办法所称的计算机信息系统,是指由计算机及其相关的和配套的设备、设施(含有线、无线等网络,下同)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统,包括互联网、局域网、移动网等。
第三条 杭州市行政区域范围内计算机信息系统的安全保护管理,适用本办法。
第四条 杭州市公安局主管全市计算机信息系统安全保护管理工作。
杭州市公安局公共信息网络安全监察分局具体负责市区范围内(萧山区、余杭区除外)计算机信息系统安全保护管理工作。
各县(市)公安局和萧山区、余杭区公安分局负责本行政区域范围内计算机信息系统安全保护管理工作。
国家安全机关、保密机关、信息化行政主管部门及政府其他有关职能部门,在各自职责范围内负责计算机信息系统安全保护管理的有关工作。
第五条 公安机关、国家安全机关、保密机关、信息化行政主管部门及政府其他有关职能部门,应当建立协调合作管理机制,共同做好计算机信息系统安全保护管理工作。
第六条 公安机关、国家安全机关、保密机关、信息化行政主管部门及政府其他有关职能部门在履行管理职责过程中,应当保护计算机信息系统使用单位和个人的合法权益,保守其秘密。
计算机信息系统使用单位和个人应当协助公安机关等有关职能部门做好计算机信息系统的安全保护管理工作。在公安机关等有关职能部门依法履行管理职责时,使用单位和个人应当如实提供本单位计算机信息系统的技术资料。
第七条 计算机信息系统的安全保护工作,重点维护下列涉及国家事务、公共利益、经济建设、尖端科学技术等重要领域和单位(以下简称重点安全保护单位)的计算机信息系统的安全:
(一)各级国家机关;
(二)金融、证券、保险、期货、能源、交通、社会保障、邮电通信及其他公用事业单位;
(三)重点科研、教育单位;
(四)有关国计民生的企业;
(五)从事国际联网的互联单位、接入单位及重点政务、商务、新闻网站;
(六)向公众提供上网服务的单位;
(七)互联网络游戏、手机短信转发、各类聊天室等互动栏目的开发、运营和维护单位;
(八)其他对社会公共利益有重大影响的计算机信息系统使用单位。
第二章 计算机信息系统使用单位的安全管理
第八条 计算机信息系统使用单位应当建立人员管理、机房管理、设备设施管理、数据管理、磁介质管理、输入输出控制管理和安全监督等制度,健全计算机信息系统安全保障体系,保障本单位计算机信息系统安全。
第九条 计算机信息系统使用单位应当确定本单位的计算机信息系统安全管理责任人。安全管理责任人应履行下列职责:
(一)组织宣传计算机信息系统安全保护管理方面的法律、法规、规章和有关政策;
(二)组织实施本单位计算机信息系统安全保护管理制度和安全保护技术措施;
(三)组织本单位计算机从业人员的安全教育和培训;
(四)定期组织检查计算机信息系统的安全运行情况,及时排除安全隐患。
第十条 计算机信息系统使用单位应当配备本单位的计算机信息系统安全技术人员。安全技术人员应履行下列职责:
(一)严格执行本单位计算机信息系统安全保护技术措施;
(二)对计算机信息系统安全运行情况进行检查测试,及时排除安全隐患;
(三)计算机信息系统发生安全事故或违法犯罪案件时,应立即向本单位报告,并采取妥善措施保护现场,避免危害的扩大;
(四)负责收集本单位的网络拓扑结构图及信息系统的其他相关技术资料。
第十一条 重点安全保护单位应当建立并执行以下安全保护管理制度:
(一)计算机机房安全管理制度;
(二)安全管理责任人、安全技术人员的安全责任制度;
(三)网络安全漏洞检测和系统升级管理制度;
(四)操作权限管理制度;
(五)用户登记制度;
(六)信息发布审查、登记、保存、清除和备份制度;
(七)信息保密制度;
(八)信息系统安全应急处置制度;
(九)其他相关安全保护管理制度。
第十二条 重点安全保护单位应当落实以下安全保护技术措施:
(一)系统重要部分的冗余措施;
(二)重要信息的异地备份措施和保密措施;
(三)计算机病毒和有害数据防治措施;
(四)网络攻击防范和追踪措施;
(五)安全审计和预警措施;
(六)信息群发限制措施;
(七)其他相关安全保护技术措施。
第十三条 重点安全保护单位的安全管理责任人和安全技术人员,应当经过计算机信息系统安全知识培训。
第十四条 重点安全保护单位应当对其主服务器输入输出数据进行24小时监控,发现异常数据应注意保护现场,并同时报告公安机关等有关职能部门。
第十五条 使用和销售计算机信息系统安全专用产品,必须是依法取得计算机信息系统安全专用产品销售许可证的产品。
进入本市销售计算机信息系统安全专用产品的销售单位,其销售产品目录应报市公安局备案。
市公安局应定期发布通告,公布合格的计算机信息系统安全专用产品目录。
保密技术专用产品的管理,按照国家和省、市的有关规定执行。
第十六条 计算机信息系统使用单位发现计算机信息系统中发生安全事故和违法犯罪案件时,应在24小时内向当地公安机关报告,并做好运行日志等原始记录的现场保留工作。涉及重大安全事故和违法犯罪案件的,未经公安机关查勘或同意,使用单位不得擅自恢复、删除现场。涉及其他管理部门法定职权的,公安机关应当在接到报告后及时通知有关部门。
第十七条 计算机信息系统发生突发性事件或存在安全隐患,可能危及公共安全或损害公共利益时,公安机关等有关职能部门应当及时通知计算机信息系统使用单位采取安全保护措施,并有权对使用单位采取暂停联网、停机检查、备份数据等应急措施,计算机信息系统使用单位应当予以配合。
突发性事件或安全隐患消除之后,公安机关等有关职能部门应立即解除暂停联网或停机检查措施,恢复计算机信息系统的正常工作。
第三章 计算机信息系统安全检测
第十八条 重点安全保护单位的计算机信息系统进行新建、改建、扩建的,其安全保护设计方案应报公安机关备案。
系统建成后,重点安全保护单位应进行1至6个月的试运行,并委托符合条件的检测机构对其系统进行安全保障体系检测,检测合格的,系统方能投入正式运行。重点安全保护单位应将检测合格报告书报公安机关备案。
涉密计算机信息系统的建设、检测等按照国家和省、市的有关规定执行。
第十九条 计算机信息系统安全保障体系检测包括以下内容:
(一)安全保护管理制度和安全保护技术措施的制定和执行情况;
(二)计算机硬件性能和机房环境;
(三)计算机系统软件和应用软件的可靠性;
(四)技术测试情况和其他相关情况。
市公安局应当根据计算机信息系统安全保护的行业特点,会同有关部门制定并公布重点行业计算机信息系统安全保障体系的安全要求规范。
第二十条 重点安全保护单位对计算机信息系统进行设备更新或改造时,对安全保障体系产生直接影响的,应当委托符合条件的检测机构对受影响的部分进行检测,确保其符合该行业计算机信息系统安全保障体系的安全要求规范。
第二十一条 重点安全保护单位应加强对计算机信息系统的安全保护,定期委托符合条件的检测机构对计算机信息系统进行安全保障体系检测,并将检测合格报告书报公安机关备案。对检测不合格的,重点安全保护单位应当按照该行业计算机信息系统安全保障体系的安全要求规范进行整改,整改后达到要求的,系统方能继续运行。
第二十二条 公安机关应当会同有关部门,按照国家有关规定和相关行业安全要求规范,对重点安全保护单位的计算机信息系统安全保障体系进行检查。检查内容包括:
(一)安全保护管理制度和安全保护技术措施的落实情况;
(二)计算机信息系统实体的安全;
(三)计算机网络通讯和数据传输的安全;
(四)计算机软件和数据库的安全;
(五)计算机信息系统安全审计状况和安全事故应急措施的执行情况;
(六)其他计算机信息系统的安全情况。
第二十三条 公安机关等有关职能部门发现重点安全保护单位的计算机信息系统存在安全隐患、可能危及公共安全或损害公共利益的,可委托符合条件的检测机构对其安全保障体系进行检测。经检测发现存在安全问题的,重点安全保护单位应当立即予以整改。
第二十四条 检测机构进行计算机信息系统安全检测时,应保障被检测单位各种活动的正常进行,并不得泄露其秘密。
检测机构应当严格按照国家有关规定和相关规范进行检测,并对其出具的检测报告承担法律责任。
第四章 计算机信息网络公共秩序管理
第二十五条 互联网络接入单位以及申请从事互联网信息服务的单位和个人,除应当按照国家有关规定办理相关手续外,还应当自网络正式联通之日起30日内到公安机关办理安全备案手续。
第二十六条 用户在接入单位办理入网手续时,应当填写用户备案表。接入单位应当定期将接入本网络的用户情况报当地公安机关备案。
第二十七条 设立互联网上网服务营业场所,应当按照《互联<
相关推荐:
限制未成年人在非工业部门夜间工作建议书
采矿和运输业劳动监察建议书
国际航空运输协定
