四川省计算机信息系统安全保护管理办法
第一章 总 则
第一条 为了保护计算机信息系统的安全,鼓励计算机的应用,促进计算机的发展,根据《中华人民共和国计算机信息系统安全保护条例》,结合我省实际,制定本办法。
第二条 四川省行政区域内的计算机信息系统安全保护,适用本办法。
第三条 计算机信息系统,是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
第四条 计算机信息系统的安全保护,应当保障计算机及其配套的和相关的设备、设施(含网络)和运行环境的安全,以及计算机信息的安全,确保计算机功能的正常发挥,维护计算机信息系统的安全运行。
计算机信息系统安全保护工作,重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。
第五条 公安机关主管计算机信息系统的安全保护工作并对计算机信息系统的安全保护工作实施监督。
国家安全、保密部门和其他有关部门,在各自的职责范围内做好计算机信息系统安全保护的有关工作。
第六条 计算机信息系统的使用单位,应当遵守计算机信息系统安全保护的有关法律、法规的规定,建立健全安全保护制度,落实安全保护责任。
第七条 公民、法人和其他社会组织不得危害计算机信息系统的安全,不得利用计算机信息系统从事危害国家、集体和公民合法利益的活动。
第八条 在计算机信息系统安全保护工作中,公民、法人和其他社会组织作出突出成绩的,由主管机关或所在单位给予表彰奖励。
第二章 安全保护制度
第九条 计算机信息系统实行安全等级保护。
计算机信息系统的安全等级,分为信息安全等级和系统可靠性等级。
第十条 计算机信息系统的信息安全等级,根据信息的重要程度分为四级:
(一)A级,即高敏感信息;
(二)B级,即敏感信息;
(三)C级,即内部管理信息;
(四)D级,即公共信息。
第十一条 计算机信息系统可靠性等级,根据信息安全技术标准和系统运行管理状况进行划分。
第十二条 计算机信息系统安全等级的具体标准,由省公安厅依照公安部等国家有关部门的要求制定。
第十三条 计算机信息系统安全等级的确认或变更,按下列规定办理:
(一)县(市、区)及其以下所属的使用单位,向县(市、区)公安机关申报,经市(地、州)公安机关审核,由市(地、州)公安机关报省公安厅审批;
(二)市(地、州)所属的使用单位,向市(地、州)公安机关申报,由市(地、州)公安机关报省公安厅审批;
(三)省以上所属的使用单位,报省公安厅审批。
计算机信息系统按前款规定经审批确定安全等级,并取得安全使用合格证后,才能投入使用。
第十四条 计算机机房应当符合国家标准和国家有关规定。
在计算机机房附近施工或者进行其他活动,不得危害计算机信息系统的安全。
第十五条 重要计算机信息系统的应用人员,须经安全培训,取得省公安厅统一制发的计算机安全应用资格证后,方能上机操作。
第十六条 跨行业、跨部门和跨市县以上地域的联网,以及变更联网或停止联网的计算机信息系统,在其联网、变更联网或停止联网之日起30日内,由其使用单位报所在地市(地、州)以上公安机关备案。
进行国际联网的计算机信息系统,使用单位应在网络正式联通后30日内向省公安厅备案。
第十七条 运输、携带、邮寄计算机信息媒体进出境的,应如实向海关申报。海关发现有危害计算机信息系统安全的信息媒体,应及时向所在地的市(地、州)公安机关通报。
第十八条 对利用计算机信息系统进行违法犯罪活动的,使用单位应在发现后24小时内向所在地的县以上公安机关报告,并保护现场及相关资料,条件许可的应停机等候处理。
第十九条 任何单位和个人不得制造或者故意输入、传播计算机病毒和其他有害数据,不得利用非法手段复制、截收、窜改计算机信息系统中的数据。
第二十条 使用单位发现新的计算机病毒,应在3日内向所在地县以上公安机关报告。
使用单位发现政治性病毒和其他危害严重的有害数据,应在24小时内向所在地的县以上公安机关报告,并注意保护现场及相关资料,等候处理。
第二十一条 制造、销售、出租、维修计算机软件、硬件必须对产品进行检测,发现计算机病毒和其他有害数据应按第二十条的规定处理,确保产品中不得携带计算机病毒和其他有害数据。
第二十二条 未经省公安厅批准,任何单位和个人不得从事下列活动:
(一)收集和保存计算机病毒;
(二)出版、发行、刊登、制作、传播、销售含计算机病毒机理及病毒源程序的书籍资料和计算机信息媒体;
(三)公开发布计算机病毒疫情消息;
(四)开展涉及计算机病毒机理的活动。
经省公安厅批准从事前款第(二)项活动的,必须按规定报新闻出版行政主管部门审批。
第二十三条 开展计算机病毒的防治研究,应向所在地的市(地、州)公安机关申请,报省公安厅批准后方可进行,并定期报告研究工作情况。
第二十四条 销售计算机信息系统安全专用产品,须经省公安厅批准,办理计算机安全专用产品销售许可证后,方能销售。
涉密计算机信息系统中的保密专用产品的管理,国家另有规定的,从其规定。
第三章 安全监督管理
第二十五条 各级公安机关在计算机信息系统安全保护工作中的主要职责是:
(一)对计算机信息系统安全保护工作实施监督、检查、指导;
(二)开展计算机信息系统安全保护的宣传教育工作;
(三)查处危害计算机信息系统安全的违法犯罪案件;
(四)对计算机信息系统的新建、改建、扩建工程进行安全指导;
(五)管理计算机病毒和其他有害数据的防治工作;
(六)按本规定审核计算机信息系统安全等级;
(七)对计算机安全专用产品的销售活动实施监督;
(八)履行计算机信息系统安全保护工作的其他监督职责。
第二十六条 公安机关执法人员行使计算机信息系统安全保护工作监督职责时,应出示由省公安厅制发的计算机安全监察证,文明执法。
第二十七条 公安机关发现影响计算机信息系统安全的隐患时,应当及时向使用单位发出整改通知书,限期整改。
第二十八条 计算机信息系统的使用单位,应当建立计算机信息系统安全保护领导组织或配备专兼职管理人员,落实安全保护责任制度;对管理人员和应用操作人员组织岗位培训;制定防治计算机病毒和其他有害数据的方案;协助公安机关查处危害计算机信息系统安全的违法犯罪案件
。
第四章 罚 则
第二十九条 计算机机房不符合国家标准和国家其他有关规定,危害计算机信息系统安全的,由市(地、州)以上公安机关责令使用单位限期内改造,或者责令停止使用。
在计算机机房附近施工或者进行其他活动危害计算机信息系统安全的,由公安机关会同有关单位处理。
第三十条 运输、携带、邮寄计算机信息媒体进出境,不如实向海关申报的,由海关依照有关规定予以处罚。
第三十一条 有下列情形之一的,由公安机关予以警告或者责令停机整顿:
(一)计算机信息系统未按规定确认安全保护等级并取得合格证即投入使用的;
(二)重要计算机信息系统操作人员未取得安全培训合格证即上机操作的;
(三)未按照本办法第十六条的规定在限期内备案的;
(四)不按规定时间报告计算机信息系统中发生的案件的;
(五)接到公安机关要求改进安全状况的通知书后,在限期内拒不改进的;
(六)有危害计算机信息系统安全的其他行为的。
第三十二条 有下列行为之一的,由公安机关给予警告或者处以1000元以上5000元以下罚款;构成犯罪的,依法追究刑事责任:
(一)未经批准,研究、收集或者保存计算机病毒的;
(二)未经批准,公开发布计算机病毒疫情的;
(三)未经批准,开展涉及计算机病毒机理的活动的;
(四)制造、销售、出租、维修的计算机软件、硬件产品中含有计算机病毒和其他有害数据的。
第三十三条 有下列行为之一的,由公安机关给予警告或者对个人处以2000元以上5000元以下罚款,对单位处以5000元以上15000元以下罚款;有违法所得的,除予以没收外,可处违法所得1至3倍的罚款:
(一)制造或者故意输入、传播计算机病毒以及其他有害数据的;
(二)非法复制、截收、窜改计算机信息系统中的数据危害计算机信息系统安全的;
(三)未经许可销售计算机信息系统安全专用产品的。
第三十四条 当事人对公安机关依照本办法所作出的行政处罚不服的,可以依法申请行政复议或者提起行政诉讼。
第三十五条 在计算机信息系统安全保护监督工作中,公安机关工作人员利用职权循私舞弊、玩忽职守的,由主管机关给予行政处分;构成犯罪的,由司法机关依法追究刑事责任。
第五章 附 则
第三十六条 本办法下列用语的含义:
计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
有害数据,是指与计算机信息系统相关的,含有危害计算机信息系统安全运行的程序,或者对国家和社会公共安全构成危害或潜在威胁的数据。
计算机信息媒体,指可存储、携带计算机程序、数据和信息的计算机硬磁盘、软磁盘、光盘、磁带、磁卡、纸带、卡片、打印纸、芯片和固件等。
计算机信息系统安全专用产品,是指用于保护计算机信息系统安全的专用硬件和软件产品。
第三十七条 本办法执行中的具体问题由省公安厅负责解释。
第三十八条 本办法自1996年5月1日起施行。
1996年3月28日