第一章 总 则
第一条[目的和依据] 为加强计算机信息网络安全的保护和管理,维护国家安全、公共利益和社会稳定,促进信息化的健康发展,根据《中华人民共和国治安管理处罚法》、《计算机信息 系统安全保护条例》、《计算机信息网络国际联网管理暂行规定》等法律法规规定,结合本市实际,制定本条例。
第二条[定义] 本条例所称的计算机信息网络,是指计算机及其相关的和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统和运行体系。
计算机信息网络的安全包括计算机信息系统及互联网络的运行安全和信息内容的安全。
第三条[适用范围] 杭州市行政区域内的计算机信息网络安全保护与互联网安全管理活动,适用本条例。
杭州市行政区域内建设、运营、使用计算机信息网络的单位和个人,均须遵守本条例。
第四条[基本原则] 计算机信息网络安全坚持保护与管理并重和"谁运行、谁负责,谁管理、谁负责"的原则。
第五条[职责分工] 杭州市公安局主管全市计算机信息网络安全保护管理工作。杭州市公安局公共信息网络安全监察分局具体负责市区范围内(萧山区、余杭区除外)计算机信息网络安全保护管理工作。
萧山区、余杭区公安分局和各县(市)公安局负责本行政区域范围内计算机信息网络安全保护管理工作。
国家安全机关、保密机关、密码管理部门、信息化行政主管部门及政府其他有关职能部门,在各自职责范围内负责计算机信息网络安全保护管理的有关工作。
第六条[权利义务] 任何单位和个人依法使用计算机信息网络的合法权利,受本条例保护。
任何单位和个人不得利用计算机信息网络从事危害国家利益、社会秩序、公共利益以及侵犯公民、法人和其他组织合法权益的活动,不得危害计算机信息网络的安全。
第二章 安全保护和管理
第七条[基本制度] 计算机信息系统实行安全等级保护制度。本市计算机信息系统的安全等级保护按照国家和浙江省有关规定,分为自主保护(第一级)、指导保护级(第二级)、监督保护级(第三级)、强制保护级(第四级)和专控保护级(第五级)五个等级。
计算机信息系统的建设、运营、使用者应当按照国家有关技术规范、标准自行选定其信息系统相应的保护等级。基础信息网络和重要信息系统保护等级,实行专家评审制度。
第八条[信息安全产品] 计算机信息系统的规划、建设和运营、使用者在信息系统安全保护设施的规划、建设中,应当依照国家信息安全等级保护管理规范和技术标准,使用符合国家有关规定、满足计算机信息系统安全保护需求的信息安全产品。
第九条[责任主体] 计算机信息系统的运营、使用者是安全等级保护的责任主体。安全保护等级确定后,运营、使用者应当按照国家有关技术规范、标准,建立信息系统安全管理制度,确定安全管理责任人,采取相应的安全保护措施,切实保障信息系统正常安全运行。
第十条[等级备案] 新建第二级以上计算机信息系统,其运营、使用者应当在系统投入运行后30日内到市公安局办理备案手续。已运行的第二级以上计算机信息系统,其运营、使用者应当在安全保护等级确定后30日内到市公安局办理备案手续。
第十一条[安全测评] 计算机信息系统运营、使用者应当建立计算机信息网络安全状况日常检测工作制度。
基础信息网络和重要信息系统的运营、使用者应当按照国家有关技术规范和标准,每年对信息系统的安全状况进行一次全面的测评,也可以委托有相应资质的单 位进行安全测评,并将测评合格报告书报所在地公安机关备案。测评结果不合格的,运营、使用者应当按照相应的安全等级保护要求进行整改。
第十二条[安全保护制度] 计算机信息系统运营、使用者应当建立并落实以下安全保护制度:
(一)安全责任制度;
(二)核实、登记并及时更新用户注册信息制度;
(三)信息发布审查、登记保存、清除和备份制度;
(四)信息网络安全教育和培训制度;
(五)信息网络安全应急处置制度;
(六)违法案件报告和协助查处制度。
第十三条[安全保护技术措施] 计算机信息系统运营、使用者应当落实以下安全保护措施:
(一)系统重要数据备份、冗灾恢复措施;
(二)计算机病毒和破坏性程序的防治措施;
(三)系统运行和用户使用日志备份并保存60日以上的措施;
(四)记录、监测网络运行状态、变化和各种网络安全事件的安全审计措施;
(五)网络安全隔离以及防范网络入侵、攻击破坏等危害网络安全的措施;
(六)密钥、密码安全管理措施。
第十四条[应急预案] 计算机信息系统的运营、使用者应当制定重大突发事件应急处置预案。发生重大突发事件时,运营、使用者应当按照应急处置预案的要求采取相应的处置措施,并服从公安机关和国家指定的专门部门的调度。
第十五条[配合义务] 计算机信息系统的运营、使用者应当接受公安机关、国家指定的专门部门的安全监督、检查、指导,按照国家有关规定如实提供有关计算机信息系统安全保护的信息、资料及数据文件。
对信息系统中发生的案件和重大安全事故,计算机信息系统的运营、使用者应当在二十四小时内报告所在地公安机关,并保留有关原始记录。
第十六条[信息安全服务机构] 信息安全服务机构在提供信息安全服务过程中,应当保守信息系统的技术秘密。发现、掌握危害信息安全的证据时,应当向公安机关报告并提供发现、掌握的计算机病毒或者破坏性程序的样本。
第三章 公共秩序管理
第十七条[营业备案] 计算机信息系统运营、服务者应当自批准营业或者网络联通之日起30日内向所在地公安机关备案。
第十八条[互联网运营服务者的安全保护责任] 从事互联网接入、主机托管和租赁、虚拟空间租用等服务的互联网运营服务者,应当建立并落实以下安全保护制度和安全保护技术措施:
(一)在用户申请服务时,如实登记各级用户基本情况、应用种类和范围以及身份证明或者资格证明,每月将用户登记情况及所分配的网络地址等有关情况报所在地公安机关案;
(二)依法与用户签署服务协议,并在其中明确告知用户所应承担的信息安全法律责任;
(三)定期检查用户的网络应用范围、种类、内容,发现用户的活动超出协议约定范围、种类的,应当及时予以纠正,发现用户服务使用的内容违反国家有关法律、法规规定的,应当立即停止传输违法内容,保存相关记录,并向所在地公安机关报告。
第十九条[互联网信息服务提供者的安全保护责任] 互联网信息服务提供者应当建立信息审核制度,设立信息审核员,发现有害信息的,在做好数据保存工作后及时将信息删除。同时,还应当建立并落实以下安全保护制度和安全保护技术措施:
(一)提供新闻、出版以及电子公告等服务的,能够记录并留存所发布信息的内容、时间及互联网地址;
(二)开办政务、新闻、重点商务网站的,能够防范网站、网页被篡改,发现被篡改后能够立即恢复;
(三)提供电子公告、网络游戏、聊天室和其他即时通信服务的,具有用户注册信息和发布信息审核功能,如实登记申请开办者的有效身份证明文件;
(四)提供电子邮件和网上短信、彩信服务的,具有信息群发限制措施并且能够防范、清除发送伪造、隐匿信息发送者真实标记的电子邮件、短信或者彩信;
(五)电子公告服务或其他交互式信息服务提供者,其计算机信息网络应具备专用的服务器和独立的固定互联网地址。
本条所称的电子公告服务是指开设留言板、论坛、博客、播客等提供信息交流的服务。
第二十条[互联网上网服务提供单位的安全保护责任] 设立互联网上网服务营业场所的经营单位在申领《网络文化经营许可证》之前应当到公安机关申请信息网络安全审核。未经审核批准,任何组织和个人不得从事互联 网上网服务经营活动。非经营性互联网上网服务提供单位应当自开放之日起15日内向所在地公安机关备案。
互联网上网服务提供单位应当建立并落实以下安全保护制度和安全保护技术措施:
(一)提供互联网上网服务的服务器应当使用固定的互联网地址;
(三)如实登记用户有效身份证明文件、上网时间等有关情况,登记记录应当保留60日以上;
(四)安装具有防病毒、防入侵、防违法信息传播、记录上网用户日志等功能的安全保护技术设施,并保证其在线正常运行;
(五)发现法律、法规所禁止的行为和信息,应当中止传播,保存有关日志和记录,并向所在地公安机关报告;
(六)互联网上网服务场所提供无线接入服务的,能记录并留存使用用户的信息及对应的计算机信息。
第二十一条[用户的行为禁则] 任何单位或个人不得从事下列危害计算机信息网络安全和秩序的活动:
(一)未经允许,增加、修改、删除、干扰他人网络或信息系统的数据和功能;
(二)未经允许,进入、使用他人网络或信息系统;
(三)故意制作、传播、使用计算机病毒或者破坏性程序,或者制作、发布、复制、传播含有计算机病毒、破坏性程序机理及其源程序的信息;
(四)破坏网络或信息系统运行环境、设备设施;
(五)窃取、盗用、篡改、破坏他人网络资源;
(六)故意阻塞、阻碍、中断信息网络、信息系统的信息传输,恶意占用网络资源;
(七)利用计算机信息网络大量或者多次发送电子邮件、短信息等,干扰他人正常生活秩序或者网络秩序;
(八)利用计算机信息网络违背他人意愿,冒用他人名义发布信息,情节恶劣或者鼓动公众恶意评论他人、公开发布他人隐私或暗示、影射对他人进行人身攻击;
(九)明知本单位或本人的计算机信息网络的IP地址、主机空间等资源已被他人使用进行可能危害计算机信息网络安全的行为而不予制止;
(十)未经允许,利用计算机信息网络收集、使用、提供、买卖他人专有信息;
(十一)其他危害计算机信息网络安全和秩序的活动。
第二十二条[用户的信息内容禁则] 任何单位或个人不得利用计算机信息网络制作、发布、复制、传播下列信息:
(一)抗拒、破坏法律、法规实施的信息;
(二)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的信息;
(三)煽动民族仇恨、民族歧视,破坏民族团结,或者侵犯民族风俗习惯的信息;
(四)宣扬会道门、邪教、迷信的信息;
(五)公然侮辱、诽谤他人,侵害他人合法权益的信息;
(六)散布谣言,扰乱社会秩序的信息;
(七)煽动进行非法集会、游行、示威等聚众扰乱社会秩序的活动的信息;
(八)以非法社团名义活动的信息;
(九)销售、展示国家禁止自由流通、对公众安全构成危胁的危险物品的信息;
(十)含有淫秽色情、赌博、欺诈等内容或者教唆犯罪、传授犯罪方法的信息;
(十一)违反法律、法规其他有关规定的信息。
第二十三条[执法协助配合义务] 计算机信息系统运营、使用者发现有违反本条例的危害计算机信息网络安全的行为的,应当在24小时以内向所在地公安机关报告并协助查处。
因计算机病毒或破坏性程序发生信息系统瘫痪、程序和数据严重损坏等计算机信息网络安全事故的,信息系统运营、使用者应当及时向所在地公安机关报告,保护现场并提供计算机病毒或破坏性程序样本。
公安机关、国家安全机关对危害计算机信息网络安全和涉嫌违法犯罪的活动依法进行调查时,信息系统运营、使用者应当依法如实提供有关信息、资料及数据文件。
第四章 监督管理
第二十四条[公安机关监管职责] 公安机关对信息安全保护工作履行以下职责:
(一)指导信息系统主管部门和运营、使用者开展等级保护工作,接受第二级以上信息系统备案,并对其安全保护状况进行监督、检查;
(二)监督、检查、指导信息系统运营、使用者在联接并使用互联网的过程中,建立、落实网络与信息安全保护制度和安全保护技术措施;
(三)依法对计算机信息网络中的公共信息服务实施监督、检查,发现公共信息中含有本条例第二十二条所列信息的,应当通知信息系统运营、使用者予以删除,必要时中止对发送者的网络服务;
(四)负责接受危害网络与信息安全的事件、案件的报告、举报,勘查危害网络与信息安全事件、案件的现场并收集相关证据,提取疑似计算机病毒、破坏性程序的样本,依法查处针对或者利用信息系统实施的计算机信息网络安全违法犯罪案件;
(五)向社会发布信息安全事件和计算机病毒疫情;
(六)与计算机信息网络安全保护工作相关的其他监督职责。
公安机关发现计算机信息网络存在安全隐患,可能危及公共安全的,公安机关可以委托符合条件的测评机构进行测评。经测评发现存在安全问题的,运营、使用者应当立即予以整改。
第二十五条[紧急措施] 公安机关、国家安全机关为保护计算机信息系统安全,在发生重大突发事件,危及国家安全、公共安全及社会稳定的紧急情况下,可以采取二十四小时内暂时停机、暂停联网、备份数据等措施。
第二十六条[专业技术培训] 公安机关应当组织计算机系统运营、使用者的安全保护组织成员、管理责任人、信息审查员等从事信息网络安全保护工作的人员参加计算机信息网络安全专业技术培训。
第二十七条[保密机关监督职责] 保密机关依法对涉密信息系统分级保护工作实施监督管理,并做好以下工作:
(一)指导、监督和检查分级保护工作的开展;
(二)指导涉密信息系统建设、使用者规范信息定密,合理确定系统保护等级;
(三)参与涉密信息系统分级保护方案论证,指导建设、使用者做好保密设施的同步规划设计;
(四)严格进行系统测评和审批工作,监督检查涉密信息系统建设、使用者分级保护管理制度和技术措施的落实情况;
(五)了解掌握各级各类涉密信息系统的管理使用情况,及时发现和查处各种违规违法行为和泄密事件。
第二十八条[密码管理部门监督职责] 密码管理部门应当加强对在计算机信息系统内使用密码产品的单位的监督、检查和指导,定期对信息系统等级保护工作中密码配备、使用和管理的情况进行检查和测评,同时对密码产品使用单位的操作人员和管理人员进行培训。
第五章 法律责任
第二十九条[法律责任] 违反本条例规定,有下列行为之一的,由公安机关给予警告,责令限期改正;逾期不改正的,对单位可处以1000元以上 20000元以下的罚款,对单位的主管负责人员、直接责任人员或者其他个人可处以1000元以上5000元以下的罚款;情节严重的,可以给予6个月以内停 机整顿的处罚:
(一)信息系统运营、使用者未按照第十一条规定建立计算机信息网络安全状况日常检测工作制度的;
(二)计算机信息系统运营、使用者未按照第十二条和第十三条的规定建立并落实安全保护管理制度和安全保护技术措施的;
(三)计算机信息系统运营、使用者违反第十四条规定,在重大突发事件应急处置中不服从公安机关和国家指定的专门部门的调度的;
(四)计算机信息系统运营、使用者违反第十五条规定,未如实提供有关计算机信息系统安全保护的信息、资料及数据文件或者未及时向公安机关报告信息系统中发生的案件和重大安全事故,造成危害的。
互联网运营服务者、信息服务者违反第一款规定,在规定的期限内未能整改完毕或在一年内违反第一款规定两次以上,公安机关可以指定其计算机信息网络由安全服务机构集中托管。
第三十条[法律责任] 违反本条例第十七条规定,计算机信息系统运营、服务者未按规定向公安机关备案的,由公安机关给予警告,并限期改正;逾期不改正的,可处以1000元以上10000元以下的罚款;情节严重的,可以给予六个月以内停机整顿的处罚。
第三十一条[法律责任] 违反本条例第十八条、第十九条、第二十条规定,从事互联网运营服务、信息服务和上网服务的单位或个人未建立并落实相应安全保护制度和安全保护技术措施的, 由公安机关给予警告,并限期改正;逾期不改正的,可处以1000元以上20000元以下的罚款;情节严重的,可以给予六个月以内停机整顿的处罚。
第三十二条[法律责任] 违反本条例第二十条规定,互联网上网服务场所的经营单位未经信息网络安全审核从事互联网上网服务的,由公安机关责令停业、限期补办手续,并可处以1000元以上20000元以下的罚款。
第三十三条[法律责任] 违反本条例第二十四条、第二十五条规定,由公安机关给予警告,有违法所得的,没收违法所得;对个人可并处1000元以上5000元以下的罚款,对单位可并处1000元以上20000元以下的罚款。
第三十四条[法律责任] 对本条例规定的由公安机关作出的行政处罚,市区范围内(萧山区、余杭区除外)由市公安局公共信息网络安全监察分局负责;各县(市)和萧山区、余杭区范围内由各县(市)公安局和萧山区、余杭区公安分局负责。
第三十五条[法律责任] 对在计算机信息网络内使用密码产品,违反《商用密码管理条例》及相关法规的行为,由密码管理部门依据有关规定予以处罚。
对违反本条例规定的行为,涉及其他有关法律法规的,由有关部门依法予以处罚。对违反治安管理规定的行为,依照《中华人民共和国治安管理处罚法》的规定给予处罚;构成犯罪的,依法追究刑事责任。
第三十六条[法律责任] 公安机关及其他部门工作人员违反本条例规定,玩忽职守、滥用职权、徇私舞弊的,由其所在单位或有关部门按照有关规定给予其行政处分;构成犯罪的,由司法机关依法追究刑事责任。
第六章 附 则
第三十七条[实施细则] 市公安机关可以根据本条例的规定,制定相关的实施细则。
第三十八条[施行日期] 本条例自 年 月 日起施行。
http://www.hangzhoufz.gov.cn/fzb/salcs/sal_lftztm.asp?id=76
评论