发布文号: 铁公安[1993]61号
第一章 总则
第一条 为了保护铁路计算机信息系统(以下简称“系统”)的安全,促进计算机的应用和发展,保障运输生产和铁路现代化建设顺利进行,根据国务院批转公安部关于计算机安全工作归口管理的有关规定(〔89〕17号文),制定本办法。
第二条 本办法适用于铁路设计、工程、工业、运营部门和铁道部机关及直属单位建立和应用系统的部门和单位。
第三条 本办法所称的系统包括计算机及其相关和配套的设备与设施、信息、控制性软件及工作人员。
第四条 系统安全管理工作,实行积极预防,保障安全,加强管理,促进发展的方针。
第五条 系统工作人员有保护系统安全的义务,应当遵守系统安全保护制度和有关规定,维护系统的安全。
第二章 系统安全监察机构的职责
第六条 铁道部公安局是铁路计算机信息安全监察工作的主管部门,各铁路公安局、处,工程局、设计院公安处根据实际工作量可以建立专职机构或指定兼职人员负责计算机监察工作。
第七条 铁路各级计算机安全监察机构及专、兼职人员在管辖范围内负责系统安全监察工作。其职责:
一、督促系统的管理部门和使用单位执行有关安全法律、法规和规定,依法对其计算机安全管理工作进行监督、检查和指导;
二、负责系统安全审查,办理登记和签证手续;
三、查处和协助侦破危害系统安全的违法案件;
四、会同有关部门研究、评价和推广计算机安全技术和安全产品,负责组织计算机病毒防治和疫情报告;
五、组织或委托有关部门对新建、改建和扩建的系统进行安全验收,负责系统安全技术检测工作;
六、组织开展系统安全竞赛和评比;负责通报表彰和处罚;
七、培训安全管理和安全监察人员;开展安全宣传教育工作。
第八条 铁路各级计算机安全监察部门发现系统安全隐患,应当及时通知使用单位采取安全措施,限期改进安全状况,消除隐患。
第九条 为保证铁路计算机安全监察人员称职,铁路各级计算机安全监察人员必须经专业培训合格后,持铁路计算机安全监察证(式样附后)方可上岗工作。监察证由部公安局统一签发。
第十条 持监察证的人员可行使下列职权:
一、负责本部门及下属单位的计算机信息安全检查;
二、进入系统有关处所,检查安全情况或开机抽检;
三、询问有关系统安全的问题;
四、对安全控制措施、病毒和相关数据等进行取样;
五、要求有关人员写出书面材料和提供有关证据;
六、对违章视情节轻重,予以处罚。
对无监察证者,管理部门和使用单位可拒绝检查。
第十一条 基层公安保卫组织对系统负有安全保护的职责。在特殊情况下,经上级铁路计算机安全监察部门批准,可行使有关计算机安全监察职权。
第三章 系统管理部门和使用单位的职责
第十二条 系统安全管理实行谁主管谁负责的原则。直接使用系统的单位(以下简称使用单位)负责本单位的系统安全管理工作,使用单位所在的直接上级行政管理部门(以下简称管理部门)领导本部门所属使用单位的系统安全管理工作。
第十三条 使用单位的职责:
一、结合应用情况,根据本办法制定具体的安全管理方案和规章制度,落实各项岗位管理责任制;
二、定期对本系统进行安全检查,完善安全措施;
三、严格管理系统资源;
四、定期向计算机安全监察部门和系统管理部门报告本系统的安全情况;
五、对造成严重损失并影响生产安全的计算机事件及违法行为,及时报告管理部门和计算机安全监察部门,协助调查原因,处理责任者。
第十四条 管理部门的职责:
一、协调、检查、督促、指导所属使用单位的系统安全管理工作;
二、支持和配合安全计算机安全监察部门的工作,督促系统使用单位向计算机安全监察部门办理登记和签证手续;
三、宣传计算机安全常识,对从事或接触计算机的人员进行安全审查、安全教育和安全考核。
第四章 系统安全与保护
第十五条 系统管理部门和使用单位要根据要害保卫条件和保密条例,把系统列为要害进行管理,并纳入企业目标管理之中。
第十六条 凡是建立或使用系统的部门和单位,不管何种用途,在投入使用前,必须向计算机安全监察部门申报,经安全检查合格,办理《计算机使用许可证》后方可使用。
第十七条 已建立的、上级调拨的、捐赠的、自行组装的、随其它设备引进的等计算机系统应在限期内向计算机安全监察部门申报,补办签证手续。
第十八条 对于计算机安全专用产品的研制、生产、销售实行统一管理。凡拟出售的产品,必须经过鉴定并申请领取公安计算机安全监察部门发放的《计算机安全产品销售许可证》后,方可出售。
第十九条 对以营利为目的的计算机科研、生产、经销、维修的单位,要向计算机安全监察部门申报,实行登记管理。
第二十条 新建、改建或扩建计算机房应当符合国家规定的有关标准。
第二十一条 系统实行安全等级管理,系统等级由计算机安全监察部门划定。
第二十二条 系统管理部门和使用单位要做好对计算机人员的录用审查工作。
重要系统应选调政治素质好、业务熟悉、组织纪律性强、有职业道德的工作人员,并经相应的安全培训、安全考核后,方可上岗工作。
对不适合在系统工作的人员,应及时调离。
第二十三条 重要部门的计算机房要规定严格的出入制度,未经授权或批准的人员,不得接触和使用信息处理设备和媒体。
第二十四条 所有的系统资产要严格执行登记使用制度,并建立完整的设备台帐及设备档案,定期进行清查。
第二十五条 重要系统要制定应急方案,确保系统在非正常中断发生事故后具有迅速恢复能力。
第二十六条 对信息处理的各个环节和流程要有安全保护和安全控制措施,以防被人非法利用、更改、损害和泄露。
第二十七条 设备使用和信息存取权按照工作需要原则授予,任何人不得越权使用或改变系统资源。
第二十八条 重要系统应具有故障检测、故障控制和故障追踪的能力,以确保系统的安全性。
第二十九条 要严格执行安全保密制度,存储介质和文件资料应由专人负责妥善保管,未经领导批准,不得随意利用、修改、复制和外借。
第三十条 重要部门的系统,需对外联网或提供服务时,由系统管理部门批准,并向计算机安全监察部门备案,其事前要采取适当安全保护措施。
第三十一条 做好日常的数据和软件备份。对新引用的软件和外来数据媒体要采取慎重态度,使用前要进行安全检测,确认无误后,再投入正常运行。
第三十二条 为防止制造或传播新的计算机病毒,未经计算机安全监察部门批准,任何单位和个人不得从事计算机病毒研究,不得购买、销售、复制使用社会上来历不明的检测清除软件。计算机病毒检测清除软件由计算机安全监察部门统一组织发放。
第五章 奖惩
第三十三条 对安全管理工作有显著贡献或成绩的单位和个人,计算机安全监察部门给予表彰。
第三十四条 对违反规定,有下列行为之一的单位、直接责任人或其他人员,计算机安全监察部门可处以警告、通报批评、责令停机整顿、吊销其《许可证》:
一、违反审批制度增设或更换设备、装置的;
二、不到计算机安全监察部门进行登记的;
三、违反系统安全管理制度,危害系统安全的;
四、在二十四小时内不报告系统发生的安全事故、事件或违法行为的;
五、故意输入计算机病毒以及其他有害数据的;
六、拒绝、阻碍计算机安全监察部门实施安全检查的;
七、经计算机安全监察部门通知在限期内仍不采取措施改进安全状况的;
八、其他危害系统安全的。
第三十五条 对违反本规定,有下列行为之一的,计算机安全监察部门可视情节给予警告,罚款(对个人罚款最高不超过5千元;对单位罚款最高不超过1万5千元;对非法所得可按1—3倍的标准进行罚款),没收软硬件产品、设备、装置及其非法所得财物,构成犯罪的,依法追究刑事责任:
一、利用系统从事违法活动的;
二、未经计算机安全监察部门许可私自出售计算机安全产品,散发有害的计算机软件、硬件及其出版物的;
三、经计算机安全监察部门再次通知后仍不改进系统安全状况,并对运输生产有重大损害的;
四、非法截取、利用或出卖系统信息,有害于国家利益和安全的。
第三十六条 计算机安全监察部门采取的没收、责令停机或停工等处罚,其损失自负。
第六章 附则
第三十七条 系统安全保护中涉及安全管理、安全技术标准和信息保密的,除执行本办法的规定外,还应当遵守国家有关法律、法规和规定。
第三十八条 本办法由铁道部公安局负责解释。
第三十九条 本办法自公布之日起施行。
