发布文号:
第一章 总 则
第一条 为了保障深圳经济特区(以下简称特区)计算机信息系统安全,维护计算机信息系统公共秩序,促进社会稳定,根据特区实际,制定本规定。
第二条 特区内下列计算机信息系统应用单位(以下简称计算机应用单位)的计算机信息系统公共安全管理(以下简称计算机安全管理),适用本规定:
(一)计算机信息网络经营、服务单位的计算机信息系统;
(二)国家机关用于存储、处理、传输公用信息和机密资料的计算机信息系统;
(三)金融、证券和公共事业单位的计算机信息系统;
(四)国防建设、尖端科学技术和国家重点经济建设单位的计算机信息系统;
(五)其他对社会公共利益有重大影响的计算机信息系统。
第三条 本规定所称计算机信息系统,是指由计算机及其相关和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
第四条 深圳市人民政府公安机关是特区计算机安全管理工作的行政主管部门(以下简称市主管部门)。其所属的计算机安全管理部门具体承担本规定规定的计算机安全管理工作。
其他有关政府职能部门,在各自职责范围内配合市主管部门,做好计算机安全管理的有关工作。
第五条 市主管部门应积极开展计算机信息系统安全宣传教育和学术交流,指导计算机信息系统安全技术行业协会的活动;为计算机应用单位提供计算机信息系统安全保障体系技术服务。
第二章 计算机应用单位的安全管理
第六条 计算机应用单位应当建立和完善计算机信息系统安全保障体系。
计算机信息系统安全保障体系包括技术安全管理和安全组织管理。技术安全管理包括计算机信息系统实体安全、软件安全、输入输出控制和网络安全的管理以及安全稽核、风险分析等内容;安全组织管理包括建立安全组织和健全各种安全管理制度及制定应急计划等内容。
市主管部门应当监督、指导计算机应用单位建立和完善计算机信息系统安全保障体系。
第七条 市主管部门应当根据计算机应用单位的行业特点,会同市政府有关主管部门发布计算机安全管理行业技术规范,计算机应用单位的安全保障体系不得低于该行业技术规范的最低安全要求。
第八条 计算机应用单位应当确定计算机安全管理责任人。
安全管理责任人应当履行下列职责:
(一)组织宣传计算机安全管理方面的法律、法规和有关政策;
(二)拟定并组织实施本单位计算机安全管理的各项规章制度;
(三)定期组织检查计算机信息系统安全运行情况,及时排除各种安全隐患;
(四)负责组织安全稽核;
(五)负责组织本单位计算机从业人员的安全教育和培训;
(六)发生安全事故或计算机犯罪案件时,立即向市主管部门报告并采取妥善措施,保护现场,避免危害的扩大。
本规定所称的安全事故是指计算机信息系统中出现的因人为或自然因素造成的具有社会危害性的事件;所称的计算机犯罪案件是指针对或利用计算机信息系统的犯罪案件。
第九条 计算机应用单位应当按照计算机安全管理行业技术规范要求,配备计算机安全技术人员。
计算机安全技术人员应履行下列职责:
(一)执行本单位计算机安全管理的各项规章制度;
(二)按照计算机安全管理行业技术规范要求对计算机信息系统安全运行情况进行检查测试,及时排除各种安全隐患;
(三)发生安全事故或计算机犯罪案件时,应当立即向本单位安全管理责任人报告或直接向市主管部门报告,并采取妥善措施,保护现场,避免危害的扩大。
计算机安全技术人员必须经过市主管部门许可的安全技术培训,考核合格后持证上岗。合格证有效期为二年。
第十条 计算机应用单位使用的计算机信息系统安全专用产品必须符合国家有关技术规范或经过专业检测机构检测不低于本行业计算机安全管理技术规范中的最低安全要求。
前款所称的计算机信息系统安全专用产品是指用于保护计算机信息系统安全的专用硬件和软件产品。
市主管部门应当定期发布通告,公布合格的计算机信息系统安全专用产品目录。
第十一条 计算机应用单位发现计算机信息系统中发生安全事故或计算机犯罪案件时,应当在二十四小时内向市主管部门报告。
第十二条 计算机信息系统发生突发性事件,可能危及公共安全时,市主管部门有权对计算机应用单位采取暂停联网、停机检查等应急措施。但应当事先协同计算机应用单位做好安全保护工作。
第三章 计算机信息系统安全检测
第十三条 计算机应用单位的计算机信息系统在建成后应当进行为期六个月的试运行。在试运行期间,必须由专业检测机构进行安全保障体系检测。检测合格的,由市主管部门发放计算机信息系统安全检测合格证;检测不合格的,应当按照计算机安全管理行业技术规范要求进行改进。
计算机信息系统达不到最低安全要求的,不得正式启用。
第十四条 计算机信息系统安全保障体系检测应包括以下内容:
(一)计算机安全管理责任人和安全技术人员;
(二)安全管理制度和安全稽核制度;
(三)计算机硬件性能和机房环境;
(四)计算机系统软件、应用软件和数据库的安全性;
(五)技术安全措施;
(六)技术测试情况。
各行业计算机信息系统安全保障体系的安全要求,由市主管部门会同市有关行业主管部门制定后发布。
第十五条 计算机应用单位的计算机信息系统,每年必须由专业检测机构进行一次安全保障体系检测,检测合格的,由市主管部门发放计算机信息系统安全保障体系年检合格证;检测不合格的,应当按照计算机安全管理行业技术规范要求进行改进。
计算机信息系统达不到最低安全要求的,不得继续使用。
第十六条 专业检测机构在检测时应当保障计算机应用单位生产、教学、科研和经营等活动的正常进行,并保守其商业秘密。
计算机应用单位对专业检测机构检测结论有异议的,可要求市主管部门组织复检。
第十七条 计算机应用单位对计算机信息系统进行设备更新或改造时,对安全保障体系产生直接影响的,应当由专业检测机构对受影响的部分进行检测,确保其不低于最低安全要求。
第十八条 市主管部门认为计算机应用单位存在安全隐患时,可委托专业检测机构对其安全保障体系进行检测。发现问题的,由市主管部门责令应用单位限期按照计算机安全管理行业技术规范要求进行改进。
第十九条 依本规定进行的计算机信息系统安全保障体系检测、计算机信息系统安全专用产品最低安全要求检测,由市主管部门核准的具有检测资格的专业检测机构承担。
专业检测机构应按照计算机安全管理行业技术规范进行检测,其出具的检测报告应真实、客观、公正、完整。
计算机信息系统安全保障体系检测报告副本由专业检测机构报市主管部门备案。
第四章 计算机信息安全和有害数据管理
第二十条 计算机应用单位应当制订信息安全管理制度,并对信息进行安全稽核,防止信息被非法增加、删除、修改或复制。
第二十一条 计算机应用单位管理和发布的信息应当具有真实性、完整性和可靠性。
第二十二条 计算机应用单位应建立计算机信息系统数据备份制度,按照计算机安全管理行业技术规范要求对备份数据进行保存。
第二十三条 任何单位和个人认为计算机信息系统对其合法权益造成侵害的,可以向市主管部门或其他有关主管部门投诉。
市主管部门或其他有关主管部门认为投诉反映的问题可能损害公共安全的,应当进行调查核实;发现计算机应用单位存在安全隐患的,应当责令其改正。
第二十四条 任何单位和个人不得从事制造、故意传播计算机病毒和其他有害数据的活动;不得举办有关计算机病毒机理的讲座或培训班。
教学单位在从事教学活动时,不得讲授制造计算机病毒的方法。
第二十五条 市主管部门负责发布重大计算机病毒疫情。其他单位和个人不得以任何方式发布计算机病毒疫情。
第二十六条 计算机应用单位在有害数据管理工作中应当履行下列职责:
(一)制定并落实专门的计算机病毒和其他有害数据的管理制度;
(二)计算机软、硬件使用前,应当进行计算机病毒和其他有害数据检测;
(三)定期进行计算机病毒和其他有害数据检测,发现计算机病毒和其他有害数据,应当及时清除;
(四)发现不能清除的计算机病毒,应当采取保护措施,并在二十四小时内取样本报送市主管部门;
(五)协助市主管部门追查计算机病毒来源。
第二十七条 制造、销售、出租、维修、商业性赠送各类计算机产品的单位或个人,其产品应经过检测,不得携带有计算机病毒和其他有害数据。
第五章 计算机信息网络公共秩序管理
第二十八条 计算机信息网络经营单位申请从事国际联网经营活动的,应当向有权受理从事国际联网经营活动申请的互联单位主管部门或主管部门申请领取国际联网经营许可证;计算机信息网络服务单位申请从事国际联网非经营活动的,应当报经有权受理从事非经营活动申请的互联单位主管部门或主管单位审批。
凡通过物理通信信道与境外计算机信息系统进行联网的计算机信息系统的使用者,在联网开通、联网方式变更或终止联网之日起三十日内,均应如实填写备案表,并由相应的计算机信息网络经营、服务单位协助向市主管部门办理备案、变更或注销手续。
第二十九条 计算机应用单位的计算机信息系统与国际联网,必须采取有关行业技术规范规定的安全保护措施。
第三十条 凡使用公用账号进行计算机信息系统联网的单位,均应建立公用账号使用管理制度。
经营性开放式机房的管理单位应当建立使用者登记管理制度。
第三十一条 任何单位和个人,不得从事下列活动:
(一)利用计算机信息网络制作、传播、复制有害信息;
(二)非法侵入计算机信息网络;
(三)违反国家规定,对计算机信息系统功能进行增加、删除、修改、干扰、影响计算机信息系统正常运行;
(四)违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行增加、删除、修改、复制等;
(五)非法窃取计算机信息系统中的信息资源;
(六)未经授权查阅他人电子邮箱;
(七)冒用他人名义发送电子邮件;
(八)故意干扰计算机信息网络畅通;
(九)从事其它危害计算机信息系统安全的活动。
第三十二条 计算机信息网络经营、服务单位应当负责本网络的信息安全和公共秩序安全,履行下列职责:
(一)制订安全管理制度,对本网络用户进行安全教育;
(二)落实安全技术措施,保障本网络的运行安全和其发布的信息安全;
(三)建立电子公告系统的信息审核制度,发现反动、黄色等有害信息,应当及时删除;
(四)发现本规定第三十一条中各类情况时应当保留有关稽核记录,并立即向市主管部门报告;
(五)配合市主管部门对网上违法活动的查处工作。
第三十三条 市主管部门应当对计算机信息网络的公共秩序状况进行经常性监测,发现危害公共秩序的事件应及时处理,以维护计算机信息网络公共秩序的安全。
第六章 法律责任
第三十四条 违反本规定,有下列行为之一的,由市主管部门责令改正,并可处一万元以下罚款:
(一)计算机应用单位未按规定确定计算机安全责任人或配备计算机安全技术人员的;
(二)计算机应用单位发现本单位计算机信息系统中的安全事故或计算机犯罪案件,在二十四小时内未向市主管部门报告的;
(三)计算机应用单位使用不合格计算机信息系统安全专用产品的;
(四)计算机应用单位未建立计算机信息系统安全保障体系的;
(五)计算机信息系统未经检测或经检测未达到本行业计算机安全管理技术规范中的最低安全要求而擅自使用的;
(六)计算机应用单位未按规定进行计算机病毒和其他有害数据检测,造成损害的;
(七)使用公用账号进行计算机信息系统联网的单位,未建立公用账号使用管理制度的;
(八)经营性开放式机房的管理单位未建立使用者登记管理制度的;
(九)计算机信息网络经营、服务单位未建立电子公告系统信息审核制度的;
(十)计算机信息网络经营、服务单位发现本规定第三十一条中各类情况未保留有关稽核记录,或未向市主管部门报告的。
第三十五条 计算机应用单位的安全责任人或安全技术人员不履行本规定规定的职责,造成安全事故或重大损害的,由市主管部门予以警告,并可建议其所在单位给予纪律或经济处分;情节严重的,依法追究刑事责任。
第三十六条 专业检测机构违反本规定,在检测报告中弄虚作假的,由市主管部门责令改正;情节严重的,取消其检测资格。
专业检测机构违反本规定,未能保守计算机应用单位商业秘密,致使其合法权益遭受侵害的,依法承担法律责任,并由市主管部门取消其检测资格。
第三十七条 计算机应用单位信息安全管理制度不完善,致使信息被非法增加、删除、修改或复制,造成损失的,由市主管部门予以警告。
第三十八条 违反本规定,有下列行为之一的,由市主管部门予以警告、责令其停止违法行为,并可对单位处五万元以下罚款,对个人处五千元以下罚款;有违法所得的,可处以违法所得一至三倍的罚款;情节严重的,依法追究刑事责任:
(一)从事制造、故意传播计算机病毒和其他有害数据活动的;
(二)擅自举办有关计算机病毒机理的讲座、培训班的;
(三)擅自向社会发布计算机病毒疫情的;
(四)制造、销售、出租、维修、商业性赠送的计算机产品中携带有计算机病毒和其他有害数据的。
第三十九条 违反本规定第二十八条规定的,由市主管部门予以警告,责令停止联网,对经营单位可并处一万五千元以下罚款,对使用者可并处一千元以下罚款;有违法所得的,可处以违法所得一至三倍的罚款。
第四十条 违反本规定第三十一条规定的,由市主管机关给予警告,并可对单位处五万元以下罚款,对个人处五千元以下罚款;有违法所得的,可处以违法所得一至三倍的罚款。
第四十一条 计算机应用单位的计算机信息系统存在重大安全隐患,在市主管部门规定的期限内未进行改进,继续运行可能严重影响计算机信息系统安全的,由市主管部门处以停机整顿。
第七章 附 则
第四十二条 本规定自发布之日起施行。
一九九八年七月十七日
