部属各单位，部内各单位：

　　现将修订后的《铁路计算机信息系统安全保护办法》发给你们，请结合实际，认真执行。

　　铁路计算机信息系统安全保护办法

　　第一章　总　则

　　第一条　为了保护铁路计算机信息系统安全，促进计算机的应用和发展，保障铁路运输生产和现代化建设顺利进行，根据《中华人民共和国计算机信息系统安全保护条例》有关规定，制定本办法。

　　第二条　本办法适用于铁路运营、工程、设计部门，铁道部机关及直属单位。

　　第三条　本办法所称的计算机信息系统是指由计算机及其相关和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

　　第四条　计算机信息系统的安全保护，应当保障计算机及其相关的配套的设备、设施（含网络）的安全，运行环境的安全，保障信息的安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全。

　　第五条　计算机信息系统的安全保护工作，是铁路运输生产安全保护工作的组成部分，要贯彻“安全第一，预防为主”的方针。

　　第六条　铁道部公安局主管铁路计算机信息系统安全保护工作，各铁路公安局、处，铁路工程、铁道建筑公安局、处可以建立计算机安全监察机构或指定专、兼职计算机安全监察人员负责计算机信息系统安全保护工作。

　　第二章　安全监督

　　第七条　铁路各级公安机关对计算机信息系统安全保护工作行使下列职权：

　　（一）督促系统的管理部门和使用单位执行国家有关计算机安全法律、法规和规定，依法对其计算机信息系统安全保护工作进行监督、检查和指导；

　　（二）负责对新建、改建、扩建计算机信息系统的安全保护措施进行审核、验收；

　　（三）负责对计算机工作人员的安全培训；（四）负责管理计算机信息系统安全专用产品的使用；

　　（五）组织计算机病毒防治和疫情报告；

　　（六）查处、侦破危害系统安全的事故、案件；

　　（七）负责通报表彰和处罚；（八）办理计算机安全使用管理手续。

　　第八条　铁路公安机关负责铁路系统国际互联网的安全保护管理工作。

　　第九条　铁路各级公安机关发现影响计算机信息系统安全的隐患时，要及时通知使用单位采取安全措施，限期整改。

　　第十条　铁路各级公安计算机安全监察人员必须持铁路计算机安全监察证（样式见铁公安[1993]61号文）方可上岗工作。监察证由铁道部公安局统一签发。

　　第十一条　基层公安保卫组织对计算机信息系统负有安全保护职责。在特殊情况下，经上级铁路计算机安全监察部门批准，可行使有关计算机安全监察职权。

　　第三章　安全保护

　　第十二条　计算机信息系统安全保护实行谁主管谁负责的原则。使用计算机信息系统的单位（以下简称使用单位）负责本单位的计算机信息系统安全保护工作，使用单位的直接上级行政管理部门（以下简称管理部门）领导所属使用单位的计算机信息系统安全保护工作。

　　第十三条　使用单位的职责：

　　（一）建立健全安全管理制度；

　　（二）定期进行安全检查，完善安全措施；（三）严格管理系统资源，保证系统环境安全；

　　（四）定期向公安计算机安全监察部门和管理部门报告安全情况；

　　（五）对造成损失并影响生产安全、影响系统安全的计算机事件及违法行为，在24小时内报告管理部门和铁路计算机安全监察部门，并保护现场及有关资料，协助开展调查，处理责任者。

　　第十四条　管理部门的职责：

　　（一）检查、指导使用单位的计算机信息系统安全保护工作；

　　（二）督促使用单位办理计算机安全使用管理手续；

　　（三）保证计算机信息系统建设与安全保护、管理工作同步进行。

　　第十五条　计算机信息系统的建设、应用，应当遵守法律、行政法规和国家及铁道部有关规定。

　　第十六条　计算机信息系统实行安全等级保护，安全等级的划分及安全保护方法，由铁道部公安局会同有关部门制定。

　　第十七条　进行国际联网的计算机信息系统，要严格执行公安部有关规定。

　　第十八条　计算机房的建设应当符合国家及铁道部的有关规定。

　　第十九条　新建、改建、扩建计算机信息系统在投入使用前，要将系统的安全保护方案、措施报公安机关。

　　第二十条　计算机及其相关设备，在投入使用前，要办理安全管理手续。

　　第二十一条　重要部门的计算机信息系统，对外联网或提供服务时，须经铁路公安机关审核。

　　第二十二条　国家对于计算机信息系统安全专用产品的销售实行许可证制度，凡拟研制、生产计算机信息系统安全专用产品，须报铁路公安机关。

　　第二十三条　为防止制造或传播新的计算机病毒，未经铁路公安机关批准，任何单位和个人不得从事计算机病毒研究，不得购买、销售、复制使用社会上来历不明的计算机病毒检测清除软件，购买计算机病毒检测清除软件须到铁路公安机关登记。

　　第二十四条　重要部门的计算机房要规定严格的出入制度，未经主管部门授权或批准的人员，不得接触和使用信息处理设备和媒体。

　　第二十五条　重要计算机信息系统必须制定应急方案，确保系统在发生意外情况后能够迅速恢复正常。

　　第二十六条　重要计算机信息系统应具有故障检测、故障控制和追踪的能力，以确保系统的安全性。

　　第二十七条　所有的计算机信息系统资产要严格执行登记使用制度，并建立完整的设备台帐及设备档案，定期进行清查。

　　第二十八条　对信息处理的各个环节和流程要有安全保护和安全控制措施，防止被人非法利用、更改、损害和泄漏。

　　第二十九条　设备使用和信息存取权按照工作需要原则授予，任何人不得越权使用或改变计算机信息系统资源。

　　第三十条　要严格执行安全保密制度，存储介质和文件资料应由专人负责妥善保管，未经领导批准，不得随意利用、修改、复制和外借。

　　第三十一条　做好日常的数据和软件备份。对新引用的软件和外来数据，使用前必须进行安全检测，确认无误后，再投入正常运行。

　　第四章　奖惩

　　第三十二条　违反本办法，有下列行为之一的单位、个人，公安机关可处以警告、通报批评、责令停机整顿：

　　（一）违反计算机信息系统国际联网备案制度；

　　（二）增设或更换设备不到公安机关办理安全管理手续；

　　（三）违反计算机信息系统安全等级保护制度，危害计算机信息系统安全；

　　（四）在24小时内不报告计算机信息系统发生的安全事故、事件或违法行为；

　　（五）拒绝、阻碍计算机安全监察部门实施安全检查；

　　（六）经计算机安全监察部门通知在限期内仍未采取措施改进安全状况。

　　第三十三条　违反本办法，有下列行为之一的，公安机关可视情节给予罚款（对个人处5千元以下、对单位处1万5千元以下罚款；有违法所得的，除予以没收外，可处以非法所得1至3倍的罚款，最高不超过三万元。）：

　　（一）故意输入计算机病毒以及其它有害数据；

　　（二）利用计算机信息系统从事违法活动；

　　（三）未经公安机关许可私自出售计算机病毒防治工具，散发有害的计算机软件、硬件及其出版物；

　　（四）非法截取、利用或出卖计算机信息系统信息，有损国家利益和安全的；

　　（五）违反本办法有关规定的。

　　第三十四条　违反国家有关法律、法规的，依照国家有关法律、法规处罚。

　　第三十五条　违反铁路有关规定的，依照铁路有关规章制度处理。

　　第三十六条　因计算机信息系统安全保护工作不落实，导致发生危害后果的单位，除处罚直接责任者外，还要追究使用单位主管领导的责任。

　　第三十七条　对安全管理工作有显著贡献或成绩突出的单位和个人，公安机关给予表彰。

　　第三十八条　当事人对公安机关依照本办法作出的处罚行为不服的，可以向上一级公安机关申请复议。

　　第五章　附　则

　　第三十九条　本办法由铁道部公安局负责解释。

　　第四十条　本办法自公布之日起施行。