第一条 为加强计算机信息系统安全管理,促进计算机的应用和发展,维护国家和社会公共利益,根据国家有关法律、法规,结合本省实际情况,制定本规定。第二条 本规定所称的计算机信息系统,是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行收集、加工、存储、传输、检索等处理的人机系统。第三条 本规定适用于本省行政区域内建立和利用计算机信息系统的单位和个人。
本省行政区域内军队的计算机信息系统安全管理,按照军队系统的有关法规执行。第四条 各级公安机关负责计算机信息系统安全管理监察工作。其主要职责是:
(一)监督、检查、指导计算机信息系统安全保护工作;
(二)查处危害计算机信息系统安全的违法犯罪案件;
(三)办理计算机信息系统安全审查、登记、备案等手续;
(四)负责计算机机房设计方案的安全审核和机房交付使用前的验收;
(五)组织开展计算机信息系统安全宣传教育;
(六)履行计算机信息系统安全管理的其他职能。第五条 计算机信息系统实行安全等级保护,计算机信息系统的安全等级,分为信息安全等级和系统可靠性等级。第六条 计算机信息系统的信息安全等级,根据信息的性质和重要程度划分为四级:
(一)A级,高敏感信息,实行绝对强制保护;
(二)B级,敏感信息,实行强制保护;
(三)C级,内部管理信息,实行自主安全保护;
(四)D级,公共信息,实行一般安全保护。第七条 计算机信息系统可靠性等级,由省级公安机关根据信息安全技术标准和运行管理状况进行划分。第八条 建立计算机信息系统的单位和个人,须向当地县(区)级公安机关申报,市(行署)公安机关审核,上报省级公安机关,经安全检查合格,确定安全等级,办理登记手续,领取安全等级合格证后方可使用。已建立计算机信息系统的单位和个人应在限期内补办登记手续。
公安机关定期对计算机信息系统进行安全监督和检查。第九条 计算机信息系统的主管部门及使用单位应建立安全管理组织,建立健全下列安全管理制度,确保各项安全措施的落实:
(一)运行审批制度;
(二)日志管理制度;
(三)安全审计制度;
(四)灾难恢复计划;
(五)计算机机房及其他重要区域的出入制度;
(六)硬件、软件、网络、媒体的使用及维护制度;
(七)帐户、密码的管理制度;
(八)有害数据及计算机病毒预防、发现、报告及清除管理制度。第十条 计算机信息系统的使用单位,须配备经公安机关检测合格的计算机信息系统安全专用产品。第十一条 计算机信息系统的工作人员,应经计算机安全培训,考试合格后方可上岗工作。第十二条 计算机信息系统的研制、生产、开发、经销、使用等环节,应遵守国家计算机信息系统安全标准和安全规范。第十三条 计算机机房应符合国家标准和国家规定。
计算机机房附近施工,不得危害计算机信息系统的安全。第十四条 计算机机房设计方案,由使用单位向市(行署)以上公安机关申请,接到申请的公安机关应在5日内提出安全审核意见。第十五条 新建、改建、扩建(含内装修,下同)计算机机房必须按照国家有关规定和技术规范进行。
新建、改建、扩建计算机机房的施工单位,应当严格按照经公安机关安全审核的计算机机房设计方案施工。第十六条 新建、改建、扩建的计算机机房交付使用前应当由公安机关按照国家有关规定测试验收。未经验收或不符合国家有关规定、技术规范要求的计算机机房,不得投入使用。第十七条 与国际联网的计算机信息系统的使用单位和个人应当在网络正式联通后的30日内到市(行署)公安机关办理审查登记手续,到省级公安机关备案。第十八条 与国际联网单位,必须具有健全的安全保密管理制度和安全技术保护措施。第十九条 从事国际联网经营活动的和非经营活动的接入单位,须报省级公安机关安全审核、备案。第二十条 公安机关定期对国际互联网络的国际出入口信道提供单位、互联单位、接入单位、使用单位和用户的安全状况进行监督和检查。第二十一条 开办经营性开放式机房,提供计算机网络增值业务服务的经营单位,须报省级公安机关进行安全审核、备案。
