江苏省徐州市人大常委会


徐州市计算机信息系统安全保护条例

公告第5号


《徐州市计算机信息系统安全保护条例》已由徐州市第十四届人民代表大会常务委员会第六次会议于2008年12月12日制定,经江苏省第十一届人民代表大会常务委员会第七次会议于2009年1月18日批准，现予公布，自2009年6月1日起施行。
2009年1月22日

徐州市计算机信息系统安全保护条例

（2008年12月12日徐州市第十四届人民代表大会常务委员会第六次会议制定 2009年1月18日江苏省第十一届人民代表大会常务委员会第七次会议批准）

第一章 总 则

第一条 为了加强计算机信息系统的安全保护工作，维护国家安全、社会秩序和公共利益，促进信息化的健康发展，根据《中华人民共和国计算机信息系统安全保护条例》等法律、法规，结合本市实际，制定本条例。

第二条 本条例适用于徐州市行政区域内计算机信息系统及其信息内容的安全保护和监督管理。

第三条 市、县（市）、贾汪区公安机关(以下简称公安机关)主管本行政区域内计算机信息系统安全保护工作。

国家安全、文化、保密、信息化管理及其他有关部门，依据各自职责做好计算机信息系统安全保护有关工作。

第四条 公安、国家安全、文化、保密、信息化管理及其他有关部门在履行职责过程中，应当维护计算机信息系统运营、使用单位和个人的合法权益，保守其商业秘密和个人隐私。

第五条 任何组织或者个人，不得危害计算机信息系统的安全；不得利用计算机信息系统从事危害国家安全、社会秩序、公共利益以及侵害公民、法人和其他组织合法权益的活动。

第二章 安全保护和管理

第六条 计算机信息系统实行安全等级保护制度。

计算机信息系统安全保护等级按照国家规定划分为以下五级：

（一）计算机信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益的，为第一级；

（二）计算机信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全的，为第二级；

（三）计算机信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害的，为第三级；

（四）计算机信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害的，为第四级；

（五）计算机信息系统受到破坏后，会对国家安全造成特别严重损害的，为第五级。

第七条 计算机信息系统运营、使用单位应当根据国家有关管理规范、技术标准确定计算机信息系统的安全保护等级，对于新建、改建、扩建的计算机信息系统，运营、使用单位应当在规划、设计阶段确定计算机信息系统的安全保护等级，并同步建设符合该安全保护等级要求的安全保护设施。

第八条 第二级以上计算机信息系统投入运行后三十日内，其运营、使用单位应当向市公安机关备案。

市公安机关应当自收到备案材料之日起十日内，对符合安全保护等级要求的，颁发备案证明；对定级不准确的，通知运营、使用单位重新定级后予以备案。

第九条 计算机信息系统的结构、处理流程、服务内容等发生变化，致使安全保护等级发生变更的，运营、使用单位应当重新定级、重新备案。

计算机信息系统备案事项发生变更的，运营、使用单位应当自变更之日起三十日内将变更情况报告公安机关。

第十条 计算机信息系统运营、使用单位应当使用符合信息系统安全保护等级要求的信息技术产品和依法取得销售许可证的安全专用产品。

第十一条 计算机信息系统运营、使用单位应当按照国家规定，定期对计算机信息系统安全等级保护状况开展等级测评，对计算机信息系统安全状况、安全保护制度及措施的落实情况进行自查；未达到安全保护等级要求的，应当进行整改。

第十二条 计算机信息系统运营、使用单位应当明确安全管理责任人、安全管理人员及安全技术人员，建立并执行下列安全保护制度：

（一）计算机机房安全管理；

（二）网络安全漏洞检测和系统升级管理；

（三）信息发布审查、登记、保存、清除和备份；

（四）违法犯罪案件报告和协助查处；

（五）信息系统安全教育和培训；

（六）安全应急处置。

第十三条 计算机信息系统运营、使用单位应当按照国家规定采取下列安全保护措施：

（一）身份登记和识别确认；

（二）记录用户帐号、主叫号码和网络地址；

（三）系统运行和用户使用日志记录保存六十日以上。

第二级以上计算机信息系统运营、使用单位还应当采取下列安全保护措施：

（一）系统重要部分的冗余、重要数据备份；

（二）计算机病毒防治；

（三）网络攻击防范和追踪；

（四）安全审计和预警；

（五）法律、法规规定的其他安全保护措施。

第十四条 涉及国家秘密的计算机信息系统的设计实施、定级备案、运行维护和日常保密管理，应当依据国家信息安全等级保护的要求，按照保密部门的有关规定和技术标准执行。

第三章 秩序管理

第十五条 互联网接入服务、互联网数据中心服务、互联网信息服务的提供者，应当自网络联通之日起三十日内向市公安机关备案。

第十六条 互联网信息服务的提供者应当采取以下管理措施：

（一）确定信息审核人员；

（二）防治垃圾信息、违法信息；

（三）限制信息群发、匿名信息发送；

（四）按照国家规定，删除本网络中含有本条例第十九条内容的地址、目录或者关闭服务器，并保存有关记录。

第十七条 向社会公众提供互联网上网服务的网吧、宾馆等场所的经营单位应当采取以下安全保护措施：

（一）安装并运行国家规定的安全管理系统；

（二）对上网人员进行实名登记；

（三）记录有关上网信息，登记内容和记录备份保存时间不得少于六十日，在保存期内不得修改或者删除。

第十八条 任何单位和个人不得利用计算机信息系统实施下列行为：

（一）未经允许，进入计算机信息系统或者非法占有、使用、窃取计算机信息系统资源；

（二）窃取、骗取、夺取计算机信息系统控制权；

（三）未经允许，对计算机信息系统功能进行删除、修改、增加或者干扰；

（四）未经允许，对计算机信息系统存储、处理或者传输的数据和应用程序进行删除、修改或者增加；

（五）故意制作、传播计算机病毒、恶意软件等破坏性程序；

（六）窃取他人账号、密码及其他信息资料；

（七）未经允许，提供或者公开他人的信息资料；

（八）非法截获、篡改、删除他人电子邮件或者其他数据资料；

（九）假冒他人名义发布、发送信息。

第十九条 任何单位和个人不得利用计算机信息系统制作、复制、传播下列信息：

（一）危害国家统一、主权和领土完整的；

（二）泄露国家秘密，危害国家安全或者损害国家荣誉和利益的；

（三）煽动民族仇恨、民族歧视，破坏民族团结或者侵害民族风俗、习惯的；

（四）破坏国家宗教政策，宣扬邪教、迷信的；

（五）煽动聚众滋事，损害社会公共利益的；

（六）散布谣言，发布虚假信息，扰乱社会秩序，破坏社会稳定的；

（七）宣扬淫秽、色情、赌博、暴力、凶杀、恐怖的；

（八）教唆犯罪或者传授犯罪方法的；

（九）散布他人隐私，或者侮辱、诽谤、恐吓他人的；

（十）买卖法律、法规禁止流通的物品的；

（十一）提供假票据、假证件的。

第二十条 计算机信息系统运营、使用单位发现计算机信息系统发生重大安全事故和违法犯罪案件，应当及时采取技术措施予以防护和制止，留存运行日志等原始记录，并在二十四小时内向公安机关报告；涉及其他管理部门职责的，还应当及时报告有关部门。

第四章 监督检查

第二十一条 公安、国家安全、文化、保密、信息化管理及其他有关部门应当建立计算机信息系统安全监督管理协作机制，按照国家规定，对计算机信息系统运营、使用单位的安全保护工作进行监督检查。

第二十二条 公安机关应当定期对计算机信息系统运营、使用单位的信息安全等级保护工作进行检查、指导和监督；对第三级计算机信息系统每年至少检查一次，对第四级计算机信息系统每半年至少检查一次。

第二十三条 计算机信息系统的安全保护等级和安全保护措施不符合信息安全等级保护管理规定，或者存在安全隐患的，公安机关应当通知运营、使用单位进行整改。运营、使用单位应当及时整改，并将整改情况报告公安机关。

第二十四条 在计算机信息系统发生突发事件，造成或者可能造成严重社会危害的紧急情况下，公安机关可以采取停机检查、暂停联网、备份数据等措施，计算机信息系统运营、使用单位应当予以配合。

突发事件消除后，公安机关应当及时解除暂停联网或者停机检查措施，恢复计算机信息系统的正常运行。

第二十五条 计算机信息系统运营、使用单位应当协助公安机关及其他有关部门做好安全保护监督管理工作。在公安机关及其他有关部门依法履行职责时，应当如实提供计算机信息系统的有关资料。

第五章 法律责任

第二十六条 有下列行为之一的，由公安机关责令限期改正，给予警告，有违法所得的，没收违法所得；逾期不改正的，可以并处一千元以上一万元以下罚款，对单位的主管人员和其他直接责任人员可以并处五百元以上五千元以下罚款；情节严重的，并可以给予六个月以内停止联网、停机整顿的处罚，必要时可以建议许可机构吊销经营许可证或者取消联网资格：

（一）违反本条例第十二条规定，未建立或者未执行安全保护制度的；

（二）违反本条例第十三条规定，未采取安全保护措施的；

（三）违反本条例第十六条规定，未采取管理措施的；

（四）违反本条例第二十五条规定，未如实提供计算机信息系统有关资料的。

国有企业事业单位有前款第一项、第二项所列行为之一，造成严重后果的，还应当依法对主管人员、其他直接责任人员给予行政处分。

第二十七条 违反本条例第十七条规定的，由公安机关给予警告，可以并处一千元以上一万元以下罚款；情节严重的，责令停业整顿，必要时可以建议许可机构吊销经营许可证。

第二十八条 违反本条例规定，有第十八条、第十九条所列行为之一的，由公安机关给予警告，有违法所得的，没收违法所得，对个人可以并处五百元以上五千元以下罚款，对单位可以并处一千元以上一万元以下罚款；情节严重的，并可以给予六个月以内停止联网、停机整顿的处罚，必要时可以建议许可机构吊销经营许可证或者取消联网资格；违反《中华人民共和国治安管理处罚法》的，依法予以处罚。

第二十九条 有下列行为之一的，由公安机关责令改正，给予警告；情节严重的，处以一个月以内停机整顿的处罚：

（一）违反本条例第七条规定，未确定安全保护等级的；

（二）违反本条例第十五条规定，未办理备案手续的；

（三）违反本条例第二十条规定，未按时向公安机关报告的；

（四）违反本条例第二十三条规定，接到公安机关整改通知后，未及时整改的。

第三十条 公安、国家安全、文化、保密及其他有关部门及其工作人员有下列行为之一的，对主管人员、其他直接责任人员依法给予行政处分：

（一）利用职权索取、收受贿赂，或者玩忽职守、滥用职权、徇私舞弊的；

（二）泄露计算机信息系统运营、使用单位或者个人的有关信息、资料及数据文件的；

（三）不依法履行监督管理职责，造成严重后果的。

第三十一条 违反本条例规定的行为，有关法律、法规对处罚及处罚机关另有规定的，从其规定。

第六章 附 则

第三十二条 本条例有关用语的含义：

（一）计算机信息系统，是指由计算机及其相关的和配套的设备、设施构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统，包括未接入互联网的计算机信息系统（含局域网）以及接入（含无线方式接入）互联网的计算机信息系统；

（二）互联网数据中心服务，是指提供主机托管、租赁和虚拟空间租用等服务。

第三十三条 本条例自2009年6月1日起施行。

关于《徐州市计算机信息系统安全保护条例》的说明

——2009年1月17日在省十一届人大常委会第七次会议上

徐州市人大常委会

主任、各位副主任、秘书长、各位委员：

《徐州市计算机信息系统安全保护条例》（以下简称条例），已于2008年12月12日经徐州市十四届人大常委会第六次会议制定，现提请省人大常委会本次会议审议批准。我受徐州市人大常委会的委托，现就条例的有关问题作如下说明：

一、关于计算机信息系统的等级保护

对计算机信息系统实行安全等级保护管理，是计算机信息系统安全保护的一项基础性制度，也是保障信息系统安全的基本方法和有效途径。根据《中华人民共和国计算机信息系统安全保护条例》关于“计算机信息系统实行安全等级保护”和2007年公安部等四部委联合出台的《信息安全等级保护管理办法》的规定，条例从我市实际出发就计算机信息系统等级保护管理主要作了以下几个方面的规定：

一是计算机信息系统运营、使用单位应当根据国家规定确定计算机信息系统安全保护等级，对于新建、改建、扩建计算机信息系统，应当在设计、规划阶段确定其安全保护等级，并同步建

设符合安全等级保护要求的安全保护设施（见条例第七条）。

二是第二级以上的计算机信息系统投入运行后三十日内，其运营、使用单位应当向市公安机关备案（见条例第八条）。

三是对安全等级测评和自查制度作了原则性规定（见条例第十一条）。

二、关于安全管理制度

计算机信息系统的安全涉及面广、影响大、情况复杂，建立有效的、可行的安全保护管理制度十分重要。根据《中华人民共和国计算机信息系统安全保护条例》关于“计算机信息系统的使用单位应当建立健全安全管理制度，负责本单位计算机信息系统的安全保护工作”，条例第十二条规定了计算机信息系统运营、使用单位应当建立六个方面的管理制度，具体包括计算机机房安全管理；网络安全漏洞检测和系统升级管理；信息发布审查、登记、保存、清除和备份；违法犯罪案件报告和协助查处；信息系统安全教育和培训；安全应急处置等，有利于加强和规范运营、使用单位的安全管理。

三、关于安全保护措施

在计算机信息系统的关键区域、关键部位、关键节点采取安全保护措施，或者对互联网上的违法犯罪的实施过程、结果予以审计，是保障计算机信息系统安全，预防和打击计算机违法犯罪的重要技术手段。条例在规范安全保护措施上，主要作了以下几个方面的规定：

一是规定了所有的计算机信息系统均应采取的安全保护措施。包括身份登记和识别确认；记录用户帐号、主叫号码和网络地址；系统运行和用户使用日志记录保存六十日以上（见条例第十三条第一款）。

二是对第二级以上计算机信息系统的安全保护措施作了更严格的规定。包括系统重要部分的冗余、重要数据备份；计算机病毒防治；网络攻击防范和追踪；安全审计和预警等（见条例第十三条第二款）。

三是对互联网信息服务的提供者应当采取的安全保护措施作了特别的规定。包括确定信息审核人员；防治垃圾信息、违法信息；限制信息群发、匿名信息发送；按照国家规定，删除本网络中含有本条例第十九条内容的地址、目录或者关闭服务器，并保存有关记录等（见条例第十六条）。

四是根据国务院《互联网上网服务营业场所管理条例》的规定，条例对向社会公众提供互联网上网服务的网吧、宾馆等场所的经营单位应当采取的安全保护措施作了特别规定。包括安装并运行国家规定的安全管理系统；对上网人员进行实名登记；记录有关上网信息，登记内容和记录备份保存时间不得少于六十日，在保存期内不得修改或者删除等（见条例第十七条）。

四、关于禁止性行为的规定

当前，利用计算机信息系统进行违法犯罪活动情况比较严重，非法盗取他人帐号、密码，网络黑客攻击他人系统时有发生，计算机病毒、木马等破坏性程序大肆传播，淫秽、色情、暴力、诈骗信息屡禁不止，散布、传播谣言以及擅自公布他人信息等危害社会秩序、公共利益和他人合法权益的行为较为突出，已经成为人民群众十分关注的热点问题。为了保障计算机信息系统的正常运行，维护互联网上网秩序，营造洁净的网络空间，条例第十八条、第十九条对利用计算机信息系统实施的违法行为采取列举的方式，作出了禁止性规定，并设定了相应的法律责任。

五、关于法律责任

根据上位法的规定和我市实际，按照不与上位法抵触的原则，对一些违反条例的行为作了较为具体的处罚规定（见条例第二十六条至第三十一条）。

以上说明连同条例，请予审议。

关于《徐州市计算机信息系统安全保护条例》审议意见的报告

——2009年1月17日在省十一届人大常委会第七次会议上

省人大法制委员会

主任、各位副主任、秘书长、各位委员：

《徐州市计算机信息系统安全保护条例》已经徐州市十四届人大常委会第六次会议制定，现报省人大常委会批准。省人大常委会法制工作委员会在该条例通过前进行了初步审查，并征求了省政府法制办、省公安厅、省文化厅等有关部门以及部分省人大代表、立法专家的意见。省人大法制委员会于12月30日召开全体会议对该条例进行了审议，现将审议意见报告如下：

随着经济社会的迅速发展，计算机作为现代社会的高科技产物被广泛应用，但计算机信息系统的建设、应用和管理还不够规范，信息系统的安全问题日益突出。为了加强计算机信息系统的安全保护工作，维护国家安全、社会秩序和公共利益，徐州市根据国家的有关规定，结合本市实际，制定该条例是必要的。该条例对计算机信息系统的等级保护、安全管理制度、安全保护措施等方面作了明确规定，内容具体，可操作性较强。

该条例同宪法、法律、行政法规和本省的地方性法规不相抵触。建议本次会议审议后予以批准。

以上报告，请予审议。




国家计委 国家标准局


国家计委、国家标准局关于印发《全国经济信息自动化管理系统标准化工作会议纪要》的通知

1985年12月13日，国家计委、国家标准局

现将《全国经济信息自动化管理系统标准化工作会议纪要》印发给你们。信息系统的规范与标准是系统资源共享的前提，是信息系统建设中重要的先行基础工作，请有关部门加强对这一工作的领导。会议纪要中的各项要求，望遵照执行。

附：全国经济信息自动化管理系统标准化工作会议纪要
国家计委和国家标准局联合召开的全国经济信息自动化管理系统标准化工作会议于1985年11月11日至16日在北京举行。国务院有关部、委、局，全国八个省、直辖市以及部分高等院校和科研机构的一百一十余名代表出席了会议。国家计委委员兼经济信息管理办公室主任周宏仁，国务院电子振兴领导小组办公室副主任金久源，国家标准局总工程师戴荷生，国务院电子振兴领导小组办公室技术顾问陈力为等同志出席了会议，并作了讲话。国家计委经济信息管理办公室副主任周起凤同志作了大会总结报告。他们的讲话和报告为搞好信息系统的标准化工作提出了明确的要求。大会听取了信息技术标准化二十一项专业工作的汇报和关于《国家经济信息自动化管理系统设计与应用标准化规范》提纲的建议以及关于《信息分类与编码的基本原则与方法》等六个指导性文件的介绍。会议围绕着经济信息自动化管理系统建设中如何全面开展标准化管理等议题进行了热烈的讨论。代表们一致强调，标准化工作是系统的基本建设之一，是百年大计的工作，是系统资源共享的前提。必须把它作为系统的基础技术和战略任务来抓。无论是当前的系统工程建设或是今后的系统运行，自始至终都要贯彻一系列标准与规范，只有这样，才能确保系统工程建设的顺利进行。会议就下一阶段的系统标准化工作取得了一致意见和结果：
一、大会一致通过了《国家经济信息自动化管理系统设计与应用标准化规范》提纲，并建议国家计委和国家标准局尽快组织专家编辑班子，以充实和完善“提纲”，并与总体规划配合，形成一个包含信息、技术、管理以及质量控制等一系列标准内容的完整规范文件。
二、会议审议了《信息分类与编码的基本原则与方法》等六个标准化工作指导性文件。会后由国家标准局信息分类编码研究所进一步广泛征求意见，并尽快整理报批为国家标准或指导性文件，并切实加以贯彻执行。
三、要大力支持和加强标准化科研工作。围绕着系统工程建设工作，诸如在信息系统数据加密与安全，数据库管理，开放系统互连，信息分类编码与文件格式以及汉字信息处理技术等标准化任务中，都需要开展大量的标准化科研工作。会议提请各级主管部门在安排“七五”计划项目和1986年标准化工作计划时，要在人力、物力和财力上予以积极支持和保证。
四、做好系统标准化的审查与测试工作。根据国家计委、经委、科委、对外经贸部和国家标准局联合签发的（国标发〔84〕634号）关于《技术引进和设备进口标准化审查管理办法（试行）》的通知，提请国家标准局会同有关部门积极创造条件，结合经济信息自动化管理系统工程建设，逐步开展标准化审查和测试工作。当前，可以汉字信息处理系统标准入手及时维护我国标准化权益，并做好标准化审查与测试的试点工作。
五、进一步加强国家标准局信息分类编码研究所的业务和组织建设。随着经济信息自动化管理系统的建设和发展，信息分类编码和文件格式的标准化工作日益繁重，提请国家标准局根据系统工程总体要求和投资金额逐步落实该所的基本建设和组织及业务建设，以保证“七五”计划和1986年计划项目的实施。
六、切实做好经济信息自动化管理系统的安全保密工作。随着国家经济信息自动化管理系统的建设与投入运行，将收集、传输、加工、处理和保存我国国民经济各个领域的大量重要经济信息。抓好系统安全、保密工作，事关重大。因此，从系统建设一开始，就必须把系统的安全保密工作作为一项重要工作来抓。会议提请国家计委、中央保密委员会、国家安全部、公安部、邮电部、电子部和国家标准局就经济信息自动化管理系统的加密和安全工作，共同作出统一规划。当前，就“数据加密算法”和“系统设备物理安全”等标准化科研项目尽快提出任务和经费安排。
七、注意做好经济信息自动化管理系统的标准化技术和情报交流工作，会后请国家标准局信息分类编码研究所认真研究和落实措施。
八、会议提请国务院有关部、委、局和各省市的信息管理部门、标准（计量）局（所），认真贯彻会议有关文件的精神和要求，并采取具体措施，使本次会议提出的各项任务得到具体的落实。