管理规章

广东省计算机信息系统安全保护管理规定

广东省人民政府令第81号

  《广东省计算机信息系统安全保护管理规定》已经2003年3月31日广东省人民政府第十届4次常务会议通过,现予发布,自2003年6月1日起施行。
             省长  黄华华 
             2003年4月8日

  第一条为了保护计算机信息系统的安全,促进信息化建设的健康发展,根据《中华人民共和国计算机信息系统安全保护条例》和《计算机信息网络国际联网安全保护管理办法》规定,结合本省实际,制定本规定。
  第二条本省行政区域内计算机信息系统的安全保护,适用本规定。
  未联网的微型计算机的安全保护办法,按国家有关规定执行。
  第三条本规定所称的计算机信息系统,是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
  第四条县级以上人民政府公安机关主管本行政区域内的计算机信息系统安全保护工作。
  国家安全机关、保密工作部门和政府其他有关部门,在各自职责范围内做好计算机信息系统安全保护工作。
  第五条公安机关、国家安全机关为保护计算机信息系统安全,在紧急情况下,可采取24小时内暂时停机、暂停联网、备份数据等措施,有关单位和个人应当如实提供有关信息和资料,并提供相关技术支持和必要的协助。
  第六条地级以上市公安机关应当有专门机构负责计算机信息系统中发生的案件和重大安全事故报警的接受和处理,为计算机信息系统使用单位和个人提供安全指导,并向社会公布举报电话和电子邮箱。
  第七条计算机信息系统使用单位应当确定计算机安全管理责任人,建立健全安全保护制度,落实安全保护技术措施,保障本单位计算机信息系统安全,并协助公安机关做好安全保护管理工作。
  提供电子公告、个人主页等信息服务的使用单位,应当设立信息审查员,负责信息审查工作。
  第八条计算机信息系统使用单位应当建立并执行以下安全保护制度:
  (一)计算机机房安全管理制度;
  (二)安全管理责任人、信息审查员的任免和安全责任制度;
  (三)网络安全漏洞检测和系统升级管理制度;
  (四)操作权限管理制度;
  (五)用户登记制度;
  (六)信息发布审查、登记、保存、清除和备份制度,信息群发服务管理制度。
  第九条计算机信息系统使用单位应当落实以下安全保护技术措施:
  (一)系统重要部分的冗余或备份措施;
  (二)计算机病毒防治措施;
  (三)网络攻击防范、追踪措施;
  (四)安全审计和预警措施;
  (五)系统运行和用户使用日志记录保存60日以上措施;
  (六)记录用户主叫电话号码和网络地址的措施;
  (七)身份登记和识别确认措施;
  (八)信息群发限制和有害数据防治措施。
  向公众提供上网服务的场所以及其他从事国际联网业务的单位应当安装国家规定的安全管理软件。
  第十条对计算机信息系统中发生的重大安全事故,使用单位应当采取应急措施,保留有关原始记录,在24小时内向当地县级以上人民政府公安机关报告。
  第十一条任何单位和个人不得利用计算机信息系统从事下列行为:
  (一)制作、复制、查阅、传播有害信息;
  (二)侵犯他人隐私,窃取他人账号,假冒他人名义发送信息,或者向他人发送垃圾信息;
  (三)以营利或者非正常使用为目的,未经允许向第三方公开他人电子邮箱地址;
  (四)未经允许修改、删除、增加、破坏计算机信息系统的功能、程序及数据;
  (五)危害计算机信息系统安全的其他行为。
  第十二条计算机信息系统及计算机机房应当按照国家有关规定以及国家标准进行安全保护设计和建设。
  第十三条销售的计算机信息系统安全专用产品(含计算机信息系统安全检测产品)应当取得公安部颁发的《计算机信息系统安全专用产品销售许可证》。密码产品的管理,按国家有关规定执行。
  第十四条下列计算机信息系统使用单位为重点安全保护单位:
  (一)县级以上国家机关、国防单位;
  (二)银行、证券、能源、交通、邮电通信单位;
  (三)国家及省重点科研、教育单位;
  (四)国有大中型企业;
  (五)互联单位、接入单位及重点网站;
  (六)向公众提供上网服务的场所。
  第十五条重点安全保护单位计算机安全管理责任人和信息审查员应当参加县级以上人民政府公安机关认可的安全技术培训,并取得安全技术培训合格证书。
  第十六条重点安全保护单位计算机信息系统及计算机机房安全保障体系的设计、建设和检测应当由有安全服务资质的机构承担。
  重点安全保护单位计算机信息系统及计算机机房应当由有安全服务资质的机构检测合格后,方可投入使用。
  第十七条申请安全服务资质,应当具备以下条件:
  (一)取得相应经营范围的营业执照;
  (二)取得安全技术培训合格证书的专业技术人员不少于10人,其中大学本科以上学历的人员所占比例不少于70%;
  (三)负责安全服务工作的管理人员应当具有2年以上从事计算机信息系统安全技术领域企业管理工作经历,并取得安全技术培训合格证书;
  (四)有与其从事的安全服务业务相适应的技术装备;
  (五)有与其从事的安全服务业务相适应的组织管理制度;
  (六)法律法规规定的其他条件。
  第十八条申请安全服务资质,应当持下列资料向地级以上市公安机关提出申请:
  (一)申请书;
  (二)营业执照(复印件);
  (三)管理人员和专业技术人员的身份证明、学历证明和安全技术培训合格证书;
  (四)技术装备情况及组织管理制度报告。
  地级以上市公安机关应当自接到申请资料之日起15日内进行初审。初审合格的,报送省公安机关核准;初审不合格的,退回申请并说明理由。
  省公安机关应当自接到初审意见之日起15日内进行审查,符合条件的,核发资质证书。不符合条件的,作出不予核准的决定并说明理由。
  资质证书实行年审