(2004年11月7日云南省人民政府令130號公布 自2005年1月1日起施行)
第一條 為了保護(hù)網(wǎng)絡(luò)與信息系統(tǒng)安全,促進(jìn)網(wǎng)絡(luò)的應(yīng)用和發(fā)展,根據(jù)《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》和有關(guān)法律、法規(guī),結(jié)合本省實際情況,特制定本規(guī)定。
第二條 縣級以上人民政府領(lǐng)導(dǎo)和協(xié)調(diào)網(wǎng)絡(luò)與信息系統(tǒng)安全工作。
縣級以上公安機(jī)關(guān)主管本行政區(qū)域內(nèi)網(wǎng)絡(luò)與信息系統(tǒng)安全監(jiān)察管理工作。
縣級以上國家安全機(jī)關(guān)、國家保密工作部門、信息產(chǎn)業(yè)部門和其他有關(guān)部門,在各自職責(zé)范圍內(nèi)負(fù)責(zé)網(wǎng)絡(luò)與信息系統(tǒng)安全管理的有關(guān)工作。
第三條 對網(wǎng)絡(luò)與信息系統(tǒng)實行安全等級保護(hù)制度。
對下列單位涉及的基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟(jì)命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)的安全,實行重點(diǎn)保護(hù):
(一)各級機(jī)關(guān);
(二)銀行、保險、證券等金融單位;
(三)郵政、電信單位;
(四)廣播、電視、新聞出版單位;
(五)重點(diǎn)電力、煤炭、燃?xì)狻⑷加偷饶茉磫挝唬?
(六)航空、鐵路和重點(diǎn)公路、水運(yùn)等運(yùn)輸單位;
(七)水利及水源供給單位;
(八)重要物資儲備單位;
(九)重點(diǎn)工程建設(shè)單位;
(十)大型工商、信息技術(shù)企業(yè);
(十一)重點(diǎn)科研、教育機(jī)構(gòu);
(十二)醫(yī)療衛(wèi)生、消防、緊急救援等社會應(yīng)急服務(wù)機(jī)構(gòu);
(十三)需要實行重點(diǎn)保護(hù)的其他單位。
第四條 重點(diǎn)保護(hù)的網(wǎng)絡(luò)與信息系統(tǒng)應(yīng)當(dāng)達(dá)到下列安全保護(hù)要求:
(一)機(jī)房及外部環(huán)境、設(shè)備及媒體的安全應(yīng)當(dāng)符合有關(guān)法律、法規(guī)、規(guī)章和標(biāo)準(zhǔn)的要求;
(二)具備風(fēng)險分析、備份與恢復(fù)、容災(zāi)應(yīng)急等信息運(yùn)行安全保護(hù)措施;
(三)具有操作系統(tǒng)安全、數(shù)據(jù)庫安全、網(wǎng)絡(luò)安全、病毒防護(hù)、訪問控制等信息安全保護(hù)措施和防范非法侵入、攻擊網(wǎng)絡(luò)與信息系統(tǒng)的安全保護(hù)措施;
(四)使用具有《計算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可證》等行政許可證件的網(wǎng)絡(luò)與信息系統(tǒng)安全專用產(chǎn)品;
(五)設(shè)置網(wǎng)絡(luò)與信息系統(tǒng)安全管理機(jī)構(gòu)或者配備專職或者兼職網(wǎng)絡(luò)與信息系統(tǒng)安全員,具體負(fù)責(zé)網(wǎng)絡(luò)與信息系統(tǒng)安全保護(hù)工作。
第五條 從事國際聯(lián)網(wǎng)業(yè)務(wù)或者向公眾提供上網(wǎng)服務(wù)的重點(diǎn)保護(hù)的網(wǎng)絡(luò)與信息系統(tǒng),除應(yīng)當(dāng)達(dá)到第四條規(guī)定的安全保護(hù)要求外,還應(yīng)當(dāng)達(dá)到下列安全保護(hù)要求:
(一)具有系統(tǒng)運(yùn)行和用戶使用日志記錄保存60日以上的措施;
(二)具有記錄用戶主叫電話號碼或者網(wǎng)絡(luò)地址的措施;
(三)具有使用者身份登記和識別確認(rèn)措施;
(四)具有垃圾郵件過濾、有害信息控制等安全防護(hù)措施;
(五)安裝有國家規(guī)定的安全管理軟硬件。
第六條 重點(diǎn)保護(hù)的網(wǎng)絡(luò)與信息系統(tǒng)使用單位應(yīng)當(dāng)建立以下安全保護(hù)制度:
(一)計算機(jī)機(jī)房安全管理制度;
(二)安全管理責(zé)任人的任免和安全責(zé)任制度;
(三)網(wǎng)絡(luò)安全漏洞檢測和安全系統(tǒng)升級管理制度;
(四)操作權(quán)限管理制度;
(五)用戶登記制度;
(六)信息發(fā)布的審查、登記、保存、清除和備份制度;
(七)信息群發(fā)服務(wù)管理制度。
第七條 重點(diǎn)保護(hù)的網(wǎng)絡(luò)與信息系統(tǒng)配備的專職或者兼職網(wǎng)絡(luò)與信息系統(tǒng)安全員應(yīng)當(dāng)取得國家認(rèn)可的信息安全專業(yè)人員資格,未取得信息安全專業(yè)人員資格的,應(yīng)當(dāng)經(jīng)過縣級以上公安機(jī)關(guān)組織或者會同有關(guān)部門組織的專業(yè)培訓(xùn),并考核合格。
網(wǎng)絡(luò)與信息系統(tǒng)安全員實行年度專業(yè)考核制度。
第八條 網(wǎng)絡(luò)與信息系統(tǒng)安全集成,由具有網(wǎng)絡(luò)與信息系統(tǒng)安全集成能力的單位承擔(dān)。
從事重點(diǎn)保護(hù)的網(wǎng)絡(luò)與信息系統(tǒng)安全集成的單位應(yīng)當(dāng)取得國家有關(guān)部門認(rèn)可的集成資質(zhì),并配備適應(yīng)安全集成需要、掌握相關(guān)網(wǎng)絡(luò)與信息系統(tǒng)安全標(biāo)準(zhǔn)的技術(shù)人員。
網(wǎng)絡(luò)與信息系統(tǒng)安全集成單位應(yīng)當(dāng)向州(市)以上公安機(jī)關(guān)備案,并接受公安機(jī)關(guān)的監(jiān)督檢查。
第九條 安全集成單位在從事重點(diǎn)保護(hù)的網(wǎng)絡(luò)與信息系統(tǒng)安全集成時,應(yīng)當(dāng)執(zhí)行國家有關(guān)網(wǎng)絡(luò)與信息系統(tǒng)安全保護(hù)的標(biāo)準(zhǔn),在安全集成完成后及時將所有資料交網(wǎng)絡(luò)與信息系統(tǒng)使用單位,并對安全集成系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)、配置以及在安全集成中獲悉的國家秘密、商業(yè)秘密負(fù)有保密責(zé)任。禁止在安全集成的網(wǎng)絡(luò)與信息系統(tǒng)中設(shè)置隱蔽信道。
第十條 重點(diǎn)保護(hù)的網(wǎng)絡(luò)與信息系統(tǒng)在新建、改建、擴(kuò)建之前,使用單位應(yīng)當(dāng)將安全措施方案報有管轄權(quán)的公安機(jī)關(guān)備案。
第十一條 重點(diǎn)保護(hù)的網(wǎng)絡(luò)與信息系統(tǒng)實行安全技術(shù)檢測制度。安全技術(shù)檢測執(zhí)行有關(guān)國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)。經(jīng)安全技術(shù)檢測不符合安全要求的,應(yīng)當(dāng)進(jìn)行整改。
重點(diǎn)保護(hù)的網(wǎng)絡(luò)與信息系統(tǒng)應(yīng)當(dāng)在正式投入使用前進(jìn)行首次安全技術(shù)檢測;在本規(guī)定施行前已投入正式使用的,應(yīng)當(dāng)在本規(guī)定施行之日起6個月內(nèi)完成首次安全技術(shù)檢測。
重點(diǎn)保護(hù)的網(wǎng)絡(luò)與信息系統(tǒng)在首次安全技術(shù)檢測后,應(yīng)當(dāng)每年至少進(jìn)行一次安全技術(shù)檢測。
重點(diǎn)保護(hù)的網(wǎng)絡(luò)與信息系統(tǒng)設(shè)備更新或者改造、網(wǎng)絡(luò)結(jié)構(gòu)變更,以及處理信息的種類、性質(zhì)變更,對安全保護(hù)措施產(chǎn)生直接影響的,應(yīng)當(dāng)在投入運(yùn)行前對受影響的部分進(jìn)行安全技術(shù)檢測。
重點(diǎn)保護(hù)以外的網(wǎng)絡(luò)與信息系統(tǒng)應(yīng)當(dāng)加強(qiáng)安全技術(shù)檢測,及時消除隱患。
第十二條 重點(diǎn)保護(hù)的網(wǎng)絡(luò)與信息系統(tǒng)的使用單位發(fā)現(xiàn)危害網(wǎng)絡(luò)與信息系統(tǒng)安全的隱患或者事故時,應(yīng)當(dāng)保留有關(guān)原始記錄,并在24小時內(nèi)向當(dāng)?shù)乜h級以上公安機(jī)關(guān)報告。公安機(jī)關(guān)發(fā)現(xiàn)危害網(wǎng)絡(luò)與信息系統(tǒng)安全的隱患或者事故時,應(yīng)當(dāng)及時通知有關(guān)使用單位。
使用單位應(yīng)當(dāng)及時采取措施,消除、處理危害網(wǎng)絡(luò)與信息系統(tǒng)安全的隱患或者事故。公安機(jī)關(guān)應(yīng)當(dāng)加強(qiáng)監(jiān)督檢查,及時處理危害網(wǎng)絡(luò)與信息系統(tǒng)安全的事件。
第十三條 網(wǎng)絡(luò)與信息系統(tǒng)安全技術(shù)檢測,由具有安全技術(shù)檢測能力的單位承擔(dān)。
從事重點(diǎn)保護(hù)的網(wǎng)絡(luò)與信息系統(tǒng)安全技術(shù)檢測的單位,應(yīng)當(dāng)經(jīng)國家權(quán)威機(jī)構(gòu)認(rèn)可。因特殊情況自行完成安全技術(shù)檢測的,應(yīng)當(dāng)具備開展計算機(jī)操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)、機(jī)房環(huán)境等安全檢測的必要設(shè)備,配備適應(yīng)安全技術(shù)檢測需要、掌握網(wǎng)絡(luò)與信息系統(tǒng)安全標(biāo)準(zhǔn)并經(jīng)省級公安機(jī)關(guān)專業(yè)安全培訓(xùn)或者考核合格的技術(shù)人員。
網(wǎng)絡(luò)與信息系統(tǒng)安全技術(shù)檢測單位應(yīng)當(dāng)向州(市)以上公安機(jī)關(guān)備案,并接受公安機(jī)關(guān)的監(jiān)督檢查。
第十四條 安全技術(shù)檢測單位對被檢測單位網(wǎng)絡(luò)與信息系統(tǒng)的檢測內(nèi)容、檢測結(jié)果和所涉及的國家秘密、商業(yè)秘密等所有資料應(yīng)當(dāng)保密。禁止在所檢測的網(wǎng)絡(luò)與信息系統(tǒng)中設(shè)置隱蔽信道。
第十五條 從事網(wǎng)絡(luò)與信息系統(tǒng)安全專用產(chǎn)品研究開發(fā)和從事計算機(jī)病毒等有害數(shù)據(jù)防治研究的單位,應(yīng)當(dāng)報省級公安機(jī)關(guān)備案。
第十六條 從事網(wǎng)吧等互聯(lián)網(wǎng)上網(wǎng)服務(wù)營業(yè)場所經(jīng)營活動的單位,應(yīng)當(dāng)按照《互聯(lián)網(wǎng)上網(wǎng)服務(wù)營業(yè)場所管理條例》的規(guī)定及國家有關(guān)規(guī)定,履行信息網(wǎng)絡(luò)安全職責(zé),落實信息網(wǎng)絡(luò)安全技術(shù)措施,接受公安機(jī)關(guān)和有關(guān)部門的監(jiān)督管理。
第十七條 單位或者個人有下列行為之一的,由縣級以上公安機(jī)關(guān)責(zé)令改正,給予警告或者對單位處15000元以下的罰款,對個人處5000元以下的罰款;構(gòu)成犯罪的,依法追究刑事責(zé)任:
(一)非法侵入重點(diǎn)保護(hù)的網(wǎng)絡(luò)與信息系統(tǒng),修改、刪除、增加、破壞網(wǎng)絡(luò)與信息系統(tǒng)的功能、程序及數(shù)據(jù)的;
(二)制作、傳播危害網(wǎng)絡(luò)與信息系統(tǒng)安全的程序,或者惡意傳授危害網(wǎng)絡(luò)與信息系統(tǒng)安全的程序制作和使用等方法,造成網(wǎng)絡(luò)與信息系統(tǒng)損害的;
(三)故意干擾網(wǎng)絡(luò)與信息系統(tǒng)正常運(yùn)行的;
(四)有其他危害網(wǎng)絡(luò)與信息系統(tǒng)安全行為的。
第十八條 單位或者個人利用網(wǎng)絡(luò)與信息系統(tǒng)實施下列行為之一的,由公安機(jī)關(guān)依法給予行政處罰;構(gòu)成犯罪的,依法追究刑事責(zé)任:
(一)危害國家安全、破壞社會穩(wěn)定、破壞民族團(tuán)結(jié)、宣揚(yáng)邪教、迷信的;
(二)宣傳淫穢、賭博、暴力,實施詐騙活動,擾亂社會秩序,侵害他人合法權(quán)益的;
(三)法律、法規(guī)禁止的其他行為。
第十九條 重點(diǎn)保護(hù)的網(wǎng)絡(luò)與信息系統(tǒng)使用單位有下列情形之一的,由縣級以上公安機(jī)關(guān)責(zé)令限期改正,或者會同有關(guān)部門進(jìn)行處理;逾期不改正的,對單位處1萬元以下的罰款,對直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員可以處1000元以下的罰款;構(gòu)成違紀(jì)的,依法給予行政處分或者紀(jì)律處分;構(gòu)成犯罪的,依法追究刑事責(zé)任:
(一)未達(dá)到本規(guī)定第四條規(guī)定的網(wǎng)絡(luò)與信息系統(tǒng)安全保護(hù)要求的;
(二)從事國際聯(lián)網(wǎng)業(yè)務(wù)和向公眾提供上網(wǎng)服務(wù)的網(wǎng)絡(luò)與信息系統(tǒng)未達(dá)到本規(guī)定第四條和第五條規(guī)定的網(wǎng)絡(luò)與信息系統(tǒng)安全保護(hù)要求的;
(三)未建立本規(guī)定第六條規(guī)定的安全保護(hù)制度的;
(四)未按規(guī)定進(jìn)行網(wǎng)絡(luò)與信息系統(tǒng)安全技術(shù)檢測,或者經(jīng)檢測達(dá)不到安全要求而擅自使用的;
(五)發(fā)現(xiàn)危害網(wǎng)絡(luò)與信息系統(tǒng)安全的隱患或者事故而隱瞞、緩報、謊報或者故意破壞原始記錄的。
第二十條 網(wǎng)絡(luò)與信息系統(tǒng)安全集成單位、安全技術(shù)檢測單位在安全集成、安全技術(shù)檢測活動中有下列情形之一的,由縣級以上公安機(jī)關(guān)責(zé)令改正,對單位處3萬元以下的罰款,對直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員可以處5000元以下的罰款;構(gòu)成犯罪的,依法追究刑事責(zé)任:
(一)不按照國家網(wǎng)絡(luò)與信息系統(tǒng)安全標(biāo)準(zhǔn)進(jìn)行安全集成或者安全技術(shù)檢測,造成網(wǎng)絡(luò)與信息系統(tǒng)損害的;
(二)故意在進(jìn)行安全集成或者安全技術(shù)檢測的網(wǎng)絡(luò)與信息系統(tǒng)中設(shè)置隱蔽信道的;
(三)泄露安全集成系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)、配置或者在安全集成、安全技術(shù)檢測過程中獲取的其他國家秘密、商業(yè)秘密的;
(四)出具虛假安全集成、安全技術(shù)檢測結(jié)果證明的。
第二十一條 國家機(jī)關(guān)工作人員在網(wǎng)絡(luò)與信息系統(tǒng)安全監(jiān)察管理工作中玩忽職守、濫用職權(quán)、徇私舞弊的,依法給予行政處分;構(gòu)成犯罪的,依法追究刑事責(zé)任。
第二十二條 本規(guī)定自2005年1月1日起施行。
政府網(wǎng)站標(biāo)識碼:5300000021 滇ICP備19010245號 
