㈠ 雲南省網路與信息系統安全監察管理規定
第一條為了保護網路與信息系統安全,促進網路的應用和發展,根據《中華人民共和國計算機信息系統安全保護條例》和有關法律、法規,結合本省實際,制定本規定。第二條縣級以上人民政府領導和協調網路與信息系統安全工作。
縣級以上公安機關主管本行政區域內網路與信息系統安全監察管理工作。
縣級以上國家安全機關、國家保密工作部門、信息產業部門和其他有關部門,在各自職責范圍內負責網路與信息系統安全管理的有關工作。第三條對網路與信息系統實行安全等級保護制度。對下列單位涉及的基礎信息網路和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統的安全,實行重點保護:
(一)各級機關;
(二)銀行、保險、證券等金融單位;
(三)郵政、電信單位;
(四)廣播、電視、新聞出版單位;
(五)重點電力、煤炭、燃氣、燃油等能源單位;
(六)航空、鐵路和重點公路、水運等運輸單位;
(七)水利及水源供給單位;
(八)重要物資儲備單位;
(九)重點工程建設單位;
(十)大型工商、信息技術企業;
(十一)重點科研、教育機構;
(十二)醫療衛生、消防、緊急救援等社會應急服務機構;
(十三)需要實行重點保護的其他單位。第四條重點保護的網路與信息系統應當達到下列安全保護要求:
(一)機房及外部環境、設備及媒體的安全應當符合有關法律、法規、規章和標準的要求;
(二)具備風險分析、備份與恢復、容災應急等信息運行安全保護措施;
(三)具有操作系統安全、資料庫安全、網路安全、病毒防護、訪問控制等信息安全保護措施和防範非法侵入、攻擊網路與信息系統的安全保護措施;
(四)使用具有《計算機信息系統安全專用產品銷售許可證》等行政許可證件的網路與信息系統安全專用產品;
(五)設置網路與信息系統安全管理機構或者配備專職或者兼職網路與信息系統安全員,具體負責網路與信息系統安全保護工作。第五條從事國際聯網業務或者向公眾提供上網服務的重點保護的網路與信息系統,除應當達到第四條規定的安全保護要求外,還應當達到下列安全保護要求:
(一)具有系統運行和用戶使用日誌記錄保存60日以上的措施;
(二)具有記錄用戶主叫電話號碼或者網路地址的措施;
(三)具有使用者身份登記和識別確認措施;
(四)具有垃圾郵件過濾、有害信息控制等安全防護措施;
(五)安裝有國家規定的安全管理軟硬體。第六條重點保護的網路與信息系統使用單位應當建立以下安全保護制度:
(一)計算機機房安全管理制度;
(二)安全管理責任人的任免和安全責任制度;
(三)網路安全漏洞檢測和安全系統升級管理制度;
(四)操作許可權管理制度;
(五)用戶登記制度;
(六)信息發布的審查、登記、保存、清除和備份制度;
(七)信息群發服務管理制度。第七條重點保護的網路與信息系統配備的專職或者兼職網路與信息系統安全員應當取得國家認可的信息安全專業人員資格,未取得信息安全專業人員資格的,應當經過縣級以上公安機關組織或者會同有關部門組織的專業培訓,並考核合格。
網路與信息系統安全員實行年度專業考核制度。第八條網路與信息系統安全集成,由具有網路與信息系統安全集成能力的單位承擔。
從事重點保護的網路與信息系統安全集成的單位應當取得國家有關部門認可的集成資質,並配備適應安全集成需要、掌握相關網路與信息系統安全標準的技術人員。
網路與信息系統安全集成單位應當向州(市)以上公安機關備案,並接受公安機關的監督檢查。第九條安全集成單位在從事重點保護的網路與信息系統安全集成時,應當執行國家有關網路與信息系統安全保護的標准,在安全集成完成後及時將所有資料交網路與信息系統使用單位,並對安全集成系統的網路結構、配置以及在安全集成中獲悉的國家秘密、商業秘密負有保密責任。禁止在安全集成的網路與信息系統中設置隱蔽信道。第十條重點保護的網路與信息系統在新建、改建、擴建之前,使用單位應當將安全措施方案報有管轄權的公安機關備案。