A. 黑龙江省计算机信息系统安全管理规定(2013修正)
第一条为加强计算机信息系统安全管理,促进计算机的应用和发展,维护国家和社会公共利益,根据国家有关法律、法规,结合本省实际情况,制定本规定。第二条本规定所称的计算机信息系统,是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行收集、加工、存储、传输、检索等处理的人机系统。第三条本规定适用于本省行政区域内建立和利用计算机信息系统的单位和个人。
本省行政区域内军队的计算机信息系统安全管理,按照军队系统的有关法规执行。第四条各级公安机关负责计算机信息系统安全管理监察工作。其主要职责是:
(一)监督、检查、指导计算机信息系统安全保护工作;
(二)查处危害计算机信息系统安全的违法犯罪案件;
(三)办理计算机信息系统安全备案;
(四)组织开展计算机信息系统安全宣传教育;
(五)履行计算机信息系统安全管理的其他职能。第五条计算机信息系统实行安全等级保护,计算机信息系统的安全等级,分为信息安全等级和系统可靠性等级。第六条计算机信息系统的安全等级保护,按照国家有关规定执行。第七条计算机信息系统安全保护等级,由信息系统使用单位依据信息安全技术标准和运行管理状况进行确定。第八条计算机信息系统的主管部门及使用单位应建立安全管理组织,建立健全下列安全管理制度,确保各项安全措施的落实。
(一)运行审批制度;
(二)日志管理制度;
(三)安全审计制度;
(四)灾难恢复计划;
(五)计算机机房及其他重要区域的出入制度;
(六)硬件、软件、网络、媒体的使用及维护制度;
(七)账户、密码的管理制度;
(八)有害数据及计算机病毒预防、发现、报告及清除管理制度。第九条计算机信息系统的使用单位,须配备经公安机关检测合格的计算机信息系统安全专用产品。第十条计算机信息系统的研制、生产、开发、经销、使用等环节,应遵守国家计算机信息系统安全标准和安全规范。第十一条新建、改建、扩建(含内装修,下同)计算机机房应当符合国家有关规定和技术规范要求,不符合的不得投入使用。计算机机房安全由公安机关按照国家有关规定进行监督、检查。
在计算机机房附近施工,不得危害计算机信息系统的安全。第十二条与国际联网的计算机信息系统的使用单位应当在网络正式联通后的30日内到县级公安机关办理备案手续。第十三条与国际联网单位,必须具有健全的安全保密管理制度和安全技术保护措施。第十四条从事国际联网经营活动的和非经营活动的接入单位,须报省级公安机关安全审核、备案。第十五条公安机关定期对国际互联网络的国际出入口信道提供单位、互联单位、接人单位、使用单位和用户的安全状况进行监督和检查。第十六条运输、携带、邮寄计算机信息媒体进出境的,应如实向海关申报,海关如发现有危害计算机信息系统安全的信息媒体,应及时向所在地公安机关报告,并上报省级公安机关。第十七条生产、销售、出租、维修计算机和软件的单位或个人,在出厂、销售、出租以前和维修以后,必须保证计算机和软件无病毒和其他有害数据。第十八条任何单位和个人不得以任何方式从事制作、传播、销售、运输、携带、邮寄含有反动政治内容及淫秽内容等有害数据的信息媒体的活动。第十九条任何单位和个人不得从事下列活动:
(一)制造、传播计算机病毒及其他有害数据;
(二)刊登、出版、发行、销售、出租有关计算机病毒源程序的书刊资料和其他媒体;
(三)开展涉及计算机病毒机理的活动;
(四)公开发布计算机病毒疫情等活动。第二十条任何单位和个人发现利用计算机信息系统进行违法犯罪活动的及计算机信息系统染有计算机病毒或其他有害数据的,应注意保护现场及相关资料,立即向所在地的县级以上公安机关报告。第二十一条违反本规定有下列行为之一的,由县级以上公安机关责令限期整改,处以警告并处200元以上1000元以下罚款:
(一)计算机信息系统的使用单位未按规定建立安全管理组织和各项安全管理制度,使得计算机信息系统设备或设施造成损失的;
(二)发现计算机病毒疫情和利用计算机犯罪案件,未及时向公安机关报告的;
(三)计算机信息系统的使用单位未配备经公安机关检测合格的计算机安全专用产品的;
(四)有危害计算机信息系统安全的其他行为的。
B. 天津市公共计算机信息网络安全保护规定
第一条为保护公共计算机信息网络的安全,促进公共计算机信息网络的健康发展,维护治安秩序和社会稳定,根据法律、法规和国家有关规定,结合我市实际情况,制定本规定。第二条本规定所称公共计算机信息网络是指向社会提供计算机信息服务、网络服务的计算机信息网络。第三条公安机关是本市公共计算机信息网络安全保护的主管机关。
公安机关应当监督、检查向社会提供计算机信息服务、网络服务的单位和个人及有关用户,落实安全保护管理制度和安全技术保护措施,查处违反网络安全管理规定的行为。第四条任何单位和个人不得利用公共计算机住处网络制作、复制、传播和查阅下列信息:
(一)煽动抗拒、破坏宪法和法律、法规实施的;
(二)煽动颠覆国家政权,推翻社会主义制度的;
(三)煽动分裂国家、破坏国家统一的;
(四)煽动民族仇恨、民族歧视,破坏民族团结的;
(五)捏造或者歪曲事实,散布谣言,扰乱社会秩序的;
(六)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪的;
(七)侮辱他人或者捏造事实诽谤他人的;
(八)损害国家机关信誉的;
(九)进行其他违法犯罪活动的。第五条任何单位和个人不得从事下列危害公共计算机信息网络安全的行为;
(一)未经允许,进入公共计算机信息网络或者使用公共计算机信息网络资源的;
(二)未经允许,对公共计算机住处网络功能进行删除、修改或者增加的;
(三)未经允许,对公共计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的;
(四)故意制作、传播计算机病毒等破坏性程序的;
(五)其他危害公共计算机住处网络安全的。
前款所称未经允许是指违反国家法律、法规、规章和行业管理规定及当事人的约定,擅自或者超越权限进入公共计算机信息网络或者使用、删除、修改、增加计算机信息网络数据等情形。第六条在公共计算机信息网络上从事接入服务、信息服务的单位和个人应当遵守下列规定:
(一)按照国家和本市有关规定建立健全安全保护管理制度;
(二)落实安全技术保护措施;
(三)协助公安机关查处公共计算机信息网络的违法犯罪行为,向公安机关提供有关安全保护的信息、资料及数据文件;
(四)提供交互式信息服务的公共计算机信息网络应当具有识别、确认用户身份的功能并保存6个月以上的原始记录;
前款第(四)项规定的原始记录是指有关信息或行为在网络上出现或者发生时,计算机记录、存储的时间、内容、来源及系统网络运行日志、用户使用日志等所有相关数据。第七条提供公共计算机住处网络信息发布服务的单位和个人,应当遵守下列规定:
(一)对发布信息的单位名称和个人身份进行登记;
(二)对发布的信息内容按照本规定第四条进行审核;
(三)发现有本规定第四条、第五条所列情形之一的,应当在保留有关原始记录后,删除本网络中含有本规定第四条内容的地址、目录或者关闭服务器,并立即向当地公安机关报告。第八条向社会提供信息服务、网络服务的单位应当设立专职或兼职公共计算机信息网络安全管理人员。
公共计算机信息网络安全管理人员应当经过公安机关安全培训考核合格。第九条开办互联网上网服务的营业场所应当向所在地公安机关申请登记。
公安机关接到申请之日起30日内对互联网上网服务营业场所的经营人员、营业场地等进行审核,并签署《互联网上网服务营业场所安全审核意见书》。第十条互联网上网服务营业场所变更名称、地点、法定代表人的,应当在变更后30日内向公安机关备案。第十一条互联网上网服务营业场所应当安装符合国家或者行业技术标准的安全管理软件。第十二条互联网上网服务营业场所应当对上网人员的身份证件和上网情况进行登记。第十三条违反本规定第四条、第五条、第六条、第七条、第八条、第十一条、第十二条规定的,由公安机关责令限期整改,情节严重的,责令6个月以内停机整顿,可以处警告或200元以上1000元以下罚款;构成犯罪的,依法追究刑事责任。
在经营活动中有前款所列行为的,可以处1000元以上1万元以下罚款,有违法所得的处3000元以上3万元以下罚款。
C. 计算机以及计算机网络使用管理规定
计算机网络使用管理规定 1. 目的: 为了合理使用合理分配网络资源,充分发挥网络功能,正确利用计算机,特制定本标准。 2. 范围: 全局所有计算机。 3. 职责 3.1 各科室部门有遵守计算机网络使用规范的责任。 3.2 党政办公室有审核、检查用户是否遵守计算机网络使用规范的责任。 3.3 党政办公室有将违反使用规范的部门或人员的处理反馈给局网络小组成员,进行讨论处理。 4. 使用规范 4.1 合法用户 4.1.1 凡需申请入网,由办公室计算机高级管理人员分配网络帐户。 4.1.2 各部门在规定的PC上用规定的网络帐户登录入网 。 4.1.3 各部门根据各自的情况,及时上报各类信息及数据。 4.2 合法操作 4.3.1 合法使用部门在网络授权范围内使用合法软件。 4.3.2 合法使用部门在网络授权范围内存储传递数据。 4.3.3 合法使用部门在网络授权范围内不可自己修改密码及文件属性。 4.3.4网络小组要及时负责通报病毒发作时间并采取相应措施。 4.3.5网络小组指定专人负责定期,按规定统一杀毒。 4.3 非法操作 4.3.1恶意删除与工作有关的文件和数据的,情节严重者将予以停职反省。 4.3.2擅自拆卸电脑,导致电脑无法正常使用的,根据情节予以处罚。 4.3.3 工作时间内,不得违反计算机使用原则,使用计算机和打印机做与本人工作无关的事情或访问与工作无关的网站,上网聊天、娱乐等。违者将给予一定的经济处罚。 5. 设备管理 5.1本局管理的计算机及辅助设备,由办公室负责登记入帐建卡,每年清点检查一次。 5.2计算机的备件、易耗件、磁盘及有关资料的购买由办公室统一扎口,落实资金后购置。各科室、大、中队领用上述物品一律到办公室领取。 5.3计算机及其辅助设备的一切随机附件、资料、图纸和有关资料,都交办公室保存,由办公室建帐登记。借用必须办理借用手续,遗失者照价赔偿。 5.4局内计算机、服务器、网络通讯电缆等设备,未经办公室同意不得自行拆装、移动。 5.5计算机设备出现故障,操作人员应立即按操作规程进行处理,若无法处理时,应立即与办公室联系处理,并做好处理记录。 5.6计算机和辅助设备需检修,应报告办公室;若需外单位维修,由办公室主任报经分管领导同意后办理。 5.7凡安装在各科室、大、中队的计算机,由各部门自己负责保管,严禁非操作人员上机操作。 6. 软件与数据管理 6.1本局自行开发、购置和上级下发的软件,不准备擅自复制外传,若需复制外传,需经 局领导同意批准。 6.2各部门的数据磁盘和程序磁盘,由各部门负责保管,未经部门负责人同意,不得调用。 6.3存贮有数据的磁盘、磁带及报表,局本局内部资料,未经主管人员同意不得调用数据,未经局领导批准,不得将数据外传、复制。 7. 其他 7.1严格遵守计算机操作管理制度,不允许从事与工作无关的事情。 7.2使用计算机应遵守操作规程,严禁进行与本职工作无关的操作。 7.3非计算机操作人员,不准随便使用计算机。 7.4本规定自制度下发之日起生效。
D. 山东省计算机信息系统安全管理办法
第一章总则第一条为加强计算机信息系统安全管理,根据《中华人民共和国计算机信息系统安全保护条例》等有关规定,结合我省实际,制定本办法。第二条本省行政区域内计算机信息系统的安全管理适用本办法。第三条公安机关主管计算机信息系统安全管理工作。
国家安全机关和保密等有关部门,按照国家规定的职责范围做好计算机信息系统安全管理的有关规定。第四条任何单位和个人,不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动,不得危害计算机信息系统的安全。第二章安全管理第五条计算机信息系统的建设和应用,应当遵守法律、行政法规和国家其他有关规定。第六条计算机信息系统使用单位的法定代表人或负责人全面负责本单位计算机信息系统的安全管理工作,保卫组织或专(兼)职保卫人员具体组织实施。第七条计算机信息系统使用单位应建立以下安全管理制度:
(一)安全管理责任制度,明确每个岗位和每个工作人员的安全管理职责;
(二)安全保护制度,保障信息安全,保障计算机信息系统设备、设施(含网络)和运行环境安全,保障计算机功能正常发挥;
(三)安全操作制度,规定计算机信息系统的操作权限和安全操作规程;
(四)安全检查制度,经常检查计算机信息系统安全状况,发现问题及时处理;
(五)其他安全管理制度。第八条使用计算机信息系统存取、处理、传递属于国家秘密的信息,必须采取相应保密措施,确保国家秘密安全。第九条国家事务、尖端科学技术等领域以及重要经济部门的要害计算机信息系统,应重点加强安全管理和保卫工作。第十条单位和个人使用的计算机信息系统进行国际联网,必须通过接入网络,并按规定办理登记手续。任何单位和个人,均不得自行建立或者使用其它信道直接进行国际联网。第十一条接入网络必须通过互联网络进行国际联网。建立接入网络从事国际联网经营活动的,应按国家规定申领国际联网经营许可证;从事非经营活动的,应按国家规定办理审批手续。
申请领取国际联网经营许可证或者办理审批手续时,应当提供计算机信息网络的性质、应用范围和主机地址等资料。第十二条计算机信息系统进行国际联网,应按规定向公安机关备案,接受公安机关的安全监督和检查。第十三条计算机信息系统进行国际联网,应当遵守法律、法规和有关规定,建立健全安全管理制度,加强信息安全管理工作。
严禁利用国际联网从事危害国家安全、泄露国家秘密和妨碍社会治安等违法犯罪活动;任何组织和个人都不得干扰、破坏和限制网络的正常应用,不得扰乱计算机信息系统国际联网管理秩序。第十四条经销计算机信息系统安全专用产品,须经公安机关许可。第十五条进行计算机有害数据的防治研究或防治技术培训,须经公安机关批准。第十六条严禁非法制作、出版、复制、传播和销售计算机有害数据以及含有计算机有害数据的媒体和资料。第十七条对计算机信息系统中发生的案件,有关使用单位应当在24小时内向当地县级以上人民政府公安机关报告。第三章安全监督第十八条公安机关对计算机信息系统安全管理工作履行下列职责:
(一)组织进行安全检查,督促整改安全隐患;
(二)查处危害计算机信息系统安全的违法犯罪案件;
(三)审定安全保护等级,确定要害计算机信息系统;
(四)负责计算机信息系统国际联网的安全监督;
(五)管理计算机信息系统安全专用产品的研制、销售和计算机有害数据的防治研究;
(六)法律、法规、规章规定的其它职责。第十九条公安机关对计算机信息系统进行安全检查时,有关单位应积极配合并提供情况和资料。第二十条公安机关发现影响计算机信息系统安全的隐患,应及时向有关单位下达《计算机信息系统安全隐患整改通知书》。第二十一条计算机信息系统中发生案件,除按规定查处外,公安机关应及时进行安全检查,督促整改存在的安全隐患。第二十二条公安机关对销售计算机信息系统安全专用产品的单位,可采取验证检查和抽样检验等监督措施。第四章法律责任第二十三条违反本办法规定,有下列行为之一的,处以警告或者停机整顿:
(一)违反计算机信息系统安全等级保护制度和本办法有关安全管理的规定,危害计算机信息系统安全的;
(二)违反计算机信息系统国际联网备案制度的;
(三)不按照规定时间报告计算机信息系统中发生的案件的;
(四)接到公安机关要求改进安全状况的通知后,在限期内拒不改进的;
(五)有危害计算机信息系统安全的其他行为的。
E. 山西省计算机安全管理规定
第一条为加强计算机安全管理,促进计算机应用与发展,保障社会主义现代化建设的顺利进行,根据《中华人民共和国计算机信息系统安全保护条例》,结合本省实际情况,制定本规定。第二条凡在本省行政区域内研究、教学、经营、使用计算机以及从事计算机系统工程的单位或个人,均适用本规定。第三条本规定所称计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或程序代码。第四条省公安厅主管本省行政区域内的计算机安全管理工作。各地、市、县公安机关在职责范围内负责本行政区域内的计算机安全管理工作。各级公安机关的计算机安全监察机构负责本规定的具体实施。其主要职责是:
(一)监督、检查和指导计算机安全工作:
(二)通报计算机病毒疫情,并提供技术服务;
(三)办理计算机安全管理的审查登记和备案;
(四)负责本省计算机信息网络及国际联网计算机网络的安全管理工作;
(五)查处利用计算机进行违法、犯罪活动的案件。第五条经营或使用计算机的单位,应视具体情况设计算机安全管理小组或计算机安全管理员,负责本单位的计算机安全管理工作,其主要职责是:
(一)制定具体的安全管理方案和规章制度;
(二)负责向公安机关办理有关备案手续;
(三)协助公安机关进行计算机安全管理和查处事故。第六条严禁任何单位或个人从事下列活动:
(一)窃取、出卖、泄露、私自修改计算机重要信息;
(二)破坏、干扰计算机系统的正常工作;
(三)编制、收集、传播计算机病毒;
(四)制作、贩卖、传播淫秽、反动计算机软件;
(五)利用计算机信息网络(含国际联网)危害国家安全、泄露国家秘密,或者查阅、复制、制作妨碍社会治安的信息及其它有害信息;
(六)利用计算机技术进行其它违法犯罪活动。第七条研制、经营计算机病毒预防、检测、清除的软件、硬件以及其它计算机安全专用产品,须经省公安厅审查批准。第八条制造、销售、维修、出租计算机软、硬件的单位须保证所制造、销售、维修、出租的软、硬件产品无计算机病毒和有害数据。第九条计算机用户引进、购置较大规模的计算机信息系统应当征得计划、科技管理部门的同意,并征求公安机关的意见。
对新购进的计算机和初次使用的软件、数据、载体,应经本单位计算机安全管理员进行检测,确认无病毒和有害数据后方可投入使用。第十条任何单位或个人,未经公安机关批准,不得从事下列活动:
(一)传播计算机病毒机理和程序;
(二)出版、销售、出租含计算机病毒机理、病毒源程序的书籍资料和媒体。第十一条计算机生产、科研部门和用户要建立、健全计算机病毒预防、发现、报告及清除的管理制度。对运行的计算机信息系统应当经常进行病毒检测第十二条公安机关发现影响计算机安全隐患时,应当下达计算机安全隐患通知书,及时通知使用单位,采取安全保护措施。第十三条计算机用户发现计算机感染病毒,应立即采取隔离措施,并及时进行消除。第十四条对计算机信息系统中发生的案件、新的病毒种类和重大计算机安全事故,须在24小时内向当地县级以上公安机关报告。第十五条有下列行为之一的,由公安机关处以警告或对个人处以500元以下罚款,对单位处以1000元以下罚款:(一)对计算机信息系统中发生的案件、新的病毒种类或重大计算机安全事故故意隐瞒不报的;
(二)国际联网的单位和个人,逾期不到公安机关办理备案手续的。第十六条有下列行为之一的,由公安机关对个人处以200元以上500元以下的罚款,对单位处以500元以上1000元以下的罚款。
(一)对新购进的计算机和初次使用的软件、数据和载体未经病毒检测投入使用,对国家或他人造成危害的;
(二)发现计算机感染病毒,未采取安全措施,给他人造成危害的;
(三)接到计算机安全隐患通知书后,逾期不改的;
(四)未经批准,传授计算机病毒机理和病毒源程序的;
(五)私自修改计算机重要信息、干扰计算机系统的正常工作,或编制、收集、传播计算机病毒的。
F. 农业部计算机信息网络系统安全保密管理暂行规定
第一章 总则第一条 为了加强对我部计算机信息网络的管理,保障计算机网络安全运行和网上信息交流的健康发展,根据《中华人民共和国保守国家秘密法》和中央保密委员会有关精神,制定本规定。第二条 计算机网络系统的安全保密工作既要保障国家秘密的安全,又要促进信息处理技术的提高,有利于信息的共享与应用。加强计算机网络系统的安全保密工作,一靠组织管理,二靠技术进步。第三条 本规定适用于联入农业部计算机信息网络的部机关各司局、直属单位及各省有关部门。规定中所称的“农业部局域网络”,指通过光缆、同轴电缆、双绞线等手段联入网络的计算机系统;所称“农业部远程网络”,指以电话线路、公用数据线路与农业部计算机信息网络联网的计算机系统。第二章 涉密信息保密第四条 在农业部计算机信息网络上存储和传输的信息,应根据农业部、国家保密局有关“农业工作中国家秘密及其密级具体范围的规定”精神,分清保密和非密的性质。需要在网络上存储、传输的保密信息,应遵守有关的保密要求。信息提供部门负责按照相关保密规定,明确信息秘密等级、保密期限和提供范围;网络技术安全管理部门(部信息中心或自管网络的管理部门,下同)负责实施相应的安全措施。第五条 秘密级别以上的信息只限在专用的、采取了保密措施的微机(加装了干扰机或其他措施,下同)上编辑与传输。第六条 农业部计算机信息网络上不存储和传输绝密级信息以及有关单位认为不宜上网的信息。其他保密信息可在“农业部局域网络”上通过采取了保密措施的微机上阅看。保密信息如果需要在“农业部远程网络”上传递,必须在传递的双方同时加接保密机(或采取保密部门认可的其他措施),目前在没有配备保密设施的情况下,“农业部远程网络”不传输秘密以上级别的信息。第七条 网络上的数据库内容涉及保密的数据资料时,要在数据库设计时就提出保密要求和调用权限,由网络技术安全管理部门负责进行安全保密设计。如果委托其他单位设计,须由设计单位提供源码程序,经网络技术安全管理部门进行安全保密认证并进行保密设置后方可入网运行。第八条 在网络上编发信息的部门,要根据国家和农业部有关的保密文件,确定需要保密的信息内容、划分编发等级、明确信息提供范围。对于信源单位已提出保密要求的信息,信息编发部门要严格按照信源单位提出的保密要求和提供范围确定网上编发级别;对于未明确密级但内容涉密的信息,要根据有关的保密规定,确定编发级别;对有涉密嫌疑又来源不明的信息不予编发。第九条 信息使用、加工处理部门及网络管理部门,不得通过不正当的手段,超越权限查看、使用、复制保密信息,也不能擅自降低保密级别,把保密信息作为非保密信息传播。第十条 “农业部局域网络”与上级或其他部委联网时的安全保密措施,按信息提供单位的要求执行。第三章 网络安全管理第十一条 网络建设和运行,必需有技术上的安全和保密控制措施,拒绝未经授权的访问。第十二条 用户口令是进入网络的重要关卡,授权用户对自己的口令必须严格保密,不能转告非授权用户。计算机网络用户的口令和采取的安全措施,属于秘密级事项;有调阅机密内容权限的用户口令和网络系统级口令及安全措施属于机密事项。第十三条 为了保证网络安全,任何单位和个人不得在“农业部局域网络”上擅自联接各类网络设备。所有网络设备的增减与变动,其技术方案必须经部网络技术安全管理部门(部信息中心,下同)认可并由其派出的技术人员予以安装和维护,任何单位和个人不得私自改动和联接。第十四条 各单位联入“农业部局域网络”,需要安装主机、服务器等设备时,必须预先报部信息体系领导小组办公室(设在市场信息司,下同)核准,并由部网络技术安全管理部门进行安全和技术审核,分配网络地址和设置安全措施后,方可实施安装。第十五条 本部各单位在“农业部局域网络”覆盖范围外独立建设的计算机信息网络,应事前报部信息体系领导小组办公室批准,并接受部保密委员会组织的技术安全审查。第十六条 “农业部局域网络”所覆盖范围内的各司局、直属单位,如需要通过局域网与外单位进行信息(含数据)交换,应经由农业部计算机信息网络提供的统一网络信道进出。个别上级业务主管部门要求建立独立的网络信息通道时,应事先报部保密委员会和部信息体系领导小组办公室批准并经部网络技术安全管理部门进行内部技术安全审查。
G. 呼和浩特市计算机信息系统安全管理暂行规定
第一条为保护计算机信息系统的安全,促进计算机的应用和发展,打击计算机违法犯罪行为,根据国家有关规定结合呼和浩特市计算机应用的实际情况制定本规定。第二条计算机信息系统(以下简称计算机系统)是指计算机软件系统、硬件系统及有关工作人员构成的信息处理系统。
计算机系统安全是指防止计算机系统及数据被非法利用和破坏,避免各种错误与损坏,保障计算机运行环境的安全和信息的完整性、可用性、保密性以及计算机的控制功能恢复功能。第三条凡在呼和浩特市行政区域内的计算机系统均适用本规定(个人计算机安全管理规定另行制定)。第四条公安机关计算机安全监察管理部门,对计算机系统安全状况进行监察、检查、指导,对危害计算机系统安全的违法犯罪行为进行查处。
公安机关计算机安全监察管理部门对计算机系统安全保卫工作行使下列监督管理职权:
(一)监督、检查管理计算机系统的使用单位(以下简称使用单位)执行有关安全法规、规章的情况。
(二)对违反本规定的行为给予处罚,对危害计算机系统安全的违法行为进行查处。
(三)对计算机系统进行安全验收,建立计算机年检制度。
(四)对计算机销售市场进行安全管理、技术认证和产品公证,受理用户的投诉并进行裁决。
(五)计算机系统安全监督的其它职责。第五条计算机系统的安全管理,实行统一管理与分级负责、积极预防与应急处理、安全管理与安全监察相结合的原则。制定各项安全管理和防范制度。对外出租或提供服务的,应当制定相应的安全保护制度。第六条计算机网络中心(站)的主管部门负责全网络的安全管理工作。统一向公安机关计算机安全监察部门办理所属使用单位的计算机系统的登记备案事项,领取《呼和浩特市计算机安全运行证》。
计算机销售单位(以下简称经营单位)必须在公安机关计算机安全监察管理部门造册登记,领取《呼和浩特市计算机经营部门安全技术合格证》。第七条使用单位和经营单位必须建立安全管理机构,并根据实际需要指定负责计算机系统安全的专职人员或兼职人员。
公安机关计算机安全监察管理部门负责对计算机系统工作人员进行安全培训和考核,对信息处理活动和安全措施的效力进行经常性的审计、监督,确保各项安全措施的落实。第八条计算机系统的研制、生产、开发、经销、使用等各环节,应遵循国家计算机安全标准和安全规范。第九条使用单位、经营单位,除执行本规定外,还须执行《呼和浩特市计算机病毒控制管理办法》、《计算站场地技术要求》(GB2887-82)和《计算站场地安全要求》(GB9361-88)。第十条计算机系统实行安全等级保护制度。使用单位应当根据国家有关规定,确定本计算机系统的安全等级、机房的安全类别、温度和尘埃级别。重要计算机系统的等级、类别、级别的确定和变更,须由使用单位报主管部门批准,并报公安机关计算机安全监察管理部门备案。第十一条使用单位应选调政治素质好、组织纪律性强、熟悉业务的工作人员,并经相应的安全培训、考核合格后,方可上岗工作。
对不适合在计算机系统工作的人员,应及时调离,并做好调离人员的有关安全工作。第十二条使用单位应建立严格的运行审批制度和日常管理制度,未经上级主管部门审定和批准的任何程序和指令,不得装入计算机系统运行。第十三条计算机系统工作及有关人员应严格遵守计算机系统的安全规定,严禁利用工作之便危害计算机系统的安全。第十四条使用单位应建立机房及其它重要区域的出入制度。建立硬件、软件、网络、媒体的使用和维护制度。第十五条使用单位对计算机系统数据流程的各环节应采取严格控制措施,制定数据采集、分类、校验、输入、存储、处理、加密、输出、传输、删除、使用等安全控制规程。数据文件的建立、修改、更新、删除、复制、使用,必须有完备的手续并按授权范围进行。严禁非授权人员接触和使用计算机系统资源。第十六条重要计算机系统的操作系统、数据库系统、网络系统应具备保护系统自身功能和信息功能;具有对非法存取活动进行监控、记录和报警功能;对用户及其权限应具备严格的鉴别措施。第十七条重要的计算机系统应配备上级主管部门认可的密码系统和具备周密的应急方案,保证在非正常中断时有迅速恢复的能力。
H. 黑龙江省计算机信息系统安全管理暂行规定
第一条为保护计算机信息系统的安全,维护国家和社会公共利益,促进计算机的应用和发展,根据国家有关规定,结合我省实际情况,制定本规定。第二条计算机信息系统(以下简称计算机系统)是指计算机及其相关和配套的设备、设施、信息及工作人员构成的信息处理系统(含单关系统)。
计算机系统安全是指避免各种非故意的错误与损坏,防止计算机系统及数据被非法利用或破坏,保证计算机系统正常运行。第三条本规定适用于本省境内建立和应用计算机系统的单位和个人。第四条各级公安计算机安全监察部门负责对计算机系统安全实行监察。党政机关、金融部门和计算中心(站)网络系统的安全作为监察工作的重点;对用于教学、工业过程控制、辅助设计和个人等不存有重要信息的计算机系统实行登记管理。第五条计算机系统安全管理,实行统一管理与分工负责、积极预防与应急处理、安全管理与安全监察相结合的原则和主管部门统一领导、经管单位全面负责的安全管理责任制。第六条公安计算机安全监察部门的主要职责是:
(一)督促计算机系统的主管部门、经营单位和个人,执行有关安全法规、规范;
(二)对计算机系统的主管部门、经管单位和个人的安全管理工作及计算机系统安全状况进行监督、检查、指导,并做好计算机系统安全的技术服务工作;
(三)对危害计算机系统安全的违法行为进行查处;
(四)办理计算机系统安全审查、登记、备案等手续;
(五)办理与计算系统安全监察有关的其他事项。第七条计算机网络中心(站)的主管部门,负责全网络的安全管理工作;经管单位负责本单位计算机系统的安全管理工作。第八条计算机系统的主管部门和经管单位的主要领导同志应主管计算机系统安全工作,并建立由主要领导同志参加的安全管理组织。
安全管理组织负责计算机系统的安全教育、风险分析、对策研究,检查安全法规、规范、制度的执行情况,对信息处理活动和安全措施的效力进行经常性的内部审计监督,确保各项安全措施的落实。第九条建立计算机系统的部门、单位和个人,应向公安计算机安全监察部门申报,经安全检查合格,办理登记手续后,方可使用;已建立、应用计算机系统的部门、单位和个人,应在期限内补办登记手续。第十条建立计算中心(站)和金融等重要部门建立计算机网络系统,应向当地公安计算机安全监察部门申请安全审查,报省公安厅计算机安全监察部门同意后,方可使用。第十一条计算机系统的研制、生产、开发、经销、使用等各个环节,应遵守国家计算机安全标准和安全规范。第十二条计算机系统的主管部门,经管单位和个人,应执行《电子计算机系统安全规范》、《计算站场地技术要求》(GB2887-82)和《计算站场地安全要求》(GB9361-88)。
计算机系统的主管部门、经管单位应根据国家有关规定,确定本计算机系统的安全等级(保密等级和可靠性等级)、机房的安全类别、温度、湿度和尘埃级别。重要计算机系统的等级、类别、级别的确定和变更,须由经管单位报主管部门批准,并报公安计算机安全监察部门备案。第十三条计算机系统主管部门和经管单位,应加强对有关工作人员的录用审查,经常考察和定期进行安全教育。重要计算机系统应选调政治素质好,熟悉业务,组织纪律性强的工作人员,并经相应的安全培训、考核合格后,方可上岗工作。
对不适合在计算机系统工作的人员,应及时调离,并做好调离人员的有关安全工作。第十四条主管部门和经管单位应建立严格的运行审批制度和日志管理制度;未经审定和批准的任何程序、指令或数据,不得装入计算机系统运行。第十五条计算机系统的工作人员及有关人员应严格遵守计算机系统的安全规定,严禁利用职权和工作之便危害计算机系统的安全。第十六条主管部门和经管单位应建立机房及其他重要区域的出入制度,建立硬件、软件、网络、媒体的使用和维护制度。第十七条主管部门和经管单位对计算机系统数据流程和各环节应采取严密控制措施,制定数据采集、分类、校验、输入、存储、处理、加密、输出、传输、删除、使用等安全控制规程。数据文件的建立、修改、更新、删除、复制、使用,必须有完备的手续并按授权范围进行。严禁非授权人员接触和使用计算机系统资源。
I. 计算机信息网络国际联网安全保护管理办法(2011修订)
第一章总则第一条为了加强对计算机信息网络国际联网的安全保护,维护公共秩序和社会稳定,根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》和其他法律、行政法规的规定,制定本办法。第二条中华人民共和国境内的计算机信息网络国际联网安全保护管理,适用本办法。第三条公安部计算机管理监察机构负责计算机信息网络国际联网的安全保护管理工作。
公安机关计算机管理监察机构应当保护计算机信息网络国际联网的公共安全,维护从事国际联网业务的单位和个人的合法权益和公众利益。第四条任何单位和个人不得利用国际联网危害国家安全、泄露国家秘密,不得侵犯国家的、社会的、集体的利益和公民的合法权益,不得从事违法犯罪活动。第五条任何单位和个人不得利用国际联网制作、复制、查阅和传播下列信息:
(一)煽动抗拒、破坏宪法和法律、行政法规实施的;
(二)煽动颠覆国家政权,推翻社会主义制度的;
(三)煽动分裂国家、破坏国家统一的;
(四)煽动民族仇恨、民族歧视,破坏民族团结的;
(五)捏造或者歪曲事实,散布谣言,扰乱社会秩序的;
(六)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪的;
(七)公然侮辱他人或者捏造事实诽谤他人的;
(八)损害国家机关信誉的;
(九)其他违反宪法和法律、行政法规的。第六条任何单位和个人不得从事下列危害计算机信息网络安全的活动:
(一)未经允许,进入计算机信息网络或者使用计算机信息网络资源的;
(二)未经允许,对计算机信息网络功能进行删除、修改或者增加的;
(三)未经允许,对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的;
(四)故意制作、传播计算机病毒等破坏性程序的;
(五)其他危害计算机信息网络安全的。第七条用户的通信自由和通信秘密受法律保护。任何单位和个人不得违反法律规定,利用国际联网侵犯用户的通信自由和通信秘密。第二章安全保护责任第八条从事国际联网业务的单位和个人应当接受公安机关的安全监督、检查和指导,如实向公安机关提供有关安全保护的信息、资料及数据文件,协助公安机关查处通过国际联网的计算机信息网络的违法犯罪行为。第九条国际出入口信道提供单位、互联单位的主管部门或者主管单位,应当依照法律和国家有关规定负责国际出入口信道、所属互联网络的安全保护管理工作。第十条互联单位、接入单位及使用计算机信息网络国际联网的法人和其他组织应当履行下列安全保护职责:
(一)负责本网络的安全保护管理工作,建立健全安全保护管理制度;
(二)落实安全保护技术措施,保障本网络的运行安全和信息安全;
(三)负责对本网络用户的安全教育和培训;
(四)对委托发布信息的单位和个人进行登记,并对所提供的信息内容按照本办法第五条进行审核;
(五)建立计算机信息网络电子公告系统的用户登记和信息管理制度;
(六)发现有本办法第四条、第五条、第六条、第七条所列情形之一的,应当保留有关原始记录,并在24小时内向当地公安机关报告;
(七)按照国家有关规定,删除本网络中含有本办法第五条内容的地址、目录或者关闭服务器。第十一条用户在接入单位办理入网手续时,应当填写用户备案表。备案表由公安部监制。第十二条互联单位、接入单位、使用计算机信息网络国际联网的法人和其他组织(包括跨省、自治区、直辖市联网的单位和所属的分支机构),应当自网络正式联通之日起30日内,到所在地的省、自治区、直辖市人民政府公安机关指定的受理机关办理备案手续。
前款所列单位应当负责将接入本网络的接入单位和用户情况报当地公安机关备案,并及时报告本网络中接入单位和用户的变更情况。第十三条使用公用账号的注册者应当加强对公用账号的管理,建立账号使用登记制度。用户账号不得转借、转让。第十四条涉及国家事务、经济建设、国防建设、尖端科学技术等重要领域的单位办理备案手续时,应当出具其行政主管部门的审批证明。
前款所列单位的计算机信息网络与国际联网,应当采取相应的安全保护措施。
J. 关于计算机网络安全制度有哪些
网络安全管理机构和制度 网络安全管理机构和规章制度是网络安全的组织与制度保障。网络安全管理的制度包括人事资源管理、资产物业管理、教育培训、资格认证、人事考核鉴定制度、动态运行机制、日常工作规范、岗位责任制度等。建立健全网络安全管理机构和各项规章制度,需要做好以下几个方面。 1.完善管理机构和岗位责任制 计算机网络系统的安全涉及整个系统和机构的安全、效益及声誉。系统安全保密工作最好由单位主要领导负责,必要时设置专门机构,如安全管理中心SOC等,协助主要领导管理。重要单位、要害部门的安全保密工作分别由安全、保密、保卫和技术部门分工负责。所有领导机构、重要计算机系统的安全组织机构,包括安全审查机构、安全决策机构、安全管理机构,都要建立和健全各项规章制度。 完善专门的安全防范组织和人员。各单位须建立相应的计算机信息系统安全委员会、安全小组、安全员。安全组织成员应由主管领导、公安保卫、信息中心、人事、审计等部门的工作人员组成,必要时可聘请相关部门的专家组成。安全组织也可成立专门的独立、认证机构。对安全组织的成立、成员的变动等应定期向公安计算机安全监察部门报告。对计算机信息系统中发生的案件,应当在规定时间内向当地区(县)级及以上公安机关报告,并受公安机关对计算机有害数据防治工作的监督、检查和指导。 制定各类人员的岗位责任制,严格纪律、管理和分工的原则,不准串岗、兼岗,严禁程序设计师同时兼任系统操作员,严格禁止系统管理员、终端操作员和系统设计人员混岗。 专职安全管理人员具体负责本系统区域内安全策略的实施,保证安全策略的长期有效:负责软硬件的安装维护、日常操作监视,应急条件下安全措施的恢复和风险分析等;负责整个系统的安全,对整个系统的授权、修改、特权、口令、违章报告、报警记录处理、控制台日志审阅负责,遇到重大问题不能解决时要及时向主管领导报告。 安全审计人员监视系统运行情况,收集对系统资源的各种非法访问事件,并对非法事件进行记录、分析和处理。必要时将审计事件及时上报主管部门。 保安人员负责非技术性常规安全工作,如系统周边的警卫、办公安全、出入门验证等。 2.健全安全管理规章制度 建立健全完善的安全管理规章制度,并认真贯彻落实非常重要。常用的网络安全管理规章制度包括以下7个方面: 1)系统运行维护管理制度。包括设备管理维护制度、软件维护制度、用户管理制度、密钥管理制度、出入门卫管理值班制度、各种操作规程及守则、各种行政领导部门的定期检查或监督制度。机要重地的机房应规定双人进出及不准单人在机房操作计算机的制度。机房门加双锁,保证两把钥匙同时使用才能打开机房。信息处理机要专机专用,不允许兼作其他用途。终端操作员因故离开终端必须退出登录画面,避免其他人员非法使用。 2)计算机处理控制管理制度。包括编制及控制数据处理流程、程序软件和数据的管理、拷贝移植和存储介质的管理,文件档案日志的标准化和通信网络系统的管理。 3)文档资料管理。各种凭证、单据、账簿、报表和文字资科,必须妥善保管和严格控制;交叉复核记账;各类人员所掌握的资料要与其职责一致,如终端操作员只能阅读终端操作规程、手册,只有系统管理员才能使用系统手册。 4)操作及管理人员的管理制度。建立健全各种相关人员的管理制度,主要包括: ① 指定具体使用和操作的计算机或服务器,明确工作职责、权限和范围; ② 程序员、系统管理员、操作员岗位分离且不混岗; ③ 禁止在系统运行的机器上做与工作无关的操作; ④ 不越权运行程序,不查阅无关参数; ⑤ 当系统出现操作异常时应立即报告; ⑥ 建立和完善工程技术人员的管理制度; ⑦ 当相关人员调离时,应采取相应的安全管理措施。如人员调离的时马上收回钥匙、移交工作、更换口令、取消账号,并向被调离的工作人员申明其保密义务。 5) 机房安全管理规章制度。建立健全的机房管理规章制度,经常对有关人员进行安全教育与培训,定期或随机地进行安全检查。机房管理规章制度主要包括:机房门卫管理、机房安全工作、机房卫生工作、机房操作管理等。 6)其他的重要管理制度。主要包括:系统软件与应用软件管理制度、数据管理制度、密码口令管理制度、网络通信安全管理制度、病毒的防治管理制度、实行安全等级保护制度、实行网络电子公告系统的用户登记和信息管理制度、对外交流维护管理制度等。 7)风险分析及安全培训 ① 定期进行风险分析,制定意外灾难应急恢复计划和方案。如关键技术人员的多种联络方法、备份数据的取得、系统重建的组织。 ② 建立安全考核培训制度。除了应当对关键岗位的人员和新员工进行考核之外,还要定期进行计算机安全方面的法律教育、职业道德教育和计算机安全技术更新等方面的教育培训。 对于从事涉及国家安全、军事机密、财政金融或人事档案等重要信息的工作人员更要重视安全教育,并应挑选可靠素质好的人员担任。 3.坚持合作交流制度 计算机网络在快速发展中,面临严峻的安全问题。维护互联网安全是全球的共识和责任,网络运营商更负有重要责任,应对此高度关注,发挥互联网积极、正面的作用,包括对青少年在内的广大用户负责。各级政府也有责任为企业和消费者创造一个共享、安全的网络环境,同时也需要行业组织、企业和各利益相关方的共同努力。因此,应当大力加强与相关业务往来单位和安全机构的合作与交流,密切配合共同维护网络安全,及时获得必要的安全管理信息和专业技术支持与更新。国内外也应当进一步加强交流与合作,拓宽网络安全国际合作渠道,建立政府、网络安全机构、行业组织及企业之间多层次、多渠道、齐抓共管的合作机制。 拓展阅读:网络安全技术及应用(第2版)机械工业出版社 贾铁军主编 上海优秀教材奖