江西省人民政府令第135号

    《江西省计算机信息系统安全保护办法》已经2004年9月7日省人民政府第25次常务会议审议通过,现予公布,自2004年11月1日起施行。

　　第一条
　　为了保护计算机信息系统的安全，促进计算机的应用和发展，维护国家利益和社会公共利益，根据《中华人民共和国计算机信息系统安全保护条例》等有关规定，结合本省实际，制定本办法。
　　第二条
　　本办法所称的计算机信息系统，是指由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
　　第三条
　　本省行政区域内的计算机信息系统的安全保护，适用本办法。
　　未联网的微型计算机的安全保护办法，按国家有关规定执行。
　　第四条
　　计算机信息系统的安全保护工作，重点维护下列涉及国家事务、经济建设、国防建设、尖端科学技术等重要领域、重点单位的计算机信息系统的安全：
　　（一）县级以上国家机关、国防单位；
　　（二）银行、保险、证券等金融领域；
　　（三）邮政、电信、广播、电视领域；
　　（四）能源、交通领域；
　　（五）国家及省重点科研单位；
　　（六）重点网站；
　　（七）国家规定的其他重要领域、重点单位。
　　第五条
　　公安机关是计算机信息系统安全保护工作的主管部门，其主要职责是：
　　（一）宣传计算机信息系统安全保护法律、法规、规章；
　　（二）监督、检查、指导计算机信息系统安全保护工作；
　　（三）组织培训计算机信息系统安全管理人员；
　　（四）查处危害计算机信息系统安全的违法犯罪案件；
　　（五）对重要领域、重点单位的计算机信息系统的建设工程进行安全指导；
　　（六）负责计算机病毒和其他有害数据的防治管理工作；
　　（七）监督、检查计算机信息系统安全专用产品的销售活动；
　　（八）依法应当履行的其他职责。国家安全机关、国家保密机关和政府其他有关部门，在规定的职责范围内做好计算机信息系统安全保护的有关工作。
　　第六条
　　计算机信息系统的建设和应用，应当遵守法律、法规和国家其他有关规定。
　　重要领域、重点单位新建的计算机信息系统，应当在系统建成后30日内由系统建设单位报同级人民政府公安机关备案。
　　第七条
　　计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，按照国家有关规定执行。
　　第八条
　　计算机信息系统国际联网实行备案制度。使用计算机信息网络国际联网的公民、法人和其他组织，在接入单位办理入网手续时应当填写用户备案表。接入单位应当自网络正式联通之日起30日内，到省公安机关指定的受理单位办理备案手续，并定期报告本网络中用户的变更情况。
　　第九条
　　重要领域、重点单位的计算机信息系统使用单位应当建立计算机信息系统安全管理组织，指定安全管理人员。
　　安全管理组织及安全管理人员负责对计算机信息系统运行情况和运行环境进行检查，编制运行日志，及时消除安全隐患，对可能遭受的侵害和破坏制定应急处置预案。
　　安全管理人员应当参加公安机关组织的计算机信息系统安全知识培训。
　　第十条
　　重要领域、重点单位的计算机信息系统使用单位应当建立下列安全保护管理制度：
　　（一）计算机机房安全管理制度；
　　（二）信息发布审核、登记制度；
　　（三）信息监视、保存、清除和备份制度；
　　（四）病毒检测和网络安全漏洞检测制度；
　　（五）账号使用登记和操作权限管理制度；
　　（六）安全教育和培训制度；
　　（七）违法案件报告和协助查处制度；
　　（八）其他与安全保护相关的管理制度。
　　第十一条
　　重要领域、重点单位的计算机信息系统使用单位应当落实下列安全保护技术措施：
　　（一）60日以上系统网络运行日志和用户使用日志记录保存措施；
　　（二）安全审计和预警措施；
　　（三）垃圾邮件清理措施；
　　（四）身份登记和识别确认措施；
　　（五）计算机病毒防治措施；
　　（六）信息群发限制和有害数据防治措施；
　　（七）国家规定的其他安全技术措施。
　　第十二条
　　互联网上网服务营业场所经营单位在开业前，必须依法经县级以上人民政府公安机关对信息网络安全予以审核合格，并依法取得有关部门颁发的证照。
　　互联网上网服务营业场所经营单位应当依法履行计算机信息系统安全保护义务，不得擅自停止实施安全技术措施。
　　第十三条
　　任何单位和个人不得利用国际联网从事下列危害计算机信息网络安全的活动：
　　（一）制作、复制、发布、传播有害信息；
　　（二）未经允许，对计算机信息网络功能进行删除、修改或者增加；
　　（三）未经允许，对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加；
　　（四）故意制作、传播计算机病毒等破坏性程序；
　　（五）危害计算机信息网络安全的其他行为。
　　第十四条
　　设区市以上人民政府公安机关应当在网站或者其他媒体上及时发布计算机病毒疫情预报。
　　其他任何单位和个人不得以任何方式发布计算机病毒疫情。
　　第十五条
　　对计算机信息系统中发生的违法案件，使用单位发现后应当迅速采取措施，保护现场和相关资料，并在24小时内向县级以上人民政府公安机关报告。公安机关接到报告后应当立即采取措施进行处置。涉及国家安全的，由国家安全机关依法进行处置。
　　对计算机信息系统中发生的违法案件和重大安全事故的有关情况，县级以上人民政府公安机关应当及时向使用单位通报。
　　第十六条
　　公安机关应当对计算机信息系统进行不定期安全检查，发现安全隐患时，应当及时向使用单位发出《计算机信息系统安全隐患整改通知书》，并提出改进意见，指导、督促使用单位限期整改，消除隐患。
　　第十七条
　　公安机关为保护计算机信息系统安全，在下列紧急情况下，可以采取24小时内暂时停机、暂停联网、备份数据等措施，有关单位和个人应当如实提供有关信息和资料，并提供相关技术支持和必要的协助：
　　（一）计算机信息系统遭恶意攻击导致系统瘫痪的；
　　（二）计算机信息系统遭病毒感染导致系统瘫痪的；
　　（三）通过计算机信息系统向外大量发送有害信息的；
　　（四）在对计算机信息系统中发生的案件进行侦察过程中，证据可能灭失或者以后难以取得的；
　　（五）其他应当采取紧急措施的情况。
　　县级以上人民政府公安机关采取前款规定的紧急措施前，应当报经本机关主要负责人批准。
　　第十八条
　　计算机信息系统安全专用产品生产者在其产品进入市场销售之前，应当依法取得公安部颁发的《计算机信息系统安全专用产品销售许可证》，并在其产品的固定位置标明“销售许可”标记。
　　任何单位和个人不得销售无“销售许可”标记的安全专用产品。
　　从事计算机信息系统安全专用产品经营的，应当在开业后30日内报设区市以上人民政府公安机关备案。
　　第十九条
　　设区市以上人民政府公安机关负责计算机信息系统安全专用产品销售许可证的监督检查工作，对销售计算机信息系统安全专用产品的单位和个人，可以采取验证检查和抽样检测等监督措施。
　　对商用密码的管理，按照国务院《商用密码管理条例》的规定执行。
　　第二十条
　　重要领域、重点单位新建的计算机信息系统未在规定期限内备案的，由公安机关责令限期改正；逾期不改正的，处以1000元以下罚款。
　　第二十一条
　　重要领域、重点单位的计算机信息系统使用单位违反本办法第九条规定的，由公安机关责令限期整改；逾期不整改的，公安机关可以处以6个月以内停机整顿。
　　第二十二条
　　重要领域、重点单位的计算机信息系统使用单位违反本办法第十条、第十一条规定的，由公安机关责令限期改正，给予警告；逾期不改正的，对单位直接负责的主管人员和其他直接责任人员可以并处5000元以下罚款，对单位可以并处15000元以下罚款；情节严重的，可以并处6个月以内停止联网、停机整顿。
　　第二十三条
　　利用国际联网从事本办法第十三条所列活动的，由公安机关给予警告，有违法所得的，没收违法所得，对个人可以并处5000元以下罚款，对单位可以并处15000元以下罚款；情节严重的，可以并处6个月以内停止联网、停机整顿；违反治安管理规定的，依法予以治安处罚；构成犯罪的，依法追究刑事责任。
　　第二十四条
　　计算机信息系统安全专用产品经营者销售无“销售许可”标记的安全专用产品，或者未按照本办法的要求在规定期限内办理备案手续的，由公安机关责令限期改正；逾期不改正的，处以1000元以上5000元以下罚款。
　　第二十五条
　　违反本办法规定的其他行为，国家另有处罚规定的，从其规定。
　　第二十六条
　　公安人员在计算机信息系统安全保护工作中，利用职权索取、收受贿赂或者有其他违法、失职行为，构成犯罪的，依法追究刑事责任；尚不构成犯罪的，依法给予行政处分。
　　第二十七条
　　本办法下列用语的含义为：计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。
　　有害数据，是指计算机信息系统及其存储介质中存在、出现的，危害计算机信息系统安全运行和功能发挥的程序，或者对国家安全和社会公共安全构成危害或者潜在威胁的信息。
　　接入单位，是指负责接入国际联网的计算机信息网络运行单位。
　　计算机信息系统安全专用产品，是指用于保护计算机信息系统安全的专用硬件和软件产品。
　　第二十八条
　　军队的计算机信息系统安全保护工作，按照军队的有关法规执行。
　　第二十九条
　　计算机信息系统的保密管理，依照国家和省的有关规定执行。
　　第三十条本办法自2004年11月1日起施行。