內蒙古自治區(qū)計算機信息系統(tǒng)安全保護辦法

第一章?總??則

?第一條 ?為保護計算機信息系統(tǒng)安全，根據《中華人民共和國計算機信息系統(tǒng)安全保護條例》及有關法律法規(guī)，結合自治區(qū)實際，制定本辦法。

?第二條 ?本辦法適用于自治區(qū)行政區(qū)域內計算機信息系統(tǒng)的安全保護。

?第三條 ?旗縣級以上人民政府公安機關主管本行政區(qū)域內計算機信息系統(tǒng)的安全保護工作。

?國家安全機關、保密工作部門、密碼管理部門和其他有關部門在各自職責范圍內做好計算機信息系統(tǒng)的安全保護工作。

?第四條 ?計算機信息系統(tǒng)的安全保護，應當保障計算機及其相關的和配套的設備、設施、網絡的安全，運行環(huán)境的安全，保障信息的安全，保障計算機功能的正常發(fā)揮，以維護計算機信息系統(tǒng)的安全運行。

第二章?安全等級保護

?第五條 ?計算機信息系統(tǒng)實行安全等級保護制度。安全保護等級根據計算機信息系統(tǒng)在國家安全、經濟建設、社會生活中的重要程度，計算機信息系統(tǒng)受到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織合法權益的危害程度等因素確定，分為五級。

?（一）計算機信息系統(tǒng)受到破壞后，可能對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益的，為第一級；

?（二）計算機信息系統(tǒng)受到破壞后，可能對公民、法人和其他組織的合法權益造成嚴重損害，或者可能對社會秩序和公共利益造成損害，但不損害國家安全的，為第二級；

?（三）計算機信息系統(tǒng)受到破壞后，可能對社會秩序和公共利益造成嚴重損害，或者可能對國家安全造成損害的，為第三級；

?（四）計算機信息系統(tǒng)受到破壞后，可能對社會秩序和公共利益造成特別嚴重損害，或者可能對國家安全造成嚴重損害的，為第四級；

?（五）計算機信息系統(tǒng)受到破壞后，可能對國家安全造成特別嚴重損害的，為第五級。

?第六條 ?計算機信息系統(tǒng)運營、使用單位應當遵守下列規(guī)定：

?（一）對計算機信息系統(tǒng)安全保護等級準確定級，并按照等級保護管理規(guī)范和技術標準實施保護；

?（二）新建計算機信息系統(tǒng)的，應當在規(guī)劃、設計階段確定安全保護等級，同步建設符合該安全保護等級要求的信息系統(tǒng)安全保護設施，落實安全保護措施；

?（三）計算機信息系統(tǒng)的結構、處理流程、服務內容等發(fā)生重大變化，或者公安機關要求重新確定等級的，應當重新定級；

?（四）按照計算機信息系統(tǒng)安全保護等級要求，使用符合國家及自治區(qū)規(guī)定并取得國家計算機信息系統(tǒng)安全專用產品銷售許可證的信息安全產品；

?（五）定期對本單位計算機信息系統(tǒng)的安全狀況、保護制度和措施進行自查和整改；

?（六）建立安全保護組織，確定安全管理責任人，指定專職人員負責本單位計算機信息系統(tǒng)的安全管理。

?第七條 ?第二級以上計算機信息系統(tǒng)運營、使用單位，應當自確定安全保護等級之日起30日內，到所在地盟行政公署、設區(qū)的市人民政府公安機關或者其指定的受理機構備案；屬于自治區(qū)統(tǒng)一聯網、跨盟市或者中央駐自治區(qū)、自治區(qū)直屬單位的計算機信息系統(tǒng)，應當到自治區(qū)人民政府公安機關或者其指定的受理機構備案。

?第八條 ?公安機關應當在收到備案材料之日起10個工作日內對報送備案的材料進行審查，對符合等級保護要求的，出具備案證明。對定級不準確或者保護措施不符合技術規(guī)范的，應當書面通知報送單位予以糾正。

?第九條 ?計算機信息系統(tǒng)涉及國家安全、社會公共利益、重大經濟建設等信息的，其運營、使用單位或者主管部門應當選擇符合法定條件的安全等級測評機構，依據國家規(guī)定的技術標準，對計算機信息系統(tǒng)安全等級狀況進行測評。

?第二級以上計算機信息系統(tǒng)建設完成后，經測評合格方可投入使用。

?第十條 ?計算機信息系統(tǒng)確定為第二級保護等級的，應當每兩年至少進行一次系統(tǒng)安全等級測評；確定為第三級的，應當每年至少進行一次系統(tǒng)安全等級測評；確定為第四級以上的，應當每半年至少進行一次系統(tǒng)安全等級測評。

?第十一條 ?從事計算機信息系統(tǒng)安全等級測評工作的機構和人員應當遵守國家規(guī)定。

?申請成立安全等級測評機構的單位應當經自治區(qū)人民政府公安機關初審，并通過公安部信息安全等級保護評估中心的測評能力評估。

?自治區(qū)人民政府公安機關應當加強對安全等級測評機構的監(jiān)督、檢查和指導。

?第十二條 ?旗縣級以上人民政府公安機關應當對計算機信息系統(tǒng)運營、使用單位的信息安全等級保護情況進行檢查。對第三級計算機信息系統(tǒng)每年至少檢查一次，對第四級計算機信息系統(tǒng)每半年至少檢查一次。

?對第五級計算機信息系統(tǒng)，應當由國家指定的專門部門進行檢查。

第三章 安全管理

?第十三條 ?公安機關應當為公眾提供計算機信息系統(tǒng)安全保護指導，開展安全宣傳教育。

?第十四條 ?公安機關對計算機信息系統(tǒng)安全服務機構實行分級管理和推薦制度。

?第十五條 ?計算機信息系統(tǒng)安全服務機構應當向盟市級以上公安機關備案。

?計算機信息系統(tǒng)安全服務機構應當執(zhí)行國家及自治區(qū)有關計算機信息系統(tǒng)安全標準，應當配備適應開展相應安全服務需要、掌握國家及自治區(qū)有關計算機信息系統(tǒng)安全標準的技術人員。

?計算機信息系統(tǒng)安全服務機構及其工作人員不得泄露在開展安全服務過程中獲悉的國家秘密、商業(yè)秘密以及計算機信息系統(tǒng)網絡結構、配置等用戶信息；不得非法占有、使用用戶的信息資源；不得在計算機信息系統(tǒng)中設置隱蔽信道。

?第十六條 ?發(fā)生重大突發(fā)事件，危及國家安全、公共安全、社會穩(wěn)定及重要計算機信息系統(tǒng)安全的緊急情況時，盟市級以上公安機關可以按照有關法律、法規(guī)的規(guī)定，要求有關單位采取相應控制措施。計算機信息系統(tǒng)的運營、使用單位應當服從公安機關和國家指定部門的調度。

?第十七條 ?基礎電信運營企業(yè)和計算機信息系統(tǒng)的運營、使用單位應當接受公安機關的安全監(jiān)督、檢查、指導，并如實提供有關計算機信息系統(tǒng)安全保護的信息資料、互聯網基礎數據及其他數據文件。

?第十八條 ?基礎電信運營企業(yè)等提供互聯網接入服務的單位應當執(zhí)行下列規(guī)定：

?（一）配合公安機關做好接入本網絡聯網單位和用戶的備案工作，真實、準確、完整登記聯網單位和用戶的名稱、性質、有效證件、互聯網地址、裝機地址、上網電話、聯系人等公安機關要求備案的信息，報送同級公安機關，并及時報告本網絡中聯網單位和用戶的變更情況；

?（二）記錄并留存接入本網絡的聯網單位和用戶登錄、退出互聯網時間及主叫號碼、賬號、互聯網地址等上網日志信息，留存時間不少于1年；

?（三）落實相關安全保護技術措施，通過互聯網地址和相關網絡應用信息能夠對應聯網單位和用戶信息；

?（四）協助公安機關查處涉及互聯網的違法犯罪行為，并采取人工值守、遠程聯網查詢等方式提供24小時快速查詢支持；

?（五）協助公安機關對接入本網絡的聯網單位和用戶進行安全宣傳教育，落實安全保護措施；

?（六）互聯網絡拓撲結構、通信協議等擬進行重大調整的，應當報自治區(qū)人民政府公安機關備案后實施。

?第十九條 ?提供互聯網接入服務的單位、提供服務器托管或租賃空間服務的單位、互聯網信息服務提供者及其他有關電信業(yè)務經營者應當建立安全管理制度，采取異常流量和違法信息監(jiān)測等安全保護技術措施，及時發(fā)現危害信息網絡安全、網上傳播違法信息等違法犯罪活動，保留有關原始記錄，及時采取刪除、停止傳輸等措施，并在24小時內向當地公安機關報告。

?第二十條 ?聯網單位和用戶應當采取設置安全性較高的密碼等安全保護措施，定期更改密碼，保障所使用上網賬號的安全。

?基礎電信運營企業(yè)可以采取動態(tài)密碼認證等技術措施為聯網單位和用戶提供互聯網接入服務。

?第二十一條 ?聯網單位和用戶向其他單位、個人提供互聯網上網服務或者與其他單位、個人共用上網線路、賬號的，應當遵守國家有關規(guī)定，并到旗縣級以上人民政府公安機關備案。

?第二十二條 ?提供互聯網上網服務的單位和通過局域網接入互聯網用戶終端在10臺以上的聯網單位應當安裝、運行符合國家及自治區(qū)規(guī)定的安全管理系統(tǒng)。

?第二十三條 ?賓館、酒店、餐廳、機場、車站、閱覽室等提供互聯網上網服務的場所和通過無線方式接入互聯網的地點管理者，應當采取用戶登錄認證安全技術措施，并對上網用戶的身份證等有效證件進行核對、登記。

?第二十四條 ?使用內部網絡地址與互聯網網絡地址轉換方式接入互聯網的聯網單位，應當記錄并留存用戶上網終端硬件地址等信息與內部網絡地址和互聯網網絡地址的對應關系。留存時間不少于1年。

?第二十五條 ?生產、銷售或者提供具有計算機信息系統(tǒng)遠程控制、密碼猜解、漏洞檢測、信息群發(fā)功能的產品和工具的，應當報自治區(qū)人民政府公安機關或者其指定的公安機關備案。

第四章 安全秩序

?第二十六條 ?計算機信息系統(tǒng)的運營、使用單位應當建立并執(zhí)行下列安全管理制度：

?（一）計算機機房安全管理制度；

?（二）安全責任制度；

?（三）病毒、網絡安全漏洞檢測和系統(tǒng)升級制度；

?（四）系統(tǒng)安全風險管理和應急處置制度；

?（五）賬號使用登記和操作權限管理制度；

?（六）安全管理人員崗位工作職責；

?（七）重要設備、介質管理制度；

?（八）信息發(fā)布審查、登記、保存、清除和備份制度；

?（九）信息群發(fā)服務管理制度；

?（十）安全教育和培訓制度；

?（十一）案件、事件報告和協助查處制度；

?（十二）其他與安全保護相關的管理制度。

?第二十七條 ?計算機信息系統(tǒng)的運營、使用單位應當采取下列安全保護技術措施：

?（一）系統(tǒng)重要部分的冗余或者備份措施；

?（二）計算機病毒防治措施；

?（三）網絡攻擊防范和追蹤措施；

?（四）安全審計和預警措施；

?（五）系統(tǒng)運行和用戶使用日志記錄留存1年以上措施；

?（六）記錄用戶賬號、主叫電話號碼和網絡地址措施；

?（七）身份登記和識別確認措施；

?（八）垃圾信息、有害信息的防治、清理措施；

?（九）信息群發(fā)限制措施；

?（十）其他保護計算機信息系統(tǒng)安全的技術措施。

?第二十八條 ?任何單位和個人不得利用計算機信息系統(tǒng)、移動通訊終端制作、傳播、復制下列信息：

?（一）危害國家統(tǒng)一、主權和領土完整的；

?（二）泄露國家秘密，危害國家安全或者損害國家榮譽和利益的；

?（三）煽動民族仇恨、民族歧視，破壞民族團結或者侵害民族風俗、習慣的；

?（四）破壞國家宗教政策，宣揚邪教、封建迷信的；

?（五）散布謠言，發(fā)布虛假信息，擾亂社會秩序，破壞社會穩(wěn)定的；

?（六）煽動聚眾滋事，損害社會公共利益的；

?（七）宣揚淫穢、色情、賭博、暴力、兇殺、恐怖的；

?（八）教唆犯罪或者傳授犯罪方法的；

?（九）散布他人隱私，侮辱、誹謗、恐嚇他人，侵害他人合法權益的；

?（十）從事考試作弊相關活動的；

?（十一）販賣假幣、假證件、假發(fā)票、假冒偽劣商品、槍支彈藥、爆炸物、迷藥、竊聽器和其他法律、法規(guī)禁止流通的物品的；

?（十二）法律、法規(guī)禁止制作、傳播、復制的其他信息。

?第二十九條 ?任何單位和個人不得實施下列行為：

?（一）未經允許，進入計算機信息系統(tǒng)或者非法占有、使用、竊取計算機信息系統(tǒng)資源；

?（二）未經允許，對計算機信息系統(tǒng)功能進行刪除、修改、增加或者干擾；

?（三）未經允許，對計算機信息系統(tǒng)中存儲、處理或者傳輸的數據和應用程序進行刪除、修改或者增加；

?（四）利用計算機信息系統(tǒng)竊取他人賬號和密碼，或者擅自向第三方公開他人賬號和密碼；

?（五）非法截取、篡改、刪除他人電子郵件或者其他數據資料；

?（六）故意制作、傳播計算機病毒、惡意軟件等破壞性程序;

?（七）利用計算機信息系統(tǒng)假冒他人名義制作、傳播信息，或者以其他方式進行網絡詐騙；

?（八）建立或者管理主要用于傳播、交流違法犯罪信息的網站、群組、論壇等；

?（九）允許、放任他人在自己所有或者管理的網站、網頁、群組上發(fā)布第二十八條所禁止的信息；

?（十）為非法網站提供服務器托管、虛擬主機、網絡存儲空間等服務，或者通過投放廣告等方式向其直接、間接提供資金；

?（十一）明知是非法網站，向其提供互聯網接入、通訊傳輸通道、代收費、費用結算等服務；

?（十二）以牟利為目的，在互聯網上散布、刪除信息，侵犯他人合法權益；

?（十三）提供侵入、非法控制計算機信息系統(tǒng)的方法、程序、工具；

?（十四）法律、法規(guī)禁止的其他利用計算機信息系統(tǒng)實施的行為。

第五章 法律責任

?第三十條 ?違反本辦法第六條、第九條、第十條、第十七條、第十八條第一至四項、第十九條、第二十六條、第二十七條規(guī)定的，由公安機關責令限期改正，給予警告，有違法所得的，沒收違法所得；在規(guī)定的限期內未改正的，對單位的主管負責人員和其他直接責任人員處以5000元以下的罰款，對單位處以15000元以下的罰款，可以建議主管部門對相關單位的主要領導給予處分；情節(jié)嚴重的，并可以給予6個月以內停止聯網、停機整頓的處罰。

?第三十一條 ?違反本辦法第十五條第三款規(guī)定的，由公安機關對單位的主管負責人員和其他直接責任人員處以5000元以下的罰款，對單位處以5000元以上15000元以下的罰款；有違法所得的，除沒收違法所得外，可以處以違法所得1至3倍的罰款，但是最高不得超過30000元。

?第三十二條 ?違反本辦法第二十條第一款規(guī)定的，由公安機關責令限期改正，給予警告；在規(guī)定的限期內未改正的，可以給予6個月以內停止聯網、停機整頓的處罰。

?第三十三條 ?違反本辦法第二十二條、第二十三條、第二十四條規(guī)定的，由公安機關責令限期改正，給予警告，有違法所得的，沒收違法所得；在規(guī)定的限期內未改正的，對單位的主管負責人員和其他直接責任人員處以5000元以下的罰款，對單位處以15000元以下的罰款；情節(jié)嚴重的，并可以給予6個月以內停止聯網、停機整頓的處罰。

?第三十四條 ?違反本辦法第二十八條、第二十九條規(guī)定的，由公安機關給予警告，對個人可以并處5000元以下的罰款，對單位可以并處15000元以下的罰款；有違法所得的，除沒收違法所得外，可以處以違法所得1至3倍的罰款，但是最高不得超過30000元；情節(jié)嚴重的，并可以給予6個月以內停止聯網、停機整頓的處罰。

?第三十五條 ?從事計算機信息系統(tǒng)安全等級測評工作的單位和人員有下列行為之一的，由公安機關對單位主管負責人員和其他直接責任人員處以5000元以下的罰款，對單位處以5000元以上15000元以下的罰款；有違法所得的，除沒收違法所得外，可以處以違法所得1至3倍的罰款，但是最高不得超過30000元：

?（一）未通過測評能力評估，從事測評活動的；

?（二）影響被測評計算機信息系統(tǒng)正常運行，危害被測評計算機信息系統(tǒng)安全的；

?（三）擅自向第三方泄露被測評計算機信息系統(tǒng)運營、使用單位秘密和其他信息的；

?（四）故意隱瞞測評過程中發(fā)現的安全問題，或者在測評過程中弄虛作假，未如實出具測評報告的；

?（五）擅自占有、使用測評相關資料及數據文件的；

?（六）分包或者轉包測評項目的；

?（七）從事計算機信息系統(tǒng)安全專用產品的開發(fā)、銷售及信息系統(tǒng)安全集成業(yè)務，或者限定被測評單位購買、使用其指定的信息安全專用產品的；

?（八）其他可能影響測評結果客觀、公正的行為，或者未按照國家規(guī)定開展測評工作的。

?第三十六條 ?違反本辦法規(guī)定，構成違反治安管理行為的，依照《中華人民共和國治安管理處罰法》的規(guī)定處罰；給國家、其他組織或者他人財產造成損失的，應當依法承擔民事責任；構成犯罪的，依法追究刑事責任。

?第三十七條 ?公安機關和其他有關部門及其工作人員有下列行為之一的，對直接負責的主管人員和其他直接責任人員依法給予行政處分；構成犯罪的，依法追究刑事責任。

?（一）利用職權索取、收受賄賂，或者玩忽職守、濫用職權的；

?（二）泄露計算機信息系統(tǒng)運營、使用單位或者個人的有關信息、資料及數據文件的；

?（三）其他不履行法定職責的。

第六章 附 ?則

?第三十八條 ?本辦法所稱的計算機信息系統(tǒng)，是指由計算機及其相關的和配套的設備、設施、網絡構成的，按照一定的應用目標和規(guī)則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)。

?本辦法所稱的信息安全等級測評，是指對計算機信息系統(tǒng)的安全狀況進行測試、評價、判斷。

?本辦法所稱的安全服務機構，是指從事計算機信息系統(tǒng)安全設計、建設、檢測、維護、監(jiān)理、咨詢、培訓等業(yè)務的單位。

?本辦法所稱聯網單位和用戶包括通過計算機或者手機等通訊終端以有線、無線等方式接入互聯網的單位和用戶。

?第三十九條 ?本辦法自2012年2月1日起施行。