辽宁省计算机信息系统安全管理条例
(2013年9月27日辽宁省第十二届人民代表大会常务委员会第四次会议通过)
第一章 总 则
第一条 为了保护计算机信息系统安全,保障公民、法人和其他组织的合法权益,维护国家安全、社会秩序和公共利益,促进计算机应用和信息化建设的健康发展,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律、法规,结合本省实际,制定本条例。
第二条 本条例适用于本省行政区域内计算机信息系统(以下简称信息系统)的安全管理。
存储、处理国家秘密的信息系统为涉密信息系统,按照涉密程度实行分级保护,其安全保密管理按照国家有关保密法律、法规和标准执行。
第三条 省、市、县(含县级市、区,下同)公安机关负责信息系统安全管理工作。
国家安全、电信、保密、密码管理等部门,在各自职责范围内做好信息系统安全管理的有关工作。
第四条 信息系统运营、使用单位应当保障计算机及其相关和配套的设备、设施(含网络)安全,运行环境安全和信息安全,维护信息系统安全运行。
第五条 任何组织和个人不得实施危害信息系统安全的行为,不得利用信息系统从事危害国家安全、社会秩序和公共利益,以及侵害公民、法人和其他组织合法权益的活动。
第六条 省公安机关和省电信主管部门应当建立工作协调机制,完善信息安全保障措施。有关行政部门应当配合公安机关做好惩治侵害信息系统安全违法犯罪的工作。
第二章 安全等级保护
第七条 信息系统实行安全等级保护制度。根据信息系统的重要程度和信息系统受到破坏后对国家安全、社会秩序和公共利益,以及公民、法人和其他组织的合法权益的危害程度等因素,分为下列五级:
(一)信息系统受到破坏后,将对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益的,为第一级;
(二)信息系统受到破坏后,将对公民、法人和其他组织的合法权益造成严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全的,为第二级;
(三)信息系统受到破坏后,将对社会秩序和公共利益造成严重损害,或者对国家安全造成损害的,为第三级;
(四)信息系统受到破坏后,将对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害的,为第四级;
(五)信息系统受到破坏后,将对国家安全造成特别严重损害的,为第五级。
第八条 信息系统运营、使用单位应当依据国家信息系统安全等级保护管理规范和技术标准,按照自主定级、自主保护、履行义务、承担责任的原则,确定信息系统安全保护等级。
跨省或者全国统一联网运行的信息系统,可以由信息系统运营、使用单位的主管部门统一确定安全保护等级。
第九条 信息系统运营、使用单位应当按照国家信息系统安全等级保护的有关技术规范,建立安全管理制度,落实安全保护技术措施,确定责任机构和人员。
第十条 信息系统运营、使用单位应当在规划、设计阶段,确定信息系统的安全保护等级,同步建设符合该安全保护等级要求的安全设施,使用符合国家有关规定并能够满足安全保护等级要求的技术产品。
对已经投入运行但不符合安全保护等级要求的,应当采取技术措施补救或者改建。
第十一条 有下列情形之一的,信息系统运营、使用单位应当到所在地公安机关备案:
(一)已投入运行的第二级以上的信息系统,应当在安全保护等级确定后三十日内,到市公安机关备案;新建成的第二级以上的信息系统,应当在投入运行后三十日内,到市公安机关备案;
(二)属于跨省或者全国统一联网运行的信息系统在本省运行、应用的分支系统以及省直单位信息系统,由省电信主管部门、省直单位到省公安机关备案,但省级分支机构的上级主管部门已到国务院有关部门备案的除外;
(三)属于因信息系统的结构、处理流程、服务内容等发生重大变化,导致安全保护等级变更的,应当自变更之日起三十日内,到原受理备案的公安机关重新备案。
公安机关应当自收到备案材料之日起十个工作日内进行审核。符合安全等级保护要求的,颁发《信息系统安全等级保护备案证明》;不符合安全等级保护要求的,书面告知并说明理由。
第十二条 信息系统运营、使用单位应当按照国家有关规定和技术标准,开展信息系统安全等级保护测评和自查工作。
信息系统运营、使用单位应当将等级测评报告存档备查,同时到受理备案的公安机关备案。
未达到安全等级保护要求的,信息系统运营、使用单位应当及时进行整改。
第十三条 第三级以上信息系统应当选择符合国家规定条件的等级测评机构进行测评。
从事测评业务的机构和人员应当符合国家规定的条件。
从事测评业务的机构和人员不得从事下列活动:
(一)擅自使用或者泄露、出售测评工作中接触的信息和资料;
(二)涂改、出售、出租或者转让资质证书;
(三)违反国家有关测评规定的其他行为。
第十四条 对于第二级以上信息系统,其信息系统运营、使用单位应当制定信息安全事件应急处置预案。发生安全事件时,应当按照应急处置预案的要求及时采取相应的处置措施,保留有关原始记录,并在二十四小时内向受理其备案的公安机关报告。
信息安全事件的等级和具体认定标准,由省公安机关会同省政府有关部门制定。国家另有规定的,从其规定。
第十五条 受理备案的公安机关对第三级信息系统,应当每年检查一次;对第四级信息系统,应当每半年检查一次;对第五级信息系统,按照国家特殊安全需要的有关规定进行检查。
对跨省或者全国统一联网运行的信息系统,应当会同其主管部门进行检查。
第十六条 公安机关实施检查的内容包括下列事项:
(一)安全需求是否发生变化,原定保护等级是否准确;
(二)信息系统运营、使用单位安全管理制度、措施的落实情况;
(三)信息系统运营、使用单位及其主管部门对信息系统安全状况的检查情况;
(四)安全等级测评是否符合要求;
(五)信息安全产品使用是否符合要求;
(六)信息系统安全整改情况;
(七)备案材料与信息系统运营、使用单位是否符合;
(八)法律、法规规定的其他事项。
第十七条 信息系统运营、使用单位应当接受公安机关的监督检查和指导,按规定如实提供下列信息系统资料:
(一)运行状况记录;
(二)安全保护组织、人员情况;
(三)安全管理制度、措施变更情况;
(四)备案事项变更情况;
(五)安全状况自查记录;
(六)等级测评报告;
(七)信息安全产品使用的变更情况;
(八)信息安全事件应急预案和应急处置结果报告;
(九)信息系统安全建设、整改结果报告。
第十八条 公安机关在检查中发现信息系统安全保护状况不符合信息安全等级保护管理规范和技术标准的,应当向运营、使用单位发出书面整改通知。
信息系统运营、使用单位应当根据整改通知要求,按照管理规范和技术标准及时进行整改。整改完成后,应当将整改报告报公安机关备案。根据实际需要,公安机关可以对整改情况进行检查。
第三章 信息安全和运行环境安全
第十九条 任何单位和个人不得利用信息系统制作、复制、发布和传播下列信息:
(一)反对宪法确定的基本原则的;
(二)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;
(三)损害国家荣誉和利益的;
(四)煽动民族仇恨、民族歧视,破坏民族团结的;
(五)破坏国家宗教政策,宣扬邪教、封建迷信的;
(六)散布谣言,煽动非法聚集,扰乱社会秩序,破坏社会稳定的;
(七)宣扬淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪,或者交易、制造违禁品、管制物品的;
(八)侮辱或者诽谤他人,侵害他人合法权益的;
(九)法律、法规禁止的其他内容。
第二十条 互联网服务提供者和联网使用单位应当建立信息审核制度,明确审核人员,发现本条例第十九条禁止的违法信息,应当先行保存有关记录,及时采取删除、停止传输等处置措施,并向公安机关等有关部门报告。
公安机关查处涉嫌违法犯罪行为时,互联网服务提供者和联网使用单位应当提供有关信息、资料、数据文件和原始记录。
第二十一条 任何单位和个人不得利用信息系统实施下列行为:
(一)未经允许侵入信息系统;
(二)非法获取、使用信息系统资源或者对信息系统实施非法控制;
(三)擅自向第三方公开他人电子邮箱地址和其他个人信息资料;
(四)窃取他人账号和密码,或者擅自向第三方公开他人账号和密码;
(五)未经允许,对计算机信息系统功能进行删除、修改、增加或者干扰;
(六)未经允许,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改或者增加;
(七)提供专门用于实施侵入、非法控制信息系统的程序、工具;
(八)故意制作、传播计算机病毒以及其他破坏性程序;
(九)其他危害信息系统安全的行为。
第四章 法律责任
第二十二条 信息系统运营、使用单位违反本条例第八条、第十一条第一款规定的,由公安机关给予警告,责令限期改正;情节严重的,给予三个月停止联网、停机整顿处罚。
第二十三条 第三级以上信息系统运营、使用单位违反本条例第九条规定,未按照国家信息系统安全等级保护的有关技术规范,建立安全管理制度,落实安全保护技术措施,确定责任机构和人员的,由公安机关给予警告,责令限期改正;逾期不改正的,可以处一万五千元罚款;情节严重的,给予三个月停止联网、停机整顿处罚,必要时由发证部门依法吊销经营许可证或者取消相关资格。
第二十四条 第三级以上信息系统运营、使用单位违反本条例第十条、第十三条第一款规定,未使用符合国家有关规定并能够满足安全保护等级要求的技术产品或者未选择符合国家规定条件的等级测评机构进行测评的,由公安机关和有关部门按照职责分工责令其限期改正;逾期不改正的,给予警告。
第二十五条 从事测评业务的机构违反本条例第十三条第二款、第三款规定的,由公安机关给予警告,责令限期改正。
第二十六条 单位和个人违反本条例规定,利用信息系统制作、复制、发布、传播本条例第十九条内容的,由公安机关给予警告,责令改正;情节严重的,给予六个月停止联网、停机整顿处罚,必要时由发证部门依法吊销经营许可证或者取消相关资格;构成治安管理处罚的,依照《中华人民共和国治安管理处罚法》的规定处罚;构成犯罪的,依法追究刑事责任。
第二十七条 互联网服务提供者和联网使用单位违反本条例第二十条规定的,由公安机关给予警告,责令限期改正;情节严重的,给予三个月停止联网、停机整顿处罚。
第二十八条 单位和个人违反本条例第二十一条规定的,由公安机关给予警告,有违法所得的,没收违法所得,对单位可以并处一万五千元罚款,对个人可以并处五千元罚款;情节严重的,给予三个月停止联网、停机整顿处罚,必要时由发证部门依法吊销经营许可证或者取消相关资格;构成治安管理处罚的,依照《中华人民共和国治安管理处罚法》的规定处罚;构成犯罪的,依法追究刑事责任。
第二十九条 公安机关和其他有关部门及其工作人员有下列情形之一的,对主管人员和直接责任人员给予行政处分;构成犯罪的,依法追究刑事责任:
(一)利用职权索取、收受贿赂,或者不履行法定职责的;
(二)泄露信息系统运营、使用单位或者个人的有关信息、资料及数据文件的;
(三)有其他徇私舞弊、玩忽职守、滥用职权行为的。
第五章 附 则
第三十条 本条例自2013年12月1日起施行。1998年5月29日辽宁省第九届人民代表大会常务委员会第二次会议通过的《辽宁省计算机信息系统安全管理条例》同时废止。