遼寧省計算機信息系統(tǒng)安全管理條例

　　遼寧省人民代表大會常務(wù)委員會公告

　　第5號

　　《遼寧省計算機信息系統(tǒng)安全管理條例》已由遼寧省第十二屆人民代表大會常務(wù)委員會第四次會議于2013年9月27日審議通過，現(xiàn)予公布。本條例自2013年12月1日起施行。

　　遼寧省人民代表大會常務(wù)委員會

　　2013年9月27日

　　遼寧省計算機信息系統(tǒng)安全管理條例

　　2013年9月27日遼寧省第十二屆人民代表大會常務(wù)委員會第四次會議通過

　　第一章　總 　則

　　第一條 為了保護計算機信息系統(tǒng)安全，保障公民、法人和其他組織的合法權(quán)益，維護國家安全、社會秩序和公共利益，促進計算機應(yīng)用和信息化建設(shè)的健康發(fā)展，根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》等有關(guān)法律、法規(guī)，結(jié)合本省實際，制定本條例。

　　第二條 本條例適用于本省行政區(qū)域內(nèi)計算機信息系統(tǒng)(以下簡稱信息系統(tǒng))的安全管理。

　　存儲、處理國家秘密的信息系統(tǒng)為涉密信息系統(tǒng)，按照涉密程度實行分級保護，其安全保密管理按照國家有關(guān)保密法律、法規(guī)和標準執(zhí)行。

　　第三條　省、市、縣(含縣級市、區(qū)，下同)公安機關(guān)負責(zé)信息系統(tǒng)安全管理工作。

　　國家安全、電信、保密、密碼管理等部門，在各自職責(zé)范圍內(nèi)做好信息系統(tǒng)安全管理的有關(guān)工作。

　　第四條 信息系統(tǒng)運營、使用單位應(yīng)當(dāng)保障計算機及其相關(guān)和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))安全，運行環(huán)境安全和信息安全，維護信息系統(tǒng)安全運行。

　　第五條 任何組織和個人不得實施危害信息系統(tǒng)安全的行為，不得利用信息系統(tǒng)從事危害國家安全、社會秩序和公共利益，以及侵害公民、法人和其他組織合法權(quán)益的活動。

　　第六條 省公安機關(guān)和省電信主管部門應(yīng)當(dāng)建立工作協(xié)調(diào)機制，完善信息安全保障措施。有關(guān)行政部門應(yīng)當(dāng)配合公安機關(guān)做好懲治侵害信息系統(tǒng)安全違法犯罪的工作。

　　第二章　安全等級保護

　　第七條 信息系統(tǒng)實行安全等級保護制度。根據(jù)信息系統(tǒng)的重要程度和信息系統(tǒng)受到破壞后對國家安全、社會秩序和公共利益，以及公民、法人和其他組織的合法權(quán)益的危害程度等因素，分為下列五級：

　　(一)信息系統(tǒng)受到破壞后，將對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益的，為第一級;

　　(二)信息系統(tǒng)受到破壞后，將對公民、法人和其他組織的合法權(quán)益造成嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全的，為第二級;

　　(三)信息系統(tǒng)受到破壞后，將對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害的，為第三級;

　　(四)信息系統(tǒng)受到破壞后，將對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害的，為第四級;

　　(五)信息系統(tǒng)受到破壞后，將對國家安全造成特別嚴重損害的，為第五級。

　　第八條 信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家信息系統(tǒng)安全等級保護管理規(guī)范和技術(shù)標準，按照自主定級、自主保護、履行義務(wù)、承擔(dān)責(zé)任的原則，確定信息系統(tǒng)安全保護等級。

　　跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)，可以由信息系統(tǒng)運營、使用單位的主管部門統(tǒng)一確定安全保護等級。

　　第九條 信息系統(tǒng)運營、使用單位應(yīng)當(dāng)按照國家信息系統(tǒng)安全等級保護的有關(guān)技術(shù)規(guī)范，建立安全管理制度，落實安全保護技術(shù)措施，確定責(zé)任機構(gòu)和人員。

　　第十條 信息系統(tǒng)運營、使用單位應(yīng)當(dāng)在規(guī)劃、設(shè)計階段，確定信息系統(tǒng)的安全保護等級，同步建設(shè)符合該安全保護等級要求的安全設(shè)施，使用符合國家有關(guān)規(guī)定并能夠滿足安全保護等級要求的技術(shù)產(chǎn)品。

　　對已經(jīng)投入運行但不符合安全保護等級要求的，應(yīng)當(dāng)采取技術(shù)措施補救或者改建。

　　第十一條 有下列情形之一的，信息系統(tǒng)運營、使用單位應(yīng)當(dāng)?shù)剿诘毓矙C關(guān)備案：

　　(一)已投入運行的第二級以上的信息系統(tǒng)，應(yīng)當(dāng)在安全保護等級確定后三十日內(nèi)，到市公安機關(guān)備案;新建成的第二級以上的信息系統(tǒng)，應(yīng)當(dāng)在投入運行后三十日內(nèi)，到市公安機關(guān)備案;

　　(二)屬于跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)在本省運行、應(yīng)用的分支系統(tǒng)以及省直單位信息系統(tǒng)，由省電信主管部門、省直單位到省公安機關(guān)備案，但省級分支機構(gòu)的上級主管部門已到國務(wù)院有關(guān)部門備案的除外;

　　(三)屬于因信息系統(tǒng)的結(jié)構(gòu)、處理流程、服務(wù)內(nèi)容等發(fā)生重大變化，導(dǎo)致安全保護等級變更的，應(yīng)當(dāng)自變更之日起三十日內(nèi)，到原受理備案的公安機關(guān)重新備案。

　　公安機關(guān)應(yīng)當(dāng)自收到備案材料之日起十個工作日內(nèi)進行審核。符合安全等級保護要求的，頒發(fā)《信息系統(tǒng)安全等級保護備案證明》;不符合安全等級保護要求的，書面告知并說明理由。

　　第十二條 信息系統(tǒng)運營、使用單位應(yīng)當(dāng)按照國家有關(guān)規(guī)定和技術(shù)標準，開展信息系統(tǒng)安全等級保護測評和自查工作。

　　信息系統(tǒng)運營、使用單位應(yīng)當(dāng)將等級測評報告存檔備查，同時到受理備案的公安機關(guān)備案。

　　未達到安全等級保護要求的，信息系統(tǒng)運營、使用單位應(yīng)當(dāng)及時進行整改。

　　第十三條　第三級以上信息系統(tǒng)應(yīng)當(dāng)選擇符合國家規(guī)定條件的等級測評機構(gòu)進行測評。

　　從事測評業(yè)務(wù)的機構(gòu)和人員應(yīng)當(dāng)符合國家規(guī)定的條件。

　　從事測評業(yè)務(wù)的機構(gòu)和人員不得從事下列活動：

　　(一)擅自使用或者泄露、出售測評工作中接觸的信息和資料;

　　(二)涂改、出售、出租或者轉(zhuǎn)讓資質(zhì)證書;

　　(三)違反國家有關(guān)測評規(guī)定的其他行為。

　　第十四條 對于第二級以上信息系統(tǒng)，其信息系統(tǒng)運營、使用單位應(yīng)當(dāng)制定信息安全事件應(yīng)急處置預(yù)案。發(fā)生安全事件時，應(yīng)當(dāng)按照應(yīng)急處置預(yù)案的要求及時采取相應(yīng)的處置措施，保留有關(guān)原始記錄，并在二十四小時內(nèi)向受理其備案的公安機關(guān)報告。

　　信息安全事件的等級和具體認定標準，由省公安機關(guān)會同省政府有關(guān)部門制定。國家另有規(guī)定的，從其規(guī)定。

　　第十五條　受理備案的公安機關(guān)對第三級信息系統(tǒng)，應(yīng)當(dāng)每年檢查一次;對第四級信息系統(tǒng)，應(yīng)當(dāng)每半年檢查一次;對第五級信息系統(tǒng)，按照國家特殊安全需要的有關(guān)規(guī)定進行檢查。

　　對跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)，應(yīng)當(dāng)會同其主管部門進行檢查。

　　第十六條　公安機關(guān)實施檢查的內(nèi)容包括下列事項：

　　(一)安全需求是否發(fā)生變化，原定保護等級是否準確;

　　(二)信息系統(tǒng)運營、使用單位安全管理制度、措施的落實情況;

　　(三)信息系統(tǒng)運營、使用單位及其主管部門對信息系統(tǒng)安全狀況的檢查情況;

　　(四)安全等級測評是否符合要求;

　　(五)信息安全產(chǎn)品使用是否符合要求;

　　(六)信息系統(tǒng)安全整改情況;

　　(七)備案材料與信息系統(tǒng)運營、使用單位是否符合;

　　(八)法律、法規(guī)規(guī)定的其他事項。

　　第十七條　信息系統(tǒng)運營、使用單位應(yīng)當(dāng)接受公安機關(guān)的監(jiān)督檢查和指導(dǎo)，按規(guī)定如實提供下列信息系統(tǒng)資料：

　　(一)運行狀況記錄;

　　(二)安全保護組織、人員情況;

　　(三)安全管理制度、措施變更情況;

　　(四)備案事項變更情況;

　　(五)安全狀況自查記錄;

　　(六)等級測評報告;

　　(七)信息安全產(chǎn)品使用的變更情況;

　　(八)信息安全事件應(yīng)急預(yù)案和應(yīng)急處置結(jié)果報告;

　　(九)信息系統(tǒng)安全建設(shè)、整改結(jié)果報告。

　　第十八條　公安機關(guān)在檢查中發(fā)現(xiàn)信息系統(tǒng)安全保護狀況不符合信息安全等級保護管理規(guī)范和技術(shù)標準的，應(yīng)當(dāng)向運營、使用單位發(fā)出書面整改通知。

　　信息系統(tǒng)運營、使用單位應(yīng)當(dāng)根據(jù)整改通知要求，按照管理規(guī)范和技術(shù)標準及時進行整改。整改完成后，應(yīng)當(dāng)將整改報告報公安機關(guān)備案。根據(jù)實際需要，公安機關(guān)可以對整改情況進行檢查。

　　第三章　信息安全和運行環(huán)境安全

　　第十九條 任何單位和個人不得利用信息系統(tǒng)制作、復(fù)制、發(fā)布和傳播下列信息：

　　(一)反對憲法確定的基本原則的;

　　(二)危害國家安全，泄露國家秘密，顛覆國家政權(quán)，破壞國家統(tǒng)一的;

　　(三)損害國家榮譽和利益的;

　　(四)煽動民族仇恨、民族歧視，破壞民族團結(jié)的;

　　(五)破壞國家宗教政策，宣揚邪教、封建迷信的;

　　(六)散布謠言，煽動非法聚集，擾亂社會秩序，破壞社會穩(wěn)定的;

　　(七)宣揚淫穢、色情、賭博、暴力、兇殺、恐怖，教唆犯罪，或者交易、制造違禁品、管制物品的;

　　(八)侮辱或者誹謗他人，侵害他人合法權(quán)益的;

　　(九)法律、法規(guī)禁止的其他內(nèi)容。

　　第二十條 互聯(lián)網(wǎng)服務(wù)提供者和聯(lián)網(wǎng)使用單位應(yīng)當(dāng)建立信息審核制度，明確審核人員，發(fā)現(xiàn)本條例第十九條禁止的違法信息，應(yīng)當(dāng)先行保存有關(guān)記錄，及時采取刪除、停止傳輸?shù)忍幹么胧?，并向公安機關(guān)等有關(guān)部門報告。

　　公安機關(guān)查處涉嫌違法犯罪行為時，互聯(lián)網(wǎng)服務(wù)提供者和聯(lián)網(wǎng)使用單位應(yīng)當(dāng)提供有關(guān)信息、資料、數(shù)據(jù)文件和原始記錄。

　　第二十一條 任何單位和個人不得利用信息系統(tǒng)實施下列行為：

　　(一)未經(jīng)允許侵入信息系統(tǒng);

　　(二)非法獲取、使用信息系統(tǒng)資源或者對信息系統(tǒng)實施非法控制;

　　(三)擅自向第三方公開他人電子郵箱地址和其他個人信息資料;

　　(四)竊取他人賬號和密碼，或者擅自向第三方公開他人賬號和密碼;

　　(五)未經(jīng)允許，對計算機信息系統(tǒng)功能進行刪除、修改、增加或者干擾;

　　(六)未經(jīng)允許，對計算機信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進行刪除、修改或者增加;

　　(七)提供專門用于實施侵入、非法控制信息系統(tǒng)的程序、工具;

　　(八)故意制作、傳播計算機病毒以及其他破壞性程序;

　　(九)其他危害信息系統(tǒng)安全的行為。

　　第四章　法律責(zé)任

　　第二十二條 信息系統(tǒng)運營、使用單位違反本條例第八條、第十一條第一款規(guī)定的，由公安機關(guān)給予警告，責(zé)令限期改正;情節(jié)嚴重的，給予三個月停止聯(lián)網(wǎng)、停機整頓處罰。

　　第二十三條 第三級以上信息系統(tǒng)運營、使用單位違反本條例第九條規(guī)定, 未按照國家信息系統(tǒng)安全等級保護的有關(guān)技術(shù)規(guī)范，建立安全管理制度，落實安全保護技術(shù)措施，確定責(zé)任機構(gòu)和人員的，由公安機關(guān)給予警告，責(zé)令限期改正;逾期不改正的，可以處一萬五千元罰款;情節(jié)嚴重的，給予三個月停止聯(lián)網(wǎng)、停機整頓處罰，必要時由發(fā)證部門依法吊銷經(jīng)營許可證或者取消相關(guān)資格。

　　第二十四條 第三級以上信息系統(tǒng)運營、使用單位違反本條例第十條、第十三條第一款規(guī)定，未使用符合國家有關(guān)規(guī)定并能夠滿足安全保護等級要求的技術(shù)產(chǎn)品或者未選擇符合國家規(guī)定條件的等級測評機構(gòu)進行測評的，由公安機關(guān)和有關(guān)部門按照職責(zé)分工責(zé)令其限期改正;逾期不改正的，給予警告。

　　第二十五條 從事測評業(yè)務(wù)的機構(gòu)違反本條例第十三條第二款、第三款規(guī)定的，由公安機關(guān)給予警告，責(zé)令限期改正。

　　第二十六條 單位和個人違反本條例規(guī)定，利用信息系統(tǒng)制作、復(fù)制、發(fā)布、傳播本條例第十九條內(nèi)容的，由公安機關(guān)給予警告，責(zé)令改正;情節(jié)嚴重的，給予六個月停止聯(lián)網(wǎng)、停機整頓處罰，必要時由發(fā)證部門依法吊銷經(jīng)營許可證或者取消相關(guān)資格;構(gòu)成治安管理處罰的，依照《中華人民共和國治安管理處罰法》的規(guī)定處罰;構(gòu)成犯罪的，依法追究刑事責(zé)任。

　　第二十七條 互聯(lián)網(wǎng)服務(wù)提供者和聯(lián)網(wǎng)使用單位違反本條例第二十條規(guī)定的，由公安機關(guān)給予警告，責(zé)令限期改正;情節(jié)嚴重的，給予三個月停止聯(lián)網(wǎng)、停機整頓處罰。

　　第二十八條 單位和個人違反本條例第二十一條規(guī)定的，由公安機關(guān)給予警告，有違法所得的，沒收違法所得，對單位可以并處一萬五千元罰款，對個人可以并處五千元罰款;情節(jié)嚴重的，給予三個月停止聯(lián)網(wǎng)、停機整頓處罰，必要時由發(fā)證部門依法吊銷經(jīng)營許可證或者取消相關(guān)資格;構(gòu)成治安管理處罰的，依照《中華人民共和國治安管理處罰法》的規(guī)定處罰;構(gòu)成犯罪的，依法追究刑事責(zé)任。

　　第二十九條 公安機關(guān)和其他有關(guān)部門及其工作人員有下列情形之一的，對主管人員和直接責(zé)任人員給予行政處分;構(gòu)成犯罪的，依法追究刑事責(zé)任：

　　(一)利用職權(quán)索取、收受賄賂，或者不履行法定職責(zé)的;

　　(二)泄露信息系統(tǒng)運營、使用單位或者個人的有關(guān)信息、資料及數(shù)據(jù)文件的;

　　(三)有其他徇私舞弊、玩忽職守、濫用職權(quán)行為的。

　　第五章　附　 則

　　第三十條　本條例自2013年12月1日起施行。1998年5月29日遼寧省第九屆人民代表大會常務(wù)委員會第二次會議通過的《遼寧省計算機信息系統(tǒng)安全管理條例》同時廢止。