寧夏回族自治區(qū)人大常委會 寧夏回族自治區(qū)計算機信息系統(tǒng)安全保護條例 寧夏回族自治區(qū)人民代表大會常務(wù)委員會公告第六十二號 《寧夏回族自治區(qū)計算機信息系統(tǒng)安全保護條例》已由寧夏回族自治區(qū)第十屆人民代表大會常務(wù)委員會第十一次會議于2009年7月31日通過，現(xiàn)予公布，自2009年10月1日起施行。 寧夏回族自治區(qū)人民代表大會常務(wù)委員會 二ＯＯ九年七月三十一日 寧夏回族自治區(qū)計算機信息系統(tǒng)安全保護條例 （2009年7月31日寧夏回族自治區(qū)第十屆 人民代表大會常務(wù)委員會第十一次會議通過） 第一章 總 則 第一條　為加強計算機信息系統(tǒng)安全保護, 促進計算機應(yīng)用和信息化建設(shè)的健康發(fā)展,維護國家安全、社會公共利益和公民、法人及其他組織的合法權(quán)益，根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》及有關(guān)法律、行政法規(guī)的規(guī)定,制定本條例。 第二條　自治區(qū)行政區(qū)域內(nèi)對計算機信息系統(tǒng)的安全保護，適用本條例。 第三條 公安機關(guān)主管計算機信息系統(tǒng)的安全保護工作。 國家安全機關(guān)、保密行政管理部門、密碼管理部門、信息化行政主管部門及其他有關(guān)部門,在各自職責(zé)范圍內(nèi)，依法負責(zé)計算機信息系統(tǒng)安全保護的相關(guān)工作。 第四條　計算機信息系統(tǒng)運營、使用單位，應(yīng)當(dāng)依法履行計算機信息系統(tǒng)安全保護義務(wù)。 任何組織或者個人,不得利用計算機信息系統(tǒng)從事危害國家利益、社會公共利益和公民、法人及其他組織的合法權(quán)益的活動，不得危害計算機信息系統(tǒng)的安全。 第二章 安全等級保護 第五條　計算機信息系統(tǒng)實行安全等級保護制度。 計算機信息系統(tǒng)安全等級保護堅持自主定級、自主保護原則，由運營、使用單位按照下列標(biāo)準自主定級： （一）計算機信息系統(tǒng)受到破壞后，可能對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益的，為第一級； （二）計算機信息系統(tǒng)受到破壞后，可能對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全的，為第二級； （三）計算機信息系統(tǒng)受到破壞后，可能對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害的，為第三級； （四）計算機信息系統(tǒng)受到破壞后，可能對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害的，為第四級； （五）計算機信息系統(tǒng)受到破壞后，可能對國家安全造成特別嚴重損害的，為第五級。 第六條 計算機信息系統(tǒng)涉及國家安全、社會公共利益、重大經(jīng)濟建設(shè)信息的，其運營、使用單位或者主管部門應(yīng)當(dāng)選擇符合法定條件的安全等級測評機構(gòu)，對計算機信息系統(tǒng)安全等級狀況進行測評，準確核定信息系統(tǒng)安全保護等級。 第七條 計算機信息系統(tǒng)運營、使用單位應(yīng)當(dāng)遵守下列規(guī)定： （一）對計算機信息系統(tǒng)進行定級，并按照等級保護管理規(guī)范和技術(shù)標(biāo)準實施保護； （二）新建計算機信息系統(tǒng)的，在規(guī)劃、設(shè)計階段確定安全保護等級，同步建設(shè)符合該安全保護等級要求的信息安全保護設(shè)施，落實安全保護措施； （三）按照計算機信息系統(tǒng)安全保護等級要求，使用取得國家銷售許可證的信息安全專用技術(shù)產(chǎn)品； （四）定期對本單位計算機信息系統(tǒng)的安全狀況、保護制度和措施進行自查和整改； （五）計算機信息系統(tǒng)確定為第二級以上保護等級的,應(yīng)當(dāng)制定重大突發(fā)事件應(yīng)急處置預(yù)案；確定為第三級以上的，應(yīng)當(dāng)每年至少進行一次系統(tǒng)安全等級測評； （六）指定專職人員負責(zé)本單位計算機信息系統(tǒng)的安全管理。專職人員應(yīng)當(dāng)通過設(shè)區(qū)的市以上公安機關(guān)、人力資源和社會保障部門的專業(yè)培訓(xùn)，并取得合格證。 第八條 第二級以上計算機信息系統(tǒng)運營、使用單位，應(yīng)當(dāng)自確定安全等級之日起三十日內(nèi)，將信息系統(tǒng)保護的具體措施，向所在地設(shè)區(qū)的市以上公安機關(guān)報送備案；屬于跨設(shè)區(qū)的市或者自治區(qū)統(tǒng)一聯(lián)網(wǎng)的計算機信息系統(tǒng)，還應(yīng)當(dāng)向自治區(qū)公安機關(guān)報送備案。 計算機信息系統(tǒng)的結(jié)構(gòu)、處理流程、服務(wù)內(nèi)容等發(fā)生變化，致使安全保護等級發(fā)生變化，或者因?qū)嶋H需要公安機關(guān)要求重新定級的，計算機信息系統(tǒng)運營、使用單位應(yīng)當(dāng)重新定級、重新備案。 第九條 公安機關(guān)應(yīng)當(dāng)自收到備案材料之日起在十五個工作日內(nèi)對報送備案的材料進行審查，對符合等級保護要求的，出具備案證明；對定級不準確或者保護措施不符合技術(shù)規(guī)范的，應(yīng)當(dāng)自收到備案材料之日起十五個工作日內(nèi)書面通知報送單位予以糾正。 第十條　計算機信息系統(tǒng)運營、使用單位應(yīng)當(dāng)落實下列安全保護技術(shù)措施： （一）重要數(shù)據(jù)庫和系統(tǒng)主要設(shè)備的冗余或者備份； 　?。ǘ┯嬎銠C病毒的防治； （三）網(wǎng)絡(luò)攻擊的防范和追蹤； （四）網(wǎng)絡(luò)安全事件的監(jiān)測和記錄； （五）身份登記和識別確認； （六）用戶賬號和網(wǎng)絡(luò)地址的記錄； （七）安全審計和預(yù)警； （八）系統(tǒng)運行和用戶使用日志記錄的保存； （九）信息群發(fā)的控制； （十）有害信息、垃圾信息的防治； （十一）法律、法規(guī)規(guī)定的其他技術(shù)保護措施。 鼓勵計算機信息系統(tǒng)運營、使用單位采取先進的安全保護技術(shù)措施。 第三章 涉及國家秘密計算機信息系統(tǒng)管理 第十一條 涉及國家秘密計算機信息系統(tǒng)（以下簡稱涉密系統(tǒng)）應(yīng)當(dāng)依據(jù)涉密信息系統(tǒng)分級保護的管理規(guī)定和技術(shù)標(biāo)準，按照秘密、機密、絕密三個等級的不同要求，實施分級保護。 涉密系統(tǒng)的安全保護水平，應(yīng)當(dāng)不低于計算機信息系統(tǒng)安全等級保護第三級以上的水平。 第十二條 涉密系統(tǒng)使用單位應(yīng)當(dāng)遵守下列規(guī)定： （一）規(guī)劃、設(shè)計和建設(shè)涉密系統(tǒng)時，應(yīng)當(dāng)按照國家保密標(biāo)準配備設(shè)施和設(shè)備，同步設(shè)計和建設(shè)，同步運行； （二）對已建成使用的涉密系統(tǒng)，定期進行安全保密性能測評； （三）依法對涉密系統(tǒng)存儲、處理和傳輸?shù)男畔?，按照系統(tǒng)處理信息的最高密級確定保護等級和技術(shù)措施，并報保密行政管理部門備案。 第十三條 承擔(dān)規(guī)劃、設(shè)計、建設(shè)和維護涉密系統(tǒng)的單位，應(yīng)當(dāng)具有涉密集成資質(zhì)。 涉密系統(tǒng)的安全保密設(shè)計方案和實施方案應(yīng)當(dāng)經(jīng)過保密行政管理部門的審查。 第十四條 涉密系統(tǒng)投入使用前，建設(shè)使用單位應(yīng)當(dāng)向設(shè)區(qū)的市以上保密行政管理部門申請批準，非經(jīng)保密行政管理部門批準的涉密系統(tǒng)不得投入使用。 設(shè)區(qū)的市以上保密行政管理部門應(yīng)當(dāng)自受理申請之日起二十日內(nèi)，依據(jù)保密技術(shù)標(biāo)準，對涉密系統(tǒng)進行審查。對不符合標(biāo)準的，不予批準并提出書面整改意見，由使用單位進行整改后重新報批。 未經(jīng)審查批準的涉密系統(tǒng)，不得存儲、處理和傳輸涉密信息，不得與其他涉密系統(tǒng)互聯(lián)。 第十五條 涉密系統(tǒng)使用單位應(yīng)當(dāng)根據(jù)實際需要采取下列保密防護措施： （一）物理隔離； （二）惡意代碼的防護； （三）身份鑒別和訪問控制防護； （四）涉密移動存儲設(shè)備監(jiān)管； （五）密碼保護； （六）電磁泄漏發(fā)射防護； （七）邊界安全防護； （八）其他需要的保密防護措施。 第十六條 涉密系統(tǒng)運營、使用單位采用密碼進行等級保護的，應(yīng)當(dāng)執(zhí)行國家密碼管理的有關(guān)規(guī)定。 第四章 安全秩序 第十七條 任何單位或者個人不得利用計算機信息系統(tǒng)制作、傳播、復(fù)制下列有害信息： （一）危害國家統(tǒng)一、主權(quán)和領(lǐng)土完整的； （二）泄露國家秘密、危害國家安全或者損害國家榮譽和利益的； （三）煽動民族仇恨、民族歧視，或者故意侵害民族風(fēng)俗、習(xí)慣，破壞民族團結(jié)的； （四）煽動聚眾滋事，損害社會公共利益的； （五）散布謠言，擾亂社會秩序、破壞社會穩(wěn)定的； （六）宣揚邪教、封建迷信的； （七）宣揚暴力、兇殺、恐怖、淫穢、色情、賭博的； （八）教唆犯罪或者傳授犯罪方法的； （九）侮辱、誹謗、恐嚇?biāo)?，侵害他人合法?quán)益的； （十）法律、法規(guī)禁止制作、傳播、復(fù)制的其他信息。 第十八條 任何單位或者個人不得利用計算機信息系統(tǒng)實施下列行為： （一）未經(jīng)允許，進入計算機信息系統(tǒng)或者非法占有、竊取、使用計算機信息系統(tǒng)資源； （二）未經(jīng)允許，對計算機信息系統(tǒng)的功能或者存儲、處理、傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進行控制、刪除、修改或者增加； （三）故意制作、傳播計算機病毒、惡意軟件等破壞性程序； （四）提供專門用于侵入、非法控制他人計算機信息系統(tǒng)的程序或者工具； （五）竊取他人賬號和密碼，或者擅自向第三方公開他人賬號和密碼； （六）非法截取、篡改、刪除他人電子郵件或者其他數(shù)據(jù)資料； （七）假冒他人名義發(fā)布、發(fā)送信息，或者以其他方式進行網(wǎng)絡(luò)詐騙； （八）擅自公開他人的信息資料； （九）買賣法律、法規(guī)禁止流通的物品； （十）非法提供虛假票據(jù)、證件；