2019年四川省計算機信息系統安全保護管理辦法

　《四川省計算機信息系統安全保護管理辦法》

　　第一章　總則

　　第一條　為了保護計算機信息系統的安全，鼓勵計算機的應用，促進計算機的發展，根據《中華人民共和國計算機信息系統安全保護條例》，結合我省實際，制定本辦法。

　　第二條　四川省行政區域內的計算機信息系統安全保護，適用本辦法。

　　第三條　計算機信息系統，是指由計算機及其相關的和配套的設備、設施(含網絡)構成的，按照一定的應用目標和規則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統。

　　第四條　計算機信息系統的安全保護，應當保障計算機及其配套的和相關的設備、設施(含網絡)和運行環境的安全，以及計算機信息的安全，確保計算機功能的正常發揮，維護計算機信息系統的安全運行。

　　計算機信息系統安全保護工作，重點維護國家事務、經濟建設、國防建設、尖端科學技術等重要領域的計算機信息系統的安全。

　　第五條　公安機關主管計算機信息系統的安全保護工作并對計算機信息系統的安全保護工作實施監督。

　　國家安全、保密部門和其他有關部門，在各自的職責范圍內做好計算機信息系統安全保護的有關工作。

　　第六條　計算機信息系統的使用單位，應當遵守計算機信息系統安全保護的有關法律、法規的規定，建立健全安全保護制度，落實安全保護責任。

　　第七條　公民、法人和其他社會組織不得危害計算機信息系統的安全，不得利用計算機信息系統從事危害國家、集體和公民合法權益的活動。

　　第八條　在計算機信息系統安全保護工作中，公民、法人和其他社會組織作出突出成績的，由主管機關或所在單位給予表彰獎勵。

　　第二章　安全保護制度

　　第九條　計算機信息系統實行安全等級保護。

　　計算機信息系統的安全等級，分為信息安全等級和系統可靠性等級。

　　第十條　計算機信息系統的信息安全等級，根據信息的重要程度分為四級：

　　(一)A級，即高敏感信息;

　　(二)B級，即敏感信息;

　　(三)C級，即內部管理信息;

　　(四)D級，即公共信息。

　　第十一條　計算機信息系統可靠性等級，根據信息安全技術標準和系統運行管理狀況進行劃分。

　　第十二條　計算機信息系統安全等級的具體標準，由省公安廳依照公安部等國家有關部門的要求制定。

　　第十三條　計算機信息系統安全等級的確認或變更，按下列規定辦理：

　　(一)縣(市、區)及其以下所屬的使用單位，向縣(市、區)公安機關申報，經市(地、州)公安機關審核，由市(地、州)公安機關報省公安廳審批;

　　(二)市(地、州)所屬的使用單位，向市(地、州)公安機關申報，由市(地、州)公安機關報省公安廳審批;

　　(三)省以上所屬的使用單位，報省公安廳審批。

　　計算機信息系統按前款規定經審批確定安全等級，并取得安全使用合格證后，才能投入使用。

　　第十四條　計算機機房應當符合國家標準和國家有關規定。

　　在計算機機房附近施工或者進行其他活動，不得危害計算機信息系統的安全。

　　第十五條　重要計算機信息系統的應用人員，須經安全培訓，取得省公安廳統一制發的計算機安全應用資格證后，方能上機操作。

　　第十六條　跨行業、跨部門和跨市縣以上地域的聯網，以及變更聯網或停止聯網的計算機信息系統，在其聯網、變更聯網或停止聯網之日起30日內，由其使用單位報所在地市(地、州)以上公安機關備案。

　　進行國際聯網的計算機信息系統，使用單位應在網絡正式聯通后30日內向省公安廳備案。

　　第十七條　運輸、攜帶、郵寄計算機信息媒體進出境的，應如實向海關申報。海關發現有危害計算機信息系統安全的信息媒體，應及時向所在地的市(地、州)公安機關通報。

　　第十八條　對利用計算機信息系統進行違法犯罪活動的，使用單位應在發現24小時內向所在地的縣以上公安機關報告，并保護現場及相關資料、條件許可的應停機等候處理。

　　第十九條　任何單位和個人不得制造或者故意輸入、傳播計算機病毒和其他有害數據，不得利用非法手段復制、截收、竄改計算機信息系統中的數據。

　　第二十條　使用單位發現新的計算機病毒，應在3日內向所在地縣以上公安機關報告。

　　使用單位發現政治性病毒和其他危害嚴重的有害數據，應在24小時內向所在地的縣以上公安機關報告，并注意保護現場及相關資料，等候處理。

　　第二十一條　制造、銷售、出租、維修計算機軟件、硬件必須對產品進行檢測，發現計算機病毒和其他有害數據應按第二十條的規定處理，確保產品中不得攜帶計算機病毒和其他有害數據。

　　第二十二條　未經省公安廳批準，任何單位和個人不得從事下列活動：

　　(一)收集和保存計算機病毒;

　　(二)出版、發行、刊登、制作、傳播、銷售含計算機病毒機理及病毒源程序的書籍資料和計算機信息媒體;

　　(三)公開發布計算機病毒疫情消息;

　　(四)開展涉及計算機病毒機理的活動。

　　經省公安廳批準從事前款第(二)項活動的，必須按規定報新聞出版行政主管部門審批。

　　第二十三條　開展計算機病毒的防治研究，應向所在地的市(地、州)公安機關申請，報省公安廳批準后方可進行，并定期報告研究工作情況。

　　第二十四條　銷售計算機信息系統安全專用產品，須經省公安廳批準，辦理計算機安全專用產品銷售許可證后，方能銷售。

　　涉密計算機信息系統中的保密專用產品的管理，國家另有規定的，從其規定。

　　第三章　安全監督管理

　　第二十五條　各級公安機關在計算機信息系統安全保護工作中的主要職責是：

　　(一)對計算機信息系統安全保護工作實施監督、檢查、指導;

　　(二)開展計算機信息系統安全保護的宣傳教育工作;

　　(三)查處危害計算機信息系統安全的違法犯罪案件;

　　(四)對計算機信息系統的新建、改建、擴建工程進行安全指導;

　　(五)管理計算機病毒和其他有害數據的防治工作;

　　(六)按本規定審核計算機信息系統安全等級：

　　(七)對計算機安全專用產品的銷售活動實施監督;

　　(八)履行計算機信息系統安全保護工作的其他監督職責。

　　第二十六條　公安機關執法人員行使計算機信息系統安全保護監督職責時，應出示由省公安廳制發的計算機安全監察證，文明執法。

　　第二十七條　公安機關發現影響計算機信息系統安全的隱患時，應當及時向使用單位發出整改通知書，限期整改。

　　第二十八條　計算機信息系統的使用單位，應當建立計算機信息系統安全保護領導組織或配備專兼職管理人員，落實安全保護責任制度;對管理人員和應用操作人員組織崗位培訓;制定防治計算機病毒和其他有害數據的方案;協助公安機關查處危害計算機信息系統安全的違法犯罪案件。

　　第四章　罰則

　　第二十九條　計算機機房不符合國家標準和國家其他有關規定，危害計算機信息系統安全的，由市(地、州)以上公安機關責令使用單位限期內改造，或者責令停止使用。

　　在計算機機房附近施工或者進行其他活動危害計算機信息系統安全的，由公安機關會同有關單位處理。

　　第三十條　運輸、攜帶、郵寄計算機信息媒體進出境，不如實向海關申報的，由海關依照有關規定予以處罰。

　　第三十一條　有下列情形之一的，由公安機關予以警告或者責令停機整頓：

　　(一)計算機信息系統未按規定確認安全保護等級并取得合格證即投入使用的;

　　(二)重要計算機信息系統操作人員未取得安全培訓合格證即上機操作的;

　　(三)未按照本辦法第十六條的規定在限期內備案的;

　　(四)不按規定時間報告計算機信息系統中發生的案件的;

　　(五)接到公安機關要求改進安全狀況的通知書后，在限期內拒不改進的;

　　(六)有危害計算機信息系統安全的其他行為的。

　　第三十二條　有下列行為之一的，由公安機關給予警告或者處以1000元以上5000元以下罰款;構成犯罪，依法追究刑事責任：

　　(一)未經批準，研究、收集或者保存計算機病毒的;

　　(二)未經批準，公開發布計算機病毒疫情的;

　　(三)未經批準，開展涉及計算機病毒機理的活動的;

　　(四)制造、銷售、出租、維修的計算機軟件、硬件產品中含有計算機病毒和其他有害數據的。

　　第三十三條　有下列行為之一的，由公安機關給予警告或者對個人處以2000元以上5000元以下罰款，對單位處以5000元以上15000元以下罰款;有違法所得的，除予以沒收外，可處違法所得：至3倍的罰款：

　　(一)制造或者故意輸入、傳播計算機病毒以及其他有害數據的;

　　(二)非法復制、截收、竄改計算機信息系統中的數據危害計算機信息系統安全的;

　　(三)未經許可銷售計算機信息系統安全專用產品的。

　　第三十四條　當事人對公安機關依照本辦法所作出的行政處罰不服的，可以依法申請行政復議或者提起行政訴訟。

　　第三十五條　在計算機信息系統安全保護監督工作中，公安機關工作人員利用職權循私舞弊、玩忽職守的，由主管機關給予行政處分;構成犯罪的，由司法機關依法追究刑事責任。

　　第五章　附則

　　第三十六條　本辦法下列用語的含義：

　　計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。有害數據，是指與計算機信息系統相關的，含有危害計算機信息系統安全運行的程序，或者對國家和社會公共安全構成危害或潛在威脅的數據。

　　計算機信息媒體，指可存儲、攜帶計算機程序、數據和信息的計算機硬磁盤、軟磁盤、光盤、磁帶、磁卡、紙帶、卡片、打印紙、芯片和固件等。

　　計算機信息系統安全專用產品，是指用于保護計算機信息系統安全的專用硬件和軟件產品。

　　第三十七條　本辦法執行中的具體問題由省公安廳負責解釋。

　　第三十八條　本辦法自1996年5月1日起施行。