公告第5號 《徐州市計算機信息系統安全保護條例》已由徐州市第十四屆人民代表大會常務委員會第六次會議于2008年12月12日制定,經江蘇省第十一屆人民代表大會常務委員會第七次會議于2009年1月18日批準，現予公布，自2009年6月1日起施行。 2009年1月22日 徐州市計算機信息系統安全保護條例 （2008年12月12日徐州市第十四屆人民代表大會常務委員會第六次會議制定 2009年1月18日江蘇省第十一屆人民代表大會常務委員會第七次會議批準） 第一章 總 則 第一條 為了加強計算機信息系統的安全保護工作，維護國家安全、社會秩序和公共利益，促進信息化的健康發展，根據《中華人民共和國計算機信息系統安全保護條例》等法律、法規，結合本市實際，制定本條例。 第二條 本條例適用于徐州市行政區域內計算機信息系統及其信息內容的安全保護和監督管理。 第三條 市、縣（市）、賈汪區公安機關(以下簡稱公安機關)主管本行政區域內計算機信息系統安全保護工作。 國家安全、文化、保密、信息化管理及其他有關部門，依據各自職責做好計算機信息系統安全保護有關工作。 第四條 公安、國家安全、文化、保密、信息化管理及其他有關部門在履行職責過程中，應當維護計算機信息系統運營、使用單位和個人的合法權益，保守其商業秘密和個人隱私。 第五條 任何組織或者個人，不得危害計算機信息系統的安全；不得利用計算機信息系統從事危害國家安全、社會秩序、公共利益以及侵害公民、法人和其他組織合法權益的活動。 第二章 安全保護和管理 第六條 計算機信息系統實行安全等級保護制度。 計算機信息系統安全保護等級按照國家規定劃分為以下五級： （一）計算機信息系統受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益的，為第一級； （二）計算機信息系統受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全的，為第二級； （三）計算機信息系統受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害的，為第三級； （四）計算機信息系統受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害的，為第四級； （五）計算機信息系統受到破壞后，會對國家安全造成特別嚴重損害的，為第五級。 第七條 計算機信息系統運營、使用單位應當根據國家有關管理規范、技術標準確定計算機信息系統的安全保護等級，對于新建、改建、擴建的計算機信息系統，運營、使用單位應當在規劃、設計階段確定計算機信息系統的安全保護等級，并同步建設符合該安全保護等級要求的安全保護設施。 第八條 第二級以上計算機信息系統投入運行后三十日內，其運營、使用單位應當向市公安機關備案。 市公安機關應當自收到備案材料之日起十日內，對符合安全保護等級要求的，頒發備案證明；對定級不準確的，通知運營、使用單位重新定級后予以備案。 第九條 計算機信息系統的結構、處理流程、服務內容等發生變化，致使安全保護等級發生變更的，運營、使用單位應當重新定級、重新備案。 計算機信息系統備案事項發生變更的，運營、使用單位應當自變更之日起三十日內將變更情況報告公安機關。 第十條 計算機信息系統運營、使用單位應當使用符合信息系統安全保護等級要求的信息技術產品和依法取得銷售許可證的安全專用產品。 第十一條 計算機信息系統運營、使用單位應當按照國家規定，定期對計算機信息系統安全等級保護狀況開展等級測評，對計算機信息系統安全狀況、安全保護制度及措施的落實情況進行自查；未達到安全保護等級要求的，應當進行整改。 第十二條 計算機信息系統運營、使用單位應當明確安全管理責任人、安全管理人員及安全技術人員，建立并執行下列安全保護制度： （一）計算機機房安全管理； （二）網絡安全漏洞檢測和系統升級管理； （三）信息發布審查、登記、保存、清除和備份； （四）違法犯罪案件報告和協助查處； （五）信息系統安全教育和培訓； （六）安全應急處置。 第十三條 計算機信息系統運營、使用單位應當按照國家規定采取下列安全保護措施： （一）身份登記和識別確認； （二）記錄用戶帳號、主叫號碼和網絡地址； （三）系統運行和用戶使用日志記錄保存六十日以上。 第二級以上計算機信息系統運營、使用單位還應當采取下列安全保護措施： （一）系統重要部分的冗余、重要數據備份； （二）計算機病毒防治； （三）網絡攻擊防范和追蹤； （四）安全審計和預警； （五）法律、法規規定的其他安全保護措施。 第十四條 涉及國家秘密的計算機信息系統的設計實施、定級備案、運行維護和日常保密管理，應當依據國家信息安全等級保護的要求，按照保密部門的有關規定和技術標準執行。 第三章 秩序管理 第十五條 互聯網接入服務、互聯網數據中心服務、互聯網信息服務的提供者，應當自網絡聯通之日起三十日內向市公安機關備案。 第十六條 互聯網信息服務的提供者應當采取以下管理措施： （一）確定信息審核人員； （二）防治垃圾信息、違法信息； （三）限制信息群發、匿名信息發送； （四）按照國家規定，刪除本網絡中含有本條例第十九條內容的地址、目錄或者關閉服務器，并保存有關記錄。 第十七條 向社會公眾提供互聯網上網服務的網吧、賓館等場所的經營單位應當采取以下安全保護措施： （一）安裝并運行國家規定的安全管理系統； （二）對上網人員進行實名登記； （三）記錄有關上網信息，登記內容和記錄備份保存時間不得少于六十日，在保存期內不得修改或者刪除。 第十八條 任何單位和個人不得利用計算機信息系統實施下列行為： （一）未經允許，進入計算機信息系統或者非法占有、使用、竊取計算機信息系統資源； （二）竊取、騙取、奪取計算機信息系統控制權； （三）未經允許，對計算機信息系統功能進行刪除、修改、增加或者干擾； （四）未經允許，對計算機信息系統存儲、處理或者傳輸的數據和應用程序進行刪除、修改或者增加； （五）故意制作、傳播計算機病毒、惡意軟件等破壞性程序； （六）竊取他人賬號、密碼及其他信息資料； （七）未經允許，提供或者公開他人的信息資料； （八）非法截獲、篡改、刪除他人電子郵件或者其他數據資料； （九）假冒他人名義發布、發送信息。 第十九條 任何單位和個人不得利用計算機信息系統制作、復制、傳播下列信息： （一）危害國家統一、主權和領土完整的； （二）泄露國家秘密，危害國家安全或者損害國家榮譽和利益的； （三）煽動民族仇恨、民族歧視，破壞民族團結或者侵害民族風俗、習慣的； （四）破壞國家宗教政策，宣揚邪教、迷信的； （五）煽動聚眾滋事，損害社會公共利益的； （六）散布謠言，發布虛假信息，擾亂社會秩序，破壞社會穩定的； （七）宣揚淫穢、色情、賭博、暴力、兇殺、恐怖的； （八）教唆犯罪或者傳授犯罪方法的； （九）散布他人隱私，或者侮辱、誹謗、恐嚇他人的； （十）買賣法律、法規禁止流通的物品的； （十一）提供假票據、假證件的。 第二十條 計算機信息系統運營、使用單位發現計算機信息系統發生重大安全事故和違法犯罪案件，應當及時采取技術措施予以防護和制止，留存運行日志等原始記錄，并在二十四小時內向公安機關報告；涉及其他管理部門職責的，還應當及時報告有關部門。 第四章 監督檢查 第二十一條 公安、國家安全、文化、保密、信息化管理及其他有關部門應當建立計算機信息系統安全監督管理協作機制，按照國家規定，對計算機信息系統運營、使用單位的安全保護工作進行監督檢查。 第二十二條 公安機關應當定期對計算機信息系統運營、使用單位的信息安全等級保護工作進行檢查、指導和監督；對第三級計算機信息系統每年至少檢查一次，對第四級計算機信息系統每半年至少檢查一次。 第二十三條 計算機信息系統的安全保護等級和安全保護措施不符合信息安全等級保護管理規定，或者存在安全隱患的，公安機關應當通知運營、使用單位進行整改。運營、使用單位應當及時整改，并將整改情況報告公安機關。 第二十四條 在計算機信息系統發生突發事件，造成或者可能造成嚴重社會危害的緊急情況下，公安機關可以采取停機檢查、暫停聯網、備份數據等措施，計算機信息系統運營、使用單位應當予以配合。 突發事件消除后，公安機關應當及時解除暫停聯網或者停機檢查措施，恢復計算機信息系統的正常運行。 第二十五條 計算機信息系統運營、使用單位應當協助公安機關及其他有關部門做好安全保護監督管理工作。在公安機關及其他有關部門依法履行職責時，應當如實提供計算機信息系統的有關資料。 第五章 法律責任 第二十六條 有下列行為之一的，由公安機關責令限期改正，給予警告，有違法所得的，沒收違法所得；逾期不改正的，可以并處一千元以上一萬元以下罰款，對單位的主管人員和其他直接責任人員可以并處五百元以上五千元以下罰款；情節嚴重的，并可以給予六個月以內停止聯網、停機整頓的處罰，必要時可以建議許可機構吊銷經營許可證或者取消聯網資格： （一）違反本條例第十二條規定，未建立或者未執行安全保護制度的； （二）違反本條例第十三條規定，未采取安全保護措施的； （三）違反本條例第十六條規定，未采取管理措施的； （四）違反本條例第二十五條規定，未如實提供計算機信息系統有關資料的。 國有企業事業單位有前款第一項、第二項所列行為之一，造成嚴重后果的，還應當依法對主管人員、其他直接責任人員給予行政處分。 第二十七條 違反本條例第十七條規定的，由公安機關給予警告，可以并處一千元以上一萬元以下罰款；情節嚴重的，責令停業整頓，必要時可以建議許可機構吊銷經營許可證。 第二十八條 違反本條例規定，有第十八條、第十九條所列行為之一的，由公安機關給予警告，有違法所得的，沒收違法所得，對個人可以并處五百元以上五千元以下罰款，對單位可以并處一千元以上一萬元以下罰款；情節嚴重的，并可以給予六個月以內停止聯網、停機整頓的處罰，必要時可以建議許可機構吊銷經營許可證或者取消聯網資格；違反《中華人民共和國治安管理處罰法》的，依法予以處罰。 第二十九條 有下列行為之一的，由公安機關責令改正，給予警告；情節嚴重的，處以一個月以內停機整頓的處罰： （一）違反本條例第七條規定，未確定安全保護等級的； （二）違反本條例第十五條規定，未辦理備案手續的； （三）違反本條例第二十條規定，未按時向公安機關報告的； （四）違反本條例第二十三條規定，接到公安機關整改通知后，未及時整改的。 第三十條 公安、國家安全、文化、保密及其他有關部門及其工作人員有下列行為之一的，對主管人員、其他直接責任人員依法給予行政處分： （一）利用職權索取、收受賄賂，或者玩忽職守、濫用職權、徇私舞弊的； （二）泄露計算機信息系統運營、使用單位或者個人的有關信息、資料及數據文件的； （三）不依法履行監督管理職責，造成嚴重后果的。 第三十一條 違反本條例規定的行為，有關法律、法規對處罰及處罰機關另有規定的，從其規定。 第六章 附 則 第三十二條 本條例有關用語的含義： （一）計算機信息系統，是指由計算機及其相關的和配套的設備、設施構成的，按照一定的應用目標和規則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統，包括未接入互聯網的計算機信息系統（含局域網）以及接入（含無線方式接入）互聯網的計算機信息系統； （二）互聯網數據中心服務，是指提供主機托管、租賃和虛擬空間租用等服務。 第三十三條 本條例自2009年6月1日起施行。 關于《徐州市計算機信息系統安全保護條例》的說明 ——2009年1月17日在省十一屆人大常委會第七次會議上 徐州市人大常委會 主任、各位副主任、秘書長、各位委員： 《徐州市計算機信息系統安全保護條例》（以下簡稱條例），已于2008年12月12日經徐州市十四屆人大常委會第六次會議制定，現提請省人大常委會本次會議審議批準。我受徐州市人大常委會的委托，現就條例的有關問題作如下說明： 一、關于計算機信息系統的等級保護 對計算機信息系統實行安全等級保護管理，是計算機信息系統安全保護的一項基礎性制度，也是保障信息系統安全的基本方法和有效途徑。根據《中華人民共和國計算機信息系統安全保護條例》關于“計算機信息系統實行安全等級保護”和2007年公安部等四部委聯合出臺的《信息安全等級保護管理辦法》的規定，條例從我市實際出發就計算機信息系統等級保護管理主要作了以下幾個方面的規定： 一是計算機信息系統運營、使用單位應當根據國家規定確定計算機信息系統安全保護等級，對于新建、改建、擴建計算機信息系統，應當在設計、規劃階段確定其安全保護等級，并同步建 設符合安全等級保護要求的安全保護設施（見條例第七條）。 二是第二級以上的計算機信息系統投入運行后三十日內，其運營、使用單位應當向市公安機關備案（見條例第八條）。 三是對安全等級測評和自查制度作了原則性規定（見條例第十一條）。 二、關于安全管理制度 計算機信息系統的安全涉及面廣、影響大、情況復雜，建立有效的、可行的安全保護管理制度十分重要。根據《中華人民共和國計算機信息系統安全保護條例》關于“計算機信息系統的使用單位應當建立健全安全管理制度，負責本單位計算機信息系統的安全保護工作”，條例第十二條規定了計算機信息系統運營、使用單位應當建立六個方面的管理制度，具體包括計算機機房安全管理；網絡安全漏洞檢測和系統升級管理；信息發布審查、登記、保存、清除和備份；違法犯罪案件報告和協助查處；信息系統安全教育和培訓；安全應急處置等，有利于加強和規范運營、使用單位的安全管理。 三、關于安全保護措施 在計算機信息系統的關鍵區域、關鍵部位、關鍵節點采取安全保護措施，或者對互聯網上的違法犯罪的實施過程、結果予以審計，是保障計算機信息系統安全，預防和打擊計算機違法犯罪的重要技術手段。條例在規范安全保護措施上，主要作了以下幾個方面的規定： 一是規定了所有的計算機信息系統均應采取的安全保護措施。包括身份登記和識別確認；記錄用戶帳號、主叫號碼和網絡地址；系統運行和用戶使用日志記錄保存六十日以上（見條例第十三條第一款）。 二是對第二級以上計算機信息系統的安全保護措施作了更嚴格的規定。包括系統重要部分的冗余、重要數據備份；計算機病毒防治；網絡攻擊防范和追蹤；安全審計和預警等（見條例第十三條第二款）。 三是對互聯網信息服務的提供者應當采取的安全保護措施作了特別的規定。包括確定信息審核人員；防治垃圾信息、違法信息；限制信息群發、匿名信息發送；按照國家規定，刪除本網絡中含有本條例第十九條內容的地址、目錄或者關閉服務器，并保存有關記錄等（見條例第十六條）。 四是根據國務院《互聯網上網服務營業場所管理條例》的規定，條例對向社會公眾提供互聯網上網服務的網吧、賓館等場所的經營單位應當采取的安全保護措施作了特別規定。包括安裝并運行國家規定的安全管理系統；對上網人員進行實名登記；記錄有關上網信息，登記內容和記錄備份保存時間不得少于六十日，在保存期內不得修改或者刪除等（見條例第十七條）。 四、關于禁止性行為的規定 當前，利用計算機信息系統進行違法犯罪活動情況比較嚴重，非法盜取他人帳號、密碼，網絡黑客攻擊他人系統時有發生，計算機病毒、木馬等破壞性程序大肆傳播，淫穢、色情、暴力、詐騙信息屢禁不止，散布、傳播謠言以及擅自公布他人信息等危害社會秩序、公共利益和他人合法權益的行為較為突出，已經成為人民群眾十分關注的熱點問題。為了保障計算機信息系統的正常運行，維護互聯網上網秩序，營造潔凈的網絡空間，條例第十八條、第十九條對利用計算機信息系統實施的違法行為采取列舉的方式，作出了禁止性規定，并設定了相應的法律責任。 五、關于法律責任 根據上位法的規定和我市實際，按照不與上位法抵觸的原則，對一些違反條例的行為作了較為具體的處罰規定（見條例第二十六條至第三十一條）。 以上說明連同條例，請予審議。 關于《徐州市計算機信息系統安全保護條例》審議意見的報告 ——2009年1月17日在省十一屆人大常委會第七次會議上 省人大法制委員會 主任、各位副主任、秘書長、各位委員： 《徐州市計算機信息系統安全保護條例》已經徐州市十四屆人大常委會第六次會議制定，現報省人大常委會批準。省人大常委會法制工作委員會在該條例通過前進行了初步審查，并征求了省政府法制辦、省公安廳、省文化廳等有關部門以及部分省人大代表、立法專家的意見。省人大法制委員會于12月30日召開全體會議對該條例進行了審議，現將審議意見報告如下： 隨著經濟社會的迅速發展，計算機作為現代社會的高科技產物被廣泛應用，但計算機信息系統的建設、應用和管理還不夠規范，信息系統的安全問題日益突出。為了加強計算機信息系統的安全保護工作，維護國家安全、社會秩序和公共利益，徐州市根據國家的有關規定，結合本市實際，制定該條例是必要的。該條例對計算機信息系統的等級保護、安全管理制度、安全保護措施等方面作了明確規定，內容具體，可操作性較強。 該條例同憲法、法律、行政法規和本省的地方性法規不相抵觸。建議本次會議審議后予以批準。 以上報告，請予審議。