公安计算机信息系统安全保护规定.docx

公安计算机信息系统安全保护规定第一章总则第一条为了加强全国公安计算机信息系统安全保护工作，确保公安信息网络安全运行，根据国家有关法律、法规，制定本规定。第二条本规定适用于全国公安机关计算机信息系统的安全保护工作。有关涉密信息系统安全保护的相关规定另行制定。第三条公安机关计算机信息系统安全保护工作的基本任务是开展安全管理工作，保障计算机信息系统的环境安全、网络系统安全、运行安全和信息安全。第四条各级公安机关信息通信部门主管公安计算机信息系统安全保护工作，公安计算机信息系统的安全监控和运行由各级公安机关信息中心承担。第五条公安机关计算机信息系统安全保护工作坚持积极防御、综合防范的方针，坚持安全技术与规范化管理相结合的原则，坚持“专网专用”、“专机专用”的原则，实行“谁管理、谁负责”、“谁使用、谁负责”的安全责任制。第六条公安机关计算机使用单位和个人，都有保护计算机信息系统和信息安全的责任和义务。第二章组织机构与职责第七条公安部信息通信部门设立专门的公安信息网络安全管理（以下简称“信息安全管理”）机构，各县（自治区、直辖县）公安局（局）信息通信部门应当设立专门的信息安全管理机构或专门的信息安全管理岗位，各县（地）、县级公安机关可以设立或指定专门的信息安全管理机构或专门的信息安全管理人员，负责和协调本级公安机关计算机信息系统安全保护工作。第八条各级公安机关计算机使用单位应当明确本单位的信息安全管理人员，有条件的可以确定专职的信息安全管理人员。第九条对调离信息安全管理岗位的人员，应当履行相应的手续，并更换其使用的系统账号和口令。第十条信息安全管理机构和信息安全管理人员履行以下职责：（一）组织制定本部门计算机信息系统安全保障体系总体方案及相应的安全策略；（二）指导和监督本级计算机使用单位的信息安全管理工作；（三）采取各种技术措施，保护计算机信息系统和信息的安全；（四）监督、检查、分析计算机信息系统安全运行情况;（五）组织制定信息安全应急预案，建立应急响应机制;（六）对信息安全案（事）件进行技术调查，协助有关单位作好处理工作；（七）负责公安机关使用计算机信息系统安全产品的管理；（八）负责公安身份认证和访问控制系统的建设和运行管理；（九）组织公安计算机信息系统安全教育、培训工作。第十一条信息安全管理人员应当具备政治可靠、思想进步、作风正派、技术合格、工作责任心强等基本素质。第三章管理制度第十二条各级信息安全管理机构和计算机使用单位应当依据中华人民共和国计算机信息系统安全保护办法、计算机信息系统安全保护等级划分准则以及本规定，制定保障公安计算机信息系统安全的管理制度，主要包括如下内容：（一）计算机机房安全管理规范；（二）计算机信息系统安全岗位工作职责；（三）公安应用系统运行安全管理规范；（四）信息安全保护管理规范；（五）公安机关上网信息审批规程；（六）计算机信息系统设备安全操作规程；（七）计算机信息系统工程建设安全管理规范；（八）应急案（事）件处理规程；（九）其他与安全保护相关的规范。第十三条严禁下列操作行为：（一）非法侵入他人计算机信息系统；（二）未经授权对他人计算机信息系统的功能进行删除、修改、增加和干扰，影响计算机信息系统正常运行；（三）故意制作、传播计算机病毒等破坏程序；（四）将公安机关使用的计算机及网络设备同时连接公安信息网和国际互联网；（五）公安机关使用的计算机及网络设备在未采取安全隔离措施的情况下同时连接公安信息网和外单位网络；（六）将存有公安信息的计算机擅自连接国际互联网或其他公共网络；（七）擅自在公安信息网上开设与公安工作无关的网站和网页；（八）发布有害信息；（九）擅自对公安计算机信息系统和网络进行扫描；（十）对信息安全案（事）件或重XX全隐患隐瞒不报。第四章应急处理第十四条公安计算机信息系统因人为因素或自然原因而严重影响系统运行并产生严重后果或不良影响的事件为紧急事件。第十五条针对各类紧急事件，应当制定应急预案。应急预案包括紧急措施、应急联络手段、资源备用、操作程序、系统和数据恢复措施等。对应急预案的关键环节应当定期进行演习。第十六条在发生紧急事件时，为避免造成更大损失和影响，信息安全管理机构有权采取以下措施：（一）拆除可能影响安全或有安全隐患的设备或部件；（二）隔离相关的服务器或网络；（三）关闭相关的服务器或网络。紧急事件情形消除后，信息安全管理机构应当及时解除所采取的前款措施。第五章安全监督第十七条公安机关计算机信息系统建设单位在项目建设前应当将设计方案报同级信息安全管理机构进行安全审核。第十八条项目实施中，公安计算机信息系统采用的关键安全技术设备应当接受同级信息安全管理机构的监督和检查。第十九条项目施工完成后，应当报请同级信息安全管理机构进行安全验收，通过验收后方可投入运行。第二十条信息安全管理机构应当定期对管辖范围内的计算机信息系统和使用单位进行安全检查。第六章安全产品管理第二十一条公安机关计算机信息系统使用的安全产品必须通过国家有关部门的认证和许可，符合相关等级保护要求。关键产品必须通过公安部信息安全管理机构组织的专项检测。第二十二条公安机关计算机信息系统中凡涉及机要密码的，按有关规定执行。第二十三条公安机关计算机信息系统使用的安全产品必须接受同级信息安全管理机构的审核，并报上一级信息安全管理机构备案。第七章罚则第二十四条违反本规定，存在计算机信息系统安全隐患的单位，由上一级信息安全管理机构发出整改通知，并限期整改。逾期未改的，视情节轻重对直接责任者及主管领导予以通报批评。造成严重后果的，给予行政处分。第二十五条违反本规定，发生重XX全案件和事故的单位，由信息安全管理机构或上级主管部门视情节轻重对直接责任者及主管领导予以通报批评或给予行政处分，违反国家法律、法规或者规章规定的，由有关部门依法追究法律责任。第八章附则第二十六条各省、自治区、直辖市公安厅、局可以根据本规定制定具体实施办法。第二十七条本规定自XXX年十二月十五日起实施。