山西省计算机信息系统安全保护条例.docx

山西省计算机信息系统安全保护条例（2008年9月25日山西省第十一届人民代表大会常务委员会第六次会议通过）第一章总则第一条为保护计算机信息系统安全，维护国家安全、社会公共利益和公民的合法权益，根据中华人民共和国计算机信息系统安全保护条例及有关法律、行政法规，结合本省实际，制定本条例。第二条本条例所称计算机信息系统，是指由计算机及其相关的和配套的设备、设施、网络构成，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。第三条县级以上人民政府应当加强对计算机信息系统安全保护工作的领导，制定计算机信息系统安全保护规划和突发事件应急预案，保障计算机信息系统安全保护工作所需经费。第四条公安机关主管本行政区域内的计算机信息系统安全保护工作，履行下列职责：（一）宣传有关计算机信息系统安全保护的法律、法规；（二）指导、监督、检查信息安全等级保护工作；（三）办理有关计算机信息系统的备案手续；（四）组织信息网络安全人员培训；（五）检查计算机信息系统安全保护法律、法规的执行情况;（六）查处危害计算机信息系统安全的违法犯罪案件；（七）依法维护互联网安全秩序；（八）法律、法规规定的其他职责。国家安全机关、保密工作部门、密码管理部门和其他有关部门，在各自的职责范围内，依照中华人民共和国国家安全法、中华人民共和国保守国家秘密法等法律、法规，做好计算机信息系统安全保护工作。公安机关、国家安全机关、保密工作部门、密码管理部门和其他有关部门应当共享计算机信息系统运营、使用单位的有关信息。第五条计算机信息系统运营、使用单位，应当依法履行计算机信息系统安全保护义务。第六条县级以上人民政府应当对在计算机信息系统安全保护工作中做出显著成绩的单位和个人给予表彰和奖励。第二章安全秩序第七条任何单位和个人不得利用计算机信息系统制作、复制和传播含有下列内容的信息：（一）危害国家统一、主权和领土完整的；（二）危害国家安全的；（三）损害国家荣誉和利益的；（四）泄露国家秘密的；（五）破坏民族团结的；（六）宣扬邪教、封建迷信的；（七）散布谣言，扰乱社会秩序，破坏社会稳定的；（八）煽动、策划非法集会、游行、示威的；（九）宣扬淫秽、赌博、暴力、恐怖的；（十）教唆犯罪的；（十一）侮辱或者诽谤他人，侵害他人合法权益的；（十二）法律、法规禁止的其他内容。第八条任何单位和个人不得利用计算机信息系统实施下列行为：（一）擅自进入计算机信息系统或者非法占有、使用计算机信息系统资源；（二）擅自对计算机信息系统功能进行删除、修改、增加，或者干扰计算机信息系统功能的正常运行；（三）擅自对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改或者增加；（四）故意制作、传播计算机病毒以及其他破坏性程序；（五）窃取他人账号和密码；（六）擅自公开他人信息资料；（七）法律、法规禁止的其他行为。第九条互联网服务提供者和联网使用单位不得利用互联网安全保护技术措施侵犯用户的通信自由和通信秘密；未经用户同意，不得公开、泄露用户注册信息。第十条互联网信息服务提供者应当对交互式服务栏目管理者的真实资料和信息发布者的注册信息进行登记，并按照国家规定对发布的信息进行审核。第H一条互联网服务提供者和联网使用单位发现有本条例第七条规定的违法信息的，应当及时采取删除、停止传输等技术措施，保存有关记录，并报告公安机关或者国家安全机关；发现有本条例第八条规定的行为的，应当予以制止，并向公安机关举报。公安机关和国家安全机关查处违法犯罪行为时，互联网服务提供者和联网使用单位应当如实提供有关信息、资料、数据文件和原始记录。第十二条提供互联网上网服务的单位应当安装并运行互联网公共上网服务场所安全管理系统。互联网服务提供者和联网使用单位采取的互联网安全保护技术措施，应当具有符合公共安全行业技术标准的联网接口。第十三条提供互联网接入、服务器托管、虚拟空间出租的单位，应当登记用户的真实资料，并在合同生效之日起1个月内报其所在地的设区的市公安机关备案。第十四条生产、销售或者提供含有信息网络远程控制、密码猜解、漏洞检测、信息群发技术之一的产品的单位和个人，应当将其产品的相关资料报设区的市公安机关备案。第三章安全保护第十五条计算机信息系统实行安全等级保护制度。计算机信息系统安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。信息系统安全保护等级分为五级：第一级，信息系统受到破坏后，可能对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第二级，信息系统受到破坏后，可能对公民、法人和其他组织的合法权益造成严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级，信息系统受到破坏后，可能对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第四级，信息系统受到破坏后，可能对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第五级，信息系统受到破坏后，可能对国家安全造成特别严重损害。第十六条计算机信息系统运营、使用单位应当设立信息系统安全保护组织，建立健全安全管理制度，制定信息系统安全事件应急预案。第十七条计算机信息系统运营、使用单位在计算机信息系统建设前，应当根据国家规定确定信息系统安全保护等级。第十八条第二级以上计算机信息系统运营、使用单位，应当在确定信息系统安全保护等级之日起1个月内，报其所在地设区的市公安机关备案;属于跨设区的市或者全省统一联网的计算机信息系统，应当报省公安机关备案。本条例实施之前已经投入使用的计算机信息系统，运营、使用单位应当自本条例实施之日起6个月内确定信息系统安全保护等级，并按照前款规定报公安机关备案。对符合计算机信息系统安全等级保护要求的，公安机关应当在收到备案材料之日起15个工作日内，按照国家有关规定颁发计算机信息系统安全等级保护备案证明；对不符合计算机信息系统安全保护等级要求的，公安机关应当书面通知运营、使用单位予以纠正。第十九条计算机信息系统安全保护等级确定后，计算机信息系统运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准，进行计算机信息系统建设。第二十条第三级以上计算机信息系统建设完成后，运营、使用单位或者其主管部门应当按照国家规定，选择符合国家规定条件的安全保护等级测评机构定期对其计算机信息系统安全状况进行等级测评。测评结果不符合信息系统安全等级保护要求的，运营、使用单位应当进行整改，并重新进行等级测评。第二十一条公安机关应当加强对计算机信息系统安全保护等级测评工作的监督。计算机信息系统安全保护等级测评机构及其工作人员，不得泄露用户信息，不得擅自占有、使用用户资源。第二十二条第二级计算机信息系统的运营、使用单位应当采取下列安全保护技术措施：（一）重要数据库和系统主要设备的冗余或者备份；（二）计算机病毒的防治；（三）网络攻击的防范；（四）网络安全事件的监测和记录；（五）身份认证和授权的管理；（六）用户账号和网络地址的记录；（七）有害信息的防治；（八）系统运行和用户使用日志记录的保存；（九）信息群发的控制。第三级以上计算机信息系统运营、使用单位，除采取前款规定的安全保护技术措施外，还应当按照国家规定采取与其等级相应的其他安全保护技术措施。第二十三条计算机信息系统发生危害国家安全、社会秩序、公共利益等突发事件时，运营、使用单位应当及时向公安机关或者国家安全机关报告，公安机关可以采取24小时内暂时停机、暂停联网、备份数据等措施；必要时，由公安机关、国家安全机关或者其主管部门报设区的市以上人民政府启动突发事件应急预案。第二十四条涉密计算机信息系统的安全保护工作，依照国家有关规定执行。第四章法律责任第二十五条违反本条例第七条、第八条规定的，由公安机关给予警告,有违法所得的，没收违法所得;对个人可以并处5000元以下罚款，对单位可以并处15000元罚款;情节严重的，公安机关可以给予6个月以内停止联网、停机整顿的处罚，并可以建议原发证、审批机构撤销许可或者取消联网资格。违反中华人民共和国治安管理处罚法的，依法予以处罚；构成犯罪的，依法追究刑事责任。第二十六条违反本条例第九条、第二十一条第二款规定的，依照有关法律、行政法规的规定予以处罚。第二十七条违反本条例第十条、第十一条、第十二条、第二十二条规定的，由公安机关责令限期改正，给予警告，有违法所得的，没收违法所得;逾期不改正的，对主管人员和其他直接责任人员可以并处5000元以下的罚款，对单位可以并处5000元以上IoOOo元以下的罚款；情节严重的，并可以给予6个月以内的停止联网、停机整顿的处罚，必要时可以建议原发证、审批机构吊销经营许可证或者取消联网资格。第二十八条违反本条例第十六条规定的，由公安机关给予警告，并责令其限期改正。违反本条例第十三条、第十八条规定，有关单位未报公安机关备案的，或者违反本条例第二十条规定，信息系统安全保护等级测评结果不符合等级保护要求而不进行整改的，由公安机关给予警告或者6个月以内停机整顿的处罚。第二十九条公安机关及其工作人员在计算机信息系统安全保护工作中，有下列情形之一的，对直接负责的主管人员和其他直接责任人员依法给予行政处分;构成犯罪的，依法追究刑事责任：（一）泄露计算机信息系统运营、使用单位或者个人的有关信息、资料或者数据文件的；（二）收到举报，未依据职责及时处理的；（三）收到备案材料，未按照国家规定或者未在规定的时限内处理的；（四）有徇私舞弊、滥用职权，不依法履行法定职责的其他情形的。第五章附则第三十条本条例自2009年1月1日起施行。-IO-