公告第5號 《徐州市計算機信息系統(tǒng)安全保護條例》已由徐州市第十四屆人民代表大會常務委員會第六次會議于2008年12月12日制定,經(jīng)江蘇省第十一屆人民代表大會常務委員會第七次會議于2009年1月18日批準，現(xiàn)予公布，自2009年6月1日起施行。 2009年1月22日 徐州市計算機信息系統(tǒng)安全保護條例 （2008年12月12日徐州市第十四屆人民代表大會常務委員會第六次會議制定 2009年1月18日江蘇省第十一屆人民代表大會常務委員會第七次會議批準） 第一章 總 則 第一條 為了加強計算機信息系統(tǒng)的安全保護工作，維護國家安全、社會秩序和公共利益，促進信息化的健康發(fā)展，根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》等法律、法規(guī)，結合本市實際，制定本條例。 第二條 本條例適用于徐州市行政區(qū)域內(nèi)計算機信息系統(tǒng)及其信息內(nèi)容的安全保護和監(jiān)督管理。 第三條 市、縣（市）、賈汪區(qū)公安機關(以下簡稱公安機關)主管本行政區(qū)域內(nèi)計算機信息系統(tǒng)安全保護工作。 國家安全、文化、保密、信息化管理及其他有關部門，依據(jù)各自職責做好計算機信息系統(tǒng)安全保護有關工作。 第四條 公安、國家安全、文化、保密、信息化管理及其他有關部門在履行職責過程中，應當維護計算機信息系統(tǒng)運營、使用單位和個人的合法權益，保守其商業(yè)秘密和個人隱私。 第五條 任何組織或者個人，不得危害計算機信息系統(tǒng)的安全；不得利用計算機信息系統(tǒng)從事危害國家安全、社會秩序、公共利益以及侵害公民、法人和其他組織合法權益的活動。 第二章 安全保護和管理 第六條 計算機信息系統(tǒng)實行安全等級保護制度。 計算機信息系統(tǒng)安全保護等級按照國家規(guī)定劃分為以下五級： （一）計算機信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益的，為第一級； （二）計算機信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權益產(chǎn)生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全的，為第二級； （三）計算機信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害的，為第三級； （四）計算機信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害的，為第四級； （五）計算機信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴重損害的，為第五級。 第七條 計算機信息系統(tǒng)運營、使用單位應當根據(jù)國家有關管理規(guī)范、技術標準確定計算機信息系統(tǒng)的安全保護等級，對于新建、改建、擴建的計算機信息系統(tǒng)，運營、使用單位應當在規(guī)劃、設計階段確定計算機信息系統(tǒng)的安全保護等級，并同步建設符合該安全保護等級要求的安全保護設施。 第八條 第二級以上計算機信息系統(tǒng)投入運行后三十日內(nèi)，其運營、使用單位應當向市公安機關備案。 市公安機關應當自收到備案材料之日起十日內(nèi)，對符合安全保護等級要求的，頒發(fā)備案證明；對定級不準確的，通知運營、使用單位重新定級后予以備案。 第九條 計算機信息系統(tǒng)的結構、處理流程、服務內(nèi)容等發(fā)生變化，致使安全保護等級發(fā)生變更的，運營、使用單位應當重新定級、重新備案。 計算機信息系統(tǒng)備案事項發(fā)生變更的，運營、使用單位應當自變更之日起三十日內(nèi)將變更情況報告公安機關。 第十條 計算機信息系統(tǒng)運營、使用單位應當使用符合信息系統(tǒng)安全保護等級要求的信息技術產(chǎn)品和依法取得銷售許可證的安全專用產(chǎn)品。 第十一條 計算機信息系統(tǒng)運營、使用單位應當按照國家規(guī)定，定期對計算機信息系統(tǒng)安全等級保護狀況開展等級測評，對計算機信息系統(tǒng)安全狀況、安全保護制度及措施的落實情況進行自查；未達到安全保護等級要求的，應當進行整改。 第十二條 計算機信息系統(tǒng)運營、使用單位應當明確安全管理責任人、安全管理人員及安全技術人員，建立并執(zhí)行下列安全保護制度： （一）計算機機房安全管理； （二）網(wǎng)絡安全漏洞檢測和系統(tǒng)升級管理； （三）信息發(fā)布審查、登記、保存、清除和備份； （四）違法犯罪案件報告和協(xié)助查處； （五）信息系統(tǒng)安全教育和培訓； （六）安全應急處置。 第十三條 計算機信息系統(tǒng)運營、使用單位應當按照國家規(guī)定采取下列安全保護措施： （一）身份登記和識別確認； （二）記錄用戶帳號、主叫號碼和網(wǎng)絡地址； （三）系統(tǒng)運行和用戶使用日志記錄保存六十日以上。 第二級以上計算機信息系統(tǒng)運營、使用單位還應當采取下列安全保護措施： （一）系統(tǒng)重要部分的冗余、重要數(shù)據(jù)備份； （二）計算機病毒防治； （三）網(wǎng)絡攻擊防范和追蹤； （四）安全審計和預警； （五）法律、法規(guī)規(guī)定的其他安全保護措施。 第十四條 涉及國家秘密的計算機信息系統(tǒng)的設計實施、定級備案、運行維護和日常保密管理，應當依據(jù)國家信息安全等級保護的要求，按照保密部門的有關規(guī)定和技術標準執(zhí)行。 第三章 秩序管理 第十五條 互聯(lián)網(wǎng)接入服務、互聯(lián)網(wǎng)數(shù)據(jù)中心服務、互聯(lián)網(wǎng)信息服務的提供者，應當自網(wǎng)絡聯(lián)通之日起三十日內(nèi)向市公安機關備案。 第十六條 互聯(lián)網(wǎng)信息服務的提供者應當采取以下管理措施： （一）確定信息審核人員； （二）防治垃圾信息、違法信息； （三）限制信息群發(fā)、匿名信息發(fā)送； （四）按照國家規(guī)定，刪除本網(wǎng)絡中含有本條例第十九條內(nèi)容的地址、目錄或者關閉服務器，并保存有關記錄。 第十七條 向社會公眾提供互聯(lián)網(wǎng)上網(wǎng)服務的網(wǎng)吧、賓館等場所的經(jīng)營單位應當采取以下安全保護措施： （一）安裝并運行國家規(guī)定的安全管理系統(tǒng)； （二）對上網(wǎng)人員進行實名登記； （三）記錄有關上網(wǎng)信息，登記內(nèi)容和記錄備份保存時間不得少于六十日，在保存期內(nèi)不得修改或者刪除。 第十八條 任何單位和個人不得利用計算機信息系統(tǒng)實施下列行為： （一）未經(jīng)允許，進入計算機信息系統(tǒng)或者非法占有、使用、竊取計算機信息系統(tǒng)資源； （二）竊取、騙取、奪取計算機信息系統(tǒng)控制權； （三）未經(jīng)允許，對計算機信息系統(tǒng)功能進行刪除、修改、增加或者干擾； （四）未經(jīng)允許，對計算機信息系統(tǒng)存儲、處理或者傳輸?shù)臄?shù)據(jù)和應用程序進行刪除、修改或者增加； （五）故意制作、傳播計算機病毒、惡意軟件等破壞性程序； （六）竊取他人賬號、密碼及其他信息資料； （七）未經(jīng)允許，提供或者公開他人的信息資料； （八）非法截獲、篡改、刪除他人電子郵件或者其他數(shù)據(jù)資料； （九）假冒他人名義發(fā)布、發(fā)送信息。 第十九條 任何單位和個人不得利用計算機信息系統(tǒng)制作、復制、傳播下列信息： （一）危害國家統(tǒng)一、主權和領土完整的； （二）泄露國家秘密，危害國家安全或者損害國家榮譽和利益的； （三）煽動民族仇恨、民族歧視，破壞民族團結或者侵害民族風俗、習慣的； （四）破壞國家宗教政策，宣揚邪教、迷信的； （五）煽動聚眾滋事，損害社會公共利益的； （六）散布謠言，發(fā)布虛假信息，擾亂社會秩序，破壞社會穩(wěn)定的； （七）宣揚淫穢、色情、賭博、暴力、兇殺、恐怖的； （八）教唆犯罪或者傳授犯罪方法的； （九）散布他人隱私，或者侮辱、誹謗、恐嚇他人的； （十）買賣法律、法規(guī)禁止流通的物品的； （十一）提供假票據(jù)、假證件的。 第二十條 計算機信息系統(tǒng)運營、使用單位發(fā)現(xiàn)計算機信息系統(tǒng)發(fā)生重大安全事故和違法犯罪案件，應當及時采取技術措施予以防護和制止，留存運行日志等原始記錄，并在二十四小時內(nèi)向公安機關報告；涉及其他管理部門職責的，還應當及時報告有關部門。 第四章 監(jiān)督檢查 第二十一條 公安、國家安全、文化、保密、信息化管理及其他有關部門應當建立計算機信息系統(tǒng)安全監(jiān)督管理協(xié)作機制，按照國家規(guī)定，對計算機信息系統(tǒng)運營、使用單位的安全保護工作進行監(jiān)督檢查。 第二十二條 公安機關應當定期對計算機信息系統(tǒng)運營、使用單位的信息安全等級保護工作進行檢查、指導和監(jiān)督；對第三級計算機信息系統(tǒng)每年至少檢查一次，對第四級計算機信息系統(tǒng)每半年至少檢查一次。 第二十三條 計算機信息系統(tǒng)的安全保護等級和安全保護措施不符合信息安全等級保護管理規(guī)定，或者存在安全隱患的，公安機關應當通知運營、使用單位進行整改。運營、使用單位應當及時整改，并將整改情況報告公安機關。 第二十四條 在計算機信息系統(tǒng)發(fā)生突發(fā)事件，造成或者可能造成嚴重社會危害的緊急情況下，公安機關可以采取停機檢查、暫停聯(lián)網(wǎng)、備份數(shù)據(jù)等措施，計算機信息系統(tǒng)運營、使用單位應當予以配合。 突發(fā)事件消除后，公安機關應當及時解除暫停聯(lián)網(wǎng)或者停機檢查措施，恢復計算機信息系統(tǒng)的正常運行。 第二十五條 計算機信息系統(tǒng)運營、使用單位應當協(xié)助公安機關及其他有關部門做好安全保護監(jiān)督管理工作。在公安機關及其他有關部門依法履行職責時，應當如實提供計算機信息系統(tǒng)的有關資料。 第五章 法律責任 第二十六條 有下列行為之一的，由公安機關責令限期改正，給予警告，有違法所得的，沒收違法所得；逾期不改正的，可以并處一千元以上一萬元以下罰款，對單位的主管人員和其他直接責任人員可以并處五百元以上五千元以下罰款；情節(jié)嚴重的，并可以給予六個月以內(nèi)停止聯(lián)網(wǎng)、停機整頓的處罰，必要時可以建議許可機構吊銷經(jīng)營許可證或者取消聯(lián)網(wǎng)資格： （一）違反本條例第十二條規(guī)定，未建立或者未執(zhí)行安全保護制度的； （二）違反本條例第十三條規(guī)定，未采取安全保護措施的； （三）違反本條例第十六條規(guī)定，未采取管理措施的； （四）違反本條例第二十五條規(guī)定，未如實提供計算機信息系統(tǒng)有關資料的。 國有企業(yè)事業(yè)單位有前款第一項、第二項所列行為之一，造成嚴重后果的，還應當依法對主管人員、其他直接責任人員給予行政處分。 第二十七條 違反本條例第十七條規(guī)定的，由公安機關給予警告，可以并處一千元以上一萬元以下罰款；情節(jié)嚴重的，責令停業(yè)整頓，必要時可以建議許可機構吊銷經(jīng)營許可證。 第二十八條 違反本條例規(guī)定，有第十八條、第十九條所列行為之一的，由公安機關給予警告，有違法所得的，沒收違法所得，對個人可以并處五百元以上五千元以下罰款，對單位可以并處一千元以上一萬元以下罰款；情節(jié)嚴重的，并可以給予六個月以內(nèi)停止聯(lián)網(wǎng)、停機整頓的處罰，必要時可以建議許可機構吊銷經(jīng)營許可證或者取消聯(lián)網(wǎng)資格；違反《中華人民共和國治安管理處罰法》的，依法予以處罰。 第二十九條 有下列行為之一的，由公安機關責令改正，給予警告；情節(jié)嚴重的，處以一個月以內(nèi)停機整頓的處罰： （一）違反本條例第七條規(guī)定，未確定安全保護等級的； （二）違反本條例第十五條規(guī)定，未辦理備案手續(xù)的； （三）違反本條例第二十條規(guī)定，未按時向公安機關報告的； （四）違反本條例第二十三條規(guī)定，接到公安機關整改通知后，未及時整改的。 第三十條 公安、國家安全、文化、保密及其他有關部門及其工作人員有下列行為之一的，對主管人員、其他直接責任人員依法給予行政處分： （一）利用職權索取、收受賄賂，或者玩忽職守、濫用職權、徇私舞弊的； （二）泄露計算機信息系統(tǒng)運營、使用單位或者個人的有關信息、資料及數(shù)據(jù)文件的； （三）不依法履行監(jiān)督管理職責，造成嚴重后果的。 第三十一條 違反本條例規(guī)定的行為，有關法律、法規(guī)對處罰及處罰機關另有規(guī)定的，從其規(guī)定。 第六章 附 則 第三十二條 本條例有關用語的含義： （一）計算機信息系統(tǒng)，是指由計算機及其相關的和配套的設備、設施構成的，按照一定的應用目標和規(guī)則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)，包括未接入互聯(lián)網(wǎng)的計算機信息系統(tǒng)（含局域網(wǎng)）以及接入（含無線方式接入）互聯(lián)網(wǎng)的計算機信息系統(tǒng)； （二）互聯(lián)網(wǎng)數(shù)據(jù)中心服務，是指提供主機托管、租賃和虛擬空間租用等服務。 第三十三條 本條例自2009年6月1日起施行。 關于《徐州市計算機信息系統(tǒng)安全保護條例》的說明 ——2009年1月17日在省十一屆人大常委會第七次會議上 徐州市人大常委會 主任、各位副主任、秘書長、各位委員： 《徐州市計算機信息系統(tǒng)安全保護條例》（以下簡稱條例），已于2008年12月12日經(jīng)徐州市十四屆人大常委會第六次會議制定，現(xiàn)提請省人大常委會本次會議審議批準。我受徐州市人大常委會的委托，現(xiàn)就條例的有關問題作如下說明： 一、關于計算機信息系統(tǒng)的等級保護 對計算機信息系統(tǒng)實行安全等級保護管理，是計算機信息系統(tǒng)安全保護的一項基礎性制度，也是保障信息系統(tǒng)安全的基本方法和有效途徑。根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》關于“計算機信息系統(tǒng)實行安全等級保護”和2007年公安部等四部委聯(lián)合出臺的《信息安全等級保護管理辦法》的規(guī)定，條例從我市實際出發(fā)就計算機信息系統(tǒng)等級保護管理主要作了以下幾個方面的規(guī)定： 一是計算機信息系統(tǒng)運營、使用單位應當根據(jù)國家規(guī)定確定計算機信息系統(tǒng)安全保護等級，對于新建、改建、擴建計算機信息系統(tǒng)，應當在設計、規(guī)劃階段確定其安全保護等級，并同步建 設符合安全等級保護要求的安全保護設施（見條例第七條）。 二是第二級以上的計算機信息系統(tǒng)投入運行后三十日內(nèi)，其運營、使用單位應當向市公安機關備案（見條例第八條）。 三是對安全等級測評和自查制度作了原則性規(guī)定（見條例第十一條）。 二、關于安全管理制度 計算機信息系統(tǒng)的安全涉及面廣、影響大、情況復雜，建立有效的、可行的安全保護管理制度十分重要。根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》關于“計算機信息系統(tǒng)的使用單位應當建立健全安全管理制度，負責本單位計算機信息系統(tǒng)的安全保護工作”，條例第十二條規(guī)定了計算機信息系統(tǒng)運營、使用單位應當建立六個方面的管理制度，具體包括計算機機房安全管理；網(wǎng)絡安全漏洞檢測和系統(tǒng)升級管理；信息發(fā)布審查、登記、保存、清除和備份；違法犯罪案件報告和協(xié)助查處；信息系統(tǒng)安全教育和培訓；安全應急處置等，有利于加強和規(guī)范運營、使用單位的安全管理。 三、關于安全保護措施 在計算機信息系統(tǒng)的關鍵區(qū)域、關鍵部位、關鍵節(jié)點采取安全保護措施，或者對互聯(lián)網(wǎng)上的違法犯罪的實施過程、結果予以審計，是保障計算機信息系統(tǒng)安全，預防和打擊計算機違法犯罪的重要技術手段。條例在規(guī)范安全保護措施上，主要作了以下幾個方面的規(guī)定： 一是規(guī)定了所有的計算機信息系統(tǒng)均應采取的安全保護措施。包括身份登記和識別確認；記錄用戶帳號、主叫號碼和網(wǎng)絡地址；系統(tǒng)運行和用戶使用日志記錄保存六十日以上（見條例第十三條第一款）。 二是對第二級以上計算機信息系統(tǒng)的安全保護措施作了更嚴格的規(guī)定。包括系統(tǒng)重要部分的冗余、重要數(shù)據(jù)備份；計算機病毒防治；網(wǎng)絡攻擊防范和追蹤；安全審計和預警等（見條例第十三條第二款）。 三是對互聯(lián)網(wǎng)信息服務的提供者應當采取的安全保護措施作了特別的規(guī)定。包括確定信息審核人員；防治垃圾信息、違法信息；限制信息群發(fā)、匿名信息發(fā)送；按照國家規(guī)定，刪除本網(wǎng)絡中含有本條例第十九條內(nèi)容的地址、目錄或者關閉服務器，并保存有關記錄等（見條例第十六條）。 四是根據(jù)國務院《互聯(lián)網(wǎng)上網(wǎng)服務營業(yè)場所管理條例》的規(guī)定，條例對向社會公眾提供互聯(lián)網(wǎng)上網(wǎng)服務的網(wǎng)吧、賓館等場所的經(jīng)營單位應當采取的安全保護措施作了特別規(guī)定。包括安裝并運行國家規(guī)定的安全管理系統(tǒng)；對上網(wǎng)人員進行實名登記；記錄有關上網(wǎng)信息，登記內(nèi)容和記錄備份保存時間不得少于六十日，在保存期內(nèi)不得修改或者刪除等（見條例第十七條）。 四、關于禁止性行為的規(guī)定 當前，利用計算機信息系統(tǒng)進行違法犯罪活動情況比較嚴重，非法盜取他人帳號、密碼，網(wǎng)絡黑客攻擊他人系統(tǒng)時有發(fā)生，計算機病毒、木馬等破壞性程序大肆傳播，淫穢、色情、暴力、詐騙信息屢禁不止，散布、傳播謠言以及擅自公布他人信息等危害社會秩序、公共利益和他人合法權益的行為較為突出，已經(jīng)成為人民群眾十分關注的熱點問題。為了保障計算機信息系統(tǒng)的正常運行，維護互聯(lián)網(wǎng)上網(wǎng)秩序，營造潔凈的網(wǎng)絡空間，條例第十八條、第十九條對利用計算機信息系統(tǒng)實施的違法行為采取列舉的方式，作出了禁止性規(guī)定，并設定了相應的法律責任。 五、關于法律責任 根據(jù)上位法的規(guī)定和我市實際，按照不與上位法抵觸的原則，對一些違反條例的行為作了較為具體的處罰規(guī)定（見條例第二十六條至第三十一條）。 以上說明連同條例，請予審議。 關于《徐州市計算機信息系統(tǒng)安全保護條例》審議意見的報告 ——2009年1月17日在省十一屆人大常委會第七次會議上 省人大法制委員會 主任、各位副主任、秘書長、各位委員： 《徐州市計算機信息系統(tǒng)安全保護條例》已經(jīng)徐州市十四屆人大常委會第六次會議制定，現(xiàn)報省人大常委會批準。省人大常委會法制工作委員會在該條例通過前進行了初步審查，并征求了省政府法制辦、省公安廳、省文化廳等有關部門以及部分省人大代表、立法專家的意見。省人大法制委員會于12月30日召開全體會議對該條例進行了審議，現(xiàn)將審議意見報告如下： 隨著經(jīng)濟社會的迅速發(fā)展，計算機作為現(xiàn)代社會的高科技產(chǎn)物被廣泛應用，但計算機信息系統(tǒng)的建設、應用和管理還不夠規(guī)范，信息系統(tǒng)的安全問題日益突出。為了加強計算機信息系統(tǒng)的安全保護工作，維護國家安全、社會秩序和公共利益，徐州市根據(jù)國家的有關規(guī)定，結合本市實際，制定該條例是必要的。該條例對計算機信息系統(tǒng)的等級保護、安全管理制度、安全保護措施等方面作了明確規(guī)定，內(nèi)容具體，可操作性較強。 該條例同憲法、法律、行政法規(guī)和本省的地方性法規(guī)不相抵觸。建議本次會議審議后予以批準。 以上報告，請予審議。