廣東省計算機信息系統安全保護條例

（2007年12月20日廣東省第十屆人民代表大會常務委員會第三十六次會議通過）

第一章  總則

第一條  為保護計算機信息系統安全，根據《中華人民共和國計算機信息系統安全保護條例》及有關法律法規，結合本省實際，制定本條例。

第二條  本條例所稱的計算機信息系統，是指由計算機及其相關的和配套的設備、設施構成的，按照一定的應用目標和規則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統或者網絡。

第三條  本條例適用于本省行政區域內計算機信息系統的安全保護。

第四條  計算機信息系統的安全保護，應當保障計算機及其相關的和配套的設備、設施、網絡的安全，運行環境的安全，保障信息的安全，保障計算機功能的正常發揮，以維護計算機信息系統的安全運行。

第五條  縣級以上人民政府公安機關主管本行政區域內計算機信息系統的安全保護工作。

縣級以上人民政府國家安全機關、保密工作部門、密碼管理部門和其他有關部門在各自職責范圍內做好計算機信息系統的安全保護工作。

第六條  任何組織或者個人，不得利用計算機信息系統從事危害國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的活動，不得危害計算機信息系統的安全。

 

第二章  安全管理

第七條  計算機信息系統實行安全等級保護。

計算機信息系統安全等級保護按照國家規定的標準和要求，堅持自主定級、自主保護的原則。

第八條  計算機信息系統安全保護等級根據計算機信息系統在國家安全、經濟建設、社會生活中的重要程度，計算機信息系統受到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定，分為五級：

（一）計算機信息系統受到破壞后，可能對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益的，為第一級；

（二）計算機信息系統受到破壞后，可能對公民、法人和其他組織的合法權益產生嚴重損害，或者可能對社會秩序和公共利益造成損害，但不損害國家安全的，為第二級；

（三）計算機信息系統受到破壞后，可能對社會秩序和公共利益造成嚴重損害，或者可能對國家安全造成損害的，為第三級；

（四）計算機信息系統受到破壞后，可能對社會秩序和公共利益造成特別嚴重損害，或者可能對國家安全造成嚴重損害的，為第四級；

（五）計算機信息系統受到破壞后，可能對國家安全造成特別嚴重損害的，為第五級。

第九條  計算機信息系統規劃、設計、建設和維護應當同步落實相應的安全措施，使用符合國家有關規定、滿足計算機信息系統安全保護需求的信息技術產品。

第十條  計算機信息系統的運營、使用單位應當按照國家有關規定，建立、健全計算機信息系統安全管理制度，確定安全管理責任人，負責計算機信息系統的安全保護工作。

計算機信息系統信息服務提供者應當設立信息審查員，負責信息審查工作。

第十一條   第二級以上計算機信息系統的運營、使用單位應當建立安全保護組織，并報地級以上市人民政府公安機關備案。

第十二條  第二級以上計算機信息系統建設完成后，運營、使用單位或者其主管部門應當選擇符合國家規定的安全等級測評機構，依據國家規定的技術標準，對計算機信息系統安全等級狀況開展等級測評，測評合格后方可投入使用。

第十三條  計算機信息系統的運營、使用單位及其主管部門應當按照國家規定定期對計算機信息系統開展安全等級測評，并對計算機信息系統安全狀況、安全管理制度及措施的落實情況進行自查。

計算機信息系統安全狀況經測評或者自查，未達到安全等級保護要求的，運營、使用單位應當進行整改。

第十四條  第二級以上計算機信息系統，由運營、使用單位在投入運行后三十日內，到地級市以上人民政府公安機關備案。

第十五條  計算機信息系統備案后，對符合安全等級保護要求的，公安機關應當在收到備案材料之日起十個工作日內頒發計算機信息系統安全等級保護備案證明；對不符合安全等級保護要求的，應當在收到備案材料之日起十個工作日內通知備案單位予以糾正。

運營、使用單位或者其主管部門重新確定計算機信息系統等級的，應當按照本條例向公安機關重新備案。

第十六條  計算機信息系統的運營、使用單位應當接受公安機關、國家指定的專門部門的安全監督、檢查、指導，按照國家有關規定如實提供有關計算機信息系統安全保護的信息、資料及數據文件。

對計算機信息系統中發生的案件和重大安全事故，計算機信息系統的運營、使用單位應當在二十四小時內報告縣級以上人民政府公安機關，并保留有關原始記錄。

第十七條  第二級以上計算機信息系統的運營、使用單位應當制定重大突發事件應急處置預案。

第二級以上計算機信息系統發生重大突發事件，有關單位應當按照應急處置預案的要求采取相應的處置措施，并服從公安機關和國家指定的專門部門的調度。

第十八條  第二級以上計算機信息系統的運營、使用單位應當建立并執行下列安全管理制度：

（一）計算機機房安全管理制度；

（二）安全責任制度；

（三）網絡安全漏洞檢測和系統升級制度；

（四）系統安全風險管理和應急處置制度；

（五）操作權限管理制度；

（六）用戶登記制度；

（七）重要設備、介質管理制度；

（八）信息發布審查、登記、保存、清除和備份制度；

（九）信息群發服務管理制度。

第十九條  第二級以上計算機信息系統的運營、使用單位應當采取下列安全保護技術措施：

（一）系統重要部分的冗余或者備份措施；

（二）計算機病毒防治措施；

（三）網絡攻擊防范和追蹤措施；

（四）安全審計和預警措施；

（五）系統運行和用戶使用日志記錄保存六十日以上措施；

（六）記錄用戶賬號、主叫電話號碼和網絡地址的措施；

（七）身份登記和識別確認措施；

（八）垃圾信息、有害信息防治措施；

（九）信息群發限制措施。

第二十條  涉密計算機信息系統應當依據國家信息安全等級保護的要求，按照國家有關涉密計算機信息系統分級保護的管理規定和技術標準，結合計算機信息系統實際情況進行保護。

第二十一條   涉密計算機信息系統按照所處理信息的最高密級，由低到高分為秘密、機密、絕密三個等級，并實行涉密計算機信息系統分級保護。

第二十二條  涉密計算機信息系統建設使用單位應當將涉密計算機信息系統定級和建設使用情況，及時報業務主管部門和負責系統審批的保密工作部門備案，并接受保密工作部門的監督、檢查、指導。

第二十三條  涉密計算機信息系統投入使用前，應當按照國家有關規定報地級市以上人民政府保密工作部門審批，通過審批后方可投入使用。

第二十四條  計算機信息系統安全等級保護中密碼的配備、使用和管理等，應當按照國家密碼管理的有關規定執行。

 

第三章  安全秩序

第二十五條  任何單位和個人不得利用計算機信息系統制作、傳播、復制下列信息：

（一）反對憲法確定的基本原則的；

（二）危害國家統一、主權和領土完整的；

（三）泄露國家秘密，危害國家安全或者損害國家榮譽和利益的；

（四）煽動民族仇恨、民族歧視，破壞民族團結或者侵害民族風俗、習慣的；

（五）破壞國家宗教政策，宣揚邪教、迷信的；

（六）散布謠言，發布虛假信息，擾亂社會秩序，破壞社會穩定的；

（七）煽動聚眾滋事，損害社會公共利益的；

（八）宣揚淫穢、色情、賭博、暴力、兇殺、恐怖的；

（九）教唆犯罪的；

（十）侮辱或者誹謗他人，侵害他人合法權益的；

（十一）其他法律法規禁止的內容。

第二十六條  任何單位和個人不得利用計算機信息系統實施下列行為：

（一）未經允許進入計算機信息系統或者非法占有、使用、竊取計算機信息系統資源；

（二）竊取、騙取、奪取計算機信息系統控制權；

（三）擅自向第三方公開他人電子郵箱地址和其他個人信息資料;

（四）竊取他人賬號和密碼，或者擅自向第三方公開他人賬號和密碼；

（五）假冒他人名義發送信息；

（六）未經允許，對計算機信息系統功能進行刪除、修改、

增加或者干擾；

（七）未經允許，對計算機信息系統中存儲、處理或者傳輸的數據和應用程序進行刪除、修改或者增加；

（八）故意制作、傳播計算機病毒、惡意軟件等破壞性程序;

（九）危害計算機信息系統安全的其他行為。

第二十七條  任何單位和個人不得利用計算機信息系統非法傳遞或者交易涉及國家秘密的文件、資料和其他物品，不得將涉密計算機信息系統與國際互聯網、其它公共信息網絡相聯接，不得利用非涉密計算機信息系統處理涉及國家秘密的信息。

第二十八條  提供互聯網上網服務的場所應當安裝國家規定的安全管理系統。

接入互聯網的計算機信息系統的運營、使用單位和互聯網服務單位采取的安全保護技術措施，應當具有符合公共安全行業技術標準的聯網接口。

第二十九條  接入服務提供者、信息服務提供者以及數據中心服務提供者應當加強對本網絡用戶的安全宣傳，落實安全保護措施，確保網絡正常運行。發現有害信息應當保存有關記錄，及時采取刪除、停止傳輸等技術