《江西省計算機信息系統安全保護辦法》已經2004年9月7日省人民政府第25次常務會議審議通過，現予公布，自2004年11月1日起施行。

省長黃智權

2004年9月23日

第一條為了保護計算機信息系統的安全，促進計算機的應用和發展，維護國家利益和社會公共利益，根據《中華人民共和國計算機信息系統安全保護條例》等有關規定，結合本省實際，制定本辦法。

第二條本辦法所稱的計算機信息系統，是指由計算機及其相關的和配套的設備、設施(含網絡)構成的，按照一定的應用目標和規則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統。

第三條本省行政區域內的計算機信息系統的安全保護，適用本辦法。

未聯網的微型計算機的安全保護辦法，按國家有關規定執行。

第四條計算機信息系統的安全保護工作，重點維護下列涉及國家事務、經濟建設、國防建設、尖端科學技術等重要領域、重點單位的計算機信息系統的安全：

(一)縣級以上國家機關、國防單位；

(二)銀行、保險、證券等金融領域；

(三)郵政、電信、廣播、電視領域；

(四)能源、交通領域；

(五)國家及省重點科研單位；

(六)重點網站；

(七)國家規定的其他重要領域、重點單位。

第五條公安機關是計算機信息系統安全保護工作的主管部門，其主要職責是：

(一)宣傳計算機信息系統安全保護法律、法規、規章；

(二)監督、檢查、指導計算機信息系統安全保護工作；

(三)組織培訓計算機信息系統安全管理人員；

(四)查處危害計算機信息系統安全的違法犯罪案件；

(五)對重要領域、重點單位的計算機信息系統的建設工程進行安全指導；

(六)負責計算機病毒和其他有害數據的防治管理工作；

(七)監督、檢查計算機信息系統安全專用產品的銷售活動；

(八)依法應當履行的其他職責。國家安全機關、國家保密機關和政府其他有關部門，在規定的職責范圍內做好計算機信息系統安全保護的有關工作。

第六條計算機信息系統的建設和應用，應當遵守法律、法規和國家其他有關規定。

重要領域、重點單位新建的計算機信息系統，應當在系統建成后30日內由系統建設單位報同級人民政府公安機關備案。

第七條計算機信息系統實行安全等級保護。安全等級的劃分標準和安全等級保護的具體辦法，按照國家有關規定執行。

第八條計算機信息系統國際聯網實行備案制度。使用計算機信息網絡國際聯網的公民、法人和其他組織，在接入單位辦理入網手續時應當填寫用戶備案表。接入單位應當自網絡正式聯通之日起30日內，到省公安機關指定的受理單位辦理備案手續，并定期報告本網絡中用戶的變更情況。

第九條重要領域、重點單位的計算機信息系統使用單位應當建立計算機信息系統安全管理組織，指定安全管理人員。

安全管理組織及安全管理人員負責對計算機信息系統運行情況和運行環境進行檢查，編制運行日志，及時消除安全隱患，對可能遭受的侵害和破壞制定應急處置預案。

安全管理人員應當參加公安機關組織的計算機信息系統安全知識培訓。

第十條重要領域、重點單位的計算機信息系統使用單位應當建立下列安全保護管理制度：

(一)計算機機房安全管理制度；

(二)信息發布審核、登記制度；

(三)信息監視、保存、清除和備份制度；

(四)病毒檢測和網絡安全漏洞檢測制度；

(五)賬號使用登記和操作權限管理制度；

(六)安全教育和培訓制度；(七)違法案件報告和協助查處制度；(八)其他與安全保護相關的管理制度。

第十一條重要領域、重點單位的計算機信息系統使用單位應當落實下列安全保護技術措施：

(一)60日以上系統網絡運行日志和用戶使用日志記錄保存措施；

(二)安全審計和預警措施；

(三)垃圾郵件清理措施；

(四)身份登記和識別確認措施；

(五)計算機病毒防治措施；

(六)信息群發限制和有害數據防治措施；

(七)國家規定的其他安全技術措施。

第十二條互聯網上網服務營業場所經營單位在開業前，必須依法經縣級以上人民政府公安機關對信息網絡安全予以審核合格，并依法取得有關部門頒發的證照。

互聯網上網服務營業場所經營單位應當依法履行計算機信息系統安全保護義務，不得擅自停止實施安全技術措施。

第十三條任何單位和個人不得利用國際聯網從事下列危害計算機信息網絡安全的活動：

(一)制作、復制、發布、傳播有害信息；

(二)未經允許，對計算機信息網絡功能進行刪除、修改或者增加；

(三)未經允許，對計算機信息網絡中存儲、處理或者傳輸的數據和應用程序進行刪除、修改或者增加；

(四)故意制作、傳播計算機病毒等破壞性程序；

(五)危害計算機信息網絡安全的其他行為。

第十四條設區市以上人民政府公安機關應當在網站或者其他媒體上及時發布計算機病毒疫情預報。

其他任何單位和個人不得以任何方式發布計算機病毒疫情。

第十五條對計算機信息系統中發生的違法案件，使用單位發現后應當迅速采取措施，保護現場和相關資料，并在24小時內向縣級以上人民政府公安機關報告。公安機關接到報告后應當立即采取措施進行處置。涉及國家安全的，由國家安全機關依法進行處置。

對計算機信息系統中發生的違法案件和重大安全事故的有關情況，縣級以上人民政府公安機關應當及時向使用單位通報。

第十六條公安機關應當對計算機信息系統進行不定期安全檢查，發現安全隱患時，應當及時向使用單位發出《計算機信息系統安全隱患整改通知書》，并提出改進意見，指導、督促使用單位限期整改，消除隱患。

第十七條公安機關為保護計算機信息系統安全，在下列緊急情況下，可以采取24小時內暫時停機、暫停聯網、備份數據等措施，有關單位和個人應當如實提供有關信息和資料，并提供相關技術支持和必要的協助：

(一)計算機信息系統遭惡意攻擊導致系統癱瘓的；

(二)計算機信息系統遭病毒感染導致系統癱瘓的；

(三)通過計算機信息系統向外大量發送有害信息的；

(四)在對計算機信息系統中發生的案件進行偵察過程中，證據可能滅失或者以后難以取得的；

(五)其他應當采取緊急措施的情況。

縣級以上人民政府公安機關采取前款規定的緊急措施前，應當報經本機關主要負責人批準。

第十八條計算機信息系統安全專用產品生產者在其產品進入市場銷售之前，應當依法取得公安部頒發的《計算機信息系統安全專用產品銷售許可證》，并在其產品的固定位置標明“銷售許可”標記。

任何單位和個人不得銷售無“銷售許可”標記的安全專用產品。

從事計算機信息系統安全專用產品經營的，應當在開業后30日內報設區市以上人民政府公安機關備案。

第十九條設區市以上人民政府公安機關負責計算機信息系統安全專用產品銷售許可證的監督檢查工作，對銷售計算機信息系統安全專用產品的單位和個人，可以采取驗證檢查和抽樣檢測等監督措施。

對商用密碼的管理，按照國務院《商用密碼管理條例》的規定執行。

第二十條重要領域、重點單位新建的計算機信息系統未在規定期限內備案的，由公安機關責令限期改正；逾期不改正的，處以1000元以下罰款。

第二十一條重要領域、重點單位的計算機信息系統使用單位違反本辦法第九條規定的，由公安機關責令限期整改；逾期不整改的，公安機關可以處以6個月以內停機整頓。

第二十二條重要領域、重點單位的計算機信息系統使用單位違反本辦法第十條、第十一條規定的，由公安機關責令限期改正，給予警告；逾期不改正的，對單位直接負責的主管人員和其他直接責任人員可以并處5000元以下罰款，對單位可以并處15000元以下罰款；情節嚴重的，可以并處6個月以內停止聯網、停機整頓。

第二十三條利用國際聯網從事本辦法第十三條所列活動的，由公安機關給予警告，有違法所得的，沒收違法所得，對個人可以并處5000元以下罰款，對單位可以并處15000元以下罰款；情節嚴重的，可以并處6個月以內停止聯網、停機整頓；違反治安管理規定的，依法予以治安處罰；構成犯罪的，依法追究刑事責任。

第二十四條計算機信息系統安全專用產品經營者銷售無“銷售許可”標記的安全專用產品，或者未按照本辦法的要求在規定期限內辦理備案手續的，由公安機關責令限期改正；逾期不改正的，處以1000元以上5000元以下罰款。

第二十五條違反本辦法規定的其他行為，國家另有處罰規定的，從其規定。

第二十六條公安人員在計算機信息系統安全保護工作中，利用職權索取、收受賄賂或者有其他違法、失職行為，構成犯罪的，依法追究刑事責任；尚不構成犯罪的，依法給予行政處分。

第二十七條本辦法下列用語的含義為：計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。

有害數據，是指計算機信息系統及其存儲介質中存在、出現的，危害計算機信息系統安全運行和功能發揮的程序，或者對國家安全和社會公共安全構成危害或者潛在威脅的信息。

接入單位，是指負責接入國際聯網的計算機信息網絡運行單位。

計算機信息系統安全專用產品，是指用于保護計算機信息系統安全的專用硬件和軟件產品。

第二十八條軍隊的計算機信息系統安全保護工作，按照軍隊的有關法規執行。

第二十九條計算機信息系統的保密管理，依照國家和省的有關規定執行。

第三十條本辦法自2004年11月1日起施行。