遼寧省計算機信息系統安全管理條例

　　遼寧省人民代表大會常務委員會公告

　　第5號

　　《遼寧省計算機信息系統安全管理條例》已由遼寧省第十二屆人民代表大會常務委員會第四次會議于2013年9月27日審議通過，現予公布。本條例自2013年12月1日起施行。

　　遼寧省人民代表大會常務委員會

　　2013年9月27日

　　遼寧省計算機信息系統安全管理條例

　　2013年9月27日遼寧省第十二屆人民代表大會常務委員會第四次會議通過

　　第一章　總 　則

　　第一條 為了保護計算機信息系統安全，保障公民、法人和其他組織的合法權益，維護國家安全、社會秩序和公共利益，促進計算機應用和信息化建設的健康發展，根據《中華人民共和國計算機信息系統安全保護條例》等有關法律、法規，結合本省實際，制定本條例。

　　第二條 本條例適用于本省行政區域內計算機信息系統(以下簡稱信息系統)的安全管理。

　　存儲、處理國家秘密的信息系統為涉密信息系統，按照涉密程度實行分級保護，其安全保密管理按照國家有關保密法律、法規和標準執行。

　　第三條　省、市、縣(含縣級市、區，下同)公安機關負責信息系統安全管理工作。

　　國家安全、電信、保密、密碼管理等部門，在各自職責范圍內做好信息系統安全管理的有關工作。

　　第四條 信息系統運營、使用單位應當保障計算機及其相關和配套的設備、設施(含網絡)安全，運行環境安全和信息安全，維護信息系統安全運行。

　　第五條 任何組織和個人不得實施危害信息系統安全的行為，不得利用信息系統從事危害國家安全、社會秩序和公共利益，以及侵害公民、法人和其他組織合法權益的活動。

　　第六條 省公安機關和省電信主管部門應當建立工作協調機制，完善信息安全保障措施。有關行政部門應當配合公安機關做好懲治侵害信息系統安全違法犯罪的工作。

　　第二章　安全等級保護

　　第七條 信息系統實行安全等級保護制度。根據信息系統的重要程度和信息系統受到破壞后對國家安全、社會秩序和公共利益，以及公民、法人和其他組織的合法權益的危害程度等因素，分為下列五級：

　　(一)信息系統受到破壞后，將對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益的，為第一級;

　　(二)信息系統受到破壞后，將對公民、法人和其他組織的合法權益造成嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全的，為第二級;

　　(三)信息系統受到破壞后，將對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害的，為第三級;

　　(四)信息系統受到破壞后，將對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害的，為第四級;

　　(五)信息系統受到破壞后，將對國家安全造成特別嚴重損害的，為第五級。

　　第八條 信息系統運營、使用單位應當依據國家信息系統安全等級保護管理規范和技術標準，按照自主定級、自主保護、履行義務、承擔責任的原則，確定信息系統安全保護等級。

　　跨省或者全國統一聯網運行的信息系統，可以由信息系統運營、使用單位的主管部門統一確定安全保護等級。

　　第九條 信息系統運營、使用單位應當按照國家信息系統安全等級保護的有關技術規范，建立安全管理制度，落實安全保護技術措施，確定責任機構和人員。

　　第十條 信息系統運營、使用單位應當在規劃、設計階段，確定信息系統的安全保護等級，同步建設符合該安全保護等級要求的安全設施，使用符合國家有關規定并能夠滿足安全保護等級要求的技術產品。

　　對已經投入運行但不符合安全保護等級要求的，應當采取技術措施補救或者改建。

　　第十一條 有下列情形之一的，信息系統運營、使用單位應當到所在地公安機關備案：

　　(一)已投入運行的第二級以上的信息系統，應當在安全保護等級確定后三十日內，到市公安機關備案;新建成的第二級以上的信息系統，應當在投入運行后三十日內，到市公安機關備案;

　　(二)屬于跨省或者全國統一聯網運行的信息系統在本省運行、應用的分支系統以及省直單位信息系統，由省電信主管部門、省直單位到省公安機關備案，但省級分支機構的上級主管部門已到國務院有關部門備案的除外;

　　(三)屬于因信息系統的結構、處理流程、服務內容等發生重大變化，導致安全保護等級變更的，應當自變更之日起三十日內，到原受理備案的公安機關重新備案。

　　公安機關應當自收到備案材料之日起十個工作日內進行審核。符合安全等級保護要求的，頒發《信息系統安全等級保護備案證明》;不符合安全等級保護要求的，書面告知并說明理由。

　　第十二條 信息系統運營、使用單位應當按照國家有關規定和技術標準，開展信息系統安全等級保護測評和自查工作。

　　信息系統運營、使用單位應當將等級測評報告存檔備查，同時到受理備案的公安機關備案。

　　未達到安全等級保護要求的，信息系統運營、使用單位應當及時進行整改。

　　第十三條　第三級以上信息系統應當選擇符合國家規定條件的等級測評機構進行測評。

　　從事測評業務的機構和人員應當符合國家規定的條件。

　　從事測評業務的機構和人員不得從事下列活動：

　　(一)擅自使用或者泄露、出售測評工作中接觸的信息和資料;

　　(二)涂改、出售、出租或者轉讓資質證書;

　　(三)違反國家有關測評規定的其他行為。

　　第十四條 對于第二級以上信息系統，其信息系統運營、使用單位應當制定信息安全事件應急處置預案。發生安全事件時，應當按照應急處置預案的要求及時采取相應的處置措施，保留有關原始記錄，并在二十四小時內向受理其備案的公安機關報告。

　　信息安全事件的等級和具體認定標準，由省公安機關會同省政府有關部門制定。國家另有規定的，從其規定。

　　第十五條　受理備案的公安機關對第三級信息系統，應當每年檢查一次;對第四級信息系統，應當每半年檢查一次;對第五級信息系統，按照國家特殊安全需要的有關規定進行檢查。

　　對跨省或者全國統一聯網運行的信息系統，應當會同其主管部門進行檢查。

　　第十六條　公安機關實施檢查的內容包括下列事項：

　　(一)安全需求是否發生變化，原定保護等級是否準確;

　　(二)信息系統運營、使用單位安全管理制度、措施的落實情況;

　　(三)信息系統運營、使用單位及其主管部門對信息系統安全狀況的檢查情況;

　　(四)安全等級測評是否符合要求;

　　(五)信息安全產品使用是否符合要求;

　　(六)信息系統安全整改情況;

　　(七)備案材料與信息系統運營、使用單位是否符合;

　　(八)法律、法規規定的其他事項。

　　第十七條　信息系統運營、使用單位應當接受公安機關的監督檢查和指導，按規定如實提供下列信息系統資料：

　　(一)運行狀況記錄;

　　(二)安全保護組織、人員情況;

　　(三)安全管理制度、措施變更情況;

　　(四)備案事項變更情況;

　　(五)安全狀況自查記錄;

　　(六)等級測評報告;

　　(七)信息安全產品使用的變更情況;

　　(八)信息安全事件應急預案和應急處置結果報告;

　　(九)信息系統安全建設、整改結果報告。

　　第十八條　公安機關在檢查中發現信息系統安全保護狀況不符合信息安全等級保護管理規范和技術標準的，應當向運營、使用單位發出書面整改通知。

　　信息系統運營、使用單位應當根據整改通知要求，按照管理規范和技術標準及時進行整改。整改完成后，應當將整改報告報公安機關備案。根據實際需要，公安機關可以對整改情況進行檢查。

　　第三章　信息安全和運行環境安全

　　第十九條 任何單位和個人不得利用信息系統制作、復制、發布和傳播下列信息：

　　(一)反對憲法確定的基本原則的;

　　(二)危害國家安全，泄露國家秘密，顛覆國家政權，破壞國家統一的;

　　(三)損害國家榮譽和利益的;

　　(四)煽動民族仇恨、民族歧視，破壞民族團結的;

　　(五)破壞國家宗教政策，宣揚邪教、封建迷信的;

　　(六)散布謠言，煽動非法聚集，擾亂社會秩序，破壞社會穩定的;

　　(七)宣揚淫穢、色情、賭博、暴力、兇殺、恐怖，教唆犯罪，或者交易、制造違禁品、管制物品的;

　　(八)侮辱或者誹謗他人，侵害他人合法權益的;

　　(九)法律、法規禁止的其他內容。

　　第二十條 互聯網服務提供者和聯網使用單位應當建立信息審核制度，明確審核人員，發現本條例第十九條禁止的違法信息，應當先行保存有關記錄，及時采取刪除、停止傳輸等處置措施，并向公安機關等有關部門報告。

　　公安機關查處涉嫌違法犯罪行為時，互聯網服務提供者和聯網使用單位應當提供有關信息、資料、數據文件和原始記錄。

　　第二十一條 任何單位和個人不得利用信息系統實施下列行為：

　　(一)未經允許侵入信息系統;

　　(二)非法獲取、使用信息系統資源或者對信息系統實施非法控制;

　　(三)擅自向第三方公開他人電子郵箱地址和其他個人信息資料;

　　(四)竊取他人賬號和密碼，或者擅自向第三方公開他人賬號和密碼;

　　(五)未經允許，對計算機信息系統功能進行刪除、修改、增加或者干擾;

　　(六)未經允許，對計算機信息系統中存儲、處理或者傳輸的數據和應用程序進行刪除、修改或者增加;

　　(七)提供專門用于實施侵入、非法控制信息系統的程序、工具;

　　(八)故意制作、傳播計算機病毒以及其他破壞性程序;

　　(九)其他危害信息系統安全的行為。

　　第四章　法律責任

　　第二十二條 信息系統運營、使用單位違反本條例第八條、第十一條第一款規定的，由公安機關給予警告，責令限期改正;情節嚴重的，給予三個月停止聯網、停機整頓處罰。

　　第二十三條 第三級以上信息系統運營、使用單位違反本條例第九條規定, 未按照國家信息系統安全等級保護的有關技術規范，建立安全管理制度，落實安全保護技術措施，確定責任機構和人員的，由公安機關給予警告，責令限期改正;逾期不改正的，可以處一萬五千元罰款;情節嚴重的，給予三個月停止聯網、停機整頓處罰，必要時由發證部門依法吊銷經營許可證或者取消相關資格。

　　第二十四條 第三級以上信息系統運營、使用單位違反本條例第十條、第十三條第一款規定，未使用符合國家有關規定并能夠滿足安全保護等級要求的技術產品或者未選擇符合國家規定條件的等級測評機構進行測評的，由公安機關和有關部門按照職責分工責令其限期改正;逾期不改正的，給予警告。

　　第二十五條 從事測評業務的機構違反本條例第十三條第二款、第三款規定的，由公安機關給予警告，責令限期改正。

　　第二十六條 單位和個人違反本條例規定，利用信息系統制作、復制、發布、傳播本條例第十九條內容的，由公安機關給予警告，責令改正;情節嚴重的，給予六個月停止聯網、停機整頓處罰，必要時由發證部門依法吊銷經營許可證或者取消相關資格;構成治安管理處罰的，依照《中華人民共和國治安管理處罰法》的規定處罰;構成犯罪的，依法追究刑事責任。

　　第二十七條 互聯網服務提供者和聯網使用單位違反本條例第二十條規定的，由公安機關給予警告，責令限期改正;情節嚴重的，給予三個月停止聯網、停機整頓處罰。

　　第二十八條 單位和個人違反本條例第二十一條規定的，由公安機關給予警告，有違法所得的，沒收違法所得，對單位可以并處一萬五千元罰款，對個人可以并處五千元罰款;情節嚴重的，給予三個月停止聯網、停機整頓處罰，必要時由發證部門依法吊銷經營許可證或者取消相關資格;構成治安管理處罰的，依照《中華人民共和國治安管理處罰法》的規定處罰;構成犯罪的，依法追究刑事責任。

　　第二十九條 公安機關和其他有關部門及其工作人員有下列情形之一的，對主管人員和直接責任人員給予行政處分;構成犯罪的，依法追究刑事責任：

　　(一)利用職權索取、收受賄賂，或者不履行法定職責的;

　　(二)泄露信息系統運營、使用單位或者個人的有關信息、資料及數據文件的;

　　(三)有其他徇私舞弊、玩忽職守、濫用職權行為的。

　　第五章　附　 則

　　第三十條　本條例自2013年12月1日起施行。1998年5月29日遼寧省第九屆人民代表大會常務委員會第二次會議通過的《遼寧省計算機信息系統安全管理條例》同時廢止。