寧夏回族自治區人大常委會 寧夏回族自治區計算機信息系統安全保護條例 寧夏回族自治區人民代表大會常務委員會公告第六十二號 《寧夏回族自治區計算機信息系統安全保護條例》已由寧夏回族自治區第十屆人民代表大會常務委員會第十一次會議于2009年7月31日通過，現予公布，自2009年10月1日起施行。 寧夏回族自治區人民代表大會常務委員會 二ＯＯ九年七月三十一日 寧夏回族自治區計算機信息系統安全保護條例 （2009年7月31日寧夏回族自治區第十屆 人民代表大會常務委員會第十一次會議通過） 第一章 總 則 第一條　為加強計算機信息系統安全保護, 促進計算機應用和信息化建設的健康發展,維護國家安全、社會公共利益和公民、法人及其他組織的合法權益，根據《中華人民共和國計算機信息系統安全保護條例》及有關法律、行政法規的規定,制定本條例。 第二條　自治區行政區域內對計算機信息系統的安全保護，適用本條例。 第三條 公安機關主管計算機信息系統的安全保護工作。 國家安全機關、保密行政管理部門、密碼管理部門、信息化行政主管部門及其他有關部門,在各自職責范圍內，依法負責計算機信息系統安全保護的相關工作。 第四條　計算機信息系統運營、使用單位，應當依法履行計算機信息系統安全保護義務。 任何組織或者個人,不得利用計算機信息系統從事危害國家利益、社會公共利益和公民、法人及其他組織的合法權益的活動，不得危害計算機信息系統的安全。 第二章 安全等級保護 第五條　計算機信息系統實行安全等級保護制度。 計算機信息系統安全等級保護堅持自主定級、自主保護原則，由運營、使用單位按照下列標準自主定級： （一）計算機信息系統受到破壞后，可能對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益的，為第一級； （二）計算機信息系統受到破壞后，可能對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全的，為第二級； （三）計算機信息系統受到破壞后，可能對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害的，為第三級； （四）計算機信息系統受到破壞后，可能對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害的，為第四級； （五）計算機信息系統受到破壞后，可能對國家安全造成特別嚴重損害的，為第五級。 第六條 計算機信息系統涉及國家安全、社會公共利益、重大經濟建設信息的，其運營、使用單位或者主管部門應當選擇符合法定條件的安全等級測評機構，對計算機信息系統安全等級狀況進行測評，準確核定信息系統安全保護等級。 第七條 計算機信息系統運營、使用單位應當遵守下列規定： （一）對計算機信息系統進行定級，并按照等級保護管理規范和技術標準實施保護； （二）新建計算機信息系統的，在規劃、設計階段確定安全保護等級，同步建設符合該安全保護等級要求的信息安全保護設施，落實安全保護措施； （三）按照計算機信息系統安全保護等級要求，使用取得國家銷售許可證的信息安全專用技術產品； （四）定期對本單位計算機信息系統的安全狀況、保護制度和措施進行自查和整改； （五）計算機信息系統確定為第二級以上保護等級的,應當制定重大突發事件應急處置預案；確定為第三級以上的，應當每年至少進行一次系統安全等級測評； （六）指定專職人員負責本單位計算機信息系統的安全管理。專職人員應當通過設區的市以上公安機關、人力資源和社會保障部門的專業培訓，并取得合格證。 第八條 第二級以上計算機信息系統運營、使用單位，應當自確定安全等級之日起三十日內，將信息系統保護的具體措施，向所在地設區的市以上公安機關報送備案；屬于跨設區的市或者自治區統一聯網的計算機信息系統，還應當向自治區公安機關報送備案。 計算機信息系統的結構、處理流程、服務內容等發生變化，致使安全保護等級發生變化，或者因實際需要公安機關要求重新定級的，計算機信息系統運營、使用單位應當重新定級、重新備案。 第九條 公安機關應當自收到備案材料之日起在十五個工作日內對報送備案的材料進行審查，對符合等級保護要求的，出具備案證明；對定級不準確或者保護措施不符合技術規范的，應當自收到備案材料之日起十五個工作日內書面通知報送單位予以糾正。 第十條　計算機信息系統運營、使用單位應當落實下列安全保護技術措施： （一）重要數據庫和系統主要設備的冗余或者備份； 　　（二）計算機病毒的防治； （三）網絡攻擊的防范和追蹤； （四）網絡安全事件的監測和記錄； （五）身份登記和識別確認； （六）用戶賬號和網絡地址的記錄； （七）安全審計和預警； （八）系統運行和用戶使用日志記錄的保存； （九）信息群發的控制； （十）有害信息、垃圾信息的防治； （十一）法律、法規規定的其他技術保護措施。 鼓勵計算機信息系統運營、使用單位采取先進的安全保護技術措施。 第三章 涉及國家秘密計算機信息系統管理 第十一條 涉及國家秘密計算機信息系統（以下簡稱涉密系統）應當依據涉密信息系統分級保護的管理規定和技術標準，按照秘密、機密、絕密三個等級的不同要求，實施分級保護。 涉密系統的安全保護水平，應當不低于計算機信息系統安全等級保護第三級以上的水平。 第十二條 涉密系統使用單位應當遵守下列規定： （一）規劃、設計和建設涉密系統時，應當按照國家保密標準配備設施和設備，同步設計和建設，同步運行； （二）對已建成使用的涉密系統，定期進行安全保密性能測評； （三）依法對涉密系統存儲、處理和傳輸的信息，按照系統處理信息的最高密級確定保護等級和技術措施，并報保密行政管理部門備案。 第十三條 承擔規劃、設計、建設和維護涉密系統的單位，應當具有涉密集成資質。 涉密系統的安全保密設計方案和實施方案應當經過保密行政管理部門的審查。 第十四條 涉密系統投入使用前，建設使用單位應當向設區的市以上保密行政管理部門申請批準，非經保密行政管理部門批準的涉密系統不得投入使用。 設區的市以上保密行政管理部門應當自受理申請之日起二十日內，依據保密技術標準，對涉密系統進行審查。對不符合標準的，不予批準并提出書面整改意見，由使用單位進行整改后重新報批。 未經審查批準的涉密系統，不得存儲、處理和傳輸涉密信息，不得與其他涉密系統互聯。 第十五條 涉密系統使用單位應當根據實際需要采取下列保密防護措施： （一）物理隔離； （二）惡意代碼的防護； （三）身份鑒別和訪問控制防護； （四）涉密移動存儲設備監管； （五）密碼保護； （六）電磁泄漏發射防護； （七）邊界安全防護； （八）其他需要的保密防護措施。 第十六條 涉密系統運營、使用單位采用密碼進行等級保護的，應當執行國家密碼管理的有關規定。 第四章 安全秩序 第十七條 任何單位或者個人不得利用計算機信息系統制作、傳播、復制下列有害信息： （一）危害國家統一、主權和領土完整的； （二）泄露國家秘密、危害國家安全或者損害國家榮譽和利益的； （三）煽動民族仇恨、民族歧視，或者故意侵害民族風俗、習慣，破壞民族團結的； （四）煽動聚眾滋事，損害社會公共利益的； （五）散布謠言，擾亂社會秩序、破壞社會穩定的； （六）宣揚邪教、封建迷信的； （七）宣揚暴力、兇殺、恐怖、淫穢、色情、賭博的； （八）教唆犯罪或者傳授犯罪方法的； （九）侮辱、誹謗、恐嚇他人，侵害他人合法權益的； （十）法律、法規禁止制作、傳播、復制的其他信息。 第十八條 任何單位或者個人不得利用計算機信息系統實施下列行為： （一）未經允許，進入計算機信息系統或者非法占有、竊取、使用計算機信息系統資源； （二）未經允許，對計算機信息系統的功能或者存儲、處理、傳輸的數據和應用程序進行控制、刪除、修改或者增加； （三）故意制作、傳播計算機病毒、惡意軟件等破壞性程序； （四）提供專門用于侵入、非法控制他人計算機信息系統的程序或者工具； （五）竊取他人賬號和密碼，或者擅自向第三方公開他人賬號和密碼； （六）非法截取、篡改、刪除他人電子郵件或者其他數據資料； （七）假冒他人名義發布、發送信息，或者以其他方式進行網絡詐騙； （八）擅自公開他人的信息資料； （九）買賣法律、法規禁止流通的物品； （十）非法提供虛假票據、證件；