部屬各單位，部內各單位：

　　現將修訂后的《鐵路計算機信息系統安全保護辦法》發給你們，請結合實際，認真執行。

　　鐵路計算機信息系統安全保護辦法

　　第一章　總　則

　　第一條　為了保護鐵路計算機信息系統安全，促進計算機的應用和發展，保障鐵路運輸生產和現代化建設順利進行，根據《中華人民共和國計算機信息系統安全保護條例》有關規定，制定本辦法。

　　第二條　本辦法適用于鐵路運營、工程、設計部門，鐵道部機關及直屬單位。

　　第三條　本辦法所稱的計算機信息系統是指由計算機及其相關和配套的設備、設施（含網絡）構成的，按照一定的應用目標和規則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統。

　　第四條　計算機信息系統的安全保護，應當保障計算機及其相關的配套的設備、設施（含網絡）的安全，運行環境的安全，保障信息的安全，保障計算機功能的正常發揮，以維護計算機信息系統的安全。

　　第五條　計算機信息系統的安全保護工作，是鐵路運輸生產安全保護工作的組成部分，要貫徹“安全第一，預防為主”的方針。

　　第六條　鐵道部公安局主管鐵路計算機信息系統安全保護工作，各鐵路公安局、處，鐵路工程、鐵道建筑公安局、處可以建立計算機安全監察機構或指定專、兼職計算機安全監察人員負責計算機信息系統安全保護工作。

　　第二章　安全監督

　　第七條　鐵路各級公安機關對計算機信息系統安全保護工作行使下列職權：

　　（一）督促系統的管理部門和使用單位執行國家有關計算機安全法律、法規和規定，依法對其計算機信息系統安全保護工作進行監督、檢查和指導；

　　（二）負責對新建、改建、擴建計算機信息系統的安全保護措施進行審核、驗收；

　　（三）負責對計算機工作人員的安全培訓；（四）負責管理計算機信息系統安全專用產品的使用；

　　（五）組織計算機病毒防治和疫情報告；

　　（六）查處、偵破危害系統安全的事故、案件；

　　（七）負責通報表彰和處罰；（八）辦理計算機安全使用管理手續。

　　第八條　鐵路公安機關負責鐵路系統國際互聯網的安全保護管理工作。

　　第九條　鐵路各級公安機關發現影響計算機信息系統安全的隱患時，要及時通知使用單位采取安全措施，限期整改。

　　第十條　鐵路各級公安計算機安全監察人員必須持鐵路計算機安全監察證（樣式見鐵公安[1993]61號文）方可上崗工作。監察證由鐵道部公安局統一簽發。

　　第十一條　基層公安保衛組織對計算機信息系統負有安全保護職責。在特殊情況下，經上級鐵路計算機安全監察部門批準，可行使有關計算機安全監察職權。

　　第三章　安全保護

　　第十二條　計算機信息系統安全保護實行誰主管誰負責的原則。使用計算機信息系統的單位（以下簡稱使用單位）負責本單位的計算機信息系統安全保護工作，使用單位的直接上級行政管理部門（以下簡稱管理部門）領導所屬使用單位的計算機信息系統安全保護工作。

　　第十三條　使用單位的職責：

　　（一）建立健全安全管理制度；

　　（二）定期進行安全檢查，完善安全措施；（三）嚴格管理系統資源，保證系統環境安全；

　　（四）定期向公安計算機安全監察部門和管理部門報告安全情況；

　　（五）對造成損失并影響生產安全、影響系統安全的計算機事件及違法行為，在24小時內報告管理部門和鐵路計算機安全監察部門，并保護現場及有關資料，協助開展調查，處理責任者。

　　第十四條　管理部門的職責：

　　（一）檢查、指導使用單位的計算機信息系統安全保護工作；

　　（二）督促使用單位辦理計算機安全使用管理手續；

　　（三）保證計算機信息系統建設與安全保護、管理工作同步進行。

　　第十五條　計算機信息系統的建設、應用，應當遵守法律、行政法規和國家及鐵道部有關規定。

　　第十六條　計算機信息系統實行安全等級保護，安全等級的劃分及安全保護方法，由鐵道部公安局會同有關部門制定。

　　第十七條　進行國際聯網的計算機信息系統，要嚴格執行公安部有關規定。

　　第十八條　計算機房的建設應當符合國家及鐵道部的有關規定。

　　第十九條　新建、改建、擴建計算機信息系統在投入使用前，要將系統的安全保護方案、措施報公安機關。

　　第二十條　計算機及其相關設備，在投入使用前，要辦理安全管理手續。

　　第二十一條　重要部門的計算機信息系統，對外聯網或提供服務時，須經鐵路公安機關審核。

　　第二十二條　國家對于計算機信息系統安全專用產品的銷售實行許可證制度，凡擬研制、生產計算機信息系統安全專用產品，須報鐵路公安機關。

　　第二十三條　為防止制造或傳播新的計算機病毒，未經鐵路公安機關批準，任何單位和個人不得從事計算機病毒研究，不得購買、銷售、復制使用社會上來歷不明的計算機病毒檢測清除軟件，購買計算機病毒檢測清除軟件須到鐵路公安機關登記。

　　第二十四條　重要部門的計算機房要規定嚴格的出入制度，未經主管部門授權或批準的人員，不得接觸和使用信息處理設備和媒體。

　　第二十五條　重要計算機信息系統必須制定應急方案，確保系統在發生意外情況后能夠迅速恢復正常。

　　第二十六條　重要計算機信息系統應具有故障檢測、故障控制和追蹤的能力，以確保系統的安全性。

　　第二十七條　所有的計算機信息系統資產要嚴格執行登記使用制度，并建立完整的設備臺帳及設備檔案，定期進行清查。

　　第二十八條　對信息處理的各個環節和流程要有安全保護和安全控制措施，防止被人非法利用、更改、損害和泄漏。

　　第二十九條　設備使用和信息存取權按照工作需要原則授予，任何人不得越權使用或改變計算機信息系統資源。

　　第三十條　要嚴格執行安全保密制度，存儲介質和文件資料應由專人負責妥善保管，未經領導批準，不得隨意利用、修改、復制和外借。

　　第三十一條　做好日常的數據和軟件備份。對新引用的軟件和外來數據，使用前必須進行安全檢測，確認無誤后，再投入正常運行。

　　第四章　獎懲

　　第三十二條　違反本辦法，有下列行為之一的單位、個人，公安機關可處以警告、通報批評、責令停機整頓：

　　（一）違反計算機信息系統國際聯網備案制度；

　　（二）增設或更換設備不到公安機關辦理安全管理手續；

　　（三）違反計算機信息系統安全等級保護制度，危害計算機信息系統安全；

　　（四）在24小時內不報告計算機信息系統發生的安全事故、事件或違法行為；

　　（五）拒絕、阻礙計算機安全監察部門實施安全檢查；

　　（六）經計算機安全監察部門通知在限期內仍未采取措施改進安全狀況。

　　第三十三條　違反本辦法，有下列行為之一的，公安機關可視情節給予罰款（對個人處5千元以下、對單位處1萬5千元以下罰款；有違法所得的，除予以沒收外，可處以非法所得1至3倍的罰款，最高不超過三萬元。）：

　　（一）故意輸入計算機病毒以及其它有害數據；

　　（二）利用計算機信息系統從事違法活動；

　　（三）未經公安機關許可私自出售計算機病毒防治工具，散發有害的計算機軟件、硬件及其出版物；

　　（四）非法截取、利用或出賣計算機信息系統信息，有損國家利益和安全的；

　　（五）違反本辦法有關規定的。

　　第三十四條　違反國家有關法律、法規的，依照國家有關法律、法規處罰。

　　第三十五條　違反鐵路有關規定的，依照鐵路有關規章制度處理。

　　第三十六條　因計算機信息系統安全保護工作不落實，導致發生危害后果的單位，除處罰直接責任者外，還要追究使用單位主管領導的責任。

　　第三十七條　對安全管理工作有顯著貢獻或成績突出的單位和個人，公安機關給予表彰。

　　第三十八條　當事人對公安機關依照本辦法作出的處罰行為不服的，可以向上一級公安機關申請復議。

　　第五章　附　則

　　第三十九條　本辦法由鐵道部公安局負責解釋。

　　第四十條　本辦法自公布之日起施行。