2065438+2009 Medidas de gestión de protección de seguridad del sistema de información informática de la provincia de Sichuan
Capítulo 1 Disposiciones generales
Artículo 1: Proteger la seguridad de los sistemas de información informática, fomentar las aplicaciones informáticas y promover el desarrollo informático, de acuerdo con Según el Reglamento de protección de seguridad del sistema de información informática de la "República Popular China", estas medidas se formulan en función de las condiciones reales de nuestra provincia.
Artículo 2: Estas medidas se aplican a la protección de la seguridad de los sistemas de información informática dentro de la región administrativa de la provincia de Sichuan.
Artículo 3 Sistema de información informática se refiere a un sistema humano-computador compuesto por computadoras y sus equipos e instalaciones relacionados y de soporte (incluidas las redes) que procesa información de acuerdo con ciertos objetivos y reglas de aplicación.
Artículo 4 La protección de la seguridad del sistema de información informática garantizará la seguridad de las computadoras y sus equipos, instalaciones (incluidas las redes) y entorno operativo de soporte y relacionados, así como la seguridad de la información informática, y garantizará el funcionamiento normal. y mantenimiento de funciones informáticas. El funcionamiento seguro de los sistemas de información informáticos.
La protección de seguridad del sistema de información informática se centra en mantener la seguridad de los sistemas de información informática en campos importantes como asuntos nacionales, construcción económica, construcción de defensa nacional y tecnología de vanguardia.
Artículo 5 Los órganos de seguridad pública tienen a su cargo la protección de la seguridad de los sistemas de información informáticos y supervisan la protección de la seguridad de los sistemas de información informáticos.
Los departamentos nacionales de seguridad y confidencialidad y otros departamentos relevantes deben hacer un buen trabajo en la protección de la seguridad de los sistemas de información informática dentro del alcance de sus respectivas responsabilidades.
Artículo 6 Los usuarios de sistemas de información informática deberán cumplir las leyes y reglamentos sobre protección de seguridad de sistemas de información informática, establecer y mejorar sistemas de protección de seguridad e implementar responsabilidades de protección de seguridad.
Artículo 7 Los ciudadanos, las personas jurídicas y otras organizaciones sociales no pondrán en peligro la seguridad de los sistemas de información informática, ni utilizarán los sistemas de información informática para realizar actividades que pongan en peligro los derechos e intereses legítimos del Estado, los colectivos y los ciudadanos. .
Artículo 8 Si los ciudadanos, personas jurídicas y otras organizaciones sociales logran logros sobresalientes en la protección de la seguridad de los sistemas de información informática, serán elogiados y recompensados por los departamentos o unidades competentes.
Capítulo 2 Sistema de Protección de Seguridad
Artículo 9 Los sistemas de información informática deberán implementar un nivel de protección de seguridad.
El nivel de seguridad de los sistemas de información informáticos se divide en nivel de seguridad de la información y nivel de confiabilidad del sistema.
Artículo 10 Según la importancia de la información, el nivel de seguridad de la información de los sistemas informáticos de información se divide en cuatro niveles:
(1) Nivel A, que es información altamente sensible;
(2)Nivel B, que es información sensible;
(3)Nivel C, que es información de gestión interna;
(4)Nivel D, que es información pública.
Artículo 11 Los niveles de confiabilidad de los sistemas informáticos de información se clasificarán según las normas técnicas de seguridad de la información y el estado de operación y gestión del sistema.
Artículo 12 Las normas específicas para el nivel de seguridad de los sistemas de información informática serán formuladas por el Departamento Provincial de Seguridad Pública de acuerdo con los requisitos del Ministerio de Seguridad Pública y otros departamentos nacionales pertinentes.
Artículo 13 La confirmación o cambio del nivel de seguridad de los sistemas de información informática se realizará de conformidad con las siguientes disposiciones:
(1) El condado (ciudad, distrito) y sus unidades afiliadas informarán a la oficina de seguridad pública del condado (ciudad), distrito) informarán a la oficina de seguridad pública municipal (prefectura) para su revisión e informarán al Departamento de Seguridad Pública Provincial para su aprobación
(2; ) Las unidades usuarias municipales (prefectura) informarán a la oficina de seguridad pública municipal (prefectura) y serán responsables de El órgano de seguridad pública municipal (prefectura) lo presentará al Departamento Provincial de Seguridad Pública para su examen y aprobación;
(3) Si lo utilizan unidades del nivel provincial o superior, lo presentará al Departamento Provincial de Seguridad Pública para su examen y aprobación.
El sistema de información informático sólo podrá ponerse en funcionamiento después de haber sido revisado y aprobado para determinar su nivel de seguridad y obtenido un certificado de uso seguro de acuerdo con lo establecido en el párrafo anterior.
Artículo 14 Las salas de ordenadores deben cumplir con las normas nacionales y las regulaciones nacionales pertinentes.
La construcción u otras actividades cerca de la sala de ordenadores no deberán poner en peligro la seguridad del sistema de información informático.
Artículo 15 El personal importante de aplicaciones de sistemas de información informática debe recibir capacitación en seguridad y obtener un certificado de calificación de aplicaciones de seguridad informática emitido por el Departamento Provincial de Seguridad Pública antes de poder operar computadoras.
Artículo 16 Los sistemas de información informática que estén conectados entre industrias, departamentos, ciudades y condados, o que cambien o dejen de estar conectados a Internet, serán informados por sus usuarios a las autoridades locales dentro de los 30 días. a partir de la fecha de conexión, cambio o interrupción de la conexión a Internet Registro ante los órganos de seguridad pública a nivel de ciudad (prefectura) o superior.
Los sistemas de información informática que se encuentren conectados internacionalmente deberán presentarse ante la Dirección Provincial de Seguridad Pública dentro de los 30 días siguientes a su conexión oficial.
Artículo 17 Quien transporte, porte o envíe por correo hacia o fuera del país soportes de información informática, deberá declarar verazmente ante la aduana. Cuando la aduana descubra medios de información que pongan en peligro la seguridad de los sistemas de información informática, deberá notificarlo de inmediato a los órganos de seguridad pública municipales (regionales) locales.
Artículo 18 Para aquellos que utilizan sistemas de información informática para llevar a cabo actividades ilegales y delictivas, la unidad de usuario deberá informar a la agencia de seguridad pública local a nivel del condado o superior dentro de las 24 horas posteriores al descubrimiento y proteger la escena y materiales relevantes si las condiciones lo permiten, la unidad dejará de esperar el procesamiento.
Artículo 19: Ninguna unidad o individuo podrá crear, introducir o difundir intencionalmente virus informáticos y otros datos dañinos, y no podrá copiar, interceptar o alterar datos en sistemas de información informáticos por medios ilegales.
Artículo 20 Cualquier uso de nuevos virus informáticos deberá informarse a la agencia de seguridad pública local a nivel del condado o superior en un plazo de 3 días.
Si los usuarios descubren datos dañinos, como virus políticos, que causan daños graves, deben informarlo a la agencia de seguridad pública local a nivel del condado o superior dentro de las 24 horas, y prestar atención a proteger el sitio y los sitios relacionados. Materiales pendientes de procesamiento.
Artículo 21 Quienes fabriquen, vendan, arrienden y reparen software y hardware informático deberán probar los productos. Si se encuentran virus informáticos y otros datos dañinos, deben procesarse de acuerdo con las disposiciones del artículo 20 para garantizar que los productos no contengan virus informáticos ni otros datos dañinos.
Artículo 22 Sin la aprobación del Departamento Provincial de Seguridad Pública, ninguna unidad o individuo podrá realizar las siguientes actividades:
(a) Recolectar y almacenar virus informáticos;
(2) Publicar, distribuir, publicar, producir, difundir y vender libros y medios de información que contengan mecanismos de virus informáticos y programas fuente de virus;
(3) Divulgar públicamente información sobre epidemias de virus informáticos;
(4) Realizar actividades que involucren mecanismos de virus informáticos.
Quienes hayan sido aprobados por el Departamento Provincial de Seguridad Pública para realizar las actividades del inciso (2) del párrafo anterior, deberán presentarse ante el departamento administrativo de prensa y publicaciones para su aprobación de conformidad con el reglamento.
Artículo 23 Para realizar investigaciones sobre la prevención y el control de virus informáticos, se debe presentar una solicitud a la oficina de seguridad pública municipal (prefectura) local, al departamento de seguridad pública provincial para su aprobación, y el El trabajo de investigación debe informarse periódicamente.
Artículo 24 La venta de productos de seguridad de sistemas de información informática debe ser aprobada por el Departamento Provincial de Seguridad Pública y se puede obtener una licencia de venta de productos de seguridad informática antes de la venta.
Si el estado tiene otras regulaciones sobre el manejo de productos especiales confidenciales para sistemas de información informática confidencial, esas regulaciones prevalecerán.
Capítulo 3 Supervisión y Gestión de la Seguridad
Artículo 25 Las principales responsabilidades de los órganos de seguridad pública en todos los niveles para la protección de la seguridad de los sistemas de información informática son:
( 1) Supervisar, inspeccionar y orientar la protección de seguridad de los sistemas de información informática;
(2) Realizar publicidad y educación sobre la protección de seguridad de los sistemas de información informática;
(3) Investigar y castigar a quienes pongan en peligro la seguridad de los sistemas de información informática Casos ilegales y penales;
(4) Proporcionar orientación de seguridad para nuevas construcciones, reconstrucción y expansión de sistemas de información informática;
( 5) Gestionar la prevención y el control de virus informáticos y otros datos dañinos;
p>
(6) Revisar el nivel de seguridad de los sistemas de información informáticos de conformidad con la normativa:
(7) Supervisar las actividades de venta de productos especiales de seguridad informática;
(8) Realizar sistemas de información informática Otras responsabilidades regulatorias para la protección de la seguridad.
Artículo 26 Cuando los funcionarios encargados de hacer cumplir la ley de los órganos de seguridad pública desempeñen sus funciones de protección y supervisión de la seguridad de los sistemas de información informática, deberán presentar el certificado de supervisión de la seguridad informática emitido por el Departamento Provincial de Seguridad Pública y hacer cumplir la ley de manera manera civilizada.
Artículo 27: Cuando el órgano de seguridad pública descubra un peligro oculto que afecte la seguridad de los sistemas informáticos de información, deberá emitir sin demora un aviso de rectificación a la unidad usuaria y rectificarlo dentro de un plazo.
Artículo 28 Los usuarios de sistemas de información informática deberán establecer una organización líder para la protección de la seguridad de los sistemas de información informática o asignar gerentes a tiempo completo o parcial para implementar un sistema de responsabilidad de seguridad y organizar la capacitación en el trabajo para los gerentes; y operadores de aplicaciones formular Planes para prevenir y controlar virus informáticos y otros datos dañinos; ayudar a los órganos de seguridad pública en la investigación y manejo de casos ilegales y criminales que pongan en peligro la seguridad de los sistemas de información informática;
Capítulo 4 Sanción
Artículo 29 Si una sala de computadoras no cumple con las normas nacionales y otras regulaciones nacionales relevantes, poniendo en peligro la seguridad de los sistemas de información informática, los órganos de seguridad pública en o por encima el nivel municipal (prefectura) deberá ordenar al usuario que realice modificaciones dentro de un límite de tiempo, o que deje de usarlo.
La construcción u otras actividades que pongan en peligro la seguridad de los sistemas de información informática cerca de las salas de ordenadores serán manejadas por los órganos de seguridad pública en colaboración con las unidades pertinentes.
Artículo 30 Cualquier persona que transporte, transporte o envíe por correo medios de información informática dentro o fuera del país sin informar verazmente a la aduana será sancionado por la aduana de acuerdo con las normas pertinentes.
Artículo 31 Si concurre alguna de las siguientes circunstancias, el órgano de seguridad pública deberá apercibir u ordenar la suspensión de las operaciones para su rectificación:
(1) El sistema informático de información no confirme el nivel de protección de seguridad y obtenga El certificado se pone en uso de inmediato;
(2) Operadores importantes de sistemas de información informática que no han obtenido certificados de capacitación en seguridad operan en la computadora;
( 3) No hacerlo dentro del plazo Tramitado de conformidad con lo dispuesto en el artículo 16 de estas Medidas;
(4) No informar los casos de sistemas de información informática dentro del tiempo prescrito;
(5) Mejoras dentro de un plazo notificado por el órgano de seguridad pública Negarse a corregir la situación de seguridad pública;
(6) Otras conductas que pongan en peligro la seguridad de los sistemas de información informática.
Artículo 32: Cualquier persona que cometa cualquiera de los siguientes actos recibirá una amonestación o una multa no inferior a 5.000 yuanes pero no superior a 5.000 yuanes por parte del órgano de seguridad pública si se constituye un delito, responsabilidad penal; se perseguirá de acuerdo con la ley:
(1) Investigar, recopilar o almacenar virus informáticos sin aprobación; (2) Publicar epidemias de virus informáticos sin aprobación (3) Sin aprobación, llevar a cabo actividades que involucren; instituciones de virus informáticos;
(4) Los productos de software y hardware fabricados, vendidos, alquilados o mantenidos contienen virus informáticos y otros datos dañinos.
Artículo 33: Cualquiera que cometa cualquiera de los siguientes actos será amonestado por el órgano de seguridad pública o se le impondrá una multa de 2.000 a 5.000 yuanes y una multa de 5.000 a 15.000 yuanes. se impondrá a la unidad si hay ingresos ilegales. Además de la confiscación, se puede imponer una multa de no más de tres veces los ingresos ilegales:
(1) Crear o ingresar y difundir computadoras intencionalmente; virus y otros datos dañinos;
(2) Copia ilegal, interceptación o manipulación de datos en sistemas de información informáticos, poniendo en peligro la seguridad de los sistemas de información informáticos;
(3) Venta de productos especiales productos para la seguridad de sistemas de información informática sin permiso.
Artículo 34 Si los interesados no están satisfechos con las sanciones administrativas impuestas por los órganos de seguridad pública de conformidad con estas Medidas, podrán solicitar una reconsideración administrativa o iniciar un litigio administrativo de conformidad con la ley.
Artículo 35: En la protección y supervisión de la seguridad de los sistemas de información informática, si el personal de los órganos de seguridad pública abusa de su poder, descuida sus deberes o incurre en malas prácticas para beneficio personal, será sancionado administrativamente por su departamentos competentes; si se constituye un delito, serán sancionados por las autoridades judiciales investigarán la responsabilidad penal de conformidad con la ley.
Capítulo 5 Disposiciones Complementarias
Artículo 36 El significado de los siguientes términos en estas Medidas:
Virus informáticos se refiere a virus compilados o insertados en programas informáticos Un conjunto de instrucciones de computadora o código de programa que destruye funciones o datos de la computadora, afecta el uso de la computadora y puede replicarse. Los datos nocivos se refieren a datos relacionados con sistemas de información informáticos, incluidos programas que ponen en peligro el funcionamiento seguro de los sistemas de información informáticos, o datos que representan daños o amenazas potenciales a la seguridad nacional y social.
Los medios de información informática se refieren a discos duros de computadora, disquetes, discos ópticos, cintas, tarjetas magnéticas, cintas de papel, tarjetas, papel de impresión, chips y firmware que pueden almacenar y transportar programas, datos e información de computadora.
Los productos de seguridad de sistemas de información informáticos especializados se refieren a productos especiales de hardware y software utilizados para proteger la seguridad de los sistemas de información informáticos.
Artículo 37 Corresponde a la Dirección Provincial de Seguridad Pública explicar las cuestiones específicas en la implementación de estas medidas.
Artículo 38 Las presentes Medidas entrarán en vigor el 6 de mayo de 1996.