学院计算机信息系统安全保护实施办法.docx

学院计算机信息系统安全保护实施办法第一章 总则第一条 为了加强对我院计算机信息网络的安全保护，维护公共秩序和社会稳定，根据中华人民共和国计算机信息系统安全保护条例、中华人民共和国计算机信息网络国际互联网管理暂行规定、公安部计算机信息网络国际互联网安全保护管理办法和有关法律、法规的规定，制定本实施办法。第二条 本办法适用于通过各种方式接入学院计算机信息网络的所有用户，包括各级单位用户、局域网用户和个人用户。第三条 安全管理部门职责（一）学院计算机信息系统安全保护工作领导小组负责制定安全管理制度和院内安全保护实施细则；（二）党委宣传部负责校园公共信息的发布和日常信息内容监管工作；（三）计算机网络与教育技术中心负责校园网范围内计算机入网的审批和管理，并负责各信息系统规划建设、运行管理和维护升级，保证系统安全；（四）保卫处负责校园网设施、设备物理安全。第四条 任何用户不得利用学院计算机信息网络危害国家安全、泄漏国家机密，不得侵犯国家、社会、学院和其他单位的利益和公民的合法权益，不得从事违法犯罪活动。第二章 安全运行管理第五条 建立健全的安全保护管理制度，保证网络安全工作有法可依。第六条 任何部门和个人上网必须有单位和个人提出申请（单位必须经单位负责人同意），办理入网申请手续，经计算机网络和教育技术中心批准，签订安全协议，填写用户备案数据，并将变更情况及时报信息计算机网络与教育技术中心备案。第七条 实行信息上网审批制度，对发布到网络上的信息，必须经宣传部等学院授权部门审批，获批准后方能发布到网上；未经审批或审批不及格均不得自行发布到网络上；规范电子阅览室、计算机机房等上网场所的管理，落实实名上网登记制度和日志留存。 第八条 落实岗位责任制度，对关系到网络运行及信息安全的每个岗位安排专人进行负责；各信息系统由所属单位制定专人作为系统管理员，负责各自系统安全。 第九条 建立值班制度，计算机网络与教育技术中心安排专人对网络日常运行状况、网络机房消防卫生及网上信息等方面安全进行监控，宣传部对网上信息安排专人进行实时监控，保卫处安排专人对网络机房进行实时监管，保证设备安全、系统安全、数据安全、内容安全。 第十条 落实安全保护技术措施，保障学习网络的安全运行和信息安全；做好相关数据安全审计、日志记录；数据备份及登机工作，建立灾难性数据恢复机制。 第十一条 对学院网络用户开展安全教育和培训。第三章 事故与案件处理第十二条 学院信息网络安全管理部门应当接受公安机关的安全监督、检查和指导，如实向公安机关提供有关安全保护信息、资料及数据文件，协助查处通过学院计算机信息网络从事违法犯罪行为。第十三条 各级职能部门分工合作，及时做好信息网络安全事故处理工作。（一）各部门配合的信息审核员和安全管理人员，发现网站上出现有害信息时，应及时采取措施保留原始数据后及时删除，同事上报宣传部网络管理室备案；（二）宣传部网络管理室负责对所有信息进行监视及信息审核，发现有害信息及时通报相关部门进行处理，按规定应上报的情况及时向上级主管部门汇报；（三）计算机网络与教育技术中心网络室在发现或接到预警信息时，及时备份登记同时进行相关技术处理。第十四条 计算机信息系统安全保护工作领导小组应对重大事故原因进行调查、分析和处理，对事故后果进行评估，并对事故责任处理情况进行监督检查。同时定期对校园安全时间进行统计分析，统计结果发全院各有关部门以积累经验，加强防范意识不断改进应急工作。第四章 附则第十五条 对于违反本规定造成损失的，视情节轻重报有关部门处理。 第十六条 对于危害公共安全、国家安全、泄漏国家机密以及其他违反法律、法规的行为，由司法、公安部门依法处理，构成犯罪的，报有关司法部门依法追究刑事责任。计算机信息网络安全保护管理办法第一章 总则第一条 为加强计算机信息网络安全保护管理，促进信息化建设健康发展，维护合法权益、公共利益和社会稳定，根据中华人民共和国计算机信息系统安全保护条 例等法律、法规，结合本市实际，制定本办法。第二条 本市行政区域管理权限范围内的计算机信息网络安全保护管理活动，适用本办法。涉及国家秘密的计算机信息系统按照有关保密法律、法规的规定执行。第三条 计算机信息网络安全坚持“保护与管理并重”和“谁主管、谁负责与谁运营、谁负责”的原则。第四条 市、区(市、县)人民政府应当加强计算机信息网络安全保护管理工作的领导，将该项工作纳入本级人民政府社会管理综合治理和年度目标考核。第五条 市公安机关负责全市计算机信息网络安全保护管理工作，其所属的网络安全保卫部门具体负责计算机信息网络安全保护管理的日常工作。区、县(市)公安机关按照职责权限负责本辖区范围内的计算机信息网络安全保护管理工作。国家安全机关和保密、密码、工商、文化广播电影电视、工业和信息、监察及其他有关行政主管部门，按照各自职责，做好计算机信息网络安全保护管理的相关工作。计算机信息网络运营、使用单位，应当按规定做好计算机信息网络安全保护管理的相关工作。第二章 监督管理职责第六条 公安机关在计算机信息网络安全保护管理工作中履行下列职责：(一)指导、监督、检查计算机信息网络运营、使用单位建立并落实各项安全保护制度和安全保护技术措施;(二)指导、监督、检查计算机信息网络中的公共信息服务、信息安全等级保护和计算机信息网络安全服务机构的安全测评等工作，发现公共信息中含有本办法第二十四条所列信息的，应当通知计算机信息网络运营、服务单位予以删除，必要时依法中止对发送者的网络服务;(三)办理有关计算机信息网络的备案手续;(四)负责受理危害计算机信息网络安全事件、案件的报告、举报，勘查现场并收集相关证据，依法查处违反计算机信息网络安全管理的违法行为;(五)指导或者组织计算机信息网络运营、使用单位从事计算机信息网络安全保护工作的人员进行计算机信息网络安全培训;(六)负责计算机病毒防治管理工作;(七)发生计算机信息网络重大突发事件，危及国家安全、发生公共安全、社会稳定及重要计算机信息网络安全等紧急情况时，按照法定程序报批后，要求相关单位采取相应的紧急控制措施;(八)法律、法规、规章规定的其他职责。第七条 国家安全机关负责计算机信息网络国家安全事项管理工作，依法查处利用计算机信息网络危害国家安全的违法行为。第八条 保密行政管理部门依法对有关计算机信息网络保守国家秘密工作实施监督管理。第九条 密码管理部门应当加强对计算机信息系统内密码产品使用单位的监督、检查和指导，定期对计算机信息系统安全等级保护工作中密码配备、使用和管理的情况进行检查和测评，并对密码产品使用单位的操作和管理人员进行培训。密码管理部门在监督检查过程中发现存在安全隐患、违反密码管理规定或者未达到密码标准要求的，应当按照密码管理的相关规定进行处理。第十条 计算机信息网络运营、使用单位应当履行下列职责：(一)负责本单位计算机信息网络安全保护管理工作，建立健全安全保护管理制度，落实安全保护技术措施，保障本单位网络运行安全和信息安全;(二)负责对本网络相关用户的安全教育培训;(三)发现公共信息中含有危害信息网络安全、有害数据或者利用网络实施违法行为，应当立即停止传输违法内容，保留有关原始记录，在24小时内向所在地公安机关报告;(四)协助、配合公安机关、国家安全机关等部门依法查处违法行为;(五)如实向公安机关、国家安全机关及其他有关部门提供计算机信息系统安全保护的信息资料、互联网基础数据及其他数据文件;(六)法律、法规、规章规定的其他职责。第三章 安全保护第十一条 计算机信息系统实行安全等级保护制度。计算机信息系统的安全保护等级分为五个等级，其确定的原则、标准、各级别安全保护及管理内容按照国家有关规定执行。涉密信息系统应当根据国家信息安全等级保护的基本要求，按照有关规定和技术标准，结合系统实际情况进行保护。第十二条 计算机信息网络的运营、使用单位应当按照国家有关管理规范和技术标准确定计算机信息系统的安全保护等级。新建、改建、扩建的计算机信息系统，其运营、使用单位应当在规划、设计阶段确定计算机信息系统的安全保护等级，并同步建设符合该安全保护等级要求的信息安全设施，落实安全保护措施。计算机信息系统的规划、建设、运营和使用单位在计算机信息系统安全保护设施的规划、建设中，应当使用符合国家规定并满足计算机信息系统安全保护需求的信息安全产品。第十三条 第二级及第二级以上计算机信息网络的运营、使用单位，应当按照下列规定到市公安机关网络安全保卫部门申请办理定级备案手续：(一)新建计算机信息网络的，自投入运行之日起30日内;(二)已运行计算机信息网络的，自本办法施行之日起30日内;(三)计算机信息网络的结构、处理流程、服务内容等发生变更的，自变更之日起30日内。第十四条 计算机信息网络运营、使用单位应当建立健全并落实以下安全保护管理制度：(一)计算机机房安全管理制度;(二)安全责任制度和保密制度;(三)核实、登记并及时更新用户注册信息制度;(四)账号使用登记和操作权限管理制度;(五)安全管理人员岗位工作职责;(六)重要设备、介质管理制度;(七)信息发布审核、登记、保存、清除和备份制度;(八)信息网络安全教育和培训制度;(九)信息网络安全应急处置制度;(十)案件、事件报告和协助查处制度;(十一)应当建立并落实的其他安全保护制度。第十五条 计算机信息网络运营、使用单位应当严格按照互联网安全保护技术措施规定和其他有关法律、法规、规章的规定实施安全保护技术措施。第十六条 计算机信息网络运营、使用单位应当加强对计算机信息网络安全状况的日常检测工作，按照国家有关管理规范和技术标准定期对计算机信息网络进行等级测评和对其安全状况进行自查，经测评、自查，对不符合要求的，应当及时整改。第十七条 计算机信息网络运营、使用单位应当制定计算机信息系统重大突发事件应急处置预案。计算机信息网络发生重大突发事件时，其运营、使用单位应当按照应急处置预案的要求及时处理，并服从公安机关和指定的其他有关部门的调度。违反国家保密规定泄露或者可能泄露国家秘密的，应当立即采取措施并报告有关机关、单位，有关机关、单位应当立即作出处理，向所在地国家安全机关或者保密行政管理部门报告，并保留有关原始记录。第十八条 互联网服务提供者、联网使用单位，应当自网络联通之日起30日内，网络已经联通的自本办法施行之日起30日内，到市公安机关网络安全保卫部门申请办理备案手续。互联网服务提供者应当登记用户的真实资料。用户资料发生变更的，应当自变更之日起30日内，到原备案的公安机关网络安全保卫部门申请办理备案变更手续。第十九条 互联网信息服务单位应当建立健全信息审核制度，明确信息审核人员，发现属于本办法第二十四条规定信息的，应当立即删除违法内容，保存有关原始记录，并向所在地公安机关、国家安全机关报告，涉及其他部门的向有关行政主管部门报告。提供电子公告、网络游戏和其他即时通信服务的，其计算机信息网络应当使用固定的互联网网络地址，如实记录并留存用户注册信息。第二十条 使用内部网络地址与互联网网络地址转换方式接入互联网的联网使用单位，应当记录并留存用户上网终端硬件地址等信息与内部网络地址和互联网网络地址的对应关系，并留存60日以上。第二十一条 依法设立互联网上网服务营业场所的单位，应当严格执行互联网上网服务营业场所管理条例的相关规定，定期将其网络安全状况及相关资料报送有管理权限的公安机关网络安全保卫部门备案。第二十二条 非经营性互联网上网服务提供单位，应当遵守下列规定：(一)提供互联网上网服务之日起15日内，已经提供互联网上网服务的自本办法施行之日起15日内，到所在地公安机关网络安全保卫部门申请办理备案手续;(二)其法定代表人、场所、网络地址等发生变更的，自上述情形变更之日起15日内，到原备案的公安机关申请办理备案变更手续;(三)安装、运行符合国家标准的安全保护技术设施，与公安机关信息管理平台联网，并保证其在线正常运行;(四)提供无线方式接入服务的互联网上网服务场所，应当记录并留存用户信息及对应的上网终端硬件地址等信息。第二十三条 计算机信息网络安全服务机构应当依法设立。拟在本市从事相关业务活动的应当在开展业务活动之前30日内，已经开展业务活动的自本办法施行之日起30日内，到市公安机关网络安全保卫部门申请办理备案手续。计算机信息网络安全服务机构及其工作人员应当遵守下列规定：(一)按照有关法律、法规的规定和信息安全技术标准提供服务;(二)在进行服务过程中，不得泄露所获悉的国家秘密、商业秘密和计算机信息系统的技术秘密;(三)不得非法占有、使用用户的信息资源;(四)不得在计算机信息系统中设置隐蔽信道。第二十四条 任何单位或者个人不得利用计算机信息网络制作、发布、传播含有下列内容的信息：(一)反对宪法规定的基本原则的;(二)危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的;(三)损害国家荣誉、利益和公共利益的;(四)煽动民族仇恨、民族歧视，破坏民族团结，或者侵害民族风俗习惯的;(五)破坏国家宗教政策，宣扬邪教、封建迷信的;(六)散布谣言，扰乱社会秩序，破坏社会稳定的;(七)鼓动公众恶意评论他人、公开发布他人隐私或者通过暗示、影射等方式对他人进行人身攻击的;(八)公然侮辱他人或者捏造事实诽谤他人的;(九)以非法社团名义活动的;(十)买卖法律、法规禁止流通的物品的;(十一)非法买卖法律、法规限制流通的物品对公共安全构成威胁的;(十二)含有淫秽、色情、赌博、暴力、欺诈、恐怖等内容，或者教唆犯罪、传授犯罪方法的;(十三)法律、法规、规章禁止的其他信息内容。第二十五条 任何单位或者个人不得从事下列危害计算机信息网络安全和秩序的活动：(一)未经允许，进入计算机信息系统或者非法占有、使用、窃取计算机信息系统资源;(二)未经允许，对计算机信息系统功能进行删除、修改、增加或者干扰;(三)未经允许，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改或者增加;(四)破坏计算机信息网络运行环境、设施设备;(五)窃取、盗用、篡改、破坏他人网络资源;(六)故意制作、传播、使用计算机病毒、恶意软件等破坏性程序，或者制作、发布、复制、传播含破坏性程序或者其机理、源程序的信息;(七)故意阻塞、阻碍、中断计算机信息网络的信息传输，恶意占用网络资源;(八)利用计算机信息网络违背他人意愿、冒用他人名义发布信息;(九)明知本单位或者本人的计算机信息网络的网络地址、主机空间等资源已被他人利用，从事可能危害计算机信息网络安全的活动而不予制止;(十)擅自利用计算机信息网络收集、使用、提供、买卖他人专有信息;(十一)其他危害计算机信息网络安全和秩序的行为。第四章 罚则第二十六条 国家机关、国有企业、事业单位的主要负责人违反本办法规定，造成严重后果的，依照相关规定给予行政处分。公安机关及其他部门的工作人员违反本办法规定，玩忽职守、滥用职权或者徇私舞弊的，由其所在单位或者上级主管部门、监察机关按照相关规定予以处理。第二十七条 违反本办法规定，有下列情形之一的，由公安机关在管理权限范围内给予警告，责令其限期改正;逾期不改正的，依法给予6个月以内停机整顿：(一)未建立计算机信息系统安全保护等级的;(二)不办理备案手续或者变更备案手续的;(三)不在规定时间报告计算机信息系统中发生重大安全事故的;(四)计算机信息系统安全保护设施不按照国家信息安全等级保护管理规范和技术标准进行规划、建设的。第二十八条 违反本办法规定，有下列情形之一的，由公安机关在管理权限范围内给予警告，责令其限期改正;逾期不改正的，对非经营性质的单位处500元以上1000元以下罚款，对经营性质的单位处1000元以上1万元以下罚款：(一)不按国家有关规定对计算机信息系统进行等级测评和对其安全状况进行自查，或者经测评和自查不符合要求又不及时整改的;(二)有关部门对危害计算机信息网络安全和涉嫌违法行为依法进行调查时，不如实提供有关信息资料、互联网基础数据及其他数据文件的;(三)未制定计算机信息系统重大突发事件应急处理预案，或者发生重大突发事件时不及时处理并不服从有关部门调度的。第二十九条 违反本办法规定，未建立并落实计算机信息网络安全保护管理制度，或者未落实安全技术保护措施的，由公安机关在管理权限范围内按照计算机信息网络国际联网安全保护管理办法第二十一条的规定予以处罚。第三十条 互联网上网服务营业场所的经营单位违反相关管理规定，按照互联网上网服务营业场所管理条例的相关规定予以处罚。第三十一条 经依法取得营业执照的互联网上网服务营业场所，无正当理由超过法定期限未开业或者开业后自行停业符合法定吊销、注销营业执照条件的，由该营业场所所在地有管理权限的工商行政管理登记机关依法吊销、注销其营业执照。第三十二条 单位或者个人违反本办法第二十四条、第二十五条规定情形之一的，由公安机关在管理权限范围内按照中华