发布文号: 深公通[2003]4号
现将广东省公安厅制定的《广东省计算机信息系统安全保护管理规定实施细则(试行)》予以转发,请组织学习并认真贯彻执行。执行中如有疑问,请及时与市公安局公共信息网络安全监察分局联系。
联系人:赵钢,马松辉,邓小环联系电话:25637970,84464900
二○○三年七月三十一日
《广东省计算机信息系统安全保护管理规定》实施细则(试行)
第一章 总 则
第一条 为了保护计算机信息系统的安全,促进信息化建设的健康发展,根据《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》和《广东省计算机信息系统安全保护管理规定》,结合本省实际,制定本细则。
关联法规:国务院行政法规(1)条 国务院部委规章(1)条 地方政府规章(1)条
第二条 本省行政区域内计算机信息系统的安全保护,适用本细则。
军队的计算机信息系统安全保护工作,按照军队的有关法规执行。
第三条 县级以上人民政府公安机关公共信息网络安全监察部门负责主管本行政区域内的计算机信息系统安全保护工作。
第二章 安全监督
第四条 公安机关公共信息网络安全监察部门对计算机信息系统安全保护工作行使下列职责:
(一)监督、检查、指导计算机信息系统安全保护工作;
(二)组织实施计算机信息系统安全评估、审验;
(三)查处计算机违法犯罪案件;
(四)组织处置重大计算机信息系统安全事故和事件;
(五)负责计算机病毒和其他有害数据防治管理工作;
(六)对计算机信息系统安全服务和安全专用产品实施管理;
(七)负责计算机信息系统安全培训管理工作;
(八)法律、法规和规章规定的其他职责。
第五条 公安机关公共信息网络安全监察部门对重点安全保护单位计算机信息系统的安全检查,每年不应少于一次。
第六条 公安机关公共信息网络安全监察部门采取24小时内暂时停机、暂停联网、备份数据等紧急措施须经县级以上公安机关批准。
第七条 公安机关公共信息网络安全监察部门与所在地安全服务机构、互联网运营单位和其他计算机信息系统使用单位应当建立联防机制,依法及时查处通过计算机信息系统进行的违法犯罪行为,组织处置重大突发事件。
第三章 安全保护责任
第八条 单位和个人应当对其所有、使用和管理的计算机信息系统承担相关的安全保护责任。
提供接入服务和信息服务以及主机托管、虚拟主机、网站和网页信息维护等其他服务的单位应当和用户在合同中明确双方的计算机信息系统安全保护责任。提供服务的单位应当承担与其提供服务直接相关的安全保护义务。
第九条 网吧、社区、学校、图书馆、宾馆等提供上网服务的场所和互联网运营单位应当落实相应的安全措施,安装已取得《计算机信息系统安全专用产品销售许可证》的安全管理系统。
第十条 计算机信息系统使用单位和个人为了保护计算机信息系统的安全,可以与安全服务机构明确服务项目和要求,建立相对稳定的服务关系。
第四章 安全专用产品
第十一条 计算机信息系统安全专用产品生产单位在其产品进入本省市场销售前,应当取得公安部颁发的《计算机信息系统安全专用产品销售许可证》,并报省公安厅公共信息网络安全监察部门备案。
第十二条 本省安全专用产品生产单位应当在领取营业执照后30日内持下列资料到省公安厅公共信息网络安全监察部门备案。
(一)单位简况;
(二)营业执照复印件;
(三)安全专用产品类型、功能等情况;
(四)主要技术人员资格证书复印件。
第十三条 销售信息网络安全检测产品的单位应当在领取营业执照后30日内向地级以上市公安机关公共信息网络安全监察部门申请备案,填写《广东省信息网络安全检测产品销售备案表》,并提交如下资料:
(一)单位简况;
(二)营业执照复印件;
(三)信息网络安全检测产品销售和售后服务管理制度;
(四)主要技术人员资格证书和销售人员有效证件复印件。
第十四条 信息网络安全检测产品只限于单位购买使用。购买信息网络安全检测产品的单位应当指定专人管理和使用,不得出租、出借、转让、赠送,不得擅自用于检测他人计算机信息系统。
用户购买信息网络安全检测产品,应当持单位的证明文件到所在地地级以上市公安机关公共信息网络安全监察部门办理备案手续,公安机关应当在15日内予以办理,发给《信息网络安全检测产品购买备案表》;不予办理的,应当书面说明理由。
用户应当凭《信息网络安全检测产品购买备案表》购买信息网络安全检测产品。投入使用后,应当在10日内将本单位的《用户IP地址配置备案表》报送所在地地级以上市公安机关公共信息网络安全监察部门备案。
第十五条 信息网络安全检测产品销售单位应当查验用户的《购买信息网络安全检测产品备案表》后方可销售。
销售信息网络安全检测产品的单位,应当负责产品的使用授权和维护、更新。
第五章 安全服务机构
第十六条 安全服务资质实行等级管理,分一、二、三、四级。各等级所对应的承担工程的资格如下:
(一)一级:可承担所有计算机信息系统安全设计、建设、检测;
(二)二级:可独立承担第一级、第二级、第三级、第四级安全保护等级且安全投资总额为300万元以下的计算机信息系统安全设计、建设、检测,合作承担第五级安全保护等级或安全投资总额为300万元以上的计算机信息系统安全设计、建设、检测;
(三)三级:可独立承担第一级、第二级安全保护等级且安全投资总额为150万元以下的计算机信息系统安全设计、建设、检测,合作承担第三级、第四级安全保护等级且安全投资总额为300万元以下的计算机信息系统安全设计、建设、检测;
(四)四级:可独立承担第一级、第二级安全保护等级且安全投资总额为50万元以下的计算机信息系统安全设计、建设,合作承担第一级、第二级安全保护等级且安全投资总额为150万元以下的计算机信息系统安全设计、建设。
第十七条 各安全服务资质等级条件如下:
一级资质:
(一)具有相应经营范围的营业执照;
(二)注册资本1200万元以上,近3年的财务状况良好;
(三)近3年完成计算机信息系统安全服务项目总值3000万元以上,并承担过至少1项450万元以上或至少4项150万元以上的项目;所完成的安全服务项目中应具有自主开发的安全产品;服务费用(含系统设计费、软件开发费、系统集成费和技术服务费)应占工程项目总值的30%以上(即不低于900万元);工程按合同要求质量合格,已通过验收并投入实际应用;
(四)具有计算机安全或相关专业资格证书的专业技术人员不少于50人,其中大学本科以上学历的人员不少于40人;
(五)安全服务工作的管理人员应当具有5年以上从事计算机信息系统安全技术领域企业管理工作经历,技术负责人已获得计算机信息系统安全技术相关专业的高级职称,从事计算机信息系统安全集成工作不少于5年;
(六)具有较强的综合实力,有先进、完整的软件及系统开发环境和设备,具有较强的技术开发能力;
(七)具有完善的组织管理制度、质量保证体系和客户服务体系,实行工程标准化管理和量化控制,并能不断改进;
(八)具有系统的对员工进行新知识、新技术培训的计划,并能有效地组织实施。
(九)竣工项目均通过验收;
(十)无触犯计算机信息系统安全保护等有关法律法规的行为。
二级资质:
(一)具有相应经营范围的营业执照;
(二)注册资本500万元以上,近3年的财务状况良好;
(三)近3年完成计算机信息系统安全服务项目总值1500万元以上,并承担过至少1项225万元以上或至少3项120万元以上的项目;所完成的安全服务项目中应具有自主开发的安全产品;服务费用(含系统设计费、软件开发费、系统集成费和技术服务费)应占工程项目总值的30%以上(即不低于450万元);工程按合同要求质量合格,已通过验收并投入实际应用;
(四)具有计算机安全或相关专业资格证书的专业技术人员不少于40人,其中大学本科以上学历的人员不少于30人;
(五)安全服务工作的管理人员应当具有4年以上从事计算机信息系统安全技术领域企业管理工作经历,技术负责人已获得计算机信息系统安全技术相关专业的高级职称,从事计算机信息系统安全集成工作不少于4年;
(六)具有先进、完整的软件及系统开发环境和设备,有较强的技术开发能力;
(七)具有完善的组织管理制度、质量保证体系和客户服务体系,实行工程标准化管理和量化控制;
(八)具有系统的对员工进行新知识、新技术培训的计划,并能有效地组织实施;
(九)竣工项目均通过验收;
(十)无触犯计算机信息系统安全保护等有关法律法规的行为。
三级资质:
(一)具有相应经营范围的营业执照;
(二)注册资本100万元以上,近3年的财务状况良好;
(三)近3年完成计算机信息系统安全服务项目总值600万元以上;服务费用(含系统设计费、软件开发费、系统集成费和技术服务费)应占工程项目总值的30%以上(即不低于180万元);工程按合同要求质量合格,已通过验收并投入实际应用;
(四)具有计算机安全或相关专业资格证书的专业技术人员不少于20人,其中大学本科以上学历的人员不少于15人;
(五)安全服务工作的管理人员应当具有3年以上从事计算机信息系统安全技术领域企业管理工作经历,技术负责人已获得计算机信息系统安全技术相关专业的高级职称,从事计算机信息系统安全集成工作不少于3年;
(六)具有与所承担项目相适应的软件及系统开发环境和设备,具有一定的技术开发能力;
(七)具有完善的组织管理制度、质量保证体系和客户服务体系,实行工程标准化管理;
(八)具有系统的对员工进行新知识、新技术培训的计划,并能有效地组织实施;
(九)竣工项目均通过验收;
(十)无触犯计算机信息系统安全保护等有关法律法规的行为。
四级资质:
(一)具有相应经营范围的营业执照;
(二)注册资本30万元以上,近3年的财务状况良好;
(三)具有计算机安全或相关专业资格证书的专业技术人员不少于15人;
(四)安全服务工作的管理人员应当具有2年以上从事计算机信息系统安全技术领域企业管理工作经历,技术负责人已获得计算机信息系统安全技术相关专业的高级职称,从事计算机信息系统安全集成工作不少于2年;
(五)具有与所承担项目相适应的软件及系统开发环境和设备,具有一定的技术开发能力;
(六)具有较为完善的组织管理制度、质量保证体系和客户服务体系;
(七)具有系统的对员工进行新知识、新技术培训的计划,并能有效地组织实施;
(八)竣工项目均通过验收;
(九)无触犯计算机信息系统安全保护等有关法律法规的行为。
第十八条 申请安全服务资质,应当持下列资料向地级以上市公安机关公共信息网络安全监察部门提出申请:
(一)申请书;
(二)营业执照复印件;
(三)管理人员和专业技术人员的身份证明、学历证明和计算机安全培训合格证书;
(四)技术装备情况及组织管理制度报告。
地级以上市公安机关公共信息网络安全监察部门应当自接到申请材料之日起15日内对申请材料进行初审。初审合格的,报送省公安厅公共信息网络安全监察部门核准;初审不合格的,退回申请并说明理由。
省公安厅公共信息网络安全监察部门应当自接到初审材料之日起15日内进行审查,符合条件的,核发资质证书。不符合条件的,作出不予核准的决定并说明理由。
持国家工商行政管理总局或省工商行政管理局核发的营业执照以及申请一级安全服务资质的机构,直接向省公安厅公共信息网络安全监察部门提出申请,省公安厅公共信息网络安全监察部门应当在30日内作出核准意见。
第十九条 从事计算机信息系统安全检测的安全服务机构应当具有三级以上安全服务资质。
承担重点安全保护单位计算机信息系统和计算机机房使用前安全检测的安全服务机构由地级以上市公安机关公共信息网络安全监察部门实行总量控制,择优授权,应具备下列条件:
(一)具有三级以上安全服务资质;
(二)中国公民或者组织持有的股权或者股份不少于51%;
(三)具有提供长期服务的能力和良好信誉;
(四)具有自主开发的信息网络安全检测产品。
辖区内无符合条件的安全服务机构的,由地级以上市公安机关公共信息网络安全监察部门委托省内符合条件的安全服务机构承担。
第二十条 资质证书分为正本和副本,正本和副本具有同等法律效力。
第二十一条 资质证书实行年审制度。年审时间为每年2月至3月,新领(换)资质证书未满半年的不需年审。
第二十二条 安全服务机构在年审前应当对本单位上一年度的下列情况进行自查,并形成自查书面材料:
(一)遵守国家有关法律法规和本省有关规定的情况;
(二)安全服务业绩;
(三)用户投诉及处理情况;
(四)参加国内和国际标准认证的情况;
(五)符合资质证书颁发条件的有关情况。
第二十三条 安全服务机构参加年审,应当持下列材料向地级以上市公安机关公共信息网络安全监察部门提出申请:
(一)《计算机信息系统安全服务资质年审申请书》;
(二)资质证书副本;
(三)自查书面材料;
(四)其他材料。
第二十四条 地级以上市公安机关公共信息网络安全监察部门自接到申请材料之日起15日内进行初审,材料齐全,情况属实的,报送省公安厅公共信息网络安全监察部门审查。初审不合格的,退回申请并说明理由。
省公安厅公共信息网络安全监察部门应当自接到初审材料之日起10日内作出年审结论。
持国家工商行政管理总局或省工商行政管理局核发的营业执照以及申请一级安全服务资质的机构,直接向省公安厅公共信息网络安全监察部门提出申请,省公安厅公共信息网络安全监察部门应当在20日内作出年审结论。
年审结论分为合格、降级、取消3种。
具备下列情形的,年审结论为合格:
(一)遵守国家有关法律法规和本省有关规定;
(二)上年度安全服务项目总值不低于本级资质条件规定的年均安全服务项目总值的四分之三(四级资质不低于50万元);
(三)用户投诉基本能合理解决;
(四)符合原等级资质证书颁发条件。
有下列情形之一的,年审结论为降级:
(一)违反国家有关法律法规和本省有关规定,情节轻微;
(二)上年度安全服务项目总值低于本级资质条件规定的年均安全服务项目总值的四分之三;
(三)10%以上的安全服务项目有用户投诉且未能合理解决;
(四)不符合原等级资质证书颁发条件。
有下列情形之一的,年审结论为取消:
(一)违反国家有关法律法规和本省有关规定,情节严重;
(二)年度安全服务项目总值低于50万元;
(三)20%以上的安全服务项目有用户投诉且未能合理解决;
(四)情况发生变更,达不到资质证书颁发条件。
年审合格的,在资质证书副本和《计算机信息系统安全服务资质年审申请书》上注明,加盖省公安厅公共信息网络安全监察专用章。
年审结论为降级的,原资质证书作废,换发资质证书。
年审结论为取消的,资质证书作废,安全服务机构应当自接到年审结论之日起10日内交回资质证书。
未按时参加年审的,年审结论视为取消。
年审结论为取消的,两年内不得申请安全服务资质。
因特殊原因未年审的,应当书面说明理由,经批准,方可补办相关手续。
第二十五条 资质证书有效期为4年,安全服务机构应当在期满前60日内提交换证申请材料。换证程序与资质证书申请程序相同。期满不换证的,资质证书作废。
因特殊原因未按时换证的,应当书面说明理由,经批准,方可补办相关手续。
第二十六条 资质证书登记事项发生变更的,应在30日内到地级以上市公安机关办理变更手续。
第二十七条 安全服务机构在取得资质证书一年后,达到较高一级资质条件的,可申请晋升等级,办理程序与初次申请相同。
第二十八条 安全服务机构情况发生变更,不符合原资质等级条件的,应当予以降级。
第六章 安全审验
第二十九条 计算机信息系统和计算机机房的规划、设计、建设应当按照国家有关规定和标准,同步落实安全保护制度和措施。
第三十条 重点安全保护单位计算机信息系统和计算机机房安全设计方案应当报单位所在地地级以上市公安机关公共信息网络安全监察部门备案。
重点安全保护单位计算机信息系统和计算机机房建成后,应当由具有相应资格的安全服务机构进行安全检测。检测合格,方可投入使用。
安全检测应当接受公安机关公共信息网络安全监察部门的监督。
第三十一条 计算机信息系统安全设计方案备案,应当填写《广东省计算机信息系统安全设计方案备案表》,并提交下列材料:
(一)计算机信息系统安全设计方案;
(二)计算机信息系统的总体需求说明;
(三)计算机信息系统的安全保护等级。
第三十二条 计算机机房安全设计方案备案,应当填写《广东省计算机机房安全设计方案备案表》,并提交下列材料:
(一)承建单位营业执照和资质证书复印件;
(二)计算机机房的用途和安全要求;
(三)计算机机房的施工方案和设计图纸;
(四)其他应当提交的资料。
第三十三条 安全服务机构对重点安全保护单位计算机信息系统和计算机机房进行使用前安全检测,应当预先报告地级以上市公安机关公共信息网络安全监察部门。安全检测结论由重点安全保护单位报地级以上市公安机关公共信息网络安全监察部门。
第三十四条 计算机信息系统和计算机机房存在下列情形之一的,应当进行安全检测:
(一)变更关键部件;
(二)安全检测时间满一年;
(三)发生案件或安全事故;
(四)公安机关公共信息网络安全监察部门根据应急处置工作的需要认为应当进行安全检测;
(五)其他应当进行安全检测的情形。
第三十五条 安全服务机构应当履行下列职责:
(一)如实出具检测报告;
(二)接受公安机关公共信息网络安全监察部门对检测过程的监督检查;
(三)保守用户秘密,不得保留安全检测相关资料,不得擅自向第三方泄露用户信息。
第七章 安全培训
第三十六条 省公安厅、人事厅联合成立的省计算机安全培训领导小组,负责全省计算机安全培训考试工作的组织和领导。下设省计算机安全培训考试办公室,具体负责计算机安全培训的日常管理工作。
第三十七条 下列人员应当参加计算机安全培训,取得省计算机安全培训考试办公室颁发的计算机安全培训合格证书,持证上岗:
(一)计算机信息系统使用单位安全管理责任人、信息审查员;
(二)重点安全保护单位计算机信息系统维护和管理人员;
(三)安全专用产品生产单位专业技术人员;
(四)安全服务机构专业技术人员、安全服务管理人员;
(五)其他从事计算机信息系统安全保护工作的人员。
第三十八条 计算机安全培训和考试由省计算机安全培训考试办公室授权的安全培训考试点负责组织。安全培训考试点实行统筹规划,总量控制。
第三十九条 计算机安全培训和考试按照有关规定进行,实行统一教学大纲,统一教材,统一考试,统一发证。
考试合格的,由省计算机安全培训考试办公室在20日内发给计算机安全培训合格证书。
计算机安全培训合格证书有效期4年,期满前60日内应重新参加培训。
第八章 法律责任
第四十条 违反本细则的规定,依照有关法律、法规和规章处罚。
第九章 附 则
第四十一条 本规定下列用语的含义:
信息网络安全检测产品,是指扫描、探测计算机信息系统安全漏洞的安全专用产品。
计算机信息系统安全服务,是指从事计算机信息系统(包括计算机机房)安全设计、建设、检测、维护、监理等业务。
第四十二条 本细则规定的有关表格和证书由省公安厅制定式样,统一监制。
第四十三条 本细则由省公安厅负责解释。
第四十四条 本细则自2003年7月1日起施行。
附件:
广东省计算机信息系统安全保护管理规定
广东省人民政府令第81号
《广东省计算机信息系统安全保护管理规定》已经2003年3月31日广东省人民政府第十届四次常务会议通过,现予发布,自2003年6月1日起施行。
省长 黄华华
二○○三年四月八日
广东省计算机信息系统安全保护管理规定
第一条 为了保护计算机信息系统的安全,促进信息化建设的健康发展,根据《中华人民共和国计算机信息系统安全保护条例》和《计算机信息网络国际联网安全保护管理办法》规定,结合本省实际,制定本规定。
第二条 本省行政区域内计算机信息系统的安全保护,适用本规定。
未联网的微型计算机的安全保护办法,按国家有关规定执行。
第三条 本规定所称的计算机信息系统,是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
第四条 县级以上人民政府公安机关主管本行政区域内的计算机信息系统安全保护工作。
国家安全机关、保密工作部门和政府其他有关部门,在各自职责范围内做好计算机信息系统安全保护工作。
第五条 公安机关、国家安全机关为保护计算机信息系统安全,在紧急情况下,可采取24小时内暂时停机、暂停联网、备份数据等措施,有关单位和个人应当如实提供有关信息和资料,并提供相关技术支持和必要的协助。
第六条 地级以上市公安机关应当有专门机构负责计算机信息系统中发生的案件和重大安全事故报警的接受和处理,为计算机信息系统使用单位和个人提供安全指导,并向社会公布举报电话和电子邮箱。
第七条 计算机信息系统使用单位应当确定计算机安全管理责任人,建立健全安全保护制度,落实安全保护技术措施,保障本单位计算机信息系统安全,并协助公安机关做好安全保护管理工作。
提供电子公告、个人主页等信息服务的使用单位,应当设立信息审查员,负责信息审查工作。
第八条 计算机信息系统使用单位应当建立并执行以下安全保护制度:
(一)计算机机房安全管理制度;
(二)安全管理责任人、信息审查员的任免和安全责任制度;
(三)网络安全漏洞检测和系统升级管理制度;
(四)操作权限管理制度;
(五)用户登记制度;
(六)信息发布审查、登记、保存、清除和备份制度,信息群发服务管理制度。
第九条 计算机信息系统使用单位应当落实以下安全保护技术措施:
(一)系统重要部分的冗余或备份措施;
(二)计算机病毒防治措施;
(三)网络攻击防范、追踪措施;
(四)安全审计和预警措施;
(五)系统运行和用户使用日志记录保存60日以上措施;
(六)记录用户主叫电话号码和网络地址的措施;
(七)身份登记和识别确认措施;
(八)信息群发限制和有害数据防治措施。
向公众提供上网服务的场所以及其他从事国际联网业务的单位应当安装国家规定的安全管理软件。
第十条 对计算机信息系统中发生的重大安全事故,使用单位应当采取应急措施,保留有关原始记录,在24小时内向当地县级以上人民政府公安机关报告。
第十一条 任何单位和个人不得利用计算机信息系统从事下列行为:
(一)制作、复制、查阅、传播有害信息;
(二)侵犯他人隐私,窃取他人帐号,假冒他人名义发送信息,或者向他人发送垃圾信息;
(三)以盈利或者非正常使用为目的,未经允许向第三方公开他人电子邮箱地址;
(四)未经允许修改、删除、增加、破坏计算机信息系统的功能、程序及数据;
(五)危害计算机信息系统安全的其他行为。
第十二条 计算机信息系统及计算机机房应当按照国家有关规定以及国家标准进行安全保护设计和建设。
第十三条 销售的计算机信息系统安全专用产品(含计算机信息系统安全检测产品)应当取得公安部颁发的《计算机信息系统安全专用产品销售许可证》。密码产品的管理,按国家有关规定执行。
第十四条 下列计算机信息系统使用单位为重点安全保护单位:
(一)县级以上国家机关、国防单位;
(二)银行、证券、能源、交通、邮电通信单位;
(三)国家及省重点科研、教育单位;
(四)国有大中型企业;
(五)互联单位、接入单位及重点网站;
(六)向公众提供上网服务的场所。
第十五条 重点安全保护单位计算机安全管理责任人和信息审查员应当参加县级以上人民政府公安机关认可的安全技术培训,并取得安全技术培训合格证书。
第十六条 重点安全保护单位计算机信息系统及计算机机房安全保障体系的设计、建设和检测应当由有安全服务资质的机构承担。
重点安全保护单位计算机信息系统及计算机机房应当由有安全服务资质的机构检测合格后,方可投入使用。
第十七条 申请安全服务资质,应当具备以下条件:
(一)取得相应经营范围的营业执照;
(二)取得安全技术培训合格证书的专业技术人员不少于10人,其中大学本科以上学历的人员所占比例不少于70%;
(三)负责安全服务工作的管理人员应当具有2年以上从事计算机信息系统安全技术领域企业管理工作经历,并取得安全技术培训合格证书;
(四)有与其从事的安全服务业务相适应的技术装备;
(五)有与其从事的安全服务业务相适应的组织管理制度;
(六)法律法规规定的其他条件。
第十八条 申请安全服务资质,应当持下列资料向地级以上市公安机关提出申请:
(一)申请书;
(二)营业执照(复印件);
(三)管理人员和专业技术人员的身份证明、学历证明和安全技术培训合格证书;
(四)技术装备情况及组织管理制度报告。
地级以上市公安机关应当自接到申请资料之日起15日内进行初审。初审合格的,报送省公安机关核准;初审不合格的,退回申请并说明理由。
省公安机关应当自接到初审意见之日起15日内进行审查,符合条件的,核发资质证书。不符合条件的,作出不予核准的决定并说明理由。
资质证书实行年审制度。年审不得收费。
第十九条 计算机信息系统使用单位应当将计算机信息系统安全保护工作纳入内部检查、考核、评比内容。对在工作中成绩突出的部门和个人,应当给予表彰奖励。对未依法履行安全保护职责或违反本单位安全保护制度的,应当依照有关规定对责任人员给予行政处分。
第二十条 违反本规定,有下列行为之一的,由县级以上人民政府公安机关给予警告,并责令限期整改;逾期不改的,可以给予6个月以内停机整顿或者停止联网的处罚,并可对单位处以5000元以下罚款,对安全管理责任人处以500元以下罚款。国家另有规定的,从其规定。
(一)未按规定建立安全保护制度的;
(二)未按规定落实安全保护技术措施的;
(三)计算机信息系统及计算机机房未按国家有关规定和国家标准进行安全保护设计和建设的;
(四)重点安全保护单位计算机安全管理责任人和信息审查员未经县级以上人民政府公安机关认可的安全技术培训并取得合格证书的;
(五)重点安全保护单位将本单位计算机信息系统及计算机机房安全保障体系的设计、建设和检测交由未具有安全服务资质的机构承担的,或者未经有安全服务资质的机构检测合格即投入使用的。
第二十一条 计算机信息系统使用单位对计算机信息系统中发生的重大安全事故,未在规定时间内报告公安机关的,由县级以上人民政府公安机关处以警告或者停机整顿。
第二十二条 利用国际联网的计算机信息系统从事本规定第 十一条所规定行为的,依照国家有关规定进行处理。
利用未国际联网的计算机信息系统从事本规定第 十一条所规定行为的,由县级以上人民政府公安机关给予警告,对单位可处以1000元以下罚款,对个人可处以100元以下罚款。
第二十三条 计算机信息系统安全专用产品未取得《计算机信息系统安全专用产品销售许可证》进行销售的,依照国家有关规定进行处理。
第二十四条 未取得安全服务资质的机构,承担重点安全保护单位计算机信息系统及计算机机房安全保障体系的设计、建设和检测的,由县级以上人民政府公安机关责令限期整改,并处以1万元以下罚款。
第二十五条 行政管理部门的工作人员违反本规定,玩忽职守、滥用职权的,由主管部门依照有关规定给予行政处分;构成犯罪的,由司法机关依法追究刑事责任。
第二十六条 军队的计算机信息系统安全保护工作,按照军队的有关规定执行。
第二十七条 计算机信息系统的保密管理,依照国家和省的有关规定执行。
第二十八条 本规定自2003年6月1日起施行