江苏省徐州市人大常委会


徐州市计算机信息系统安全保护条例

公告第5号


《徐州市计算机信息系统安全保护条例》已由徐州市第十四届人民代表大会常务委员会第六次会议于2008年12月12日制定,经江苏省第十一届人民代表大会常务委员会第七次会议于2009年1月18日批准，现予公布，自2009年6月1日起施行。
2009年1月22日

徐州市计算机信息系统安全保护条例

（2008年12月12日徐州市第十四届人民代表大会常务委员会第六次会议制定 2009年1月18日江苏省第十一届人民代表大会常务委员会第七次会议批准）

第一章 总 则

第一条 为了加强计算机信息系统的安全保护工作，维护国家安全、社会秩序和公共利益，促进信息化的健康发展，根据《中华人民共和国计算机信息系统安全保护条例》等法律、法规，结合本市实际，制定本条例。

第二条 本条例适用于徐州市行政区域内计算机信息系统及其信息内容的安全保护和监督管理。

第三条 市、县（市）、贾汪区公安机关(以下简称公安机关)主管本行政区域内计算机信息系统安全保护工作。

国家安全、文化、保密、信息化管理及其他有关部门，依据各自职责做好计算机信息系统安全保护有关工作。

第四条 公安、国家安全、文化、保密、信息化管理及其他有关部门在履行职责过程中，应当维护计算机信息系统运营、使用单位和个人的合法权益，保守其商业秘密和个人隐私。

第五条 任何组织或者个人，不得危害计算机信息系统的安全；不得利用计算机信息系统从事危害国家安全、社会秩序、公共利益以及侵害公民、法人和其他组织合法权益的活动。

第二章 安全保护和管理

第六条 计算机信息系统实行安全等级保护制度。

计算机信息系统安全保护等级按照国家规定划分为以下五级：

（一）计算机信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益的，为第一级；

（二）计算机信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全的，为第二级；

（三）计算机信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害的，为第三级；

（四）计算机信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害的，为第四级；

（五）计算机信息系统受到破坏后，会对国家安全造成特别严重损害的，为第五级。

第七条 计算机信息系统运营、使用单位应当根据国家有关管理规范、技术标准确定计算机信息系统的安全保护等级，对于新建、改建、扩建的计算机信息系统，运营、使用单位应当在规划、设计阶段确定计算机信息系统的安全保护等级，并同步建设符合该安全保护等级要求的安全保护设施。

第八条 第二级以上计算机信息系统投入运行后三十日内，其运营、使用单位应当向市公安机关备案。

市公安机关应当自收到备案材料之日起十日内，对符合安全保护等级要求的，颁发备案证明；对定级不准确的，通知运营、使用单位重新定级后予以备案。

第九条 计算机信息系统的结构、处理流程、服务内容等发生变化，致使安全保护等级发生变更的，运营、使用单位应当重新定级、重新备案。

计算机信息系统备案事项发生变更的，运营、使用单位应当自变更之日起三十日内将变更情况报告公安机关。

第十条 计算机信息系统运营、使用单位应当使用符合信息系统安全保护等级要求的信息技术产品和依法取得销售许可证的安全专用产品。

第十一条 计算机信息系统运营、使用单位应当按照国家规定，定期对计算机信息系统安全等级保护状况开展等级测评，对计算机信息系统安全状况、安全保护制度及措施的落实情况进行自查；未达到安全保护等级要求的，应当进行整改。

第十二条 计算机信息系统运营、使用单位应当明确安全管理责任人、安全管理人员及安全技术人员，建立并执行下列安全保护制度：

（一）计算机机房安全管理；

（二）网络安全漏洞检测和系统升级管理；

（三）信息发布审查、登记、保存、清除和备份；

（四）违法犯罪案件报告和协助查处；

（五）信息系统安全教育和培训；

（六）安全应急处置。

第十三条 计算机信息系统运营、使用单位应当按照国家规定采取下列安全保护措施：

（一）身份登记和识别确认；

（二）记录用户帐号、主叫号码和网络地址；

（三）系统运行和用户使用日志记录保存六十日以上。

第二级以上计算机信息系统运营、使用单位还应当采取下列安全保护措施：

（一）系统重要部分的冗余、重要数据备份；

（二）计算机病毒防治；

（三）网络攻击防范和追踪；

（四）安全审计和预警；

（五）法律、法规规定的其他安全保护措施。

第十四条 涉及国家秘密的计算机信息系统的设计实施、定级备案、运行维护和日常保密管理，应当依据国家信息安全等级保护的要求，按照保密部门的有关规定和技术标准执行。

第三章 秩序管理

第十五条 互联网接入服务、互联网数据中心服务、互联网信息服务的提供者，应当自网络联通之日起三十日内向市公安机关备案。

第十六条 互联网信息服务的提供者应当采取以下管理措施：

（一）确定信息审核人员；

（二）防治垃圾信息、违法信息；

（三）限制信息群发、匿名信息发送；

（四）按照国家规定，删除本网络中含有本条例第十九条内容的地址、目录或者关闭服务器，并保存有关记录。

第十七条 向社会公众提供互联网上网服务的网吧、宾馆等场所的经营单位应当采取以下安全保护措施：

（一）安装并运行国家规定的安全管理系统；

（二）对上网人员进行实名登记；

（三）记录有关上网信息，登记内容和记录备份保存时间不得少于六十日，在保存期内不得修改或者删除。

第十八条 任何单位和个人不得利用计算机信息系统实施下列行为：

（一）未经允许，进入计算机信息系统或者非法占有、使用、窃取计算机信息系统资源；

（二）窃取、骗取、夺取计算机信息系统控制权；

（三）未经允许，对计算机信息系统功能进行删除、修改、增加或者干扰；

（四）未经允许，对计算机信息系统存储、处理或者传输的数据和应用程序进行删除、修改或者增加；

（五）故意制作、传播计算机病毒、恶意软件等破坏性程序；

（六）窃取他人账号、密码及其他信息资料；

（七）未经允许，提供或者公开他人的信息资料；

（八）非法截获、篡改、删除他人电子邮件或者其他数据资料；

（九）假冒他人名义发布、发送信息。

第十九条 任何单位和个人不得利用计算机信息系统制作、复制、传播下列信息：

（一）危害国家统一、主权和领土完整的；

（二）泄露国家秘密，危害国家安全或者损害国家荣誉和利益的；

（三）煽动民族仇恨、民族歧视，破坏民族团结或者侵害民族风俗、习惯的；

（四）破坏国家宗教政策，宣扬邪教、迷信的；

（五）煽动聚众滋事，损害社会公共利益的；

（六）散布谣言，发布虚假信息，扰乱社会秩序，破坏社会稳定的；

（七）宣扬淫秽、色情、赌博、暴力、凶杀、恐怖的；

（八）教唆犯罪或者传授犯罪方法的；

（九）散布他人隐私，或者侮辱、诽谤、恐吓他人的；

（十）买卖法律、法规禁止流通的物品的；

（十一）提供假票据、假证件的。

第二十条 计算机信息系统运营、使用单位发现计算机信息系统发生重大安全事故和违法犯罪案件，应当及时采取技术措施予以防护和制止，留存运行日志等原始记录，并在二十四小时内向公安机关报告；涉及其他管理部门职责的，还应当及时报告有关部门。

第四章 监督检查

第二十一条 公安、国家安全、文化、保密、信息化管理及其他有关部门应当建立计算机信息系统安全监督管理协作机制，按照国家规定，对计算机信息系统运营、使用单位的安全保护工作进行监督检查。

第二十二条 公安机关应当定期对计算机信息系统运营、使用单位的信息安全等级保护工作进行检查、指导和监督；对第三级计算机信息系统每年至少检查一次，对第四级计算机信息系统每半年至少检查一次。

第二十三条 计算机信息系统的安全保护等级和安全保护措施不符合信息安全等级保护管理规定，或者存在安全隐患的，公安机关应当通知运营、使用单位进行整改。运营、使用单位应当及时整改，并将整改情况报告公安机关。

第二十四条 在计算机信息系统发生突发事件，造成或者可能造成严重社会危害的紧急情况下，公安机关可以采取停机检查、暂停联网、备份数据等措施，计算机信息系统运营、使用单位应当予以配合。

突发事件消除后，公安机关应当及时解除暂停联网或者停机检查措施，恢复计算机信息系统的正常运行。

第二十五条 计算机信息系统运营、使用单位应当协助公安机关及其他有关部门做好安全保护监督管理工作。在公安机关及其他有关部门依法履行职责时，应当如实提供计算机信息系统的有关资料。

第五章 法律责任

第二十六条 有下列行为之一的，由公安机关责令限期改正，给予警告，有违法所得的，没收违法所得；逾期不改正的，可以并处一千元以上一万元以下罚款，对单位的主管人员和其他直接责任人员可以并处五百元以上五千元以下罚款；情节严重的，并可以给予六个月以内停止联网、停机整顿的处罚，必要时可以建议许可机构吊销经营许可证或者取消联网资格：

（一）违反本条例第十二条规定，未建立或者未执行安全保护制度的；

（二）违反本条例第十三条规定，未采取安全保护措施的；

（三）违反本条例第十六条规定，未采取管理措施的；

（四）违反本条例第二十五条规定，未如实提供计算机信息系统有关资料的。

国有企业事业单位有前款第一项、第二项所列行为之一，造成严重后果的，还应当依法对主管人员、其他直接责任人员给予行政处分。

第二十七条 违反本条例第十七条规定的，由公安机关给予警告，可以并处一千元以上一万元以下罚款；情节严重的，责令停业整顿，必要时可以建议许可机构吊销经营许可证。

第二十八条 违反本条例规定，有第十八条、第十九条所列行为之一的，由公安机关给予警告，有违法所得的，没收违法所得，对个人可以并处五百元以上五千元以下罚款，对单位可以并处一千元以上一万元以下罚款；情节严重的，并可以给予六个月以内停止联网、停机整顿的处罚，必要时可以建议许可机构吊销经营许可证或者取消联网资格；违反《中华人民共和国治安管理处罚法》的，依法予以处罚。

第二十九条 有下列行为之一的，由公安机关责令改正，给予警告；情节严重的，处以一个月以内停机整顿的处罚：

（一）违反本条例第七条规定，未确定安全保护等级的；

（二）违反本条例第十五条规定，未办理备案手续的；

（三）违反本条例第二十条规定，未按时向公安机关报告的；

（四）违反本条例第二十三条规定，接到公安机关整改通知后，未及时整改的。

第三十条 公安、国家安全、文化、保密及其他有关部门及其工作人员有下列行为之一的，对主管人员、其他直接责任人员依法给予行政处分：

（一）利用职权索取、收受贿赂，或者玩忽职守、滥用职权、徇私舞弊的；

（二）泄露计算机信息系统运营、使用单位或者个人的有关信息、资料及数据文件的；

（三）不依法履行监督管理职责，造成严重后果的。

第三十一条 违反本条例规定的行为，有关法律、法规对处罚及处罚机关另有规定的，从其规定。

第六章 附 则

第三十二条 本条例有关用语的含义：

（一）计算机信息系统，是指由计算机及其相关的和配套的设备、设施构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统，包括未接入互联网的计算机信息系统（含局域网）以及接入（含无线方式接入）互联网的计算机信息系统；

（二）互联网数据中心服务，是指提供主机托管、租赁和虚拟空间租用等服务。

第三十三条 本条例自2009年6月1日起施行。

关于《徐州市计算机信息系统安全保护条例》的说明

——2009年1月17日在省十一届人大常委会第七次会议上

徐州市人大常委会

主任、各位副主任、秘书长、各位委员：

《徐州市计算机信息系统安全保护条例》（以下简称条例），已于2008年12月12日经徐州市十四届人大常委会第六次会议制定，现提请省人大常委会本次会议审议批准。我受徐州市人大常委会的委托，现就条例的有关问题作如下说明：

一、关于计算机信息系统的等级保护

对计算机信息系统实行安全等级保护管理，是计算机信息系统安全保护的一项基础性制度，也是保障信息系统安全的基本方法和有效途径。根据《中华人民共和国计算机信息系统安全保护条例》关于“计算机信息系统实行安全等级保护”和2007年公安部等四部委联合出台的《信息安全等级保护管理办法》的规定，条例从我市实际出发就计算机信息系统等级保护管理主要作了以下几个方面的规定：

一是计算机信息系统运营、使用单位应当根据国家规定确定计算机信息系统安全保护等级，对于新建、改建、扩建计算机信息系统，应当在设计、规划阶段确定其安全保护等级，并同步建

设符合安全等级保护要求的安全保护设施（见条例第七条）。

二是第二级以上的计算机信息系统投入运行后三十日内，其运营、使用单位应当向市公安机关备案（见条例第八条）。

三是对安全等级测评和自查制度作了原则性规定（见条例第十一条）。

二、关于安全管理制度

计算机信息系统的安全涉及面广、影响大、情况复杂，建立有效的、可行的安全保护管理制度十分重要。根据《中华人民共和国计算机信息系统安全保护条例》关于“计算机信息系统的使用单位应当建立健全安全管理制度，负责本单位计算机信息系统的安全保护工作”，条例第十二条规定了计算机信息系统运营、使用单位应当建立六个方面的管理制度，具体包括计算机机房安全管理；网络安全漏洞检测和系统升级管理；信息发布审查、登记、保存、清除和备份；违法犯罪案件报告和协助查处；信息系统安全教育和培训；安全应急处置等，有利于加强和规范运营、使用单位的安全管理。

三、关于安全保护措施

在计算机信息系统的关键区域、关键部位、关键节点采取安全保护措施，或者对互联网上的违法犯罪的实施过程、结果予以审计，是保障计算机信息系统安全，预防和打击计算机违法犯罪的重要技术手段。条例在规范安全保护措施上，主要作了以下几个方面的规定：

一是规定了所有的计算机信息系统均应采取的安全保护措施。包括身份登记和识别确认；记录用户帐号、主叫号码和网络地址；系统运行和用户使用日志记录保存六十日以上（见条例第十三条第一款）。

二是对第二级以上计算机信息系统的安全保护措施作了更严格的规定。包括系统重要部分的冗余、重要数据备份；计算机病毒防治；网络攻击防范和追踪；安全审计和预警等（见条例第十三条第二款）。

三是对互联网信息服务的提供者应当采取的安全保护措施作了特别的规定。包括确定信息审核人员；防治垃圾信息、违法信息；限制信息群发、匿名信息发送；按照国家规定，删除本网络中含有本条例第十九条内容的地址、目录或者关闭服务器，并保存有关记录等（见条例第十六条）。

四是根据国务院《互联网上网服务营业场所管理条例》的规定，条例对向社会公众提供互联网上网服务的网吧、宾馆等场所的经营单位应当采取的安全保护措施作了特别规定。包括安装并运行国家规定的安全管理系统；对上网人员进行实名登记；记录有关上网信息，登记内容和记录备份保存时间不得少于六十日，在保存期内不得修改或者删除等（见条例第十七条）。

四、关于禁止性行为的规定

当前，利用计算机信息系统进行违法犯罪活动情况比较严重，非法盗取他人帐号、密码，网络黑客攻击他人系统时有发生，计算机病毒、木马等破坏性程序大肆传播，淫秽、色情、暴力、诈骗信息屡禁不止，散布、传播谣言以及擅自公布他人信息等危害社会秩序、公共利益和他人合法权益的行为较为突出，已经成为人民群众十分关注的热点问题。为了保障计算机信息系统的正常运行，维护互联网上网秩序，营造洁净的网络空间，条例第十八条、第十九条对利用计算机信息系统实施的违法行为采取列举的方式，作出了禁止性规定，并设定了相应的法律责任。

五、关于法律责任

根据上位法的规定和我市实际，按照不与上位法抵触的原则，对一些违反条例的行为作了较为具体的处罚规定（见条例第二十六条至第三十一条）。

以上说明连同条例，请予审议。

关于《徐州市计算机信息系统安全保护条例》审议意见的报告

——2009年1月17日在省十一届人大常委会第七次会议上

省人大法制委员会

主任、各位副主任、秘书长、各位委员：

《徐州市计算机信息系统安全保护条例》已经徐州市十四届人大常委会第六次会议制定，现报省人大常委会批准。省人大常委会法制工作委员会在该条例通过前进行了初步审查，并征求了省政府法制办、省公安厅、省文化厅等有关部门以及部分省人大代表、立法专家的意见。省人大法制委员会于12月30日召开全体会议对该条例进行了审议，现将审议意见报告如下：

随着经济社会的迅速发展，计算机作为现代社会的高科技产物被广泛应用，但计算机信息系统的建设、应用和管理还不够规范，信息系统的安全问题日益突出。为了加强计算机信息系统的安全保护工作，维护国家安全、社会秩序和公共利益，徐州市根据国家的有关规定，结合本市实际，制定该条例是必要的。该条例对计算机信息系统的等级保护、安全管理制度、安全保护措施等方面作了明确规定，内容具体，可操作性较强。

该条例同宪法、法律、行政法规和本省的地方性法规不相抵触。建议本次会议审议后予以批准。

以上报告，请予审议。




建设部


关于印发《关于进一步规范房屋建筑和市政工程生产安全事故报告和调查处理工作的若干意见》的通知

建质〔2007〕257号


各省、自治区建设厅，直辖市建委，江苏省、山东省建管局，新疆生产建设兵团建设局：
　　为贯彻落实《生产安全事故报告和调查处理条例》（国务院令第493号），规范房屋建筑和市政工程生产安全事故报告和调查处理工作，我们制定了《关于进一步规范房屋建筑和市政工程生产安全事故报告和调查处理工作的若干意见》，现印发给你们，请认真贯彻执行。
　　　　　　　　　　　　　　　　　　　　　　　　　 中华人民共和国建设部
　　　　　　　　　　　　　　　　　　　　　　　　　 二○○七年十一月九日



关于进一步规范房屋建筑和市政工程
生产安全事故报告和调查处理工作的若干意见

　　为认真贯彻落实《生产安全事故报告和调查处理条例》（国务院令第493号，以下简称《条例》），规范房屋建筑和市政工程生产安全事故报告和调查处理工作，现提出如下意见：
　　一、事故等级划分
　　（一）特别重大事故，是指造成30人以上死亡，或者100人以上重伤，或者1亿元以上直接经济损失的事故；
　　（二）重大事故，是指造成10人以上30人以下死亡，或者50人以上100人以下重伤，或者5000万元以上1亿元以下直接经济损失的事故；
　　（三）较大事故，是指造成3人以上10人以下死亡，或者10人以上50人以下重伤，或者1000万元以上5000万元以下直接经济损失的事故；
　　（四）一般事故，是指造成3人以下死亡，或者10人以下重伤，或者1000万元以下100万元以上直接经济损失的事故。
　　本等级划分所称的“以上”包括本数，所称的“以下”不包括本数。
　　二、事故报告
　　（一）施工单位事故报告要求
　　事故发生后，事故现场有关人员应当立即向施工单位负责人报告；施工单位负责人接到报告后，应当于1小时内向事故发生地县级以上人民政府建设主管部门和有关部门报告。
　　情况紧急时，事故现场有关人员可以直接向事故发生地县级以上人民政府建设主管部门和有关部门报告。
　　实行施工总承包的建设工程，由总承包单位负责上报事故。
　　（二）建设主管部门事故报告要求
　　1、建设主管部门接到事故报告后，应当依照下列规定上报事故情况，并通知安全生产监督管理部门、公安机关、劳动保障行政主管部门、工会和人民检察院：
　　（1）较大事故、重大事故及特别重大事故逐级上报至国务院建设主管部门；
　　（2）一般事故逐级上报至省、自治区、直辖市人民政府建设主管部门；
　　（3）建设主管部门依照本条规定上报事故情况，应当同时报告本级人民政府。国务院建设主管部门接到重大事故和特别重大事故的报告后，应当立即报告国务院。
　　必要时，建设主管部门可以越级上报事故情况。
　　2、建设主管部门按照本规定逐级上报事故情况时，每级上报的时间不得超过2小时。
　　3、事故报告内容：
　　（1）事故发生的时间、地点和工程项目、有关单位名称；
　　（2）事故的简要经过；
　　（3）事故已经造成或者可能造成的伤亡人数（包括下落不明的人数）和初步估计的直接经济损失；
　　（4）事故的初步原因；
　　（5）事故发生后采取的措施及事故控制情况；
　　（6）事故报告单位或报告人员。
　　（7）其他应当报告的情况。
　　4 、事故报告后出现新情况，以及事故发生之日起30日内伤亡人数发生变化的，应当及时补报。
　　三、事故调查
　　（一）建设主管部门应当按照有关人民政府的授权或委托组织事故调查组对事故进行调查，并履行下列职责：
　　1、核实事故项目基本情况，包括项目履行法定建设程序情况、参与项目建设活动各方主体履行职责的情况；
　　2、查明事故发生的经过、原因、人员伤亡及直接经济损失，并依据国家有关法律法规和技术标准分析事故的直接原因和间接原因；
　　3、认定事故的性质，明确事故责任单位和责任人员在事故中的责任；
　　4、依照国家有关法律法规对事故的责任单位和责任人员提出处理建议；
　　5、总结事故教训，提出防范和整改措施；
　　6、提交事故调查报告。
　　（二）事故调查报告应当包括下列内容：
　　1、事故发生单位概况；
　　2、事故发生经过和事故救援情况；
　　3、事故造成的人员伤亡和直接经济损失；
　　4、事故发生的原因和事故性质；
　　5、事故责任的认定和对事故责任者的处理建议；
　　6、事故防范和整改措施。
　　事故调查报告应当附具有关证据材料，事故调查组成员应当在事故调查报告上签名。
　　四、事故处理
　　（一）建设主管部门应当依据有关人民政府对事故的批复和有关法律法规的规定，对事故相关责任者实施行政处罚。处罚权限不属本级建设主管部门的，应当在收到事故调查报告批复后15个工作日内，将事故调查报告（附具有关证据材料）、结案批复、本级建设主管部门对有关责任者的处理建议等转送有权限的建设主管部门。
　　（二）建设主管部门应当依照有关法律法规的规定，对因降低安全生产条件导致事故发生的施工单位给予暂扣或吊销安全生产许可证的处罚；对事故负有责任的相关单位给予罚款、停业整顿、降低资质等级或吊销资质证书的处罚。
　　（三）建设主管部门应当依照有关法律法规的规定，对事故发生负有责任的注册执业资格人员给予罚款、停止执业或吊销其注册执业资格证书的处罚。
　　五、事故统计
　　（一）建设主管部门除按上述规定上报生产安全事故外，还应当按照有关规定将一般及以上生产安全事故通过《建设系统安全事故和自然灾害快报系统》上报至国务院建设主管部门。
　　（二）对于经调查认定为非生产安全事故的，建设主管部门应在事故性质认定后10个工作日内将有关材料报上一级建设主管部门。
　　六、其他要求
　　事故发生地的建设主管部门接到事故报告后，其负责人应立即赶赴事故现场，组织事故救援。
　　发生一般及以上事故或领导对事故有批示要求的，设区的市级建设主管部门应派员赶赴现场了解事故有关情况。
　　发生较大及以上事故或领导对事故有批示要求的，省、自治区建设厅，直辖市建委应派员赶赴现场了解事故有关情况。
　　发生重大及以上事故或领导对事故有批示要求的，国务院建设主管部门应根据相关规定派员赶赴现场了解事故有关情况。
　　七、各地区可以根据本地实际情况制定实施细则。