厦门市计算机信息系统安全保护暂行办法
福建省厦门市人民政府
厦门市人民政府令第82号
《厦门市计算机信息系统安全保护暂行办法》已经市人民政府常务会议通过,现予发布,自发布之日起施行。
市长 洪永世
一九九九年五月二十一日
厦门市计算机信息系统安全保护暂行办法
第一章 总则
第一条 为促进计算机的应用和发展,加强计算机信息系统安全保护,保障厦门市信息港建设的顺利进行,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律、法规,结合本市实际,制定本办法。
第二条 本市区域内计算机信息系统的安全保护,适用本办法。
第三条 本办法所称计算机信息系统,是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
第四条 计算机信息系统的安全保护,应当保障计算机及其相关的和配套的设备、设施(含网络)的安全,保障计算机信息系统运行环境的安全,保障计算机信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行。
第五条 计算机信息系统的安全保护工作,重点维护下列涉及国家事务、经济建设、尖端科学技术等重要领域和单位(以下称重要行业、重点单位)的计算机信息系统的安全:
(一)存储、处理、传输公用信息和国家秘密的计算机信息系统;
(二)金融、证券和公用事业单位的计算机信息系统;
(三)从事国际联网的互联网络、接入网络的计算机信息系统。
第六条 公安机关主管本市计算机信息系统安全保护工作,主要职责是:
(一)监督、检查、指导计算机信息系统安全保护工作;
(二)防范、查处危害计算机信息系统安全的违法犯罪案件;
(三)监督、检查重要行业、重点单位计算机机房的新建、改建、扩建的安全保护工作;
(四)负责国际联网的安全管理和用户备案登记工作;
(五)负责计算机信息系统安全知识的宣传教育工作;
(六)监督、管理计算机病毒疫情的发布和有害数据的防治工作;
(七)履行计算机信息系统安全保护的其他职责。
国家安全、保密等有关行政部门在各自职责范围内负责计算机信息系统安全保护的有关工作。
第七条 任何单位和个人不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动,不得危害计算机信息系统的安全。
第二章 安全保护制度
第八条 计算机信息系统应用单位应建立人员管理、机房管理、设备管理(含网络设备)、数据管理、磁介质管理、输入输出控制管理和安全监督等制度,健全计算机信息系统安全保障体系,做好本单位的计算机信息系统安全保护工作。
第九条 计算机信息系统应用单位应配备计算机信息系统安全技术人员。安全技术人员应履行下列职责:
(一)严格执行计算机信息系统安全管理制度;
(二)对计算机信息系统安全运行情况进行检查,及时查处不安全因素,排除安全隐患;
(三)编制违章报告、运行日志和其他与计算机信息系统安全有关的材料;
(四)定期检查系统运行环境,防止对系统的非法操作;
(五)发生计算机信息系统安全事故和计算机违法犯罪案件时,立即向单位领导报告,并保护现场。
第十条 重要行业、重点单位的计算机信息系统应用单位应当建立计算机信息系统安全管理组织,并报公安机关备案。安全管理组织应履行下列职责:
(一)制定并落实计算机信息系统安全管理制度;
(二)对计算机信息系统从业人员进行安全教育;
(三)定期组织安全检查和安全稽核;
(四)协助公安机关查处计算机违法犯罪案件。
第十一条 重要行业、重点单位的计算机信息系统应用单位的安全技术人员应当经过公安机关认可的安全知识培训,考核合格后持证上岗。
第十二条 重要行业、重点单位的计算机信息系统应用单位应制定灾难恢复计划,并确定实施方案。
重要行业、重点单位的计算机信息系统应用单位应建立计算机信息系统安全审计制度,对数据安全规程和措施是否适合现有安全策略进行检查,并确保落实。
第十三条 涉及国家秘密的计算机信息及计算机信息系统的管理,按照国家有关规定执行。
对涉及国家秘密信息的计算机信息系统工作人员,应进行政审、考核、保密知识培训,并依国家有关规定进行管理。
第十四条 运输、携带、邮寄计算机信息媒体进出境的,应如实向海关申报。
第十五条 计算机信息系统安全专用产品经销单位应当销售经检测合格的产品。进入本市销售的计算机信息系统安全专用产品,应按规定经公安机关认证,方可销售。
前款所称计算机信息系统安全专用产品,是指用于保护计算机信息系统安全的专用硬件、软件和网络产品。
公安机关应当定期发布通告,公布合格的计算机信息系统安全专用产品目录。
第十六条 计算机信息系统应用单位发现计算机信息系统中发生安全事故和计算机违法犯罪安全时,应在24小时内向公安机关报告,但发生重大安全事故和案件应当立即报告。
第十七条 计算机信息系统发生突发性事件或安全隐患可能危及公共安全时,公安机关有权采取暂停联网、停机检查等应急措施,但应事先协同有关应用单位做好安全保护工作。
第三章 安全检测
第十八条 计算机机房应符合国家标准和国家有关规定。
计算机机房附近的设施或在计算机机房附近施工,不得危害计算机信息系统的安全。
第十九条 计算机机房的设计、施工单位应具备相应的计算机机房设计、施工技术能力。
计算机机房防雷工程的设计、施工单位,应持有关部门核发的防雷工程设计、安装资质证书。计算机机房消防设施的设计、施工按国家有关消防法律、法规执行。
第二十条 重要行业、重点单位计算机机房的新建、扩建、改建的设计方案应由建设单位报公安机关对其安全性能进行审核。计算机机房竣工后,应由建设单位报公安机关组织检测,确定安全等级,发给计算机机房安全等级证书。
公安机关应当自收到审核或检测申请之日起15日内作出审核或检测结论。
第二十一条 公安机关应会同有关部门对重要行业、重点单位的计算机信息系统安全保障体系按有关规定和标准组织检查。检查内容包括:
(一)系统安全管理制度;
(二)计算机信息系统实体的安全;
(三)计算机网络通讯和数据传输的安全;
(四)计算机软件和数据库的安全;
(五)计算机信息系统安全审计状况和灾难恢复计划执行情况。
第二十二条 重要行业、重点单位的计算机信息系统安全保障体系技术项目的检测,被检测单位应将检测报告报公安机关审核。
第二十三条 重要行业、重点单位的计算机信息系统应用单位进行计算机信息系统设备更新或改造时,对安全保障体系产生直接影响的,应当报公安机关备案,公安机关应会同有关部门对受影响的部分组织检查,确保计算机信息系统达到最低安全要求。
第二十四条 公安机关发现计算机信息系统应用单位计算机信息系统安全保障体系存在安全隐患时,可组织检测。经检测发现确有安全问题的,由公安机关责令其限期改正。
第二十五条 计算机信息系统法定检测单位应当严格执行国家标准和有关规定,确保出具的检测报告真实、客观、公正、完整,并不得泄露被检测单位的商业秘密,不得影响被检测单位生产、经营、科研等活动的正常进行。
第四章 有害数据管理
第二十六条 计算机信息系统应用单位应当建立信息安全管理制度,防止信息被非法增加、删除、修改、复制。
计算机信息系统应用单位应当建立计算机信息系统数据备份制度,加强备份数据管理、更新。
第二十七条 计算机信息系统应用单位按有关规定发布的信息应当真实、完整、可靠。
第二十八条 任何单位和个人不得传播、制造、出版、复制、销售含有计算机病毒源程序及其他有害数据的媒体;不得制造、销售反动、黄色、盗版的电子媒体;不得擅自公开举办有关计算机病毒机理的讲座或培训。
第二十九条 公安机关应预先发布计算机病毒疫情公告。其他任何单位和个人不得以任何方式发布计算机病毒疫情。
第三十条 计算机信息系统应用单位在有害数据管理工作中应履行下列职责:
(一)制定并落实专门的计算机病毒和其他有害数据管理制度;
(二)计算机硬件、软件使用前,应进行计算机病毒和其他有害数据检测;
(三)定期进行计算机病毒和其他有害数据检测,及时清除计算机病毒和其他有害数据;
(四)发现不能清除的计算机病毒应采取保护措施,并在24小时内提取样本报送公安机关;
(五)协助公安机关追查计算机病毒来源。
第三十一条 制造、销售、出租、维修、商业性赠送计算机产品的单位和个人,应确保其产品经检测合格,不得携带有计算机病毒和其他有害数据。
第五章 国际联网管理
第三十二条 申请从事国际联网经营活动或非经营活动,应当按国家有关规定办理审批手续,并报公安机关备案。
涉及国家事务、经济建设、尖端科学技术等重要领域的计算机信息系统拟与国际联网,应报公安机关审批后方可联网。
第三十三条 通过物理通信信道直接或间接与境外计算机信息系统进行联网的计算机信息系统应用单位和个人,应在联网开通、联网方式变更、终止联网之日起30日内,到公安机关办理备案、变更或注销手续。
第三十四条 涉及国家秘密的计算机信息系统不得与国际联网,并应采取与国际联网完全隔离的安全保密技术措施;涉及国家秘密的计算机信息不得与国际联网存储、传输、处理。
第三十五条 计算机信息系统应用单位开放计算机信息网络电子公告系统、新闻讨论组等广播式传播媒体,应向公安机关备案,并履行下列安全保护职责:
(一)落实专人负责、24小时值班制度;
(二)建立用户登记和信息管理制度;
(三)加强信息监测,发现有害数据应立即采取相应措施并及时向公安机关报告。
第三十六条 计算机信息系统应用单位利用公用帐号从事因特网咖啡屋、网吧、网络俱乐部等开放式国际联网经营活动,应履行下列安全保护职责:
(一)建立健全安全管理制度,落实安全保护技术措施;
(二)建立用户登记和监督管理制度;
(三)劝阻、制止网上非法活动,并及时向公安机关报告。
第六章 罚则
第三十七条 违反本办法规定,有下列行为之一的,由公安机关责令改正;拒不改正的,处以100元以上1000元以下的罚款:
(一)重要行业、重点单位的计算机信息系统应用单位未建立计算机安全管理组织的;
(二)重要行业、重点单位的计算机信息系统安全技术人员未取得培训合格证上岗工作的;
(三)未制定并落实专门的计算机病毒和其他有害数据管理制度的;
(四)对计算机信息系统中发生的安全事故和计算机违法犯罪案件未报告的。
第三十八条 违反本办法规定,有下列行为之一的,由公安机关责令改正,给予警告,或对单位处以5000元以上10000元以下的罚款;对个人处以1000元以上5000元以下的罚款:
(一)擅自公开举办计算机病毒机理的讲座、培训或擅自向社会发布计算机病毒疫情的;
(二)制造、销售、出租、维修、商业性赠送的计算机产品中携带有计算机病毒和其他有害数据的;
(三)传播、制造、出版、复制、销售含有计算机病毒源程序及其他有害数据的媒体危害计算机信息系统安全或制造、销售反动、黄色、盗版的电子媒体的;
(四)重要行业、重点单位的计算机机房的设计方案未报公安机关进行安全性能审核或竣工后未报公安机关组织检测以及经检测不合格而擅自投入使用的;
(五)从事危害计算机信息系统安全施工的。
第四十条 违反本办法规定,有下列行为之一的,由公安机关给予警告,或对单位处以3000元以上15000元以下罚款;对个人处以1000元以上5000元以下的罚款;有违法所得的,除予以没收外,可以处以违法所得1至3倍的罚款:
(一)故意输入计算机病毒以及其他有害数据危害计算机信息系统安全的;
(二)未经认证销售计算安全专用产品的。
第四十一条 违反本办法规定,有下列行为之一的,由公安机关给予警告、责令停止联网,可并处15000元以下的罚款:
(一)与国际联网未按规定到公安机关办理审核或备案手续的;
(二)将涉及国家秘密的计算机信息系统与国际联网的;
(三)将涉及国家秘密的计算机信息与国际联网存储、传输、处理的。
第四十二条 违反本办法规定,有下列行为之一的,由公安机关责令限期改正,给予警告,有违法所得的没收违法所得;在规定的期限内未改正的,对单位的主管负责人员和其他直接责任人员可并处1000元以上5000元以下的罚款,对单位可并处5000元以上15000元以下的罚款;情节严重的,并可给予6个月以内的停止联网、停机整顿的处罚:
(一)国际联网未建立保护管理制度或国际联网未采取安全技术保护措施的;
(二)开放式国际联网经营单位未建立用户登记和信息管理制度的。
第四十三条 违反本办法有关规定,情节严重构成犯罪的,依法追究刑事责任。
第四十四条 计算机信息系统法定检测单位泄露被检测单位商业秘密,应承担赔偿责任。
公安机关执法人员在执行本办法过程中玩忽职守、索贿受贿、徇私舞弊、泄露管理相对人商业秘密,构成犯罪的,依法追究刑事责任;尚不构成犯罪的,给予行政处分。
第七章 附则
第四十五条 本办法自发布之日起施行。
关于颁发《全国工程勘察、设计单位资格认证管理暂行办法》的通知
中国建设银行
关于颁发《全国工程勘察、设计单位资格认证管理暂行办法》的通知
1986年6月30日,中国人民建设银行
国务院各有关部门,各省、自治区、直辖市计委(建委、建设厅):
现将《全国工程勘察、设计单位资格认证管理暂行办法》印发你们试行。在试行中有什么情况和问题,请及时告诉我们,以便进一步修改、完善。
附件:全国工程勘察、设计单位资格认证管理暂行办法
第一章 总则
第一条 为了保证勘察、设计质量,促进技术进步,提高工程效益,进一步加强工程勘察、设计单位的资格管理,特制定本暂行办法。
第二条 我国的工程勘察、设计单位,必须经过资格认证,获得工程勘察证书或工程设计证书,才能承担工程勘察任务或工程设计任务。
第三条 勘察、设计工作是工程建设的关键环节,是技术性很强的工作。它对工程建设的效益和人民生命、财产的安全有着直接的影响。各级勘察、设计管理部门,必须切实做好工程勘察、设计单位资格认证工作。
第二章 发证条件
第四条 发给工程勘察证书或工程设计证书,必须具备的条件是:有按国家规定的权限,经主管部门批准成立工程勘察、设计机构的文件;有专门从事工程勘察、设计工作的固定职工组成的实体;有固定的工作场所和一定的仪器、装备;具备独立承担工程勘察、设计任务的能力。
1980年以后新组建的工程勘察、设计单位,要根据国务院批转国家计委关于调整企业、事业单位隶属关系审批权限的请示报告(国发[1978]145号)的精神和(80)建发施字263号文的规定,办理批准手续后,才具备申请工程勘察、设计证书的条件。
第五条 科研单位、大专院校中的工程勘察、设计机构,和城市规划设计单位,地质系统中的水文地质队,以及有能力承担工程地质的地质队,如果具备本章第四条规定的条件,经资格审查后,可以发给工程勘察、设计证书。如要实行收费制,必须经济上独立核算,扣除其注册人员的事业经费,执行国家规定的有关技术经济责任制。
生产、施工企业中的工程勘察、设计机构,除个别大型联合企业中在1980年以前成立的工程勘察、设计机构外,在颁发证书时,应明确只限于本企业的工程勘察、设计任务,对所承担项目的规模要加以限制。
党政机关和群众团体,不应发给工程勘察、设计证书。
第三章 证书等级
第六条 工程勘察、设计证书分为甲、乙、丙、丁四级,制定分级标准的原则是:
甲级单位,是本行业的骨干勘察、设计单位。独立地承担过本行业中的大型工程项目的勘察或设计任务,并已建成投产。有较高的社会信誉。技术力量雄厚,各专业配备齐全,技术经济人员(包括概预算人员)配套。其中,各主要专业应配备一定数量并具有较长勘察或设计资历的技术骨干。有相应的技术专利、特长,或者能够利用国内、外工艺包,做出具有国内先进水平的设计。有比较完善的质量、技术等管理制度。有比较先进、齐全的技术装备。
乙级单位,是本行业的主要勘察、设计单位。独立地承担过本行业中的中型工程项目的勘察或设计任务,并已建成投产。有较好的社会信誉。技术力量强,各专业配备齐全,技术经济人员(包括概预算人员)配套。其中,各主要专业应配备一定数量并具有一定勘察或设计资历的技术骨干。有相应的技术专利、特长,或者能够利用国内、外的基础设计,做出具有国内先进或比较先进水平的设计。有比较健全的质量、技术等管理制度。有基本配套的技术装备。
丙级单位,独立地承担过本行业中的小型工程项目的勘察或设计任务,并已建成投产。有一定的技术力量,专业齐全,人员配备合理。其中,主要专业应配备具有一定勘察或设计资历的技术骨干。有相应的技术水平。有质量、技术等管理制度。有必需的技术装备。
丁级单位,独立地承担过县以下单位或本企业中的小型工程项目的勘察或设计任务,并已建成投产。专业基本齐全,人员配备基本合理。其中,主要专业应配备有助理工程师以上技术人员。有质量、技术等管理制度。有相应的技术水平和必要的工具。
第七条 甲、乙、丙、丁各级工程勘察、设计单位的分级标准,由国务院有关行业的主管部门根据本办法第六条的原则,在征求地方意见的基础上,分别制定,经国家计委统一平衡后,由国务院有关部门颁布执行,并抄送各地各部门工程勘察、设计管理部门。工程勘察工作内容相近的主管部门,可以联合起来制定分级标准,由国务院有关主管部门分别颁布。
第八条 工程勘察证书和工程设计证书,包括证书和副本。副本中要详细写明工程勘察、设计单位等级和承担勘察、设计任务的具体范围,以及是否属于实行收费制单位。
第四章 审批权限
第九条 申请工程勘察证书或工程设计证书的单位,必须先填写申请表(申请表式附后),按隶属关系报送国务院有关主管部门或省、自治区、直辖市勘察设计的管理部门审查。
主管部门要根据分级标准和允许收费的条件,确定申请单位承担本行业勘察、设计任务的等级和具体范围,以及是否属于收费制单位。如要承担其他行业的勘察、设计任务,也要根据有关的分级标准,确定承担其他行业任务的等级和具体范围,一般要低于主专业的等级。如要申请其他行业的甲级资格,必须经过国务院有关行业的主管部门审查签署意见。
第十条 国务院有关部门所属的工程勘察、设计单位,经资格审查后,属甲、乙级单位,请主管部门签署审查定级意见,由国家计划委员会平衡后发给证书;属丙、丁级单位,由主管部门批准、发给证书。
第十一条 地区所属的工程勘察、设计单位,经省、自治区、直辖市资格审查后,属甲、乙级单位,请省、自治区、直辖市勘察、设计的管理部门签署定级意见,按主专业分别报送有关部,经行业资貉审查后由主管部签署意见,再经国家计划委员会平衡后发给证书;属丙、丁级单位,由有关省、自治区、直辖市勘察、设计的管理部门批准、发给证书。
第十二条 获得甲、乙级证书的单位,可在全国范围内承担证书规定范围的工程勘察、设计任务,各地、各部不需再进行审查、登记和验证。
获得丙级证书的单位,只能承担本地区或本行业内的勘察、设计任务,如要跨地区跨行业承担任务,须经任务所在地或项目主管部门审查、验证。
获得丁级证书的单位,只能承担本单位、本县内的勘察、设计任务。
第十三条 审查和颁发工程勘察、设计证书的主管部门,要根据发证条件,对申请单位认真审查,严格把关。对不顾条件滥发证书和下放证书审批权限的主管部门要追究责任。
第五章 管理和监督
第十四条 工程勘察证书和工程设计证书,由国家计委统一印制、编号和发放,任何地区和部门不得翻印或自行印制。
第十五条 国务院有关部和省、自治区、直辖市勘察、设计管理部门,要加强对工程勘察证书和工程设计证书经常性的管理工作,建立证书资格升降制度,至少每两年对工程勘察、设计单位的资格进行一次统一检查。如发现达不到所持工程勘察、设计证书级别的条件,应及时按本规定的审批手续降低其证书级别或注销其证书。有的单位因条件变化要求提升证书等级,应按其隶属关系由国务院有关主管部和有关省、自治区、直辖市勘察、设计管理部门经过严格审查后,发给临时升级通知书,允许承担一、两项升级后任务。如经过实践验证实其确已合格,可按本办法规定的审批手续发给升级后的证书。如果甲、乙级单位四年内没有做出省、部级以上的优秀勘察、设计成果,对其资格等级要重新进行评定。
第十六条 工程勘察、设计单位所提交的勘察、设计文件,必须标明工程勘察证书或工程设计证书的级别和批准编号。审查勘察、设计的部门或单位,必要时可以核查其工程勘察、设计资格。
第十七条 未按本规定获得工程勘察证书或工程设计证书的单位,不得承揽工程勘察或工程设计任务。如违反本规定承接勘察、设计任务,一经发现,应立即制止。其勘察设计的工程项目,设计审查部门不予审查,施工单位不得施工,银行不予付款。如果发现无证单位或个人承担工程勘察、设计任务已收费者,应没收其全部收入,严重的要给予处分。
持证的工程勘察、设计单位,不得为无证单位或个人承担的工程勘察、设计提供证书或图签,未经批准也不得超越证书规定范围承担任务,违者视情节轻重处以罚款,直至吊销证书。
第六章 附则
第十八条 本办法适用于全国从事工程勘察、设计工作的单位。军队的勘察、设计单位由军队主管勘察、设计的部门发证,适用于军队内部,如果承担地方任务,须经任务所在地或项目主管部门验证。集体、个体设计单位仍按《集体和个体设计单位管理暂行办法》(计设[1985]
422号文件)执行,但如果申请甲、乙级证书,要按本办法办理审批手续。
第十九条 国务院有关主管部门和各省、自治区、直辖市勘察、设计管理部门,应根据本办法,制订实施细则。
第二十条 本办法的解释权属国家计划委员会。
第二十一条 本办法自1987年1月1日起实行。