法律研究的起点是针对具体问题的法律法规规定,法律法规的精髓在于运用,律师的核心竞争力在于实战。李源福法律研究网是李源福律师自2010年初(时为检察官)开始边研究边建设,现已建设成的一家广泛领域的法律法规的研究网站,其基本宗旨如下:
1、针对社会生活中的法律纠纷和法律事务,通过对国家法律法规的总结梳理,向社会公众提供免费的法律法规的查询服务;
2、将有关司法机关公布的案例及本律师、本律师事务所亲身实践的案例公诸于众,给法律职业人员和社会公众提供参考,进行实践交流;
3、对研究和业务中涉及的法律理论和实践问题进行探讨,发布本团队成员撰写的理论文章,或者转载他人的优秀文章,进行理论交流;
4、依托浙江鑫目律师事务所,重点组织了刑事辩护、公司股权业务两个领域的专业化团队,保持与当事人的联系和沟通,为当事人提供免费法律咨询,运用法律帮助当事人解决重要的问题。
说明:
本网站的部分经过系统归纳,体现较多网站建设者劳动价值的部分内容,需要注册为会员(目前免费)才能查看。
李源福
13355978421
地址:浙江省宁波市联系我们
有关计算机\互联网信息传播及安全管理的法律规范汇总
发布时间:2011/1/12 23:59:00
有关互联网 计算机信息传播及安全管理的法律规范汇总
全国人民代表大会常务委员会关于维护互联网安全的决定
(
我国的互联网,在国家大力倡导和积极推动下,在经济建设和各项事业中得到日益广泛的应用,使人们的生产、工作、学习和生活方式已经开始并将继续发生深刻的变化,对于加快我国国民经济、科学技术的发展和社会服务信息化进程具有重要作用。同时,如何保障互联网的运行安全和信息安全问题已经引起全社会的普遍关注。为了兴利除弊,促进我国互联网的健康发展,维护国家安全和社会公共利益,保护个人、法人和其他组织的合法权益,特作如下决定:
一、为了保障互联网的运行安全,对有下列行为之一,构成犯罪的,依照刑法有关规定追究刑事责任:
(一)侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统;
(二)故意制作、传播计算机病毒等破坏性程序,攻击计算机系统及通信网络,致使计算机系统及通信网络遭受损害;
(三)违反国家规定,擅自中断计算机网络或者通信服务,造成计算机网络或者通信系统不能正常运行。
二、为了维护国家安全和社会稳定,对有下列行为之一,构成犯罪的,依照刑法有关规定追究刑事责任:
(一)利用互联网造谣、诽谤或者发表、传播其他有害信息,煽动颠覆国家政权、推翻社会主义制度,或者煽动分裂国家、破坏国家统一;
(二)通过互联网窃取、泄露国家秘密、情报或者军事秘密;
(三)利用互联网煽动民族仇恨、民族歧视,破坏民族团结;
(四)利用互联网组织邪教组织、联络邪教组织成员,破坏国家法律、行政法规实施。
三、为了维护社会主义市场经济秩序和社会管理秩序,对有下列行为之一,构成犯罪的,依照刑法有关规定追究刑事责任:
(一)利用互联网销售伪劣产品或者对商品、服务作虚假宣传;
(二)利用互联网损坏他人商业信誉和商品声誉;
(三)利用互联网侵犯他人知识产权;
(四)利用互联网编造并传播影响证券、期货交易或者其他扰乱金融秩序的虚假信息;
(五)在互联网上建立淫秽网站、网页,提供淫秽站点链接服务,或者传播淫秽书刊、影片、音像、图片。
四、为了保护个人、法人和其他组织的人身、财产等合法权利,对有下列行为之一,构成犯罪的,依照刑法有关规定追究刑事责任:
(一)利用互联网侮辱他人或者捏造事实诽谤他人;
(二)非法截获、篡改、删除他人电子邮件或者其他数据资料,侵犯公民通信自由和通信秘密;
(三)利用互联网进行盗窃、诈骗、敲诈勒索。
五、利用互联网实施本决定第一条、第二条、第三条、第四条所列行为以外的其他行为,构成犯罪的,依照刑法有关规定追究刑事责任。
六、利用互联网实施违法行为,违反社会治安管理,尚不构成犯罪的,由公安机关依照《治安管理处罚条例》予以处罚;违反其他法律、行政法规,尚不构成犯罪的,由有关行政管理部门依法给予行政处罚;对直接负责的主管人员和其他直接责任人员,依法给予行政处分或者纪律处分。
利用互联网侵犯他人合法权益,构成民事侵权的,依法承担民事责任。
七、各级人民政府及有关部门要采取积极措施,在促进互联网的应用和网络技术的普及过程中,重视和支持对网络安全技术的研究和开发,增强网络的安全防护能力。有关主管部门要加强对互联网的运行安全和信息安全的宣传教育,依法实施有效的监督管理,防范和制止利用互联网进行的各种违法活动,为互联网的健康发展创造良好的社会环境。从事互联网业务的单位要依法开展活动,发现互联网上出现违法犯罪行为和有害信息时,要采取措施,停止传输有害信息,并及时向有关机关报告。任何单位和个人在利用互联网时,都要遵纪守法,抵制各种违法犯罪行为和有害信息。人民法院、人民检察院、公安机关、国家安全机关要各司其职,密切配合,依法严厉打击利用互联网实施的各种犯罪活动。要动员全社会的力量,依靠全社会的共同努力,保障互联网的运行安全与信息安全,促进社会主义精神文明和物质文明建设。
中华人民共和国计算机信息系统安全保护条例
中华人民共和国国务院令
(147号)
现发布《中华人民共和国计算机信息系统安全保护条例》,自发布之日起施行。
总理 李鹏
1994年2月18日
第一章 总则
第一条 为了保护计算机信息系统的安全,促进计算机的应用和发展,保障社会主义现代化建设的顺利进行,制定本条例。
第二条 本条例所称的计算机信息系统,是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
第三条 计算机信息系统的安全保护,应当保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行。
第四条 计算机信息系统的安全保护工作,重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。
第五条 中华人民共和国境内的计算机信息系统的安全保护,适用本条例。
未联网的微型计算机的安全保护办法,另行制定。
第六条 公安部主管全国计算机信息系统安全保护工作。
国家安全部、国家保密局和国务院其他有关部门,在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作。
第七条 任何组织或者个人,不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动,不得危害计算机信息系统的安全。
第二章 安全保护制度
第八条 计算机信息系统的建设和应用,应当遵守法律、行政法规和国家其他有关规定。
第九条 计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。
第十条 计算机机房应当符合国家标准和国家有关规定。
在计算机机房附近施工,不得危害计算机信息系统的安全。
第十一条 进行国际联网的计算机信息系统,由计算机信息系统的使用单位报省级以上人民政府公安机关备案。
第十二条 运输、携带、邮寄计算机信息媒体进出境的,应当如实向海关申报。
第十三条 计算机信息系统的使用单位应当建立健全安全管理制度,负责本单位计算机信息系统的安全保护工作。
第十四条 对计算机信息系统中发生的案件,有关使用单位应当在24小时内向当地县级以上人民政府公安机关报告。
第十五条 对计算机病毒和危害社会公共安全的其他有害数据的防治研究工作,由公安部归口管理。
第十六条 国家对计算机信息系统安全专用产品的销售实行许可证制度。具体办法由公安部会同有关部门制定。
第三章 安全监督
第十七条 公安机关对计算机信息系统安全保护工作行使下列监督职权:
(一)监督、检查、指导计算机信息系统安全保护工作;
(二)查处危害计算机信息系统安全的违法犯罪案件;
(三)履行计算机信息系统安全保护工作的其他监督职责。
第十八条 公安机关发现影响计算机信息系统安全的隐患时,应当及时通知使用单位采取安全保护措施。
第十九条 公安部在紧急情况下,可以就涉及计算机信息系统安全的特定事项发布专项通令。
第四章 法律责任
第二十条 违反本条例的规定,有下列行为之一的,由公安机关处以警告或者停机整顿:
(一)违反计算机信息系统安全等级保护制度,危害计算机信息系统安全的;
(二)违反计算机信息系统国际联网备案制度的;
(三)不按照规定时间报告计算机信息系统中发生的案件的;
(四)接到公安机关要求改进安全状况的通知后,在限期内拒不改进的;
(五)有危害计算机信息系统安全的其他行为的。
第二十一条 计算机机房不符合国家标准和国家其他有关规定的,或者在计算机机房附近施工危害计算机信息系统安全的,由公安机关会同有关单位进行处理。
第二十二条 运输、携带、邮寄计算机信息媒体进出境,不如实向海关申报的,由海关依照《中华人民共和国海关法》和本条例以及其他有关法律、法规的规定处理。
第二十三条 故意输入计算机病毒以及其他有害数据危害计算机信息系统安全的,或者未经许可出售计算机信息系统安全专用产品的,由公安机关处以警告或者对个人处以5000元以下的罚款、对单位处以15000元以下的罚款;有违法所得的,除予以没收外,可以处以违法所得1至3倍的罚款。
第二十四条 违反本条例的规定,构成违反治安管理行为的,依照《中华人民共和国治安管理处罚条例》的有关规定处罚;构成犯罪的,依法追究刑事责任。
第二十五条 任何组织或者个人违反本条例的规定,给国家、集体或者他人财产造成损失的,应当依法承担民事责任。
第二十六条 当事人对公安机关依照本条例所作出的具体行政行为不服的,可以依法申请行政复或者提起行政诉讼。
第二十七条 执行本条例的国家公务员利用职权,索取、收受贿赂或者有其他违法、失职行为,构成犯罪的,依法追究刑事责任;尚不构成犯罪的,给予行政处分。
第五章 附则
第二十八条 本条例下列用语的含义:
计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
计算机信息系统安全专用产品,是指用于保护计算机信息系统安全的专用硬件和软件产品。
第二十九条 军队的计算机信息系统安全保护工作,按照军队的有关法规执行。
第三十条 公安部可以根据本条例制定实施办法。
第三十一条 本条例自发布之日起施行。
关于对《中华人民共和国计算机信息系统安全保护条例》中涉及的“有害数据”问题的批复
内蒙古自治区公安厅:
你厅《关于“计算机有害数据”定义的请示》(内公事〔1996〕30号)收悉。现批复如下:
“有害数据”是指计算机信息系统及其存储介质中存在、出现的,以计算机程序、图像、文字、声音等多种形式表示的, 含有攻击人民民主专政、社会主义制度, 攻击党和国家领导人, 破坏民族团结等危害国家安全内容的信息; 含有宣扬封建迷信、淫秽色情、凶杀、教唆犯罪等危害社会治安秩序内容的信息, 以及危害计算机信息系统运行和功能发挥,应用软件、数据可靠性、完整性和保密性, 用于违法活动的计算机程序(含计算机病毒)。
公安部
一九九六年五月九日
中华人民共和国电信条例
中华人民共和国刑法国务院令(第291号)
《中华人民共和国电信条例》已经
总理 朱镕基
二零零零年九月二十五日
第一章 总 则
第一条 为了规范电信市场秩序,维护电信用户和电信业务经营者的合法权益,保障电信网络和信息的安全,促进电信业的健康发展,制定本条例。
第二条 在中华人民共和国境内从事电信活动或者与电信有关的活动,必须遵守本条例。
本条例所称电信,是指利用有线、无线的电磁系统或者光电系统,传送、发射或者接收语音、文字、数据、图像以及其他任何形式信息的活动。
第三条 国务院信息产业主管部门依照本条例的规定对全国电信业实施监督管理。
省、自治区、直辖市电信管理机构在国务院信息产业主管部门的领导下,依照本条例的规定对本行政区域内的电信业实施监督管理。
第四条 电信监督管理遵循政企分开、破除垄断、鼓励竞争、促进发展和公开、公平、公正的原则。
电信业务经营者应当依法经营,遵守商业道德,接受依法实施的监督检查。
第五条 电信业务经营者应当为电信用户提供迅速、准确、安全、方便和价格合理的电信服务。
第六条 电信网络和信息的安全受法律保护。任何组织或者个人不得利用电信网络从事危害国家安全、社会公共利益或者他人合法权益的活动。
第二章 电信市场
第一节 电信业务许可
第七条 国家对电信业务经营按照电信业务分类,实行许可制度。
经营电信业务,必须依照本条例的规定取得国务院信息产业主管部门或者省、自治区、直辖市电信管理机构颁发的电信业务经营许可证。
未取得电信业务经营许可证,任何组织或者个人不得从事电信业务经营活动。
第八条 电信业务分为基础电信业务和增值电信业务。
基础电信业务,是指提供公共网络基础设施、公共数据传送和基本话音通信服务的业务。增值电信业务,是指利用公共网络基础设施提供的电信与信息服务的业务。
电信业务分类的具体划分在本条例所附的《电信业务分类目录》中列出。国务院信息产业主管部门根据实际情况,可以对目录所列电信业务分类项目作局部调整,重新公布。
第九条 经营基础电信业务,须经国务院信息产业主管部门审查批准,取得《基础电信业务经营许可证》。
经营增值电信业务,业务覆盖范围在两个以上省、自治区、直辖市的,须经国务院信息产业主管部门审查批准,取得《跨地区增值电信业务经营许可证》;业务覆盖范围在一个省、自治区、直辖市行政区域内的,须经省、自治区、直辖市电信管理机构审查批准,取得《增值电信业务经营许可证》。
运用新技术试办《电信业务分类目录》未列出的新型电信业务的,应当向省、自治区、直辖市电信管理机构备案。
第十条 经营基础电信业务,应当具备下列条件:
(一)经营者为依法设立的专门从事基础电信业务的公司,且公司中国有股权或者股份不少于51%;
(二)有可行性研究报告和组网技术方案;
(三)有与从事经营活动相适应的资金和专业人员;
(四)有从事经营活动的场地及相应的资源;
(五)有为用户提供长期服务的信誉或者能力;
(六)国家规定的其他条件。
第十一条 申请经营基础电信业务,应当向国务院信息产业主管部门提出申请,并提交本条例第十条规定的相关文件。国务院信息产业主管部门应当自受理申请之日起180日内审查完毕,作出批准或者不予批准的决定。予以批准的,颁发《基础电信业务经营许可证》;不予批准的,应当书面通知申请人并说明理由。
第十二条 国务院信息产业主管部门审查经营基础电信业务的申请时,应当考虑国家安全、电信网络安全、电信资源可持续利用、环境保护和电信市场的竞争状况等因素。
颁发《基础电信业务经营许可证》,应当按照国家有关规定采用招标方式。
第十三条 经营增值电信业务,应当具备下列条件:
(一)经营者为依法设立的公司;
(二)有与开展经营活动相适应的资金和专业人员;
(三)有为用户提供长期服务的信誉或者能力;
(四)国家规定的其他条件。
第十四条 申请经营增值电信业务,应当根据本条例第九条第二款的规定,向国务院信息产业主管部门或者省、自治区、直辖市电信管理机构提出申请,并提交本条例第十三条规定的相关文件。申请经营的增值电信业务,按照国家有关规定须经有关主管部门审批的,还应当提交有关主管部门审核同意的文件。国务院信息产业主管部门或者省、自治区、直辖市电信管理机构应当自收到申请之日起60日内审查完毕,作出批准或者不予批准的决定。予以批准的,颁发《跨地区增值电信业务经营许可证》或者《增值电信业务经营许可证》;不予批准的,应当书面通知申请人并说明理由。
第十五条 电信业务经营者在经营过程中,变更经营主体、业务范围或者停止经营的,应当提前90日向原颁发许可证的机关提出申请,并办理相应手续;停止经营的,还应当按照国家有关规定做好善后工作。
第十六条 经批准经营电信业务的,应当持依法取得的电信业务经营许可证,向企业登记机关办理登记手续。
专用电信网运营单位在所在地区经营电信业务的,应当依照本条例规定的条件和程序提出申请,经批准,取得电信业务经营许可证,并依照前款规定办理登记手续。
第二节 电信网间互联
第十七条 电信网之间应当按照技术可行、经济合理、公平公正、相互配合的原则,实现互联互通。
主导的电信业务经营者不得拒绝其他电信业务经营者和专用网运营单位提出的互联互通要求。
前款所称主导的电信业务经营者,是指控制必要的基础电信设施并且在电信业务市场中占有较大份额,能够对其他电信业务经营者进入电信业务市场构成实质性影响的经营者。
主导的电信业务经营者由国务院信息产业主管部门确定。
第十八条 主导的电信业务经营者应当按照非歧视和透明化的原则,制定包括网间互联的程序、时限、非捆绑网络元素目录等内容的互联规程。互联规程应当报国务院信息产业主管部门审查同意。该互联规程对主导的电信业务经营者的互联互通活动具有约束力。
第十九条 公用电信网之间、公用电信网与专用电信网之间的网间互联,由网间互联双方按照国务院信息产业主管部门的网间互联管理规定进行互联协商,并订立网间互联协议。
网间互联协议应当向国务院信息产业主管部门备案。
第二十条 网间互联双方经协商未能达成网间互联协议的,自一方提出互联要求之日起60日内,任何一方均可以按照网间互联覆盖范围向国务院信息产业主管部门或者省、自治区、直辖市电信管理机构申请协调;收到申请的机关应当依照本条例第十七条第一款规定的原则进行协调,促使网间互联双方达成协议;自网间互联
一方或者双方申请协调之日起45日内经协调仍不能达成协议的,由协调机关随机邀请电信技术专家和其他有关方面专家进行公开论证并提出网间互联方案。协调机关应当根据专家论证结论和提出的网间互联方案作出决定,强制实现互联互通。
第二十一条 网间互联双方必须在协议约定或者决定规定的时限内实现互联互通。未经国务院信息产业主管部门批准,任何一方不得擅自中断互联互通。网间互联遇有通信技术障碍的,双方应当立即采取有效措施予以消除。网间互联双方在互联互通中发生争议的,依照本条例第二十条规定的程序和办法处理。
网间互联的通信质量应当符合国家有关标准。主导的电信业务经营者向其他电信业务经营者提供网间互联,服务质量不得低于本网内的同类业务及向其子公司或者分支机构提供的同类业务质量。
第二十二条 网间互联的费用结算与分摊应当执行国家有关规定,不得在规定标准之外加收费用。
网间互联的技术标准、费用结算办法和具体管理规定,由国务院信息产业主管部门制定。
第三节 电信资费
第二十三条 电信资费标准实行以成本为基础的定价原则,同时考虑国民经济与社会发展要求、电信业的发展和电信用户的承受能力等因素。
第二十四条 电信资费分为市场调节价、政府指导价和政府定价。
基础电信业务资费实行政府定价、政府指导价或者市场调节价;增值电信业务资费实行市场调节价或者政府指导价。
市场竞争充分的电信业务,电信资费实行市场调节价。
实行政府定价、政府指导价和市场调节价的电信资费分类管理目录,由国务院信息产业主管部门经征求国务院价格主管部门意见制定并公布施行。
第二十五条 政府定价的重要的电信业务资费标准,由国务院信息产业主管部门提出方案,经征求国务院价格主管部门意见,报国务院批准后公布施行。
政府指导价的电信业务资费标准幅度,由国务院信息产业主管部门经征求国务院价格主管部门意见,制定并公布施行。电信业务经营者在标准幅度内,自主确定资费标准,报省、自治区、直辖市电信管理机构备案。
第二十六条 制定政府定价和政府指导价的电信业务资费标准,应当采取举行听证会等形式,听取电信业务经营者、电信用户和其他有关方面的意见。
电信业务经营者应当根据国务院信息产业主管部门和省、自治区、直辖市电信管理机构的要求,提供准确、完备的业务成本数据及其他有关资料。
第四节 电信资源
第二十七条 国家对电信资源统一规划、集中管理、合理分配,实行有偿使用制度。
前款所称电信资源,是指无线电频率、卫星轨道位置、电信网码号等用于实现电信功能且有限的资源。
第二十八条 电信业务经营者占有、使用电信资源,应当缴纳电信资源费。具体收费办法由国务院信息产业主管部门会同国务院财政部门、价格主管部门制定,报国务院批准后公布施行。
第二十九条 电信资源的分配,应当考虑电信资源规划、用途和预期服务能力。
分配电信资源,可以采取指配的方式,也可以采用拍卖的方式。
取得电信资源使用权的,应当在规定的时限内启用所分配的资源,并达到规定的最低使用规模。未经国务院信息产业主管部门或者省、自治区、直辖市电信管理机构批准,不得擅自使用、转让、出租电信资源或者改变电信资源的用途。
第三十条 电信资源使用者依法取得电信网码号资源后,主导的电信业务经营者和其他有关单位有义务采取必要的技术措施,配合电信资源使用者实现其电信网码号资源的功能。
法律、行政法规对电信资源管理另有特别规定的,从其规定。
第三章 电信服务
第三十一条 电信业务经营者应当按照国家规定的电信服务标准向电信用户提供服务。电信业务经营者提供服务的种类、范围、资费标准和时限,应当向社会公布,并报省、自治区、直辖市电信管理机构备案。
电信用户有权自主选择使用依法开办的各类电信业务。
第三十二条 电信用户申请安装、移装电信终端设备的,电信业务经营者应当在其公布的时限内保证装机开通;由于电信业务经营者的原因逾期未能装机开通的,应当每日按照收取的安装费、移装费或者其他费用数额百分之一的比例,向电信用户支付违约金。
第三十三条 电信用户申告电信服务障碍的,电信业务经营者应当自接到申告之日起,城镇48小时、农村72小时内修复或者调通;不能按期修复或者调通的,应当及时通知电信用户,并免收障碍期间的月租费用。但是,属于电信终端设备的原因造成电信服务障碍的除外。
第三十四条 电信业务经营者应当为电信用户交费和查询提供方便。电信用户要求提供国内长途通信、国际通信、移动通信和信息服务等收费清单的,电信业务经营者应当免费提供。
电信用户出现异常的巨额电信费用时,电信业务经营者一经发现,应当尽可能迅速告知电信用户,并采取相应的措施。
前款所称巨额电信费用,是指突然出现超过电信用户此前三个月平均电信费用5倍以上的费用。
第三十五条 电信用户应当按照约定的时间和方式及时、足额地向电信业务经营者交纳电信费用;电信用户逾期不交纳电信费用的,电信业务经营者有权要求补交电信费用,并可以按照所欠费用每日加收3‰的违约金。
对超过收费约定期限30日仍不交纳电信费用的电信用户,电信业务经营者可以暂停向其提供电信服务。电信用户在电信业务经营者暂停服务60日内仍未补交电信费用和违约金的,电信业务经营者可以终止提供服务,并可以依法追缴欠费和违约金。
经营移动电信业务的经营者可以与电信用户约定交纳电信费用的期限、方式,不受前款规定期限的限制。
电信业务经营者应当在迟延交纳电信费用的电信用户补足电信费用、违约金后的48小时内,恢复暂停的电信服务。
第三十六条 电信业务经营者因工程施工、网络建设等原因,影响或者可能影响正常电信服务的,必须按照规定的时限及时告知用户,并向省、自治区、直辖市电信管理机构报告。
因前款原因中断电信服务的,电信业务经营者应当相应减免用户在电信服务中断期间的相关费用。
出现本条第一款规定的情形,电信业务经营者未及时告知用户的,应当赔偿由此给用户造成的损失。
第三十七条 经营本地电话业务和移动电话业务的电信业务经营者,应当免费向用户提供火警、匪警、医疗急救、交通事故报警等公益性电信服务并保障通信线路畅通。
第三十八条 电信业务经营者应当及时为需要通过中继线接入其电信网的集团用户,提供平等、合理的接入服务。
未经批准,电信业务经营者不得擅自中断接入服务。
第三十九条 电信业务经营者应当建立健全内部服务质量管理制度,并可以制定并公布施行高于国家规定的电信服务标准的企业标准。
电信业务经营者应当采取各种形式广泛听取电信用户意见,接受社会监督,不断提高电信服务质量。
第四十条 电信业务经营者提供的电信服务达不到国家规定的电信服务标准或者其公布的企业标准的,或者电信用户对交纳电信费用持有异议的,电信用户有权要求电信业务经营者予以解决;电信业务经营者拒不解决或者电信用户对解决结果不满意的,电信用户有权向国务院信息产业主管部门或者省、自治区、直辖市电信管理机构或者其他有关部门申诉。收到申诉的机关必须对申诉及时处理,并自收到申诉之日起30日内向申诉者作出答复。
电信用户对交纳本地电话费用有异议的,电信业务经营者还应当应电信用户的要求免费提供本地电话收费依据,并有义务采取必要措施协助电信用户查找原因。
第四十一条 电信业务经营者在电信服务中,不得有下列行为:
(一)以任何方式限定电信用户使用其指定的业务;
(二)限定电信用户购买其指定的电信终端设备或者拒绝电信用户使用自备的已经取得入网许可的电信终端设备;
(三)违反国家规定,擅自改变或者变相改变资费标准,擅自增加或者变相增加收费项目;
(四)无正当理由拒绝、拖延或者中止对电信用户的电信服务;
(五)对电信用户不履行公开作出的承诺或者作容易引起误解的虚假宣传;
(六)以不正当手段刁难电信用户或者对投诉的电信用户打击报复。
第四十二条 电信业务经营者在电信业务经营活动中,不得有下列行为:
(一)以任何方式限制电信用户选择其他电信业务经营者依法开办的电信服务;
(二)对其经营的不同业务进行不合理的交叉补贴;
(三)以排挤竞争对手为目的,低于成本提供电信业务或者服务,进行不正当竞争。
第四十三条 国务院信息产业主管部门或者省、自治区、直辖市电信管理机构应当依据职权对电信业务经营者的电信服务质量和经营活动进行监督检查,并向社会公布监督抽查结果。
第四十四条 电信业务经营者必须按照国家有关规定履行相应的电信普遍服务义务。
国务院信息产业主管部门可以采取指定的或者招标的方式确定电信业务经营者具体承担电信普遍服务的义务。
电信普遍服务成本补偿管理办法,由国务院信息产业主管部门会同国务院财政部门、价格主管部门制定,报国务院批准后公布施行。
第四章 电信建设
第一节 电信设施建设
第四十五条 公用电信网、专用电信网、广播电视传输网的建设应当接受国务院信息产业主管部门的统筹规划和行业管理。
属于全国性信息网络工程或者国家规定限额以上建设项目的公用电信网、专用电信网、广播电视传输网建设,在按照国家基本建设项目审批程序报批前,应当征得国务院信息产业主管部门同意。
基础电信建设项目应当纳入地方各级人民政府城市建设总体规划和村镇、集镇建设总体规划。
第四十六条 城市建设和村镇、集镇建设应当配套设置电信设施。建筑物内的电信管线和配线设施以及建设项目用地范围内的电信管道,应当纳入建设项目的设计文件,并随建设项目同时施工与验收。所需经费应当纳入建设项目概算。
有关单位或者部门规划、建设道路、桥梁、隧道或者地下铁道等,应当事先通知省、自治区、直辖市电信管理机构和电信业务经营者,协商预留电信管线等事宜。
第四十七条 基础电信业务经营者可以在民用建筑物上附挂电信线路或者设置小型天线、移动通信基站等公用电信设施,但是应当事先通知建筑物产权人或者使用人,并按照省、自治区、直辖市人民政府规定的标准向该建筑物的产权人或者其他权利人支付使用费。
第四十八条 建设地下、水底等隐蔽电信设施和高空电信设施,应当按照国家有关规定设置标志。
基础电信业务经营者建设海底电信缆线,应当征得国务院信息产业主管部门同意,并征求有关部门意见后,依法办理有关手续。海底电信缆线由国务院有关部门在海图上标出。
第四十九条 任何单位或者个人不得擅自改动或者迁移他人的电信线路及其他电信设施;遇有特殊情况必须改动或者迁移的,应当征得该电信设施产权人同意,由提出改动或者迁移要求的单位或者个人承担改动或者迁移所需费用,并赔偿由此造成的经济损失。
第五十条 从事施工、生产、种植树木等活动,不得危及电信线路或者其他电信设施的安全或者妨碍线路畅通;可能危及电信安全时,应当事先通知有关电信业务经营者,并由从事该活动的单位或者个人负责采取必要的安全防护措施。
违反前款规定,损害电信线路或者其他电信设施或者妨碍线路畅通的,应当恢复原状或者予以修复,并赔偿由此造成的经济损失。
第五十一条 从事电信线路建设,应当与已建的电信线路保持必要的安全距离;难以避开或者必须穿越,或者需要使用已建电信管道的,应当与已建电信线路的产权人协商,并签订协议;经协商不能达成协议的,根据不同情况,由国务院信息产业主管部门或者省、自治区、直辖市电信管理机构协调解决。
第五十二条 任何组织或者个人不得阻止或者妨碍基础电信业务经营者依法从事电信设施建设和向电信用户提供公共电信服务;但是,国家规定禁止或者限制进入的区域除外。
第五十三条 执行特殊通信、应急通信和抢修、抢险任务的电信车辆,经公安交通管理机关批准,在保障交通安全畅通的前提下可以不受各种禁止机动车通行标志的限制。
第二节 电信设备进网
第五十四条 国家对电信终端设备、无线电通信设备和涉及网间互联的设备实行进网许可制度。
接入公用电信网的电信终端设备、无线电通信设备和涉及网间互联的设备,必须符合国家规定的标准并取得进网许可证。
实行进网许可制度的电信设备目录,由国务院信息产业主管部门会同国务院产品质量监督部门制定并公布施行。
第五十五条 办理电信设备进网许可证的,应当向国务院信息产业主管部门提出申请,并附送经国务院产品质量监督部门认可的电信设备检测机构出具的检测报告或者认证机构出具的产品质量认证证书。
国务院信息产业主管部门应当自收到电信设备进网许可申请之日起60日内,对申请及电信设备检测报告或者产品质量认证证书审查完毕。经审查合格的,颁发进网许可证;经审查不合格的,应当书面答复并说明理由。
第五十六条 电信设备生产企业必须保证获得进网许可的电信设备的质量稳定、可靠,不得降低产品质量和性能。
电信设备生产企业应当在其生产的获得进网许可的电信设备上粘贴进网许可标志。
国务院产品质量监督部门应当会同国务院信息产业主管部门对获得进网许可证的电信设备进行质量跟踪和监督抽查,公布抽查结果。
第五章 电信安全
第五十七条 任何组织或者个人不得利用电信网络制作、复制、发布、传播含有下列内容的信息:
(一)反对宪法所确定的基本原则的;
(二)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;
(三)损害国家荣誉和利益的;
(四)煽动民族仇恨、民族歧视,破坏民族团结的;
(五)破坏国家宗教政策,宣扬邪教和封建迷信的;
(六)散布谣言,扰乱社会秩序,破坏社会稳定的;
(七)散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;
(八)侮辱或者诽谤他人,侵害他人合法权益的;
(九)含有法律、行政法规禁止的其他内容的。
第五十八条 任何组织或者个人不得有下列危害电信网络安全和信息安全的行为:
(一)对电信网的功能或者存储、处理、传输的数据和应用程序进行删除或者修改;
(二)利用电信网从事窃取或者破坏他人信息、损害他人合法权益的活动;
(三)故意制作、复制、传播计算机病毒或者以其他方式攻击他人电信网络等电信设施;
(四)危害电信网络安全和信息安全的其他行为。
第五十九条 任何组织或者个人不得有下列扰乱电信市场秩序的行为:
(一)采取租用电信国际专线、私设转接设备或者其他方法,擅自经营国际或者香港特别行政区、澳门特别行政区和台湾地区电信业务;
(二)盗接他人电信线路,复制他人电信码号,使用明知是盗接、复制的电信设施或者码号;
(三)伪造、变造电话卡及其他各种电信服务有价凭证;
(四)以虚假、冒用的身份证件办理入网手续并使用移动电话。
第六十条 电信业务经营者应当按照国家有关电信安全的规定,建立健全内部安全保障制度,实行安全保障责任制。
第六十一条 电信业务经营者在电信网络的设计、建设和运行中,应当做到与国家安全和电信网络安全的需求同步规划,同步建设,同步运行。
第六十二条 在公共信息服务中,电信业务经营者发现电信网络中传输的信息明显属于本条例第五十七条所列内容的,应当立即停止传输,保存有关记录,并向国家有关机关报告。
第六十三条 使用电信网络传输信息的内容及其后果由电信用户负责。
电信用户使用电信网络传输的信息属于国家秘密信息的,必须依照保守国家秘密法的规定采取保密措施。
第六十四条 在发生重大自然灾害等紧急情况下,经国务院批准,国务院信息产业主管部门可以调用各种电信设施,确保重要通信畅通。
第六十五条 在中华人民共和国境内从事国际通信业务,必须通过国务院信息产业主管部门批准设立的国际通信出入口局进行。
我国内地与香港特别行政区、澳门特别行政区和台湾地区之间的通信,参照前款规定办理。
第六十六条 电信用户依法使用电信的自由和通信秘密受法律保护。除因国家安全或者追查刑事犯罪的需要,由公安机关、国家安全机关或者人民检察院依照法律规定的程序对电信内容进行检查外,任何组织或者个人不得以任何理由对电信内容进行检查。
电信业务经营者及其工作人员不得擅自向他人提供电信用户使用电信网络所传输信息的内容。
第六章 罚 则
第六十七条 违反本条例第五十七条、第五十八条的规定,构成犯罪的,依法追究刑事责任;尚不构成犯罪的,由公安机关、国家安全机关依照有关法律、行政法规的规定予以处罚。
第六十八条 有本条例第五十九条第(二)、(三)、(四)项所列行为之一,扰乱电信市场秩序,构成犯罪的,依法追究刑事责任;尚不构成犯罪的,由国务院信息产业主管部门或者省、自治区、直辖市电信管理机构依据职权责令改正,没收违法所得,处违法所得3倍以上5倍以下罚款;没有违法所得或者违法所得不足1万元的,处1万元以上10万元以下罚款。
第六十九条 违反本条例的规定,伪造、冒用、转让电信业务经营许可证、电信设备进网许可证或者编造在电信设备上标注的进网许可证编号的,由国务院信息产业主管部门或者省、自治区、直辖市电信管理机构依据职权没收违法所得,处违法所得3倍以上5倍以下罚款;没有违法所得或者违法所得不足1万元的,处1万元以上10万元以下罚款。
第七十条 违反本条例规定,有下列行为之一的,由国务院信息产业主管部门或者省、自治区、直辖市电信管理机构依据职权责令改正,没收违法所得,处违法所得3倍以上5倍以下罚款;没有违法所得或者违法所得不足5万元的,处10万元以上100万元以下罚款;情节严重的,责令停业整顿:
(一)违反本条例第七条第三款的规定或者有本条例第五十九条第(一)项所列行为,擅自经营电信业务的,或者超范围经营电信业务的;
(二)未通过国务院信息产业主管部门批准,设立国际通信出入口进行国际通信的;
(三)擅自使用、转让、出租电信资源或者改变电信资源用途的;
(四)擅自中断网间互联互通或者接入服务的;
(五)拒不履行普遍服务义务的。
第七十一条 违反本条例的规定,有下列行为之一的,由国务院信息产业主管部门或者省、自治区、直辖市电信管理机构依据职权责令改正,没收违法所得,处违法所得1倍以上3倍以下罚款;没有违法所得或者违法所得不足1万元的,处1万元以上10万元以下罚款;情节严重的,责令停业整顿:
(一)在电信网间互联中违反规定加收费用的;
(二)遇有网间通信技术障碍,不采取有效措施予以消除的;
(三)擅自向他人提供电信用户使用电信网络所传输信息的内容的;
(四)拒不按照规定缴纳电信资源使用费的。
第七十二条 违反本条例第四十二条的规定,在电信业务经营活动中进行不正当竞争的,由国务院信息产业主管部门或者省、自治区、直辖市电信管理机构依据职权责令改正,处10万元以上100万元以下罚款;情节严重的,责令停业整顿。
第七十三条 违反本条例的规定,有下列行为之一的,由国务院信息产业主管部门或者省、自治区、直辖市电信管理机构依据职权责令改正,处5万元以上50万元以下罚款;情节严重的,责令停业整顿:
(一)拒绝其他电信业务经营者提出的互联互通要求的;
(二)拒不执行国务院信息产业主管部门或者省、自治区、直辖市电信管理机构依法作出的互联互通决定的;
(三)向其他电信业务经营者提供网间互联的服务质量低于本网及其子公司或者分支机构的。
第七十四条 违反本条例第三十四条第一款、第四十条第二款的规定,电信业务经营者拒绝免费为电信用户提供国内长途通信、国际通信、移动通信和信息服务等收费清单,或者电信用户对交纳本地电话费用有异议并提出要求时,拒绝为电信用户免费提供本地电话收费依据的,由省、自治区、直辖市电信管理机构责令改正,并向电信用户赔礼道歉;拒不改正并赔礼道歉的,处以警告,并处5000元以上5万元以下的罚款。
第七十五条 违反本条例第四十一条的规定,由省、自治区、直辖市电信管理机构责令改正,并向电信用户赔礼道歉,赔偿电信用户损失;拒不改正并赔礼道歉、赔偿损失的,处以警告,并处1万元以上10万元以下的罚款;情节严重的,责令停业整顿。
第七十六条 违反本条例的规定,有下列行为之一的,由省、自治区、直辖市电信管理机构责令改正,处1万元以上10万元以下的罚款:
(一)销售未取得进网许可的电信终端设备的;
(二)非法阻止或者妨碍电信业务经营者向电信用户提供公共电信服务的;
(三)擅自改动或者迁移他人的电信线路及其他电信设施的。
第七十七条 违反本条例的规定,获得电信设备进网许可证后降低产品质量和性能的,由产品质量监督部门依照有关法律、行政法规的规定予以处罚。
第七十八条 有本条例第五十七条、第五十八条和第五十九条所列禁止行为之一,情节严重的,由原发证机关吊销电信业务经营许可证。
国务院信息产业主管部门或者省、自治区、直辖市电信管理机构吊销电信业务经营许可证后,应当通知企业登记机关。
第七十九条 国务院信息产业主管部门或者省、自治区、直辖市电信管理机构工作人员玩忽职守、滥用职权、徇私舞弊,构成犯罪的,依法追究刑事责任;尚不构成犯罪的,依法给予行政处分。
第七章 附 则
第八十条 外国的组织或者个人在中华人民共和国境内投资与经营电信业务和香港特别行政区、澳门特别行政区与台湾地区的组织或者个人在内地投资与经营电信业务的具体办法,由国务院另行制定。
第八十一条 本条例自公布之日起施行。
附:电信业务分类目录
一、基础电信业务
(一)固定网络国内长途及本地电话业务;
(二)移动网络电话和数据业务;
(三)卫星通信及卫星移动通信业务;
(四)互联网及其它公共数据传送业务;
(五)带宽、波长、光纤、光缆、管道及其它网络元素出租、出售业务;
(六)网络承载、接入及网络外包等业务;
(七)国际通信基础设施、国际电信业务;
(八)无线寻呼业务;
(九)转售的基础电信业务。
第(八)、(九)项业务比照增值电信业务管理。
二、增值电信业务
(一)电子邮件;
(二)语音信箱;
(三)在线信息库存储和检索;
(四)电子数据交换;
(五)在线数据处理与交易处理;
(六)增值传真;
(七)互联网接入服务;
(八)互联网信息服务;
(九)可视电话会议服务。
互联网信息服务管理办法
中华人民共和国国务院令(第292号)
《互联网信息服务管理办法》已经
总理 朱镕基
第一条 为了规范互联网信息服务活动,促进互联网信息服务健康有序发展,制定本办法。
第二条 在中华人民共和国境内从事互联网信息服务活动,必须遵守本办法。
本办法所称互联网信息服务,是指通过互联网向上网用户提供信息的服务活动。
第三条 互联网信息服务分为经营性和非经营性两类。
经营性互联网信息服务,是指通过互联网向上网用户有偿提供信息或者网页制作等服务活动。
非经营性互联网信息服务,是指通过互联网向上网用户无偿提供具有公开性、共享性信息的服务活动。
第四条 国家对经营性互联网信息服务实行许可制度;对非经营性互联网信息服务实行备案制度。
未取得许可或者未履行备案手续的,不得从事互联网信息服务。
第五条 从事新闻、出版、教育、医疗保健、药品和医疗器械等互联网信息服务,依照法律、行政法规以及国家有关规定须经有关主管部门审核同意的,在申请经营许可或者履行备案手续前,应当依法经有关主管部门审核同意。
第六条 从事经营性互联网信息服务,除应当符合《中华人民共和国电信条例》规定的要求外,还应当具备下列条件:
(一)有业务发展计划及相关技术方案;
(二)有健全的网络与信息安全保障措施,包括网站安全保障措施、信息安全保密管理制度、用户信息安全管理制度;
(三)服务项目属于本办法第五条规定范围的,已取得有关主管部门同意的文件。
第七条 从事经营性互联网信息服务,应当向省、自治区、直辖市电信管理机构或者国务院信息产业主管部门申请办理互联网信息服务增值电信业务经营许可证(以下简称经营许可证)。
省、自治区、直辖市电信管理机构或者国务院信息产业主管部门应当自收到申请之日起60日内审查完毕,作出批准或者不予批准的决定。予以批准的,颁发经营许可证;不予批准的,应当书面通知申请人并说明理由。
申请人取得经营许可证后,应当持经营许可证向企业登记机关办理登记手续。
第八条 从事非经营性互联网信息服务,应当向省、自治区、直辖市电信管理机构或者国务院信息产业主管部门办理备案手续。办理备案时,应当提交下列材料:
(一)主办单位和网站负责人的基本情况;
(二)网站网址和服务项目;
(三)服务项目属于本办法第五条规定范围的,已取得有关主管部门的同意文件。
省、自治区、直辖市电信管理机构对备案材料齐全的,应当予以备案并编号。
第九条 从事互联网信息服务,拟开办电子公告服务的,应当在申请经营性互联网信息服务许可或者办理非经营性互联网信息服务备案时,按照国家有关规定提出专项申请或者专项备案。
第十条 省、自治区、直辖市电信管理机构和国务院信息产业主管部门应当公布取得经营许可证或者已履行备案手续的互联网信息服务提供者名单。
第十一条 互联网信息服务提供者应当按照经许可或者备案的项目提供服务,不得超出经许可或者备案的项目提供服务。
非经营性互联网信息服务提供者不得从事有偿服务。
互联网信息服务提供者变更服务项目、网站网址等事项的,应当提前30日向原审核、发证或者备案机关办理变更手续。
第十二条 互联网信息服务提供者应当在其网站主页的显著位置标明其经营许可证编号或者备案编号。
第十三条 互联网信息服务提供者应当向上网用户提供良好的服务,并保证所提供的信息内容合法。
第十四条 从事新闻、出版以及电子公告等服务项目的互联网信息服务提供者,应当记录提供的信息内容及其发布时间、互联网地址或者域名;互联网接入服务提供者应当记录上网用户的上网时间、用户帐号、互联网地址或者域名、主叫电话号码等信息。
互联网信息服务提供者和互联网接入服务提供者的记录备份应当保存60日,并在国家有关机关依法查询时,予以提供。
第十五条互联网信息服务提供者不得制作、复制、发布、传播含有下列内容的信息:
(一)反对宪法所确定的基本原则的;
(二)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;
(三)损害国家荣誉和利益的;
(四)煽动民族仇恨、民族歧视,破坏民族团结的;
(五)破坏国家宗教政策,宣扬邪教和封建迷信的;
(六)散布谣言,扰乱社会秩序,破坏社会稳定的;
(七)散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;
(八)侮辱或者诽谤他人,侵害他人合法权益的;
(九)含有法律、行政法规禁止的其他内容的。
第十六条 互联网信息服务提供者发现其网站传输的信息明显属于本办法第十五条所列内容之一的,应当立即停止传输,保存有关记录,并向国家有关机关报告。
第十七条 经营性互联网信息服务提供者申请在境内境外上市或者同外商合资、合作,应当事先经国务院信息产业主管部门审查同意;其中,外商投资的比例应当符合有关法律、行政法规的规定。
第十八条 国务院信息产业主管部门和省、自治区、直辖市电信管理机构,依法对互联网信息服务实施监督管理。
新闻、出版、教育、卫生、药品监督管理、工商行政管理和公安、国家安全等有关主管部门,在各自职责范围内依法对互联网信息内容实施监督管理。
第十九条 违反本办法的规定,未取得经营许可证,擅自从事经营性互联网信息服务,或者超出许可的项目提供服务的,由省、自治区、直辖市电信管理机构责令限期改正,有违法所得的,没收违法所得,处违法所得3倍以上5倍以下的罚款;没有违法所得或者违法所得不足5万元的,处10万元以上100万元以下的罚款;情节严重的,责令关闭网站。
违反本办法的规定,未履行备案手续,擅自从事非经营性互联网信息服务,或者超出备案的项目提供服务的,由省、自治区、直辖市电信管理机构责令限期改正;拒不改正的,责令关闭网站。
第二十条 制作、复制、发布、传播本办法第十五条所列内容之一的信息,构成犯罪的,依法追究刑事责任;尚不构成犯罪的,由公安机关、国家安全机关依照《中华人民共和国治安管理处罚条例》、《计算机信息网络国际联网安全保护管理办法》等有关法律、行政法规的规定予以处罚;对经营性互联网信息服务提供者,并由发证机关责令停业整顿直至吊销经营许可证,通知企业登记机关;对非经营性互联网信息服务提供者,并由备案机关责令暂时关闭网站直至关闭网站。
第二十一条 未履行本办法第十四条规定的义务的,由省、自治区、直辖市电信管理机构责令改正;情节严重的,责令停业整顿或者暂时关闭网站。
第二十二条 违反本办法的规定,未在其网站主页上标明其经营许可证编号或者备案编号的,由省、自治区、直辖市电信管理机构责令改正,处5000元以上5万元以下的罚款。
第二十三条 违反本办法第十六条规定的义务的,由省、自治区、直辖市电信管理机构责令改正;情节严重的,对经营性互联网信息服务提供者,并由发证机关吊销经营许可证,对非经营性互联网信息服务提供者,并由备案机关责令关闭网站。
第二十四条 互联网信息服务提供者在其业务活动中,违反其他法律、法规的,由新闻、出版、教育、卫生、药品监督管理和工商行政管理等有关主管部门依照有关法律、法规的规定处罚。
第二十五条 电信管理机构和其他有关主管部门及其工作人员,玩忽职守、滥用职权、徇私舞弊,疏于对互联网信息服务的监督管理,造成严重后果,构成犯罪的,依法追究刑事责任;尚不构成犯罪的,对直接负责的主管人员和其他直接责任人员依法给予降级、撤职直至开除的行政处分。
第二十六条 在本办法公布前从事互联网信息服务的,应当自本办法公布之日起60日内依照本办法的有关规定补办有关手续。
第二十七条 本办法自公布之日起施行。
计算机信息系统集成资质管理办法(试行)
关于发布《计算机信息系统集成资质管理办法(试行)》的通知
(信部规[1999]1047号)
各省、自治区、直辖市邮电管理局、电子厅局(公司)、部属有关企业、事业单位:
为加强计算机信息系统集成市场的规范化管理,促进计算机信息系统集成企、事业单位能力和水平的不断提高,确保各应用领域计算机信息系统工程质量,根据国务院批准的“三定”方案,信息产业部决定建立计算机信息系统集成资质管理制度,计算机信息系统集成资质认证工作。凡从事计算机信息系统集成业务的单位,必须经过资质认证并取得相应的资质证书。为此,制定《计算机信息系统集成资质管理办法(试行)》,现予发布,自
信息产业部计算机信息系统集成资质认证工作办公室(简称资质认证工作办公室)是资质认证工作的日常办事机构,负责具体组织实施资质认证工作。资质认证工作办公室暂设在中国软件评测中心。
第一章 总则
第一条 为适应我国信息化建设和信息产业发展需要,加强计算机信息系统集成市场的规范化管理,保证计算机信息系统工程质量,依据国家有关规定,特制定本办法。
第二条 计算机信息系统集成是指从事计算机应用系统工程和网络系统工程的总体策划、设计、开发、实施、服务及保障。
第三条 计算机信息系统集成的资质是指从事计算机信息系统集成的综合能力,包括技术水平、管理水平、服务水平、质量保证能力、技术装备、系统建设质量、人员构成与素质、经营业绩、资产状况等要素。
第四条 凡从事计算机信息系统集成业务的单位,必须经过资质认证并取得《计算机信息系统集成资质证书》(以下简称《资质证书》)。
第五条 凡需要建设计算机信息系统的单位,应选择具有相应等级《资质证书》的计算机信息系统集成单位来承建计算机信息系统。
第二章 认证组织管理
第六条 信息产业部负责计算机信息系统集成资质认证管理工作,包括指定和管理资质认证机构、发布管理办法和标准、审批和发布资质认证结果。
第七条 信息产业部设立计算机信息系统集成资质认证管理委员会(简称资质认证管理委员会),全面负责协调、管理资质认证工作。资质认证管理委员会下设:计算机信息系统集成资质认证专家委员会(简称资质认证专家委员会),提供技术咨询,参与资质评审;计算机信息系统集成资质认证工作办公室(简称资质认证工作办公室),是资质认证工作的日常办事机构,负责具体组织实施资质认证工作。
第八条 信息产业部计算机信息系统集成资质认证工作办公室暂设在中国软件评测中心。
第九条 从事资质认证工作的人员应具有胜任本岗位工作的能力,坚持公正、科学、实事求是的原则。
第三章 资质等级
第十条 计算机信息系统集成资质等级分一、二、三、四级。
第十一条 各等级所对应的承担工程的能力:
一级:具有独立承担国家级、省(部)级、行业级、地(市)级(及其以下)、大、中、小型企业级等各类计算机信息系统建设的能力。
二级:具有独立承担省(部)级、行业级、地(市)级(及其以下)、大、中、小型企业级或合作承担国家级的计算机信息系统建设的能力。
三级:具有独立承担中、小型企业级或合作承担大型企业级(或相当规模)的计算机信息系统建设的能力。
四级:具有独立承担小型企业级或合作承担中型企业级(或相当规模)的计算机信息系统建设的能力。
第四章资质申请与评审
第十二条 申请资质认证的单位应具备的条件:
(一)具有独立法人地位。
(二)独立或合作从事计算机信息系统集成业务两年以上(含两年)。
(三)具有从事计算机信息系统集成的能力,并完成过三个以上(含三个)计算机信息系统集成项目。
(四)具有胜任计算机信息系统集成的专职人员队伍和组织管理体系。
(五)具有固定的工作场所和先进的信息系统开发、集成的设备环境。
第十三条 申请资质认证的单位可对照《计算机信息系统集成资质等级标准》(另行发布)确定申请的资质级别。
第十四条 申请资质认证的单位应如实填写并提供下列材料:
(一)《计算机信息系统集成资质认证申请表》
(二)《计算机信息系统集成资质情况登记表》
第十五条 申请一、二级资质的单位将申报材料提交到部资质认证工作办公室,资质评审按下列程序进行:
(一)资质认证工作办公室对申请单位的申报材料审查合格后,组织调查组对其资质条件进行现场调查审核,对其所完成的计算机信息系统集成的典型项目进行调查。
(二)资质认证工作办公室组织专家委员会的有关专家,根据对申请单位资质的调查报告以及计算机信息系统集成典型项目调查报告等进行评审,提出评审意见。
第十六条 申请三、四级资质的单位将申报材料提交到各省(市、自治区)信息产业主管部门,由各省(市、自治区)信息产业主管部门所属的资质认证机构组织资质评审后,将评审结果报部资质认证工作办公室。
第十七条 资质认证工作办公室将资质评审结果报请信息产业部审批后,颁发《资质证书》。《资质证书》分为正本和副本,正本和副本具有同等法律效力。
第五章 资质监督管理
第十八条 资质监督管理是指对获证单位资质保持的监督检查和资质变更的管理。
第十九条 《资质证书》有效期为四年。获证单位应每年进行一次自查,并将自查结果报资质认证工作办公室备案;资质认证工作办公室对获证单位每两年进行一次年检,每四年进行一次换证检查和必要的非例行监督检查。
第二十条 换证检查工作按以下程序进行:
(一)申请换证的单位在规定时间内向资质认证工作办公室提交《计算机信息系统集成资质证书换证申请表》、《计算机信息系统集成资质证书》、《企业法人营业执照》复印件、过去四年信息系统集成项目完成情况和资产运营情况、各类管理及工程技术人员变化情况等资料。
(二)资质认证工作办公室根据资料审查和有效期内监督检查结果,对其资质做出检查结论,记录在《资质证书》(副本)的检查记录栏内。
第二十一条 年检工作按以下程序进行:
(一)获证单位向资质认证工作办公室提交《资质证书》(副本)和《计算机信息系统集成资质年度检查表》,检查表内容必须真实可靠,如有质量事故或用户投诉,必须及时向资质认证工作办公室报告。
(二)资质认证工作办公室对获证单位资质进行年检,并在年检合格者的《资质证书》(副本)上加盖年检合格章。
第二十二条 检查结论分为“通过”、“降级”、“取消”三种。对于检查结论为“通过”或“降级”的单位,将换发新的《资质证书》(正本);对于检查结论为“取消”的单位,将收回其《资质证书》。
第二十三条 没有按时申请换证检查或拒绝接受监督检查的单位,视为自动放弃资格,其《资质证书》予以注销。
第二十四条 凡申请资质升级的单位,应向资质认证工作办公室提出申请,按照本办法第四章办理。
第二十五条 获证单位发生分立、合并后,原有《资质证书》应交由资质认证工作办公室重新审查。
第二十六条 获证单位变更名称、地址、法人、技术负责人等,应在变更内容发生后的一个月内,向资质认证工作办公室报告变更情况,资质认证工作办公室根据实际情况决定是否重新审核其资质。
第六章 罚则
第二十七条 如因计算机信息系统主建单位没有按规定选择具有相应等级《资质证书》的信息系统集成单位而出现工程质量问题的,将由有关部门追究信息系统主建单位和承建单位的责任。
第二十八条 申请单位在申请资质认证或资质监督检查中,采取弄虚作假、行贿等不正当手段虚报资质条件或有关资料的,资质认证工作办公室除应严格按照资质等级标准对其重新核定资质外,对情节严重的,可给予停止使用《资质证书》三至六个月、降级、直至吊销《资质证书》的处罚。
第二十九条 获证单位必须正确理解与宣传计算机信息系统集成资质认证制度,正确使用《资质证书》。对于涂改、伪造、出借、转让或出卖《资质证书》的将给予警告、停止使用或吊销《资质证书》的处罚;情节严重构成犯罪的,由相关部门追究其法律责任。
第三十条 所有从事资质认证工作的机构和人员在认证过程中必须坚持公正、科学的原则。在工作中严重失职、索贿、受贿或者侵害企业合法权益的,由所在单位给予行政处分;情节严重构成犯罪的,由相关部门追究其法律责任。
第七章 公布
第三十一条 计算机信息系统集成资质的认证和监督检查结果实行公布制度。资质认证工作办公室通过指定媒体向社会公布资质认证结果和监督检查结果。
第三十二条 获证单位遗失《资质证书》,必须通过由资质认证工作办公室指定的媒体声明作废后,方可申请补领。
第三十三条 资质认证工作办公室设立专门的公布网页和查询电话,社会各界可通过指定的网站和电话,查询资质认证和年检结果。
第八章 附则
第三十四条 对于特殊行业(如,国防、公安等),按相应行业的规定执行。
第三十五条 本办法由信息产业部负责解释。
中华人民共和国计算机信息网络国际联网管理暂行规定实施办法
(1997年12月8日国务院信息化工作领导小组审定,1997年12月13日经国务院领导批准,1998年3月6日国务院信息办发布。)
第一条 为了加强对计算机信息网络国际联网的管理,保障国际计算机信息交流的健康发展,根据《中华人民共和国计算机信息网络国际联网管理暂行规定》(以下简称《暂行规定》),制定本办法。
第二条 中华人民共和国境内的计算机信息网络进行国际联网,依照本办法办理。
第三条 本办法下列用语的含义是:
(一)国际联网,是指中华人民共和国境内的计算机互联网络、专业计算机信息网络、企业计算机信息网络,以及其他通过专线进行国际联网的计算机信息网络同外国的计算机信息网络相联接。
(二)接入网络,是指通过接入互联网络进行国际联网的计算机信息网络;接入网络可以是多级联接的网络。
(三)国际出入口信道,是指国际联网所使用的物理信道。
(四)用户,是指通过接入网络进行国际联网的个人、法人和其他组织;个人用户是指具有联网帐号的个人。
(五)专业计算机信息网络,是指为行业服务的专用计算机信息网络。
(六)企业计算机信息网络,是指企业内部自用的计算机信息网络。
第四条 国家对国际联网的建设布局、资源利用进行统筹规划。国际联网采用国家统一制定的技术标准、安全标准、资费政策,以利于提高服务质量和水平。国际联网实行分级管理,即:对互联单位、接入单位、用户实行逐级管理,对国际出入口信道统一管理。国家鼓励在国际联网服务中公平、有序地竞争,提倡资源共享,促进健康发展。
第五条 国务院信息化工作领导小组办公室负责组织、协调有关部门制定国际联网的安全、经营、资费、服务等规定和标准的工作,并对执行情况进行检查监督。
第六条 中国互联网络信息中心提供互联网络地址、域名、网络资源目录管理和有关的信息服务。
第七条 我国境内的计算机信息网络直接进行国际联网,必须使用邮电部国家公用电信网提供的国际出入口信道。
任何单位和个人不得自行建立或者使用其他信道进行国际联网。
第八条 已经建立的中国公用计算机互联网、中国金桥信息网、中国教育和科研计算机网、中国科学技术网等四个互联网络,分别由邮电部、电子工业部、国家教育委员会和中国科学院管理。中国公用计算机互联网、中国金桥信息网为经营性互联网络;中国教育和科研计算机网、中国科学技术网为公益性互联网络。
经营性互联网络应当享受同等的资费政策和技术支撑条件。
公益性互联网络是指为社会提供公益服务的,不以盈利为目的的互联网络。
公益性互联网络所使用信道的资费应当享受优惠政策。
第九条 新建互联网络,必须经部(委)级行政主管部门批准后,向国务院信息化工作领导小组提交互联单位申请书和互联网络可行性报告,由国务院信息化工作领导小组审议提出意见并报国务院批准。
互联网络可行性报告的主要内容应当包括:网络服务性质和范围、网络技术方案、经济分析、管理办法和安全措施等。
第十条 接入网络必须通过互联网络进行国际联网,不得以其他方式进行国际联网。
接入单位必须具备《暂行规定》第九条规定的条件,并向互联单位主管部门或者主管单位提交接入单位申请书和接入网络可行性报告。互联单位主管部门或者主管单位应当在收到接入单位申请书后20个工作日内,将审批意见以书面形式通知申请单位。
接入网络可行性报告的主要内容应当包括:网络服务性质和范围、网络技术方案、经济分析、管理制度和安全措施等。
第十一条 对从事国际联网经营活动的接入单位(以下简称经营性接入单位)实行国际联网经营许可证(以下简称经营许可证)制度。经营许可证的格式由国务院信息化工作领导小组统一制定。
经营许可证由经营性互联单位主管部门颁发,报国务院信息化工作领导小组办公室备案。互联单位主管部门对经营性接入单位实行年检制度。
跨省(区)、市经营的接入单位应当向经营性互联单位主管部门申请领取国际联网经营许可证。在本省(区)、市内经营的接入单位应当向经营性互联单位主管部门或者经其授权的省级主管部门申请领取国际联网经营许可证。
经营性接入单位凭经营许可证到国家工商行政管理机关办理登记注册手续,向提供电信服务的企业办理所需通信线路手续。提供电信服务的企业应当在30个工作日内为接入单位提供通信线路和相关服务。
第十二条 个人、法人和其他组织用户使用的计算机或者计算机信息网络必须通过接入网络进行国际联网,不得以其他方式进行国际联网。
第十三条 用户向接入单位申请国际联网时,应当提供有效身份证明或者其他证明文件,并填写用户登记表。
接入单位应当在收到用户申请后5个工作日内,以书面形式答复用户。
第十四条 邮电部根据《暂行规定》和本办法制定国际联网出入口信道管理办法,报国务院信息化工作领导小组备案。
各互联单位主管部门或者主管单位根据《暂行规定》和本办法制定互联网络管理办法,报国务院信息化工作领导小组备案。
第十五条 接入单位申请书、用户登记表的格式由互联单位主管部门按照本办法的要求统一制定。
第十六条 国际出入口信道提供单位有责任向互联单位提供所需的国际出入口信道和公平、优质、安全的服务,并定期收取信道使用费。
互联单位开通或扩充国际出入口信道,应当到国际出入口信道提供单位办理有关信道开通或扩充手续,并报国务院信息化工作领导小组办公室备案。国际出入口信道提供单位在接到互联单位的申请后,应当在100个工作日内为互联单位开通所需的国际出入口信道。
国际出入口信道提供单位与互联单位应当签定相应的协议,严格履行各自的责任和义务。
第十七条 国际出入口信道提供单位、互联单位和接入单位必须建立网络管理中心,健全管理制度,做好网络信息安全管理工作。
互联单位应当与接入单位签订协议,加强对本网络和接入网络的管理;负责接入单位有关国际联网的技术培训和管理教育工作;为接入单位提供公平、优质、安全的服务;按照国家有关规定向接入单位收取联网接入费用。
接入单位应当服从互联单位和上级接入单位的管理;与下级接入单位签定协议,与用户签定用户守则,加强对下级接入单位和用户的管理;负责下级接入单位和用户的管理教育、技术咨询和培训工作;为下级接入单位和用户提供公平、优质、安全的服务;按照国家有关规定向下级接入单位和用户收取费用。
第十八条 用户应当服从接入单位的管理,遵守用户守则;不得擅自进入未经许可的计算机系统,篡改他人信息;不得在网络上散发恶意信息,冒用他人名义发出信息,侵犯他人隐私;不得制造、传播计算机病毒及从事其它侵犯网络和他人合法权益的活动。
用户有权获得接入单位提供的各项服务;有义务交纳费用。
第十九条 国际出入口信道提供单位、互联单位和接入单位应当保存与其服务相关的所有信息资料;在国务院信息化工作领导小组办公室和有关主管部门进行检查时,应当及时提供有关信息资料。
国际出入口信道提供单位、互联单位每年二月份向国务院信息化工作领导小组办公室提交上一年度有关网络运行、业务发展、组织管理的报告。
第二十条 互联单位、接入单位和用户应当遵守国家有关法律、行政法规,严格执行国家安全保密制度;不得利用国际联网从事危害国家安全、泄露国家秘密等违法犯罪活动,不得制作、查阅、复制和传播妨碍社会治安和淫秽色情等有害信息;发现有害信息应当及时向有关主管部门报告,并采取有效措施,不得使其扩散。
第二十一条 进行国际联网的专业计算机信息网络不得经营国际互联网络业务。
企业计算机信息网络和其他通过专线进行国际联网的计算机信息网络,只限于内部使用。
负责专业计算机信息网络、企业计算机信息网络和其他通过专线进行国际联网的计算机信息网络运行的单位,应当参照本办法建立网络管理中心,健全管理制度,做好网络信息安全管理工作。
第二十二条 违反本办法第七条和第十条第一款规定的,由公安机关责令停止联网,可以并处15000元以下罚款;有违法所得的,没收违法所得。
违反本办法第十一条规定的,未领取国际联网经营许可证从事国际联网经营活动的,由公安机关给予警告,限期办理经营许可证;在限期内不办理经营许可证的,责令停止联网;有违法所得的,没收违法所得。
违反本办法第十二条规定的,对个人由公安机关处5000元以下的罚款;对法人和其他组织用户由公安机关给予警告,可以并处15000元以下的罚款。
违反本办法第十八条第一款规定的,由公安机关根据有关法规予以处罚。
违反本办法第二十一条第一款规定的,由公安机关给予警告,可以并处15000元以下的罚款;有违法所得的,没收违法所得。违反本办法第二十一条第二款规定的,由公安机关给予警告,可以并处15000元以下的罚款;有违法所得的,没收违法所得。
第二十三条 违反《暂行规定》及本办法,同时触犯其他有关法律、行政法规的,依照有关法律、行政法规的规定予以处罚;构成犯罪的,依法追究刑事责任。
第二十四条 与香港特别行政区和台湾、澳门地区的计算机信息网络的联网,参照本办法执行。
第二十五条 本办法自颁布之日起施行。
中华人民共和国计算机信息网络国际联网管理暂行规定实施办法
(
第一条 为了加强对计算机信息网络国际联网的管理,保障国际计算机信息交流的健康发展,根据《中华人民共和国计算机信息网络国际联网管理暂行规定》(以下简称《暂行规定》),制定本办法。
第二条 中华人民共和国境内的计算机信息网络进行国际联网,依照本办法办理。
第三条 本办法下列用语的含义是:
1.国际联网,是指中华人民共和国境内的计算机互联网络、专业计算机信息网络、企业计算机信息网络,以及其他通过专线进行国际联网的计算机信息网络同外国的计算机信息网络相联接。
2.接入网络,是指通过接入互联网络进行国际联网的计算机信息网络;接入网络可以是多级联接的网络。
3.国际出入口信道,是指国际联网所使用的物理信道。
4.用户,是指通过接入网络进行国际联网的个人、法人和其他组织;个人用户是指具有联网帐号的个人。
5.专业计算机信息网络,是指为行业服务的专用计算机信息网络。
6.企业计算机信息网络,是指企业内部自用的计算机信息网络。
第四条 国家对国际联网的建设布局、资源利用进行统筹规划。际联网采用国家统一制定的技术标准、安全标准、资费政策,以利于提高服务质量和水平。国际联网实行分级管理,即:对互联单位、接入单位、用户实行逐级管理,对国际出入口信道统一管理。国家鼓励在国际联网服务中公平、有序地竞争,提倡资源共享,促进健康发展。
第五条 国务院信息化工作领导小组办公室负责组织、协调有关部门制定国际联网的安全、经营、资费、服务等规定和标准的工作,并对执行情况进行检查监督。
第六条 中国互联网络信息中心提供互联网络地址、域名、网络资源目录管理和有关的信息服务。
第七条 我国境内的计算机信息网络直接进行国际联网,必须使用邮电部国家公用电信网提供的国际出入口信道。 任何单位和个人不得自行建立或者使用其他信道进行国际联网。
第八条 已经建立的中国公用计算机互联网、中国金桥信息网、中国教育和科研计算机网、中国科学技术网等四个互联网络,分别由邮电部、电子工业部、国家教育委员会和中国科学院管理。中国公用计算机互联网、中国金桥信息网为经营性互联网络;中国教育和科研计算机网、中国科学技术网为公益性互联网络。经营性互联网络应当享受同等的资费政策和技术支撑条件。 公益性互联网络是指为社会提供公益服务的,不以盈利为目的的互联网络。 公益性互联网络所使用信道的资费应当享受优惠政策。
第九条 新建互联网络,必须经部(委)级行政主管部门批准后,向国务院信息化工作领导小组提交互联单位申请书和互联网络可行性报告,由国务院信息化工作领导小组审议提出意见并报国务院批准。互联网络可行性报告的主要内容应当包括:网络服务性质和范围、网络技术方案、经济分析、管理办法和安全措施等。
第十条 接入网络必须通过互联网络进行国际联网,不得以其他方式进行国际联网。 接入单位必须具备《暂行规定》第九条规定的条件,并向互联单位主管部门或者主管单位提交接入单位申请书和接入网络可行性报告。互联单位主管部门或者主管单位应当在收到接入单位申请书后20个工作日内,将审批意见以书面形式通知申请单位。 接入网络可行性报告的主要内容应当包括:网络服务性质和范围、网络技术方案、经济分析、管理制度和安全措施等。
第十一条 对从事国际联网经营活动的接入单位(以下简称经营性接入单位)实行国际联网经营许可证(以下简称经营许可证)制度。经营许可证的格式由国务院信息化工作领导小组统一制定。 经营许可证由经营性互联单位主管部门颁发,报国务院信息化工作领导小组办公室备案。互联单位主管部门对经营性接入单位实行年检制度。跨省(区)、市经营的接入单位应当向经营性互联单位主管部门申请领取国际联网经营许可证。在本省(区)、市内经营的接入单位应当向经营性互联单位主管部门或者经其授权的省级主管部门申请领取国际联网经营许可证。经营性接入单位凭经营许可证到国家工商行政管理机关办理登记注册手续,向提供电信服务的企业办理所需通信线路手续。提供电信服务的企业应当在30个工作日内为接入单位提供通信线路和相关服务。
第十二条 个人、法人和其他组织用户使用的计算机或者计算机信息网络必须通过接入网络进行国际联网,不得以其他方式进行国际联网。
第十三条 用户向接入单位申请国际联网时,应当提供有效身份证明或者其他证明文件,并填写用户登记表。 接入单位应当在收到用户申请后5个工作日内,以书面形式答复用户。
第十四条 邮电部根据《暂行规定》和本办法制定国际联网出入口信道管理办法,报国务院信息化工作领导小组备案。 各互联单位主管部门或者主管单位根据《暂行规定》和本办法制定互联网络管理办法,报国务院信息化工作领导小组备案。
第十五条 接入单位申请书、用户登记表的格式由互联单位主管部门按照本办法的要求统一制定。
第十六条 国际出入口信道提供单位有责任向互联单位提供所需的国际出入口信道和公平、优质、安全的服务,并定期收取信道使用费。 互联单位开通或扩充国际出入口信道,应当到国际出入口信道提供单位办理有关信道开通或扩充手续,并报国务院信息化工作领导小组办公室备案。国际出入口信道提供单位在接到互联单位的申请后,应当在100个工作日内为互联单位开通所需的国际出入口信道。 国际出入口信道提供单位与互联单位应当签定相应的协议,严格履行各自的责任和义务。
第十七条 国际出入口信道提供单位、互联单位和接入单位必须建立网络管理中心,健全管理制度,做好网络信息安全管理工作。 互联单位应当与接入单位签订协议,加强对本网络和接入网络的管理;负责接入单位有关国际联网的技术培训和管理教育工作;为接入单位提供公平、优质、安全的服务;按照国家有关规定向接入单位收取联网接入费用。接入单位应当服从互联单位和上级接入单位的管理;与下级接入单位签定协议,与用户签定用户守则,加强对下级接入单位和用户的管理;负责下级接入单位和用户的管理教育、技术咨询和培训工作;为下级接入单位和用户提供公平、优质、安全的服务;按照国家有关规定向下级接入单位和用户收取费用。
第十八条 用户应当服从接入单位的管理,遵守用户守则;不得擅自进入未经许可的计算机系统,篡改他人信息;不得在网络上散发恶意信息,冒用他人名义发出信息,侵犯他人隐私;不得制造、传播计算机病毒及从事其它侵犯网络和他人合法权益的活动。用户有权获得接入单位提供的各项服务;有义务交纳费用。
第十九条 国际出入口信道提供单位、互联单位和接入单位应当保存与其服务相关的所有信息资料;在国务院信息化工作领导小组办公室和有关主管部门进行检查时,应当及时提供有关信息资料。国际出入口信道提供单位、互联单位每年二月份向国务院信息化工作领导小组办公室提交上一年度有关网络运行、业务发展、组织管理的报告。
第二十条 互联单位、接入单位和用户应当遵守国家有关法律、行政法规,严格执行国家安全保密制度;不得利用国际联网从事危害国家安全、泄露国家秘密等违法犯罪活动,不得制作、查阅、复制和传播妨碍社会治安和淫秽色情等有害信息;发现有害信息应当及时向有关主管部门报告,并采取有效措施,不得使其扩散。
第二十一条 进行国际联网的专业计算机信息网络不得经营国际互联网络业务。 企业计算机信息网络和其他通过专线进行国际联网的计算机信息网络,只限于内部使用。负责专业计算机信息网络、企业计算机信息网络和其他通过专线进行国际联网的计算机信息网络运行的单位,应当参照本办法建立网络管理中心,健全管理制度,做好网络信息安全管理工作。
第二十二条 违反本办法第七条和第十条第一款规定的,由公安机关责令停止联网,可以并处15000元以下罚款;有违法所得的,没收违法所得。违反本办法第十一条规定的,未领取国际联网经营许可证从事国际联网经营活动的,由公安机关给予警告,限期办理经营许可证;在限期内不办理经营许可证的,责令停止联网;有违法所得的,没收违法所得。违反本办法第十二条规定的,对个人由公安机关处5000元以下的罚款;对法人和其他组织用户由公安机关给予警告,可以并处15000元以下的罚款。 违反本办法第十八条第一款规定的,由公安机关根据有关法规予以处罚。 违反本办法第二十一条第一款规定的,由公安机关给予警告,可以并处15000元以下的罚款;有违法所得的,没收违法所得。违反本办法第二十一条第二款规定的,由公安机关给予警告,可以并处15000元以下的罚款;有违法所得的,没收违法所得。
第二十三条 违反《暂行规定》及本办法,同时触犯其他有关法律、行政法规的,依照有关法律、行政法规的规定予以处罚;构成犯罪的,依法追究刑事责任。
第二十四条 与香港特别行政区和台湾、澳门地区的计算机信息网络的联网,参照本办法执行。
第二十五条 本办法自颁布之日起施行。
计算机信息网络国际联网安全保护管理办法
(
第一章 总 则
第一条 为了加强对计算机信息网络国际联网的安全保护,维护公共秩序和社会稳定,根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》和其他法律、行政法规的规定,制定本办法。
第二条 中华人民共和国境内的计算机信息网络国际联网安全保护管理,适用本办法。
第三条 公安部计算机管理监察机构负责计算机信息网络国际联网的安全保护管理工作。公安机关计算机管理监察机构应当保护计算机信息网络国际联网的公共安全,维护从事国际联网业务的单位和个人的合法权益和公众利益。
第四条 任何单位和个人不得利用国际联网危害国家安全、泄露国家秘密,不得侵犯国家的、社会的、集体的利益和公民的合法权益,不得从事违法犯罪活动。
第五条 任何单位和个人不得利用国际联网制作、复制、查阅和传播下列信息:
(一)煽动抗拒、破坏宪法和法律、行政法规实施的;
(二)煽动颠覆国家政权,推翻社会主义制度的;
(三)煽动分裂国家、破坏国家统一的;
(四)煽动民族仇恨、民族歧视,破坏民族团结的;
(五)捏造或者歪曲事实,散布谣言,扰乱社会秩序的;
(六)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪的;
(七)公然侮辱他人或者捏造事实诽谤他人的;
(八)损害国家机关信誉的;
(九)其他违反宪法和法律、行政法规的。
第六条 任何单位和个人不得从事下列危害计算机信息网络安全的活动:
(一)未经允许,进入计算机信息网络或者使用计算机信息网络资源的;
(二)未经允许,对计算机信息网络功能进行删除、修改或者增加的;
(三)未经允许,对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的;
(四)故意制作、传播计算机病毒等破坏性程序的;
(五)其他危害计算机信息网络安全的。
第七条 用户的通信自由和通信秘密受法律保护。任何单位和个人不得违反法律规定,利用国际联网侵犯用户的通信自由和通信秘密。
第二章 安全保护责任
第八条 从事国际联网业务的单位和个人应当接受公安机关的安全监督、检查和指导,如实向公安机关提供有关安全保护的信息、资料及数据文件,协助公安机关查处通过国际联网的计算机信息网络的违法犯罪行为。
第九条 国际出入口信道提供单位、互联单位的主管部门或者主管单位,应当依照法律和国家有关规定负责国际出入口信道、所属互联网络的安全保护管理工作。
第十条 互联单位、接入单位及使用计算机信息网络国际联网的法人和其他组织应当履行下列安全保护职责:
(一)负责本网络的安全保护管理工作,建立健全安全保护管理制度;
(二)落实安全保护技术措施,保障本网络的运行安全和信息安全;
(三)负责对本网络用户的安全教育和培训;
(四)对委托发布信息的单位和个人进行登记,并对所提供的信息内容按照本办法第五条进行审核;
(五)建立计算机信息网络电子公告系统的用户登记和信息管理制度;
(六)发现有本办法第四条、第五条、第六条、第七条所列情形之一的,应当保留有关原始记录,并在二十四小时内向当地公安机关报告;
(七)按照国家有关规定,删除本网络中含有本办法第五条内容的地址、目录或者关闭服务器。
第十一条 用户在接入单位办理入网手续时,应当填写用户备案表。备案表由公安部监制。
第十二条 互联单位、接入单位、使用计算机信息网络国际联网的法人和其他组织(包括跨省、自治区、直辖市联网的单位和所属的分支机构),应当自网络正式联通之日起三十日内,到所在地的省、自治区、直辖市人民政府公安机关指定的受理机关办理备案手续。前款所列单位应当负责将接入本网络的接入单位和用户情况报当地公安机关备案,并及时报告本网络中接入单位和用户的变更情况。
第十三条 使用公用帐号的注册者应当加强对公用帐号的管理,建立帐号使用登记制度。用户帐号不得转借、转让。
第十四条 涉及国家事务、经济建设、国防建设、尖端科学技术等重要领域的单位办理备案手续时,应当出具其行政主管部门的审批证明。前款所列单位的计算机信息网络与国际联网,应当采取相应的安全保护措施。
第三章 安全监督
第十五条 省、自治区、直辖市公安厅(局),地(市)、县(市)公安局,应当有相应机构负责国际联网的安全保护管理工作。
第十六条 公安机关计算机管理监察机构应当掌握互联单位、接入单位和用户的备案情况,建立备案档案,进行备案统计,并按照国家有关规定逐级上报。
第十七条 公安机关计算机管理监察机构应当督促互联单位、接入单位及有关用户建立健全安全保护管理制度。监督、检查网络安全保护管理以及技术措施的落实情况。公安机关计算机管理监察机构在组织安全检查时,有关单位应当派人参加。公安机关计算机管理监察机构对安全检查发现的问题,应当提出改进意见,作出详细记录,存档备查。
第十八条 公安机关计算机管理监察机构发现含有本办法第五条所列内容的地址、目录或者服务器时,应当通知有关单位关闭或者删除。
第十九条 公安机关计算机管理监察机构应当负责追踪和查处通过计算机信息网络的违法行为和针对计算机信息网络的犯罪案件,对违反本办法第四条、第七条规定的违法犯罪行为,应当按照国家有关规定移送有关部门或者司法机关处理。
第四章 法律责任
第二十条 违反法律、行政法规,有本办法第五条、第六条所列行为之一的,由公安机关给予警告,有违法所得的,没收违法所得,对个人可以并处五千元以下的罚款,对单位可以并处一万五千元以下的罚款,情节严重的,并可以给予六个月以内停止联网、停机整顿的处罚,必要时可以建议原发证、审批机构吊销经营许可证或者取消联网资格;构成违反治安管理行为的,依照治安管理处罚条例的规定处罚;构成犯罪的,依法追究刑事责任。
第二十一条 有下列行为之一的,由公安机关责令限期改正,给予警告,有违法所得的,没收违法所得;在规定的限期内未改正的,对单位的主管负责人员和其他直接责任人员可以并处五千元以下的罚款,对单位可以并处一万五千元以下的罚款;情节严重的,并可以给予六个月以内的停止联网、停机整顿的处罚,必要时可以建议原发证、审批机构吊销经营许可证或者取消联网资格。
(一)未建立安全保护管理制度的;
(二)未采取安全技术保护措施的;
(三)未对网络用户进行安全教育和培训的;
(四)未提供安全保护管理所需信息、资料及数据文件,或者所提供内容不真实的;
(五)对委托其发布的信息内容未进行审核或者对委托单位和个人未进行登记的;
(六)未建立电子公告系统的用户登记和信息管理制度的;
(七)未按照国家有关规定,删除网络地址、目录或者关闭服务器的;
(八)未建立公用帐号使用登记制度的;
(九)转借、转让用户帐号的。
第二十二条 违反本办法第四条、第七条规定的,依照有关法律、法规予以处罚。
第二十三条 违反本办法第十一条、第十二条规定,不履行备案职责的,由公安机关给予警告或者停机整顿不超过六个月的处罚。
第五章 附 则
第二十四条 与香港特别行政区和台湾、澳门地区联网的计算机信息网络的安全保护管理,参照本办法执行。
第二十五条 本办法自发布之日起施。
中华人民共和国国务院令
第273号
现发布《商用密码管理条例》,自发布之日起实施。
总理 朱镕基
第一章 总 则
第一条 为了加强商用密码管理,保护信息安全,保护公民和组织的合法权益,维护国家的安全和利益,制定本条例。
第二条 本条例所称商用密码,是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。
第三条 商用密码技术属于国家秘密。国家对商用密码产品的科研、生产、销售和使用实行专控管理。
第四条 国家密码管理委员会及其办公室(以下简称国家密码管理机构)主管全国的商用密码管理工作。
省、自治区、直辖市负责密码管理的机构根据国家密码管理机构的委托,承担商用密码的有关管理工作。
第二章 科研、生产管理
第五条 商用密码的科研任务由国家密码管理机构指定的单位承担。
商用密码指定科研单位必须具有相应的技术力量和设备,能够采用先进的编码理论和技术,编制的商用密码算法具有较高的保密强度和抗攻击能力。
第六条 商用密码的科研成果,由国家密码管理机构组织专家按照商用密码技术标准和技术规范审查、鉴定。
第七条 商用密码产品由国家密码管理机构指定的单位生产。未经指定,任何单位或者个人不得生产商用密码产品。
商用密码产品指定生产单位必须具有与生产商用密码产品相适应的技术力量以及确保商用密码产品质量的设备、生产工艺和质量保证体系。
第八条 商用密码产品指定生产单位生产的商用密码产品的品种和型号,必须经国家密码管理机构批准,并不得超过批准范围生产商用密码产品。
第九条 商用密码产品,必须经国家密码管理机构指定的产品质量检测机构检测合格。
第三章 销售管理
第十条 商用密码产品由国家密码管理机构许可的单位销售。未经许可,任何单位或者个人不得销售商用密码产品。
第十一条 销售商用密码产品,应当向国家密码管理机构提出申请,并应当具备下列条件:
(一) 有熟悉商用密码产品知识和承担售后服务的人员;
(二) 有完善的销售服务和安全管理规章制度;
(三) 有独立的法人资格。
经审查合格的单位,由国家密码管理机构发给《商用密码产品销售许可证》。
第十二条 销售商用密码产品,必须如实登记直接使用商用密码产品的用户的名称(姓名)、地址(住址)、组织机构代码(居民身份证号码)以及每台商用密码产品的用途,并将登记情况报国家密码管理机构备案。
第十三条 进口密码产品以及含有密码技术的设备或者出口商用密码产品,必须报经国家密码管理机构批准。任何单位或者个人不得销售境外的密码产品。
第四章 使用管理
第十四条 任何单位或者个人只能使用经国家密码管理机构认可的商用密码产品,不得使用自行研制的或者境外生产的密码产品。
第十五条 境外组织或者个人在中国境内使用密码产品或者含有密码技术的设备,必须报经国家密码管理机构批准;但是,外国驻华外交代表机构、领事机构除外。
第十六条 商用密码产品的用户不得转让其使用的商用密码产品。商用密码产品发生故障,必须由国家密码管理机构指定的单位维修。报废、销毁商用密码产品,应当向国家密码管理机构备案。
第五章 安全、保密管理
第十七条 商用密码产品的科研、生产,应当在符合安全、保密要求的环境中进行。销售、运输、保管商用密码产品,应当采取相应的安全措施。
从事商用密码产品的科研、生产和销售以及使用商用密码产品的单位和人员,必须对所接触和掌握的商用密码技术承担保密义务。
第十八条 宣传、公开展览商用密码产品,必须事先报国家密码管理机构批准。
第十九条 任何单位和个人不得非法攻击商用密码,不得利用商用密码危害国家的安全和利益、危害社会治安或者进行其他违法犯罪活动。
第六章 罚 则
第二十条 有下列行为之一的,由国家密码管理机构根据不同情况分别会同工商行政管理、海关等部门没收密码产品,有违法所得的,没收违法所得;情节严重的,可以并处违法所得1至3倍的罚款;
(一) 未经指定,擅自生产商用密码产品的,或者商用密码产品指定生产单位超过批准范围生产商用密码产品的;
(二) 未经许可,擅自销售商用密码产品的;
(三) 未经批准,擅自进口密码产品以及含有密码技术的设备、出口商用密码产品或者销售境外的密码产品的。
经许可销售商用密码产品的单位未按照规定销售商用密码产品的,由国家密码管理机构会同工商行政管理部门给予警告,责令改正。
第二十一条 有下列行为之一的,由国家密码管理机构根据不同情况分别会同公安、国家安全机关给予警告,责令立即改正:
(一) 在商用密码产品的科研、生产过程中违反安全、保密规定的;
(二) 销售、运输、保管商用密码产品,未采取相应的安全措施的;
(三) 未经批准,宣传、公开展览商用密码产品的;
(四) 擅自转让商用密码产品或者不到国家密码管理机构指定的单位维修商用密码产品的。
使用自行研制的或者境外生产的密码产品,转让商用密码产品,或者不到国家密码管理机构指定的单位维修商用密码产品,情节严重的,由国家密码管理机构根据不同情况分别会同公安、国家安全机关没收其密码产品。
第二十二条 商用密码产品的科研、生产、销售单位有本条例第二十条、第二十一条第一款第(一)、(二)、(三)项所列行为,造成严重后果的,由国家密码管理机构撤销其指定科研、生产单位资格,吊销《商用密码产品销售许可证》。
第二十三条 泄露商用密码技术秘密、非法攻击商用密码或者利用商用密码从事危害国家的安全和利益的活动,情节严重,构成犯罪的,依法追究刑事责任。
有前款所列行为尚不构成犯罪的,由国家密码管理机构根据不同情况分别会同国家安全机关或者保密部门没收其使用的商用密码产品,对有危害国家安全行为的,由国家安全机关依法处以行政拘留;属于国家工作人员的,并依法给予行政处分。
第二十四条 境外组织或者个人未经批准,擅自使用密码产品或者含有密码技术的设备的,由国家密码管理机构会同公安机关给予警告,责令改正,可以并处没收密码产品或者含有密码技术的设备。
第二十五条 商用密码管理机构的工作人员滥用职权、玩忽职守、徇私舞弊,构成犯罪的,依法追究刑事责任;尚不构成犯罪的,依法给予行政处分。
第七章 附 则
第二十六条 国家密码管理委员会可以依据本条例制定有关的管理规定。
第二十七条 本条例自发布之日起施行。
互联网安全保护技术措施规定
中华人民共和国公安部令
第82号
《互联网安全保护技术措施规定》已经
公安部部长:周永康
二〇〇五年十二月十三日
第一条 为加强和规范互联网安全技术防范工作,保障互联网网络安全和信息安全,促进互联网健康、有序发展,维护国家安全、社会秩序和公共利益,根据《计算机信息网络国际联网安全保护管理办法》,制定本规定。
第二条 本规定所称互联网安全保护技术措施,是指保障互联网网络安全和信息安全、防范违法犯罪的技术设施和技术方法。
第三条 互联网服务提供者、联网使用单位负责落实互联网安全保护技术措施,并保障互联网安全保护技术措施功能的正常发挥。
第四条 互联网服务提供者、联网使用单位应当建立相应的管理制度。未经用户同意不得公开、泄露用户注册信息,但法律、行政法规另有规定的除外。
互联网服务提供者、联网使用单位应当依法使用互联网安全保护技术措施,不得利用互联网安全保护技术措施侵犯用户的通信自由和通信秘密。
第五条 公安机关公共信息网络安全监察部门负责对互联网安全保护技术措施的落实情况依法实施监督管理。
第六条 互联网安全保护技术措施应当符合国家标准。没有国家标准的,应当符合公共安全行业技术标准。
第七条 互联网服务提供者和联网使用单位应当落实以下互联网安全保护技术措施:
(一)防范计算机病毒、网络入侵和攻击破坏等危害网络安全事项或者行为的技术措施;
(二)重要数据库和系统主要设备的冗灾备份措施;
(三)记录并留存用户登录和退出时间、主叫号码、账号、互联网地址或域名、系统维护日志的技术措施;
(四)法律、法规和规章规定应当落实的其他安全保护技术措施。
第八条 提供互联网接入服务的单位除落实本规定第七条规定的互联网安全保护技术措施外,还应当落实具有以下功能的安全保护技术措施:
(一)记录并留存用户注册信息;
(二)使用内部网络地址与互联网网络地址转换方式为用户提供接入服务的,能够记录并留存用户使用的互联网网络地址和内部网络地址对应关系;
(三)记录、跟踪网络运行状态,监测、记录网络安全事件等安全审计功能。
第九条 提供互联网信息服务的单位除落实本规定第七条规定的互联网安全保护技术措施外,还应当落实具有以下功能的安全保护技术措施:
(一)在公共信息服务中发现、停止传输违法信息,并保留相关记录;
(二)提供新闻、出版以及电子公告等服务的,能够记录并留存发布的信息内容及发布时间;
(三)开办门户网站、新闻网站、电子商务网站的,能够防范网站、网页被篡改,被篡改后能够自动恢复;
(四)开办电子公告服务的,具有用户注册信息和发布信息审计功能;
(五)开办电子邮件和网上短信息服务的,能够防范、清除以群发方式发送伪造、隐匿信息发送者真实标记的电子邮件或者短信息。
第十条 提供互联网数据中心服务的单位和联网使用单位除落实本规定第七条规定的互联网安全保护技术措施外,还应当落实具有以下功能的安全保护技术措施:
(一)记录并留存用户注册信息;
(二)在公共信息服务中发现、停止传输违法信息,并保留相关记录;
(三)联网使用单位使用内部网络地址与互联网网络地址转换方式向用户提供接入服务的,能够记录并留存用户使用的互联网网络地址和内部网络地址对应关系。
第十一条 提供互联网上网服务的单位,除落实本规定第七条规定的互联网安全保护技术措施外,还应当安装并运行互联网公共上网服务场所安全管理系统。
第十二条 互联网服务提供者依照本规定采取的互联网安全保护技术措施应当具有符合公共安全行业技术标准的联网接口。
第十三条 互联网服务提供者和联网使用单位依照本规定落实的记录留存技术措施,应当具有至少保存六十天记录备份的功能。
第十四条 互联网服务提供者和联网使用单位不得实施下列破坏互联网安全保护技术措施的行为:
(一)擅自停止或者部分停止安全保护技术设施、技术手段运行;
(二)故意破坏安全保护技术设施;
(三)擅自删除、篡改安全保护技术设施、技术手段运行程序和记录;
(四)擅自改变安全保护技术措施的用途和范围;
(五)其他故意破坏安全保护技术措施或者妨碍其功能正常发挥的行为。
第十五条 违反本规定第七条至第十四条规定的,由公安机关依照《计算机信息网络国际联网安全保护管理办法》第二十一条的规定予以处罚。
第十六条 公安机关应当依法对辖区内互联网服务提供者和联网使用单位安全保护技术措施的落实情况进行指导、监督和检查。
公安机关在依法监督检查时,互联网服务提供者、联网使用单位应当派人参加。公安机关对监督检查发现的问题,应当提出改进意见,通知互联网服务提供者、联网使用单位及时整改。
公安机关在监督检查时,监督检查人员不得少于二人,并应当出示执法身份证件。
第十七条 公安机关及其工作人员违反本规定,有滥用职权,徇私舞弊行为的,对直接负责的主管人员和其他直接责任人员依法给予行政处分;构成犯罪的,依法追究刑事责任。
第十八条 本规定所称互联网服务提供者,是指向用户提供互联网接入服务、互联网数据中心服务、互联网信息服务和互联网上网服务的单位。
本规定所称联网使用单位,是指为本单位应用需要连接并使用互联网的单位。
本规定所称提供互联网数据中心服务的单位,是指提供主机托管、租赁和虚拟空间租用等服务的单位。
第十九条 本规定自
信息安全等级保护管理办法
(公通字[2007]43号)
第一章 总则
第一条 为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。
第二条 国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。
第三条 公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。
第四条 信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。
第五条 信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。
第二章 等级划分与保护
第六条 国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
第七条 信息系统的安全保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
第八条 信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护,国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。
第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。
第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。
第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。
第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。
第三章 等级保护的实施与管理
第九条 信息系统运营、使用单位应当按照《信息系统安全等级保护实施指南》具体实施等级保护工作。
第十条 信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的,应当经主管部门审核批准。
跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。
对拟确定为第四级以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。
第十一条 信息系统的安全保护等级确定后,运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准,使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品,开展信息系统安全建设或者改建工作。
第十二条 在信息系统建设过程中,运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》(GB17859-1999)、《信息系统安全等级保护基本要求》等技术标准,参照《信息安全技术 信息系统通用安全技术要求》(GB/T20271-2006)、《信息安全技术 网络基础安全技术要求》(GB/T20270-2006)、《信息安全技术 操作系统安全技术要求》(GB/T20272-2006)、《信息安全技术 数据库管理系统安全技术要求》(GB/T20273-2006)、《信息安全技术 服务器技术要求》、《信息安全技术 终端计算机系统安全等级技术要求》(GA/T671-2006)等技术标准同步建设符合该等级要求的信息安全设施。
第十三条 运营、使用单位应当参照《信息安全技术 信息系统安全管理要求》(GB/T20269-2006)、《信息安全技术 信息系统安全工程管理要求》(GB/T20282-2006)、《信息系统安全等级保护基本要求》等管理规范,制定并落实符合本系统安全保护等级要求的安全管理制度。
第十四条 信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。
信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查,第四级信息系统应当每半年至少进行一次自查,第五级信息系统应当依据特殊安全需求进行自查。
经测评或者自查,信息系统安全状况未达到安全保护等级要求的,运营、使用单位应当制定方案进行整改。
第十五条 已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。
第十六条 办理信息系统安全保护等级备案手续时,应当填写《信息系统安全等级保护备案表》,第三级以上信息系统应当同时提供以下材料:
(一)系统拓扑结构及说明;
(二)系统安全组织机构和管理制度;
(三)系统安全保护设施设计实施方案或者改建实施方案;
(四)系统使用的信息安全产品清单及其认证、销售许可证明;
(五)测评后符合系统安全保护等级的技术检测评估报告;
(六)信息系统安全保护等级专家评审意见;
(七)主管部门审核批准信息系统安全保护等级的意见。
第十七条 信息系统备案后,公安机关应当对信息系统的备案情况进行审核,对符合等级保护要求的,应当在收到备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明;发现不符合本办法及有关标准的,应当在收到备案材料之日起的10个工作日内通知备案单位予以纠正;发现定级不准的,应当在收到备案材料之日起的10个工作日内通知备案单位重新审核确定。
运营、使用单位或者主管部门重新确定信息系统等级后,应当按照本办法向公安机关重新备案。
第十八条 受理备案的公安机关应当对第三级、第四级信息系统的运营、使用单位的信息安全等级保护工作情况进行检查。对第三级信息系统每年至少检查一次,对第四级信息系统每半年至少检查一次。对跨省或者全国统一联网运行的信息系统的检查,应当会同其主管部门进行。
对第五级信息系统,应当由国家指定的专门部门进行检查。
公安机关、国家指定的专门部门应当对下列事项进行检查:
(一) 信息系统安全需求是否发生变化,原定保护等级是否准确;
(二) 运营、使用单位安全管理制度、措施的落实情况;
(三) 运营、使用单位及其主管部门对信息系统安全状况的检查情况;
(四) 系统安全等级测评是否符合要求;
(五) 信息安全产品使用是否符合要求;
(六) 信息系统安全整改情况;
(七) 备案材料与运营、使用单位、信息系统的符合情况;
(八) 其他应当进行监督检查的事项。
第十九条 信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导,如实向公安机关、国家指定的专门部门提供下列有关信息安全保护的信息资料及数据文件:
(一) 信息系统备案事项变更情况;
(二) 安全组织、人员的变动情况;
(三) 信息安全管理制度、措施变更情况;
(四) 信息系统运行状况记录;
(五) 运营、使用单位及主管部门定期对信息系统安全状况的检查记录;
(六) 对信息系统开展等级测评的技术测评报告;
(七) 信息安全产品使用的变更情况;
(八) 信息安全事件应急预案,信息安全事件应急处置结果报告;
(九) 信息系统安全建设、整改结果报告。
第二十条 公安机关检查发现信息系统安全保护状况不符合信息安全等级保护有关管理规范和技术标准的,应当向运营、使用单位发出整改通知。运营、使用单位应当根据整改通知要求,按照管理规范和技术标准进行整改。整改完成后,应当将整改报告向公安机关备案。必要时,公安机关可以对整改情况组织检查。
第二十一条 第三级以上信息系统应当选择使用符合以下条件的信息安全产品:
(一)产品研制、生产单位是由, 中国公民、法人投资或者国家投资或者控股的,在中华人民共和国境内具有独立的法人资格;
(二)产品的核心技术、关键部件具有我国自主知识产权;
(三)产品研制、生产单位及其主要业务、技术人员无犯罪记录;
(四)产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能;
(五)对国家安全、社会秩序、公共利益不构成危害;
(六)对已列入信息安全产品认证目录的,应当取得国家信息安全产品认证机构颁发的认证证书。
第二十二条 第三级以上信息系统应当选择符合下列条件的等级保护测评机构进行测评:
(一) 在中华人民共和国境内注册成立(港澳台地区除外);
(二) 由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);
(三) 从事相关检测评估工作两年以上,无违法记录;
(四) 工作人员仅限于中国公民;
(五) 法人及主要业务、技术人员无犯罪记录;
(六) 使用的技术装备、设施应当符合本办法对信息安全产品的要求;
(七) 具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;
(八) 对国家安全、社会秩序、公共利益不构成威胁。
第二十三条 从事信息系统安全等级测评的机构,应当履行下列义务:
(一)遵守国家有关法律法规和技术标准,提供安全、客观、公正的检测评估服务,保证测评的质量和效果;
(二)保守在测评活动中知悉的国家秘密、商业秘密和个人隐私,防范测评风险;
(三)对测评人员进行安全保密教育,与其签订安全保密责任书,规定应当履行的安全保密义务和承担的法律责任,并负责检查落实。
第四章 涉及国家秘密信息系统的分级保护管理
第二十四条 涉密信息系统应当依据国家信息安全等级保护的基本要求,按照国家保密工作部门有关涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保护。
非涉密信息系统不得处理国家秘密信息。
第二十五条 涉密信息系统按照所处理信息的最高密级,由低到高分为秘密、机密、绝密三个等级。
涉密信息系统建设使用单位应当在信息规范定密的基础上,依据涉密信息系统分级保护管理办法和国家保密标准BMB17-2006《涉及国家秘密的计算机信息系统分级保护技术要求》确定系统等级。对于包含多个安全域的涉密信息系统,各安全域可以分别确定保护等级。
保密工作部门和机构应当监督指导涉密信息系统建设使用单位准确、合理地进行系统定级。
第二十六条 涉密信息系统建设使用单位应当将涉密信息系统定级和建设使用情况,及时上报业务主管部门的保密工作机构和负责系统审批的保密工作部门备案,并接受保密部门的监督、检查、指导。
第二十七条 涉密信息系统建设使用单位应当选择具有涉密集成资质的单位承担或者参与涉密信息系统的设计与实施。
涉密信息系统建设使用单位应当依据涉密信息系统分级保护管理规范和技术标准,按照秘密、机密、绝密三级的不同要求,结合系统实际进行方案设计,实施分级保护,其保护水平总体上不低于国家信息安全等级保护第三级、第四级、第五级的水平。
第二十八条 涉密信息系统使用的信息安全保密产品原则上应当选用国产品,并应当通过国家保密局授权的检测机构依据有关国家保密标准进行的检测,通过检测的产品由国家保密局审核发布目录。
第二十九条 涉密信息系统建设使用单位在系统工程实施结束后,应当向保密工作部门提出申请,由国家保密局授权的系统测评机构依据国家保密标准BMB22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》,对涉密信息系统进行安全保密测评。
涉密信息系统建设使用单位在系统投入使用前,应当按照《涉及国家秘密的信息系统审批管理规定》,向设区的市级以上保密工作部门申请进行系统审批,涉密信息系统通过审批后方可投入使用。已投入使用的涉密信息系统,其建设使用单位在按照分级保护要求完成系统整改后,应当向保密工作部门备案。
第三十条 涉密信息系统建设使用单位在申请系统审批或者备案时,应当提交以下材料:
(一)系统设计、实施方案及审查论证意见;
(二)系统承建单位资质证明材料;
(三)系统建设和工程监理情况报告;
(四)系统安全保密检测评估报告;
(五)系统安全保密组织机构和管理制度情况;
(六)其他有关材料。
第三十一条 涉密信息系统发生涉密等级、连接范围、环境设施、主要应用、安全保密管理责任单位变更时,其建设使用单位应当及时向负责审批的保密工作部门报告。保密工作部门应当根据实际情况,决定是否对其重新进行测评和审批。
第三十二条 涉密信息系统建设使用单位应当依据国家保密标准BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》,加强涉密信息系统运行中的保密管理,定期进行风险评估,消除泄密隐患和漏洞。
第三十三条 国家和地方各级保密工作部门依法对各地区、各部门涉密信息系统分级保护工作实施监督管理,并做好以下工作:
(一)指导、监督和检查分级保护工作的开展;
(二)指导涉密信息系统建设使用单位规范信息定密,合理确定系统保护等级;
(三)参与涉密信息系统分级保护方案论证,指导建设使用单位做好保密设施的同步规划设计;
(四)依法对涉密信息系统集成资质单位进行监督管理;
(五)严格进行系统测评和审批工作,监督检查涉密信息系统建设使用单位分级保护管理制度和技术措施的落实情况;
(六)加强涉密信息系统运行中的保密监督检查。对秘密级、机密级信息系统每两年至少进行一次保密检查或者系统测评,对绝密级信息系统每年至少进行一次保密检查或者系统测评;
(七)了解掌握各级各类涉密信息系统的管理使用情况,及时发现和查处各种违规违法行为和泄密事件。
第五章 信息安全等级保护的密码管理
第三十四条 国家密码管理部门对信息安全等级保护的密码实行分类分级管理。根据被保护对象在国家安全、社会稳定、经济建设中的作用和重要程度,被保护对象的安全防护要求和涉密程度,被保护对象被破坏后的危害程度以及密码使用部门的性质等,确定密码的等级保护准则。
信息系统运营、使用单位采用密码进行等级保护的,应当遵照《信息安全等级保护密码管理办法》、《信息安全等级保护商用密码技术要求》等密码管理规定和相关标准。
第三十五条 信息系统安全等级保护中密码的配备、使用和管理等,应当严格执行国家密码管理的有关规定。
第三十六条 信息系统运营、使用单位应当充分运用密码技术对信息系统进行保护。采用密码对涉及国家秘密的信息和信息系统进行保护的,应报经国家密码管理局审批,密码的设计、实施、使用、运行维护和日常管理等,应当按照国家密码管理有关规定和相关标准执行;采用密码对不涉及国家秘密的信息和信息系统进行保护的,须遵守《商用密码管理条例》和密码分类分级保护有关规定与相关标准,其密码的配备使用情况应当向国家密码管理机构备案。
第三十七条 运用密码技术对信息系统进行系统等级保护建设和整改的,必须采用经国家密码管理部门批准使用或者准于销售的密码产品进行安全保护,不得采用国外引进或者擅自研制的密码产品;未经批准不得采用含有加密功能的进口信息技术产品。
第三十八条 信息系统中的密码及密码设备的测评工作由国家密码管理局认可的测评机构承担,其他任何部门、单位和个人不得对密码进行评测和监控。
第三十九条 各级密码管理部门可以定期或者不定期对信息系统等级保护工作中密码配备、使用和管理的情况进行检查和测评,对重要涉密信息系统的密码配备、使用和管理情况每两年至少进行一次检查和测评。在监督检查过程中,发现存在安全隐患或者违反密码管理相关规定或者未达到密码相关标准要求的,应当按照国家密码管理的相关规定进行处置。
第六章 法律责任
第四十条 第三级以上信息系统运营、使用单位违反本办法规定,有下列行为之一的,由公安机关、国家保密工作部门和国家密码工作管理部门按照职责分工责令其限期改正;逾期不改正的,给予警告,并向其上级主管部门通报情况,建议对其直接负责的主管人员和其他直接责任人员予以处理,并及时反馈处理结果:
(一) 未按本办法规定备案、审批的;
(二) 未按本办法规定落实安全管理制度、措施的;
(三) 未按本办法规定开展系统安全状况检查的;
(四) 未按本办法规定开展系统安全技术测评的;
(五) 接到整改通知后,拒不整改的;
(六) 未按本办法规定选择使用信息安全产品和测评机构的;
(七) 未按本办法规定如实提供有关文件和证明材料的;
(八) 违反保密管理规定的;
(九) 违反密码管理规定的;
(十) 违反本办法其他规定的。
违反前款规定,造成严重损害的,由相关部门依照有关法律、法规予以处理。
第四十一条 信息安全监管部门及其工作人员在履行监督管理职责中,玩忽职守、滥用职权、徇私舞弊的,依法给予行政处分;构成犯罪的,依法追究刑事责任。
第七章 附则
第四十二条 已运行信息系统的运营、使用单位自本办法施行之日起180日内确定信息系统的安全保护等级;新建信息系统在设计、规划阶段确定安全保护等级。
第四十三条 本办法所称“以上”包含本数(级)。
第四十四条 本办法自发布之日起施行,《信息安全等级保护管理办法(试行)》(公通字[2006]7号)同时废止。