第一条  为保护信息系统的安全，根据《中华人民共和国计算机信息系统安全保护条例》和有关法律法规，结合本省实际，制定本条例。

第二条  本条例所称的信息系统是指由计算机及其相关和配套的设备、设施构成的，按照一定的应用目标和规则对信息进行存储、传输等处理的人机系统或者网络。

第三条  本省行政区域内信息系统安全保护适用本条例。

第四条  信息系统安全保护应当保障信息系统设备、设施的安全，运行环境的安全和信息的安全，维护信息系统的安全运行。

第五条  各级人民政府应当加强对信息系统安全保护工作的领导，保障信息系统安全保护工作所必需的经费。

第六条  县级以上公安机关主管本行政区域内的信息系统安全保护工作。

县级以上国家安全机关、保密工作部门、密码管理部门和其他有关部门在各自的职责范围内做好信息系统安全保护工作。

第七条  任何组织或者个人不得利用信息系统从事危害国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的活动，不得危害信息系统的安全。

第八条  公民发现危害信息系统安全的行为，有权制止和向公安机关举报。

第九条  县级以上公安机关应当对在信息系统安全保护工作中做出突出贡献的单位和个人给予表彰和奖励。

                                 第二章  安全秩序

第十条  任何单位和个人不得利用信息系统制作、复制和传播下列信息：

（一）反对宪法确定的基本原则的；

（二）危害国家统一、主权和领土完整的；

（三）泄露国家秘密，危害国家安全或者损害国家荣誉和利益的；

（四）煽动民族仇恨、民族歧视，破坏民族团结或者侵害民族风俗、习惯的；

（五）破坏国家宗教政策，宣扬邪教、迷信的；

（六）散布谣言，发布虚假信息，扰乱社会秩序，破坏社会稳定的；

（七）煽动聚众滋事，损害社会公共利益的；

（八）宣扬淫秽、赌博、暴力、恐怖或者教唆犯罪的；

（九）侮辱或者诽谤他人，侵害他人合法权益的；

（十）法律法规禁止的其他内容。

第十一条  任何单位和个人不得实施下列行为：

（一）未经允许，进入信息系统或者非法占有、使用、窃取信息系统资源；

（二）未经允许，对信息系统功能进行删除、修改、增加或者干扰；

（三）未经允许，对信息系统中存储、处理或者传输的数据和应用程序进行删除、修改或者增加；

（四）故意制作、传播计算机病毒、恶意软件等破坏性程序，影响信息系统正常运行;

（五）窃取他人账号和密码，或者擅自公开他人信息资料，干扰他人正常工作、生活的；

（六）其他危害信息系统安全的行为。

第十二条  提供互联网接入服务、信息服务、数据中心服务的单位和个人在发现有违反本条例第十条、第十一条规定情形的时，应当立即报告公安机关，同时保存有关记录，及时采取删除、停止传输等技术措施；在协助公安机关、国家安全机关查处违法犯罪行为时，应当如实提供有关信息、资料、数据文件和原始记录，采取删除网络地址、目录、关闭服务器等措施。

第十三条 提供互联网信息服务的单位和个人，应当遵守下列规定：

（一）对信息发布者的注册信息进行登记；

（二）信息发布前，应当依照本条例第十条的所列内容进行审核；

（三）提供互联网交互式服务的，应当登记栏目管理者的真实资料。

第十四条  互联网服务提供者、互联网使用单位应当安装并运行国家规定的安全管理系统。

接入互联网的信息系统的运营、使用单位和互联网服务单位采取的安全保护技术措施，应当符合公共安全行业技术标准。

第十五条  提供互联网接入、服务器托管、虚拟空间出租等服务的单位和个人，应当登记用户的真实资料，并在提供服务后30日内报县级以上公安机关备案。

第十六条  研发、生产、销售含有信息网络远程控制、密码猜解、漏洞检测、信息群发技术的产品和工具的单位和个人，应当到设区的市级以上公安机关备案。

                                       第三章  安全保护

第十七条  信息系统实行安全等级保护。信息安全等级保护按照国家规定的管理规范和技术标准执行。

第十八条  信息系统运营、使用单位应当建立安全保护组织，确定安全管理负责人，负责本单位信息系统安全保护工作。安全组织成员应当接受公安机关和人事部门组织的信息安全专业技术培训。

第十九条　信息系统运营、使用单位在信息系统建设前，应当依据国家有关规定确定安全保护等级。信息系统规划、设计、建设和维护应当根据安全保护等级，同步落实相应的安全保护技术措施，使用满足信息系统安全保护需求的信息技术产品。

第二十条  第二级以上信息系统建设完成后，运营、使用单位或者其主管部门应当依据国家规定，定期对信息系统安全状况进行等级测评。测评结果不符合安全保护等级要求的，应当立即进行整改，并对整改情况重新进行等级测评。

第二十一条  等级测评应当由具有相应安全等级测评能力的机构承担，等级测评机构开展信息系统安全等级测评工作应当接受公安机关的监督和指导。具体办法由省级公安机关制定。

第二十二条  第二级以上信息系统投入使用，或者重新确定安全保护等级后，运营、使用单位应当在30日内到所在地设区的市级以上公安机关备案。国家另有规定的，从其规定。

本条例实施以前已投入使用的信息系统，运营、使用单位应当按照本条例确定安全保护等级，并到设区的市级以上公安机关备案。

第二十三条　信息系统的运营、使用单位应当建立健全下列安全管理制度：

（一）安全责任；

（二）计算机机房安全管理；

　　（三）网络安全漏洞检测和系统升级；

　　（四）系统安全风险管理和应急处置；

　　（五）操作权限管理；

　　（六）用户登记；

　　（七）重要设备、介质管理；

　　（八）信息发布审查、登记、保存、清除和备份；

（九）信息群发服务管理；

（十）违法案件、安全事故、涉及信息系统安全保护的突发事件报告和协助查处；

（十一）其他安全保护制度。

第二十四条　信息系统的运营、使用单位应当采取下列安全保护技术措施：

（一）主要系统设备和重要数据的冗余或者备份；

（二）计算机病毒防治；

（三）网络攻击防范；

　　（四）安全事件的监测和记录；

（五）身份登记和识别；

（六）有害信息防治；

（七）系统运行和用户使用日志记录保存六十日以上；

（八）信息群发控制；

（九）其他安全技术措施。

第二十五条　第二级以上信息系统存在以下情形的，运营、使用单位应当进行整改：

（一）信息系统不符合国家信息安全等级保护管理规范和技术标准的；

（二）信息系统等级测评结果不符合安全等级保护要求的；

（三）公安机关检查发现安全隐患，并下达书面整改通知的。

第二十六条　第二级以上信息系统的运营、使用单位应当制定重大突发事件应急处置预案。信息系统发生危害国家安全、社会秩序、公共利益的重大安全事故和突发事件时，运营、使用单位应当按照应急处置预案的要求采取相应的处置措施。

第二十七条  信息系统的运营、使用单位应当按照国家有关规定向公安机关、保密工作部门、密码管理部门等部门如实提供有关信息系统安全保护的信息、资料及数据文件。

第二十八条  涉密计算机信息系统应当依据国家信息安全等级保护的要求，按照国家有关涉密计算机信息系统分级保护的管理规定和技术标准，结合计算机信息系统实际情况进行保护。

第二十九条  涉密计算机信息系统按照所处理信息的最高密级，由低到高分为秘密、机密、绝密三个等级，并实行涉密计算机信息系统分级保护。

第三十条  涉密计算机信息系统建设使用单位应当将涉密计算机信息系统定级和建设使用情况，及时报业务主管部门和负责系统审批的保密工作部门备案，并接受保密工作部门的监督、检查和指导。

第三十一条  涉密计算机信息系统投入使用前，应当按照国家有关规定报设区的市以上人民政府保密工作部门审批，通过审批后方可投入使用。

第三十二条  计算机信息系统安全等级保护中密码的配备、使用和管理等，应当按照国家密码管理的有关规定执行。

                                         第四章 安全监督

第三十三条　公安机关、国家安全机关、保密工作部门、密码管理部门等有关部门按照国家规定，对信息系统安全保护工作进行监督管理。

第三十四条  公安机关应当为公众提供信息系统安全指导，加强安全动态分析，积极开展安全宣传，推动信息安全防控能力的提升。

公安机关应当加强对信息系统安全服务机构的指导、监督、检查，推动信息安全服务能力的提高。

第三十五条  公安机关对信息系统安全保护工作行使下列监督职责：

（一）        查处危害信息系统安全的违法犯罪案件；

（二）        监督、检查、指导信息安全等级保护工作；

（三）        宣传信息系统安全保护法规，组织信息安全专业技术培训；

（四）        监督、指导信息安全等级测评工作；

（五）        法律、法规规定的其他职责。

第三十六条  信息系统备案后，公安机关应当对信息系统的备案情况进行审核，对符合等级保护要求的，应当在收到备案材料后10个工作日内颁发计算机信息系统安全等级保护备案证明；对不符合国家信息安全保护制度要求的信息系统，公安机关应当在收到备案材料后10个工作日内通知备案单位予以纠正。

第三十七条  设区的市级以上公安机关、国家安全机关为保护信息系统安全，在发生重大突发事件，危及国家安全、公共安全及社会稳定的紧急情况下，可以采取二十四小时内暂时停机、暂停联网、备份数据等措施。

第三十八条  公安机关在执法中，为防止证据灭失等情况的发生，可以扣押、封存与案件有关需要作为证据的物品。

第三十九条  保密工作部门依法对涉密计算机信息系统分级保护工作实施指导、监督和检查。

第四十条  密码管理部门应当对计算机信息系统安全保护工作中密码配备、使用和管理的情况进行检查和测评，发现存在安全隐患、违反密码管理相关规定或者未达到密码相关标准要求的，应当按照国家密码管理的相关规定进行处置。

                                        第五章  法律责任

第四十一条  违反本条例第十条、第十一条、第十二条、第十三条、第十四条、第十五条、第十六条规定的，由公安机关给予警告，有违法所得的，没收违法所得，对个人可以并处5000元以下罚款，对单位可以并处1.5万元以下罚款；情节严重的，可以给予6个月以内停止联网、停机整顿的处罚；违反《中华人民共和国治安管理处罚法》的，依法予以处罚；构成犯罪的，依法追究刑事责任。

第四十二条 违反本条例，有下列行为之一的，由公安机关给予警告，责令限期改正；逾期不改的，对单位主管人员或直接责任人员处以5000元以下罚款，对单位处以1.5万元以下罚款；情节严重的，给予6个月以内停止联网、停机整顿的处罚。

（一）未确定信息系统安全保护等级的；

（二）未按要求对信息系统安全状况进行等级测评，或者等级测评不符合等级保护要求且未整改的；

（三）信息系统未按规定到公安机关备案的；

（四）未建立安全保护组织，确定安全管理负责人，或者未按要求参加信息安全专门培训的；

（五）未建立安全管理制度的；

（六）未采取安全保护技术措施的；

（七）未制定信息系统重大突发事件应急处置预案，或者在重大突发事件应急处置中未按照应急处置预案的要求采取相应的处置措施的；

（八）未按规定向公安机关、国家安全机关、保密工作部门、密码管理部门提供有关资料的；

（九）发生案件和重大安全事故，未在24小时内报告公安机关，并保留有关原始记录的。

第四十三条  违反本规定第二十一条的，由公安机关给予警告，对个人可以并处5000元以下罚款，对单位可以并处1.5万元以下罚款；有违法所得的，没收违法所得，违法经营额1万元以上的，可以并处违法经营额1倍以上3倍以下罚款；违法经营额不足1万元的，可以并处1万元以上2万元以下的罚款；违反《中华人民共和国治安管理处罚法》的，依法予以处罚；构成犯罪的，依法追究刑事责任。

第四十四条  违反本条例第三十条、第三十一条、第三十二条和其他有关保密管理和密码管理规定的，由保密工作部门或者密码管理部门按照职责分工责令限期改正；逾期不改的，给予警告，并向其上级主管部门通报情况，建议对其主管人员和其他直接责任人员予以处理；构成犯罪的，依法追究刑事责任。

第四十五条  公安机关、国家安全机关、保密工作部门、密码管理部门和政府其他有关部门及其工作人员有下列行为之一的，对主管人员、直接责任人员，或者有关工作人员给予处分；构成犯罪的，依法追究刑事责任：

（一）利用职权索取、收受贿赂的；

（二）玩忽职守、滥用职权的；

（三）其他不履行法定职责的。

                                     第六章   附则

第四十六条  本条例所称的重大突发事件，是指有害信息大范围传播、大规模网络攻击、计算机病毒疫情等危害信息系统安全的重大事件。

本条例所称的原始记录是指有关信息或者行为在网络上出现或者发生时，计算机记录、存储的时间、内容、来源及系统网络运行日志、用户使用日志等所有相关数据。

本条例所称的未经允许是指违反法律、法规、规章和行业管理规定及当事人的约定，擅自或者超越权限进入信息系统，或者使用、删除、修改、增加信息系统数据的情形。

第四十七条  本条例自2008年  月  日起施行。