鐵路計算機系統(tǒng)安全管理暫行辦法
發(fā) 文 號:鐵公安(1993)61號
發(fā)布單位:鐵公安(1993)61號
第一章 總 則
第一條 為了保護鐵路計算機信息系統(tǒng)(以下簡稱“系統(tǒng)”)的安全,促進計算機的應(yīng)用和發(fā)展���,保障運輸生產(chǎn)和鐵路現(xiàn)代化建設(shè)順利進行�����,根據(jù)國務(wù)院批轉(zhuǎn)公安部關(guān)于計算機安全工作歸口管理的有關(guān)規(guī)定(〔89〕17號文),制定本辦法����。
第二條 本辦法適用于鐵路設(shè)計����、工程、工業(yè)��、運營部門和鐵道部機關(guān)及直屬單位建立和應(yīng)用系統(tǒng)的部門和單位�����。
第三條 本辦法所稱的系統(tǒng)包括計算機及其相關(guān)和配套的設(shè)備與設(shè)施���、信息�����、控制性軟件及工作人員���。
第四條 系統(tǒng)安全管理工作,實行積極預(yù)防,保障安全���,加強管理���,促進發(fā)展的方針。
第五條 系統(tǒng)工作人員有保護系統(tǒng)安全的義務(wù)��,應(yīng)當遵守系統(tǒng)安全保護制度和有關(guān)規(guī)定����,維護系統(tǒng)的安全。
第二章 系統(tǒng)安全監(jiān)察機構(gòu)的職責(zé)
第六條 鐵道部公安局是鐵路計算機信息安全監(jiān)察工作的主管部門�����,各鐵路公安局�����、處����,工程局、設(shè)計院公安處根據(jù)實際工作量可以建立專職機構(gòu)或指定兼職人員負責(zé)計算機監(jiān)察工作�。
第七條 鐵路各級計算機安全監(jiān)察機構(gòu)及專、兼職人員在管轄范圍內(nèi)負責(zé)系統(tǒng)安全監(jiān)察工作。其職責(zé):
一��、督促系統(tǒng)的管理部門和使用單位執(zhí)行有關(guān)安全法律��、法規(guī)和規(guī)定��,依法對其計算機安全管理工作進行監(jiān)督����、檢查和指導(dǎo)�����;
二�����、負責(zé)系統(tǒng)安全審查���,辦理登記和簽證手續(xù)�;
三����、查處和協(xié)助偵破危害系統(tǒng)安全的違法案件;
四、會同有關(guān)部門研究�����、評價和推廣計算機安全技術(shù)和安全產(chǎn)品�,負責(zé)組織計算機病毒防治和疫情報告;
五�����、組織或委托有關(guān)部門對新建�����、改建和擴建的系統(tǒng)進行安全驗收���,負責(zé)系統(tǒng)安全技術(shù)檢測工作�;
六�、組織開展系統(tǒng)安全競賽和評比;負責(zé)通報表彰和處罰���;
七����、培訓(xùn)安全管理和安全監(jiān)察人員;開展安全宣傳教育工作���。
第八條 鐵路各級計算機安全監(jiān)察部門發(fā)現(xiàn)系統(tǒng)安全隱患�,應(yīng)當及時通知使用單位采取安全措施���,限期改進安全狀況���,消除隱患。
第九條 為保證鐵路計算機安全監(jiān)察人員稱職�����,鐵路各級計算機安全監(jiān)察人員必須經(jīng)專業(yè)培訓(xùn)合格后�����,持鐵路計算機安全監(jiān)察證(式樣附后)方可上崗工作���。監(jiān)察證由部公安局統(tǒng)一簽發(fā)。
第十條 持監(jiān)察證的人員可行使下列職權(quán):
一����、負責(zé)本部門及下屬單位的計算機信息安全檢查�����;
二��、進入系統(tǒng)有關(guān)處所�,檢查安全情況或開機抽檢��;
三�����、詢問有關(guān)系統(tǒng)安全的問題����;
四、對安全控制措施���、病毒和相關(guān)數(shù)據(jù)等進行取樣�;
五�、要求有關(guān)人員寫出書面材料和提供有關(guān)證據(jù);
六���、對違章視情節(jié)輕重��,予以處罰�。
對無監(jiān)察證者,管理部門和使用單位可拒絕檢查���。
第十一條 基層公安保衛(wèi)組織對系統(tǒng)負有安全保護的職責(zé)���。在特殊情況下,經(jīng)上級鐵路計算機安全監(jiān)察部門批準�����,可行使有關(guān)計算機安全監(jiān)察職權(quán)�。
第三章 系統(tǒng)管理部門和使用單位的職責(zé)
第十二條 系統(tǒng)安全管理實行誰主管誰負責(zé)的原則。直接使用系統(tǒng)的單位(以下簡稱使用單位)負責(zé)本單位的系統(tǒng)安全管理工作�,使用單位所在的直接上級行政管理部門(以下簡稱管理部門)領(lǐng)導(dǎo)本部門所屬使用單位的系統(tǒng)安全管理工作。
第十三條 使用單位的職責(zé):
一���、結(jié)合應(yīng)用情況,根據(jù)本辦法制定具體的安全管理方案和規(guī)章制度�����,落實各項崗位管理責(zé)任制�����;
二、定期對本系統(tǒng)進行安全檢查�����,完善安全措施���;
三���、嚴格管理系統(tǒng)資源;
四����、定期向計算機安全監(jiān)察部門和系統(tǒng)管理部門報告本系統(tǒng)的安全情況;
五����、對造成嚴重損失并影響生產(chǎn)安全的計算機事件及違法行為,及時報告管理部門和計算機安全監(jiān)察部門�,協(xié)助調(diào)查原因,處理責(zé)任者��。
第十四條 管理部門的職責(zé):
一��、協(xié)調(diào)、檢查��、督促��、指導(dǎo)所屬使用單位的系統(tǒng)安全管理工作��;
二�����、支持和配合安全計算機安全監(jiān)察部門的工作�����,督促系統(tǒng)使用單位向計算機安全監(jiān)察部門辦理登記和簽證手續(xù)��;
三�、宣傳計算機安全常識,對從事或接觸計算機的人員進行安全審查��、安全教育和安全考核�。
第四章 系統(tǒng)安全與保護
第十五條 系統(tǒng)管理部門和使用單位要根據(jù)要害保衛(wèi)條件和保密條例,把系統(tǒng)列為要害進行管理��,并納入企業(yè)目標管理之中�����。
第十六條 凡是建立或使用系統(tǒng)的部門和單位�����,不管何種用途����,在投入使用前,必須向計算機安全監(jiān)察部門申報��,經(jīng)安全檢查合格���,辦理《計算機使用許可證》后方可使用�����。
第十七條 已建立的��、上級調(diào)撥的��、捐贈的���、自行組裝的����、隨其它設(shè)備引進的等計算機系統(tǒng)應(yīng)在限期內(nèi)向計算機安全監(jiān)察部門申報��,補辦簽證手續(xù)�。
第十八條 對于計算機安全專用產(chǎn)品的研制、生產(chǎn)����、銷售實行統(tǒng)一管理。凡擬出售的產(chǎn)品���,必須經(jīng)過鑒定并申請領(lǐng)取公安計算機安全監(jiān)察部門發(fā)放的《計算機安全產(chǎn)品銷售許可證》后�,方可出售���。
第十九條 對以營利為目的的計算機科研�、生產(chǎn)���、經(jīng)銷�、維修的單位���,要向計算機安全監(jiān)察部門申報��,實行登記管理���。
第二十條 新建、改建或擴建計算機房應(yīng)當符合國家規(guī)定的有關(guān)標準�。
第二十一條 系統(tǒng)實行安全等級管理,系統(tǒng)等級由計算機安全監(jiān)察部門劃定�。
第二十二條 系統(tǒng)管理部門和使用單位要做好對計算機人員的錄用審查工作。
重要系統(tǒng)應(yīng)選調(diào)政治素質(zhì)好���、業(yè)務(wù)熟悉���、組織紀律性強、有職業(yè)道德的工作人員��,并經(jīng)相應(yīng)的安全培訓(xùn)���、安全考核后����,方可上崗工作�。
對不適合在系統(tǒng)工作的人員,應(yīng)及時調(diào)離。
第二十三條 重要部門的計算機房要規(guī)定嚴格的出入制度��,未經(jīng)授權(quán)或批準的人員����,不得接觸和使用信息處理設(shè)備和媒體。
第二十四條 所有的系統(tǒng)資產(chǎn)要嚴格執(zhí)行登記使用制度�,并建立完整的設(shè)備臺帳及設(shè)備檔案,定期進行清查����。
第二十五條 重要系統(tǒng)要制定應(yīng)急方案,確保系統(tǒng)在非正常中斷發(fā)生事故后具有迅速恢復(fù)能力����。
第二十六條 對信息處理的各個環(huán)節(jié)和流程要有安全保護和安全控制措施,以防被人非法利用���、更改�����、損害和泄露��。
第二十七條 設(shè)備使用和信息存取權(quán)按照工作需要原則授予�,任何人不得越權(quán)使用或改變系統(tǒng)資源。
第二十八條 重要系統(tǒng)應(yīng)具有故障檢測�、故障控制和故障追蹤的能力,以確保系統(tǒng)的安全性�。
第二十九條 要嚴格執(zhí)行安全保密制度,存儲介質(zhì)和文件資料應(yīng)由專人負責(zé)妥善保管��,未經(jīng)領(lǐng)導(dǎo)批準�,不得隨意利用����、修改、復(fù)制和外借�����。
第三十條 重要部門的系統(tǒng)���,需對外聯(lián)網(wǎng)或提供服務(wù)時���,由系統(tǒng)管理部門批準,并向計算機安全監(jiān)察部門備案�����,其事前要采取適當安全保護措施。
第三十一條 做好日常的數(shù)據(jù)和軟件備份�。對新引用的軟件和外來數(shù)據(jù)媒體要采取慎重態(tài)度,使用前要進行安全檢測�,確認無誤后,再投入正常運行���。
第三十二條 為防止制造或傳播新的計算機病毒��,未經(jīng)計算機安全監(jiān)察部門批準����,任何單位和個人不得從事計算機病毒研究��,不得購買��、銷售���、復(fù)制使用社會上來歷不明的檢測清除軟件����。計算機病毒檢測清除軟件由計算機安全監(jiān)察部門統(tǒng)一組織發(fā)放��。
第五章 獎 懲
第三十三條 對安全管理工作有顯著貢獻或成績的單位和個人����,計算機安全監(jiān)察部門給予表彰���。
第三十四條 對違反規(guī)定,有下列行為之一的單位����、直接責(zé)任人或其他人員,計算機安全監(jiān)察部門可處以警告�、通報批評、責(zé)令停機整頓�����、吊銷其《許可證》:
一�、違反審批制度增設(shè)或更換設(shè)備���、裝置的�;
二��、不到計算機安全監(jiān)察部門進行登記的����;
三�、違反系統(tǒng)安全管理制度�����,危害系統(tǒng)安全的�����;
四�����、在二十四小時內(nèi)不報告系統(tǒng)發(fā)生的安全事故�、事件或違法行為的;
五�、故意輸入計算機病毒以及其他有害數(shù)據(jù)的;
六�、拒絕、阻礙計算機安全監(jiān)察部門實施安全檢查的����;
七、經(jīng)計算機安全監(jiān)察部門通知在限期內(nèi)仍不采取措施改進安全狀況的��;
八���、其他危害系統(tǒng)安全的�。
第三十五條 對違反本規(guī)定,有下列行為之一的��,計算機安全監(jiān)察部門可視情節(jié)給予警告���,罰款(對個人罰款最高不超過5千元�����;對單位罰款最高不超過1萬5千元���;對非法所得可按1—3倍的標準進行罰款),沒收軟硬件產(chǎn)品�、設(shè)備��、裝置及其非法所得財物�,構(gòu)成犯罪的,依法追究刑事責(zé)任:
一��、利用系統(tǒng)從事違法活動的�;
二、未經(jīng)計算機安全監(jiān)察部門許可私自出售計算機安全產(chǎn)品���,散發(fā)有害的計算機軟件�����、硬件及其出版物的�����;
三����、經(jīng)計算機安全監(jiān)察部門再次通知后仍不改進系統(tǒng)安全狀況,并對運輸生產(chǎn)有重大損害的����;
四、非法截取�����、利用或出賣系統(tǒng)信息�����,有害于國家利益和安全的。
第三十六條 計算機安全監(jiān)察部門采取的沒收�����、責(zé)令停機或停工等處罰���,其損失自負��。
第六章 附 則
第三十七條 系統(tǒng)安全保護中涉及安全管理����、安全技術(shù)標準和信息保密的����,除執(zhí)行本辦法的規(guī)定外,還應(yīng)當遵守國家有關(guān)法律���、法規(guī)和規(guī)定��。
第三十八條 本辦法由鐵道部公安局負責(zé)解釋。
第三十九條 本辦法自公布之日起施行�����。
附件1:
-------------------
|鐵路計算機安全監(jiān)察證 ---- |
|姓名___性別___ |照 | |
| | | |
|年齡___職稱___ |片 | |
| ---- |
|核發(fā)單位:___編號:___ |
| |
|核發(fā)日期:___年___月___日|
-------------------
(正面)
-------------------------
|持此證人員有以下權(quán)限 |
|1、進入系統(tǒng)有關(guān)處所���,檢查安全情況或開機抽檢��;|
|2��、詢問有關(guān)系統(tǒng)安全的問題����; |
|3���、對安全控制措施�����、病毒和相關(guān)數(shù)據(jù)等進行取樣����;|
|4���、要求有關(guān)人員寫出書面材料和提供有關(guān)證據(jù)���; |
|5��、對違章視情節(jié)輕重�,予以處罰��。 |
-------------------------
(背面)
附件2:
--------------------------
| 行政處罰決定書 |
| |
| 〔 〕年 號 |
| |
| ____________________因 |
| |
|_______________________ |
| |
|違反《鐵路計算機信息系統(tǒng)安全管理暫行辦法》第35|
|條的規(guī)定���,處以行政罰款______元�����。 |
| 如不服本決定��,可以于接到本決定書之日起15 |
|日內(nèi)向_____________鐵路公安局申請復(fù)|
|查��。 |
| 年 月 日 |
| (執(zhí)罰單位章) |
--------------------------
注:本決定一式兩份�,一份交被處罰單位或個人�,一份存檔。
附件3:
--------------------------
| 行 政 罰 款 收 據(jù) |
| 收 據(jù) 編 號 |
| 處罰裁決書第 號 |
|收到違反計算機系統(tǒng)安全管理人______ |
|交來__________________ |
|人民幣(大寫)________¥____ |
| |
| ------ ------ |
| |收| | |交| | |
|收款單位(章) |款| | |款| | |
| |人| | |人| | |
| ------ ------ |
|第XX聯(lián)收據(jù) 199 年 月 日 |
--------------------------
附件4:
---------------------------
| 沒收財物決定書 |
| |
| 〔 〕 年 號 |
| |
| ____________________因違 |
| |
|反《鐵路計算機信息系統(tǒng)安全管理暫行辦法》第35條的|
| |
|規(guī)定�,決定對以下財物予以沒收: |
| 1、 |
| 2�、 |
| 3、 |
| 4���、 |
| 5、 |
| 如不服本決定,可以于接到本決定起15日內(nèi)向__|
|鐵路公安局申請復(fù)查��。 |
| 年 月 日(執(zhí)行單位章)|
---------------------------
