第一章 總 則
第一條 為了保護鐵路計算機信息系統(以下簡稱“系統”)的安全,促進計算機的應用和發展,保障運輸生產和鐵路現代化建設順利進行,根據國務院批轉公安部關于計算機安全工作歸口管理的有關規定(〔89〕17號文),制定本辦法。
第二條 本辦法適用于鐵路設計、工程、工業、運營部門和鐵道部機關及直屬單位建立和應用系統的部門和單位。
第三條 本辦法所稱的系統包括計算機及其相關和配套的設備與設施、信息、控制性軟件及工作人員。
第四條 系統安全管理工作,實行積極預防,保障安全,加強管理,促進發展的方針。
第五條 系統工作人員有保護系統安全的義務,應當遵守系統安全保護制度和有關規定,維護系統的安全。
第二章 系統安全監察機構的職責 第六條 鐵道部公安局是鐵路計算機信息安全監察工作的主管部門,各鐵路公安局、處,工程局、設計院公安處根據實際工作量可以建立專職機構或指定兼職人員負責計算機監察工作。
第七條 鐵路各級計算機安全監察機構及專、兼職人員在管轄范圍內負責系統安全監察工作。其職責:
一、督促系統的管理部門和使用單位執行有關安全法律、法規和規定,依法對其計算機安全管理工作進行監督、檢查和指導;
二、負責系統安全審查,辦理登記和簽證手續;
三、查處和協助偵破危害系統安全的違法案件;
四、會同有關部門研究、評價和推廣計算機安全技術和安全產品,負責組織計算機病毒防治和疫情報告;
五、組織或委托有關部門對新建、改建和擴建的系統進行安全驗收,負責系統安全技術檢測工作;
六、組織開展系統安全競賽和評比;負責通報表彰和處罰;
七、培訓安全管理和安全監察人員;開展安全宣傳教育工作。
第八條 鐵路各級計算機安全監察部門發現系統安全隱患,應當及時通知使用單位采取安全措施,限期改進安全狀況,消除隱患。
第九條 為保證鐵路計算機安全監察人員稱職,鐵路各級計算機安全監察人員必須經專業培訓合格后,持鐵路計算機安全監察證(式樣附后)方可上崗工作。監察證由部公安局統一簽發。
第十條 持監察證的人員可行使下列職權:
一、負責本部門及下屬單位的計算機信息安全檢查;
二、進入系統有關處所,檢查安全情況或開機抽檢;
三、詢問有關系統安全的問題;
四、對安全控制措施、病毒和相關數據等進行取樣;
五、要求有關人員寫出書面材料和提供有關證據;
六、對違章視情節輕重,予以處罰。
對無監察證者,管理部門和使用單位可拒絕檢查。
第十一條 基層公安保衛組織對系統負有安全保護的職責。在特殊情況下,經上級鐵路計算機安全監察部門批準,可行使有關計算機安全監察職權。
第三章 系統管理部門和使用單位的職責 第十二條 系統安全管理實行誰主管誰負責的原則。直接使用系統的單位(以下簡稱使用單位)負責本單位的系統安全管理工作,使用單位所在的直接上級行政管理部門(以下簡稱管理部門)領導本部門所屬使用單位的系統安全管理工作。
第十三條 使用單位的職責:
一、結合應用情況,根據本辦法制定具體的安全管理方案和規章制度,落實各項崗位管理責任制;
二、定期對本系統進行安全檢查,完善安全措施;
三、嚴格管理系統資源;
四、定期向計算機安全監察部門和系統管理部門報告本系統的安全情況;
五、對造成嚴重損失并影響生產安全的計算機事件及違法行為,及時報告管理部門和計算機安全監察部門,協助調查原因,處理責任者。
第十四條 管理部門的職責:
一、協調、檢查、督促、指導所屬使用單位的系統安全管理工作;
二、支持和配合安全計算機安全監察部門的工作,督促系統使用單位向計算機安全監察部門辦理登記和簽證手續;
三、宣傳計算機安全常識,對從事或接觸計算機的人員進行安全審查、安全教育和安全考核。
第四章 系統安全與保護 第十五條 系統管理部門和使用單位要根據要害保衛條件和保密條例,把系統列為要害進行管理,并納入企業目標管理之中。
第十六條 凡是建立或使用系統的部門和單位,不管何種用途,在投入使用前,必須向計算機安全監察部門申報,經安全檢查合格,辦理《計算機使用許可證》后方可使用。
第十七條 已建立的、上級調撥的、捐贈的、自行組裝的、隨其它設備引進的等計算機系統應在限期內向計算機安全監察部門申報,補辦簽證手續。
第十八條 對于計算機安全專用產品的研制、生產、銷售實行統一管理。凡擬出售的產品,必須經過鑒定并申請領取公安計算機安全監察部門發放的《計算機安全產品銷售許可證》后,方可出售。
第十九條 對以營利為目的的計算機科研、生產、經銷、維修的單位,要向計算機安全監察部門申報,實行登記管理。
第二十條 新建、改建或擴建計算機房應當符合國家規定的有關標準。
第二十一條 系統實行安全等級管理,系統等級由計算機安全監察部門劃定。
第二十二條 系統管理部門和使用單位要做好對計算機人員的錄用審查工作。
重要系統應選調政治素質好、業務熟悉、組織紀律性強、有職業道德的工作人員,并經相應的安全培訓、安全考核后,方可上崗工作。
對不適合在系統工作的人員,應及時調離。
第二十三條 重要部門的計算機房要規定嚴格的出入制度,未經授權或批準的人員,不得接觸和使用信息處理設備和媒體。
第二十四條 所有的系統資產要嚴格執行登記使用制度,并建立完整的設備臺帳及設備檔案,定期進行清查。
第二十五條 重要系統要制定應急方案,確保系統在非正常中斷發生事故后具有迅速恢復能力。
第二十六條 對信息處理的各個環節和流程要有安全保護和安全控制措施,以防被人非法利用、更改、損害和泄露。
第二十七條 設備使用和信息存取權按照工作需要原則授予,任何人不得越權使用或改變系統資源。
第二十八條 重要系統應具有故障檢測、故障控制和故障追蹤的能力,以確保系統的安全性。
第二十九條 要嚴格執行安全保密制度,存儲介質和文件資料應由專人負責妥善保管,未經領導批準,不得隨意利用、修改、復制和外借。
第三十條 重要部門的系統,需對外聯網或提供服務時,由系統管理部門批準,并向計算機安全監察部門備案,其事前要采取適當安全保護措施。
第三十一條 做好日常的數據和軟件備份。對新引用的軟件和外來數據媒體要采取慎重態度,使用前要進行安全檢測,確認無誤后,再投入正常運行。
第三十二條 為防止制造或傳播新的計算機病毒,未經計算機安全監察部門批準,任何單位和個人不得從事計算機病毒研究,不得購買、銷售、復制使用社會上來歷不明的檢測清除軟件。計算機病毒檢測清除軟件由計算機安全監察部門統一組織發放。
第五章 獎 懲 第三十三條 對安全管理工作有顯著貢獻或成績的單位和個人,計算機安全監察部門給予表彰。
第三十四條 對違反規定,有下列行為之一的單位、直接責任人或其他人員,計算機安全監察部門可處以警告、通報批評、責令停機整頓、吊銷其《許可證》:
一、違反審批制度增設或更換設備、裝置的;
二、不到計算機安全監察部門進行登記的;
三、違反系統安全管理制度,危害系統安全的;
四、在二十四小時內不報告系統發生的安全事故、事件或違法行為的;
五、故意輸入計算機病毒以及其他有害數據的;
六、拒絕、阻礙計算機安全監察部門實施安全檢查的;
七、經計算機安全監察部門通知在限期內仍不采取措施改進安全狀況的;
八、其他危害系統安全的。
第三十五條 對違反本規定,有下列行為之一的,計算機安全監察部門可視情節給予警告,罰款(對個人罰款最高不超過5千元;對單位罰款最高不超過1萬5千元;對非法所得可按1—3倍的標準進行罰款),沒收軟硬件產品、設備、裝置及其非法所得財物,構成犯罪的,依法追究刑事責任:
一、利用系統從事違法活動的;
二、未經計算機安全監察部門許可私自出售計算機安全產品,散發有害的計算機軟件、硬件及其出版物的;
三、經計算機安全監察部門再次通知后仍不改進系統安全狀況,并對運輸生產有重大損害的;
四、非法截取、利用或出賣系統信息,有害于國家利益和安全的。
第三十六條 計算機安全監察部門采取的沒收、責令停機或停工等處罰,其損失自負。
第六章 附 則 第三十七條 系統安全保護中涉及安全管理、安全技術標準和信息保密的,除執行本辦法的規定外,還應當遵守國家有關法律、法規和規定。
第三十八條 本辦法由鐵道部公安局負責解釋。
第三十九條 本辦法自公布之日起施行。