重点单位管理

 

法律依据

　  《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》、《金融机构计算机信息系统安全保护工作暂行规定》、《广东省电子交易条例》、《广东省计算机信息系统安全保护管理规定》、《广东省计算机信息系统安全保护管理规定实施细则》，《广东省电子商务认证机构资格认定和年审管理办法（暂行）》和《广东省电子交易服务提供商登记备案管理办法》等。

安全措施一般性规定

　  一、单位和个人应当对其所有、使用和管理的计算机信息系统承担相关的安全保护责任。

　  二、计算机信息系统使用单位应当确定计算机安全管理责任人，建立健全安全保护制度，落实安全保护技术措施，保障本单位计算机信息系统安全，并协助公安机关做好安全保护管理工作。

　  提供电子公告、个人主页等信息服务的使用单位，应当设立信息审查员，负责信息审查工作。

　  三、计算机信息系统使用单位应当建立并执行以下安全保护制度：

　  （一）计算机机房安全管理制度；

　  （二）安全管理责任人、信息审查员的任免和安全责任制度； 

　  （三）网络安全漏洞检测和系统升级管理制度；

　  （四）操作权限管理制度；

　  （五）用户登记制度；

　  （六）信息发布审查、登记、保存、清除和备份制度，信息群发服务管理制度。

　  四、计算机信息系统使用单位应当落实以下安全保护技术措施：

　  （一）系统重要部分的冗余或备份措施；

　  （二）计算机病毒防治措施；

　  （三）网络攻击防范、追踪措施；

　  （四）安全审计和预警措施；

　  （五）系统运行和用户使用日志记录保存60日以上措施；

　  （六）记录用户主叫电话号码和网络地址的措施；　 

　  （七）身份登记和识别确认措施；

　  （八）信息群发限制和有害数据防治措施。

　  五、对计算机信息系统中发生的案件和重大安全事故，使用单位应当采取应急措施，保留有关原始记录，在24小时内向当地县级以上人民政府公安机关报告。　 

　  六、提供接入服务和信息服务以及主机托管、虚拟主机、网站和网页信息维护等其他服务的单位应当和用户在合同中明确双方的计算机信息系统安全保护责任。提供服务的单位应当承担与其提供服务直接相关的安全保护义务。

　　 七、网吧、社区、学校、图书馆、宾馆等提供上网服务的场所和互联网运营单位应当落实相应的安全措施，安装已取得《计算机信息系统安全专用产品销售许可证》的安全管理系统。

　  八、计算机信息系统使用单位和个人为了保护计算机信息系统的安全，可以与安全服务机构明确服务项目和要求，建立相对稳定的服务关系。

重点安全保护单位范围

　  计算机信息系统的安全保护工作，重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。下列计算机信息系统使用单位为重点安全保护单位：

　  一、县级以上国家机关、国防单位；

　  二、银行、证券、能源、交通、邮电通信单位；

　  三、国家及省重点科研、教育单位；

　  四、国有大中型企业；

　  五、互联单位、接入单位及重点网站；

　  六、向公众提供上网服务的场所。

重点安全保护单位的安全措施

　  除落实安全措施的一般性规定外，还应落实以下的措施：

　  一、计算机安全管理责任人和信息审查员应当参加县级以上人民政府公安机关认可的安全技术培训，并取得安全技术培训合格证书。

　  二、计算机信息系统及计算机机房安全保障体系的设计、建设和检测应当由有安全服务资质的机构承担。

　  三、安全设计方案应当报公安机关网监部门备案。

　  四、计算机信息系统及计算机机房应当由有安全服务资质的机构检测合格后，方可投入使用。

　  五、安全检测结论应当报地级以上市公安机关网监部门。

　  六、公安机关网监部门对重点安全保护单位计算机信息系统的安全检查，每年不应少于一次。

 电子政务安全

　  一、安全措施

　  （一）政务内网和政务外网物理隔离措施，外网与互联网采取逻辑隔离措施；

　  （二）电子政务外网统一的数字证书认证体系；

　  （三）电子政务安全信任机制和授权管理机制； 

　  （四）信息网络安全责任制； 

　  （五）应急处理和灾难恢复机制； 

　  （六）数据信息的存取访问控制机制； 

　  （七）信息审计跟踪机制； 

　  （八）计算机病毒防范机制； 

　  （九）信息安全等级保护规范； 

　  （十）信息采集、发布、维护程序，信息安全教育制度；

　  （十一）信息安全工作人员上岗资格认定和年度审查制度等。

　  二、涉及国家秘密的电子政务应用系统的建设必须经地级以上保密、机要、公安和电子政务主管部门审查批准，经地级以上公安部门进行系统的安全检测和安全审验，并按保密规定进行管理。

 电子商务安全

　  除落实重点安全保护单位安全措施外，还应落实以下措施：

　  一、电子签名安全

　  （一）鼓励在电子交易活动中使用安全的电子签名签订电子合同。

　  （二）安全的电子签名应当具备下列条件：

　  1、该数字签名是通过数字证书中与公钥相对应的私钥产生，并可以通过公钥加以证实的；

　  2、数字证书是由依法成立的具有认证资格的电子商务认证机构签发的；

　  3、该数字签名是在数字证书有效期内签署的。

　  以安全的电子签名方式签署的电子记录为安全的电子记录

　  二、电子商务认证机构安全

　  （一）安全检测

　  电子商务认证机构应当具有经国家密码管理机构批准设立的密钥管理中心和经公安部门检验证明是安全、可靠的技术和设备。

　  在向省信息产业厅申请资格认定前须经省公安厅或其授权的单位对认证系统安全检测合格。

　  （二）安全年检

　  在向省信息产业厅申请年审前，须经省公安厅或其授权的单位对认证系统年度安全检测合格。

 金融机构计算机信息系统安全

　  除落实重点安全保护单位安全措施外，还应落实以下措施：

　  一、安全保护的责任人

　  （一）金融机构的主要负责人为本单位计算机信息系统安全保护工作的第一责任人；

　  （二）成立计算机信息系统安全保护领导小组、专职部门和专兼职安全管理人员等协助。

　  二、通报联系制度

　  同公安机关计算机管理监察部门建立的通报联系制度。

　  三、安全防范设施

　  （一）计算机主机房的构筑防护设施

　  1、主机房在建筑内应为独立区域；

　  2、主机房周围100米内不得有危险建筑， 如：加油站、煤气站等；

　  3、主机房必须按照有关标准配置防火、防水、防盗设施并和当地公安机关110联网，以便报警；

　  4、对不能停机的主机房必须采用双回路供电，或者配置发电机、持续工作八小时以上的UPS等设施。

　  （二）计算机信息系统及其相关的配套设备的技术防护设施：

　  1、计算机设备接地和防雷电设施；

　  2、要害部位监控设备和值班监视制度；

　  3、对不能停机的计算机的信息系统备份；

　  4、重要的通讯控制装置及通讯线备份；

　  5、网络通讯设施安全技术措施。

　  四、安全防范管理

　  （一）安全保护组织和安全管理人员

　  1、中国人民银行和各政策性银行、商业银行设立专职的计算机信息系统安全管理人员；

　  2、县级以上金融机构成立计算机信息系统安全保护领导小组，由分管领导任组长，并确定专职部门负责日常保护工作；

　  3、领导小组名单应当报同级人民银行和公安机关备案；

　  4、专职部门接受公安机关计算机管理监察部门的工作指导和监督；

　  5、金融基层单位应当设立专职或者兼职计算机信息系统安全管理人员。

　  （二）备案制度

　  记系统资源配置、技术人员备案和国际联网备案（报公安机关网监部门）。

　  （三）教育培训

　  法制教育、安全意识教育和技能训练以及安全管理人员安全知识培训制度。

　  （四）人员管理

　  1、安全防范工作岗位责任和检查考核制；

　  2、主要岗位工作人员录用、考核、调离制度；

　  3、人员调离时资料移交全部技术手册和口令、密钥更换，以及核心部分开发技术人员调离危害性的确认。

　  （五）机房管理

　  计算机主机房值班及人员出入管理登记等。

　  （六）操作权限

　  1、操作人员密码管理；

　  2、权限分散原则以及用户对数据的访问权限制度；

　  3、系统管理员、系统开发人员任职回避制度。

　  （七）系统分离

　  1、开发系统和业务系统分离制度；

　  2、生产机以及存放重要数据的计算机与国际互联网隔离。

　  （八）异地备份

　  系统、程序和重要数据异地备份制度。

　  （九）系统、介质、数据维护和处理

　  1、介质交换管理制度；

　  2、重要业务数据处理管理措施；

　  3、金融业务程序和系统参数修改审批制度；

　  4、重要数据设备修理监督；

　  5、新应用软件安装和记录制度；

　  6、废弃数据、介质处理制度。

　  （十）加密措施

　  1、重要通信加密措施；

　  2、密钥管理制度和紧急情况密钥销毁措施。

　  （十一）防病毒反黑客

　  1、定期病毒检查以及介质交换信息病毒预检；

　  2、联网设备防“黑客”制度。

　  （十二）日志文件

　  系统运行日志打印和保存制度。

法律责任

　  一、根据《中华人民共和国计算机信息系统安全保护条例》第二十条，有下列行为之一的，由公安机关处以警告或者停机整顿：

　  （一）违反计算机信息系统安全等级保护制度，危害计算机信息系统安全的；

　  （二）违反计算机信息系统国际联网备案制度的；

　  （三）不按照规定时间报告计算机信息系统中发生的案件的；

　  （四）接到公安机关要求改进安全状况的通知后，在限期内拒不改进的；

　  （五）有危害计算机信息系统安全的其他行为的。

　  二、根据《计算机信息网络国际联网安全保护管理办法》第二十一条，有下列行为之一的，由公安机关责令限期改正，给予警告，有违法所得的，没收违法所得；在规定的限期内未改正的，对单位的主管负责人员和其他直接责任人员可以并处五千元以下的罚款，对单位可以并处一万五千元以下的罚款；情节严重的，并可以给予六个月以内的停止联网、停机整顿的处罚，必要时可以建议原发证、审批机构吊销经营许可证或者取消联网资格。

　  （一）未建立安全保护管理制度的；

　  （二）未采取安全技术保护措施的；

　  （三）未对网络用户进行安全教育和培训的；

　  （四）未提供安全保护管理所需信息、资料及数据文件，或者所提供的内容不真实的；

　  （五）对委托其发布的信息内容未进行审核或者对委托单位和个人未进行登记的；

　  （六）未按照国家有关规定，删除网络地址、目录或者关闭服务器的；

　  （七）未建立公用帐号使用登记制度的；转借、转让用户帐号的。

　  三、根据《广东省计算机信息系统安全保护管理规定》第二十条，有下列行为之一的，可给予警告，并责令限期整改；逾期不改的，可以给予6个月以内停机整顿或者停止联网的处罚，并可对单位处以5000元以下罚款，对安全管理责任人处以500元以下罚款。国家另有规定的，从其规定。

　  （一）未按规定建立安全保护制度的；

　  （二）未按规定落实安全保护技术措施的；

　  （三）计算机信息系统及计算机机房未按国家有关规定和国家标准进行安全保护设计和建设的；

　  （四）重点安全保护单位计算机安全管理责任人和信息审查员未经县级以上人民政府公安机关认可的安全技术培训并取得合格证书的；

　  （五）重点安全保护单位将本单位计算机信息系统及计算机机房安全保障体系的设计、建设和检测交由未具有安全服务资质的机构承担的，或者未经有安全服务资质的机构检测合格即投入使用的。

　  四、根据《广东省计算机信息系统安全保护管理规定》第二十一条，计算机信息系统使用单位对计算机信息系统中发生的重大安全事故，未在规定时间内报告公安机关的，可处以警告或者停机整顿。