杭州人大公报（总第22号） 公告 杭州市计算机信息网络安全保护管理条例 （2008年12月23日杭州市第十一届人民代表大会常务委员会第十二次会议通过 2009年4月1日浙江省第十一届人民代表大会常务委员会第十次会议批准） 负责本行政区域范围内计算机信息网络安全保护 第一章总则 管理工作。 第一条为加强计算机信息网络安全的保护 国家安全机关、保密工作部门、密码管理部 和管理，维护国家安全、公共利益和社会稳定，维 门、信息化行政主管部门、互联网新闻信息服务管 护公民、法人和其他组织的合法权益，促进信息化 理部门及其他有关行政主管部门，负责各自职责 建设的健康发展，根据《中华人民共和国计算机 范围内的计算机信息网络安全保护管理工作。 信息系统安全保护条例》、《中华人民共和国计算 第六条单位和个人依法使用计算机信息网 机信息网络国际联网管理暂行规定》、《互联网信 络的权利，受法律、法规和本条例保护。 息服务管理办法》等规定，结合本市实际，制定本 任何单位和个人不得利用计算机信息网络从 条例。 事危害国家安全、公共利益及社会秩序以及侵犯 第二条本条例所称的计算机信息网络，是 公民、法人和其他组织合法权益的活动，不得危害 指由计算机及其相关的和配套的设备、设施构成 计算机信息网络的安全。 的，按照一定的应用目标和规则对信息进行制作、 第二章 安全保护和管理 采集、加工、存储、传输、检索等处理的人机系统和 运行体系。 第七条计算机信息系统实行安全等级保护 计算机信息网络的安全，包括计算机信息系 制度。 统及互联网络的运行安全和信息内容的安全。 计算机信息系统的安全保护等级分为五个等 第三条杭州市行政区域内的计算机信息网 级。等级确定的原则、标准、各级别安全保护和管 络安全保护与管理活动，适用本条例。 理内容按照国家和省有关规定执行。 对涉及国家秘密的计算机信息系统（以下简 涉密信息系统应当根据国家等级保护的基本 称涉密信息系统）实行分级保护制度，按照国家 要求，按照国家保密工作部门有关涉密信息系统 保密法律法规和保密标准管理。惠 分级保护管理规定和技术标准，结合系统实际情 第四条计算机信息网络安全坚持“保护与 况进行保护。 管理并重”和“谁主管、谁负责，谁运营、谁负责” 第八条计算机信息系统的运营、使用单位 的原则。 作为安全等级保护的责任主体，应当按照国家有 第五条市公安局根据本条例规定主管全市 关管理规范、技术标准确定计算机信息系统的安 计算机信息网络安全保护管理工作。市公安局公 全保护等级。对新建、改建、扩建的计算机信息系 共信息网络安全监察分局具体负责全市计算机信 统，运营、使用单位应当在规划、设计阶段确定计 息网络安全保护管理工作。 算机信息系统的安全保护等级，并同步建设符合 各县（市）公安局和萧山区、余杭区公安分局 该安全保护等级要求的信息安全设施。 103 2009年/第3号 公告 第九条新建的第二级以上计算机信息系 （六）密钥、密码安全管理措施： 统，其运营、使用单位应当在系统投人运行后三十 （七）国家和省规定的其他安全保护技术措 日内到市公安局办理备案手续。已运行的第二级 施。 以上计算机信息系统，其运营、使用单位应当在安 第十三条计算机信息系统运营、使用单位 全保护等级确定后三十日内到市公安局办理备案 应当制定重大突发事件应急处置预案。发生重大 手续。 突发事件时，运营、使用单位应当按照应急处置预 第十条计算机信息系统运营、使用单位应 案的要求采取相应的处置措施，并服从公安机关 当建立计算机信息系统安全状况日常检测工作制 和国家指定的专门部门的调度。 度。 本条例所称的重大突发事件，是指有害信息 计算机信息系统运营、使用单位应当按照国 大范围传播、大规模网络攻击、计算机病毒疫情等 家有关管理规范和技术标准，定期对计算机信息 危害计算机信息系统安全的重大事件。 系统安全等级状况开展等级测评，对计算机信息 第十四条计算机信息系统中发生重大安全 系统安全状况、安全保护制度及措施的落实情况 事故的，计算机信息系统运营、使用单位应当在二 进行自查。经测评或者自查，计算机信息系统安 十四小时内向所在地公安机关报告，违反国家保 全状况未达到安全保护等级要求的，运营、使用单 密法规定泄露国家秘密的，应当向所在地保密工 位应当制定方案进行整改。 作部门报告，并保留有关原始记录。因计算机病 第十一条计算机信息系统运营、使用单位 毒等破坏性程序发生计算机信息系统瘫痪、程序 应当建立并落实以下安全保护制度： 和数据严重损坏等安全事故的，计算机信息系统 （一）安全责任制度和保密制度； 运营、使用单位还应当向所在地公安机关提供计 （二）核实、登记并及时更新用户注册信息制 算机病毒等破坏性程序的样本。 度; 公安机关、国家安全机关、保密工作部门对危 （三）信息发布审核、登记、保存、清除和备份 害计算机信息网络安全和涉嫌违法犯罪的活动依 制度； 法进行调查时，计算机信息系统运营、使用单位应 （四）信息网络安全教育和培训制度； 当依法如实提供有关信息、资料及数据文件。 （五）信息网络安全应急处置制度； 第十五条计算机信息系统的规划、建设、运 （六）违法案件报告和协助查处制度； 营和使用单位在计算机信息系统安全保护设施的 （七）国家和省规定的其他安全保护制度。 规划、建设中，应当依照国家信息安全等级保护管 第十二条计算机信息系统运营、使用单位 理规范和技术标准，使用符合国家有关规定并满 应当落实以下安全保护技术措施：联墅置 足计算机信息系统安全保护需求的信息安全产 （一）系统重要数据备份、容灾恢复措施； 品。 （二）计算机病毒等破坏性程序的防治措施； 第十六条信息安全服务机构应当按照有关 （三）系统运行和用户使用日志备份并保存 法律、法规和相关信息安全技术标准的规定提供 六十日以上的措施； 信息安全服务，并保守计算机信息系统的技术秘 （四）记录、监测网络运行状态和各种网络安 密。 全事件的安全审计措施； 信息安全服务机构发现、掌握危害计算机信 （五）网络安全隔离以及防范网络入侵、攻击 息网络安全的证据时，应当及时向所在地公安机 破坏等危害网络安全行为的措施； 关报告并提供所发现、掌握的计算机病毒等破坏 杭州人大公报（总第22号） 公告 性程序的样本。 复； （三）提供电子公告、网络游戏和其他即时通 第三章 公共秩序管理 信服务的，具有用户注册信息和发布信息审核功 第十七条计算机信息系统运营、服务单位 能，并如实登记向其申请开设上述服务的用户的 应当自网络联通之日起三十日内向所在地公安机 有效身份证明； 关备案。 （四）提供电子邮件和网上短信息服务的，具 第十八条互联网接人服务提供者及主机托 有信息群发限制措施，能够防范以群发方式发送 管、租赁和虚拟空间租用等互联网数据中心服务 伪造或者隐匿信息发送者真实标记的电子邮件或 提供者，应当建立并落实以下安全保护制度和安 者短信息； 全保护技术措施： （五）提供电子公告服务或其他交互式信息 （一）如实登记申请服务的用户基本情况、网 服务的，其计算机信息网络应当使用固定的互联 络应用种类和范围以及身份证明，每月将用户登 网网络地址。 记情况及所分配的网络地址等有关情况报所在地 前款所称的电子公告服务，是指在互联网上 公安机关备案； 以论坛、聊天室、留言板、博客等交互形式为上网 （二）依法与用户签订服务协议，明确双方应 用户提供信息发布条件的行为。 当承担的信息安全法律责任； 第二十条设立互联网上网服务营业场所的 （三）定期核查用户的网络应用种类和范围， 经营单位，应当在申领《网络文化经营许可证》之 发现用户的活动超出协议约定的应用种类和范围 前到所在地公安机关申请信息网络安全审核。互 的，应当及时予以纠正：发现传输的内容明显属于 联网上网服务营业场所经营单位变更营业场所或 本条例第二十三条规定情形的，应当立即停止传 者对营业场所进行改建、扩建的，应当事先经原审 输违法内容，保存相关记录，并向所在地公安机关 核机关同意。 报告。 互联网上网服务营业场所经营单位变更名 互联网接入服务提供者应当记录上网用户的 称、住所、法定代表人或者主要负责人、注册资本、 上网时间、用户账号、互联网网络地址或者域名、 网络地址或者终止经营活动的，应当依法到工商 主叫电话号码等信息。舞 行政主管部门办理变更登记或者注销登记，并到 第十九条互联网信息服务提供者应当建立 文化行政部门、公安机关办理有关手续或者备案。 信息审核制度，明确信息审核人员，发现属于本条 非经营性互联网上网服务提供单位应当自提 例第二十三条规定情形信息的，应当立即删除违 供上网服务之日起十五日内向所在地公安机关备 法内容，保存相关记录，并向所在地公安机关报 案，其法定代表人、营业场所、网络地址等发生变 告。涉及其他部门的，向有关主管部门报告。 更的，应当自变更之日起十五日内报原备案机关 互联网信息服务提供者应当建立并落实以下 备案。 安全保护制度和安全保护技术措施： 第二十一条互联网上网服务提供单位应当 （一）提供新闻、出版以及电子公告等服务 建立并落实以下安全保护制度和安全保护技术措 的，能够记录所发布信息的内容、时间及互联网网 施： 络地址或者域名，并留存六十日以上； （一）提供互联网上网服务的服务器应当使 （二）开办政务、新闻、重点商务网站的，能够 用固定的互联网网络地址； 防范网站、网页被篡改，发现被篡改后能够立即恢 （二）如实登记用户有效身份证明、上网时间 — 105 — 2009年/第3号 公告 等有关情况，登记记录应当保留六十日以上； 序的行为。 （三）安装具有防病毒、防入侵、防