北京市人民政府令
第163號
《北京市公共服務網路與資訊系統安全管理規定》已經2005年11月9日市人民政府第45次常務會議審議通過,現予公佈,自2006年1月1日起施行。
市長 王岐山
二〇〇五年十一月十一日
北京市公共服務網路與資訊系統安全管理規定
第一條 為加強本市公共服務網路與資訊系統(以下簡稱網路與資訊系統)的安全管理,根據國家有關規定,結合本市實際情況,制定本規定。
第二條 本市網路與資訊系統的建設和運作維護單位(以下簡稱運營單位)應當做好網路與資訊系統安全工作,保障網路與資訊系統安全可靠運營。
本規定所稱公共服務網路與資訊系統,是指由本市行政機關和企事業單位為社會提供的政務、交通、醫療衛生、供水、供電、供氣、供熱、通信、廣播電視以及其他公共服務的網路與資訊系統。
第三條 市和區、縣信息化主管部門對本行政區域內的網路與資訊系統安全工作負責綜合協調和監督管理。
公安、國家安全和品質技術監督等政府有關部門,按照各自職責分工,依法對網路與資訊系統安全相關工作實施監督管理。
第四條 運營單位應當加強對本單位網路與資訊系統的安全管理,做好下列工作:
(一)明確網路與資訊系統安全工作的主管負責人和主管機構,並配備具有相應能力的工作人員;
(二)建立健全網路與資訊系統安全管理責任制,制定管理制度和操作規程,並定期檢查落實情況;
(三)保障網路與資訊系統安全的資金投入;
(四)定期進行網路與資訊系統安全教育和培訓。
第五條 市信息化主管部門應當會同政府有關部門統一規劃和組織建設本市網路與資訊系統的安全測評、電子認證、災難備份和應急處理等安全基礎設施。
第六條 本市對網路與資訊系統實行安全等級保護。
網路與資訊系統安全等級分為五級:
(一)第一級為自主保護級,由運營單位進行自主保護;
(二)第二級為指導保護級,由運營單位在有關主管部門的指導下進行保護;
(三)第三級為監督保護級,由運營單位在備案監督部門的監督下進行保護;
(四)第四級為強制保護級,由運營單位在備案監督部門的強制下進行保護;
(五)第五級為專控保護級,由運營單位在備案監督部門的專控下進行保護。
第七條 運營單位應當按照安全等級保護制度的管理規範和技術標準確定本單位網路與資訊系統的安全等級,並根據安全等級保護制度的要求進行建設。
網路與資訊系統安全等級確定為第三級、第四級、第五級的,運營單位應當將安全等級確定情況報送備案。其中,涉及電子政務的網路與資訊系統運營單位,應當報市信息化主管部門備案;其他的運營單位應當報市公安部門備案。
市信息化主管部門、市公安部門應當在30日內對備案單位的網路與資訊系統安全等級確定情況進行評估,並提出審查意見。
第八條 運營單位選用網路與資訊系統相關安全産品或者選擇安全測評、電子認證等服務時,應當符合國家和本市有關網路與資訊系統安全管理的技術規範。
使用財政資金投資建設的網路與資訊系統選用安全産品和服務時,應當依法實行政府採購。
第九條 運營單位應當依據網路與資訊系統安全管理要求,對資訊系統和資訊數據進行備份。
第十條 運營單位應當制定網路與資訊系統安全事件應急預案,並定期進行演練。
市和區、縣人民政府有關行政主管部門應當組織制定相關行業的網路與資訊系統安全事件應急預案,組織、協調有關單位做好應急預案的落實工作。
第十一條 發生網路與資訊系統安全事件後,運營單位應當迅速採取措施降低損害程度,防止事件擴大,保存相關記錄,並按規定要求及時向同級信息化主管部門報告。
第十二條 本市組建資訊安全應急救援服務體系,為發生資訊安全事件的單位提供救援服務。資訊安全應急救援服務組織應當公佈救援電話,在接到救援請求時,及時提供救援服務。
第十三條 運營單位違反本規定,有下列情形之一的,由市或者區、縣信息化主管部門責令限期改正,給予警告,視情節輕重處3萬元以下罰款:
(一)違反本規定第四條規定,未按要求建立並落實安全管理制度的;
(二)違反本規定第九條規定,未按要求對資訊系統和資訊數據進行備份的;
(三)違反本規定第十條第一款規定,未按要求制定網路與資訊系統安全事件應急預案的;
(四)違反本規定第十一條規定,對網路與資訊系統安全事件情況隱瞞不報、謊報或者拖延不報的。
行政機關違反前款規定的,市或者區、縣信息化主管部門可以對責任單位給予通報批評;造成重大損失的,由上級主管部門或者監察機關依法追究責任單位主要負責人和有關責任人員的行政責任。
第十四條 對於有危害公共安全、國家安全、洩露國家秘密以及其他違反法律、法規和規章規定行為的,由公安、國家安全、保密以及其他監督管理部門依法處理;構成犯罪的,依法追究刑事責任。
第十五條 國家和本市對涉及國家秘密、國家安全的網路與資訊系統有特殊規定的,從其規定。
第十六條 本規定自2006年1月1日起施行。