中华人民共和国铁道部令(第10号) 铁路计算机信息系统安全保护办法(2004年2号)
中华人民共和国铁道部令
第 10 号
《铁路计算机信息系统安全保护办法》已经2003年7月11日铁道部部长办公会议通过,现予公布,自2003年9月1日起施行。
部 长 刘志军
二○○三年七月十五日
铁路计算机信息系统安全保护办法
第一章 总 则
第一条 为了保护铁路计算机信息系统安全,促进计算机的应用和发展,保障铁路运输和现代化建设顺利进行,根据《中华人民共和国计算机信息系统安全保护条例》的规定,制定本办法。
第二条 本办法适用于铁路系统的机关、企业、事业单位及铁路计算机信息系统的延伸点。
第三条 本办法所称的计算机信息系统,是指由计算机及其相关和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
第四条 铁路计算机信息系统安全保护工作的主要任务是:提高铁路计算机信息系统的整体安全水平,保障铁路运输安全。
第五条 铁路计算机信息系统的安全保护工作,是铁路运输安全保护工作的组成部分,应贯彻“预防为主、综合治理、人员防范和技术防范相结合”的方针,逐级建立安全保护责任制,加强制度建设,逐步实现科学化、规范化管理。
第六条 铁道部公安局主管铁路计算机信息系统安全保护工作,各铁路(含铁路工程、铁道建筑)公安局、处应明确信息网络安全监察机构,负责计算机信息系统安全保护工作。
第二章 安全监督
第七条 铁路公安机关对铁路计算机信息系统安全保护工作行使下列监督职权:
(一)督促计算机信息系统的管理部门和使用单位执行国家有关计算机信息安全法律、法规和规定,依法对其安全保护工作进行监督、检查和指导;
(二)负责对新建、改建和扩建铁路计算机信息系统的安全保护措施进行备案;
(三)负责检查、指导铁路计算机信息系统的安全技术措施;
(四)负责计算机信息系统安全员的培训;
(五)负责计算机信息系统安全专用产品使用的审核;
(六)负责监督、检查计算机信息系统安全管理制度的落实;
(七)组织计算机病毒防治和通报疫情;
(八)查处和侦破危害铁路计算机信息系统安全的事故和案件;
(九)负责奖励和处罚;
(十)办理有关铁路计算机信息系统安全管理手续;
(十一)组织计算机信息系统安全检查、检测工作;
(十二)组织计算机信息系统安全知识的培训和宣传工作。
第八条 铁路公安机关负责辖区内的计算机网络国际联网安全保护监督管理工作。
第九条 铁路公安机关发现影响计算机信息系统安全隐患时,要及时通知使用单位采取安全措施,限期整改。
第十条 铁路公安机关信息网络安全监察人员必须持铁路计算机安全监察证方可上岗工作。监察证由铁道部公安局签发。
第十一条 铁路公安基层段、所队应当协助信息网络安全监察机构,做好计算机信息系统安全保护工作。在特殊情况下,经上级铁路公安机关批准,可行使有关计算机安全监察职权。
第三章 安全保护
第十二条 计算机信息系统安全保护工作实行“谁主管,谁负责,谁经营,谁负责”的原则。使用、管理计算机信息系统的单位(部门)要建立计算机信息系统安全管理组织并设立安全员,负责本单位(部门)的计算机信息系统安全保护工作,其职责是:
(一)确定本单位计算机信息系统的安全保护策略,建立健全安全管理制度;
(二)完善和落实计算机信息系统安全措施,实现内部网与外部网的物理隔离,严禁一机两用;
(三)配合公安机关办理有关计算机信息系统安全保护管理手续;
(四)严格管理计算机信息系统资源,建立计算机信息系统资源台账;
(五)严格管理系统管理员;
(六)建立与公安机关的通报联系制度,定期向铁路公安信息网络安全监察部门报告计算机信息系统安全情况;
(七)对造成损失并影响运输安全、计算机信息系统安全的案件、事故及违法行为,在12小时内报告铁路公安机关,并保护现场及有关资料,协助开展调查,处理责任者。
第十三条 计算机信息系统安全员必须经过铁路公安机关培训,经考试取得培训合格证书后方可上岗。
第十四条 进行国际联网的个人、单位,必须严格执行国家、铁道部有关规定。
第十五条 计算机机房的建设应当符合国家和铁道部的有关规定。
第十六条 重要部门的计算机机房应当制定严格的出入制度,未经主管部门批准的人员,不得接触和使用信息处理设备和媒体。
第十七条 铁路各单位和部门在新建、改建、扩建计算机系统前应当将计算机系统安全保护方案报铁路公安机关备案。
第十八条 重要部门的计算机信息系统需要对外联网或提供服务时,在报上级主管部门批准的同时,应当报铁路公安机关备案。
第十九条 各单位和部门使用的计算机信息系统安全专用产品,必须是经国家有关部门许可的产品,未经许可的产品不得使用。
第二十条 联网的计算机必须配置防病毒工具进行实时监控和检测。
第二十一条 重要计算机信息系统应设置双路双机冗余,实行封闭运行,制定应急方案,确保系统在发生意外情况后能够迅速恢复正常。
第二十二条 所有的计算机信息系统资产要严格执行登记使用制度,并建立完整的设备台账及设备档案,定期进行清查。
第二十三条 对信息处理的各个环节和流程要有安全保护和安全控制措施,防止被人非法利用、更改、损害和泄露。
第二十四条 计算机设备使用和信息存取权,按工作需要原则授予,任何人不得越权使用。
第二十五条 连接重要计算机信息系统的计算机不得存储与工作无关的程序和数据。存储介质和文件资料要严格执行安全保密制度,并设专人、专柜妥善保管。未经主管领导批准,不得随意利用、修改、复制和外借。
第二十六条 使用、管理计算机的单位要做好日常数据和软件备份,对新引用的软件和外来数据必须进行安全检测,确认无误再投入正常运行。
第二十七条 重要计算机信息系统应当建立完善的计算机信息系统日志,根据信息的重要程度设定保存时间,最短不少于60天。
第四章 法律责任
第二十八条 违反本办法,有下列行为之一的,由公安机关处以警告:
(一)逾期不到公安机关办理有关计算机信息系统安全管理手续的;
(二)发生计算机信息系统案件、事故或违法行为,在12小时内不报告的;
(三)违反计算机信息系统国际联网备案制度的;
(四)接到整改通知书后,不按期进行整改的;
(五)拒绝、阻碍铁路公安机关依法实施计算机信息系统安全检查、监督的;
(六)有危害计算机信息系统安全的其他行为的。
第二十九条 计算机信息系统存有严重安全隐患或违法犯罪嫌疑证据,需要技术检验核实的或者发生重大计算机信息系统安全事故或违法犯罪案件,需要保护现场或取证的,由公安机关采取措施保全证据。
第三十条 故意制作、传播计算机病毒及其他有害数据的,由公安机关对个人处以5000元以下罚款、对单位处以15000元以下罚款。
第三十一条 违反本办法,应给予行政处罚的,由铁路公安机关依照《行政处罚法》规定的程序给予行政处罚。
第三十二条 铁路公安机关对违反本办法给予行政罚款处罚的,应当实行罚款决定与罚款收缴相分离的制度。铁路公安机关应当确定罚款代收机构,由公安机关出具处罚决定文书,被处罚人到代收银行自行缴纳罚款。
第三十三条 铁路公安机关实施行政处罚,使用公安部制发的《行政处罚决定书》。按照《行政处罚法》第四十八条规定,经当事人提出,由铁路公安机关当场收缴罚款的,铁路公安机关应当向当事人出具财政部指定的收据。
第三十四条 违反本办法、构成犯罪的,依照刑法的有关规定追究刑事责任。
第三十五条 对铁路公安机关依照本办法作出的行政处罚不服的,可以依法向上一级铁路公安机关申请复议或向人民法院提起行政诉讼。
第三十六条 因计算机信息系统安全保护工作不落实,导致发生危害后果的单位,除处罚直接责任者外,还要追究单位主要领导的责任。
第三十七条 铁路公安信息网络安全监察部门、人员违反本办法规定,由上一级铁路公安机关依法处罚。
第五章 附 则
第三十八条 本办法所称“重要部门”、“重要计算机信息系统”、“计算机事故及违法行为”另行规定。
第三十九条 中国铁路工程总公司、中国铁道建筑总公司应当适用本办法。
第四十条 本办法由铁道部负责解释。
第四十一条 本办法自2003年9月1日起施行。铁道部《铁路计算机信息系统安全保护办法》(铁公安〔1998〕74号)同时废止。