云南省网络与信息系统安全监察管理规定

第一条 为了保护网络与信息系统安全，促进网络的应用和发展，根据《中华人民共和国计算机信息系统安全保护条例》和有关法律、法规，结合本省实际，制定本规定。第二条 县级以上人民政府领导和协调网络与信息系统安全工作。
县级以上公安机关主管本行政区域内网络与信息系统安全监察管理工作。
县级以上国家安全机关、国家保密工作部门、信息产业部门和其他有关部门，在各自职责范围内负责网络与信息系统安全管理的有关工作。第三条 对网络与信息系统实行安全等级保护制度。对下列单位涉及的基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全，实行重点保护：
（一）各级机关；
（二）银行、保险、证券等金融单位；
（三）邮政、电信单位；
（四）广播、电视、新闻出版单位；
（五）重点电力、煤炭、燃气、燃油等能源单位；
（六）航空、铁路和重点公路、水运等运输单位；
（七）水利及水源供给单位；
（八）重要物资储备单位；
（九）重点工程建设单位；
（十）大型工商、信息技术企业；
（十一）重点科研、教育机构；
（十二）医疗卫生、消防、紧急救援等社会应急服务机构；
（十三）需要实行重点保护的其他单位。第四条 重点保护的网络与信息系统应当达到下列安全保护要求：
（一）机房及外部环境、设备及媒体的安全应当符合有关法律、法规、规章和标准的要求；
（二）具备风险分析、备份与恢复、容灾应急等信息运行安全保护措施；
（三）具有操作系统安全、数据库安全、网络安全、病毒防护、访问控制等信息安全保护措施和防范非法侵入、攻击网络与信息系统的安全保护措施；
（四）使用具有《计算机信息系统安全专用产品销售许可证》等行政许可证件的网络与信息系统安全专用产品；
（五）设置网络与信息系统安全管理机构或者配备专职或者兼职网络与信息系统安全员，具体负责网络与信息系统安全保护工作。第五条 从事国际联网业务或者向公众提供上网服务的重点保护的网络与信息系统，除应当达到第四条规定的安全保护要求外，还应当达到下列安全保护要求：
（一）具有系统运行和用户使用日志记录保存60日以上的措施；
（二）具有记录用户主叫电话号码或者网络地址的措施；
（三）具有使用者身份登记和识别确认措施；
（四）具有垃圾邮件过滤、有害信息控制等安全防护措施；
（五）安装有国家规定的安全管理软硬件。第六条 重点保护的网络与信息系统使用单位应当建立以下安全保护制度：
（一）计算机机房安全管理制度；
（二）安全管理责任人的任免和安全责任制度；
（三）网络安全漏洞检测和安全系统升级管理制度；
（四）操作权限管理制度；
（五）用户登记制度；
（六）信息发布的审查、登记、保存、清除和备份制度；
（七）信息群发服务管理制度。第七条 重点保护的网络与信息系统配备的专职或者兼职网络与信息系统安全员应当取得国家认可的信息安全专业人员资格，未取得信息安全专业人员资格的，应当经过县级以上公安机关组织或者会同有关部门组织的专业培训，并考核合格。
网络与信息系统安全员实行年度专业考核制度。第八条 网络与信息系统安全集成，由具有网络与信息系统安全集成能力的单位承担。
从事重点保护的网络与信息系统安全集成的单位应当取得国家有关部门认可的集成资质，并配备适应安全集成需要、掌握相关网络与信息系统安全标准的技术人员。
网络与信息系统安全集成单位应当向州（市）以上公安机关备案，并接受公安机关的监督检查。第九条 安全集成单位在从事重点保护的网络与信息系统安全集成时，应当执行国家有关网络与信息系统安全保护的标准，在安全集成完成后及时将所有资料交网络与信息系统使用单位，并对安全集成系统的网络结构、配置以及在安全集成中获悉的国家秘密、商业秘密负有保密责任。禁止在安全集成的网络与信息系统中设置隐蔽信道。第十条 重点保护的网络与信息系统在新建、改建、扩建之前，使用单位应当将安全措施方案报有管辖权的公安机关备案。