浙江省信息安全等级保护管理办法
浙江省人民政府
浙江省信息安全等级保护管理办法
省政府令223号
《浙江省信息安全等级保护管理办法》已经省人民政府第77次常务会议审议通过,现予公布,自2007年1月1日起施行。
省长 吕祖善
二○○六年九月三十日
浙江省信息安全等级保护管理办法
第一章总则
第一条为加强和规范信息安全等级保护管理,提高信息安全保障能力,维护国家安全、公共利益和社会稳定,促进信息化建设,根据国家有关规定,结合本省实际,制定本办法。
第二条本省行政区域内建设、运营、使用信息系统的单位,均须遵守本办法。
第三条本办法所称信息安全等级保护,是指按国家规定对需要实行安全等级保护的各类信息的存储、传输、处理的信息系统进行相应的等级保护,对信息系统中发生的信息安全突发公共事件实行分等级响应和处置的安全保障制度。
第四条本办法所称信息,是指通过信息系统进行存储、传输、处理的语言、文字、声音、图像、数字等资料。
本办法所称信息系统,是指由计算机、信息网络及其配套的设施、设备构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的运行体系。
第五条信息安全等级保护应当遵循分级实施、明确责任、确保安全的原则;重点保障基础信息网络和重要信息系统各类信息的安全性和信息处理的连续性。
信息系统应当按照信息安全等级保护的要求,实行同步建设、动态调整、谁运行谁负责的原则。
第六条县级以上人民政府应当加强对信息安全等级保护工作的领导,把信息安全等级保护纳入信息化建设规划,协调、解决有关重大问题,建立必要的资金和技术的保障机制。
第七条县级以上人民政府公安、国家安全、保密、密码、信息化等行政主管部门应当按照国家和本办法规定,履行监督管理职责。
县级以上人民政府其他相关部门,应当按照职责分工,落实信息安全等级保护管理的责任,配合做好相关工作。
第二章等级保护的分级与实施
第八条根据信息系统承载的信息的重要性、业务处理对系统的依赖性以及系统遭到破坏后对经济、社会的危害程度,确定信息系统相应的保护等级。
信息系统的保护等级分为以下五级:
(一)信息系统承载的信息涉及公民、法人和其他组织的权益,信息系统遭到破坏后,业务可以直接用其他方式替代处理,对公民、法人和其他组织的权益有一定影响,但不损害国家安全、社会秩序、经济建设和公共利益的,为一级保护,由运营单位自主保护;
(二)信息系统承载的信息直接涉及公民、法人和其他组织的权益,信息系统遭到破坏后,会影响业务的正常处理,并对国家安全、社会秩序、经济建设和公共利益造成一定损害的,为二级保护,由运营单位在信息安全等级保护工作监管部门的指导下进行保护;
(三)信息系统承载的信息涉及国家、社会和公共利益,信息系统遭到破坏后,会严重影响业务的正常处理,并对国家安全、社会秩序、经济建设和公共利益造成较大损害的,为三级保护,由运营单位在信息安全等级保护工作监管部门的监督下进行保护;
(四)信息系统承载的信息直接涉及国家、社会和公共利益,信息系统遭到破坏后,业务无法正常处理,并对国家安全、社会秩序、经济建设和公共利益造成严重损害的,为四级保护,由运营单位按照信息安全等级保护工作监管部门的强制要求进行保护;
(五)信息系统承载的信息直接关系国家安全、社会稳定、经济建设和运行,信息系统遭到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害的,为五级保护,由运营单位在国家指定的专门部门、专门机构的专控下进行保护。
第九条信息系统的建设、运营、使用单位,应当按照国家有关技术规范、标准和本办法第八条规定自行选定其信息系统相应的保护等级。
基础信息网络和重要信息系统的保护等级,建设单位应当在信息系统规划设计时,按照本办法第十条规定报经审定。
第十条基础信息网络和重要信息系统保护等级,实行专家评审制度。
省、设区的市信息化行政主管部门应当分别建立省、市信息系统保护等级专家评审组,并分别组织对关系全省和关系全市的基础信息网络和重要信息系统的保护等级进行审定。申报与审定的具体细则,由省信息化行政主管部门会同省公安部门制定,并报省人民政府备案。
第十一条对于包含多个子系统的信息系统,应当根据各子系统的重要程度分别确定保护等级。
第十二条信息系统建设完成后,其运营、使用单位应当按照国家有关技术规范和标准进行安全测评,符合要求的,方可投入使用。
第十三条信息系统投入运行或者系统变更之日起三十日内,运营、使用单位应当将信息系统保护等级选定或者审定情况报所在地县级以上人民政府公安部门备案。备案的具体细则由省公安部门制定。
信息系统涉及国家秘密的,运营、使用单位应当按照有关保密法律、法规、规章的规定执行。
第十四条信息系统的运营、使用单位,应当按照国家有关技术规范和标准,建立信息安全等级保护管理制度,落实安全保护责任,采取相应的安全保护措施,切实保障信息系统正常安全运行。
第十五条信息系统的运营、使用单位,应当建立信息系统安全状况日常检测工作制度,加强对信息系统的日常维护和安全管理,及时消除安全隐患,确保信息的安全和系统的正常运行。
基础信息网络和重要信息系统的运营、使用单位,应当按照国家有关技术规范和标准,每年对系统的信息安全状况进行一次全面的测评,也可以委托有相应资质的单位进行安全测评。
第十六条信息系统发生信息安全突发公共事件时,应当根据事件的可控性、地域影响范围和信息系统遭到破坏的严重程度,实行分级响应和应急处置。分级响应和应急处置按照省有关网络与信息安全应急预案的规定执行。
通信基础网络发生突发公共事件时,应当按照省有关通信保障应急预案的规定执行。
第三章监督管理
第十七条县级以上人民政府公安部门依法对运营、使用信息系统的单位的信息安全等级保护工作实施监督管理,并做好下列工作:
(一)督促、指导信息安全等级保护工作;
(二)监督、检查信息系统运营、使用单位的安全等级保护管理制度和技术措施的落实情况;
(三)受理信息系统保护等级的备案;
(四)依法查处信息系统运营、使用单位和个人的违法行为;
(五)信息安全等级保护的其他相关工作。
第十八条保密工作部门依照职责分工,依法做好下列工作:
(一)督促、指导涉及国家秘密的信息安全等级保护工作;
(二)受理涉及国家秘密的信息系统保护等级的备案;
(三)依法查处信息泄密、失密事件;
(四)信息安全等级保护中涉及国家秘密的其他相关工作。
第十九条密码管理部门应当按照职责分工依法做好相关工作,加强对涉及密码管理的信息安全等级保护工作的监督、检查和指导,查处信息安全等级保护工作中违反密码管理的行为和事件。
第二十条信息化行政主管部门应当加强对信息安全等级保护工作的指导、服务、协调和管理,并做好下列工作:
(一)指导、协调信息安全等级保护工作;
(二)组织制定信息安全等级保护工作规范;
(三)组织专家审定信息系统的保护等级;
(四)为相关单位提供信息安全等级保护的有关资讯和技术咨询;
(五)根据预案规定,组织落实信息安全突发公共事件的应急处置工作;
(六)信息安全等级保护的其他相关工作。
第二十一条信息系统建设、运营、使用单位,应当按照国家和本办法有关规定,开展信息安全等级保护工作,接受有关部门的指导、检查和监督管理。
信息系统运营、使用单位,在运营、使用中发生信息安全突发公共事件、泄密失密事件的,应当按照应急预案要求,及时采取有效措施,防止事态扩大,并立即报告有关主管部门,配合做好应急处置工作。
第四章法律责任
第二十二条违反本办法规定的行为,有关法律、法规已有行政处罚规定的,从其规定。
第二十三条信息系统运营、使用单位违反本办法规定,不建立信息系统保护等级或者自行选定的保护等级不符合国家有关技术规范和标准的,由公安部门责令限期改正,并给予警告;逾期拒不改正的,处一千元以上二千元以下罚款。
第二十四条信息系统运营、使用单位违反本办法第十二条、第十三条第一款规定的,由公安部门责令限期改正,并给予警告;逾期不改正的,处二千元罚款。
第二十五条信息系统运营、使用单位违反本办法第十四条规定,未建立信息安全等级保护管理制度、落实安全保护责任和措施的,由公安部门责令限期改正,并给予警告;
逾期拒不改正的,对经营性的处五千元以上五万元以下罚款,对非经营性的处二千元罚款。
第二十六条违反本办法第十五条第一款规定,信息系统运营、使用单位未建立信息系统安全状况日常检测工作制度的,由公安部门责令限期改正,并给予警告;逾期拒不改正的,处一千元以上二千元以下罚款。
违反本办法第十五条第二款规定,基础信息网络与重要信息系统的运营、使用单位,未定期对系统的信息安全状况进行测评的,由公安部门责令限期改正,并给予警告;逾期拒不改正的,对经营性的处二千元以上二万元以下罚款,对非经营性的处二千元罚款。
第二十七条信息系统运营、使用单位违反本办法第二十一条第二款规定的,由县级以上人民政府信息化行政主管部门责令改正,给予警告,对经营性的并处五千元以上三万元以下罚款,对非经营性的并处二千元罚款;涉及泄密、失密的,按照有关保密法律、法规、规章的规定处理。
第二十八条有关信息安全等级保护监管部门及其工作人员有下列行为之一的,由其主管部门或者监察部门对直接负责的主管人员和其他直接责任人依法给予行政或者纪律处分。
(一)未按照本办法规定履行监督管理职责的;
(二)违反国家和本办法规定审定信息系统保护等级的;
(三)违反法定程序和权限实施行政处罚的;
(四)在履行监督管理职责中,玩忽职守、滥用职权、徇私舞弊的;
(五)其他应当依法给予行政或者纪律处分的行为。
第二十九条违反本办法规定,构成犯罪的,依法追究刑事责任。
第五章附则
第三十条在本办法施行前已经建成的信息系统,运营、使用单位应当依照本办法规定建立相应的保护等级。
第三十一条本办法自2007年1月1日起施行。
地方政府规章、规定的纠错程序不能缺位
杨涛
闹得沸沸扬扬的宁夏银川出租车风波,终于以市政府停止执行“两个文件”的决定,得到平息,从8月3日早晨开始,银川市部分出租车已开始运营。人民网8月5日报道,在银川第五届国际摩托车旅游节招待酒会上,记者与银川市市长刘学军相遇。刘学军坦承:银川市的工作没做好,这几天他的压力非常大,晚上时常睡不好觉。
银川市的工作的确没有做好,市政府出台的《银川市城市客运出租汽车经营权有偿使用管理办法》、《银川市城市客运出租汽车更新管理规定》两个政府规定,都涉及公民的重大权益。而按照国务院规定,涉及人民群众切身利益的,一般应通过社会公示或听证会等形式听取意见和建议,银川市却从未向社会公示,也没有召开听证会。行政许可法规定,实施时必须有30天的准备期,而银川市从公布到实施只有四五天的时间。至于国务院规定的合法行政、合理行政、程序正当、高效便民等等对于依法行政的要求,银川市统统都没有兑现。刘学军说:“银川市出台出租车管理办法之前,曾进行过半年时间的调研,并派专门的工作组到全国部分大中城市取经。后来又征求社会上的意见,遗憾的是他们找的全是出租车公司的老板,没有听取身处第一线的出租车司机的意见,导致出台的管理办法和管理规定不符合实际,引起广大出租车司机强烈不满。”如果这也算是调研或听证,那只能说明要实现国务院依法行政的要求,单纯依靠地方政府的自觉是远远不够的,一些地方政府完全可以用“打擦边球”和做样子的方式来规避国务院的规定。
对于这么一个程序上不合法的地方政府规定,我们遗憾地看到,法律并没有给予相对人一个有效地启动对其纠错的程序。银川出租车风波虽然平息了,但它仍是遵循的是:受规定不利影响的相对人集体上访??媒体的连续报道??引起上级领导和社会各界的重视??地方政府主动终止规定的效力的非正常法律程序,这一带有强烈人治的程序使这一问题的解决带有偶然性、不确定性和非理性,也很难保证一些地方政府从中汲取什么教训,从而真正做到依法行政。
我国的《宪法》和《立法法》虽然都规定了地方人民代表大会常务委员会有权撤销本级人民政府制定的不适当的规章,但并没有规定社会团体、企业事业组织、公民对于地方政府规章、规定等规范性文件不服是否有权提起合法性审查,受理机关、受理时限、如何审查与对审查不服如何救济等等程序规定。而我们知道,地方人大会常委会对于地方政府规章、规定等规范性文件的审查是从备案中发现,是一种事后的监督,具有滞后性;而且地方人大会常委会与地方政府规章、规定等规范性文件所作的规定利益无关缺乏审查的强烈动机很难主动去审查,况且不是当事人也难以自行发现问题,这一切都让地方人大会常委会的审查有效性打上一个大大的折扣。实践中,几乎未有过地方人大会常委会主动撤销地方政府的规章这一事实正有力地说明了这一点。
在司法救济层面上,地方政府的规章、规定等规范性文件作为一种抽象行政行为,不具可诉性,这让受规章、规定不利影响的相对人的社会团体、企业事业组织、公民不能对其提起行政诉讼,不能得到司法救济。在行政救济层面上,《行政复议法》虽然规定,公民、法人或者其他组织认为行政机关的具体行政行为所依据的规定不合法,在对具体行政行为申请行政复议时,可以一并向行政复议机关提出对该规定的审查申请。但是,这只是一种事后救济,带有滞后性,这是一;其二是依规章、规定等规范性文件作出具体行政行为的一般是较低层次的政府部门,其无权审查,要提交制定的政府机关自行审查,时间就拖得相当长;其三是由制定规章、规定等规范性文件的行政机关来自行审查也缺乏公正性,很难做到自身纠错;最后,这一规定还特别说明“前款所列规定不含国务院部、委员会规章和地方人民政府规章。”,从而排除了对地方政府规章的审查。
受地方政府规章、规定等规范性文件不利影响的相对人的社会团体、企业事业组织、公民不能得以有效救济,地方政府规章、规定的违法没有有效纠错程序,相对人在体制内不能理性地表达其利益诉求,就只好采取非理性的体制外的表达??集体上访等方式,以求得到上级政府和公众的重视,从而引发社会的动荡与不稳定。
宁夏银川出租车风波的解决不应成为我们处理地方政府规章、规定的违法的范例,寻求制度上的突破是我们应当思考的重点。从法律角度思考,出路有二条:一是法律应该规定社会团体、企业事业组织以及公民有权对于地方政府规章、规定等规范性文件向地方人大常委会提出合法性审查,并制定出比较可行的细则,让审查有公开、公正的程序,并且对审查结果不服还能再次提交上级人大常委会审查,否则即使《立法法》规定了社会团体、企业事业组织以及公民认为行政法规、地方性法规、自治条例和单行条例同宪法或者法律相抵触的,可以向全国人民代表大会常务委员会书面提出进行审查的建议,全国人大常委会法工委也在前不久成立法规备案审查室,但仍收效甚微;二是将地方政府规章、规定等规范性文件的抽象行政行为列入可诉性范围,受规章、规定不利影响的相对人的社会团体、企业事业组织、公民可以对其向人民法院提起行政诉讼,要求对其进行司法审查,得到司法救济。
通联:江西省赣州市人民检察院 杨涛 华东政法学院法律硕士 邮编:341000
tao1991@tom.com
tao9928@tom.com