广东省深圳市人民政府


深圳经济特区计算机信息系统公共安全管理规定

　　（1998年7月17日深圳市人民政府令第75号发布，根据2004年8月26日深圳市人民政府令第135号修订）

第一章 总 则

　　第一条 为了保障深圳经济特区（以下简称特区）计算机信息系统安全，维护计算机信息系统公共秩序，促进社会稳定，根据特区实际，制定本规定。
　　第二条 特区内下列计算机信息系统应用单位（以下简称计算机应用单位）的计算机信息系统公共安全管理（以下简称计算机安全管理），适用本规定：
　　（一）计算机信息网络经营、服务单位的计算机信息系统；
　　（二）国家机关用于存储、处理、传输公用信息和机密资料的计算机信息系统；
　　（三）金融、证券和公共事业单位的计算机信息系统；
　　（四）国防建设、尖端科学技术和国家重点经济建设单位的计算机信息系统；
　　（五）其他对社会公共利益有重大影响的计算机信息系统。
　　第三条 本规定所称计算机信息系统，是指由计算机及其相关和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
　　第四条 深圳市人民政府公安机关是特区计算机安全管理工作的行政主管部门（以下简称市主管部门）。其所属的计算机安全管理部门具体承担本规定规定的计算机安全管理工作。
　　其他有关政府职能部门，在各自职责范围内配合市主管部门，做好计算机安全管理的有关工作。
　　第五条 市主管部门应积极开展计算机信息系统安全宣传教育和学术交流，指导计算机信息系统安全技术行业协会的活动；为计算机应用单位提供计算机信息系统安全保障体系技术服务。

第二章 计算机应用单位的安全管理

　　第六条 计算机应用单位应当建立和完善计算机信息系统安全保障体系。
　　计算机信息系统安全保障体系包括技术安全管理和安全组织管理。技术安全管理包括计算机信息系统实体安全、软件安全、输入输出控制和网络安全的管理以及安全稽核、风险分析等内容；安全组织管理包括建立安全组织和健全各种安全管理制度及制定应急计划等内容。
　　市主管部门应当监督、指导计算机应用单位建立和完善计算机信息系统安全保障体系。
　　第七条 市主管部门应当根据计算机应用单位的行业特点，会同市政府有关主管部门发布计算机安全管理行业技术规范，计算机应用单位的安全保障体系不得低于该行业技术规范的最低安全要求。
　　第八条 计算机应用单位应当确定计算机安全管理责任人。
　　安全管理责任人应当履行下列职责：
　　（一）组织宣传计算机安全管理方面的法律、法规和有关政策；
　　（二）拟定并组织实施本单位计算机安全管理的各项规章制度；
　　（三）定期组织检查计算机信息系统安全运行情况，及时排除各种安全隐患；
　　（四）负责组织安全稽核；
　　（五）负责组织本单位计算机从业人员的安全教育和培训；
　　（六）发生安全事故或计算机犯罪案件时，立即向市主管部门报告并采取妥善措施，保护现场，避免危害的扩大。
　　本规定所称的安全事故是指计算机信息系统中出现的因人为或自然因素造成的具有社会危害性的事件；所称的计算机犯罪案件是指针对或利用计算机信息系统的犯罪案件。
　　第九条 计算机应用单位应当按照计算机安全管理行业技术规范要求，配备计算机安全技术人员。
　　计算机安全技术人员应履行下列职责：
　　（一）执行本单位计算机安全管理的各项规章制度；
　　（二）按照计算机安全管理行业技术规范要求对计算机信息系统安全运行情况进行检查测试，及时排除各种安全隐患；
　　（三）发生安全事故或计算机犯罪案件时，应当立即向本单位安全管理责任人报告或直接向市主管部门报告，并采取妥善措施，保护现场，避免危害的扩大。
　　第十条 计算机应用单位使用的计算机信息系统安全专用产品必须符合国家有关技术规范或经过专业检测机构检测不低于本行业计算机安全管理技术规范中的最低安全要求。
　　前款所称的计算机信息系统安全专用产品是指用于保护计算机信息系统安全的专用硬件和软件产品。
　　市主管部门应当定期发布通告，公布合格的计算机信息系统安全专用产品目录。
　　第十一条 计算机应用单位发现计算机信息系统中发生安全事故或计算机犯罪案件时，应当在24小时内向市主管部门报告。
　　第十二条 计算机信息系统发生突发性事件，可能危及公共安全时，市主管部门有权对计算机应用单位采取暂停联网、停机检查等应急措施。但应当事先协同计算机应用单位做好安全保护工作。

第三章 计算机信息系统安全检测

　　第十三条 计算机信息系统安全保障体系检测应包括以下内容：
　　（一）计算机安全管理责任人和安全技术人员；
　　（二）安全管理制度和安全稽核制度；
　　（三）计算机硬件性能和机房环境；
　　（四）计算机系统软件、应用软件和数据库的安全性；
　　（五）技术安全措施；
　　（六）技术测试情况。
　　各行业计算机信息系统安全保障体系的安全要求，由市主管部门会同市有关行业主管部门制定后发布。
　　第十四条 专业检测机构在检测时应当保障计算机应用单位生产、教学、科研和经营等活动的正常进行，并保守其商业秘密。
　　计算机应用单位对专业检测机构检测结论有异议的，可要求市主管部门组织复检。
　　第十五条 计算机应用单位对计算机信息系统进行设备更新或改造时，对安全保障体系产生直接影响的，应当由专业检测机构对受影响的部分进行检测，确保其不低于最低安全要求。
　　第十六条 市主管部门认为计算机应用单位存在安全隐患时，可委托专业检测机构对其安全保障体系进行检测。发现问题的，由市主管部门责令应用单位限期按照计算机安全管理行业技术规范要求进行改进。
　　第十七条 依本规定进行的计算机信息系统安全保障体系检测、计算机信息系统安全专用产品最低安全要求检测，由市主管部门核准的具有检测资格的专业检测机构承担。
　　专业检测机构应按照计算机安全管理行业技术规范进行检测，其出具的检测报告应真实、客观、公正、完整。
　　计算机信息系统安全保障体系检测报告副本由专业检测机构报市主管部门备案。

第四章 计算机信息安全和有害数据管理

　　第十八条 计算机应用单位应当制订信息安全管理制度，并对信息进行安全稽核，防止信息被非法增加、删除、修改或复制。
　　第十九条 计算机应用单位管理和发布的信息应当具有真实性、完整性和可靠性。
　　第二十条 计算机应用单位应建立计算机信息系统数据备份制度，按照计算机安全管理行业技术规范要求对备份数据进行保存。
　　第二十一条 任何单位和个人认为计算机信息系统对其合法权益造成侵害的，可以向市主管部门或其他有关主管部门投诉。
　　市主管部门或其他有关主管部门认为投诉反映的问题可能损害公共安全的，应当进行调查核实；发现计算机应用单位存在安全隐患的，应当责令其改正。
　　第二十二条 任何单位和个人不得从事制造、故意传播计算机病毒和其他有害数据的活动；不得举办有关计算机病毒机理的讲座或培训班。
　　教学单位在从事教学活动时，不得讲授制造计算机病毒的方法。
　　第二十三条 市主管部门负责发布重大计算机病毒疫情。其他单位和个人不得以任何方式发布计算机病毒疫情。
　　第二十四条 计算机应用单位在有害数据管理工作中应当履行下列职责：
　　（一）制定并落实专门的计算机病毒和其他有害数据的管理制度；
　　（二）计算机软、硬件使用前，应当进行计算机病毒和其他有害数据检测；
　　（三）定期进行计算机病毒和其他有害数据检测，发现计算机病毒和其他有害数据，应当及时清除；
　　（四）发现不能清除的计算机病毒，应当采取保护措施，并在24小时内取样本报送市主管部门；
　　（五）协助市主管部门追查计算机病毒来源。
　　第二十五条 制造、销售、出租、维修、商业性赠送各类计算机产品的单位或个人，其产品应经过检测，不得携带有计算机病毒和其他有害数据。

第五章 计算机信息网络公共秩序管理

　　第二十六条 计算机信息网络经营单位申请从事国际联网经营活动的，应当向有权受理从事国际联网经营活动申请的互联单位主管部门或主管单位申请领取国际联网经营许可证；计算机信息网络服务单位申请从事国际联网非经营活动的，应当报经有权受理从事非经营活动申请的互联单位主管部门或主管单位审批。
　　凡通过物理通信信道与境外计算机信息系统进行联网的计算机信息系统的使用者，在联网开通、联网方式变更或终止联网之日起30日内，均应书面告知市主管部门，相应的计算机信息网络经营、服务单位应当予以协助。
　　第二十七条 计算机应用单位的计算机信息系统与国际联网，必须采取有关行业技术规范规定的安全保护措施。
　　第二十八条 凡使用公用帐号进行计算机信息系统联网的单位，均应建立公用帐号使用管理制度。
　　经营性开放式机房的管理单位应当建立使用者登记管理制度。
　　第二十九条 任何单位和个人，不得从事下列活动：
　　（一）利用计算机信息网络制作、传播、复制有害信息；
　　（二）非法侵入计算机信息网络；
　　（三）违反国家规定，对计算机信息系统功能进行增加、删除、修改、干扰，影响计算机信息系统正常运行；
　　（四）违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行增加、删除、修改、复制等；
　　（五）非法窃取计算机信息系统中的信息资源；
　　（六）未经授权查阅他人电子邮箱；
　　（七）冒用他人名义发送电子邮件；
　　（八）故意干扰计算机信息网络畅通；
　　（九）从事其它危害计算机信息系统安全的活动。
　　第三十条 计算机信息网络经营、服务单位应当负责本网络的信息安全和公共秩序安全，履行下列职责：
　　（一）制订安全管理制度，对本网络用户进行安全教育；
　　（二）落实安全技术措施，保障本网络的运行安全和其发布的信息安全；
　　（三）建立电子公告系统的信息审核制度，发现反动、黄色等有害信息，应当及时删除；
　　（四）发现本规定第二十九条中各类情况时应当保留有关稽核记录，并立即向市主管部门报告；
　　（五）配合市主管部门对网上违法活动的查处工作。
　　第三十一条 市主管部门应当对计算机信息网络的公共秩序状况进行经常性监测，发现危害公共秩序的事件应及时处理，以维护计算机信息网络公共秩序的安全。

第六章 法律责任

　　第三十二条 违反本规定，有下列行为之一的，由市主管部门责令改正，并可处
　　10000元以下罚款：
　　（一）计算机应用单位未按规定确定计算机安全责任人或配备计算机安全技术人员的；
　　（二）计算机应用单位发现本单位计算机信息系统中的安全事故或计算机犯罪案件，在24小时内未向市主管部门报告的；
　　（三）计算机应用单位使用不合格计算机信息系统安全专用产品的；
　　（四）计算机应用单位未建立计算机信息系统安全保障体系的；
　　（五）计算机信息系统经检测未达到本行业计算机安全管理技术规范中的最低安全要求而擅自使用的；
　　（六）计算机应用单位未按规定进行计算机病毒和其他有害数据检测，造成损害的；
　　（七）使用公用帐号进行计算机信息系统联网的单位，未建立公用帐号使用管理制度的；
　　（八）经营性开放式机房的管理单位未建立使用者登记管理制度的；
　　（九）计算机信息网络经营、服务单位未建立电子公告系统信息审核制度的；
　　（十）计算机信息网络经营、服务单位发现本规定第二十九条中各类情况未保留有关稽核记录，或未向市主管部门报告的。
　　第三十三条 计算机应用单位的安全责任人或安全技术人员不履行本规定规定的职责，造成安全事故或重大损害的，由市主管部门予以警告，并可建议其所在单位给予纪律或经济处分；情节严重的，依法追究刑事责任。
　　第三十四条 专业检测机构违反本规定，在检测报告中弄虚作假的，由市主管部门责令改正；情节严重的，取消其检测资格。
　　专业检测机构违反本规定，未能保守计算机应用单位商业秘密，致使其合法权益遭受侵害的，依法承担法律责任，并由市主管部门取消其检测资格。
　　第三十五条 计算机应用单位信息安全管理制度不完善，致使信息被非法增加、删除、修改或复制，造成损失的，由市主管部门予以警告。
　　第三十六条 违反本规定，有下列行为之一的，由市主管部门予以警告、责令其停止违法行为，并可对单位处50000元以下罚款，对个人处5000元以下罚款；有违法所得的，可处以违法所得一至三倍的罚款；情节严重的，依法追究刑事责任：
　　（一）从事制造、故意传播计算机病毒和其他有害数据活动的；
　　（二）擅自举办有关计算机病毒机理的讲座、培训班的；
　　（三）擅自向社会发布计算机病毒疫情的；
　　（四）制造、销售、出租、维修、商业性赠送的计算机产品中携带有计算机病毒和其他有害数据的。
　　第三十七条 违反本规定第二十六条规定的，由市主管部门予以警告，责令停止联网，对经营单位可并处15000元以下罚款，对使用者可并处1000元以下罚款；有违法所得的，可处以违法所得一至三倍的罚款。
　　第三十八条 违反本规定第二十九条规定的，由市主管机关给予警告，并可对单位处50000元以下罚款，对个人处5000元以下罚款；有违法所得的，可处以违法所得一至三倍的罚款。
　　第三十九条 计算机应用单位的计算机信息系统存在重大安全隐患，在市主管部门规定的期限内未进行改进，继续运行可能严重影响计算机信息系统安全的，由市主管部门处以停机整顿。

第七章 附 则

　　第四十条 本规定自发布之日起施行。




国家质量监督检验检疫总局


认证证书和认证标志管理办法


国家质量监督检验检疫总局令
（第63号）

　　《认证证书和认证标志管理办法》经2004年4月30日国家质量监督检验检疫总局局务会审议通过，现予公布，自2004年8月1日起施行。


　　　　　局长　李长江
　　　　　二00四年六月二十三日


认证证书和认证标志管理办法



　第一章　总则



　　第一条　为加强对产品、服务、管理体系认证的认证证书和认证标志（以下简称认证证书和认证标志）的管理、监督，规范认证证书和认证标志的使用，维护获证组织和公众的合法权益，促进认证活动健康有序的发展，根据《中华人民共和国认证认可条例》（以下简称条例）等有关法律、行政法规的规定，制定本办法。

　　第二条　本办法所称的认证证书是指产品、服务、管理体系通过认证所获得的证明性文件。认证证书包括产品认证证书、服务认证证书和管理体系认证证书。
　　本办法所称的认证标志是指证明产品、服务、管理体系通过认证的专有符号、图案或者符号、图案以及文字的组合。认证标志包括产品认证标志、服务认证标志和管理体系认证标志。

　　第三条　本办法适用于认证证书和认证标志的制定、发布、备案、使用和监督检查。

　　第四条　国家认证认可监督管理委员会（以下简称国家认监委）依法负责认证证书和认证标志的管理、监督和综合协调工作。
　　地方质量技术监督部门和各地出入境检验检疫机构（以下统称地方认证监督管理部门）按照各自职责分工，依法负责所辖区域内的认证证书和认证标志的监督检查工作。

　　第五条　禁止伪造、冒用、转让和非法买卖认证证书和认证标志。


　第二章　认证证书



　　第六条　认证机构应当按照认证基本规范、认证规则从事认证活动，对认证合格的，应当在规定的时限内向认证委托人出具认证证书。

　　第七条　产品认证证书包括以下基本内容：
　　（一）委托人名称、地址；
　　（二）产品名称、型号、规格，需要时对产品功能、特征的描述；
　　（三）产品商标、制造商名称、地址；
　　（四）产品生产厂名称、地址；
　　（五）认证依据的标准、技术要求；
　　（六）认证模式；
　　（七）证书编号；
　　（八）发证机构、发证日期和有效期；
　　（九）其他需要说明的内容。

　　第八条　服务认证证书包括以下基本内容：
　　（一）获得认证的组织名称、地址；
　　（二）获得认证的服务所覆盖的业务范围；
　　（三）认证依据的标准、技术要求；
　　（四）认证证书编号；
　　（五）发证机构、发证日期和有效期；
　　（六）其他需要说明的内容。

　　第九条　管理体系认证证书包括以下基本内容：
　　（一）获得认证的组织名称、地址；
　　（二）获得认证的组织的管理体系所覆盖的业务范围；
　　（三）认证依据的标准、技术要求；
　　（四）证书编号；
　　（五）发证机构、发证日期和有效期；
　　（六）其他需要说明的内容。

　　第十条　获得认证的组织应当在广告、宣传等活动中正确使用认证证书和有关信息。获得认证的产品、服务、管理体系发生重大变化时，获得认证的组织和个人应当向认证机构申请变更，未变更或者经认证机构调查发现不符合认证要求的，不得继续使用该认证证书。

　　第十一条　认证机构应当建立认证证书管理制度，对获得认证的组织和个人使用认证证书的情况实施有效跟踪调查，对不能符合认证要求的，应当暂停其使用直至撤销认证证书，并予以公布；对撤销或者注销的认证证书予以收回；无法收回的，予以公布。

　　第十二条　不得利用产品认证证书和相关文字、符号误导公众认为其服务、管理体系通过认证；不得利用服务认证证书和相关文字、符号误导公众认为其产品、管理体系通过认证；不得利用管理体系认证证书和相关文字、符号，误导公众认为其产品、服务通过认证。


　第三章　认证标志



　　第十三条　认证标志分为强制性认证标志和自愿性认证标志。
　　自愿性认证标志包括国家统一的自愿性认证标志和认证机构自行制定的认证标志。
　　强制性认证标志和国家统一的自愿性认证标志属于国家专有认证标志。
　　认证机构自行制定的认证标志是指认证机构专有的认证标志。

　　第十四条　强制性认证标志和国家统一的自愿性认证标志的制定和使用，由国家认监委依法规定，并予以公布。

　　第十五条　认证机构自行制定的认证标志的式样（包括使用的符号）、文字和名称，应当遵守以下规定：
　　（一）不得与强制性认证标志、国家统一的自愿性认证标志或者已经国家认监委备案的认证机构自行制定的认证标志相同或者近似；
　　（二）不得妨碍社会管理秩序；
　　（三）不得将公众熟知的社会公共资源或者具有特定含义的认证名称的文字、符号、图案作为认证标志的组成部分（如使用表明安全、健康、环保、绿色、无污染等的文字、符号、图案）；
　　（四）不得将容易误导公众或者造成社会歧视、有损社会道德风尚以及其他不良影响的文字、符号、图案作为认证标志的组成部分；
　　（五）其他法律、行政法规，或者国家制定的相关技术规范、标准的规定。

　　第十六条　认证机构自行制定的认证标志应当自发布之日起30日内，报国家认监委备案。

　　第十七条　认证机构备案时应当提交认证标志的式样（包括使用的符号）、文字、名称、应用范围、识别方法、使用方法等其他情况的书面材料。
　　国家认监委应当自收到备案材料之日起30日内，依照本办法有关规定对认证机构提交的材料进行核查，对于符合本办法第十五条规定的，予以备案并公布；不符合的，告知其改正。

　　第十八条　认证机构应当建立认证标志管理制度，明确认证标志使用者的权利和义务，对获得认证的组织使用认证标志的情况实施有效跟踪调查，发现其认证的产品、服务、管理体系不能符合认证要求的，应当及时作出暂停或者停止其使用认证标志的决定，并予以公布。

　　第十九条　获得产品认证的组织应当在广告、产品介绍等宣传材料中正确使用产品认证标志，可以在通过认证的产品及其包装上标注产品认证标志，但不得利用产品认证标志误导公众认为其服务、管理体系通过认证。

　　第二十条　获得服务认证的组织应当在广告等有关宣传中正确使用服务认证标志，可以将服务认证标志悬挂在获得服务认证的区域内，但不得利用服务认证标志误导公众认为其产品、管理体系通过认证。

　　第二十一条　获得管理体系认证的组织应当在广告等有关宣传中正确使用管理体系认证标志，不得在产品上标注管理体系认证标志，只有在注明获证组织通过相关管理体系认证的情况下方可在产品的包装上标注管理体系认证标志。


　第四章　监督检查



　　第二十二条　国家认监委组织地方认证监督管理部门对认证证书和认证标志的使用情况实施监督检查，对伪造、冒用、转让和非法买卖认证证书和认证标志的违法行为依法予以查处。

　　第二十三条　国家认监委对认证机构的认证证书和认证标志管理情况实施监督检查。
　　认证机构应当对其认证证书和认证标志的管理情况向国家认监委提供年度报告。年度报告中应当包括其对获证组织使用认证证书和认证标志的跟踪调查情况。

　　第二十四条　境外认证标志所有人或者其授权的委托人可以向国家认监委办理境外认证标志备案。备案内容包括认证标志的式样（包括使用的符号）、文字、名称、应用范围、识别方法，认证标志持有人，以及使用变更等情况。
　　在中国境内设立的外商投资认证机构自行制定的认证标志应当按照本办法第十六条的规定办理备案。

　　第二十五条　认证机构应当公布本机构认证证书和认证标志使用等相关信息，以便于公众进行查询和社会监督。

　　第二十六条　任何单位和个人对伪造、冒用、转让和非法买卖认证证书和认证标志等违法、违规行为可以向国家认监委或者地方认证监督管理部门举报。


　第五章　罚则



　　第二十七条　违反本办法第十二条规定，对混淆使用认证证书和认证标志的，地方认证监督管理部门应当责令其限期改正，逾期不改的处以2万元以下罚款。
　　未通过认证，但在其产品或者产品包装上、广告等其他宣传中，使用虚假文字表明其通过认证的，地方认证监督管理部门应当按伪造、冒用认证标志、违法行为进行处罚。

　　第二十八条　违反本办法规定，伪造、冒用认证证书的，地方认证监督管理部门应当责令其改正，处以3万元罚款。

　　第二十九条　违反本办法规定，非法买卖或者转让认证证书的，地方认证监督管理部门责令其改正，处以3万元罚款；认证机构向未通过认证的认证委托人出卖或转让认证证书的，依照条例第六十二条规定处罚。

　　第三十条　认证机构自行制定的认证标志违反本办法第十五条规定的，依照条例第六十一条规定处罚；违反其他法律、行政法规规定的，依照其他法律、行政法规处罚。

　　第三十一条　认证机构发现其认证的产品、服务、管理体系不能持续符合认证要求，不及时暂停其使用认证证书和认证标志，或者不及时撤销认证证书或者停止其使用认证标志的，依照条例第六十条规定处罚。

　　第三十二条　认证机构未按照规定向社会公布本机构认证证书和认证标志使用等相关信息，责令限期改正，逾期不改的，予以警告。

　　第三十三条　伪造、冒用、非法买卖认证标志的，依照《中华人民共和国产品质量法》和《中华人民共和国进出口商品检验法》等有关法律、行政法规的规定处罚。


　第六章　附则



　　第三十四条　认证证书和认证标志的收费按照国家有关价格法律、行政法规的规定执行。

　　第三十五条　本办法由国家质量监督检验检疫总局负责解释。

　　第三十六条　本办法自2004年8月1日起施行。1992年2月10日原国家技术监督局发布的《产品质量认证证书和认证标志管理办法》和1995年9月21日原国家商检局发布的《进出口商品标志管理办法》中有关认证标志的部分规定同时废止。