第二章 计算机应用单位的安全管理
第六条 计算机应用单位应当建立和完善计算机信息系统安全保障体系。
计算机信息系统安全保障体系包括技术安全管理和安全组织管理。技术安全管理包括计算机信息系统实体安全、软件安全、输入输出控制和网络安全的管理以及安全稽核、风险分析等内容;安全组织管理包括建立安全组织和健全各种安全管理制度及制定应急计划等内容。
市主管部门应当监督、指导计算机应用单位建立和完善计算机信息系统安全保障体系。
第七条 市主管部门应当根据计算机应用单位的行业特点,会同市政府有关主管部门发布计算机安全管理行业技术规范,计算机应用单位的安全保障体系不得低于该行业技术规范的最低安全要求。
第八条 计算机应用单位应当确定计算机安全管理责任人。
安全管理责任人应当履行下列职责:
(一)组织宣传计算机安全管理方面的法律、法规和有关政策;
(二)拟定并组织实施本单位计算机安全管理的各项规章制度;
(三)定期组织检查计算机信息系统安全运行情况,及时排除各种安全隐患;
(四)负责组织安全稽核;
(五)负责组织本单位计算机从业人员的安全教育和培训;
(六)发生安全事故或计算机犯罪案件时,立即向市主管部门报告并采取妥善措施,保护现场,避免危害的扩大。
本规定所称的安全事故是指计算机信息系统中出现的因人为或自然因素造成的具有社会危害性的事件;所称的计算机犯罪案件是指针对或利用计算机信息系统的犯罪案件。
第九条 计算机应用单位应当按照计算机安全管理行业技术规范要求,配备计算机安全技术人员。
计算机安全技术人员应履行下列职责:
(一)执行本单位计算机安全管理的各项规章制度;
(二)按照计算机安全管理行业技术规范要求对计算机信息系统安全运行情况进行检查测试,及时排除各种安全隐患;
(三)发生安全事故或计算机犯罪案件时,应当立即向本单位安全管理责任人报告或直接向市主管部门报告,并采取妥善措施,保护现场,避免危害的扩大。
计算机安全技术人员必须经过市主管部门许可的安全技术培训,考核合格后持证上岗。合格证有效期为二年。
