第十条 计算机应用单位使用的计算机信息系统安全专用产品必须符合国家有关技术规范或经过专业检测机构检测不低于本行业计算机安全管理技术规范中的最低安全要求。
前款所称的计算机信息系统安全专用产品是指用于保护计算机信息系统安全的专用硬件和软件产品。
市主管部门应当定期发布通告,公布合格的计算机信息系统安全专用产品目录。
第十一条 计算机应用单位发现计算机信息系统中发生安全事故或计算机犯罪案件时,应当在二十四小时内向市主管部门报告。
第十二条 计算机信息系统发生突发性事件,可能危及公共安全时,市主管部门有权对计算机应用单位采取暂停联网、停机检查等应急措施。但应当事先协同计算机应用单位做好安全保护工作。
第三章 计算机信息系统安全检测
第十三条 计算机应用单位的计算机信息系统在建成后应当进行为期六个月的试运行。在试运行期间,必须由专业检测机构进行安全保障体系检测。检测合格的,由市主管部门发放计算机信息系统安全检测合格证;检测不合格的,应当按照计算机安全管理行业技术规范要求进行改进。
计算机信息系统达不到最低安全要求的,不得正式启用。
第十四条 计算机信息系统安全保障体系检测应包括以下内容:
(一)计算机安全管理责任人和安全技术人员;
(二)安全管理制度和安全稽核制度;
(三)计算机硬件性能和机房环境;
(四)计算机系统软件、应用软件和数据库的安全性;
(五)技术安全措施;
(六)技术测试情况。
各行业计算机信息系统安全保障体系的安全要求,由市主管部门会同市有关行业主管部门制定后发布。
第十五条 计算机应用单位的计算机信息系统,每年必须由专业检测机构进行一次安全保障体系检测,检测合格的,由市主管部门发放计算机信息系统安全保障体系年检合格证;检测不合格的,应当按照计算机安全管理行业技术规范要求进行改进。
计算机信息系统达不到最低安全要求的,不得继续使用。
