浙江省杭州市人民政府


杭州市计算机信息系统安全保护管理办法

市政府令第211号



《杭州市计算机信息系统安全保护管理办法》已经2004年10月25日市人民政府第53次常务会议审议通过,现予公布,自2005年1月1日起施行。


代市长　孙忠焕　　　

二ＯＯ四年十一月三日


杭州市计算机信息系统安全保护管理办法

第一章　总　　则

　　第一条　为加强对计算机信息系统的安全保护,维护公共秩序和社会稳定,促进信息化的健康发展,根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》等规定,结合本市实际,制定本办法。
　　第二条　本办法所称的计算机信息系统,是指由计算机及其相关的和配套的设备、设施(含有线、无线等网络,下同)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统,包括互联网、局域网、移动网等。
　　第三条　杭州市行政区域范围内计算机信息系统的安全保护管理,适用本办法。
　　第四条　杭州市公安局主管全市计算机信息系统安全保护管理工作。
　　杭州市公安局公共信息网络安全监察分局具体负责市区范围内(萧山区、余杭区除外)计算机信息系统安全保护管理工作。
　　各县(市)公安局和萧山区、余杭区公安分局负责本行政区域范围内计算机信息系统安全保护管理工作。
　　国家安全机关、保密机关、信息化行政主管部门及政府其他有关职能部门,在各自职责范围内负责计算机信息系统安全保护管理的有关工作。
　　第五条　公安机关、国家安全机关、保密机关、信息化行政主管部门及政府其他有关职能部门,应当建立协调合作管理机制,共同做好计算机信息系统安全保护管理工作。
　　第六条　公安机关、国家安全机关、保密机关、信息化行政主管部门及政府其他有关职能部门在履行管理职责过程中,应当保护计算机信息系统使用单位和个人的合法权益,保守其秘密。
　　计算机信息系统使用单位和个人应当协助公安机关等有关职能部门做好计算机信息系统的安全保护管理工作。在公安机关等有关职能部门依法履行管理职责时,使用单位和个人应当如实提供本单位计算机信息系统的技术资料。
　　第七条　计算机信息系统的安全保护工作,重点维护下列涉及国家事务、公共利益、经济建设、尖端科学技术等重要领域和单位(以下简称重点安全保护单位)的计算机信息系统的安全:
　　(一)各级国家机关;
　　(二)金融、证券、保险、期货、能源、交通、社会保障、邮电通信及其他公用事业单位;
　　(三)重点科研、教育单位;
　　(四)有关国计民生的企业;
　　(五)从事国际联网的互联单位、接入单位及重点政务、商务、新闻网站;
　　(六)向公众提供上网服务的单位;
　　(七)互联网络游戏、手机短信转发、各类聊天室等互动栏目的开发、运营和维护单位;
　　(八)其他对社会公共利益有重大影响的计算机信息系统使用单位。

第二章　计算机信息系统使用单位的安全管理

　　第八条　计算机信息系统使用单位应当建立人员管理、机房管理、设备设施管理、数据管理、磁介质管理、输入输出控制管理和安全监督等制度,健全计算机信息系统安全保障体系,保障本单位计算机信息系统安全。
　　第九条　计算机信息系统使用单位应当确定本单位的计算机信息系统安全管理责任人。安全管理责任人应履行下列职责:
　　(一)组织宣传计算机信息系统安全保护管理方面的法律、法规、规章和有关政策;
　　(二)组织实施本单位计算机信息系统安全保护管理制度和安全保护技术措施;
　　(三)组织本单位计算机从业人员的安全教育和培训;
　　(四)定期组织检查计算机信息系统的安全运行情况,及时排除安全隐患。
　　第十条　计算机信息系统使用单位应当配备本单位的计算机信息系统安全技术人员。安全技术人员应履行下列职责:
　　(一)严格执行本单位计算机信息系统安全保护技术措施;
　　(二)对计算机信息系统安全运行情况进行检查测试,及时排除安全隐患;
　　(三)计算机信息系统发生安全事故或违法犯罪案件时,应立即向本单位报告,并采取妥善措施保护现场,避免危害的扩大;
　　(四)负责收集本单位的网络拓扑结构图及信息系统的其他相关技术资料。
　　第十一条　重点安全保护单位应当建立并执行以下安全保护管理制度:
　　(一)计算机机房安全管理制度;
　　(二)安全管理责任人、安全技术人员的安全责任制度;
　　(三)网络安全漏洞检测和系统升级管理制度;
　　(四)操作权限管理制度;
　　(五)用户登记制度;
　　(六)信息发布审查、登记、保存、清除和备份制度;
　　(七)信息保密制度;
　　(八)信息系统安全应急处置制度;
　　(九)其他相关安全保护管理制度。
　　第十二条　重点安全保护单位应当落实以下安全保护技术措施:
　　(一)系统重要部分的冗余措施;
　　(二)重要信息的异地备份措施和保密措施;
　　(三)计算机病毒和有害数据防治措施;
　　(四)网络攻击防范和追踪措施;
　　(五)安全审计和预警措施;
　　(六)信息群发限制措施;
　　(七)其他相关安全保护技术措施。
　　第十三条　重点安全保护单位的安全管理责任人和安全技术人员,应当经过计算机信息系统安全知识培训。
　　第十四条　重点安全保护单位应当对其主服务器输入输出数据进行24小时监控,发现异常数据应注意保护现场,并同时报告公安机关等有关职能部门。
　　第十五条　使用和销售计算机信息系统安全专用产品,必须是依法取得计算机信息系统安全专用产品销售许可证的产品。
　　进入本市销售计算机信息系统安全专用产品的销售单位,其销售产品目录应报市公安局备案。
　　市公安局应定期发布通告,公布合格的计算机信息系统安全专用产品目录。
　　保密技术专用产品的管理,按照国家和省、市的有关规定执行。
　　第十六条　计算机信息系统使用单位发现计算机信息系统中发生安全事故和违法犯罪案件时,应在24小时内向当地公安机关报告,并做好运行日志等原始记录的现场保留工作。涉及重大安全事故和违法犯罪案件的,未经公安机关查勘或同意,使用单位不得擅自恢复、删除现场。涉及其他管理部门法定职权的,公安机关应当在接到报告后及时通知有关部门。
　　第十七条　计算机信息系统发生突发性事件或存在安全隐患,可能危及公共安全或损害公共利益时,公安机关等有关职能部门应当及时通知计算机信息系统使用单位采取安全保护措施,并有权对使用单位采取暂停联网、停机检查、备份数据等应急措施,计算机信息系统使用单位应当予以配合。
　　突发性事件或安全隐患消除之后,公安机关等有关职能部门应立即解除暂停联网或停机检查措施,恢复计算机信息系统的正常工作。

第三章　计算机信息系统安全检测

　　第十八条　重点安全保护单位的计算机信息系统进行新建、改建、扩建的,其安全保护设计方案应报公安机关备案。
　　系统建成后,重点安全保护单位应进行1至6个月的试运行,并委托符合条件的检测机构对其系统进行安全保障体系检测,检测合格的,系统方能投入正式运行。重点安全保护单位应将检测合格报告书报公安机关备案。
　　涉密计算机信息系统的建设、检测等按照国家和省、市的有关规定执行。
　　第十九条　计算机信息系统安全保障体系检测包括以下内容:
　　(一)安全保护管理制度和安全保护技术措施的制定和执行情况;
　　(二)计算机硬件性能和机房环境;
　　(三)计算机系统软件和应用软件的可靠性;
　　(四)技术测试情况和其他相关情况。
　　市公安局应当根据计算机信息系统安全保护的行业特点,会同有关部门制定并公布重点行业计算机信息系统安全保障体系的安全要求规范。
　　第二十条　重点安全保护单位对计算机信息系统进行设备更新或改造时,对安全保障体系产生直接影响的,应当委托符合条件的检测机构对受影响的部分进行检测,确保其符合该行业计算机信息系统安全保障体系的安全要求规范。
　　第二十一条　重点安全保护单位应加强对计算机信息系统的安全保护,定期委托符合条件的检测机构对计算机信息系统进行安全保障体系检测,并将检测合格报告书报公安机关备案。对检测不合格的,重点安全保护单位应当按照该行业计算机信息系统安全保障体系的安全要求规范进行整改,整改后达到要求的,系统方能继续运行。
　　第二十二条　公安机关应当会同有关部门,按照国家有关规定和相关行业安全要求规范,对重点安全保护单位的计算机信息系统安全保障体系进行检查。检查内容包括:
　　(一)安全保护管理制度和安全保护技术措施的落实情况;
　　(二)计算机信息系统实体的安全;
　　(三)计算机网络通讯和数据传输的安全;
　　(四)计算机软件和数据库的安全;
　　(五)计算机信息系统安全审计状况和安全事故应急措施的执行情况;
　　(六)其他计算机信息系统的安全情况。
　　第二十三条　公安机关等有关职能部门发现重点安全保护单位的计算机信息系统存在安全隐患、可能危及公共安全或损害公共利益的,可委托符合条件的检测机构对其安全保障体系进行检测。经检测发现存在安全问题的,重点安全保护单位应当立即予以整改。
　　第二十四条　检测机构进行计算机信息系统安全检测时,应保障被检测单位各种活动的正常进行,并不得泄露其秘密。
　　检测机构应当严格按照国家有关规定和相关规范进行检测,并对其出具的检测报告承担法律责任。

第四章　计算机信息网络公共秩序管理

　　第二十五条　互联网络接入单位以及申请从事互联网信息服务的单位和个人,除应当按照国家有关规定办理相关手续外,还应当自网络正式联通之日起30日内到公安机关办理安全备案手续。
　　第二十六条　用户在接入单位办理入网手续时,应当填写用户备案表。接入单位应当定期将接入本网络的用户情况报当地公安机关备案。
　　第二十七条　设立互联网上网服务营业场所,应当按照《互联网上网服务营业场所管理条例》的规定向公安机关申请信息网络安全审核。经公安机关审核合格,发给互联网上网服务营业场所信息网络安全许可证明后,再向文化、工商部门办理有关审批手续。
　　互联网上网服务营业场所经营单位变更营业场所地址或者对营业场所进行改建、扩建,变更计算机数量或者其他重要事项的,应当经原审核机关同意。
　　互联网上网服务营业场所经营单位变更名称、住所、法定代表人或者主要负责人、注册资本、网络地址或者终止经营活动的,应当依法到工商行政管理部门办理变更登记或者注销登记,并到文化行政部门、公安机关办理相关手续。
　　第二十八条　互联网上网服务营业场所经营单位必须使用固定的IP地址联网,并按规定落实安全保护技术措施。
　　互联网上网服务营业场所经营单位应按规定对上网人员进行电子实名登记,登记内容包括姓名、身份证号码、上网起止时间,并应记录上网信息。登记内容和记录备份保存时间不得少于60日,在保存期内不得修改或者删除。
　　第二十九条　任何单位和个人不得从事下列危害计算机信息网络安全的活动:
　　(一)未经授权查阅他人电子邮箱,或者以赢利和非正常使用为目的,未经允许向第三方公开他人电子邮箱地址;
　　(二)故意向他人发送垃圾邮件,或者冒用他人名义发送电子邮件;(三)利用计算机信息网络传播有害手机短信;
　　(四)侵犯他人隐私、窃取他人帐号、进行网上诈骗活动;
　　(五)未经计算机信息网络所有者同意,扫描他人信息网络漏洞;
　　(六)利用计算机信息网络鼓动公众恶意评论他人或公开发布他人隐私,或者暗示、影射对他人进行人身攻击;
　　(七)其他危害计算机信息网络安全的行为。
　　第三十条　从事信息网络经营、服务的单位和个人应当遵守下列规定:
　　(一)制订安全保护管理制度,对本网络用户进行安全教育;
　　(二)落实安全保护技术措施,保障本网络的运行安全和其发布的信息安全;
　　(三)建立电子公告系统的信息审核制度,设立信息审核员,发现有害信息的,应在做好数据保存工作后及时删除;
　　(四)发现本办法第二十九条中各类情况时应保留有关稽核记录,并立即向公安机关报告;
　　(五)落实信息群发限制、匿名转发限制和有害数据防治措施;
　　(六)落实系统运行和上网用户使用日志记录措施;
　　(七)按公安机关要求报送各类接入状况及基础数据。
　　第三十一条　发现计算机信息网络传播病毒、转发垃圾邮件、转发有害手机短信或传播有害信息的,信息网络的经营、服务单位和个人应当采取技术措施予以防护和制止,并在24小时内向公安机关报告。
　　对不采取技术措施予以防护和制止的信息网络经营、服务单位和个人,公安机关有权责令其采取技术措施,或主动采取有关技术措施予以防护和制止。
　　第三十二条　公安机关应对计算机信息网络的安全状况、公共秩序状况进行经常性监测,发现危害信息安全和危害公共秩序的事件应及时进行处理,并及时通知有关单位和个人予以整改。

第五章　法律责任

　　第三十三条　违反本办法规定,有下列行为之一的,给予警告,责令限期改正,并可处以1000元以上10000元以下罚款;情节严重的,可以给予6个月以内停机整顿的处罚:
　　(一)计算机信息系统使用单位未建立安全保护管理制度或未落实安全保护技术措施,危害计算机信息系统安全的;
　　(二)计算机信息系统使用单位不按照规定时间报告计算机信息系统中发生的安全事故和违法犯罪案件,造成危害的;
　　(三)重点安全保护单位的计算机信息系统未经检测或检测不合格即投入正式运行的。
　　第三十四条　违反本办法规定,销售计算机信息系统安全专用产品未向公安机关备案的,给予警告,责令限期改正,并可处以200元以上2000元以下罚款。
　　第三十五条　违反本办法规定,接入单位或从事互联网信息服务的单位和个人不办理安全备案手续的,给予警告,责令限期改正,并可处以1000元以上5000元以下的罚款;情节严重的,可以给予6个月以内停机整顿的处罚。
　　第三十六条　违反本办法规定,未取得互联网上网服务营业场所信息网络安全许可证明从事互联网上网服务经营活动的,责令限期补办手续,并可处以1000元以上10000元以下的罚款。
　　第三十七条　有本办法第二十九条规定行为之一的,给予警告,责令限期改正,并可处以1000元以上5000元以下的罚款;情节严重的,可以给予6个月以内停机整顿的处罚。
　　第三十八条　违反本办法第三十条和第三十一条第一款规定的,给予警告,责令限期改正,并可处以1000元以上10000元以下的罚款;情节严重的,可以给予6个月以内停机整顿的处罚。
　　第三十九条　计算机信息系统使用单位的安全管理责任人和安全技术人员不履行本办法规定的职责,造成安全事故或重大损害的,给予警告,并可建议其所在单位按照相关规定给予其行政处分。
　　第四十条　对本办法规定的行政处罚,市区范围内(萧山区、余杭区除外)由市公安局公共信息网络安全监察分局负责;各县(市)和萧山区、余杭区范围内由各县(市)公安局和萧山区、余杭区公安分局负责。
　　第四十一条　对违反本办法规定的行为,涉及其他有关法律法规的,由有关部门依法予以处罚。对违反治安管理行为的,依照《中华人民共和国治安管理处罚条例》的规定给予处罚;构成犯罪的,依法追究刑事责任。
　　第四十二条　行政机关工作人员违反本办法规定,玩忽职守、滥用职权、徇私舞弊的,由其所在单位或有关部门按照有关规定给予其行政处分;构成犯罪的,由司法机关依法追究刑事责任。

第六章　附　　则

　　第四十三条　计算机信息系统的保密管理,按照国家有关规定执行。
　　第四十四条　市公安局可以根据本办法的规定,制定相关的实施细则。
　　第四十五条　本办法自2005年1月1日起施行。


财政部 国家计委 卫生部、国家中医药管理局


关于完善城镇医疗机构补偿机制落实补偿政策的若干意见

财社[2001]60号


　　各省、自治区、直辖市、计划单列市人民政府：

为进一步贯彻落实城镇医疗机构补偿机制改革有关政策，推动医疗机构改革，财政部、国家计委、卫生部、中医药局联合制定了《关于完善城镇医疗机构补偿机制 落实补偿政策的若干意见》。经国务院同意，现印发给你们，请认真遵照执行。
附件：关于完善城镇医疗机构补偿机制 落实补偿政策的若干意见

中华人民共和国财政部
中华人民共和国国家发展计划委员会
中华人民共和国卫生部
国家中医药管理局

二○○一年十月二十五日


关于完善城镇医疗机构补偿机制落实补偿政策的若干意见

为进一步贯彻《国务院办公厅转发国务院体改办等部门关于城镇医药卫生体制改革指导意见的通知》(国办发[2000]16号)，落实《关于印发〈关于卫生事业补助政策的意见〉的通知》(财社[2000]17号)、《国家计委 卫生部印发关于改革医疗服务价格管理的意见的通知》(计价格[2000]962号)、《关于印发医院药品收支两条线管理暂行办法的通知》(卫规财发[2000]229号）等文件精神，推动医疗机构改革，现就完善城镇医疗机构补偿机制，落实补偿政策提出如下意见：
一、逐步弱化药品收益对医院的补偿作用
（一）坚持和完善医院药品收支两条线管理办法。目前尚未实行药品收支两条线管理的地区，必须在2001年底以前开始实施。已经实施的地区，要进一步规范和完善有关药品收支结余的核定上交和合理及时返还的操作办法。
各地可根据本地实际情况，按当地综合医院、中医、民族医和部分专科医疗机构各类别医疗机构平均药品进销差价率（药品平均加成和平均折扣水平）扣除某类别医疗机构平均药事成本后合理确定该类别医疗机构药品收支结余上交水平。
（二）逐步降低药品收入占业务收入的比重。各地要按照“总量控制，结构调整”的原则，逐年降低医院药品收入占业务收入的比重。到2005年，有条件的地区城镇医院药品收入占业务收入的比重原则上降低到40％左右。对中医、民族医和部分专科医疗机构可适当放宽要求，但也要切实降低药品收入占业务收入的比重。各地卫生、财政、中医药部门要结合本地实际情况，认真测算合理确定降低医院药品收入占业务收入比重的具体目标，制定具体实施办法，按不同级别、不同类型医疗机构确定药品收入的具体比重，超过规定比重的药品收入一律上交，与药品收支结余资金统一使用。
（三）积极稳妥推进医院门诊药房改为药品零售企业的试点工作。各地要积极稳妥地推进医院门诊药房改为药品零售企业的试点工作，并制定具体规划。到2002年上半年以前，各省、自治区、直辖市要选择一至两个经济条件和医疗机构补偿政策落实比较好的地（市）级及以上的医院进行试点。有关部门要加强对试点工作的指导，积极研究解决试点过程中的有关问题，做好医疗和供药之间的衔接，使患者就医方便、用药安全，并及时总结试点经验，逐步推广。
二、落实医疗服务价格政策，完善医疗服务价格体系
各地要按照计价格962号文件的有关要求，依据医疗服务的社会平均成本，并结合市场供求状况及政府考虑的其他因素合理调整医疗服务指导价格。
（一）按照“总量控制，结构调整”的原则，认真分析测算医疗服务价格与社会平均成本的差距，抓紧制定调整医疗服务价格的具体规划。按照降低药品差价收益、控制医疗服务成本、减轻社会医药费用负担的原则，逐步提高技术劳务性服务价格，降低大型医疗设备检查服务价格。调整医疗服务价格与降低药品收益相同步，到2005年，有条件的地区力争基本实现按成本等因素确定医疗服务价格。
（二）按照有利于医疗机构竞争的原则，确定医疗服务指导价格的基准价和上下浮动幅度。要拉开不同级别医疗机构和不同水平医生之间的医疗服务价格差距，以引导患者自主选择医疗机构及医生，促进医疗服务质量、技术水平和医疗资源利用效率的提高。具体浮动幅度由各地根据实际情况制定，对特需医疗服务浮动幅度可适当放宽。
（三）建立健全医疗服务成本、价格监测体系，加强对医疗服务价格及成本构成要素的监测，为制定合理的医疗服务指导价格、建立灵敏的调整机制提供依据。
（四）在调整医疗服务价格时，要考虑和照顾中医、民族医的特点，以促进中医、民族医的发展。
三、进一步落实财政补助政策
各级政府要努力增加对卫生事业的投入，认真落实对政府举办的非营利性医疗机构的财政补助政策。
（一）在医疗服务价格未达到社会平均成本水平、药品收支结余返还款不足以弥补医疗成本时，同级财政对政府举办的非营利性医疗机构要给予补助。在调整医疗服务价格时期，财政补助总额不减少。随着医疗服务价格的提高，财政补助应逐步转为专项经费。
财政补助总额应按照同级部门预算中全部医疗机构医疗支出扣除医疗收入、药品收支结余返还款、其他收支结余、财政对医疗机构的离退休人员费用等社会保障补助后合理确定。
（二）对医疗机构房屋设备的修缮购置、就医环境改善、重点学科建设等专项经费，实行项目管理。项目预算根据卫生事业及医疗机构的发展规划、功能、任务和政府财力状况确定。经论证后的项目预算纳入财政预算支出项目库，逐年安排落实。
（三）在事业单位职工基本养老保险制度建立以前，医疗机构的离退休人员费用由财政专项安排，并实行财政集中支付。目前尚未将离退休人员费用纳入预算安排的，应尽快落实。
（四）逐步增加卫生基建投入，改善人民群众就医条件。各级政府要按照区域卫生规划要求，制定政府举办的非营利性医疗机构建设和发展规划，确定建设项目，列入基建投资计划和财政预算，逐年安排资金。
（五）在安排财政补助时，对中医、民族医和部分专科医疗机构给予适当照顾。要逐步加大对贫困地区的转移支付力度。
四、加强对医疗机构的宏观调控和管理
（一）进一步规范医疗服务价格行为，增加收费透明度，切实纠正乱收费行为。建立政府监督、行业监督、群众监督相结合的价格监督机制，加大对乱收费的查处力度。对“人均门诊费用”、“人均住院费用”、“平均每床日住院费用”“平均住院天数”和“单病种平均费用”等指标进行监测，并逐步向社会公示，以对医疗机构收费行为、社会医疗费用负担和经济效益作出评价和监督。医疗机构必须根据统一规范的医疗服务项目名称和服务内容收费，建立严格的自我约束机制，并为患者提供医疗服务价格信息和费用清单等查询服务。
（二）对医疗机构、从业人员、医疗技术应用、大型医疗设备等医疗服务要素实行严格的准入制度，要按照区域卫生规划要求进行合理有效配置。对没有落实合理稳定资金来源的建设项目和大型医疗设备购置项目，有关部门不得立项或审批；医疗机构的负债规模不得超过其负债期内预测可用于偿还的资金总额，控制医疗机构的重复建设和盲目扩展。
（三）要加快医疗机构内部运行机制改革步伐。改革人事分配制度，实行减员增效；积极推进医院后勤服务社会化，努力降低医疗成本，控制医药费用的不合理增长，减轻政府和群众的经济负担。制订医疗服务的诊断治疗指南和技术操作规范，规范医疗服务行为，同时，大力发展社区卫生服务，努力提高医疗技术水平和服务质量，为群众提供优质、价廉、方便的医疗服务。
各级卫生、计划（物价）、财政等相关部门要在政府领导下，密切配合，明确分工，各负其责，协调一致，共同促进医疗机构补偿机制改革。在弱化药品收益补偿作用、调整医疗服务价格、落实财政补助政策、规范医疗行为等方面相互衔接，同步实施，切实保证各项改革措施的全面落实。同时，要加大宣传力度，争取社会对改革的理解和支持，促进医疗机构健康、有序地发展。