信息安全等级保护条例篇1
第一条为了保护计算机信息系统的安全,促进计算机的应用和发展,保障社会主义现代化建设的顺利进行,制定本条例。
第二条本条例所称的计算机信息系统,是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
第三条计算机信息系统的安全保护,应当保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行。
第四条计算机信息系统的安全保护工作,重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。
第五条中华人民共和国境内的计算机信息系统的安全保护,适用本条例。
未联网的微型计算机的安全保护办法,另行制定。
第六条公安部主管全国计算机信息系统安全保护工作。
国家安全部、国家保密局和国务院其他有关部门,在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作。
第七条任何组织或者个人,不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动,不得危害计算机信息系统的安全。
第二章安全保护制度
第八条计算机信息系统的建设和应用,应当遵守法律、行政法规和国家其他有关规定。
第九条计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。
第十条计算机机房应当符合国家标准和国家有关规定。
在计算机机房附近施工,不得危害计算机信息系统的安全。
第十一条进行国际联网的计算机信息系统,由计算机信息系统的使用单位报省级以上人民政府公安机关备案。
第十二条运输、携带、邮寄计算机信息媒体进出境的,应当如实向海关申报。
第十三条计算机信息系统的使用单位应当建立健全安全管理制度,负责本单位计算机信息系统的安全保护工作。
第十四条对计算机信息系统中发生的案件,有关使用单位应当在24小时内向当地县级以上人民政府公安机关报告。
第十五条对计算机病毒和危害社会公共安全的其他有害数据的防治研究工作,由公安部归口管理。
第十六条国家对计算机信息系统安全专用产品的销售实行许可证制度。具体办法由公安部会同有关部门制定。
第三章安全监督
第十七条公安机关对计算机信息系统安全保护工作行使下列监督职权:
(一)监督、检查、指导计算机信息系统安全保护工作;
(二)查处危害计算机信息系统安全的违法犯罪案件;
(三)履行计算机信息系统安全保护工作的其他监督职责。
第十八条公安机关发现影响计算机信息系统安全的隐患时,应当及时通知使用单位采取安全保护措施。
第十九条公安部在紧急情况下,可以就涉及计算机信息系统安全的特定事项专项通令。
第四章法律责任
第二十条违反本条例的规定,有下列行为之一的,由公安机关处以警告或者停机整顿:
(一)违反计算机信息系统安全等级保护制度,危害计算机信息系统安全的;
(二)违反计算机信息系统国际联网备案制度的;
(三)不按照规定时间报告计算机信息系统中发生的案件的;
(四)接到公安机关要求改进安全状况的通知后,在限期内拒不改进的;
(五)有危害计算机信息系统安全的其他行为的。
第二十一条计算机机房不符合国家标准和国家其他有关规定的,或者在计算机机房附近施工危害计算机信息系统安全的,由公安机关会同有关单位进行处理。
第二十二条运输、携带、邮寄计算机信息媒体进出境,不如实向海关申报的,由海关依照《中华人民共和国海关法》和本条例以及其他有关法律、法规的规定处理。
第二十三条故意输入计算机病毒以及其他有害数据危害计算机信息系统安全的,或者未经许可出售计算机信息系统安全专用产品的,由公安机关处以警告或者对个人处以5000元以下的罚款、对单位处以15000元以下的罚款;有违法所得的,除予以没收外,可以处以违法所得1至3倍的罚款。
第二十四条违反本条例的规定,构成违反治安管理行为的,依照《中华人民共和国治安管理处罚条例》的有关规定处罚;构成犯罪的,依法追究刑事责任。
第二十五条任何组织或者个人违反本条例的规定,给国家、集体或者他人财产造成损失的,应当依法承担民事责任。
第二十六条当事人对公安机关依照本条例所作出的具体行政行为不服的,可以依法申请行政复议或者提起行政诉讼。
第二十七条执行本条例的国家公务员利用职权,索取、收受贿赂或者有其他违法、失职行为,构成犯罪的,依法追究刑事责任;尚不构成犯罪的,给予行政处分。
第五章附则
第二十八条本条例下列用语的含义:
计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
计算机信息系统安全专用产品,是指用于保护计算机信息系统安全的专用硬件和软件产品。
第二十九条军队的计算机信息系统安全保护工作,按照军队的有关法规执行。
信息安全等级保护条例篇2
【关键词】信息安全;等级保护;现状及问题;建议
【中图分类号】tp393.08【文献标识码】a
DiscussiontheStatusofinformationSecuritybaseonGradedprotection
Zhangwei-li
(CCiDthinktank,ChinaCenterofinformationindustryDevelopmentBeijing100048)
【abstract】informationSecuritybaseonGradedprotectionisabasicregimeoftheconstructionofinformationsecurityinourcountry,andisanimportantmeanstoguaranteethehealthydevelopmentofinformationtechnology.informationSecuritybaseonGradedprotection,developmentbothathomeandabroadwereintroducedinthispaper,aswellasthestatusquoofGradedprotectioninChina.onthisbasis,thepaperanalyzestheproblemsexistingintheGradedprotectioninChina,andputforwardsomeSuggestionsforbetteringGradedprotectionwork.
【Keywords】informationsecurity;gradedprotection;statusandproblems;suggestion
1引言
目前对信息及信息系统实行分等级保护是各国保护关键基础设施的通行做法。在我国信息安全等级保护是保障国家信息安全的一项基本制度。通过信息安全等级保护工作,实现信息安全资源的优化配置,重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全,有效提高我国信息和信息系统安全建设的整体水平。
1.1信息安全等级保护的概念及等级划分
信息系统安全等级保护是指对信息以及信息系统分等级进行安全保护和监管;对信息安全产品的使用进行分等级管理;对信息系统中发生的信息安全事件分等级响应、处置的综合性工作制度。
根据信息系统在国家安全、经济建设、社会生活中的重要程度,以及信息系统遭到破坏后对国家安全、社会秩序、公共利益,以及公民、法人和其他组织的合法权益的危害程度等因素,将信息系统安全等级由低到高分为五个等级:第一级,自主保护级;第二级,指导保护级;第三级,监督保护级;第四级,强制保护级;第五级,专控保护级。依据安全保护能力也划分为五个等级:第一级,用户自主保护级;第二级,系统审计保护级;第三级,安全标记保护级;第四级结构化保护级;第五级访问验证保护级。
1.2国外信息安全等级保护的发展历程
等级保护思想最早源于20世纪60年代的美军文件保密制度,其中第一个比较成熟并且具有重大影响的是1985年的《可信计算机系统评估准则》(tCSeC),该准则是当时美国国防部为适应军事计算机的保密需要提出的,主要是针对没有外部连接的多用户系统提出。
受美国等级保护思想的影响,欧盟和加拿大也分别制定自己的等级保护评估准则。英、法、德、荷等四国于1991年提出了包含保密性、完整性、可用性等概念的欧共体的《信息技术安全评估准则》(itSeC)。itSeC作为多国安全评估标准的综合产物,适用于军队、政府和商业部门。1993年加拿大公布《可信计算机产品评估准则》(CtCpeC)3.0版本。CtCpeC作为tCSeC和itSeC的结合,将安全分为功能性要求和保证性要求两部分。功能性要求分为机密性、完整性、可用性、可控性等四个大类。
为解决原各自标准中出现的概念和技术上的差异,1996年美国、欧盟、加拿大联合起来将各自评估准则合为一体,形成通用评估准则(CommonCriteria)。1999年出台的CC2.1版本被iSo采纳,作为iSo15408。在CC中定义了评估信息技术产品和系统安全性所需要的基础准则,是度量信息技术安全性的基准。
1.3我国信息安全等级保护的发展历程
在国际信息安全等级保护发展的同时,随着信息化建设的发展,我国的等级保护工作也被提上日程。其发展主要经历了四个阶段。
1994-2003年是政策环境营造阶段。国务院于1994年颁布《中华人民共和国计算机信息系统安全保护条例》,规定计算机信息系统实行安全等级保护。2003年,中央办公厅、国务院办公厅颁发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出“实行信息安全等级保护”。此文件的出台标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障一项基本制度。
2004-2006年是等保工作开展准备阶段。2004年至2006年期间,公安部联合四部委开展了涉及65117家单位,共115319个信息系统的等级保护基础调查和等级保护试点工作。通过摸底调查和试点,探索了开展等级保护工作领导、组织、协调的模式和办法,为全面开展等级保护工作奠定了坚实的基础。
2007-2010年是等保工作正式启动阶段。2007年6月,四部门联合出台了《信息安全等级保护管理办法》。7月四部门联合颁布了《关于开展全国重要信息系统安全等级保护定级工作的通知》,并于7月20日召开了全国重要信息系统安全等级保护定级工作部署专题电视电话会议,标志着我国信息安全等级保护制度历经十多年的探索正式开始实施。
2010年至今是等保工作规模推进阶段。2010年4月,公安部出台了《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》,提出等级保护工作的阶段性目标。2010年12月,公安部和国务院国有资产监督管理委员会联合出台了《关于进一步推进中央企业信息安全等级保护工作的通知》,要求中央企业贯彻执行等级保护工作。至此我国信息安全等级保护工作全面展开,等保工作进入规模化推进阶段。
2我国信息安全等级保护的现状
2.1等级保护的组织架构初步形成
截止目前,除了国家信息安全等级保护协调小组办公室外,在大陆31个省、自治区、直辖市当中除天津、黑龙江、河南、重庆、陕西外,有26个行政区成立了省级的信息安全等级保护协调小组办公室。22个省、自治区、直辖市建立了信息安全等级保护联络员制度,共确定1598名联络员。获得信息安全等级保护测评机构推荐资质的测评机构共121家,除新疆外各省均有获得资质的等级保护测评机构,其中国家的测评机构有7家,北京市有10家,江苏省有14家,浙江省、山东省各有7家,广东省有6家,其他省、自治区、直辖市有1-5家不等。25个行政区建立了等级保护专家组,共确定441名专家。
2.2信息安全等级保护的政策体系初步形成
为组织开展信息安全等级保护工作,国家相关部委(主要是公安部牵头组织,会同国家保密局、国家密码管理局、原国务院信息办和发改委等部门)相继出台了一系列文件,对具体工作提供了指导意见和规范,这些文件初步构成了信息安全等级保护政策体系。具体关系如图1。
《中华人民共和国计算机信息系统安全保护条例》和《国家信息化领导小组关于加强信息安全保障工作的意见》分别是开展信息安全等级保护工作的法律依据和政策依据。《关于信息安全等级保护工作的实施意见》和《信息安全等级保护管理办法》是在法律依据和政策依据的基础上制定的政策文件,其为等级保护工作的开展提供宏观指导。在上述基础上,针对信息安全等级保护工作的定级、备案、安全建设整改、等级测评、监督检查的各工作环节制定具有操作性的指导文件。政策体系的形成,为组织开展等级保护工作、建设整改工作和等级测评工作提供了指导,明确了各环节的工作目标、工作要求和工作流程。
2.3信息安全等级保护的标准体系基本完善
为推动信息安全等级保护工作,全国信息安全标准化技术委员会和公安部信息系统安全标准化技术委员会组织制订了信息安全等级保护工作需要的一系列标准,汇集成《信息安全等级保护标准汇编》,为开展等级保护工作提供了标准指导。这些标准与等保各环节的工作关系如图2所示。
《计算机信息系统安全保护等级划分准则》及配套标准是《信息系统安全等级保护基本要求》的基础。《信息系统安全等级保护基本要求》是信息系统安全建设整改的依据,信息系统安全建设整改应以落实《基本要求》为主要目标。《信息系统安全等级保护定级指南》是定级工作的指导性文件,为信息系统定级工作提供了技术支持。《信息系统安全等级保护测评要求》等标准规范了等级测评活动,为等级测评机构开展等级测评活动提供了测评方法和综合评价方法。《信息系统安全等级保护实施指南》是信息系统安全等级保护建设实施的过程控制标准,用于指导信息系统运营使用单位了解和掌握信息安全等级保护工作的方法、主要工作内容以及不同的角色在不同阶段的作用。
2.4信息安全等级保护的工作取得一定进展
各重点行业根据等级保护的政策要求开展了本系统内的等级保护工作。为落实相关等级保护政策有关行业制定了自己的行业标准,例如《广播电视相关信息系统安全等级保护等级指南》、《水利网络与信息安全体系建设基本技术要求》等。金融领域,人民银行出台了《中国人民银行关于银行业金融机构信息系统安全等级保护等级的指导意见》,并于2012年了金融行业的《金融行业信息系统信息安全等级保护实施指引》、《金融行业信息安全等级保护测评服务安全指引》、《金融行业信息系统信息安全等级保护测评指南》等三项行业标准,在采用《信息系统信息安全等级保护基本要求》的590项基本要求的基础上,补充细化基本要求项193项,新增行业特色要求项269项,为金融行业开展关键信息系统信息安全等级保护实施工作具奠定了坚实基础。
测评和安全建设工作有序开展。截止到2012年底,全国已经开展了5万多个第二级信息系统和4万多个三级系统的等级测评,并完成了相应的信息系统的等级保护安全建设整改。2012年底,全国性银行业金融机构完成了880个二级以上信息系统的定级评审。2012年对反洗钱中心、征信中心、清算中心和金融中心的48个重要信息系统进行了测评,共发现4284项安全问题,整改完整3451向,通过整改后其信息系统的整改测评率达到了90%以上。
3我国信息安全等级保护存在的问题
3.1信息系统运营使用单位对等级保护工作的重视程度还不够
近年来信息安全等级保护主管部门高度重视等级保护工作,制定相关政策和标准,举办等级测评师培训等,但信息系统主管部门以及全社会对信息安全等级保护在信息安全保障体系中的基础性地位认识还不到位,难以将等级保护制度和已有信息安全防护体系相衔接,工作方式简单,手段缺乏,甚至出现以其他工作代替信息安全等级保护工作的消极倾向。同时,在工作中,一些企业还存在不愿投资,不愿受监管的思想,为节省人力、物力、财力将本该定为三级的重要信息系统定位二级,这些都影响信息安全等级保护制度的全面落实。
3.2等级保护属于合规性被动防护与目前信息安全主动防御需求还有差距
信息安全等级保护属于政策性驱动的合规性保护,这种合规性保护只关注通用信息安全需求,并且属于被动保护,对于当前信息安全保护中的主动防御要求还有差距。例如,中国铁路客户服务中心12306网站定义为等级保护四级,2012年,曾暴露出被黑客拖库,以及因机房空调问题停止服务等问题,而这两项内容都在等级保护规范中有明确的要求。所以,认为通过等级保护的评测就不会出问题显然是一种误区。
另外,2010年“震网”病毒事件破坏了伊朗核设施,表明网络攻击由传统“软攻击”上升为直接攻击要害系统的“硬摧毁”。2013年曝出的棱镜门事件,2014年曝出的美国国安局入侵华为服务器等,这些事件表明当今信息安全的主要特征是要建立主动防御体系,例如建立授权管理机制、行为控制机制以及信息的加密存储机制,即使信息得到泄露也不会被黑客轻易获得。而等级保护是一种被动的、前置的保护手段,与当前信息安全保护所要求的实时的、主动防御还有一定的差距。
3.3现有防护手段难以满足新技术发展应用中的信息安全需求
信息安全等级保护政策标准的滞后,难以满足新技术应用的信息安全需求。例如,当前的物联网、云计算、移动互联网的应用呈现出新特点,提出了新的安全需求,在网络层面原本相对比较封闭的政府、金融、能源、制造系统开始越来越多的与互联网相连接;计算资源层面,云计算的应用,呈现出边界的消失、服务的分散、数据的迁移等特点,使得业务应用和信息数据面临的安全风险愈发复杂化。用户终端层面,移动互联、智能终端大行其道,BYoD的应用等,都为企业信息安全管理提出新挑战。
大数据的应用,很可能会出现将某些敏感业务数据放在相对开放的数据存储位置的情况。针对这些边界逐渐消失,服务较为分散,应用呈现虚拟化,敏感业务数据放在相对开放的数据存储位置,等级保护的“分区、分级、分域”保护的原则已无法有效应用。如何有效满足新技术应用下的信息安全需求,也是等级保护下一步需要考虑的内容。
4进一步做好信息安全等级保护的相关建议
4.1扩大宣传力度,提高全社会对等保的重视程度
等级保护是我国信息安全建设的基本制度,需提高全社会对等级保护的重视程度,尤其是要提高信息系统主管部门对信息安全等级保护工作重要性的认识。在工作中,可以通过重要信息系统之间的项目依赖性分析,关键部门影响性分析等方法,来增强信息系统主管部门以及全社对信息系统信息安全重要性的认识。在各行业、企业内部,应当通过加强宣传教育培训,提高信息系统使用和运维人员的对信息安全等级保护的重视程度。在等级保护工作推进工作中,对故意将信息系统安全级别定低现象进行严查。
4.2引入可信计算等主动防御理念,充分发挥等保在信息安全建设中的作用
要充分发挥等保在国家信息安全建设中的作用,需要从技术和管理两个方面进行安全建设,做到可信、可控、可管;并且应当具有抵御来自敌对组织高强度连续攻击(apt)的能力,以满足当前信息安全形势的需求。而可信计算技术可以实现计算处理结果与预期的相一致,中间过程可控制管理、可度量验证。因此,可在信息安全等级保护基本要求等技术标准中引入可信计算的理念,将传统的三重防护上升为可信计算环境、可信边界、可信通信网络组成的可信环境下的三重防护,从而实现主体的可信计算安全,进一步实现等级保护主动防御功能,充分发挥等级保护在信息安全建设中的作用。
4.3完善等保技术标准体系,推进等级保护在云计算中的应用
针对当前的物联网、工业控制系统、移动互联网,云计算应用中带来的数据高度集中、高虚拟化等的特点,信息安全等级保护应当在等级保护建设时必须加入对终端安全更高的基本需求。例如,在业务终端与业务服务器之间进行路由控制建立安全的访问路径;通过设定终端接入方式、网络地址范围等条件限制终端登录等。同时在虚拟环境下,要求安全设备能识别网络虚拟标签,区分每台虚拟机主机。针对云计算中边界模糊化的特点,可以通过软件安全实现对动态边界的监测,保证其安全。具体推进中,可以通过完善等级保护相关整改建设指南,等级测评工作指南以及相关技术标准等,以指导具体工作的开展,从而以推进等级保护在云计算、物联网、工控领域的等中的应用。
4.4借鉴经验,完善等级保护制度设计和体系建设
目前《信息安全等级保护定级指南》确定的对象是信息系统,《信息安全等级保护基本要求》也是针对自身具备运行的物理环境、网络环境、系统环境和应用以及相关人员和管理体系等完整、标准的意义上的信息系统而提出的,而对于重要信息系统运行所依赖的网络系统、iDC(互联网数据中心)、灾备中心等这样的对象,无论是定级方法、保护要求还是测评结果判定方面等都还存在不合适的地方。
对此可以在定级过程中,参考美国经验,引入系统法(特别是相互依赖性分析)和象征法,加深对定级对象的认识,通过仿真建模等分析技术进行定级合理性的验证。在等级测评过程可以引入风险分析、威胁评价、系统分析等过程加强测评结果的可量化性。同时研究国外相关信息安全建设中的法律体系、标准体系、组织保障体系等,并在此基础上进行自主创新,以改进我们等级保护实践中发展的制度设计问题,提高政策、理论和技术水平。
5结束语
当前信息技术发展迅速,信息安全面临的国际形势日益严峻,信息安全等级保护作为贯穿信息系统整个生命周期的信息安全保障措施,应当不断完善其法律体系、技术标准体系以及实施保障机制等,以适应满足新形势下的信息安全需求。
参考文献
[1]《信息安全等级保护管理办法》(公通字[2007]43号).公安部,2007.
[2]《计算机信息系统安全保护等级划分准则》(GB17859).
[3]DoD,trustedComputerSystemevaluationCriteria(orangeBook),26December1985.
[4]informationtechnologySecurityevaluationCriteria;1994.
[5]theCanadiantrustedComputerproductevaluationCriteria;Version3;1993.
[6]CommonCriteriaprojectSponsoringorganisations.CommonCriteriaforinformationSecurityevaluationpart1-3,Version2.1.augest1999.
[7]iSo/ieC15408-1:2005informationtechnology――Securitytechniques――evaluationcriteriaforitsecurity.
[8]国务院.《中华人民共和国计算机信息系统安全保护条例》.1994.
[9]公安部、国家保密局、国家密码管理委员会和国家信息办.《信息安全等级保护的实施意见》(公信安[2007]861号).2007.
[10]宋言伟,马钦德,张健.信息安全等级保护政策和标准体系综述.信息通信技术,2010(6):59-61.
信息安全等级保护条例篇3
个人资料成为在网上贩卖的“商品”,莫名其妙接到推销人员的电话……个人信息频频受到侵犯的现象近年来已引起广大群众的极大反感,甚至有人因此受到诈骗、敲诈勒索等侵害。但人们对非法获取和提供自己资料的不法分子却无可奈何。
2011年深圳警方抓获了一名贩卖婴儿信息的女子,其贩卖的信息当中记载了深圳15万名新生婴儿的详细资料,还搜查出深圳楼盘业主、车主名单等数十万份个人信息。
2012年3月20日,北京警方宣布成功破获CSDn网站用户数据泄露案,被公开的疑似泄露数据库26个,涉及账号、密码信息2.78亿条,严重威胁互联网用户的合法权益。在2009年刑法修正案(七)中,虽然确定了“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”罪名,首次将公民个人信息纳入刑法保护范畴,但未明确该罪的具体界定标准,且追究的犯罪主体只是“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”,法律对信息泄露者的惩罚机制还远远不够。
据国家互联网应急中心《2011年我国互联网网络安全态势综述》显示,近年来以用户信息泄露为代表的与网民利益密切相关的事件频发高发,“轻伤”者被垃圾信息“攻击”,“重伤”者财物、名誉双双受损,引起公众对网络安全的广泛关注。
“三律”加强个人信息安全防御
面对垃圾短信和洗钱、诈骗等违法违规信息推送以及网络上办假身份证骗取银行信用卡恶意透资、盗取他人账户资金等种种乱象,如何全面加以防范和打击已经迫在眉睫。
针对个人信息泄露的三种主要渠道:一是用户的电脑或手机被木马软件劫持;二是个人信息在互联网传输的过程中,经过一些传输路由时被他人控制;三是网站运营或信息管理机构对个人信息没有尽到妥善保管的义务,在使用过程当中把个人信息泄露出去。与技术因素相比,网站运营或信息管理机构泄露用户信息已经成为侵犯个人信息安全更为重要的原因。必须从源头加以治理,坚持法律、他律与自律三律并施的原则,切实加强个人信息安全防护。
健全法律。工业和信息化部副部长杨学山日前在“2012中国个人信息保护大会”上指出:“个人信息安全已成为目前网络发展的重要问题,加强相关法律法规建设具有重要意义”、“个人信息安全是重要的问题,与网络秩序、社会的稳定与安定均息息相关,个人信息在网络上的集中度越来越高,法律建设的相关环节也就更加具有重要的地位”。立法保护个人信息,是国际上通常的做法。目前世界上已有50多个国家和组织制定了个人信息保护的相关法规和标准。而在我国,虽有近40部法律、30余部法规和近200部规章涉及个人信息保护,2009年《刑法》将泄露个人信息入罪,《民法通则》中也有关于个人隐私的条例,但这些法律法规条例零散、抽象,在现实中普遍缺乏可操作性。《个人信息保护法》初稿已出台6年,但至今未进入正式立法程序。加快推动个人信息保护立法进程,成为社会共识。
加强他律。掌握公民信息的,往往是具备政府管理职能和提供公共服务的机构及社会团体组织,他们掌握着80%以上的个人信息,80%以上的个人信息往往也经由他们泄露出去。因为单凭个人没有如此强大的信息收集能力,只有这些单位趁着工作上留存公民信息的需要而使工作人员有违规操作的可能。因此,各级信息安全工作主管部门必须切实加强对政府机关、公共事业单位和社会团体等组织的信息安全监管,督促其在做好信息系统等级保护和风险评估工作的基础上,切实加强对员工的信息安全管理,促其管束好工作人员遵守职业道德,不趁职务之便而谋利。
严格自律。网民在利用即时通讯工具聊天、在电子商城购物或在交友开博过程中,不知不觉中已经将个人信息存储在网站运营商的服务器中,这些个人信息不仅涉及个人姓名、性别、身份证、电话、邮箱等内容,甚至包括个人银行卡、支付密码、家庭住址等更为私密的内容,而公众所熟悉的杀毒软件重点在保护用户端的电脑安全,对于存储在运营商服务器上的数据安全鞭长莫及。新近提交审批的《信息安全技术、公共及商用服务信息系统个人信息保护指南》,提出个人信息在收集、加工、转移、删除4个主要环节中所要遵循的基本原则、注意事项,应引起个人信息提供者与使用者的高度重视并严格执行。作为个人,要做到不该上的网站不上、不该提供的信息不提供;作为机构,要做到不该征集的信息不征集、使用后不该存储的信息不留存。
“三建议”提升个人信息防护对策
个人信息安全防护是一项系统工程,政府部门作为公民个人信息最大的拥有者,首先应高度重视在个人信息应用方面的管理,为公民网上活动和互联网产业发展提供良好的法律环境。同时,相关企业要加强技术管理,条件成熟时还可设立企业首席隐私官,专门负责处理与用户隐私权相关事宜。而普通大众也要提高个人信息安全保护的意识和能力,防范网络行为可能带来的潜在风险。笔者结合从事信息化与信息安全工作的实践,提出以下建议:
加强学习,强化意识。首先要认真学习修订后的《保守国家秘密法》,深刻领会并全面掌握结果论为行为论的核心要义,严守12条禁令,不碰红线、高压线;按照“四个不得危及、三个不得公开”的原则,处理政务信息公开工作;其次要做好网络技术防范管理,严格遵照《江苏省信息化条例》要求,在信息化规划与建设、信息资源共享与开发利用、信息产业发展与技术推广应用、信息安全保障及其相关管理活动中,逐一落实到位。尤其是信息安全保障系统应当与信息化工程项目同步规划、同步建设、同步运行,使用财政性资金建设的信息网络和信息系统投入使用前,应当进行信息安全登基保护和信息安全风险评估。
加强管理,强化责任。推进党政机关和公共服务系统“网站域名、网络接入、网络终端、网站运维、网络安全”规范化建设,建章立制、层层落实、责任到人,公务人员个人工作电脑与ip地址、maC地址实施捆绑且规定只允许处理公务;规范个人桌面终端管理,不得随意下载与工作无关的应用软件和文档资料,密级电脑禁止连接互联网,不在连接互联网的电脑上起草敏感重要材料;不同密级设备不混用,同密级移动U盘在同密级电脑间使用。
信息安全等级保护条例篇4
公安部
国家互联网信息办公室
工业和信息化部环境保护部
国家工商行政管理总局
国家安全生产监督管理总局
2015年2月5日
互联网危险物品信息管理规定
第一条为进一步加强对互联网危险物品信息的管理,规范危险物品从业单位信息行为,依法查处、打击涉及危险物品的违法犯罪活动,净化网络环境,保障公共安全,根据《全国人大常委会关于加强网络信息保护的决定》、《全国人大常委会关于维护互联网安全的决定》、《广告法》、《枪支管理法》、《放射性污染防治法》和《民用爆炸物品安全管理条例》、《烟花爆竹安全管理条例》、《危险化学品安全管理条例》、《放射性同位素与射线装置安全和防护条例》、《核材料管制条例》、《互联网信息服务管理办法》等法律、法规和规章,制定本规定。
第二条本规定所称危险物品,是指枪支弹药、爆炸物品、剧毒化学品、易制爆危险化学品和其他危险化学品、放射性物品、核材料、管制器具等能够危及人身安全和财产安全的物品。
第三条本规定所称危险物品从业单位,是指依法取得危险物品生产、经营、使用资质的单位以及从事危险物品相关工作的教学、科研、社会团体、中介机构等单位。具体包括:
(一)经公安机关核发《民用枪支(弹药)制造许可证》、《民用枪支(弹药)配售许可证》的民用枪支、弹药制造、配售企业;
(二)经民用爆炸物品行业主管部门核发《民用爆炸物品生产许可证》、《民用爆炸物品销售许可证》的民用爆炸物品生产、销售企业,经公安机关核发《爆破作业单位许可证》的爆破作业单位;
(三)经安全生产监督管理部门核发《烟花爆竹安全生产许可证》、《烟花爆竹经营(批发)许可证》、《烟花爆竹经营(零售)许可证》的烟花爆竹生产、经营单位;
(四)经安全生产监督管理部门核发《危险化学品安全生产许可证》、《危险化学品经营许可证》、《危险化学品安全使用许可证》的危险化学品生产、经营、使用单位;
(五)经环境保护主管部门核发《辐射安全许可证》的生产、销售、使用放射性同位素和射线装置单位;
(六)经国务院核材料管理部门核发《核材料许可证》的核材料持有、使用、生产、储存、运输和处置单位;
(七)经公安机关批准的弩制造企业、营业性射击场,经公安机关登记备案的管制刀具制造、销售单位;
(八)从事危险物品教学、科研、服务的高等院校、科研院所、社会团体、中介机构和技术服务企业;
(九)法律、法规规定的其他危险物品从业单位。
第四条本规定所称危险物品信息,是指在互联网上的危险物品生产、经营、储存、使用信息,包括危险物品种类、性能、用途和危险物品专业服务等相关信息。
第五条危险物品从业单位从事互联网信息服务的,应当按照《互联网信息服务管理办法》规定,向电信主管部门申请办理互联网信息服务增值电信业务经营许可或者办理非经营性互联网信息服务备案手续,并按照《计算机信息网络国际联网安全保护管理办法》规定,持从事危险物品活动的合法资质材料到所在地县级以上人民政府公安机关接受网站安全检查。
第六条危险物品从业单位依法取得互联网信息服务增值电信业务经营许可或者办理非经营性互联网信息服务备案手续后,可以在本单位网站危险物品信息。
禁止个人在互联网上危险物品信息。
第七条接入服务提供者应当与危险物品从业单位签订协议或者确认提供服务,不得为未取得增值电信业务许可或者未办理非经营性互联网信息服务备案手续的危险物品从业单位提供接入服务。
接入服务提供者不得为危险物品从业单位以外的任何单位或者个人提供危险物品信息网站接入服务。
第八条危险物品从业单位应当在本单位网站主页显著位置标明可供查询的互联网信息服务经营许可证编号或者备案编号、从事危险物品活动的合法资质和营业执照等材料。
第九条危险物品从业单位应当在本单位网站网页显著位置标明单位、个人购买相关危险物品应当具备的资质、资格条件:
(一)购买民用枪支、弹药应当持有省级或者设区的市级人民政府公安机关核发的《民用枪支(弹药)配购证》。
(二)购买民用爆炸物品应当持有国务院民用爆炸物品行业主管部门核发的《民用爆炸物品生产许可证》,或者省级人民政府民用爆炸物品行业主管部门核发的《民用爆炸物品销售许可证》,或者所在地县级人民政府公安机关核发的《民用爆炸物品购买许可证》。
(三)购买烟花爆竹的,批发企业应当持有安全生产监督管理部门核发的《烟花爆竹经营(批发)许可证》;零售单位应当持有安全生产监督管理部门核发的《烟花爆竹经营(零售)许可证》;举办焰火晚会以及其他大型焰火燃放活动的应当持有公安机关核发的《焰火燃放许可证》;个人消费者应当向持有安全生产监督管理部门核发的《烟花爆竹经营(零售)许可证》的零售单位购买。批发企业向烟花爆竹生产企业采购烟花爆竹;零售经营者向烟花爆竹批发企业采购烟花爆竹。严禁零售单位和个人购买专业燃放类烟花爆竹。(四)购买剧毒化学品应当持有安全生产监督管理部门核发的《危险化学品安全生产许可证》,或者设区的市级人民政府安全生产监督管理部门核发的《危险化学品经营许可证》或者《危险化学品安全使用许可证》,或者县级人民政府公安机关核发的《剧毒化学品购买许可证》。
购买易制爆危险化学品应当持有安全生产监督管理部门核发的《危险化学品安全生产许可证》,或者工业和信息化部核发的《民用爆炸物品生产许可证》,或者设区的市级人民政府安全生产监督管理部门核发的《危险化学品经营许可证》或者《危险化学品安全使用许可证》,或者本单位出具的合法用途证明。
(五)购买放射性同位素的单位应当持有环境保护主管部门核发的《辐射安全许可证》。
(六)购买核材料的单位应当持有国务院核材料管理部门核发的《核材料许可证》。
(七)购买弩应当持有省级人民政府公安机关批准使用的许可文件。
(八)购买匕首、三棱刮刀应当持有所在单位的批准文件或者证明,且匕首仅限于军人、警察、专业狩猎人员和地质、勘探等野外作业人员购买,三棱刮刀仅限于机械加工单位购买。
(九)法律、法规和相关管理部门的其他规定。
第十条禁止危险物品从业单位在本单位网站以外的互联网应用服务中危险物品信息及建立相关链接。
危险物品从业单位的危险物品信息不得包含诱导非法购销危险物品行为的内容。
第十一条禁止任何单位和个人在互联网上危险物品制造方法的信息。
第十二条网络服务提供者应当加强对接入网站及用户信息的管理,定期对信息进行巡查,对法律、法规和本规定禁止或者传输的危险物品信息,应当立即停止传输,采取消除等处置措施,保存有关记录,并向公安机关等主管部门报告。
第十三条各级公安、网信、工业和信息化、电信主管、环境保护、工商行政管理、安全监管等部门在各自的职责范围内依法履行职责,完善危险物品从业单位许可、登记备案、信息情况通报和信息机制,加强协作配合,共同防范危险物品信息的违法犯罪行为。
第十四条违反规定制作、复制、、传播含有危险物品内容的信息,或者故意为制作、复制、、传播违法违规危险物品信息提供服务的,依法给予停止联网、停机整顿、吊销许可证或者取消备案、暂时关闭网站直至关闭网站等处罚;构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
信息安全等级保护条例篇5
一、法律法规完备
在食品安全方面,德国法律来源于三个层面:
(一)国内法
迄今,德国涉及食品立法及相关条例多达200余个。最基本的法律首推1879年制定的《食品法》,该法包罗万象,所列款项多达几十万条,贯穿食品生产和流通各个环节。其次是《食品和日用品管理法》(又称《食品、烟草制品、化妆品和其它日用品管理法》),该法是德国食品安全核心法律之一,为食品安全的其它法律法规提供了原则和框架。《食品责任法》明确规定了食品生产各个环节企业的责任,每个食品或饲料生产者,无论是农业经营者、面包师或食品添加材料制造商,都必须承担食品安全责任。其它还有:《食品和饲料法典》、《添加剂许可法规》、《食品标识条例》、《食品可追溯条例》、《畜肉卫生法》、《畜类管理条例》、《禽肉卫生法》、《禽肉管理条例》、《混合碎肉管理条例》、《鱼卫生条例》、《奶管理条例》、《蛋管理条例》,以及《纯净度标准》、《残留物最高限量管理条例》、《日用品管理条例》等不一而足。
(二)欧盟的法律法规
作为欧盟成员国,德国有义务实施欧盟相关法律法规和条例。如《欧盟食品安全白皮书》(2000年1月12日公布,主要内容包括设立欧洲食品局、食品安全立法、食品安全监控和消费者信息等)、《通用食品法》(2002年2月21日生效)等。还有,《欧洲议会指导性法案93/43/ewG》是欧盟统一的食品安全法案,对动物源食品生产和加工提出了统一的法律要求,德国将其转化为国内法《食品卫生管理条例》来实施。欧洲诸多条例如《消费者关于食品信息条例》、《标示规定》、《饮食条例》等都被转换成德国法律付诸实施。
(三)国际上有关法律法规
德国把国际上通用的一些食品安全方面的法律法规和质量标准体系如GlobalGap、iFS、HaCCp、BRC、SQF2000、iSo22000、Sa8000、BSCi、eti、GSV、iCS、aVe等纳入自己的体系中,有的还更加细化和本土化。
二、监管机制健全
(一)单部管理、分级负责
德国是个联邦制国家,在食品安全管理方面实行“单部管理、分级负责”原则,即各司其职,又相互协调配合。从政府层面来看,联邦一级由联邦食品、农业和消费者保护部负责。该部于2001年组建,其职能是领导食品安全管理、制定食品安全法律、指导联邦州政府执行国家食品安全法律。该部对外以及代表德国利益负责同欧盟当局联系和沟通,对内统筹宏观管理工作,下设联邦消费者保护与食品安全局和联邦风险评估研究所。特定的食品风险管理任务,由该部委托安全局完成。研究所作为研究与发展病理学的专业机构,独立负责食品安全风险评估、风险信息传递、把评估结果如实提交风险管理部门。风险管理部门依照风险评估结果进行风险管理,这些管理活动包括法律、标准和实施指南的制定、食品安全事故的应急处理等。
(二)政府督查与企业自律相结合
解决食品安全问题,企业自律是关键所在。德国食品生产和加工企业要对食品安全负全部责任。所有企业无论规模大小和行业差异均须进行食品安全自我监制,建立自我控制体系,都要执行食品危害与分析关键控制(HaCCp)管理,或执行欧盟有关规则。所有食品生产企业都要在当地食品监管部门登记注册,履行记录所用原材料的质量、进货渠道和销售对象等信息的义务,对自己的产品进行自检,并随时接受主管部门的检查。一旦发生问题,对于责任人要视情节和后果轻重进行处理,或被要求整改、罚款、封存或销毁货物、关闭企业,甚至付诸法律诉讼、追究刑事责任。
企业自律还有一个方面体现在食品召回制度。问题食品被召回属企业自主行为,也是维护企业诚信之举。为了让消费者享用更安全食品,德国食品安全局和联邦消费者协会等部门联合成立了“食品召回委员会”。
(三)消费者积极参与监管
德国鼓励并引导消费者加强自身保护,积极主动参与食品安全监督。对于消费者投诉的任何问题食品,如卫生标准不合格或者食品标签有误,当地食品监督部门都必须受理并解决问题。
三、制度标准完善
(一)制度
德国食品安全方面的制度包括:
食品包装标示制度
按照食品标示法规,在包装标示中必须标明生产者、生产流程、产地和企业名称、食品成分、生产日期和保质期、认证标签等。
食品追溯制度
所谓可追溯制度实质上就是食品信息可追踪系统或食品在各个阶段信息流的连续性保障体系,必要时可进行历史信息回溯,以便查明问题的原因。食品的可追溯性从原材料进货开始,贯穿于生产、流通和消费各个环节。
市场准入制度
市场准入包含两个方面:一是外国产品进入德国市场。凡欧盟以外国家生产的食品进入德国,均须在欧盟边境按照有关规定进行检疫检查,进入德国时要进行复检。如发现问题不能处理的要就地销毁;二是国内产品进入市场,要对食品生产和加工企业实行许可证制度,对食品出厂实行检验制度,对食品入市进行认证管理。
(二)标准
德国对食品质量和安全标准高度重视。德国成立了“标准院”,其主要职能是制定食品安全标准,对非官方组织新制定的质量标准进行审查和检验。
四、信息透明
在德国,食品从原材料采购到生产、加工、仓储、运输、销售各个环节,也就是说“从田野到餐桌”整个过程都处于监控之下,各种信息通常都是公开透明的,且记录在案有据可查。一旦发现问题,便可追本溯源找到根源所在。
五、出现问题积极应对
在食品安全方面,任何国家都没有天然的免疫力。尽管德国食品安全监管体系严密、手段完善,也不能保证不会出现任何问题。而更为重要的是,出了问题他们知道该如何处理,怎么办才能卓有成效。
以德国曾经爆发的二恶英饲料事件为例。二恶英事件源于德国监督部门在对北威州一养鸡场进行例行检查时发现鸡蛋所含二恶英超标,进而查出系鸡禽食用含有二恶英饲料所致。后发现数个联邦州4700多家农场受到影响,被污染的农产品从禽类扩展到猪肉类,导致10多万枚鸡蛋被销毁,数百头生猪被宰杀。
(一)通过可追溯系统在第一时间查出石荷州一家饲料厂使用含有致癌物质二恶英的工业用脂肪酸生产的饲料系幕后元凶,这说明可追溯机制对食品安全发挥重要作用;
信息安全等级保护条例篇6
存款保险条例
第一条 为了建立和规范存款保险制度,依法保护存款人的合法权益,及时防范和化解金融风险,维护金融稳定,制定本条例。
第二条 在中华人民共和国境内设立的商业银行、农村合作银行、农村信用合作社等吸收存款的银行业金融机构(以下统称投保机构),应当依照本条例的规定投保存款保险。
投保机构在中华人民共和国境外设立的分支机构,以及外国银行在中华人民共和国境内设立的分支机构不适用前款规定。但是,中华人民共和国与其他国家或者地区之间对存款保险制度另有安排的除外。
第三条 本条例所称存款保险,是指投保机构向存款保险基金管理机构交纳保费,形成存款保险基金,存款保险基金管理机构依照本条例的规定向存款人偿付被保险存款,并采取必要措施维护存款以及存款保险基金安全的制度。
第四条 被保险存款包括投保机构吸收的人民币存款和外币存款。但是,金融机构同业存款、投保机构的高级管理人员在本投保机构的存款以及存款保险基金管理机构规定不予保险的其他存款除外。
第五条 存款保险实行限额偿付,最高偿付限额为人民币50万元。中国人民银行会同国务院有关部门可以根据经济发展、存款结构变化、金融风险状况等因素调整最高偿付限额,报国务院批准后公布执行。
同一存款人在同一家投保机构所有被保险存款账户的存款本金和利息合并计算的资金数额在最高偿付限额以内的,实行全额偿付;超出最高偿付限额的部分,依法从投保机构清算财产中受偿。
存款保险基金管理机构偿付存款人的被保险存款后,即在偿付金额范围内取得该存款人对投保机构相同清偿顺序的债权。
社会保险基金、住房公积金存款的偿付办法由中国人民银行会同国务院有关部门另行制定,报国务院批准。
第六条 存款保险基金的来源包括:
(一)投保机构交纳的保费;
(二)在投保机构清算中分配的财产;
(三)存款保险基金管理机构运用存款保险基金获得的收益;
(四)其他合法收入。
第七条 存款保险基金管理机构履行下列职责:
(一)制定并与其履行职责有关的规则;
(二)制定和调整存款保险费率标准,报国务院批准;
(三)确定各投保机构的适用费率;
(四)归集保费;
(五)管理和运用存款保险基金;
(六)依照本条例的规定采取早期纠正措施和风险处置措施;
(七)在本条例规定的限额内及时偿付存款人的被保险存款;
(八)国务院批准的其他职责。
存款保险基金管理机构由国务院决定。
第八条 本条例施行前已开业的吸收存款的银行业金融机构,应当在存款保险基金管理机构规定的期限内办理投保手续。
本条例施行后开业的吸收存款的银行业金融机构,应当自工商行政管理部门颁发营业执照之日起6个月内,按照存款保险基金管理机构的规定办理投保手续。
第九条 存款保险费率由基准费率和风险差别费率构成。费率标准由存款保险基金管理机构根据经济金融发展状况、存款结构情况以及存款保险基金的累积水平等因素制定和调整,报国务院批准后执行。
各投保机构的适用费率,由存款保险基金管理机构根据投保机构的经营管理状况和风险状况等因素确定。
第十条 投保机构应当交纳的保费,按照本投保机构的被保险存款和存款保险基金管理机构确定的适用费率计算,具体办法由存款保险基金管理机构规定。
投保机构应当按照存款保险基金管理机构的要求定期报送被保险存款余额、存款结构情况以及与确定适用费率、核算保费、偿付存款相关的其他必要资料。
投保机构应当按照存款保险基金管理机构的规定,每6个月交纳一次保费。
第十一条 存款保险基金的运用,应当遵循安全、流动、保值增值的原则,限于下列形式:
(一)存放在中国人民银行;
(二)投资政府债券、中央银行票据、信用等级较高的金融债券以及其他高等级债券;
(三)国务院批准的其他资金运用形式。
第十二条 存款保险基金管理机构应当自每一会计年度结束之日起3个月内编制存款保险基金收支的财务会计报告、报表,并编制年度报告,按照国家有关规定予以公布。
存款保险基金的收支应当遵守国家统一的财务会计制度,并依法接受审计机关的审计监督。
第十三条 存款保险基金管理机构履行职责,发现有下列情形之一的,可以进行核查:
(一)投保机构风险状况发生变化,可能需要调整适用费率的,对涉及费率计算的相关情况进行核查;
(二)投保机构保费交纳基数可能存在问题的,对其存款的规模、结构以及真实性进行核查;
(三)对投保机构报送的信息、资料的真实性进行核查。
对核查中发现的重大问题,应当告知银行业监督管理机构。
第十四条 存款保险基金管理机构参加金融监督管理协调机制,并与中国人民银行、银行业监督管理机构等金融管理部门、机构建立信息共享机制。
存款保险基金管理机构应当通过信息共享机制获取有关投保机构的风险状况、检查报告和评级情况等监督管理信息。
前款规定的信息不能满足控制存款保险基金风险、保证及时偿付、确定差别费率等需要的,存款保险基金管理机构可以要求投保机构及时报送其他相关信息。
第十五条 存款保险基金管理机构发现投保机构存在资本不足等影响存款安全以及存款保险基金安全的情形的,可以对其提出风险警示。
第十六条 投保机构因重大资产损失等原因导致资本充足率大幅度下降,严重危及存款安全以及存款保险基金安全的,投保机构应当按照存款保险基金管理机构、中国人民银行、银行业监督管理机构的要求及时采取补充资本、控制资产增长、控制重大交易授信、降低杠杆率等措施。
投保机构有前款规定情形,且在存款保险基金管理机构规定的期限内未改进的,存款保险基金管理机构可以提高其适用费率。
第十七条 存款保险基金管理机构发现投保机构有《中华人民共和国银行业监督管理法》第三十八条、第三十九条规定情形的,可以建议银行业监督管理机构依法采取相应措施。
第十八条 存款保险基金管理机构可以选择下列方式使用存款保险基金,保护存款人利益:
(一)在本条例规定的限额内直接偿付被保险存款;
(二)委托其他合格投保机构在本条例规定的限额内代为偿付被保险存款;
(三)为其他合格投保机构提供担保、损失分摊或者资金支持,以促成其收购或者承担被接管、被撤销或者申请破产的投保机构的全部或者部分业务、资产、负债。
存款保险基金管理机构在拟订存款保险基金使用方案选择前款规定方式时,应当遵循基金使用成本最小的原则。
第十九条 有下列情形之一的,存款人有权要求存款保险基金管理机构在本条例规定的限额内,使用存款保险基金偿付存款人的被保险存款:
(一)存款保险基金管理机构担任投保机构的接管组织;
(二)存款保险基金管理机构实施被撤销投保机构的清算;
(三)人民法院裁定受理对投保机构的破产申请;
(四)经国务院批准的其他情形。
存款保险基金管理机构应当依照本条例的规定,在前款规定情形发生之日起7个工作日内足额偿付存款。
第二十条 存款保险基金管理机构的工作人员有下列行为之一的,依法给予处分:
(一)违反规定收取保费;
(二)违反规定使用、运用存款保险基金;
(三)违反规定不及时、足额偿付存款。
存款保险基金管理机构的工作人员滥用职权、玩忽职守、泄露国家秘密或者所知悉的商业秘密的,依法给予处分;构成犯罪的,依法追究刑事责任。
第二十一条 投保机构有下列情形之一的,由存款保险基金管理机构责令限期改正;逾期不改正或者情节严重的,予以记录并作为调整该投保机构的适用费率的依据:
(一)未依法投保;
(二)未依法及时、足额交纳保费;
(三)未按照规定报送信息、资料或者报送虚假的信息、资料;
(四)拒绝或者妨碍存款保险基金管理机构依法进行的核查;
(五)妨碍存款保险基金管理机构实施存款保险基金使用方案。
投保机构有前款规定情形的,存款保险基金管理机构可以对投保机构的主管人员和直接责任人员予以公示。投保机构有前款第二项规定情形的,存款保险基金管理机构还可以按日加收未交纳保费部分0.05%的滞纳金。
第二十二条 本条例施行前,已被国务院银行业监督管理机构依法决定接管、撤销或者人民法院已受理破产申请的吸收存款的银行业金融机构,不适用本条例。
第二十三条 本条例自20xx年5月1日起施行。
存款保险是市场经济条件下保护存款人利益的重要举措,是金融安全网的重要组成部分。建立存款保险制度,有利于维护公众对我国银行体系的信心,进一步理顺政府和市场的关系,深化金融改革,维护金融稳定,促进我国金融体系健康发展。《条例》的出台,为建立和规范存款保险制度提供了明确的依据。
为有效保障存款人利益,促进银行业公平竞争,《条例》规定的存款保险具有强制性,在我国境内设立的吸收存款的银行业金融机构,包括商业银行、农村合作银行、农村信用合作社等,都应当参加存款保险。除金融机构同业存款、投保机构的高级管理人员在本机构的存款等外,其他人民币存款和外币存款都属于被保险存款的范围。
《条例》规定,存款保险实行限额偿付,最高偿付限额为人民币50万元。这一限额高于世界多数国家的保障水平,能为我国99.63%的存款人提供全额保护。同一存款人在同一家投保机构所有被保险存款账户的本金和利息合并计算的金额在最高偿付限额以内的,实行全额偿付;超出的部分,依法从投保机构清算财产中受偿。中国人民银行会同国务院有关部门可以根据经济发展、存款结构变化、金融风险状况等因素调整最高偿付限额,报国务院批准后公布执行。
《条例》规定了存款保险的保费交纳主体和费率。保费由投保的银行业金融机构交纳。费率由基准费率和风险差别费率构成,其标准由存款保险基金管理机构根据经济金融发展状况、存款结构情况以及基金的累积水平等因素制定和调整,报国务院批准后执行。各投保机构的适用费率,由存款保险基金管理机构根据投保机构的经营管理状况和风险状况等因素确定。
信息安全等级保护条例篇7
尚 可
近日,iBm了企业内容管理的2010年战略――高级案例管理(advancedCasemanagement,简称aCm)。
iBm认为这一战略的提出将推动企业内容管理的第四次发展浪潮。企业内容管理是实现与组织流程相关的内容和文档的捕获、管理、存储、保护和的一种技术。信息与图像管理协会(aiim)对企业内容管理的定义是主要针对非结构化信息,如影像、传真、邮件等等。被称为内容管理第四次浪潮的高级案例管理,核心在于以内容为中心的企业流程管理、先进的工作管理和案例分析,旨在帮助企业更灵活地管理与案例相关的非结构化数据和流程,以响应千变万化的市场需求。
案例在不同行业以不同的形式存在着。比如我们所熟知的保险索赔、信用卡申请。合同的签订等等都属于案例。一个案例就是为了完成某项业务活动的所有相关内容、流程、角色的集合。比如信用卡申请,就包含了申请人个人信息、申请单等相关文档图片、信息核实、额度设定等相关工作流程和涉及到的角色。
iBm高级案例管理能够围绕案例收集和组织相关信息,提供一个将信息、流程和人有机统一在一起的案例全景视图。这样,影响案例管理的各个因素一目了然,大大增强了决策的针对性和全局性。
此外,iBm高级案例管理的另一个“杀手级优势”是能够将业务人员和案例应用决策者最大程度地融入到应用程序的开发和部署中来,基于他们对案例应用的理解,加快软件转化为商业价值的速度。iBm高级案例管理能够捕获行业中的最佳实践,并转换为框架与模版,提供全新的案例应用开发工具以及面向业务的工具套件,业务人员和决策者通过拖拽方式即可完成用户界面开发,在提高开发效率的同时,业务和it结合得也更加紧密。
aisinoa6助推中小企业发展
相春雷
清晰的理念,合理的设计,完善的服务网络,这就是航天信息eRp产品带给用户的真实体验。面对中国数千万家的中小企业,航天信息一直在深入思考它们的基本需求是什么,怎样才能迎合它们的需求来提品。航天信息aisinoa6以财税互联实时管理为理念,采用智能交互设计,支持企业多组织、多地点、多账簿、多会计制度的协同化办公。凭证、账簿、报表全程自动化核算,与业务、税务系统紧密集成,实现数据传递大幅提高工作效率。提供客户、供应商、部门、项目、个人辅助核算,实现精细化费用管理体系,自定义单据审批流程,进行审批流、权限,往来信用管理,在实现精细化管理的同时,加强了企业内控力度。提供具有强大自定义功能的报表、现金流量表及财务分析工具,有效地加快了财务报告速度。
对于中小企业来说,它们的成长关乎着整个中国经济整体实力的提升,为它们做好服务,帮助其成长是每一个厂商应尽的义务,同时服务厂商也会获得巨大的利益。航天信息以前瞻性的思维,细致缜密的分析,为中小企业提供的eRp产品不仅针对性强,适用度也高,这展现了企业强大的实力,更反映出航天信息为中小企业客户服务的信心。
目前,航天信息eRp业务的核心理念是依托互联网时代的大背景,致力于为用户打造信息化企业模式。航天信息选择做互联网时代信息化企业的构建者,迎合了时代的大背景,同时也将推行了若干年的企业信息化升级转化。这足以彰显大企业的卓远目光和实力,而航天信息这一股eRp领域的力量值得业界深度关注。
趋势科技正式云安全3.0
相春雷
近日,趋势科技推出基于趋势科技云安全技术核心的全新云安全3.0解决方案。
从借助“云”实现更高等级的安全,到保护“云”自身的安全,趋势科技云安全3.0是为云环境下,企业至关重要的信息平台与数据资产两个核心要素提供安全防护:一方面用“云的防护盾”技术来保障“云”平台本身的高可用性;另一方面,通过“云中保险箱”技术来保护用户存放于云端的隐私和关键数据不被非法窃取和利用。
趋势科技全球执行副总裁暨亚太区总经理张伟钦介绍了公司云安全的演进历程:“云安全1.0的核心是对用户所访问的网页进行安全评估。云安全2.0增加了文件信誉技术和多协议关联分析技术的应用,让文件信誉技术(FRt)与web信誉技术(wRt)、邮件信誉技术(eRt)实现关联互动,为客户提供更加安全有效的防护。云安全3.0的出现,从单纯的利用云技术来保护互联网安全,华丽转身,到对“云”本身进行安全保护,用“云中防护盾”和“云中保险箱”保护整个云计算链条。”
圣夭诺HaSp:迅即判断软件业务发展策略
尚 可
近日,Safenet的圣天诺HaSpSRm作为可以将基于软件或硬件的保护密钥用于软件保护和授权的软件授权和安全的解决方案再受关注。
圣天诺HaSp完全与已有的软件产品生命周期保持一致,从而可以降低其对软件开发和业务进程的影响。其最新的Reportingmodule业务报表功能可以帮助软件开发商实现:快速生成客户购买及使用报表,帮助决策者掌握用户需求,洞察市场方向,为即时调整业务模式提供第一手信息。
该功能可提供对17种不同的“开箱即用”型报表的即时访问功能,为软件企业的决策者提供关键业务信息,助企业快速改进业务战略。这些报表会对软件的使用情况进行分析,同时可以识别客户的购买偏好。
关键的业务信息,弹指之间即可汇聚――选择报表类型,设定参数,生成!在适应新的需求和引入新技术以应对不断变化的市场环境方面,Safenet在全球的25,000多家客户已经认识到选择圣天诺就意味着选择了在现在和未来自由开展业务的主动权。
掌握用户需求,把握市场方向,圣天诺HaSp为软件商提供有力的市场决策依据。
保险行业解决框架助力企业变革
苏 达
近日,iBm公司了保险行业框架,旨在帮助保险公司提升客户服务的能力、提高业务敏捷性、优化业务效率、更加有效的开展风险管理。
2011年会有1万亿设备连入互联网;在金融行业,每天货币交易额为4万亿美元;78%的金融企业Cio希望改善信息使用和管理方式;80%的数字化数据增长呈无结构化,需要进一步梳理。而在用户端,变化同样明显,iBm软件集团全球保险行业解决方案负责人Sanjayotwani表示,保险和金融行业的用户群年龄跨度非常大,需求也完全不同。仅仅以接受保单信息的方式为例,从传统的纸质信件,到现在的电子邮件、短信,未来可能会借助更多SnS社会化网络方式。
信息安全等级保护条例篇8
湖南省通信条例
第一章总则
第一条为了规范通信设施的建设,提高通信服务质量,保障通信安全,促进通信业的健康发展,维护通信用户和通信业务经营者的合法权益,根据《中华人民共和国网络安全法》、国务院《电信条例》和有关法律、行政法规,结合本省实际,制定本条例。
第二条本省行政区域内通信设施的建设和保护、通信服务的规范、通信安全的保障以及通信业监督管理等活动,适用本条例。
本条例所称通信,是指个人、组织相互之间利用有线、无线的电磁系统或者光电系统传送、发射、接收语音、文字、数据、图像以及其他形式信息,实现信息互通的活动。
本条例所称通信设施,是指为社会公众提供通信服务,用于实现通信功能的交换设备、传输设备和配套设备等;通信基础设施,是指通信机房、通信光缆、电缆、通信杆路、移动基站等通信设施。
第三条县级以上人民政府应当将通信业纳入国民经济和社会发展规划,将通信基础设施专项规划纳入城乡规划,加强通信业监管体系建设,统筹协调解决通信业发展中的重大问题。
第四条省通信管理机构应当根据本省国民经济和社会发展规划组织编制全省通信行业发展规划并对全省通信业实施监督管理。省通信管理机构可以委托有关行政机关或者具有管理公共事务职能的组织(以下与省通信管理机构统称通信管理机构)履行有关监管职责。
县级以上人民政府经济和信息化、网信、住房和城乡建设、城乡规划、公安、环境保护、无线电管理等有关行政主管部门按照各自职责,做好通信业相关工作。
乡镇人民政府、街道办事处和村(居)民委员会协助做好通信设施建设、保护等方面的相关工作。
第二章通信设施
第五条设区的市、自治州人民政府城乡规划行政主管部门会同通信管理机构编制通信基础设施专项规划,报本级人民政府批准后实施。
编制通信基础设施专项规划,应当符合城市总体规划、县城总体规划和土地利用总体规划,并遵循统筹协调、集约建设的原则,避免重复建设和资源浪费。
第六条省通信管理机构应当组织协调推进全省通信基础设施均衡建设,加强农村通信基础设施建设和城市旧城区通信基础设施改造,完善网络覆盖。
第七条规划道路、桥梁、隧道等公共基础设施,应当同步考虑通信设施建设需要,及时与通信管理机构协商预留通信管线等事宜。
新建、改建、扩建民用建筑,建设单位应当按照国家标准将配套通信设施纳入建设项目的设计文件,随主体工程同步施工、验收并将所需经费纳入建设项目概算,但移动通信基站应当由通信业务经营者建设并承担所需费用。
第八条通信业务经营者进入居民住宅内新建或者改建通信设施的,应当征得业主同意;在其他已有建筑物上新建或者改建通信设施,应当事先告知建筑物的所有人、管理人或者使用人。
已有建筑物的所有人、管理人或者使用人应当为新建、改建通信设施提供通行便利和必要的场地,场地使用费按照国家和省人民政府的规定执行。
第九条通信业务经营者不得通过与建筑物的建设单位、所有人、管理人或者使用人签订排他性协议等方式,阻碍其他通信业务经营者接入和使用配套通信设施,限制通信用户自主选择权。建筑物的建设单位、所有人、管理人或者使用人应当为各通信业务经营者提供平等接入和使用配套通信设施的条件。
第十条通信业务经营者应当在大型公共场所和建筑物内的移动通信信号盲区、弱区,设置移动通信网络室内分布系统。
移动通信网络室内分布系统的设计、建设应当符合国家有关标准,满足多套移动蜂窝网络数据系统共享要求。
第十一条省通信管理机构应当根据通信行业发展规划和通信基础设施专项规划,组织通信业务经营者开展通信设施共建共享工作,推进通信网与广播电视传输网、互联网的共建共享,避免资源浪费和重复建设。
通信业务经营者应当根据技术可行、节约资源、合理负担的原则,协商共建共享通信设施。新建、改建、扩建杆塔、基站、管道等通信设施应当实行联合建设;已有的管道、杆塔、基站等通信设施应当开放共享,不具备共享条件的应当采取技术改造、扩建等方式进行共建共享。因资源整合或者布局调整,移动通信基站等通信设施不再使用的,应当及时拆除。
第十二条通信业务经营者在建筑物上附挂通信线路或者设置小型天线、移动通信基站等通信设施时,应当符合建筑物荷载要求,保证建筑物安全、正常使用;造成人身伤害、财产损失的,应当依法承担赔偿责任。
第十三条鼓励设区的市、县(市)人民政府统筹规划建设地下综合管廊,为通信线路入地提供条件。具备通信线路入地条件的,在城市规划区内不得建设架空通信线路,城市建成区内已有的架空通信线路应当逐步入地。
在风景名胜区、文物保护区和历史文化街区、名镇、名村建设通信设施,应当采取景观化或者隐蔽化建设方案。
第十四条通信设施建设应当文明、安全施工,避免或者减少影响居民、单位的正常生产生活。施工结束后,应当将施工过程中损坏的建筑物、绿地、道路等恢复原状;不能恢复原状的,应当按照国家相关规定给予补偿或者赔偿。
第三章通信服务
第十五条在本省经营通信业务,应当依法取得行政许可。运用新技术试办《电信业务分类目录》未列出的新型电信业务的,应当向省通信管理机构备案。
通信业务经营者许可或者备案事项发生变更的,应当向原许可或者备案机关办理变更手续。
第十六条通信业务经营者应当执行国家服务标准,为通信用户提供准确、安全、便捷、畅通和价格合理的通信服务,采取多种形式广泛听取通信用户意见,提升服务质量。
第十七条通信用户办理网络接入、变更、注销等手续时,应当提供真实身份信息,通信业务经营者应当对通信用户身份信息进行核验。通信用户不提供真实身份信息的,通信业务经营者不得为其提供通信服务。
第十八条通信业务经营者应当通过系统监控、日常巡查、定期查访等方式加强对通信业务商的管理,及时采取有效措施规范商的行为。
第十九条通信业务经营者应当公开服务项目及其资费标准,为通信用户交费和查询提供方便。通信用户要求提供收费清单的,通信业务经营者应当免费提供。收费清单应当按照国家规定详细记录相关内容。
第二十条通信业务经营者在为用户办理入网、变更、注销等手续时,应当根据国家相关要求签订通信服务协议。通信服务协议中不得含有对通信用户不公平、不合理的条款,通信服务协议中的限制性条件及其他需要注意的事项,通信业务经营者应当用显著的方式告知通信用户。
通信服务协议有效期间,通信业务经营者有义务保存所订立的协议。
第二十一条通信业务经营者对固定语音、移动语音、短信息、固定宽带、移动数据等业务进行组合销售时,应当另行提供单项业务服务。
第二十二条通信用户产生超出前三个月平均通信费用五倍以上的异常通信费用时,通信业务经营者应当立即告知通信用户,并采取相应的措施。
第二十三条通信业务经营者应当规范消费提醒方式,采用相对固定的渠道和统一方式向通信用户提供消费提醒服务。
因通信用户预付通信费不足可能导致暂停通信服务的,通信业务经营者应在合理的时段内,提前提醒通信用户及时交纳通信费用。
通信业务经营者未按照国家规定提供消费提醒服务,不得向通信用户收取通信费用违约金。
第二十四条通信业务经营者应当定期委托有资质的第三方检测机构对计费系统进行检测,向社会公布检测结果并向省通信管理机构报告。
省通信管理机构应当不定期地对通信业务经营者的计费系统进行抽查,将抽查结果告知通信业务经营者并向社会公布。
第二十五条通信业务经营者、电子信息内容提供者未与通信用户约定,不得向其发送商业性电子信息。
通信业务经营者发现电子信息内容提供者违反前款规定发送商业性电子信息的,应当暂停或者停止为其提供相关的通信资源或者服务,并保存有关记录。
第二十六条因工程施工或者通信设施建设等原因可能影响正常通信服务的,通信业务经营者应当提前七十二小时告知相关用户;可能对通信服务造成重大影响的,应当向省通信管理机构报告。
第二十七条通信用户申告通信服务故障的,通信业务经营者应当及时修复。故障发生在城镇的,通信业务经营者应当自接到申告之日起四十八小时内修复;故障发生在农村的,通信业务经营者应当自接到申告之日起七十二小时内修复;因特殊原因不能在上述时限内修复的,通信业务经营者应当及时通知通信用户,并免收故障期间的服务费用。但是,属于通信用户终端设备的原因造成通信服务障碍的除外。
第二十八条通信业务经营者在通信服务中,不得有下列行为:
(一)未征得通信用户同意,为其开通约定以外的通信服务项目;
(二)无正当理由拒绝、拖延或者中止提供通信服务;
(三)不履行公开作出的承诺或者作虚假宣传;
(四)擅自增加收费项目、提高与通信用户约定的资费标准或者擅自改变与通信用户约定的计费方式、收费方法,伪造、篡改通信用户的计费数据及其他与计费有关的记录;
(五)捏造、散布虚假事实损害其他通信业务经营者的合法权益或者贬低、诋毁其他通信业务经营者的企业形象、商业信誉、业务品牌,恶意对其他通信业务经营者的服务或者产品实施不兼容行为,欺骗、误导或者强迫用户不使用其他通信业务经营者依法提供的服务;
(六)其他损害通信用户或者其他通信业务经营者合法权益的行为。
第二十九条通信用户认为通信业务经营者侵犯自己合法权益的,可以向通信业务经营者投诉,通信业务经营者应当在接到投诉之日起十五日内答复;对答复结果不满意或者通信业务经营者在十五日内未答复的,通信用户可以向省通信管理机构或者其设立的专门申诉机构申诉,收到申诉的机构应当自收到申诉之日起三十日内处理并向申诉者反馈处理结果。
通信用户认为通信业务经营者侵犯自己合法权益的,也可以向消费者委员会投诉或者向人民法院起诉。
第四章通信安全
第三十条省通信管理机构应当建立健全应急通信相关制度,确保通信畅通。
第三十一条通信业务经营者应当根据通信管理机构的要求加强应急通信保障体系建设,制定通信保障应急预案,并开展应急演练。
通信业务经营者在执行应急通信保障任务时,应当服从通信管理机构的统一调度指挥,采取相应的应急措施。
第三十二条经公安交通管理部门批准,执行应急通信任务的通信车辆在确保安全的前提下,可以不受禁止机动车通行标志的限制。
第三十三条任何个人和组织不得窃取或者以其他非法方式获取用户个人信息,不得非法出售或者非法向他人提供用户个人信息。
第三十四条通信业务经营者应当建立健全用户个人信息保护制度,采取技术措施和其他必要措施,确保收集的用户个人信息安全。
通信业务经营者收集、使用用户个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围。通信业务经营者不得违反法律、行政法规的规定和双方的约定收集、使用用户个人信息;不得泄露、篡改、毁损其收集的用户个人信息。
通信业务经营者在发生或者可能发生用户个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
第三十五条通信业务经营者应当依法加强对通信用户、传输信息的管理,发现法律法规禁止、传输的信息的,应当立即停止传输、消除相关信息并保存有关记录,向有关主管部门报告。
第三十六条通信业务经营者应当采取技术、管理手段防范和打击利用通信网络实施的诈骗行为。
通信业务经营者应当规范号码传送和使用管理,严格按照国家相关规定和标准传送真实号码,建立虚假号码主叫监测和处置机制,对发现的虚假主叫号码应当立即予以处置。
通信业务经营者应当采取措施保证出租通信线路的正当使用,不得私自转接国际来话和为非法网络电话、改号电话提供语音接入服务。
第三十七条通信用户对于他人利用电话、短信等方式进行骚扰的行为,可以向通信业务经营者举报。通信业务经营者接到举报后,应当及时向有关部门报告,并协助有关部门采取措施予以查处。
第三十八条建立健全打击生产、销售和使用非法移动通信基站等违法行为的联动机制,质量技术监督、工商行政管理等行政主管部门,无线电管理机构和通信管理机构应当配合公安机关对相关违法行为的查处。
第三十九条通信业务经营者建设移动通信基站应当符合国家电磁辐射安全标准,并按照国家环境保护相关规定开展电磁辐射环境影响评估,公布评估结果。
通信业务经营者应当委托具备检测资质的机构对电磁辐射有争议的移动通信基站进行检测,检测结果应当在基站建设范围内公示,机构出具的检测报告应当向社会公开。
县级以上人民政府环境保护行政主管部门应当履行电磁辐射监管职责,对电磁辐射不符合国家标准的移动通信基站,应当依法处理。
通信管理机构应当会同环境保护行政主管部门、新闻媒体开展通信设施电磁辐射安全知识的宣传教育。
第四十条通信业务经营者应当加强通信设施的维护和管理,履行下列义务,保障通信设施安全运行:
(一)在通信设施周围设置警示标志、围墙、栅栏等必要保护设施;
(二)对通信设施运行状态进行评估;
(三)建立通信设施日常巡查、维护、检修制度,做好巡查、维护、检修记录;
(四)对通信机房、基站、重要传输线路进行重点监测,并保存监测记录。
第四十一条在国家规定的通信设施安全保护范围内,实施下列可能影响通信设施安全行为的,建设单位或者施工单位应当事先告知通信设施所有人,并采取必要的安全防护措施:
(一)建造建筑物、构筑物;
(二)新建、改建、扩建公路、铁路、桥梁、隧道、城市轨道交通等公共设施;
(三)铺设各类地下工程管线;
(四)采矿;
(五)建设生产易燃、易爆物品或者排放腐蚀性物质的工厂;
(六)其他可能影响通信安全的行为。
第四十二条禁止下列危害通信设施安全的行为:
(一)侵占、盗窃、破坏、毁损通信设施;
(二)在国家规定的通信设施安全保护范围内挖砂、取土、堆土;
(三)在埋有通信光缆、电缆、通信管道的地面上倾倒含酸、碱、盐等腐蚀性的废液、废渣;
(四)在通信设施上附挂管线、物件,栓系牲畜或者攀爬通信杆塔;
(五)涂改、移动、拆除或者毁损通信设施保护标志;
(六)其他危害通信设施安全的行为。
第四十三条任何单位和个人不得阻碍合法的通信设施建设或者从事危害通信设施安全的行为,不得擅自改动、迁移他人的通信设施。确因特殊情况需要改动、迁移的,应当与通信设施所有人协商一致后方可施工。
第五章监督管理
第四十四条通信管理机构应当建立健全通信业的监督管理制度,通过日常巡查、专项检查等方式开展监督检查,并及时在通信管理机构网站公布相关信息。
第四十五条通信管理机构应当重点加强对通信业务经营者推进通信普遍服务、通信服务质量、通信业务公平竞争、通信用户投诉处理等情况的监督检查。
省通信管理机构进行监督管理时,可以采取下列措施:
(一)进入通信业务经营者相关场所进行检查和调查取证,提取相关资料、数据;
(二)询问当事人和其他有关的组织和个人;
(三)责令终止传输违法信息;
(四)向社会公开通信业务经营者的服务质量状况;
(五)法律法规规定的其他措施。
第四十六条城市、县人民政府城乡规划行政主管部门应当会同通信管理机构加强通信基础设施专项规划执行情况的监督管理。
第四十七条通信管理机构应当会同县级以上人民政府住房和城乡建设、教育等行政主管部门加强居民住宅小区、学校等特定区域通信服务的监督管理,保障通信用户的自由选择权。
第四十八条通信管理机构及其他行政机关实施监督管理,不得妨碍被监督管理对象正常的生产经营活动,不得索取或者收受被监督管理对象的财物或者谋取其他利益。
第六章法律责任
第四十九条违反本条例第九条规定,建筑物的建设单位、所有人、管理人或者使用人未为通信业务经营者提供平等接入和使用配套通信设施条件的,由省通信管理机构责令改正,拒不改正的,处一万元以上五万元以下罚款;通信业务经营者与建设单位、所有人、管理人或者使用人签订排他性协议,阻碍其他通信业务经营者接入和使用配套通信设施的,由省通信管理机构责令改正,拒不改正的,处五万元以上十万元以下罚款。
第五十条违反本条例第十七条规定,通信业务经营者为不提供真实身份信息的用户提供通信服务的,或发现用户使用假冒、伪造、变造的证件仍然为其办理登记手续的,由省通信管理机构责令改正;拒不改正或者情节严重的,处五万元以上二十万元以下罚款,情节特别严重的,处二十万元以上五十万元以下罚款,并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
第五十一条违反本条例第二十五条规定,未与通信用户约定向其发送商业性电子信息的,由省通信管理机构责令改正,予以警告,可以并处一万元以上三万元以下罚款。
第五十二条违反本条例第二十八条第一至第三项规定,通信业务经营者在通信服务中损害通信用户权益的,由省通信管理机构责令改正、赔礼道歉、赔偿损失;拒不改正的,予以警告,并处一万元以上十万元以下罚款。
第五十三条违反本条例第三十三条规定,窃取或者以其他非法方式获取、非法出售或者非法向他人提供用户个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上五倍以下罚款;没有违法所得的,处一万元以上十万元以下罚款。
违反本条例第三十四条规定,通信业务经营者违反法律、行政法规的规定和双方的约定收集、使用用户个人信息或者泄露、篡改、毁损其收集的用户个人信息的,由省通信管理机构责令改正,可以根据情节单处或者并处警告、没收违法所得,处违法所得一倍以上五倍以下罚款;没有违法所得的,处一万元以上五万元以下罚款。
第五十四条违反本条例第四十二条第二至第五项规定,危害通信设施安全的,由省通信管理机构责令改正;造成损失的,依法予以赔偿。
第五十五条违反本条例第四十三条规定,阻碍通信设施建设的,由公安机关按照相关规定责令改正,依法处理;擅自改动、迁移他人通信设施的,由省通信管理机构责令改正,并处一万元以上三万元以下罚款;造成损失的,依法予以赔偿。
第五十六条通信管理机构及其他有关部门有下列情形之一的,对直接负责的主管人员和其他责任人员依法给予处分;构成犯罪的,依法追究刑事责任:
(一)未编制或者组织实施通信基础设施专项规划的;
(二)未依法履行通信设施建设和保护监督职责的;
(三)未依法履行应急通信组织协调职责的;
(四)其他玩忽职守、滥用职权和徇私舞弊的行为。
第五十七条对违反本条例规定的行为,有关法律、行政法规已经作出法律责任规定的,从其规定。
信息安全等级保护条例篇9
关键词:电子政务;管理体系;标准融合;信息安全;等级保护;iSo20000iSo27000Cmmi
一、政府信息系统管理面临的挑战
(一)电子政务从建到管的重心转换
我国电子政务建设从上个世纪开始,政府信息系统围绕“两网、一站、四库、十二金”的规划建立了大量的信息管理系统,政府业务主要流程已经基本实现了信息化、网络化、自动化[1],成为政府行使管理职能、为社会提供公共服务的不可或缺的基础技术支撑平台。
各级政府信息部门的工作从以建为主,逐步转向以安全为核心目标的日常管理为主。
(二)电子政务系统管理面临的重大挑战
电子政务系统管理面临诸多挑战,主要包括:
1)管理意识落后:“重技术、轻管理”、“重建设、轻维护”等现象依然存在,一些领导对新建项目关注较多,对日常管理重视程度不够;[2]
2)低水平运行:信息部门普遍采用经验管理法则,“摸着石头过河”。日常工作中常处于被动应付与“应急救火”状态.。对项目建设、运维外包的供应商的管理缺乏有效量化手段,管理粗放;
3)制度系统性差:系统管理的制度制订与实施缺乏科学方法指导,系统性较差。各制度之间重复、冲突在所难免,许多工作却又无章可循。制度要求过高或过低,可操作性、可核查性较差;
4)信息安全重视不够:一些单位从领导到一般人员仍存在着信息安全及系统可靠性全部是it专业人员的事等错误认识,在人财物及制度监督等方面都没有得到重视。
以安全为核心是当前提升电子政务管理的最佳途径
建立以信息安全为核心的电子政务管理体系,是当前快速全面提升电子政务管理水平的最佳路径。
(二)信息安全与信息系统管理的原理目标一致性
信息安全Cia基本属性指保密性(Confidentiality)、完整性(integrity)、可用性(availability)。信息系统达到了Cai这三方面要求也就实现了系统管理的基本目标。
信息安全与系统管理在以下方面是一致的:全生命周期包括设计、实施、运行、废止四个阶段的管理,性能、成本、安全之间的平衡,终极使命均是为了保障信息系统实现组织的使命。
(三)加强信息安全是电子政务的迫切需求
当前我国信息安全形势严峻,主要体现在:
黑客从谋利角度会特别关注象政府信息系统这样有大量个人宝贵隐私信息的数据库;
斯诺顿事件揭露出,国外情报机构利用其掌握的技术优势,对国内政府机构的信息系统进行大量入侵,形势严峻;
国内电子政务采用的核心软硬件设备基本都是美国的,一段时间内想要完成去ioe暂时还做不到;
一些政府机构的安全意识淡薄、内部管理不严、操作不规范等情况加重了电子政务系统所面临的风险。
(四)信息安全是国家对电子政务系统的基本要求
2014年成立“中央网络安全和信息化领导小组”,中共中央总书记、国家主席、中央军委主席亲自担任组长。国家将信息安全重要性提升到一个前所未有的高度。
政府为电子政务信息安全颁布了一系列法规与条例:1994年国务院令第147号《计算机信息系统安全保护条例》首次正式提出安全等级保护要求;公安局公通字[2004]66号《关于信息安全等级保护工作的实施意见》对涉及社会秩序、公共利益的信息系统安全等级保护作出了法定要求;国信办[2005]25《电子政务信息安全等级保护实施指南(试行)》明确了电子政务等级保护的具体要求。
电子政务作为涉及社会秩序、公共利益的重要信息系统,保障其信息安全是政府部门的法定基本义务,是对系统管理的基本要求。
二、国内外信息系统管理标准简介及融合分析
(一)主要标准介绍
信息系统管理相关标准较多,现将国内外应用比较广泛的四个标准作简单介绍。
it服务管理体系iSo20000:从英国itiL脱胎而来,现已为iSo标准,我国等同采用标准号为GB/t24405,是信息系统在运行维护阶段的专门标准。该标准定义了一系列比较抽象的流程目标,以达到运维管理的质量,包括5大过程13个管理方面,信息安全是其中一个管理方面。
信息安全管理体系iSo27000:从英国BS7799发展面来、现为iSo标准,我国等同采用标准号为GB/t22080。该标准强调以风险控制点来达到信息安全管理目的。标准要求从11个方面共计133项控制措施建立起一个组织的信息安全管理体系。
信息安全等级保护制度:我国公安部等机构制订,包括《信息系统安全等级保护基本要求GB/t22239》等一系列国家标准。该标准要求从5个技术、5个管理共计10大方面,对5类不同等级的信息系统提供不同的安全防护。
软件能力成熟度集成模型Cmmi:由美国卡内基-梅隆大学软件工程研究中心(Sei)建立,用于建设或评估一个组织的软件过程能力成熟度。模型将软件能力分为5级。成熟度达到3级时,组织必须在18个过程域,每个过程域涉及的12个通用实践及相关特殊实践方面达到模型规定要求。
(二)标准关联性及融合可行性
各标准所属领域、生命周期各阶段的对应情况列表分析如表1下。
对标准综合分析后可以得出以下结论:1)等级保护与iSo27000虽然在强制性要求、实施对象范围、具体做法上存在不少差异,但二者同属信息安全的专门标准,目标一致,共通性最强,也最容易整合。一般体系参照iSo27000,而具体措施要求参照等级保护;2)iSo27000与iSo20000在事件、业务连续性等管理方面有较大的共通性,在能力、变更、、供应商、问题管理等方面也存在许多交叉点;3)iSo27000在风险评估、最佳控制实践、全面安全管理等方面有优势。等级保护较符合中国行政管理习惯,各级要求明确具体,在重点保护原则、容易参照执行等方面有长处。[3]但在系统性方面与iSo体系有一定差距;4)Cmmi的项目计划、变更管理、配置管理、组织培训、风险管理等过程域与信息安全、运维管理的标准有很多相关、交叉的要求;5)iSo27000、等级保护在规划、建设阶段仅限于安全方面要求。Cmmi虽是针对软件开发的一个标准,但模型要求的通用实践对信息系统各阶段管理均具有较强的参考价值,可以弥补规划、建设这二个阶段中其它三个标准的不足。
表1
[针对领域\&标准阶段\&规划\&建设\&运行\&废止\&系统运维\&iSo20000\&无\&无\&有\&无\&信息安全\&iSo27000\&有\&有\&有\&有\&信息安全\&等级保护\&有\&有\&有\&有\&软件开发\&Cmmi\&有\&有\&部分有\&无\&]
四个标准面向信息系统某一领域的特定管理,采用的系统化理论、过程化方法存在大量共通性、相融性,是可以融合在一起的。
电子政务是我国信息化应用中比较成功的领域之一,业务需求实、系统投入大、应用基础好、监管力度强,从电子政务开始推动多标准融合、高起点的系统管理,是现实可行的。
(三)标准融合的必要性
系统管理涉及信息系统的全生命周期,是以安全为核心多目标的任务。各标准着眼于某一专业领域或某一特定阶段,单一采用某标准均不能完全覆盖系统管理的全部。
部分单位建立了基于多个标准的、相互独立的管理制度,则有可能会造成制度之间的重复问题,执行人员面对繁多流程难于掌握与执行,表单的重复填写与多重审批,不仅增加工作量,也严重降低工作效率。
因此,融合各标准的优点,建立一套系统、规范、实用的电子政务管理体系是十分必要的。
基于安全核心及多标准融合的电子政务管理体系构建
在政府部门、大型事业单位的信息安全、运维管理咨询的实践基础上,我们总结了电子政务管理体系构建的一些经验,与大家分享探讨。
(四)多标准融合四原则
电子政务系统管理多标准融合应遵循以下原则:
1)系统性原则:以系统工程思想为指导,建设以安全为核心的信息系统管理体系。体系应覆盖规划、建设、运行、废止全生命周期,管理对象应包括信息系统相关的全部信息资产;
2)实用性原则:整合各标准的体例、分类、术语、方法,摒弃标准中过于学术化与抽象的描述,统一规划、简单明了,保证体系获得明确、快捷的理解与执行。在兼顾标准要求基础上,具体措施应结合单位实际情况,吸纳已有成功做法;
3)灵活性原则:针对不同的信息系统规模、等保备案级别,使用中可以进行灵活、便捷的裁减。
4)合规性原则:管理体系运行结果可以同时通过政府信息安全主管部门、体系外审机构的测评、审核等要求。
(五)四级五类的体系融合方案
在研究及大量实践的基础上,我们提出了电子政务管理体系四级五类的融合方案。
按层次关系划分为四级文件:
1)一级文件--制度总则:规定了系统管理的范围、方针和目标,原则、方法及职责,主要管理过程综述。
2)二级文件--管理制度:具体规定各个方面的管理要求;
3)三级文件--规范文档:对制度的细化与明确,包括技术规范、Sop、方法、细则等;
4)四级文件--记录模板:包括表单、报告等模板。
按类别属性划分为a-e五大类制度:
a)制度总则类:制度总则及其下级文档,包括组织架构、体系负责人任命、安全区域示意图等;
B)系统管理综合类:各阶段共通的管理要求,如文件记录、人力资源、配置、变更、事件、问题、合规性等方面;
C)信息系统建设类:信息系统建设阶段相关管理文件,主要制度是项目建设管理制度,涉及立项、采购、建设、试运行、验收等。由于软件开发的特殊性,可参考Cmmi专门建立软件开发涉及的需求、设计、测试、试运行等阶段的专门要求;
D)信息系统运维类:信息系统运维到终止阶段相关管理文件,主要参考iSo20000及信息安全相关要求,如信息资产、持续性可用性、业务关系、供应商、预算及考核,以及物理、网络、主机、应用、数据的安全要求;
e)信息安全专项:信息安全专门的管理文件,包括信息安全风险评估、信息安全等级等。
(六)体系建设过程中注意要点
在制度的具体制订、实施、检查、审核过程中,应特别注意以下要点:
1)管理意识培育:应通过宣传、培训、考核等方式,树立单位全员人员对系统管理的正确认识。[4]例如:领导层要认识到对系统管理工作的资源保障、监督管理的责任;全体人员要意识到保障信息系统安全可靠人人有责;
2)人性化落地措施:管理体系本身复杂又专业性强,但涉及全体人员的要求并不多,可专门整合成册并人手一本,如能通俗化图画化则更佳。还可以采用上墙告示、目视化管理等方式,提高体系落地的有效性;
3)应用于外包管理:系统管理工作外包后,相应管理制度应成为对外包人员的要求;
4)软件工具的作用:软件工具可以使体系实施中减少工作量、固化流程、强化监督、提高效率。iSo20000相关的运维工具,只要增加规划、建设阶段的审核流程,就能满 足体系的大多数管理需求。
参考文献
[1]李长征.中国电子政务运维管理现状与发展趋势(J),电子政务,2008年,第12期,19-20
信息安全等级保护条例篇10
安徽省人民代表大会常务委员会
公告
(第五十二号)
《安徽省旅游条例》已经2017年3月31日安徽省第十二届人民代表大会常务委员会第三十七次会议修订,现将修订后的《安徽省旅游条例》公布,自2017年6月1日起施行。
安徽省人民代表大会常务委员会
2017年4月1日
安徽省旅游条例
(2005年10月21日安徽省第十届人民代表大会常务委员会第十九次会议通过2012年2月25日安徽省第十一届人民代表大会常务委员会第三十二次会议修正2017年3月31日安徽省第十二届人民代表大会常务委员会第三十七次会议修订)
第一章总则
第一条为了保护和合理利用旅游资源,规范旅游市场秩序,保障旅游者和旅游经营者的合法权益,优化旅游环境,促进旅游业持续健康发展,根据《中华人民共和国旅游法》和有关法律、行政法规,结合本省实际,制定本条例。
第二条本条例适用于本省行政区域内的旅游资源保护和利用、旅游活动、旅游服务经营,以及相关的监督管理。
第三条旅游业发展应当突出地方特色,遵循政府引导、市场主导、创新驱动、产业融合、统筹推进的原则,使市场在旅游资源配置中起决定性作用和更好发挥政府作用,实现社会效益、经济效益和生态效益相统一。
第四条省人民政府应当推进旅游业供给侧结构性改革,加大对旅游业的政策支持和扶持力度,建设旅游特色精品景区,打造旅游精品线路,构建旅游新业态,发展特色旅游商品,培育旅游领军企业,构建全域旅游格局,将旅游业培育成战略性支柱产业。
第五条县级以上人民政府应当将旅游业发展纳入国民经济和社会发展规划,建立旅游业发展综合协调机制,统筹解决旅游业发展的重大问题。
县级以上人民政府旅游主管部门具体负责本行政区域旅游业发展统筹协调和旅游监督管理工作。
县级以上人民政府其他有关部门按照各自职责,做好促进旅游业发展和旅游监督管理相关工作。
第六条旅游行业组织应当完善行业自律制度,发挥服务、引导、规范、协调、监督作用,开展法治和诚信宣传教育,引导会员守法经营、诚信服务、公平竞争,维护会员合法权益。
第二章旅游规划与发展
第七条县级以上人民政府旅游主管部门应当会同有关部门对旅游资源进行普查、评价,建立旅游资源数据库,向社会公布旅游资源数据信息。
第八条省、设区的市和旅游资源丰富的县级人民政府应当组织编制旅游发展规划,并向社会公布。编制旅游发展规划,应当广泛征求专家和社会公众意见。
跨行政区域的旅游发展规划,应当由相关设区的市、县级人民政府协商编制,或者由共同上一级人民政府组织编制。
下级人民政府的旅游发展规划应当符合上级人民政府旅游发展规划。
旅游发展规划不得擅自变更。因特殊情况确需调整、变更的,应当按照编制程序进行。
第九条旅游发展规划应当符合国民经济和社会发展规划、主体功能区规划,与土地利用总体规划、城乡规划、环境保护规划、水资源规划、交通规划以及风景名胜区、自然保护区、文物保护区、饮用水源地、森林公园、地质公园、湿地和历史文化名城、名镇、名村、街区等保护利用规划相衔接。
第十条县级以上人民政府负责组织实施旅游发展规划,并对实施情况进行评估。评估结果应当向社会公布。
第十一条开发旅游资源、建设旅游项目,应当符合旅游发展规划。建设旅游项目,应当依法进行环境影响评价。
第十二条利用自然保护区、森林公园、湿地等自然资源发展旅游的,应当维护自然资源的区域整体性,保护生物多样性、生态系统稳定性,促进自然资源可持续利用。
利用历史、文化、建筑等人文资源发展旅游的,应当保持相关人文资源的历史风貌、民族特色、传统格局,尊重文化传统和习俗,体现文化代表性和地域特殊性。
利用工业、农业、水利、体育等社会资源发展旅游的,应当保持其内容与环境、景观、设施协调统一。
第十三条县级以上人民政府应当依据旅游发展规划和旅游业发展需要,安排旅游发展资金,加大对旅游基础设施建设、旅游公共服务、旅游形象推广的投入。
第十四条县级以上人民政府应当支持社会资本投资旅游业,扶持特色旅游企业,鼓励组建跨界融合的产业集团和产业联盟。
鼓励银行业金融机构创新旅游企业、旅游项目信贷产品,加强信贷支持;鼓励保险机构开发旅游保险产品和服务。
鼓励居民和农村集体经济组织采用入股、租赁、合作等方式参与所在地旅游资源的开发和经营。
第十五条县级以上人民政府应当制定并组织实施有利于旅游业持续健康发展的产业政策,支持旅游业在要素资源配置、生态补偿等方面进行创新,促进旅游业与相关产业融合。
宾馆饭店等服务业企业的用水、用气、用电、用热收费标准,按照国家规定与工业企业同价。
第十六条县级以上人民政府应当采取措施,鼓励跨区域旅游线路和产品开发,推动区域旅游合作,促进区域旅游一体化。
任何单位和个人不得限制、阻碍本行政区域外的旅行社、导游和旅游车辆在本地的合法旅游经营活动。
第十七条利用荒山、荒坡、荒滩、废弃矿山、采煤沉陷区开发旅游项目且符合生态环境保护和相关规划要求的,县级以上人民政府应当优先安排新增建设用地指标。
第十八条县级以上人民政府应当统筹建设连通景区的公路、旅游集散中心和通信、水电等基础设施;引导和支持社会资本建设汽车旅馆、自驾车房车营地、游轮游艇码头、旅游公用停车场、旅游厕所等旅游设施。
县级以上人民政府旅游主管部门应当会同交通运输、住房城乡建设等部门,督促公路和城市道路的投资、建设、经营主体,按照国家和本省相关规定,在通往景区的公路、城市道路设置旅游指示标识。
第十九条县级以上人民政府应当采取措施,扶持革命老区、贫困地区、库区发展旅游业,并在新增建设用地计划指标和道路交通、环境卫生等基础设施建设方面给予重点支持。
第二十条鼓励依托旅游资源,建设旅游度假区以及其他旅游示范区,发展特色旅游经济。
设立旅游度假区按照国家和省有关规定办理。
第二十一条省人民政府旅游主管部门应当建立标准统一、功能完善、衔接顺畅的智慧旅游综合服务平台。
设区的市、县级人民政府应当根据需要组织建立旅游公共信息和咨询服务平台,无偿向社会提供旅游景区、线路、交通、气象、客流量预警、食宿、安全、医疗急救等公共信息和旅游法律知识等咨询服务。
县级以上人民政府旅游主管部门应当根据需要,在机场、火车站、汽车站、码头、高速公路服务区、商业集中区等公共场所设立旅游咨询服务中心。
县级以上人民政府及其有关部门应当鼓励旅游集散地、景区提供免费无线局域网接入服务,推动智能导游、电子讲解和信息推送等智慧旅游服务功能建设。
第二十二条省人民政府旅游主管部门应当会同有关部门组织开展安徽旅游形象、重要旅游线路宣传推广,组织协调重大旅游营销活动。
设区的市、县级人民政府旅游主管部门应当组织开展本地旅游形象、重要旅游线路和大型旅游活动宣传推广。
第二十三条鼓励支持高等院校、职业培训机构开展旅游职业教育,与旅游经营者合作设立旅游人才培训、创业基地。
第二十四条县级以上人民政府应当采取有效措施,推动国家机关、社会团体、企业事业单位和其他社会组织落实带薪年休假制度。
第三章旅游业态创新
第二十五条县级以上人民政府应当鼓励发展红色旅游,重点建设红色旅游经典景区,推广红色旅游精品线路,培育红色旅游品牌。
第二十六条 各级人民政府应当鼓励开展世界遗产地、古城、古镇、古村、名人故居故里、古道等旅游活动;鼓励依托徽州四雕、文房四宝等旅游资源,开发具有地方特色的文化旅游产品,培育文化旅游品牌。
鼓励发展文化创意、影视制作、演艺娱乐、文化会展和动漫游戏等各类文化旅游产业,举办文化旅游演出和节庆活动。
第二十七条县级以上人民政府应当鼓励中医药资源丰富的地区开发中医药健康旅游服务产品,发展健身康体、特色医疗、疗养休养等旅游业态。
县级以上人民政府卫生计生、旅游等部门应当支持发展中医药健康旅游示范区、示范基地和示范项目。
第二十八条县级以上人民政府应当鼓励旅游经营者依托森林、温泉等自然资源,开发养生养老等旅游产品,推动旅游业与养生养老产业相结合。
第二十九条县级以上人民政府应当鼓励旅游经营者开发自驾旅游、徒步骑行等旅游产品。
旅游经营者经营自驾旅游、徒步骑行业务的,应当与旅游者签订书面协议。
以俱乐部、车友会、协会以及其他形式组织自驾旅游、徒步骑行等旅游活动的,召集者、组织者应当具备必要的导向与联络、应急与救护等工具和设备,并告知可能危及旅游者人身、财产安全的注意事项。
第三十条 县级以上人民政府教育、旅游等部门应当鼓励和支持学校组织中小学生开展研学旅行活动。
县级以上人民政府应当支持依托珍稀动植物等自然资源和非物质文化遗产资源、大型公共设施、知名院校、工矿企业、科研机构、大型农场,建设研学旅行基地。
第三十一条县级以上人民政府应当支持特色小镇建设,优先安排与乡村旅游配套的交通、通信、水电等基础设施建设,培育乡村旅游集聚区、环城市乡村旅游带。
第三十二条各级人民政府应当鼓励农村集体经济组织、农民专业合作社、土地流转经营者和农村居民利用自有住宅、宅基地和承包、流转的土地、山林、水面从事旅游餐饮、住宿和旅游休闲等旅游经营服务。
县级以上人民政府旅游主管部门,应当对乡村旅游资源利用和保护、产品开发、服务经营给予指导、监督。食品药品监管、林业、公安消防、卫生计生、环境保护等部门,应当对乡村旅游服务经营的食品安全、消防安全、公共卫生、环境保护等给予指导、监督。
第四章旅游者的权利与义务
第三十三条旅游者享有下列权利:
(一)知悉购买的旅游产品和服务的真实情况;
(二)自主选择旅游经营者和旅游产品、服务;
(三)拒绝强制交易;
(四)要求旅游经营者按照合同约定提品和服务;
(五)人身、财产安全遭遇危险时,请求旅游经营者、当地人民政府及其有关部门救助和保护;
(六)人身、财产受到侵害的,依法获得赔偿;
(七)法律、法规规定或者旅游合同约定的其他权利。
旅游者的人格尊严、民族风俗习惯和应当得到尊重。
第三十四条旅游者应当履行下列义务:
(一)遵守社会公共秩序和社会公德,尊重旅游地风俗习惯、文化传统和;
(二)爱护旅游资源,保护生态环境,遵守旅游文明行为规范;
(三)向旅游经营者如实告知与旅游活动相关的个人健康信息;
(四)遵守旅游安全警示规定,配合政府及其有关部门、旅游经营者采取的安全防范和应急处置措施;
(五)法律、法规规定或者旅游合同约定的其他义务。
旅游者在旅游活动中或者在解决纠纷时,不得损害当地居民的合法权益,不得干扰他人的旅游活动,不得损害旅游经营者和旅游从业人员的合法权益。
第三十五条进入景区的旅游者不得擅自进入未开发开放区域进行游览活动,不得擅自进行影响景区资源安全和人身安全的活动。
第三十六条旅行社约定的旅游饭店、运输企业、餐馆、购物场所、景区等,在提供约定的服务中侵害旅游者合法权益的,旅游者可以依照法律规定直接要求旅行社赔偿;旅行社先行承担赔偿责任,再向责任人追偿。
第三十七条旅游者合法权益受到侵害或者与旅游经营者发生纠纷的,可以选择下列方式解决:
(一)双方协商;
(二)向旅游、履行工商管理职责的部门或者消费者权益保护委员会投诉;
(三)申请当地旅游行业组织调解;
(四)依法申请仲裁;
(五)依法向人民法院提讼。
第五章旅游服务与经营
第三十八条旅游经营者享有下列权利:
(一)拒绝违反法律、法规规定的检查、收费、摊派;
(二)拒绝旅游者提出的违反法律、法规和社会公德的要求或者超出旅游合同约定的不合理要求;
(三)尚未公开的旅游线路、营销计划、销售渠道、客户名单等商业秘密受法律保护;
(四)法律、法规规定的其他权利。
第三十九条旅游经营者在旅游经营活动中应当履行下列义务:
(一)遵守法律、法规,依照国家标准和行业标准提供规范化的旅游服务;
(二)遵循自愿、平等、公平、诚实信用原则,按照合同约定履行义务;
(三)保护旅游资源和旅游环境;
(四)对旅游从业人员进行法律法规、职业道德、执业规范、业务技能和安全防范培训;
(五)建立并落实旅游安全责任制度,保障旅游者的人身、财产安全;
(六)接受有关行政管理部门的监督管理;
(七)法律、法规规定的其他义务。
第四十条旅游经营者及其从业人员不得有下列行为:
(一)安排旅游者参观或者参与违反法律、法规,损害国家利益和民族尊严,含有民族、种族、宗教、性别等歧视内容,以及涉及色情、、、教唆吸毒的旅游项目或者活动;
(二)提供虚假旅游服务经营信息,误导旅游者;
(三)以不合理的低价等形式招徕旅游者;
(四)诱骗、胁迫旅游者接受服务或者购买商品;
(五)未经旅游者同意,转团、并团,强行滞留旅游团队,或者在旅游行程中甩团、甩客;
(六)法律、法规禁止的其他行为。
第四十一条旅行社应当与其聘用的导游签订劳动合同,支付劳动报酬,缴纳社会保险费用。旅行社支付导游的工资不得低于当地最低工资标准。
旅行社临时聘用导游为旅游者提供服务的,应当与导游签订临时聘用合同,及时全额支付导游服务费用。
旅行社安排导游为旅游者提供旅游服务的,不得要求导游垫付费用,或者向导游收取任何费用;不得以安排旅游者购物、自付费项目的回扣代替导游服务费用。
第四十二条导游服务应当符合旅游合同约定的标准。导游不得擅自变更旅游行程或者中止服务,不得向旅游者索要小费,不得诱导、欺骗、强迫或者变相强迫旅游者购物或者参加另行付费旅游项目。
导游有权拒绝旅游者提出的侮辱人格或者违反职业道德的不合理要求。
第四十三条景区应当按照国家标准、行业标准设置停车场、公厕、无障碍设施、通信、水电等设施以及旅游指示牌、警示牌、解说牌。
第四十四条景区应当公布景区主管部门核定的最大承载量,制定旅游者流量控制方案,采取门票预约、分时进入、限制进入和景区内分流疏导、交通调控等措施,控制景区旅游者数量。
旅游者数量可能达到最大承载量时,景区应当提前公告,同时向当地人民政府报告;景区和当地人民政府应当及时采取措施疏导、分流旅游者。
第四十五条利用公共资源建设的景区的门票以及景区内的游览场所、交通工具等另行收费项目,实行政府定价或者政府指导价,严格控制价格上涨。拟收费或者提高价格的,应当举行听证会,征求旅游者、经营者和有关方面的意见。
景区有多处景观或者游览项目的,应当分别设置单项门票和多项联票、套票,并向旅游者公示。多项联票、套票的价格不得高于各单项门票价格之和。禁止强行出售多项联票、套票。
第四十六条景区应当对未成年人、全日制学校学生、军人、劳动模范、老年人、残疾人实行门票价格减免。列入爱国主义教育基地的景区,对学校参观的学生应当免收门票。
景区应当在售票窗口明示享受门票优惠的条件和其他相关信息。
第四十七条旅游经营者组织漂流、探险、高空、高速等高风险旅游项目,应当按照国家有关规定取得经营许可并投保责任险。
旅游经营者应当加强运营管理,对运营的观光电梯、客运索道、大型游乐设施等特种设备,在每日投入使用前,应当进行试运行和例行安全检查,并对安全附件和安全保护装置进行检查,确认安全后,方可投入使用。
第四十八条旅游经营者通过网络从事旅游经营的,应当在其网站主页的显著位置加贴营业执照电子链接标识,标明营业执照、经营地址、联系方式等信息。实际旅游产品和服务由其他经营者提供的,还应当在网站主页的显著位置标明实际提供者的名称、经营地址、联系方式等信息。
通过网络经营旅游交通、住宿、餐饮、游览、娱乐等单项代订业务的,应当选择具有相应经营资质的经营者作为服务提供方。
通过网络经营包价旅游、销售包价旅游产品、委派领队或者导游、代办旅游签证等旅行社业务的,应当取得旅行社经营许可证,并在其网站主页的显著位置标明许可证信息。
第四十九条有条件的旅游经营者应当开展在线预订、互联网金融服务,拓宽移动支付在旅游业的应用。
网络交易平台为旅游经营者提供交易服务的,应当核实旅游经营者的营业执照和经营许可;未经核实,不得提供交易服务。
第六章旅游安全与监管
第五十条县级以上人民政府统一负责旅游安全工作。县级以上人民政府有关部门依照法律、法规履行旅游安全监管职责。
县级以上人民政府应当依法将旅游应急管理纳入政府应急管理体系,制定应急预案,建立旅游突发事件应对机制。
第五十一条县级以上人民政府应当组织旅游主管部门会同有关部门对本行政区域的旅游安全风险进行监测评估,及时向社会旅游安全警示信息。
景区接到风暴、雨雪等恶劣气候预报时,应当及时公告,对进入景区的游客及时疏导,保障其安全。
第五十二条发生自然灾害、事故灾难、公共卫生事件、社会安全事件或者其他可能危及旅游者人身、财产安全的突发事件后,事发地人民政府及其有关部门和机构应当立即采取措施开展救援,将旅游者转移到安全地带,协助旅游者返回出发地或者旅游者指定的合理地点。
第五十三条旅游经营者应当制定旅游者安全保护制度,配备必要的安全设备设施和人员;定期对提供的产品和服务进行安全检验、监测和评估;对直接为旅游者提供服务的从业人员,开展安全风险防范和应急救助技能培训。
旅游经营者组织和接待老年人、未成年人、残疾人等旅游者,应当采取相应的安全保障措施。
第五十四条旅游经营者应当严格执行国家有关安全管理规定,配备安全保护设施。经营可能危及旅游者人身、财产安全的旅游项目,应当具备保障人身和财产安全的技术条件、设备和救护设施,并向旅游者作出真实的说明和明确的警示。
第五十五条突发事件或者旅游安全事故发生后,旅游经营者及其从业人员应当立即采取必要的救助和处置措施,妥善安排旅游者,并立即向事件或者事故发生地人民政府或者有关部门报告。
第五十六条在禁止通行、没有道路通行的区域,任何单位或者个人不得违反规定开展风险性较高的旅游活动。
违反前款规定发生旅游安全事故产生的救援费用,应当由旅游活动组织者及被救助人相应承担。
第五十七条设区的市、县级人民政府根据本地实际,经法定程序批准,可以采取综合执法等方式实施旅游监督管理。
县级以上人民政府旅游主管部门应当会同公安、卫生计生、交通运输、环境保护、工商、质监、价格、食品药品监管等部门,建立旅游联合执法机制,对旅游安全、旅游服务经营进行监督检查。
第五十八条省人民政府旅游主管部门应当建立旅游标准化管理制度,开展旅游标准化宣传培训,推动旅游经营者实施旅游业国家标准、行业标准和地方标准。
第五十九条县级以上人民政府旅游主管部门和其他有关部门,应当记录旅游经营者、旅游从业人员、旅游者旅游违法失信信息,按照国家有关规定进行惩戒,并向社会公布。
鼓励、支持旅游行业组织建立行业诚信自律规则和行业诚信档案,对其会员进行诚信等级评定。
第六十条县级以上人民政府旅游主管部门应当建立旅游投诉举报制度,设立并公布投诉电话、网站,接受旅游者的投诉、举报,并及时作出处理;对不属于本部门职责范围的事项,应当及时移交有权处理的部门,有关部门应当及时调查处理。
第七章法律责任
第六十一条违反本条例第三十五条规定,擅自进入未开发开放区域进行游览活动,擅自进行影响景区资源安全和人身安全的活动,由景区主管部门或者法律、法规授权的景区管理机构责令改正;拒不改正的,给予警告或者一千元以上三千元以下的罚款。
第六十二条旅游经营者违反本条例第四十条第一项规定,安排旅游者参观或者参与损害国家利益和民族尊严,含有民族、种族、宗教、地域、性别等歧视内容,以及涉及色情、、和教唆吸毒的项目或者活动的,由旅游主管部门责令改正,没收违法所得,责令停业整顿,并处二万元以上二十万元以下罚款;主动消除或者减轻危害后果的,可以处二万元以上十万元以下罚款;情节严重的,吊销经营许可证;对直接负责的主管人员和其他直接责任人员,处二千元以上二万元以下罚款,并暂扣或者吊销导游证。
第六十三条旅游经营者违反本条例第四十条第三项规定,以不合理的低价等形式招徕旅游者的,由价格主管部门依法给予处罚。
第六十四条旅游经营者违反本条例第四十条第五项规定,未经旅游者同意,擅自转团、并团,强行滞留旅游团队,或者在旅程中甩团、甩客的,由旅游主管部门责令改正,处三万元以上三十万元以下罚款,并责令停业整顿;主动消除或者减轻危害后果的,可以处三万元以上十五万元以下罚款;造成旅游者滞留等严重后果的,吊销经营许可证;对直接负责的主管人员和其他直接责任人员,处二千元以上二万元以下罚款,并暂扣或者吊销导游证。
第六十五条旅游经营者违反本条例第四十五条规定,强行出售多项联票、套票的,由旅游主管部门责令改正,没收违法所得,处违法所得一倍以上五倍以下罚款;没有违法所得的,处二千元以上一万元以下罚款。
第六十六条旅游经营者违反本条例第四十八条第一款、第三款规定,未在其网站主页的显著位置加贴或者标明相关信息的,由履行工商行政管理职责的部门责令改正;拒不改正的,处二千元以上一万元以下罚款。
第六十七条网络交易平台违反本条例第四十九条第二款规定,未核实旅游经营者营业执照和经营许可,直接为其提供交易服务的,由履行工商行政管理职责的部门责令改正;拒不改正的,处一万元以上三万元以下罚款。
第六十八条旅游者、旅游经营者及其从业人员违反本条例有关规定,法律、行政法规和本省其他地方性法规已作处罚规定的,从其规定;造成旅游者人身损害或者财产损失的,依法承担民事责任。
第六十九条旅游主管部门和其他有关部门工作人员违反本条例规定,、、的,由所在单位或者上级机关依法给予处分;构成犯罪的,依法追究刑事责任。