商务行政处罚程序规定
商务部
中华人民共和国商务部令2012年第6号《商务行政处罚程序规定》
商务部令2012年第6号
《商务行政处罚程序规定》已经2012年3月9日商务部第61次部务会议审议通过,现予发布,自2012年7月1日起施行。《生猪屠宰行政处罚程序规定》(国内贸易局1998年第1号令)同时废止。
部 长:陈德铭
二〇一二年五月十二日
商务行政处罚程序规定
第一章 总 则
第一条 为规范商务主管部门实施行政处罚,保护公民、法人和其他组织的合法权益,根据《中华人民共和国行政处罚法》(以下简称行政处罚法)及有关法律、行政法规的规定,结合商务系统实际,制定本规定。
第二条 商务主管部门实施行政处罚,以及开展与行政处罚相关的监督检查、调查取证等活动,应当遵守行政处罚法和有关法律、法规、规章及本规定。
第三条 商务主管部门实施行政处罚应当遵循以下原则:
(一)以法律、法规、规章为依据;
(二)以事实为基础,处罚内容与违法行为的事实、性质、情节以及社会危害程度相当;
(三)公正、公开、及时实施;
(四)保障公民、法人或其他组织的合法权益;
(五)坚持处罚与教育相结合。
第四条 商务主管部门实施行政处罚由其内设机构根据职责分工依法具体实施。商务主管部门可以将本部门行政处罚工作统一交由一个内设机构,或者依法委托符合行政处罚法第十九条规定条件的组织具体承担。
内设机构应当在所属商务主管部门法定权限内,并以所属商务主管部门名义实施行政处罚。受委托组织应当在委托范围内,以委托商务主管部门名义实施行政处罚;不得再委托其他组织或个人实施行政处罚。
商务主管部门应当加强对内设机构和受委托组织实施行政处罚的监督,并对其行为后果承担法律责任。
第五条 商务主管部门执法人员(以下简称执法人员)开展现场检查、调查取证、当场作出处罚决定等活动时不得少于两人,并应当遵守本规定第二十二条有关回避规定,向当事人或有关人员出示执法证件。
第二章 管 辖
第六条 县级以上地方商务主管部门依照有关法律、法规、规章规定的职责分工,负责本行政区域行政处罚及相关工作。上下级商务主管部门均有权管辖的事项,以下级商务主管部门管辖为主。
商务部依法管辖由本部门实施行政处罚的案件及全国范围内发生的重大、复杂案件。
第七条 上级商务主管部门认为必要时,可将本部门有关日常监督检查及案件调查等工作,委托给下一级商务主管部门承担;也可根据下级商务主管部门的请求,处理下级商务主管部门管辖的案件。
下级商务主管部门认为应当由其管辖的案件属重大、疑难案件,或者由于特殊原因难以自行办理的,可以依法报请上一级商务主管部门管辖或者指定管辖。
第八条 商务行政处罚由违法行为发生地的县级以上地方人民政府具有行政处罚权的商务主管部门管辖,法律、行政法规另有规定的,从其规定。
对当事人的同一违法行为,两个以上商务主管部门都有管辖权的,由最先立案的商务主管部门管辖。
商务主管部门发现受理的案件不属于本部门管辖的,应当及时移送有管辖权的商务主管部门。受移送的商务主管部门有异议的,按本规定第九条处理,不得再自行移送。
第九条 两个以上商务主管部门因管辖权发生争议的,可协商解决,协商不成的,可以报请共同的上一级商务主管部门指定管辖。
第十条 商务主管部门办理跨行政区域案件需要其他商务主管部门协查的,可以发协查函。必要时,可以报请共同的上一级商务主管部门予以协调。
有关商务主管部门应当予以协助并及时书面告知协查结果。
第十一条 商务主管部门开展行政处罚需要其他行政机关配合或者涉及其他行政机关执法权限的,应主动加强与其联系,探索开展联合执法或者建立执法协作机制。
商务主管部门发现受理的案件属于其他行政机关管辖的,应当依法移送其他有关机关;发现违法行为涉嫌犯罪的,应当依照有关规定将案件及时移送司法机关。
第三章 监督检查
第十二条 县级以上地方商务主管部门通过接收举报投诉、现场检查等方式,对公民、法人或其他组织在商务活动中是否遵守法律、法规、规章情况进行监督检查。
商务主管部门实施监督检查,不得妨碍公民、法人或其他组织正常的生产经营活动,不得借机索取或者收受财物,不得谋取其他利益。
第十三条 商务主管部门通过公布12312举报投诉热线、开通在线举报投诉窗口、接待来信来访等方式,健全举报投诉服务网络,完善举报投诉工作机制,面向社会接收、办理举报投诉。
对接收的举报投诉,商务主管部门应当制作《商务行政执法举报投诉记录》,并依照本规定第二十条规定方式处理。举报人要求保密的,应当采取保密措施。
第十四条 在符合以下条件的情况下,执法人员可进入有关经营场所实施现场检查:
(一)因开展日常检查、专项检查、抽查、案件调查等,确有必要实施现场检查;
(二)有关法律、法规规定可以实施现场检查;
(三)有明确具体的检查对象和检查内容;
(四)检查内容属于商务行政执法范畴。
执法人员实施现场检查,应当经商务主管部门或者执法机构负责人事先批准。情况紧急来不及报批的,应当在事后 及时补办手续。
第十五条 执法人员实施现场检查时,可以根据有关法律、法规规定及具体情况行使下列职权:
(一)听取被检查人根据检查内容介绍有关情况;
(二)查验被检查人有关许可证、资格证或备案登记情况;
(三)查阅、复制被检查人有关记录、票据及其他材料;
(四)询问有关人员;
(五)为案件调查而实施现场检查的,依照本规定第四章有关规定进行调查取证。
必须对自然人的人身或者住所进行检查的,应当依法提请公安机关执行,商务主管部门予以配合。执法人员应当为被检查人保守商业秘密。
第十六条 在现场检查中发现违法事实的,执法人员应当按照本规定第二十条予以处理。情节显著轻微的,可以只提出口头警告,责令被检查人立即改正。
有下列情形之一,有关法律、法规明确规定可以采取查封、扣押措施的,执法人员可以依法查封涉嫌违法的场所、设施,查封、扣押涉嫌违法的财物:
(一)发现违禁物品;
(二)需要立即制止违法行为;
(三)防止证据损毁;
(四)防止当事人转移涉嫌违法财物;
(五)防止发生损害或扩大损害后果;
(六)法律、法规规定的其他情形。
采取查封、扣押措施,应当经商务主管部门负责人批准;对重大案件或者数额较大的财物需要采取查封、扣押措施的,应由负责人集体讨论决定。已被其他国家机关依法查封的,不得重复查封。
第十七条 采取查封、扣押措施,执法人员应当场清点财物,向被检查人出具《商务行政执法查封(扣押)通知书》及财物清单,告知其享有申请行政复议和提起行政诉讼的权利。
对查封的财物,商务主管部门可以指定当事人或者委托第三人保管,当事人或者第三人不得损毁或者转移。对扣押的财物,商务主管部门应当妥善保管,严禁动用、调换或者损毁。对容易腐烂、变质的物品,法律、法规规定可以直接先行处理,或者当事人同意先行处理的,经商务主管部门负责人批准,在采取相关措施留存证据后可以先行拍卖或者以市价变卖,依法处理拍卖或变卖所得。
第十八条 商务主管部门采取查封、扣押措施后,应当及时查清事实,在30日内根据不同情况作出以下处理决定:
(一)对违法事实清楚,依法应当予以没收的非法财物,予以没收,法律、行政法规规定应当销毁的,依法销毁;
(二)对没有违法行为或者不再需要采取查封、扣押措施的,应当立即解除查封、扣押措施,送达《解除查封扣押通知书》,将查封、扣押财物或者拍卖、变卖所得及时返还。
商务主管部门30日内未作出决定的,经商务主管部门负责人批准,可以延长30日。逾期仍未作出决定的,查封、扣押措施自动解除。当事人要求退还被扣押财物的,应当立即退还。
第十九条 现场检查结束时,执法人员应当根据情况制作《商务行政执法现场检查笔录》,全面反映现场检查内容、检查过程、检查结果和处理意见等。必要时,可以采取拍照、录像等方式记录现场检查情况。
笔录经核对无误后,执法人员和被检查人应当签名、盖章或以其他方式确认。被检查人对笔录有异议的,可在笔录上注明理由并签名;被检查人拒绝签名的,两名执法人员在笔录上注明情况并签名。
第四章 立案与调查
第二十条 商务主管部门在现场检查中发现违法事实,接到社会举报投诉,收到其他商务主管部门或有关部门移送的案件后,应当在7日内按以下方式处理,并将处理情况告知有关方面:
(一)不属于本部门管辖的,移送有权机关处理;
(二)情况不属实或者不符合第二十一条规定条件的,不予立案;
(三)违法事实确凿,符合本规定第三十条规定条件的,适用简易程序处理;
(四)符合第二十一条规定条件的,予以立案;特殊情况下,可以延长至15日内决定立案。
上级商务主管部门指定管辖的案件,按前款(二)(三)(四)项处理。
第二十一条 对于符合以下条件的案件,商务主管部门应当立案:
(一)有明确的违法行为人或危害后果,可能需要给予行政处罚;
(二)有来源可靠的事实根据;
(三)属于商务行政处罚的范围;
(四)属于本部门管辖。
立案应当填写《商务行政处罚立案审批表》,附上相关材料(现场检查获取材料、举报投诉材料或案件移送材料等),由商务主管部门负责人批准,并确定两名以上执法人员为承办人,负责案件调查、初步审理等工作。
第二十二条 案件承办人员和其他参与办案人员有下列情形之一的,应当自行回避,当事人也有权申请其回避:
(一)是本案的当事人或其近亲属;
(二)本人或其近亲属与本案有利害关系;
(三)与本案当事人有其他关系,可能影响案件公正处理的。
回避由受理案件的商务主管部门负责人决定,负责人的回避由其他负责人集体研究决定。回避未决定前,被申请回避人员不得擅自停止对案件的调查处理。
第二十三条 除可以当场作出的行政处罚外,案件承办人员应当及时、全面、客观、公正地调查收集与案件有关的证据,查明事实。必要时可依照本规定第三章有关规定进行现场检查。
证据包括以下几种:
(一)书证;
(二)物证;
(三)视听材料;
(四)证人证言;
(五)当事人陈述;
(六)鉴定结论;
(七)勘验笔录、现场检查笔录;
(八)其他法律法规认可的证据。
以上证据,应当符合有关法律、法规、规章关于证据的规定,并经查证属实,才能作为认定事实的依据。
第二十四条 案件承办人员可以询问当事人及证人。询问应个别进行,并制作《商务行政处罚询问笔录》。
询问笔录应当交被询问人核对;对阅读有困难的,应当向其宣读。询问笔录如有差错、遗漏,应当允许其更正或补充,并在更正或补充部分签名、盖章或以其他方式确认。经核对无误后,由被询问人在询问笔录上逐页签名、盖章或以其他方式确认。执法人员也应在询问笔录上签名。
案件承办人员可以要求当事人及证人提供证明材料或者与调查事项有关的其他材料,并由材料提供人在有关材料上签名或盖章。
第二十五条 案件承办人员应当收集、调取与案件有关的原始凭证或原始载体作为证据。
获取原始凭证或原始载体确有困难的,可以提取复制件、影印件或者抄录本,由证据提供人标明"经核对与原件无误",注明日期与证据出处,并签名或盖章。
第二十六条 案件承办人员在收集证据时,可以采取抽样取证的方法;在证据可能灭失、损毁或者以后难以取得的情况下,可以根据情况采取记录、复制、拍照、录像等证据保全措施,或者经商务主管部门负责人批准,采取先行登记保存等措施。
对证据进行抽样取证,采取证据保全措施或者先行登记保存措施,应有当事人在场;当事人不在场或无正当理由拒绝到场的,可以请在场的其他人员见证并证明。
对抽样取证或者登记保存的物品应当开列清单,并依据情况分别制作《商务行政处罚抽样取证记录》或《商务行政处罚先行登记保存证据通知书》,标明物品名称、数量、单价等事项,由案件承办人员、当事人签名或盖章,交付当事人。当事人拒绝签名、盖章或者接收的,案件承办人员应注明情况并签名。
先行登记保存物品时,在原地保存可能妨害公共秩序或公共安全,或者有其他不宜原地保存情形的,可以异地保存。
第二十七条 对先行登记保存的证据,应当在7日内采取以下措施:
(一)需要鉴定的,依照本规定第二十八条规定进行鉴定;
(二)违法事实成立,依法应当予以没收的,作出行政处罚决定,没收违法物品;
(三)需要查封、扣押的,依本规定第十六条、第十七条、第十八条有关规定采取查封、扣押措施;
(四)违法事实不成立,或者违法事实成立但依法不应当予以查封、扣押或没收的,决定解除先行登记保存措施。
逾期未作出处理决定的,先行登记保存措施自动解除。
第二十八条 案件承办人员调查违法事实,需要对案件中专门事项进行鉴定的,应当出具载明委托鉴定事项及相关材料的《鉴定委托书》,委托具有法定鉴定资格的鉴定机构进行鉴定。
没有法定鉴定机构的,可以委托其他具备鉴定条件的机构鉴定。
鉴定结论应当由鉴定人员签名或盖章,加盖鉴定机构公章。
第二十九条 案件调查终结,或者商务主管部门认为应当终止调查的,按照以下方式处理:
(一)认为违法事实成立,应当予以行政处罚的,撰写《商务行政处罚案件调查终结报告》,提出行政处罚建议,连同案卷材料交由本部门案件核审机构核审;
(二)认为违法事实不成立,应当撤销案件的;或者违法行为轻微,没有造成危害后果或者危害后果较小,不予行政处罚的;或者应当移交其他行政机关或司法机关的,撰写《商务行政处罚案件调查终结报告》,说明拟作出处理的理由,连同案卷材料直接报商务主管部门负责人审批。
第五章 行政处罚的决定
第一节 简易程序
第三十条 对于违法事实确凿并有法定依据,符合下列情形之一的,执法人员可当场作出行政处罚决定:
(一)予以警告的行政处罚;
(二)对公民处以50元以下罚款的行政处罚;
(三)对法人或者其他组织处以1000元以下罚款的行政处罚。
第三十一条 适用简易程序当场查处违法行为,执法人员应当当场了解违法事实,制作现场检查、询问笔录,收集必要的证据。
在给予行政处罚前,应当口头告知当事人拟作出行政处罚决定的事实、理由、依据及处罚内容,告知当事人依法享有陈述和申辩权,并当场听取当事人的陈述和申辩。
当事人提出的事实、理由或者证据成立的,应当采纳;不采纳的应当说明理由。
第三十二条 适用简易程序当场给予行政处罚,应当由两名以上执法人员共同决定,并填写预定格式、编有号码的《商务行政处罚当场处罚决定书》,由执法人员签名或盖章后当场交付当事人。
处罚决定书中,应责令当事人改正或限期改正违法行为。
执法人员应在7日内将当场处罚情况报所属商务主管部门备案。
第二节 一般程序
第三十三条 按本规定第二十九条规定报请核审的案件,由商务主管部门法制机构或者其他机构核审。
核审机构主要从以下方面进行核审:
(一)本部门对所办案件是否具有管辖权;
(二)当事人基本情况是否清楚;
(三)案件事实是否清楚,证据是否充分;
(四)定性是否准确;
(五)适用法律是否正确;
(六)程序是否合法;
(七)处罚建议是否适当。
第三十四条 核审机构对案件进行核审后,视情况提出以下书面意见和建议:
(一)对事实清楚、证据确凿、适用依据正确、定性准确、处罚适当、程序合法的案件,同意调查处理意见,建议告知当事人后报本部门负责人批准;
(二)对事实清楚、证据确凿,但定性不准、适用依据错误、处罚不当的案件,建议进行相应修改;
(三)对事实不清、证据不足的案件,建议补充调查;
(四)对程序不合法的案件,提出纠正意见;
(五)对违法事实不成立或者已超过追责期限的案件,建议撤销案件;
(六)对违法事实轻微并及时纠正,没有造成危害后果的,建议不予行政处罚;
(七)对超出管辖权的案件,建议按有关规定移送;
(八)对涉嫌犯罪的案件,建议移送司法机关。
核审机构核审完毕,应当及时退卷。案件承办人员应当根据核审情况,填写《商务行政处罚案件处理审批表》,连同案卷材料报商务主管部门负责人审查决定。
第三十五条 核审机构同意给予行政处罚的案件,案件承办人员在报商务主管部门负责人审批前,应当填写《商务行政处罚告知书》,告知当事人拟作出行政处罚决定的事实、理由、依据、处罚内容,以及当事人享有的陈述权、申辩权或听证权。
自商务主管部门告知之日起3日内,当事人未进行陈述、申辩的,视为放弃陈述权、申辩权。
案件承办人员应当充分听取当事人陈述和申辩,制作《商务行政处罚当事人陈述和申辩笔录》。对当事人提出的事实、理由和证据,应当进行复核;相关事实、理由或者证据成立的,应当依法予以采纳。不得因当事人的陈述、申辩、申请听证而加重行政处罚。
第三十六条 商务主管部门负责人应当对案件有关材料进行全面审查,根据不同情况,分别作出下列处理决定:
(一)违法事实清楚、证据确凿应予处罚的,依法给予行政处罚;
(二)违法行为轻微,依法可以不予行政处罚的,不予行政处罚;
(三)违法事实不能成立或已过追责期限的,撤销案件;
(四)不属于本机关管辖的,移送有关机关处理;
(五)违法行为已构成犯罪的,移送司法机关。
第三十七条 对情节复杂或者重大违法行为给予下列行政处罚之一的,应由商务主管部门负责人集体讨论决定:
(一)责令停产停业的;
(二)暂扣、撤销或吊销有关许可证、资格证等的;
(三)对公民处以5000元以上罚款,对法人或其他组织处以5万元以上罚款的。
第三十八条 商务主管部门作出行政处罚决定的,应当制作《商务行政处罚决定书》,加盖本部门印章。
行政处罚决定书应载明以下事项:
(一)当事人的姓名或者名称、地址;
(二)违反法律、法规或规章的事实和证据;
(三)行政处罚的种类和依据;
(四)行政处罚的履行方式和期限;
(五)不服行政处罚决定的,申请行政复议或者提起行政诉讼的途径和期限;
(六)作出行政处罚决定的行政机关和作出决定的日期。
第三十九条 适用一般程序处理的案件,应当自立案之日起90日内作出处理决定,并将处理结果及时告知被调查人、指定管辖的上级商务主管部门、具名举报投诉人或移送机关。
案情复杂,不能在规定期限内作出处理决定的,经商务主管部门负责人批准,可以适当延长。
案件处理过程中听证、公告、鉴定等时间不计入案件办理期限。
第三节 听证程序
第四十条 商务主管部门拟作出下列行政处罚之一的,应当在《商务行政处罚告知书》中,一并告知当事人有要求举行听证的权利,以及申请听证的有关事项及要求:
(一)责令停产停业的;
(二)暂扣、撤销或吊销许可证、资格证等的;
(三)对公民处以5000元以上罚款,对法人或其他组织处以5万元以上罚款的。
第四十一条 当事人要求听证的,应当在商务主管部门告知之日起3日内书面提交听证申请;逾期不提交的,视为放弃要求举行听证的权利。当事人不承担听证费用。
当事人要求听证并且符合本规定的,商务主管部门应当在收到当事人申请听证材料后30日内组织听证,并在举行听证的7日前,以《商务行政处罚案件听证通知书》的形式通知当事人举行听证的时间、地点、听证人员及有关事项。
当事人在规定时间内书面提交听证申请的,商务主管部门未依法举行听证前,不得作出行政处罚。
第四十二条 商务主管部门决定举行听证的,应在本部门非本案承办人员中,指定5人以下(含五人)单数为听证员,并指定1名从事法制工作的人员为听证主持人。听证员及听证主持人的回避按本规定第二十二条执行。
当事人可以亲自参加听证,也可以委托1至2人代理。委托代理人参加听证的,应当出具书面委托证明。无正当理由不按期参加听证的,或者在听证举行过程中,当事人或其代理人未经听证主持人许可,中途退出听证会的,视为放弃听证权利。
第四十三条 有下列情形之一的,听证主持人可以决定延期举行听证:
(一)当事人有正当理由未到场的;
(二)当事人提出回避申请理由成立,需要重新确定听证员或听证主持人的;
(三)需要通知新的证人到场,或者有新的事实需要重新调查核实的;
(四)其他需要延期的情形。
第四十四条 除涉及国家秘密、商业秘密或者个人隐私外,听证应当公开举行,允许旁听。
听证按照下列程序进行:
(一)听证主持人宣布和核对听证参加人身份,告知有关权利和义务,宣布案由和听证纪律,宣布听证会开始;
(二)案件承办人员提出当事人违法的事实、证据、拟作出处罚的意见和理由;
(三)当事人进行陈述和申辩,对有关证据进行质证;
(四)有第三人的,由第三人进行陈述;
(五)听证主持人询问有关人员;
(六)案件承办人员与当事人相互辩论;
(七)案件承办人员、当事人、第三人依次作最后陈述;
(八)听证主持人宣布听证结束。
第四十五条 听证应当制作《商务行政处罚案件听证笔录》。听证笔录由听证员、听证主持人以及听证参加人审核无误后签字或盖章。听证参加人拒绝签字或盖章的,由听证主持人在听证笔录中记明。
听证主持人应当依据听证情况作出书面报告,连同听证笔录一并报商务主管部门负责人。
商务主管部门应当根据听证笔录,依照第三十六条规定,作出决定。
第六章 送达与执行
第四十六条 行政处罚决定书作出后,商务主管部门应当当场交付当事人,或者在7日内,依照民事诉讼法的有关规定,送达当事人或其委托代理人。
商务主管部门送达其他文书,也可以依照以上方式送达。
第四十七条 行政处罚决定一经送达,即具有法律效力。当事人应当在处罚决定书确定的期限内履行行政处罚决定。
当事人申请复议或提起行政诉讼期间,行政处罚决定不停止执行,但此期间复议机关决定或人民法院裁定停止执行以及法律另有规定的除外。
第四十八条 依据本规定第五章第一节规定当场作出行政处罚决定,给予20元以下罚款,或者罚款数额超过20元,不当场收缴事后难以执行的,可以当场收缴罚款。
在边远、水上、交通不便地区,商务主管部门依照本程序规定作出处罚决定后,当事人向指定银行缴纳罚款确有困难的,经当事人提出,可以当场收缴罚款。
第四十九条 当场收缴罚款的,必须向当事人出具省级人民政府财政部门统一制发的罚款收据;不出具财政部门统一制发的罚款收据的,当事人有权拒绝缴纳罚款。
当场收缴的罚款,应当自收缴罚款之日起2日内交至商务主管部门,在水上当场收缴的罚款,应当自抵岸之日起2日内交至商务主管部门;商务主管部门应当在2日内将罚款缴付财政部门指定银行。
第五十条 除依照本规定第四十八条当场收缴的罚款外,商务主管部门及其执法人员不得自行收缴罚款,应由当事人在收到行政处罚决定书之日起15日内,到财政部门指定银行缴纳。
到期不缴纳罚款的,每日按罚款数额的百分之三加处罚款。超过30日后仍不缴纳罚款的,申请人民法院强制执行。
当事人确有经济困难,需要延期或分期缴纳罚款的,应当在行政处罚决定书规定的缴款日期前提出书面申请。批准延期或分期缴纳的,当事人应当在商务主管部门确定的期限内缴纳罚款,不得再次申请延期或分期缴纳。
第五十一条 当事人逾期不履行行政处罚决定的,作出行政处罚决定的商务主管部门依法强制执行或者申请人民法院强制执行。
申请人民法院强制执行前,可以向当事人发出要求其履行义务的书面催告。催告发出10日后当事人仍未履行的,申请人民法院强制执行。
第五十二条 行政处罚决定执行完毕的,案件承办人员应当填写《商务行政处罚结案报告》,报商务主管部门或执法机构负责人审批。批准结案的,应将有关案件材料进行整理装订,归档保存。
结案后,应及时将行政处罚决定书在商务主管部门网站上公布,供公众查询。涉及国家秘密、商业秘密和个人隐私的除外。
第七章 执法监督
第五十三条 商务主管部门实施行政处罚,应当依法接受上级行政机关或有关部门的监督。
商务主管部门应当建立健全对行政处罚的监督制度,发现行政处罚有错误的,应当主动改正。
第五十四条 执法人员有下列情形之一,尚不构成犯罪的,由其所属商务主管部门依法给予行政处分,并暂扣或收回执法证件;情节严重,构成犯罪的,依法追究刑事责任;给当事人造成损失的,所属商务主管部门应当依法给予赔偿:
(一)滥用职权,损害公民、法人及其他组织合法权益的;
(二)玩忽职守,不依法制止违法行为的;
(三)利用职权或工作之便索取或收受他人财物的;
(四)泄露执法中所知悉的当事人商业秘密的;
(五)伪造、篡改、隐匿或销毁证据的;
(六)违反规定自行收缴罚款的;
(七)违法处置罚没财物或者据为己有的;
(八)其他严重违反本规定程序的行为。
第五十五条 商务主管部门有下列情形之一的,上级商务主管部门或有关部门依法责令改正,可以对直接负责的主管人员和其他直接责任人员依法给予行政处分;情节严重构成犯罪的,依法追究刑事责任;对当事人造成损失的,应当依法予以赔偿:
(一)违反本规定第四条有关委托执法的规定的;
(二)无故拒绝协助其他商务主管部门办理跨行政区域案件的;
(三)违法采取查封、扣押措施的;
(四)使用或损毁扣押财物的;
(五)不依法使用罚款、没收财物单据的;
(六)截留、私分或者变相私分罚没财物的;
(七)没有法定依据实施行政处罚的;
(八)擅自改变行政处罚种类、幅度的;
(九)违反本规定程序给予行政处罚的;
(十)对涉嫌犯罪案件不及时移送,以行政处罚代替刑罚的;
(十一)其他严重违反本规定程序的行为。
第五十六条 对有违法或者不当行政执法行为的商务主管部门,上级行政机关或有关部门可以根据造成后果的严重程度或者影响的恶劣程度等具体情况,依法给予限期整改、通报批评、取消评比先进的资格等处理;对有关行政执法人员,可以根据过错形式、危害大小、情节轻重,按照干部管理权限,依法给予批评教育、离岗培训、调离执法岗位、取消执法资格等处理。
第五十七条 当事人对商务主管部门的行政处罚决定不服的,可以依法申请行政复议或者提起行政诉讼。
第八章 附 则
不分页显示 总共3页 1 [2] [3]
下一页
中央人民政府最高人民法院关于解放前金银、伪币债务如何折算清偿的批复
最高法院
中央人民政府最高人民法院关于解放前金银、伪币债务如何折算清偿的批复
最高法院
批复
最高人民法院华北分院:
你院一九五三年五月二十六日华法字第一二0号请示收悉。
一、关于解放前城市债务偿还问题,法院判决时,对关于伪币或银元债务如何折合人民币的问题,可参照政务院公布的“关于解放前银钱业未清偿存款办法”附表甲(附表乙不能援用),将各年伪币折合人民币(银元按当时人民银行牌价折合人民币)。至偿还债务应否打折扣的问题,
则主要应斟酌双方当时经济情况决定。如债务人经济情况很好,可不打折扣;如债务人经济情况不好,可打一适当的折扣,如债务人经济情况很坏,则可打一很大的折扣,甚至还可酌予免除偿还。总之要斟酌双方具体情况来决定。处理这种纠纷,并应争取以调解方法解决。
二、关于土地典当问题,我们同意你院的意见。
1953年6月10日
关于开展保险业信息系统安全等级保护定级工作的通知
中国保险监督管理委员会办公厅
关于开展保险业信息系统安全等级保护定级工作的通知
保监厅发〔2007〕45号
各保监局,各保险公司、保险资产管理公司,中国保险行业协会:
为贯彻落实国家信息安全等级保护制度,按照《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861号)要求,中国保监会将在保险行业内开展信息系统安全等级保护定级工作。现将有关事项通知如下:
一、等级保护定级工作的要求及组织方式
各单位应按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求和“自主定级、自主保护”的工作原则,成立相应的领导及实施机构,结合本单位的实际情况,准确开展信息系统等级保护定级工作。
保监会成立等级保护定级工作领导小组,统一领导、解决保险行业信息安全等级保护定级工作中的重大问题;保监会等级保护定级工作领导小组下设办公室,具体负责保监会机关信息系统等级保护定级的具体实施工作和行业定级工作的指导审核。
各保监局负责本局内独立运行的信息系统等级保护定级工作,并对各自辖区内的保险公司分支机构的等级保护定级工作进行指导审核。
各保险集团公司、保险控股公司负责本公司信息系统等级保护定级工作以及其下属子公司信息系统等级保护定级工作的组织协调和指导。各保险总公司统一部署本公司和分公司的信息系统等级保护定级工作。
二、定级工作安排及定级范围
(一)定级工作安排
为稳妥做好等级保护定级工作,拟在保险行业内分步分批实施。
保险行业第一批定级单位包括:保监会及各保监局,中国保险行业协会,中国人民保险集团公司、中国人寿保险(集团)公司、中国再保险(集团)公司、中国出口信用保险公司、民生人寿保险股份有限公司、阳光保险控股股份有限公司、中国平安保险(集团)股份有限公司、中国太平洋(集团)股份有限公司及其下属各子公司和分公司。
其余公司作为第二批定级单位(具体时间安排另行通知)。
(二)定级范围
1、保险监管部门监管、办公及网站等重要信息系统;保险公司和中国保险行业协会经营、管理、办公等重要信息系统。(以下简称“重要信息系统”)
2、涉及国家秘密的信息系统(以下简称“涉密信息系统”)。
三、主要工作步骤
第一阶段:自主定级(9月20日前完成)
各单位按要求成立相关定级实施机构,对本系统内的重要信息系统和涉密信息系统展开摸底调查,全面掌握信息网络和信息系统的数量、分布、业务类型、系统结构、应用或服务范围等基本情况,按照《信息安全等级保护管理办法》(以下简称“《管理办法》”,附件1)和《信息系统安全等级保护定级指南》(附件2)的要求,确定定级对象并初步确定保护等级,形成定级报告(报告模板见附件3)。
涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。
第二阶段:审核(9月25日前完成)
各保监局将各自独立运行的重要信息系统和涉密信息系统的定级报告报保监会审核。
各公司对本公司内的重要信息系统和涉密信息系统定级进行统一审核,对跨省联网运行且由公司总部统一确定等级的,由总公司将重要信息系统和涉密信息系统的定级报告报保监会审核 (有集团或控股公司的,由集团或控股公司将定级报告统一报保监会审核);保险公司分公司将经过总公司审核的,且在分公司独立运行的重要信息系统和涉密系统定级报告报当地保监局审核。
保险行业协会将所确定的重要信息系统和涉密信息系统的定级报告报保监会审核。
保监会及各保监局在接到定级报告审核文件后,对不符合要求的于5个工作日内要求其改正,审核通过者不再单独答复。
第三阶段:备案(9月30日前完成)
根据《管理办法》,各单位定级报告通过保监会或保监局审核后,对重要信息系统安全等级确定为二级以上的信息系统应到公安部网站下载《信息系统安全等级保护备案表》(见附件4)和辅助备案工具,并持填写的备案表和利用辅助备案工具生成的备案电子数据文件,到公安机关办理备案手续(保险行业协会确定的信息系统、保险总公司统一定级的跨省联网运营的信息系统,向公安部备案;保险公司分公司将总公司定级的跨省联网在当地运行、应用的分支系统以及在当地分公司独立运行的信息系统,向当地省级公安机关备案)。备案完成后,各级单位将备案证明复印件报相对应的保险监管机构存档。
涉密信息系统建设使用单位依据《管理办法》和国家保密局的有关规定,填写《涉及国家秘密的信息系统分级保护备案表》(见附件5),按照属地化管理原则,将所确定的涉密信息系统,报送相对应的保密部门备案。备案完成后,各级单位将备案证明复印件报相对应的保险监管机构存档。
第四阶段:总结工作(10月15日前完成)
各单位应对等级保护定级工作进行总结,并报保监会等级保护定级工作领导小组。保监会根据定级工作开展的情况和定级工作报告,总结工作经验,研究并启动第二批等级保护定级工作。
联 系 人:李春亮、王晓鹏
联系电话:010-66286602
附件:1、信息安全等级保护管理办法
2、信息安全技术信息系统安全等级保护定级指南
3、信息系统安全等级保护定级报告
4、信息系统安全等级保护备案表
5、涉及国家秘密的信息系统分级保护备案表
二○○七年九月六日
附件1:
信息安全等级保护管理办法
(公通字[2007]43号)
第一章 总则
第一条 为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。
第二条 国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。
第三条 公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。
第四条 信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。
第五条 信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。
第二章 等级划分与保护
第六条 国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
第七条 信息系统的安全保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
第八条 信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护,国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。
第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。
第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。
第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。
第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。
第三章 等级保护的实施与管理
第九条 信息系统运营、使用单位应当按照《信息系统安全等级保护实施指南》具体实施等级保护工作。
第十条 信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的,应当经主管部门审核批准。
跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。
对拟确定为第四级以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。
第十一条 信息系统的安全保护等级确定后,运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准,使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品,开展信息系统安全建设或者改建工作。
第十二条 在信息系统建设过程中,运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》(GB17859-1999)、《信息系统安全等级保护基本要求》等技术标准,参照《信息安全技术 信息系统通用安全技术要求》(GB/T20271-2006)、《信息安全技术 网络基础安全技术要求》(GB/T20270-2006)、《信息安全技术 操作系统安全技术要求》(GB/T20272-2006)、《信息安全技术 数据库管理系统安全技术要求》(GB/T20273-2006)、《信息安全技术 服务器技术要求》、《信息安全技术 终端计算机系统安全等级技术要求》(GA/T671 -2006)等技术标准同步建设符合该等级要求的信息安全设施。
第十三条 运营、使用单位应当参照《信息安全技术 信息系统安全管理要求》(GB/T20269-2006)、《信息安全技术 信息系统安全工程管理要求》(GB/T20282-2006)、《信息系统安全等级保护基本要求》等管理规范,制定并落实符合本系统安全保护等级要求的安全管理制度。
第十四条 信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。
信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查,第四级信息系统应当每半年至少进行一次自查,第五级信息系统应当依据特殊安全需求进行自查。
经测评或者自查,信息系统安全状况未达到安全保护等级要求的,运营、使用单位应当制定方案进行整改。
第十五条 已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。
第十六条 办理信息系统安全保护等级备案手续时,应当填写《信息系统安全等级保护备案表》,第三级以上信息系统应当同时提供以下材料:
(一)系统拓扑结构及说明;
(二)系统安全组织机构和管理制度;
(三)系统安全保护设施设计实施方案或者改建实施方案;
(四)系统使用的信息安全产品清单及其认证、销售许可证明;
(五)测评后符合系统安全保护等级的技术检测评估报告;
(六)信息系统安全保护等级专家评审意见;
(七)主管部门审核批准信息系统安全保护等级的意见。
第十七条 信息系统备案后,公安机关应当对信息系统的备案情况进行审核,对符合等级保护要求的,应当在收到备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明;发现不符合本办法及有关标准的,应当在收到备案材料之日起的10个工作日内通知备案单位予以纠正;发现定级不准的,应当在收到备案材料之日起的10个工作日内通知备案单位重新审核确定。
运营、使用单位或者主管部门重新确定信息系统等级后,应当按照本办法向公安机关重新备案。
第十八条 受理备案的公安机关应当对第三级、第四级信息系统的运营、使用单位的信息安全等级保护工作情况进行检查。对第三级信息系统每年至少检查一次,对第四级信息系统每半年至少检查一次。对跨省或者全国统一联网运行的信息系统的检查,应当会同其主管部门进行。
对第五级信息系统,应当由国家指定的专门部门进行检查。
公安机关、国家指定的专门部门应当对下列事项进行检查:
(一)信息系统安全需求是否发生变化,原定保护等级是否准确;
(二)运营、使用单位安全管理制度、措施的落实情况;
(三)运营、使用单位及其主管部门对信息系统安全状况的检查情况;
(四)系统安全等级测评是否符合要求;
(五)信息安全产品使用是否符合要求;
(六)信息系统安全整改情况;
(七)备案材料与运营、使用单位、信息系统的符合情况;
(八)其他应当进行监督检查的事项。
第十九条 信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导,如实向公安机关、国家指定的专门部门提供下列有关信息安全保护的信息资料及数据文件:
(一)信息系统备案事项变更情况;
(二)安全组织、人员的变动情况;
(三)信息安全管理制度、措施变更情况;
(四)信息系统运行状况记录;
(五)运营、使用单位及主管部门定期对信息系统安全状况的检查记录;
(六)对信息系统开展等级测评的技术测评报告;
(七)信息安全产品使用的变更情况;
(八)信息安全事件应急预案,信息安全事件应急处置结果报告;
(九)信息系统安全建设、整改结果报告。
第二十条 公安机关检查发现信息系统安全保护状况不符合信息安全等级保护有关管理规范和技术标准的,应当向运营、使用单位发出整改通知。运营、使用单位应当根据整改通知要求,按照管理规范和技术标准进行整改。整改完成后,应当将整改报告向公安机关备案。必要时,公安机关可以对整改情况组织检查。
第二十一条 第三级以上信息系统应当选择使用符合以下条件的信息安全产品:
(一)产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的,在中华人民共和国境内具有独立的法人资格;
(二)产品的核心技术、关键部件具有我国自主知识产权;
(三)产品研制、生产单位及其主要业务、技术人员无犯罪记录;
(四)产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能;
(五)对国家安全、社会秩序、公共利益不构成危害;
(六)对已列入信息安全产品认证目录的,应当取得国家信息安全产品认证机构颁发的认证证书。
第二十二条 第三级以上信息系统应当选择符合下列条件的等级保护测评机构进行测评:
(一)在中华人民共和国境内注册成立(港澳台地区除外);
(二)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);
(三)从事相关检测评估工作两年以上,无违法记录;
(四)工作人员仅限于中国公民;
(五)法人及主要业务、技术人员无犯罪记录;
(六)使用的技术装备、设施应当符合本办法对信息安全产品的要求;
(七)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;
(八)对国家安全、社会秩序、公共利益不构成威胁。
第二十三条 从事信息系统安全等级测评的机构,应当履行下列义务:
(一)遵守国家有关法律法规和技术标准,提供安全、客观、公正的检测评估服务,保证测评的质量和效果;
(二)保守在测评活动中知悉的国家秘密、商业秘密和个人隐私,防范测评风险;
(三)对测评人员进行安全保密教育,与其签订安全保密责任书,规定应当履行的安全保密义务和承担的法律责任,并负责检查落实。
第四章 涉及国家秘密信息系统的分级保护管理
第二十四条 涉密信息系统应当依据国家信息安全等级保护的基本要求,按照国家保密工作部门有关涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保护。
非涉密信息系统不得处理国家秘密信息。
第二十五条 涉密信息系统按照所处理信息的最高密级,由低到高分为秘密、机密、绝密三个等级。
涉密信息系统建设使用单位应当在信息规范定密的基础上,依据涉密信息系统分级保护管理办法和国家保密标准BMB17-2006《涉及国家秘密的计算机信息系统分级保护技术要求》确定系统等级。对于包含多个安全域的涉密信息系统,各安全域可以分别确定保护等级。
保密工作部门和机构应当监督指导涉密信息系统建设使用单位准确、合理地进行系统定级。
第二十六条 涉密信息系统建设使用单位应当将涉密信息系统定级和建设使用情况,及时上报业务主管部门的保密工作机构和负责系统审批的保密工作部门备案,并接受保密部门的监督、检查、指导。
第二十七条 涉密信息系统建设使用单位应当选择具有涉密集成资质的单位承担或者参与涉密信息系统的设计与实施。
涉密信息系统建设使用单位应当依据涉密信息系统分级保护管理规范和技术标准,按照秘密、机密、绝密三级的不同要求,结合系统实际进行方案设计,实施分级保护,其保护水平总体上不低于国家信息安全等级保护第三级、第四级、第五级的水平。
第二十八条 涉密信息系统使用的信息安全保密产品原则上应当选用国产品,并应当通过国家保密局授权的检测机构依据有关国家保密标准进行的检测,通过检测的产品由国家保密局审核发布目录。
第二十九条 涉密信息系统建设使用单位在系统工程实施结束后,应当向保密工作部门提出申请,由国家保密局授权的系统测评机构依据国家保密标准BMB22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》,对涉密信息系统进行安全保密测评。
涉密信息系统建设使用单位在系统投入使用前,应当按照《涉及国家秘密的信息系统审批管理规定》,向设区的市级以上保密工作部门申请进行系统审批,涉密信息系统通过审批后方可投入使用。已投入使用的涉密信息系统,其建设使用单位在按照分级保护要求完成系统整改后,应当向保密工作部门备案。
第三十条 涉密信息系统建设使用单位在申请系统审批或者备案时,应当提交以下材料:
(一)系统设计、实施方案及审查论证意见;
(二)系统承建单位资质证明材料;
(三)系统建设和工程监理情况报告;
(四)系统安全保密检测评估报告;
(五)系统安全保密组织机构和管理制度情况;
(六)其他有关材料。
第三十一条 涉密信息系统发生涉密等级、连接范围、环境设施、主要应用、安全保密管理责任单位变更时,其建设使用单位应当及时向负责审批的保密工作部门报告。保密工作部门应当根据实际情况,决定是否对其重新进行测评和审批。
第三十二条 涉密信息系统建设使用单位应当依据国家保密标准BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》,加强涉密信息系统运行中的保密管理,定期进行风险评估,消除泄密隐患和漏洞。
第三十三条 国家和地方各级保密工作部门依法对各地区、各部门涉密信息系统分级保护工作实施监督管理,并做好以下工作:
(一)指导、监督和检查分级保护工作的开展;
(二)指导涉密信息系统建设使用单位规范信息定密,合理确定系统保护等级;
(三)参与涉密信息系统分级保护方案论证,指导建设使用单位做好保密设施的同步规划设计;
(四)依法对涉密信息系统集成资质单位进行监督管理;
(五)严格进行系统测评和审批工作,监督检查涉密信息系统建设使用单位分级保护管理制度和技术措施的落实情况;
(六)加强涉密信息系统运行中的保密监督检查。对秘密级、机密级信息系统每两年至少进行一次保密检查或者系统测评,对绝密级信息系统每年至少进行一次保密检查或者系统测评;
(七)了解掌握各级各类涉密信息系统的管理使用情况,及时发现和查处各种违规违法行为和泄密事件。
第五章 信息安全等级保护的密码管理
第三十四条 国家密码管理部门对信息安全等级保护的密码实行分类分级管理。根据被保护对象在国家安全、社会稳定、经济建设中的作用和重要程度,被保护对象的安全防护要求和涉密程度,被保护对象被破坏后的危害程度以及密码使用部门的性质等,确定密码的等级保护准则。
信息系统运营、使用单位采用密码进行等级保护的,应当遵照《信息安全等级保护密码管理办法》、《信息安全等级保护商用密码技术要求》等密码管理规定和相关标准。
第三十五条 信息系统安全等级保护中密码的配备、使用和管理等,应当严格执行国家密码管理的有关规定。
第三十六条 信息系统运营、使用单位应当充分运用密码技术对信息系统进行保护。采用密码对涉及国家秘密的信息和信息系统进行保护的,应报经国家密码管理局审批,密码的设计、实施、使用、运行维护和日常管理等,应当按照国家密码管理有关规定和相关标准执行;采用密码对不涉及国家秘密的信息和信息系统进行保护的,须遵守《商用密码管理条例》和密码分类分级保护有关规定与相关标准,其密码的配备使用情况应当向国家密码管理机构备案。
第三十七条 运用密码技术对信息系统进行系统等级保护建设和整改的,必须采用经国家密码管理部门批准使用或者准于销售的密码产品进行安全保护,不得采用国外引进或者擅自研制的密码产品;未经批准不得采用含有加密功能的进口信息技术产品。
第三十八条 信息系统中的密码及密码设备的测评工作由国家密码管理局认可的测评机构承担,其他任何部门、单位和个人不得对密码进行评测和监控。
第三十九条 各级密码管理部门可以定期或者不定期对信息系统等级保护工作中密码配备、使用和管理的情况进行检查和测评,对重要涉密信息系统的密码配备、使用和管理情况每两年至少进行一次检查和测评。在监督检查过程中,发现存在安全隐患或者违反密码管理相关规定或者未达到密码相关标准要求的,应当按照国家密码管理的相关规定进行处置。
第六章 法律责任
第四十条 第三级以上信息系统运营、使用单位违反本办法规定,有下列行为之一的,由公安机关、国家保密工作部门和国家密码工作管理部门按照职责分工责令其限期改正;逾期不改正的,给予警告,并向其上级主管部门通报情况,建议对其直接负责的主管人员和其他直接责任人员予以处理,并及时反馈处理结果:
(一)未按本办法规定备案、审批的;
(二)未按本办法规定落实安全管理制度、措施的;
(三)未按本办法规定开展系统安全状况检查的;
(四)未按本办法规定开展系统安全技术测评的;
(五)接到整改通知后,拒不整改的;
(六)未按本办法规定选择使用信息安全产品和测评机构的;
(七)未按本办法规定如实提供有关文件和证明材料的;
(八)违反保密管理规定的;
(九)违反密码管理规定的;
(十)违反本办法其他规定的。
违反前款规定,造成严重损害的,由相关部门依照有关法律、法规予以处理。
第四十一条 信息安全监管部门及其工作人员在履行监督管理职责中,玩忽职守、滥用职权、徇私舞弊的,依法给予行政处分;构成犯罪的,依法追究刑事责任。
第七章 附则
第四十二条 已运行信息系统的运营、使用单位自本办法施行之日起180日内确定信息系统的安全保护等级;新建信息系统在设计、规划阶段确定安全保护等级。
第四十三条 本办法所称“以上”包含本数(级)。
第四十四条 本办法自发布之日起施行,《信息安全等级保护管理办法(试行)》(公通字[2006]7号)同时废止。
附件2:
信息安全技术
信息系统安全等级保护定级指南
(报批稿)
全国信息安全标准化技术委员会
前 言
本标准由公安部和全国信息安全标准化技术委员会提出。
本标准由全国信息安全标准化技术委员会归口。
本标准起草单位:
本标准主要起草人:
引 言
依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号),制定本标准。
本标准是信息安全等级保护相关系列标准之一。
与本标准相关的系列标准包括:
——GB/T BBBBB-BBBB信息系统安全等级保护基本要求;
——GB/T CCCCC-CCCC信息系统安全等级保护实施指南;
——GB/T DDDDD-DDDD信息系统安全等级保护测评准则。
本标准依据等级保护相关管理文件,从信息系统所承载的业务在国家安全、经济建设、社会生活中的重要作用和业务对信息系统的依赖程度这两方面,提出确定信息系统安全保护等级的方法。
信息系统安全等级保护定级指南
1 范围
本标准规定了信息系统安全等级保护的定级方法,适用于为信息系统安全等级保护的定级工作提供指导。
2 规范性引用文件
下列文件中的条款通过在本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件,其最新版本适用于本标准。
GB/T 5271.8 信息技术 词汇 第8部分:安全
GB17859-1999 计算机信息系统安全保护等级划分准则
3 术语和定义
GB/T 5271.8和GB17859-1999确立的以及下列术语和定义适用于本标准。
3.1
等级保护对象 target of classified security
信息安全等级保护工作直接作用的具体的信息和信息系统。
3.2
客体object
受法律保护的、等级保护对象受到破坏时所侵害的社会关系,如国家安全、社会秩序、公共利益以及公民、法人或其他组织的合法权益。
3.3
客观方面objective
对客体造成侵害的客观外在表现,包括侵害方式和侵害结果等。
3.4
系统服务 system service
信息系统为支撑其所承载业务而提供的程序化过程。
4 定级原理
4.1 信息系统安全保护等级
根据等级保护相关管理文件,信息系统的安全保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
4.2 信息系统安全保护等级的定级要素
信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
4.2.1 受侵害的客体
等级保护对象受到破坏时所侵害的客体包括以下三个方面:
a) 公民、法人和其他组织的合法权益;
b) 社会秩序、公共利益;
c) 国家安全。
4.2.2 对客体的侵害程度
对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的,因此,对客体的侵害外在表现为对等级保护对象的破坏,通过危害方式、危害后果和危害程度加以描述。
等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:
a) 造成一般损害;
b) 造成严重损害;
c) 造成特别严重损害。
4.3 定级要素与等级的关系
定级要素与信息系统安全保护等级的关系如表1所示。
表1 定级要素与安全保护等级的关系
受侵害的客体 对客体的侵害程度
一般损害 严重损害 特别严重损害
公民、法人和其他组织的合法权益 第一级 第二级 第二级
社会秩序、公共利益 第二级 第三级 第四级
国家安全 第三级 第四级 第五级
5 定级方法
5.1 定级的一般流程
信息系统安全包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,信息系统定级也应由业务信息安全和系统服务安全两方面确定。
从业务信息安全角度反映的信息系统安全保护等级称业务信息安全保护等级。
从系统服务安全角度反映的信息系统安全保护等级称系统服务安全保护等级。
确定信息系统安全保护等级的一般流程如下:
a) 确定作为定级对象的信息系统;
b) 确定业务信息安全受到破坏时所侵害的客体;
c) 根据不同的受侵害客体,从多个方面综合评定业务信息安全被破坏对客体的侵害程度;
d) 依据表2,得到业务信息安全保护等级;
e) 确定系统服务安全受到破坏时所侵害的客体;
f) 根据不同的受侵害客体,从多个方面综合评定系统服务安全被破坏对客体的侵害程度;
g) 依据表3,得到系统服务安全保护等级;
h) 将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。
上述步骤如图1确定等级一般流程所示。
图1 确定等级一般流程
5.2 确定定级对象
一个单位内运行的信息系统可能比较庞大,为了体现重要部分重点保护,有效控制信息安全建设成本,优化信息安全资源配置的等级保护原则,可将较大的信息系统划分为若干个较小的、可能具有不同安全保护等级的定级对象。
作为定级对象的信息系统应具有如下基本特征:
a) 具有唯一确定的安全责任单位
作为定级对象的信息系统应能够唯一地确定其安全责任单位。如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任,则这个下级单位可以成为信息系统的安全责任单位;如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,则该信息系统的安全责任单位应是这些下级单位共同所属的单位。
b) 具有信息系统的基本要素
作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件,如服务器、终端、网络设备等作为定级对象。
c) 承载单一或相对独立的业务应用
定级对象承载“单一”的业务应用是指该业务应用的业务流程独立,且与其他业务应用没有数据交换,且独享所有信息处理设备。定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立,同时与其他业务应用有少量的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网络传输设备。
5.3 确定受侵害的客体
定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织的合法权益。
侵害国家安全的事项包括以下方面:
- 影响国家政权稳固和国防实力;
- 影响国家统一、民族团结和社会安定;
- 影响国家对外活动中的政治、经济利益;
- 影响国家重要的安全保卫工作;
- 影响国家经济竞争力和科技实力;
- 其他影响国家安全的事项。
侵害社会秩序的事项包括以下方面:
- 影响国家机关社会管理和公共服务的工作秩序;
- 影响各种类型的经济活动秩序;
- 影响各行业的科研、生产秩序;
- 影响公众在法律约束和道德规范下的正常生活秩序等;
- 其他影响社会秩序的事项。
影响公共利益的事项包括以下方面:
- 影响社会成员使用公共设施;
- 影响社会成员获取公开信息资源;
- 影响社会成员接受公共服务等方面;
- 其他影响公共利益的事项。
影响公民、法人和其他组织的合法权益是指由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益。
确定作为定级对象的信息系统受到破坏后所侵害的客体时,应首先判断是否侵害国家安全,然后判断是否侵害社会秩序或公众利益,最后判断是否侵害公民、法人和其他组织的合法权益。
各行业可根据本行业业务特点,分析各类信息和各类信息系统与国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的关系,从而确定本行业各类信息和各类信息系统受到破坏时所侵害的客体。
5.4 确定对客体的侵害程度
5.4.1 侵害的客观方面
在客观方面,对客体的侵害外在表现为对定级对象的破坏,其危害方式表现为对信息安全的破坏和对信息系统服务的破坏,其中信息安全是指确保信息系统内信息的保密性、完整性和可用性等,系统服务安全是指确保信息系统可以及时、有效地提供服务,以完成预定的业务目标。由于业务信息安全和系统服务安全受到破坏所侵害的客体和对客体的侵害程度可能会有所不同,在定级过程中,需要分别处理这两种危害方式。
信息安全和系统服务安全受到破坏后,可能产生以下危害后果:
- 影响行使工作职能;
- 导致业务能力下降;
- 引起法律纠纷;
- 导致财产损失;
- 造成社会不良影响;
- 对其他组织和个人造成损失;
- 其他影响。
5.4.2 综合判定侵害程度
侵害程度是客观方面的不同外在表现的综合体现,因此,应首先根据不同的受侵害客体、不同危害后果分别确定其危害程度。对不同危害后果确定其危害程度所采取的方法和所考虑的角度可能不同,例如系统服务安全被破坏导致业务能力下降的程度可以从信息系统服务覆盖的区域范围、用户人数或业务量等不同方面确定,业务信息安全被破坏导致的财物损失可以从直接的资金损失大小、间接的信息恢复费用等方面进行确定。
在针对不同的受侵害客体进行侵害程度的判断时,应参照以下不同的判别基准:
- 如果受侵害客体是公民、法人或其他组织的合法权益,则以本人或本单位的总体利益作为判断侵害程度的基准;
- 如果受侵害客体是社会秩序、公共利益或国家安全,则应以整个行业或国家的总体利益作为判断侵害程度的基准。
不同危害后果的三种危害程度描述如下:
一般损害:工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的法律问题,较低的财产损失,有限的社会不良影响,对其他组织和个人造成较低损害。
严重损害:工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害。
特别严重损害:工作职能受到特别严重影响或丧失行使能力,业务能力严重下降且或功能无法执行,出现极其严重的法律问题,极高的财产损失,大范围的社会不良影响,对其他组织和个人造成非常严重损害。
信息安全和系统服务安全被破坏后对客体的侵害程度,由对不同危害结果的危害程度进行综合评定得出。由于各行业信息系统所处理的信息种类和系统服务特点各不相同,信息安全和系统服务安全受到破坏后关注的危害结果、危害程度的计算方式均可能不同,各行业可根据本行业信息特点和系统服务特点,制定危害程度的综合评定方法,并给出侵害不同客体造成一般损害、严重损害、特别严重损害的具体定义。
5.5 确定定级对象的安全保护等级
根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度,依据表2业务信息安全保护等级矩阵表,即可得到业务信息安全保护等级。
表2 业务信息安全保护等级矩阵表
业务信息安全被破坏时所侵害的客体 对相应客体的侵害程度
一般损害 严重损害 特别严重损害
公民、法人和其他组织的合法权益 第一级 第二级 第二级
社会秩序、公共利益 第二级 第三级 第四级
国家安全 第三级 第四级 第五级
根据系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度,依据表2系统服务安全保护等级矩阵表,即可得到系统服务安全保护等级。
表3 系统服务安全保护等级矩阵表
系统服务安全被破坏时所侵害的客体 对相应客体的侵害程度
一般损害 严重损害 特别严重损害
公民、法人和其他组织的合法权益 第一级 第二级 第二级
社会秩序、公共利益 第二级 第三级 第四级
国家安全 第三级 第四级 第五级
作为定级对象的信息系统的安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者决定。
6 等级变更
在信息系统的运行过程中,安全保护等级应随着信息系统所处理的信息和业务状态的变化进行适当的变更,尤其是当状态变化可能导致业务信息安全或系统服务受到破坏后的受侵害客体和对客体的侵害程度有较大的变化,可能影响到系统的安全保护等级时,应根据本标准第5章给出的定级方法重新定级。
附件3:
信息系统安全等级保护定级报告
一、XXX信息系统描述
简述确定该系统为定级对象的理由。从三方面进行说明:一是描述承担信息系统安全责任的相关单位或部门,说明本单位或部门对信息系统具有信息安全保护责任,该信息系统为本单位或部门的定级对象;二是该定级对象是否具有信息系统的基本要素,描述基本要素、系统网络结构、系统边界和边界设备;三是该定级对象是否承载着单一或相对独立的业务,业务情况描述。
二、XXX信息系统安全保护等级确定
(定级方法参见国家标准《信息系统安全等级保护定级指南》)
(一)业务信息安全保护等级的确定
1、业务信息描述
描述信息系统处理的主要业务信息等。
2、业务信息受到破坏时所侵害客体的确定
说明信息受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。
3、信息受到破坏后对侵害客体的侵害程度的确定
说明信息受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。
4、业务信息安全等级的确定
依据信息受到破坏时所侵害的客体以及侵害程度,确定业务信息安全等级。
(二)系统服务安全保护等级的确定
1、系统服务描述
描述信息系统的服务范围、服务对象等。
2、系统服务受到破坏时所侵害客体的确定
说明系统服务受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。
3、系统服务受到破坏后对侵害客体的侵害程度的确定
说明系统服务受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。
4、系统服务安全等级的确定
依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。
(三)安全保护等级的确定
信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定,最终确定XXX系统安全保护等级为第几级。
信息系统名称 安全保护等级 业务信息安全等级 系统服务安全等级
XXX信息系统 X X X
附件4:
备案表编号:
信息系统安全等级保护
备案表
备 案 单 位: (盖章)
备 案 日 期:
受理备案单位: (盖章)
受 理 日 期:
中华人民共和国公安部监制
填 表 说 明
一、 制表依据。根据《信息安全等级保护管理办法》(公通字[2007]43号)之规定,制作本表;
二、 填表范围。本表由第二级以上信息系统运营使用单位或主管部门(以下简称“备案单位”)填写;本表由四张表单构成,表一为单位信息,每个填表单位填写一张;表二为信息系统基本信息,表三为信息系统定级信息,表二、表三每个信息系统填写一张;表四为第三级以上信息系统需要同时提交的内容,由每个第三级以上信息系统填写一张,并在完成系统建设、整改、测评等工作,投入运行后三十日内向受理备案公安机关提交;表二、表三、表四可以复印使用;
三、 保存方式。本表一式二份,一份由备案单位保存,一份由受理备案公安机关存档;
四、 本表中有选择的地方请在选项左侧“0”划“√”,如选择“其他”,请在其后的横线中注明详细内容;
五、 封面中备案表编号(由受理备案的公安机关填写并校验):分两部分共11位,第一部分6位,为受理备案公安机关代码前六位(可参照行标GA380-2002)。第二部分5位,为受理备案的公安机关给出的备案单位的顺序编号;
六、 封面中备案单位:是指负责运营使用信息系统的法人单位全称;
七、 封面中受理备案单位:是指受理备案的公安机关公共信息网络安全监察部门名称。此项由受理备案的公安机关负责填写并盖章;
不分页显示 总共2页 1 [2]
下一页