廣東省公安廳關于計算機信息系統安全保護的實施辦法

（廣(guang)東(dong)省(sheng)公安廳(ting)2008年9月(yue)27日以粵公通字〔2008〕228號發布 自2008年12月(yue)1日起(qi)施行）

第一章 總則

第一條 為保護(hu)計(ji)算機信息系統(tong)(tong)安(an)全，促進信息化建設的健康(kang)發展，貫徹落實《廣東省計(ji)算機信息系統(tong)(tong)安(an)全保護(hu)條(tiao)例》，根據有關法律(lv)法規，制定本辦法。

第二條 本辦法適用于廣(guang)東省(sheng)行(xing)政區域內計算機(ji)信(xin)息系統(tong)的(de)安全保護。

第三條 縣級以上人民政府公安機(ji)關公共信(xin)息網絡安全監察(cha)部門具體負責本行政區(qu)域內計算機(ji)信(xin)息系統的(de)安全保(bao)護監管(guan)工作。

第二章 安全監督

第四條 公安機關公共信息網(wang)絡安全監察(cha)部(bu)門對計(ji)算機信息系統安全保護工作行使下列職責：

（一）監(jian)督、檢查、指導計算(suan)機信息系統安全保護工(gong)作(zuo)；

（二(er)）組(zu)織開展計算機信息(xi)系統(tong)安全等級保護；

（三(san)）查處(chu)計(ji)算機違法(fa)犯罪(zui)案(an)件；

（四）組織(zhi)處置重(zhong)大(da)計算機(ji)信息(xi)系統(tong)安全事(shi)故和事(shi)件；

（五）負責計(ji)算機病毒和其他有害(hai)數據防治管理；

（六）負(fu)責(ze)計算(suan)機(ji)信息系統安全服務的監督(du)指導；

（七）負責(ze)計算機信息系統安全專(zhuan)用產品(pin)的監督管(guan)理；

（八）負(fu)責計(ji)算機(ji)信息(xi)系統安全培訓管理；

（九）法律、法規(gui)和規(gui)章規(gui)定的其他職責。

第五條 公安機(ji)關公共信(xin)息(xi)網絡(luo)安全(quan)(quan)監察(cha)部門應當對計(ji)算機(ji)信(xin)息(xi)系統落實(shi)實(shi)體安全(quan)(quan)、運(yun)行安全(quan)(quan)、信(xin)息(xi)安全(quan)(quan)和內(nei)容(rong)安全(quan)(quan)措施的情況進行檢查。

對第三級(ji)計(ji)算(suan)(suan)機(ji)信息系統每年(nian)至少(shao)檢查一次(ci)，對第四級(ji)計(ji)算(suan)(suan)機(ji)信息系統每半(ban)年(nian)至少(shao)檢查一次(ci)。對第五級(ji)計(ji)算(suan)(suan)機(ji)信息系統，應當會同國家(jia)指定的專門部(bu)門進行(xing)檢查。

對其他計算機信息(xi)系統(tong)應當不(bu)定期開展(zhan)檢(jian)查(cha)。

第六條 公安(an)機關(guan)公共信息網絡安(an)全監(jian)察部門發現計算機信息系統的安(an)全保護等級和(he)安(an)全措(cuo)施不符合有關(guan)規定和(he)技術標(biao)準，或者存在安(an)全隱患(huan)的，應(ying)當通(tong)知運(yun)營、使用(yong)單(dan)位進行(xing)整改。

第七條 公安機(ji)關公共信(xin)息網絡安全(quan)監察(cha)部門應當向公眾提供報警求(qiu)助(zhu)渠道，提供計算(suan)機(ji)信(xin)息系(xi)統安全(quan)指導，發布安全(quan)動態，開展(zhan)安全(quan)宣傳。

第三章 安全保護責任

第八條 單位和(he)個人應當依照有(you)(you)關法規、規章(zhang)和(he)標準，對(dui)其所有(you)(you)、使用和(he)管理的計(ji)算(suan)機(ji)信息系統承擔(dan)相應的安全(quan)保(bao)護責任。

第九條 第二級以(yi)上(shang)計(ji)算機(ji)信(xin)息(xi)系(xi)統(tong)的運營、使用單位應當建(jian)立安全保護組織，并報(bao)所在地地級以(yi)上(shang)市人(ren)民政府公安機(ji)關公共信(xin)息(xi)網絡安全監察部(bu)門備(bei)案。

第十條 安(an)(an)全(quan)保(bao)護(hu)組(zu)(zu)織(zhi)保(bao)障本(ben)單(dan)(dan)位(wei)計(ji)算(suan)機(ji)(ji)信(xin)(xin)(xin)息(xi)系(xi)統(tong)的安(an)(an)全(quan)運(yun)行，組(zu)(zu)織(zhi)本(ben)單(dan)(dan)位(wei)計(ji)算(suan)機(ji)(ji)信(xin)(xin)(xin)息(xi)系(xi)統(tong)的有害信(xin)(xin)(xin)息(xi)防治工(gong)作，組(zu)(zu)織(zhi)開展本(ben)單(dan)(dan)位(wei)計(ji)算(suan)機(ji)(ji)信(xin)(xin)(xin)息(xi)系(xi)統(tong)安(an)(an)全(quan)教(jiao)育和(he)(he)培訓，向公(gong)安(an)(an)機(ji)(ji)關公(gong)共信(xin)(xin)(xin)息(xi)網絡(luo)安(an)(an)全(quan)監察部門(men)報告本(ben)單(dan)(dan)位(wei)計(ji)算(suan)機(ji)(ji)信(xin)(xin)(xin)息(xi)系(xi)統(tong)運(yun)行、服(fu)務和(he)(he)安(an)(an)全(quan)等情況，及時協助公(gong)安(an)(an)機(ji)(ji)關公(gong)共信(xin)(xin)(xin)息(xi)網絡(luo)安(an)(an)全(quan)監察部門(men)查(cha)處(chu)(chu)違法犯罪和(he)(he)處(chu)(chu)置突發事件。

第十一條 互(hu)聯(lian)單位(wei)、互(hu)聯(lian)網接入服務(wu)單位(wei)、互(hu)聯(lian)網數據中心應當(dang)對(dui)接入本網絡的用戶進行資(zi)格(ge)審查，確認符合國家和(he)省有(you)關(guan)規定后方可為其提供(gong)服務(wu)。

互(hu)聯網接入服(fu)務、信息服(fu)務單位以及互(hu)聯網數據(ju)中心應當向用戶宣傳相關法(fa)律法(fa)規，提供必要的安全保護(hu)措施。

第十二條 個人主頁、博客、聊天室、點對點服(fu)務等互聯網信息服(fu)務的提供單位和使用者應(ying)當依(yi)照國家和省有關規定，落實相應(ying)的安全(quan)措施。

第十三條 網吧、圖書館、學校、賓館等提供互(hu)聯網上網服務(wu)的(de)場所應當(dang)安裝符(fu)合國家(jia)規定(ding)的(de)安全管(guan)理系統(tong)。

第十四條 互(hu)聯單位、互(hu)聯網接入服務單位以(yi)(yi)及互(hu)聯網數據(ju)中心應當每月將接入本網絡的(de)用戶情況(kuang)報地級以(yi)(yi)上市公(gong)安機關公(gong)共信息網絡安全監察(cha)部門備案(an)。

第十五條 計算機(ji)信(xin)息(xi)(xi)(xi)系(xi)統運營、使用(yong)單位應當(dang)接受公(gong)安(an)機(ji)關(guan)公(gong)共(gong)信(xin)息(xi)(xi)(xi)網絡安(an)全監察(cha)部(bu)門的監督、檢查、指導，如實提供安(an)全保護有關(guan)信(xin)息(xi)(xi)(xi)、資料及數據文件(jian)，不得變(bian)相拒絕、拖(tuo)延、阻(zu)礙公(gong)安(an)機(ji)關(guan)公(gong)共(gong)信(xin)息(xi)(xi)(xi)網絡安(an)全監察(cha)部(bu)門依(yi)法執行公(gong)務(wu)。

第四章 安全專用產品和安全服務

第十六條 安全專用產品必須取得公安部頒發(fa)的銷(xiao)售(shou)許可證方可銷(xiao)售(shou)。

第十七條 生(sheng)產、銷售或者提供含有計算機(ji)信(xin)(xin)息網絡(luo)遠程控制、密碼猜(cai)解、安全(quan)(quan)（漏洞）檢測、信(xin)(xin)息群(qun)發技(ji)術(shu)的(de)產品(pin)和工具的(de)，應當(dang)在領取營業(ye)執照后30日(ri)內（沒有營業(ye)執照的(de)，自(zi)開(kai)辦之日(ri)起30日(ri)內）向單位所在地地級以上市人民(min)政府公(gong)安機(ji)關公(gong)共信(xin)(xin)息網絡(luo)安全(quan)(quan)監(jian)察部門備案，填寫(xie)《廣東省計算機(ji)信(xin)(xin)息網絡(luo)安全(quan)(quan)特種技(ji)術(shu)備案表》，并提交(jiao)如下資(zi)料：

（一）單位簡況；

（二）營業執照（或(huo)其他(ta)有(you)效證明(ming)）復印(yin)件(jian)；

（三）研發和(he)服務管理制度；

（四）主要(yao)經營管理(li)人(ren)員(yuan)(yuan)、技術人(ren)員(yuan)(yuan)和服務人(ren)員(yuan)(yuan)有效證件復印件；

（五(wu)）主要(yao)產品(pin)情況。

第十八條 安(an)全保護等級為第三級以上的計算機信息系統應當選(xuan)用符合下列條件(jian)的安(an)全專用產品：

（一(yi)）產(chan)品(pin)研制(zhi)、生產(chan)單(dan)位是(shi)由(you)中國(guo)公民、法(fa)人(ren)投(tou)資或(huo)者國(guo)家投(tou)資或(huo)者控股的，在中華人(ren)民共和國(guo)境內具有(you)獨立的法(fa)人(ren)資格；

（二）產品(pin)的核心(xin)技術、關鍵部件具有我國自主知識(shi)產權；

（三）產品研制(zhi)、生(sheng)產單位及其主(zhu)要業務、技術人(ren)員無犯罪記錄；

（四）產品研制、生產單位(wei)聲明沒有(you)故意(yi)留有(you)或者(zhe)設(she)置漏洞、后門、木馬等程序和(he)功能；

（五）對國家安(an)全、社會秩序(xu)、公(gong)共利(li)益(yi)不構(gou)成危害。

第十九條 符合第十八條規定(ding)的安全(quan)專用產(chan)品和(he)生產(chan)單(dan)位應當到省公(gong)安廳(ting)公(gong)共信息網絡安全(quan)監察部門備案(an)。

第二十條 為加強安全服(fu)務機(ji)構(gou)(gou)的指導，推(tui)動(dong)安全服(fu)務質量和技術(shu)(shu)水平的提高，廣東(dong)省對從事計(ji)(ji)算機(ji)信息系統安全設計(ji)(ji)、建設、檢測、評估等安全服(fu)務的機(ji)構(gou)(gou)，根據其注冊資本、服(fu)務業(ye)績、技術(shu)(shu)力量、組織管理情況實行(xing)分級指導。

第五章 安全等級測評

第二十一條 第二(er)級以上(shang)的(de)計算(suan)機信息系統的(de)安全測評(ping)應當選擇符合下列條(tiao)件(jian)的(de)計算(suan)機信息系統安全等級測評(ping)機構（簡稱測評(ping)機構）承擔：

（一）在中華(hua)人(ren)民共和國境內注(zhu)冊成立（港澳臺地區除外），具有相應經營范圍的營業執照，注(zhu)冊資(zi)本100萬元以上；

（二）由中(zhong)國公(gong)民投資(zi)、中(zhong)國法(fa)人投資(zi)或者國家投資(zi)的企事業(ye)單位(wei)（港澳(ao)臺地區除外）；

（三）近3年完(wan)成的(de)測評項目總值150萬元(yuan)以上；

（四）具有計(ji)算機(ji)安全或相(xiang)關(guan)專(zhuan)業資格(ge)證書的專(zhuan)業技術人(ren)(ren)員(yuan)不少于20人(ren)(ren)，其中大學(xue)本科以(yi)上學(xue)歷(li)的人(ren)(ren)員(yuan)不少于15人(ren)(ren)；

（五）管理人員應(ying)當具有(you)3年以上從事計(ji)算機信息系(xi)統(tong)安全技(ji)術領域企業(ye)(ye)管理工作(zuo)經(jing)歷(li)，技(ji)術負責人已獲得計(ji)算機信息系(xi)統(tong)安全技(ji)術相關專業(ye)(ye)的(de)高級職稱，從事安全測評工作(zuo)不少(shao)于(yu)3年，無犯罪記(ji)錄(lu)；

（六(liu)）工作人員(yuan)僅限于中(zhong)國公民，法(fa)人及主要業務(wu)、技術人員(yuan)無犯罪記錄；

（七）具有與所(suo)承擔項目適應的技術裝備；

（八）具有完備的保密(mi)管(guan)理、項目(mu)管(guan)理、質量管(guan)理、人員管(guan)理和培(pei)訓教育(yu)等安(an)全管(guan)理制度；

（九(jiu)）對國家安全、社會秩序、公共利益不構成威(wei)脅。

第二十二條 廣東省(sheng)對測評機(ji)構(gou)實施(shi)備(bei)案制(zhi)度。符合第二(er)十一條規定的條件，承(cheng)擔第二(er)級以上的計算機(ji)信(xin)息(xi)系統(tong)測評工作的機(ji)構(gou)應(ying)當到省(sheng)公(gong)安廳公(gong)共(gong)信(xin)息(xi)網絡安全監察部(bu)門備(bei)案。

第二十三條 省公(gong)安廳公(gong)共信息網(wang)絡(luo)安全監察部(bu)門對已備案的(de)測評(ping)機構進行公(gong)布。

第二十四條 測評機構應當履行下列義務：

（一）遵守國家有關法律法規和技術標準，提供安全、客觀、公(gong)正的檢測(ce)評估服務(wu)，保證測(ce)評的質(zhi)量(liang)和效(xiao)果；

（二）保守在(zai)測(ce)評(ping)活動中知悉的國家秘密、商業秘密和個(ge)人隱私，防范測(ce)評(ping)風險；

（三）對(dui)測評人(ren)員進行安全保密教育，與其簽訂安全保密責(ze)(ze)任書(shu)，規定應當履行的安全保密義務(wu)和承擔(dan)的法(fa)律責(ze)(ze)任，并(bing)負(fu)責(ze)(ze)檢查(cha)落實。

第二十五條 第二級以上的計算機(ji)信(xin)息系統建(jian)設完(wan)成后，使用(yong)單位應(ying)當(dang)委托符合規定的測評(ping)(ping)機(ji)構安全測評(ping)(ping)合格方可(ke)投入使用(yong)。測評(ping)(ping)活動應(ying)當(dang)接(jie)受公安機(ji)關(guan)公共信(xin)息網絡安全監察(cha)部門的監督。

第二十六條 計算機信(xin)息系統運營、使用單位(wei)委托安全(quan)測評機構測評，應當(dang)提交下列資料：

（一）安全測評委(wei)托書(shu)；

（二）計(ji)算機信息(xi)系(xi)(xi)統(tong)應用(yong)需求、系(xi)(xi)統(tong)結構(gou)拓撲及說明、系(xi)(xi)統(tong)安全(quan)(quan)組(zu)織結構(gou)和管理制度、安全(quan)(quan)保護設(she)施(shi)設(she)計(ji)實施(shi)方案或者(zhe)改(gai)建實施(shi)方案、系(xi)(xi)統(tong)軟件硬件和信息(xi)安全(quan)(quan)產品清單。

第二十七條 安全測(ce)評機構在(zai)收到委(wei)托材料后，應當與委(wei)托方協商制訂安全測(ce)評計(ji)劃(hua)，開展安全測(ce)評工(gong)作，并出具(ju)安全測(ce)評報告。

經(jing)測(ce)(ce)評，計算機信(xin)息系(xi)統(tong)安全狀況未達到(dao)國家有(you)關規(gui)定和標(biao)準的要求，委托(tuo)單位應當(dang)根據測(ce)(ce)評報告的建(jian)議(yi)，完善計算機信(xin)息系(xi)統(tong)安全建(jian)設，并重新(xin)提出安全測(ce)(ce)評委托(tuo)。

測(ce)評機(ji)(ji)構對(dui)計(ji)算機(ji)(ji)信(xin)息(xi)系統(tong)進行使(shi)用前安全測(ce)評，應(ying)當預先報(bao)告地(di)(di)級以上(shang)市公(gong)安機(ji)(ji)關公(gong)共(gong)信(xin)息(xi)網(wang)絡(luo)安全監察(cha)部門。安全測(ce)評報(bao)告由(you)計(ji)算機(ji)(ji)信(xin)息(xi)系統(tong)運營、使(shi)用單位報(bao)地(di)(di)級以上(shang)市公(gong)安機(ji)(ji)關公(gong)共(gong)信(xin)息(xi)網(wang)絡(luo)安全監察(cha)部門。

第二十八條 第(di)(di)三級(ji)計(ji)算(suan)(suan)機信息系統應當(dang)(dang)(dang)每年至少進行(xing)一(yi)次安(an)全(quan)測評(ping)，第(di)(di)四級(ji)計(ji)算(suan)(suan)機信息系統應當(dang)(dang)(dang)每半年至少進行(xing)一(yi)次安(an)全(quan)測評(ping)，第(di)(di)五級(ji)計(ji)算(suan)(suan)機信息系統應當(dang)(dang)(dang)依據特殊安(an)全(quan)要求進行(xing)安(an)全(quan)測評(ping)。

第六章 應急處置

第二十九條 公安機(ji)關公共信息網絡安全監(jian)察部門與所在地安全服務機(ji)構、互聯(lian)網運(yun)營單位(wei)和其他計(ji)算機(ji)信息系統運(yun)營、使用單位(wei)應(ying)當建(jian)立(li)聯(lian)防機(ji)制，依法及時(shi)查(cha)處(chu)(chu)通(tong)過計(ji)算機(ji)信息系統進行(xing)的違法犯罪行(xing)為(wei)，組織(zhi)處(chu)(chu)置重大突(tu)發事(shi)件。

第三十條 對計算機信息系統中發生的案件和重大安全事故，計算機信息系統的運營、使(shi)用(yong)單位(wei)應當在(zai)二(er)十四小時內報告縣級以上(shang)人民政府公安機關(guan)公共信息網絡安全監察(cha)部門，并保留有關(guan)原始記錄。

第三十一條 第二級以上的計算機信息系統運營(ying)、使用(yong)單位應當制定(ding)重大(da)突發(fa)事件應急(ji)處置預案并定(ding)期實施演(yan)練。

第三十二條 計算機信息系統發生重大突發事(shi)件，有關單位應當(dang)按照應急處置(zhi)預案的(de)要求采取相(xiang)應的(de)處置(zhi)措施，并服從公安機關和國家指定的(de)專門部門的(de)調(diao)度。

第三十三條 地(di)級市以(yi)(yi)上人(ren)民政府公安(an)(an)機(ji)關公共(gong)信息網(wang)絡安(an)(an)全(quan)監察部門經(jing)本機(ji)關主管(guan)領導批準，為保護計算機(ji)信息系統安(an)(an)全(quan)，在發生(sheng)重大突(tu)發事件，危及(ji)國家安(an)(an)全(quan)、公共(gong)安(an)(an)全(quan)及(ji)社會(hui)穩定的(de)緊(jin)急情況(kuang)下，可以(yi)(yi)采取二十四小時內暫(zan)時停(ting)機(ji)、暫(zan)停(ting)聯(lian)網(wang)、備份(fen)數(shu)據等措施。

第七章 安全培訓

第三十四條 省公(gong)安廳、人(ren)事廳聯合成立的(de)(de)省信(xin)息網(wang)(wang)絡安全(quan)專(zhuan)業技(ji)(ji)術(shu)人(ren)員(yuan)繼(ji)(ji)續(xu)教(jiao)育(yu)工作領導(dao)小組，負(fu)責全(quan)省信(xin)息網(wang)(wang)絡安全(quan)專(zhuan)業技(ji)(ji)術(shu)人(ren)員(yuan)繼(ji)(ji)續(xu)教(jiao)育(yu)工作的(de)(de)組織和領導(dao)。下(xia)設省信(xin)息網(wang)(wang)絡安全(quan)專(zhuan)業技(ji)(ji)術(shu)人(ren)員(yuan)繼(ji)(ji)續(xu)教(jiao)育(yu)工作辦公(gong)室，具體負(fu)責日(ri)常管理工作。

第三十五條 下列人(ren)員(yuan)應當參加(jia)信息網(wang)絡(luo)安全專(zhuan)業技術(shu)(shu)人(ren)員(yuan)繼(ji)續教(jiao)育(yu)，取得省信息網(wang)絡(luo)安全專(zhuan)業技術(shu)(shu)人(ren)員(yuan)繼(ji)續教(jiao)育(yu)工作辦公室頒發(fa)的信息網(wang)絡(luo)安全專(zhuan)業技術(shu)(shu)人(ren)員(yuan)繼(ji)續教(jiao)育(yu)合(he)格證書，持證上崗(gang)：

（一）計算機信(xin)息系(xi)統(tong)運(yun)營(ying)、使用單位信(xin)息安全(quan)管理責任人、信(xin)息審查(cha)員；

（二(er)）互聯(lian)網接入(ru)服務(wu)、數(shu)據中心服務(wu)、信息服務(wu)、上網服務(wu)提供單(dan)位(wei)安全管理員(yuan)、專業技術人員(yuan)；

（三）安(an)全專(zhuan)用產品生產單位專(zhuan)業技術人員；

（四）安全(quan)服務機構專業技術人員、安全(quan)服務管理(li)人員；

（五(wu)）其(qi)他從事計(ji)算(suan)機信息系(xi)統安全保護工作的(de)人員。

第三十六條 信(xin)息網絡安全專業(ye)技術人員(yuan)繼續教(jiao)育由省(sheng)信(xin)息網絡安全專業(ye)技術人員(yuan)繼續教(jiao)育工(gong)作辦(ban)公(gong)室授權的施(shi)教(jiao)機構負(fu)責實(shi)施(shi)。施(shi)教(jiao)機構實(shi)行統籌(chou)規劃。

第三十七條 信息網絡安全專業技術人員繼續(xu)教(jiao)育培訓和(he)考試按照有關(guan)規定進行，實(shi)行統(tong)一(yi)(yi)教(jiao)學大綱(gang)，統(tong)一(yi)(yi)教(jiao)材，統(tong)一(yi)(yi)考試，統(tong)一(yi)(yi)發證。

考試合格的，由省信息網(wang)絡安(an)全(quan)專業(ye)技術人員繼續教育(yu)工(gong)作辦公(gong)室發給信息網(wang)絡安(an)全(quan)專業(ye)技術人員繼續教育(yu)證書。

第八章 法律責任

第三十八條 違反本辦法(fa)的(de)規(gui)定，依照有(you)關(guan)法(fa)律、法(fa)規(gui)和規(gui)章處罰(fa)。

第九章 附則

第三十九條 本細(xi)則下(xia)列用語的含義：實體(ti)(ti)安全，指保(bao)護(hu)計(ji)算(suan)機(ji)信息(xi)系統(tong)的環(huan)境，計(ji)算(suan)機(ji)設備、設施（含網絡）以及(ji)其它(ta)媒體(ti)(ti)免遭(zao)地(di)震、水災、火災、雷電、有害氣體(ti)(ti)和其它(ta)環(huan)境事故（如(ru)電磁污(wu)染等）破壞。

運行安(an)全，指保護計算(suan)機(ji)信(xin)息系統的信(xin)息處理過程(cheng)順(shun)利進行。

信(xin)息安全，指保障信(xin)息的完(wan)整性(xing)(xing)、保密性(xing)(xing)、可用性(xing)(xing)和可控性(xing)(xing)。

內(nei)容(rong)安全(quan)，指確保計算機信(xin)(xin)息系統中傳輸的信(xin)(xin)息所承載(zai)的內(nei)容(rong)的合法(fa)性(xing)。

安(an)全(quan)（漏(lou)洞）檢測，指利(li)用計算機技術手(shou)段(duan)掃描、探測計算機信息(xi)系統安(an)全(quan)漏(lou)洞。

第四十條 本辦法規定(ding)的“以(yi)上”含本數。

第四十一條 本(ben)辦法規定的(de)有關表格(ge)和證書由省公安廳制定式樣，統一監制。

第四十二條 本(ben)辦(ban)法由省(sheng)公安廳負責解釋。

第四十三條 本(ben)辦法自2008年12月1日起施行(xing)。