廣東省公安廳關于計算機信息系統安全保護的實施辦法
(廣(guang)東省公安(an)廳2008年(nian)(nian)9月27日以粵公通字〔2008〕228號發(fa)布 自2008年(nian)(nian)12月1日起施(shi)行)
第一章 總則
第一條 為保護計(ji)算機信息系統安(an)全,促進(jin)信息化建設的健(jian)康發展(zhan),貫徹落實《廣東省計(ji)算機信息系統安(an)全保護條例》,根據有關(guan)法(fa)律法(fa)規,制定(ding)本辦法(fa)。
第二條 本辦法(fa)適用于廣東(dong)省(sheng)行(xing)政區域內計(ji)算機信息系統的安全保護(hu)。
第三條 縣級以上人民政府公安(an)(an)機關公共(gong)信息網絡安(an)(an)全(quan)監(jian)察部門具體負(fu)責本(ben)行(xing)政區域內計算機信息系統的安(an)(an)全(quan)保護監(jian)管工作(zuo)。
第二章 安全監督
第四條 公(gong)安機(ji)關公(gong)共信息網(wang)絡(luo)安全監(jian)察(cha)部門對計(ji)算機(ji)信息系統安全保護(hu)工作行使下列(lie)職責:
(一)監督、檢(jian)查、指導計算(suan)機信息系統安(an)全(quan)保護工(gong)作;
(二)組織開展計算機信息(xi)系(xi)統安(an)全等級(ji)保護;
(三)查處計(ji)算(suan)機(ji)違(wei)法(fa)犯罪案件(jian);
(四)組織處置重大計算(suan)機信(xin)息(xi)系統(tong)安全事(shi)故和事(shi)件;
(五)負責(ze)計算機病毒和其他有害數據防(fang)治管理;
(六)負責計(ji)算機信息(xi)系統安全(quan)服務的監督指導;
(七(qi))負(fu)責計算(suan)機信息(xi)系(xi)統安(an)全專用產品的監督管理;
(八)負(fu)責(ze)計算機信息系統安全培訓管理;
(九)法(fa)律、法(fa)規(gui)和(he)規(gui)章規(gui)定的其他職(zhi)責。
第五條 公安(an)機(ji)(ji)關公共信息網絡安(an)全監察部門應當(dang)對計(ji)算機(ji)(ji)信息系統落實實體(ti)安(an)全、運行安(an)全、信息安(an)全和內容安(an)全措施的情況進行檢查。
對(dui)第(di)三級計(ji)算(suan)機信息(xi)系統每年至(zhi)少檢(jian)查一(yi)次,對(dui)第(di)四級計(ji)算(suan)機信息(xi)系統每半年至(zhi)少檢(jian)查一(yi)次。對(dui)第(di)五級計(ji)算(suan)機信息(xi)系統,應當會(hui)同(tong)國家(jia)指定(ding)的(de)專(zhuan)門部(bu)門進行檢(jian)查。
對其他(ta)計算機信息系(xi)統應當不定期(qi)開展檢(jian)查(cha)。
第六條 公安機關(guan)公共信(xin)(xin)息(xi)網絡安全(quan)監察(cha)部(bu)門發現計算機信(xin)(xin)息(xi)系統的(de)安全(quan)保護等級和(he)安全(quan)措施不符合有關(guan)規(gui)定(ding)和(he)技術標準,或者存在安全(quan)隱患(huan)的(de),應當通知運(yun)營、使用(yong)單位(wei)進行(xing)整改。
第七條 公(gong)安機關(guan)公(gong)共(gong)信(xin)息網絡安全(quan)監察(cha)部(bu)門應當向公(gong)眾提(ti)供報警求助渠道,提(ti)供計算機信(xin)息系(xi)統安全(quan)指導,發布安全(quan)動態(tai),開(kai)展安全(quan)宣傳(chuan)。
第三章 安全保護責任
第八條 單位和(he)個人應當依照有關法規、規章(zhang)和(he)標準,對其所有、使用和(he)管理的(de)計算機信(xin)息(xi)系統承擔相(xiang)應的(de)安全保護(hu)責任。
第九條 第二級(ji)以上(shang)計算機信(xin)息系統的運營(ying)、使用單位應當建立安全(quan)保(bao)護組織,并報所在地地級(ji)以上(shang)市人民政府公(gong)安機關(guan)公(gong)共信(xin)息網絡安全(quan)監(jian)察部門備案。
第十條 安(an)(an)(an)(an)全(quan)保護組(zu)織(zhi)保障(zhang)本單位(wei)計(ji)算(suan)機(ji)信(xin)(xin)(xin)息(xi)系(xi)統的安(an)(an)(an)(an)全(quan)運行,組(zu)織(zhi)本單位(wei)計(ji)算(suan)機(ji)信(xin)(xin)(xin)息(xi)系(xi)統的有害(hai)信(xin)(xin)(xin)息(xi)防治工作,組(zu)織(zhi)開展本單位(wei)計(ji)算(suan)機(ji)信(xin)(xin)(xin)息(xi)系(xi)統安(an)(an)(an)(an)全(quan)教育和培訓,向公安(an)(an)(an)(an)機(ji)關(guan)公共信(xin)(xin)(xin)息(xi)網(wang)絡安(an)(an)(an)(an)全(quan)監察部門報告(gao)本單位(wei)計(ji)算(suan)機(ji)信(xin)(xin)(xin)息(xi)系(xi)統運行、服務和安(an)(an)(an)(an)全(quan)等情況,及時協助公安(an)(an)(an)(an)機(ji)關(guan)公共信(xin)(xin)(xin)息(xi)網(wang)絡安(an)(an)(an)(an)全(quan)監察部門查處(chu)違法犯罪和處(chu)置突發事件。
第十一條 互(hu)(hu)聯(lian)(lian)單(dan)位、互(hu)(hu)聯(lian)(lian)網(wang)接入服務(wu)單(dan)位、互(hu)(hu)聯(lian)(lian)網(wang)數據中心應當對(dui)接入本網(wang)絡的用戶進行資格(ge)審查,確認符合國家和省有關(guan)規定后方可(ke)為其提(ti)供(gong)服務(wu)。
互聯(lian)網接入服(fu)務(wu)、信息(xi)服(fu)務(wu)單位以(yi)及(ji)互聯(lian)網數據(ju)中(zhong)心應當向用戶宣傳相關法(fa)律法(fa)規,提供必要的安全保護措(cuo)施。
第十二條 個人(ren)主頁(ye)、博(bo)客、聊(liao)天室、點(dian)對點(dian)服務等互聯網(wang)信(xin)息服務的提供單位(wei)和使用者應當依(yi)照國(guo)家和省有關(guan)規定,落實(shi)相應的安全措施。
第十三條 網吧、圖(tu)書館、學校、賓館等提供互聯網上網服務的(de)(de)場(chang)所應當安裝符合國家規定的(de)(de)安全管理系統。
第十四條 互(hu)聯單(dan)位(wei)、互(hu)聯網(wang)接入(ru)服(fu)務(wu)單(dan)位(wei)以(yi)及互(hu)聯網(wang)數據中心(xin)應當每月將接入(ru)本(ben)網(wang)絡的用戶情況(kuang)報地(di)級以(yi)上市公(gong)安機關公(gong)共信息網(wang)絡安全(quan)監察部門備案。
第十五條 計算機(ji)信(xin)息(xi)系統運(yun)營、使(shi)用單位應當接受公(gong)安機(ji)關公(gong)共(gong)信(xin)息(xi)網絡安全監(jian)察部門的監(jian)督、檢查、指導,如實提(ti)供安全保(bao)護有關信(xin)息(xi)、資(zi)料及(ji)數據(ju)文件,不(bu)得變相(xiang)拒絕、拖延、阻礙公(gong)安機(ji)關公(gong)共(gong)信(xin)息(xi)網絡安全監(jian)察部門依(yi)法執行公(gong)務。
第四章 安全專用產品和安全服務
第十六條 安全(quan)專(zhuan)用產品必須取(qu)得(de)公安部(bu)頒發的銷售(shou)許可(ke)(ke)證方可(ke)(ke)銷售(shou)。
第十七條 生產(chan)、銷售或者提供(gong)含有計(ji)算機信(xin)(xin)息(xi)網絡(luo)遠程控制、密碼猜解、安(an)全(quan)(漏(lou)洞)檢(jian)測(ce)、信(xin)(xin)息(xi)群發技術(shu)的(de)產(chan)品和(he)工具的(de),應當在領(ling)取營(ying)業執照(zhao)后(hou)30日內(沒有營(ying)業執照(zhao)的(de),自開辦之(zhi)日起30日內)向單位所在地(di)地(di)級以(yi)上市人民政府公安(an)機關(guan)公共信(xin)(xin)息(xi)網絡(luo)安(an)全(quan)監察部門備案,填寫《廣東省計(ji)算機信(xin)(xin)息(xi)網絡(luo)安(an)全(quan)特種技術(shu)備案表》,并提交如下資料:
(一)單位簡況;
(二(er))營業執照(或其(qi)他有(you)效證明(ming))復印件(jian);
(三(san))研發(fa)和服務管理(li)制度;
(四)主(zhu)要經營管理人(ren)員、技術人(ren)員和服務(wu)人(ren)員有效證件復印件;
(五)主要產品(pin)情況。
第十八條 安全(quan)保護等級為第三級以上的計算機信息系統應當選用符合下列條件(jian)的安全(quan)專用產品:
(一)產(chan)品研(yan)制、生產(chan)單(dan)位是(shi)由中國(guo)公(gong)民、法人投資(zi)或者(zhe)國(guo)家(jia)投資(zi)或者(zhe)控股的,在(zai)中華人民共和(he)國(guo)境(jing)內具有獨(du)立(li)的法人資(zi)格;
(二(er))產品的核心技術、關鍵部件具有(you)我(wo)國自主知識(shi)產權;
(三)產品(pin)研(yan)制、生產單位及(ji)其主要業務、技術人員(yuan)無(wu)犯罪記錄;
(四(si))產(chan)品(pin)研制、生產(chan)單位(wei)聲明沒有故意留有或者設置漏(lou)洞、后(hou)門、木馬等程(cheng)序(xu)和(he)功(gong)能;
(五)對(dui)國家安全、社會秩序(xu)、公共利(li)益(yi)不構成危害。
第十九條 符合第十八條(tiao)規定的安全專(zhuan)用產品(pin)和生(sheng)產單位應當到省公安廳公共信(xin)息網絡安全監察部(bu)門備案。
第二十條 為(wei)加強安(an)(an)全(quan)(quan)(quan)服(fu)(fu)務機(ji)構的(de)(de)(de)指導(dao),推(tui)動安(an)(an)全(quan)(quan)(quan)服(fu)(fu)務質量和技術(shu)水平的(de)(de)(de)提高(gao),廣(guang)東省(sheng)對(dui)從事計算(suan)機(ji)信息系統安(an)(an)全(quan)(quan)(quan)設計、建設、檢測、評估等(deng)安(an)(an)全(quan)(quan)(quan)服(fu)(fu)務的(de)(de)(de)機(ji)構,根據其注冊(ce)資(zi)本、服(fu)(fu)務業績、技術(shu)力(li)量、組(zu)織(zhi)管理情況(kuang)實行分級指導(dao)。
第五章 安全等級測評
第二十一條 第(di)二級以上的計算機信息系統的安(an)全測(ce)評(ping)應當選(xuan)擇符(fu)合下列條件的計算機信息系統安(an)全等(deng)級測(ce)評(ping)機構(gou)(gou)(簡稱測(ce)評(ping)機構(gou)(gou))承擔:
(一)在中華人(ren)民共和國境內注冊成立(港澳臺地(di)區除外),具有(you)相應(ying)經營(ying)范(fan)圍的(de)營(ying)業執照,注冊資本100萬元以上;
(二)由中國(guo)公民投資(zi)、中國(guo)法人投資(zi)或者國(guo)家(jia)投資(zi)的(de)企事(shi)業單位(港澳(ao)臺(tai)地區除外);
(三(san))近3年完(wan)成的測評項目總值150萬元(yuan)以上;
(四)具有計算機安全或相關專業資格證書的專業技(ji)術人(ren)員不(bu)少(shao)于20人(ren),其中大學(xue)本(ben)科以上(shang)學(xue)歷的人(ren)員不(bu)少(shao)于15人(ren);
(五(wu))管理人員(yuan)應當具有3年以上從事計算機信息(xi)系(xi)統安(an)(an)全技(ji)術(shu)(shu)領域(yu)企業管理工作經歷,技(ji)術(shu)(shu)負(fu)責人已(yi)獲得(de)計算機信息(xi)系(xi)統安(an)(an)全技(ji)術(shu)(shu)相關專業的高級職(zhi)稱,從事安(an)(an)全測評工作不少于3年,無(wu)犯罪記錄;
(六)工(gong)作人(ren)員僅限于中國公民,法人(ren)及主要業務、技術人(ren)員無犯罪記錄;
(七)具有(you)與(yu)所承(cheng)擔項目適應的技術裝備;
(八)具(ju)有完備(bei)的保(bao)密管(guan)(guan)(guan)理、項目管(guan)(guan)(guan)理、質量(liang)管(guan)(guan)(guan)理、人(ren)員(yuan)管(guan)(guan)(guan)理和培訓教育等安全管(guan)(guan)(guan)理制度(du);
(九)對國家(jia)安(an)全、社會秩序、公(gong)共利益不(bu)構成威脅。
第二十二條 廣東省對測(ce)(ce)評(ping)機(ji)構實施(shi)備(bei)案制度。符合第(di)二十一條(tiao)(tiao)規定的條(tiao)(tiao)件,承(cheng)擔(dan)第(di)二級以上的計算機(ji)信(xin)息(xi)系統測(ce)(ce)評(ping)工作(zuo)的機(ji)構應當到省公安(an)廳公共(gong)信(xin)息(xi)網絡(luo)安(an)全(quan)監(jian)察部門(men)備(bei)案。
第二十三條 省公(gong)安(an)廳公(gong)共信息網絡安(an)全監察部門對已(yi)備案的測評(ping)機(ji)構進行公(gong)布。
第二十四條 測評機構應當履行下(xia)列義務:
(一)遵守國家有關法律法規(gui)和技術標準(zhun),提供安全、客(ke)觀、公正的(de)檢測評(ping)估(gu)服(fu)務,保證測評(ping)的(de)質量和效果(guo);
(二(er))保(bao)守在測評(ping)活動中(zhong)知悉的國家秘密(mi)、商業(ye)秘密(mi)和個人隱私,防范(fan)測評(ping)風險;
(三)對測評人員進(jin)行(xing)安(an)全(quan)保(bao)密(mi)教(jiao)育,與(yu)其簽(qian)訂安(an)全(quan)保(bao)密(mi)責任(ren)書(shu),規定應當履行(xing)的安(an)全(quan)保(bao)密(mi)義務和承擔的法律(lv)責任(ren),并負責檢查(cha)落實。
第二十五條 第(di)二(er)級以(yi)上(shang)的計算機(ji)信息系統建設(she)完成后,使用單位應(ying)當委托符(fu)合規定的測(ce)評(ping)(ping)機(ji)構安(an)(an)全測(ce)評(ping)(ping)合格方可投入使用。測(ce)評(ping)(ping)活動應(ying)當接受(shou)公安(an)(an)機(ji)關公共信息網絡安(an)(an)全監(jian)察(cha)部(bu)門的監(jian)督。
第二十六條 計(ji)算機信息系統(tong)運營、使用(yong)單位委托安全測評機構測評,應當提交(jiao)下(xia)列資料:
(一(yi))安全測(ce)評委托書(shu);
(二(er))計算機信息系(xi)統(tong)應用需求、系(xi)統(tong)結構拓撲及說明、系(xi)統(tong)安(an)全(quan)組織結構和管理(li)制度(du)、安(an)全(quan)保護設(she)施(shi)設(she)計實施(shi)方(fang)案或者改建實施(shi)方(fang)案、系(xi)統(tong)軟件硬(ying)件和信息安(an)全(quan)產(chan)品清(qing)單。
第二十七條 安(an)全(quan)(quan)測評機構在收到委托材料后,應當與委托方(fang)協商制訂(ding)安(an)全(quan)(quan)測評計劃,開展安(an)全(quan)(quan)測評工作,并(bing)出具安(an)全(quan)(quan)測評報告。
經測評(ping)(ping)(ping),計算機信(xin)(xin)息系統安全(quan)狀(zhuang)況(kuang)未達(da)到國家(jia)有(you)關規定和標準的要求,委托(tuo)單位應當根據測評(ping)(ping)(ping)報告的建議,完(wan)善(shan)計算機信(xin)(xin)息系統安全(quan)建設,并重新提出(chu)安全(quan)測評(ping)(ping)(ping)委托(tuo)。
測評機(ji)構對計算機(ji)信(xin)息系統(tong)進行(xing)使用前安(an)(an)全(quan)測評,應當預先報(bao)告地(di)級以上(shang)市(shi)公安(an)(an)機(ji)關公共信(xin)息網絡安(an)(an)全(quan)監察部(bu)門(men)。安(an)(an)全(quan)測評報(bao)告由(you)計算機(ji)信(xin)息系統(tong)運(yun)營(ying)、使用單位(wei)報(bao)地(di)級以上(shang)市(shi)公安(an)(an)機(ji)關公共信(xin)息網絡安(an)(an)全(quan)監察部(bu)門(men)。
第二十八條 第(di)(di)三級計(ji)算機信(xin)(xin)息(xi)(xi)系統應(ying)當(dang)每年(nian)至少進行(xing)一次(ci)安(an)全(quan)測評,第(di)(di)四級計(ji)算機信(xin)(xin)息(xi)(xi)系統應(ying)當(dang)每半年(nian)至少進行(xing)一次(ci)安(an)全(quan)測評,第(di)(di)五(wu)級計(ji)算機信(xin)(xin)息(xi)(xi)系統應(ying)當(dang)依據特殊安(an)全(quan)要求(qiu)進行(xing)安(an)全(quan)測評。
第六章 應急處置
第二十九條 公安(an)機關公共信息網絡安(an)全(quan)監察(cha)部門(men)與所(suo)在(zai)地(di)安(an)全(quan)服務機構、互(hu)聯網運(yun)營單(dan)位和其他計(ji)算機信息系(xi)統(tong)運(yun)營、使用單(dan)位應當建立聯防機制,依(yi)法(fa)及時(shi)查處(chu)(chu)通過(guo)計(ji)算機信息系(xi)統(tong)進行的(de)違法(fa)犯罪(zui)行為,組(zu)織處(chu)(chu)置重大突發事件。
第三十條 對(dui)計(ji)算機信(xin)息(xi)系(xi)統(tong)中發生的案件和重(zhong)大安(an)全(quan)事故,計(ji)算機信(xin)息(xi)系(xi)統(tong)的運營、使用(yong)單位應(ying)當在二十四小時內報告縣級以(yi)上人(ren)民(min)政(zheng)府公安(an)機關公共信(xin)息(xi)網絡安(an)全(quan)監(jian)察部門,并保留有關原始記錄。
第三十一條 第(di)二級以上的計算機(ji)信息系統運(yun)營、使(shi)用(yong)單位應當制定重大突發事(shi)件應急處置預(yu)案并定期實施(shi)演練(lian)。
第三十二條 計算機信息(xi)系統發生(sheng)重大突發事件,有(you)關(guan)單位應當按照應急處置預案的(de)要求采取相應的(de)處置措施,并服從公安機關(guan)和國家指定的(de)專門部門的(de)調度。
第三十三條 地級市以(yi)上人民(min)政府(fu)公安(an)機(ji)關公共信(xin)息網絡安(an)全(quan)監(jian)察部門經本機(ji)關主(zhu)管領導批準(zhun),為保(bao)護計算機(ji)信(xin)息系(xi)統(tong)安(an)全(quan),在發生重(zhong)大突發事(shi)件,危及國家安(an)全(quan)、公共安(an)全(quan)及社(she)會穩定的(de)緊急情況下,可以(yi)采取二十四小(xiao)時(shi)內(nei)暫(zan)時(shi)停機(ji)、暫(zan)停聯網、備份數據等措施。
第七章 安全培訓
第三十四條 省(sheng)公(gong)安廳、人事(shi)廳聯合(he)成(cheng)立的省(sheng)信息網絡安全專業技(ji)術(shu)人員繼(ji)續(xu)(xu)教(jiao)育(yu)工(gong)作(zuo)領導小組,負責全省(sheng)信息網絡安全專業技(ji)術(shu)人員繼(ji)續(xu)(xu)教(jiao)育(yu)工(gong)作(zuo)的組織和(he)領導。下設省(sheng)信息網絡安全專業技(ji)術(shu)人員繼(ji)續(xu)(xu)教(jiao)育(yu)工(gong)作(zuo)辦公(gong)室,具體負責日常管理工(gong)作(zuo)。
第三十五條 下(xia)列(lie)人(ren)員(yuan)(yuan)應當參加信息(xi)網絡安全專業技術人(ren)員(yuan)(yuan)繼續(xu)(xu)教育,取得(de)省(sheng)信息(xi)網絡安全專業技術人(ren)員(yuan)(yuan)繼續(xu)(xu)教育工(gong)作辦公室頒發的信息(xi)網絡安全專業技術人(ren)員(yuan)(yuan)繼續(xu)(xu)教育合格(ge)證書,持證上崗(gang):
(一)計(ji)算機信(xin)息系統運營、使(shi)用單(dan)位信(xin)息安全管理責(ze)任人(ren)、信(xin)息審(shen)查員;
(二)互聯網接入服(fu)(fu)務、數據中心服(fu)(fu)務、信息服(fu)(fu)務、上網服(fu)(fu)務提供(gong)單位安全管理員、專業技(ji)術人員;
(三(san))安全專用產(chan)品生產(chan)單位專業技術人員;
(四(si))安(an)全服務機構專業技術人(ren)員、安(an)全服務管理人(ren)員;
(五)其(qi)他從事計算(suan)機信息系統安全保護工作的人(ren)員(yuan)。
第三十六條 信息網(wang)絡(luo)安全(quan)專(zhuan)業技(ji)術人員繼(ji)續(xu)教育由(you)省(sheng)信息網(wang)絡(luo)安全(quan)專(zhuan)業技(ji)術人員繼(ji)續(xu)教育工(gong)作辦公室授權(quan)的施(shi)教機構負(fu)責實施(shi)。施(shi)教機構實行統籌規劃(hua)。
第三十七條 信息(xi)網絡安全專業(ye)技術(shu)人員繼續(xu)教(jiao)育(yu)培訓和考(kao)試按照有關(guan)規定進行,實行統(tong)一(yi)教(jiao)學大(da)綱,統(tong)一(yi)教(jiao)材,統(tong)一(yi)考(kao)試,統(tong)一(yi)發證。
考試合(he)格的,由省信(xin)息(xi)網絡(luo)安(an)全專業(ye)技術人(ren)員(yuan)繼續(xu)教育(yu)工作(zuo)辦公室發給信(xin)息(xi)網絡(luo)安(an)全專業(ye)技術人(ren)員(yuan)繼續(xu)教育(yu)證書。
第八章 法律責任
第三十八條 違反本辦法(fa)的規定(ding),依(yi)照有關法(fa)律、法(fa)規和規章處罰。
第九章 附則
第三十九條 本細則下列用語的含義:實(shi)體(ti)安全,指保護計算(suan)機(ji)信息系統(tong)的環境(jing),計算(suan)機(ji)設備、設施(含網絡)以及其它媒體(ti)免遭地震、水災(zai)、火(huo)災(zai)、雷電(dian)(dian)、有害氣體(ti)和其它環境(jing)事(shi)故(如電(dian)(dian)磁污染等)破壞。
運行安全(quan),指保護計(ji)算(suan)機信息系(xi)統(tong)的信息處(chu)理過程(cheng)順利進(jin)行。
信息安全(quan),指(zhi)保障(zhang)信息的完整性(xing)、保密性(xing)、可用性(xing)和(he)可控性(xing)。
內容安(an)全(quan),指確保計算機(ji)信息(xi)系(xi)統(tong)中(zhong)傳輸(shu)的信息(xi)所承載的內容的合法性。
安(an)全(漏洞)檢(jian)測(ce),指(zhi)利(li)用計算機技術(shu)手段掃描、探測(ce)計算機信息(xi)系統安(an)全漏洞。
第四十條 本辦(ban)法(fa)規(gui)定的“以上”含本數。
第四十一條 本辦法規(gui)定的有(you)關表格和證(zheng)書(shu)由省公安廳制定式樣,統(tong)一監(jian)制。
第四十二條 本辦法(fa)由省公安廳負責解釋。
第四十三條 本辦法(fa)自(zi)2008年(nian)12月1日起施(shi)行。