廣東省公安廳關于計算機信息系統安全保護的實施辦法

（廣東(dong)省公(gong)安廳2008年9月27日(ri)以粵公(gong)通字〔2008〕228號發布(bu) 自2008年12月1日(ri)起施(shi)行）

第一章 總則

第一條 為保護計算機信(xin)息(xi)系統安全，促進信(xin)息(xi)化建設的健康發展(zhan)，貫徹落實《廣東省計算機信(xin)息(xi)系統安全保護條例(li)》，根據有關法律法規，制定本辦法。

第二條 本(ben)辦(ban)法適用于(yu)廣東省行政區(qu)域內計算機信息(xi)系統的(de)安全保(bao)護。

第三條 縣級以(yi)上人民政府公安機關公共信息網絡安全監察(cha)部(bu)門具體負責本行(xing)政區域內計(ji)算機信息系統的(de)安全保(bao)護監管工作(zuo)。

第二章 安全監督

第四條 公(gong)安機關公(gong)共信息網絡(luo)安全監察(cha)部門(men)對計(ji)算機信息系統安全保護工作(zuo)行(xing)使下列職責：

（一(yi)）監督、檢(jian)查、指導計(ji)算機信息(xi)系統(tong)安全(quan)保護(hu)工作(zuo)；

（二）組織開展(zhan)計算機信息系統安全(quan)等級保護；

（三）查(cha)處計算(suan)機違(wei)法犯罪案(an)件(jian)；

（四）組織處置重大計算機信息系統(tong)安全事故和(he)事件；

（五）負責計算機病毒和其(qi)他有害數(shu)據防治管理；

（六）負責計算機(ji)信息系統安全服(fu)務的監(jian)督指導；

（七(qi)）負責(ze)計(ji)算機信息系統(tong)安全專(zhuan)用(yong)產品(pin)的監督管理；

（八）負責計算機信息系(xi)統安全培訓管理；

（九）法(fa)(fa)律、法(fa)(fa)規(gui)和(he)規(gui)章規(gui)定的其他職責。

第五條 公安機(ji)關(guan)公共信(xin)(xin)息網絡安全(quan)監(jian)察部門應當對計算機(ji)信(xin)(xin)息系統(tong)落實實體安全(quan)、運行安全(quan)、信(xin)(xin)息安全(quan)和(he)內(nei)容安全(quan)措施的情(qing)況(kuang)進行檢查(cha)。

對第三級(ji)計算機(ji)信息(xi)(xi)系統每年至少(shao)檢查一次(ci)，對第四級(ji)計算機(ji)信息(xi)(xi)系統每半年至少(shao)檢查一次(ci)。對第五級(ji)計算機(ji)信息(xi)(xi)系統，應當會同國家指定(ding)的(de)專門部門進行檢查。

對其他計算機信息系統應當不(bu)定(ding)期開(kai)展(zhan)檢查。

第六條 公(gong)(gong)安機關公(gong)(gong)共信(xin)(xin)息網絡安全監察部門發現計算機信(xin)(xin)息系統的安全保(bao)護(hu)等級和(he)安全措施不符合(he)有關規定(ding)和(he)技(ji)術(shu)標準，或者存在(zai)安全隱(yin)患的，應(ying)當通知(zhi)運營、使(shi)用單位(wei)進行整改(gai)。

第七條 公(gong)安機關公(gong)共信(xin)息(xi)網絡安全(quan)監察部門應當向公(gong)眾提(ti)供(gong)(gong)報(bao)警求助(zhu)渠道，提(ti)供(gong)(gong)計算機信(xin)息(xi)系統(tong)安全(quan)指導，發(fa)布安全(quan)動態，開展安全(quan)宣傳。

第三章 安全保護責任

第八條 單(dan)位和(he)個人應當依照有關法(fa)規、規章和(he)標準(zhun)，對其所(suo)有、使用(yong)和(he)管理的(de)計(ji)算機信(xin)息系統承擔相應的(de)安全(quan)保護責任。

第九條 第二級(ji)以上(shang)計算(suan)機信息系(xi)統的運營、使用(yong)單位應當建立(li)安(an)(an)(an)全(quan)保(bao)護組織，并(bing)報所(suo)在(zai)地地級(ji)以上(shang)市人民(min)政府(fu)公安(an)(an)(an)機關公共信息網絡安(an)(an)(an)全(quan)監察部門備(bei)案(an)。

第十條 安(an)(an)全(quan)保(bao)護組(zu)織(zhi)保(bao)障(zhang)本單(dan)位計(ji)算(suan)(suan)機(ji)信(xin)(xin)息(xi)系(xi)統的安(an)(an)全(quan)運行(xing)，組(zu)織(zhi)本單(dan)位計(ji)算(suan)(suan)機(ji)信(xin)(xin)息(xi)系(xi)統的有害信(xin)(xin)息(xi)防治工作，組(zu)織(zhi)開展(zhan)本單(dan)位計(ji)算(suan)(suan)機(ji)信(xin)(xin)息(xi)系(xi)統安(an)(an)全(quan)教育和(he)培訓，向公(gong)安(an)(an)機(ji)關公(gong)共信(xin)(xin)息(xi)網絡安(an)(an)全(quan)監察部門報告本單(dan)位計(ji)算(suan)(suan)機(ji)信(xin)(xin)息(xi)系(xi)統運行(xing)、服務和(he)安(an)(an)全(quan)等(deng)情況，及(ji)時協(xie)助公(gong)安(an)(an)機(ji)關公(gong)共信(xin)(xin)息(xi)網絡安(an)(an)全(quan)監察部門查處(chu)違法犯罪和(he)處(chu)置突發事件(jian)。

第十一條 互聯單位、互聯網(wang)(wang)接入服務(wu)單位、互聯網(wang)(wang)數據中心應當對接入本網(wang)(wang)絡(luo)的(de)用戶(hu)進(jin)行資格審查，確(que)認(ren)符合國家和省有關規定后方(fang)可為其提供服務(wu)。

互(hu)聯(lian)(lian)網(wang)接入服(fu)務、信(xin)息服(fu)務單位以及互(hu)聯(lian)(lian)網(wang)數(shu)據中心(xin)應當向用戶宣傳相關法(fa)律法(fa)規，提供必要(yao)的安全(quan)保(bao)護措施。

第十二條 個人主(zhu)頁(ye)、博客、聊天室(shi)、點對點服(fu)務等互聯網信息服(fu)務的提供單位和使用者(zhe)應(ying)當依照國家和省有關規定，落實相(xiang)應(ying)的安全措施(shi)。

第十三條 網吧、圖書館、學校、賓館等(deng)提供互聯(lian)網上網服務(wu)的場所(suo)應當(dang)安裝(zhuang)符合國家規定的安全管理系統。

第十四條 互聯(lian)單(dan)位、互聯(lian)網(wang)(wang)接入服務單(dan)位以及互聯(lian)網(wang)(wang)數據中心應當每月將接入本網(wang)(wang)絡的用戶情(qing)況報地級以上市(shi)公(gong)安機關公(gong)共信息網(wang)(wang)絡安全監察部門(men)備(bei)案。

第十五條 計算機信息(xi)系統(tong)運營(ying)、使(shi)用單位(wei)應當接受公安(an)(an)機關(guan)公共信息(xi)網絡安(an)(an)全(quan)(quan)監察部門的(de)監督、檢查、指導(dao)，如實提供安(an)(an)全(quan)(quan)保護(hu)有關(guan)信息(xi)、資料及數(shu)據(ju)文件，不得變相(xiang)拒絕、拖延、阻(zu)礙公安(an)(an)機關(guan)公共信息(xi)網絡安(an)(an)全(quan)(quan)監察部門依法(fa)執行公務。

第四章 安全專用產品和安全服務

第十六條 安(an)(an)全專用產品必須(xu)取得公安(an)(an)部(bu)頒發的銷(xiao)售(shou)許可證方(fang)可銷(xiao)售(shou)。

第十七條 生產、銷售或(huo)者提供含有計算機信(xin)息(xi)網(wang)(wang)絡遠程(cheng)控制、密碼猜解、安(an)全（漏洞）檢測(ce)、信(xin)息(xi)群發技術(shu)的(de)產品(pin)和工具的(de)，應(ying)當(dang)在(zai)領取營業執(zhi)(zhi)照后30日內（沒有營業執(zhi)(zhi)照的(de)，自開辦之日起30日內）向(xiang)單位所在(zai)地地級以上市(shi)人民政府公安(an)機關公共信(xin)息(xi)網(wang)(wang)絡安(an)全監(jian)察部門備案，填寫《廣東省(sheng)計算機信(xin)息(xi)網(wang)(wang)絡安(an)全特種(zhong)技術(shu)備案表》，并(bing)提交(jiao)如下(xia)資(zi)料：

（一）單位簡況；

（二）營業執照（或其他(ta)有效證明(ming)）復(fu)印件；

（三）研發(fa)和服務管(guan)理(li)制度(du)；

（四）主要經營管(guan)理人員(yuan)、技術人員(yuan)和服務人員(yuan)有(you)效證件復印件；

（五）主要產品(pin)情況。

第十八條 安(an)全(quan)保(bao)護(hu)等(deng)級(ji)為(wei)第三級(ji)以上的計算機信息(xi)系(xi)統應當選用符合(he)下列條件的安(an)全(quan)專用產(chan)品：

（一）產品研制、生產單位是(shi)由中國(guo)公民(min)、法(fa)人(ren)(ren)投資(zi)或者國(guo)家投資(zi)或者控股的(de)，在(zai)中華人(ren)(ren)民(min)共和國(guo)境內具有(you)獨立(li)的(de)法(fa)人(ren)(ren)資(zi)格；

（二(er)）產品的核心(xin)技術、關鍵部件具有(you)我國自(zi)主知(zhi)識產權；

（三）產品研制(zhi)、生產單(dan)位及其主要業務、技術人員無犯罪記錄(lu)；

（四(si)）產品(pin)研(yan)制(zhi)、生產單位聲明沒有(you)故意留有(you)或者設置漏洞、后門、木馬(ma)等(deng)程(cheng)序(xu)和(he)功能；

（五(wu)）對國家安全、社會(hui)秩序、公共利益(yi)不(bu)構(gou)成危害(hai)。

第十九條 符合第十八(ba)條規定的安(an)全專用產品和(he)生(sheng)產單位應當到省公(gong)安(an)廳公(gong)共信息(xi)網(wang)絡安(an)全監察部門(men)備案。

第二十條 為加強安全服務(wu)機構(gou)(gou)的(de)指導(dao)，推動安全服務(wu)質量和技術水平的(de)提高，廣東省對從事計算機信息系統安全設(she)計、建(jian)設(she)、檢測、評估等安全服務(wu)的(de)機構(gou)(gou)，根據(ju)其注冊資本、服務(wu)業績、技術力量、組織(zhi)管理情況實行分級指導(dao)。

第五章 安全等級測評

第二十一條 第二級以上的(de)計(ji)算機(ji)信(xin)息系統的(de)安全測評(ping)應當選擇(ze)符合下列條件的(de)計(ji)算機(ji)信(xin)息系統安全等(deng)級測評(ping)機(ji)構（簡稱測評(ping)機(ji)構）承(cheng)擔：

（一）在中華人民(min)共(gong)和國境內注冊(ce)成立（港澳臺地區除外），具有相應經營范圍的營業(ye)執照，注冊(ce)資(zi)本100萬元(yuan)以上；

（二）由中國(guo)公民(min)投資、中國(guo)法人投資或者國(guo)家投資的(de)企事(shi)業單位(wei)（港澳臺地區除外(wai)）；

（三）近3年(nian)完(wan)成(cheng)的測評項目總值150萬元(yuan)以(yi)上；

（四）具(ju)有(you)計算機(ji)安全或相關專業資格證書的專業技術人員不少于20人，其中大學本科以(yi)上學歷的人員不少于15人；

（五）管理(li)人(ren)員(yuan)應當(dang)具有3年(nian)以上從(cong)事計算機信息系統安全(quan)技術(shu)領域企業管理(li)工作(zuo)經歷，技術(shu)負(fu)責人(ren)已獲得計算機信息系統安全(quan)技術(shu)相關專業的高級職稱，從(cong)事安全(quan)測評(ping)工作(zuo)不少于3年(nian)，無犯(fan)罪記(ji)錄(lu)；

（六）工作人(ren)員僅(jin)限(xian)于中(zhong)國公民(min)，法(fa)人(ren)及主(zhu)要業(ye)務、技術(shu)人(ren)員無(wu)犯罪記錄；

（七）具有與所承擔項目適應的技術裝備(bei)；

（八）具(ju)有(you)完備的(de)保(bao)密管(guan)(guan)理、項(xiang)目管(guan)(guan)理、質量管(guan)(guan)理、人(ren)員管(guan)(guan)理和培訓教育等安全管(guan)(guan)理制度；

（九）對(dui)國家安全、社會秩序(xu)、公共利益不構(gou)成威脅(xie)。

第二十二條 廣(guang)東省對測評機(ji)構(gou)實施備案制度。符合第(di)二十(shi)一條(tiao)規定的條(tiao)件，承擔第(di)二級以上(shang)的計算機(ji)信(xin)息系統測評工(gong)作(zuo)的機(ji)構(gou)應當到省公安(an)廳公共信(xin)息網(wang)絡安(an)全(quan)監(jian)察部門備案。

第二十三條 省公(gong)(gong)(gong)安廳公(gong)(gong)(gong)共信息網絡安全監察部(bu)門對(dui)已備案的測評機構進行公(gong)(gong)(gong)布。

第二十四條 測評(ping)機構應當履行下列義(yi)務(wu)：

（一）遵(zun)守國家有關法律(lv)法規(gui)和(he)技術標準，提供(gong)安(an)全、客(ke)觀、公正的(de)檢測(ce)評(ping)估服務，保證測(ce)評(ping)的(de)質量和(he)效果；

（二）保守在測評(ping)活動中知悉的國(guo)家秘(mi)密(mi)、商(shang)業秘(mi)密(mi)和個人隱私，防范測評(ping)風險；

（三）對測(ce)評人員(yuan)進行(xing)安全(quan)保密教育，與其簽(qian)訂(ding)安全(quan)保密責任書，規定應(ying)當履(lv)行(xing)的安全(quan)保密義務(wu)和(he)承擔的法(fa)律責任，并負責檢查(cha)落實。

第二十五條 第二級以上的(de)計算機(ji)信(xin)息(xi)系統建(jian)設完成后，使(shi)(shi)用單位應(ying)當(dang)委托符合規定(ding)的(de)測(ce)評機(ji)構安全(quan)測(ce)評合格方可投(tou)入使(shi)(shi)用。測(ce)評活動應(ying)當(dang)接受公安機(ji)關公共信(xin)息(xi)網絡安全(quan)監(jian)察(cha)部門的(de)監(jian)督。

第二十六條 計算(suan)機信息系統運營、使用單位委托(tuo)安全測評機構(gou)測評，應(ying)當提交(jiao)下列資料：

（一）安全測評委托書；

（二）計算(suan)機信息(xi)系統應用需求、系統結構拓撲及說明(ming)、系統安全組(zu)織結構和管理制度、安全保護設(she)施設(she)計實施方(fang)案或者改(gai)建實施方(fang)案、系統軟件(jian)硬件(jian)和信息(xi)安全產品(pin)清單。

第二十七條 安全(quan)測評(ping)(ping)機構在收到(dao)委托(tuo)材料后，應當與委托(tuo)方協商制訂安全(quan)測評(ping)(ping)計(ji)劃，開(kai)展安全(quan)測評(ping)(ping)工作，并出具安全(quan)測評(ping)(ping)報告。

經測(ce)評(ping)，計(ji)算機(ji)信(xin)息(xi)系(xi)統(tong)安全狀況未達到國家有關規定和標準的要求，委托(tuo)單位(wei)應(ying)當根(gen)據測(ce)評(ping)報告的建議，完善計(ji)算機(ji)信(xin)息(xi)系(xi)統(tong)安全建設，并重(zhong)新提出安全測(ce)評(ping)委托(tuo)。

測(ce)評機(ji)構對(dui)計算機(ji)信(xin)息(xi)系統(tong)進行(xing)使用前(qian)安(an)(an)全(quan)測(ce)評，應當預(yu)先報告地級以上市(shi)公安(an)(an)機(ji)關公共信(xin)息(xi)網(wang)絡安(an)(an)全(quan)監察(cha)部門(men)。安(an)(an)全(quan)測(ce)評報告由(you)計算機(ji)信(xin)息(xi)系統(tong)運(yun)營、使用單位報地級以上市(shi)公安(an)(an)機(ji)關公共信(xin)息(xi)網(wang)絡安(an)(an)全(quan)監察(cha)部門(men)。

第二十八條 第(di)(di)三級(ji)計算(suan)機(ji)信(xin)息系統(tong)應當(dang)每(mei)年(nian)至少(shao)進(jin)(jin)行一次安(an)全(quan)測(ce)評，第(di)(di)四級(ji)計算(suan)機(ji)信(xin)息系統(tong)應當(dang)每(mei)半年(nian)至少(shao)進(jin)(jin)行一次安(an)全(quan)測(ce)評，第(di)(di)五級(ji)計算(suan)機(ji)信(xin)息系統(tong)應當(dang)依據特(te)殊安(an)全(quan)要(yao)求進(jin)(jin)行安(an)全(quan)測(ce)評。

第六章 應急處置

第二十九條 公安(an)(an)機關(guan)公共(gong)信息(xi)網絡安(an)(an)全監察(cha)部門與(yu)所在地安(an)(an)全服務機構、互聯(lian)網運營(ying)單位和其他計算機信息(xi)系(xi)統(tong)運營(ying)、使用(yong)單位應當建立聯(lian)防機制，依法及時查處通過(guo)計算機信息(xi)系(xi)統(tong)進行的違(wei)法犯(fan)罪行為(wei)，組織處置重大突發事件。

第三十條 對計算機信息(xi)(xi)系統中發生的案(an)件和重大安全事故(gu)，計算機信息(xi)(xi)系統的運營、使用(yong)單(dan)位(wei)應(ying)當(dang)在二十四小時內報告縣級以上(shang)人(ren)民(min)政府公(gong)安機關公(gong)共信息(xi)(xi)網絡安全監察(cha)部門，并(bing)保留有關原始記錄。

第三十一條 第二級以上的計算(suan)機信息系統運(yun)營(ying)、使(shi)用(yong)單位應當制(zhi)定重大突發事件應急處置預案并定期實施(shi)演練。

第三十二條 計(ji)算機信息系統發(fa)生(sheng)重大突發(fa)事件，有關單位(wei)應當按照(zhao)應急處置預案的要求采取相(xiang)應的處置措(cuo)施，并服從公安機關和(he)國家指(zhi)定的專(zhuan)門部(bu)門的調度。

第三十三條 地級(ji)市以(yi)上人民政府公(gong)(gong)安(an)(an)機(ji)關公(gong)(gong)共(gong)信(xin)息網(wang)絡安(an)(an)全(quan)(quan)監察部(bu)門經本(ben)機(ji)關主管領導(dao)批準，為保護計(ji)算機(ji)信(xin)息系統安(an)(an)全(quan)(quan)，在(zai)發(fa)生重大突發(fa)事件，危及國家安(an)(an)全(quan)(quan)、公(gong)(gong)共(gong)安(an)(an)全(quan)(quan)及社會穩定的緊急情況下(xia)，可以(yi)采取(qu)二(er)十四(si)小(xiao)時(shi)(shi)內暫時(shi)(shi)停機(ji)、暫停聯網(wang)、備份數據(ju)等(deng)措(cuo)施。

第七章 安全培訓

第三十四條 省(sheng)公安廳、人事廳聯合成(cheng)立的省(sheng)信(xin)息(xi)網絡安全(quan)專業(ye)技術人員(yuan)繼(ji)(ji)續教育工(gong)作(zuo)領(ling)導小組，負責(ze)全(quan)省(sheng)信(xin)息(xi)網絡安全(quan)專業(ye)技術人員(yuan)繼(ji)(ji)續教育工(gong)作(zuo)的組織(zhi)和領(ling)導。下設省(sheng)信(xin)息(xi)網絡安全(quan)專業(ye)技術人員(yuan)繼(ji)(ji)續教育工(gong)作(zuo)辦公室，具體負責(ze)日常管理工(gong)作(zuo)。

第三十五條 下列人(ren)員(yuan)(yuan)應當參加信息(xi)(xi)網(wang)絡安(an)(an)全(quan)專業技(ji)術人(ren)員(yuan)(yuan)繼(ji)(ji)(ji)續教(jiao)育(yu)，取得省(sheng)信息(xi)(xi)網(wang)絡安(an)(an)全(quan)專業技(ji)術人(ren)員(yuan)(yuan)繼(ji)(ji)(ji)續教(jiao)育(yu)工(gong)作辦公(gong)室(shi)頒發的信息(xi)(xi)網(wang)絡安(an)(an)全(quan)專業技(ji)術人(ren)員(yuan)(yuan)繼(ji)(ji)(ji)續教(jiao)育(yu)合(he)格證書，持證上崗：

（一）計(ji)算機信息系(xi)統運營、使用(yong)單(dan)位信息安全管理責任人、信息審查(cha)員；

（二）互(hu)聯網接(jie)入服(fu)務、數據(ju)中心(xin)服(fu)務、信息服(fu)務、上(shang)網服(fu)務提供單位安全管理員、專業技術人(ren)員；

（三）安(an)全專用產(chan)品生產(chan)單位專業技(ji)術人員；

（四）安全服務機構專業(ye)技術人員、安全服務管理人員；

（五）其他從事計算機信息系統安(an)全保護工作的人員。

第三十六條 信息網絡安(an)全(quan)(quan)專業技術(shu)人(ren)員繼續教育由(you)省信息網絡安(an)全(quan)(quan)專業技術(shu)人(ren)員繼續教育工作辦公(gong)室授權的施(shi)教機(ji)(ji)構(gou)負(fu)責實(shi)施(shi)。施(shi)教機(ji)(ji)構(gou)實(shi)行統籌規劃。

第三十七條 信息網絡(luo)安全專(zhuan)業技(ji)術人員(yuan)繼續(xu)教育培訓和(he)考試按照有關(guan)規定進(jin)行(xing)，實行(xing)統(tong)(tong)一教學大綱，統(tong)(tong)一教材(cai)，統(tong)(tong)一考試，統(tong)(tong)一發證。

考試合格的，由省信(xin)息網絡安(an)(an)全(quan)專業技(ji)術人員繼續教育工作辦公(gong)室發給信(xin)息網絡安(an)(an)全(quan)專業技(ji)術人員繼續教育證(zheng)書。

第八章 法律責任

第三十八條 違反本(ben)辦法(fa)的規(gui)定，依照有關(guan)法(fa)律、法(fa)規(gui)和規(gui)章處(chu)罰(fa)。

第九章 附則

第三十九條 本細則下列用語(yu)的含(han)義(yi)：實體(ti)安全，指保護計算(suan)機信息系統的環(huan)境，計算(suan)機設備、設施(shi)（含(han)網絡）以及其(qi)它(ta)媒體(ti)免遭地震(zhen)、水災(zai)、火(huo)災(zai)、雷電、有害氣(qi)體(ti)和(he)其(qi)它(ta)環(huan)境事故（如電磁污染等(deng)）破壞(huai)。

運行安全(quan)，指保護(hu)計算機信息系統的信息處理過程順利進行。

信(xin)息(xi)安全，指保障(zhang)信(xin)息(xi)的(de)完整性(xing)(xing)、保密性(xing)(xing)、可(ke)用(yong)性(xing)(xing)和可(ke)控性(xing)(xing)。

內容安全，指確(que)保計算機信息(xi)系(xi)統(tong)中(zhong)傳(chuan)輸的信息(xi)所承載的內容的合(he)法性。

安(an)全（漏洞）檢(jian)測，指利用計(ji)(ji)算機技術手段(duan)掃描、探(tan)測計(ji)(ji)算機信息(xi)系統安(an)全漏洞。

第四十條 本辦法規定的“以上(shang)”含本數。

第四十一條 本(ben)辦法規定的有關表格和(he)證(zheng)書由省(sheng)公安(an)廳(ting)制定式樣，統一監制。

第四十二條 本辦法(fa)由省公安(an)廳負(fu)責解釋。

第四十三條 本辦法自(zi)2008年12月1日起施(shi)行(xing)。