廣東省公安廳關于計算機信息系統安全保護的實施辦法

（廣東省公安廳2008年9月27日以粵公通字〔2008〕228號發布 自(zi)2008年12月1日起施行）

第一章 總則

第一條 為保護計算機信(xin)息(xi)(xi)系統安全，促進(jin)信(xin)息(xi)(xi)化建(jian)設的(de)健康(kang)發(fa)展，貫徹落實《廣(guang)東省計算機信(xin)息(xi)(xi)系統安全保護條(tiao)例》，根據有關法律(lv)法規，制(zhi)定本(ben)辦法。

第二條 本辦法(fa)適用于(yu)廣東省行政區域內計算(suan)機信息系(xi)統的安全保(bao)護。

第三條 縣(xian)級以上人(ren)民政(zheng)府(fu)公安(an)機關(guan)公共信息網絡安(an)全(quan)監察部門(men)具體負責本行政(zheng)區域內(nei)計(ji)算機信息系統的安(an)全(quan)保護監管工作(zuo)。

第二章 安全監督

第四條 公安(an)機關(guan)公共信息網絡安(an)全監(jian)察部門對計算機信息系統(tong)安(an)全保護工作(zuo)行使下列職責：

（一）監(jian)督、檢查、指導計算機信息系統安全保護工(gong)作；

（二）組織開展計算(suan)機信息系統(tong)安全等級保護；

（三）查處計算機違法(fa)犯罪案件；

（四）組(zu)織處置重大計算機信息(xi)系統(tong)安全事(shi)故(gu)和(he)事(shi)件；

（五）負責計(ji)算機病毒和其他(ta)有(you)害數據防治(zhi)管理；

（六(liu)）負責計算機(ji)信息系統安全服務的監督指(zhi)導；

（七）負責計算機信(xin)息(xi)系(xi)統安全專(zhuan)用產品的(de)監督管理(li)；

（八）負責(ze)計算機信息系統安全培訓管理；

（九）法(fa)律(lv)、法(fa)規(gui)和規(gui)章規(gui)定的其他職責。

第五條 公(gong)(gong)安(an)機關公(gong)(gong)共信(xin)息(xi)(xi)網絡安(an)全(quan)監察部門應當(dang)對計算(suan)機信(xin)息(xi)(xi)系統落實(shi)實(shi)體安(an)全(quan)、運(yun)行安(an)全(quan)、信(xin)息(xi)(xi)安(an)全(quan)和內容安(an)全(quan)措(cuo)施的(de)情況進行檢(jian)查。

對第三級計(ji)算機信(xin)(xin)息(xi)(xi)系統每(mei)年(nian)至少檢(jian)查一(yi)次，對第四級計(ji)算機信(xin)(xin)息(xi)(xi)系統每(mei)半年(nian)至少檢(jian)查一(yi)次。對第五級計(ji)算機信(xin)(xin)息(xi)(xi)系統，應當會同國(guo)家指定(ding)的專門部門進行檢(jian)查。

對其(qi)他計(ji)算機信(xin)息系統應當不(bu)定期(qi)開展檢查。

第六條 公(gong)安機(ji)關公(gong)共信(xin)息網(wang)絡安全(quan)監察部門發現計(ji)算機(ji)信(xin)息系統的安全(quan)保護等級和安全(quan)措(cuo)施不(bu)符合有關規(gui)定和技(ji)術標準(zhun)，或者(zhe)存(cun)在安全(quan)隱患的，應(ying)當通知(zhi)運營、使用(yong)單位進行整改。

第七條 公安(an)機(ji)關公共信息網絡安(an)全監(jian)察部(bu)門應當向公眾提(ti)(ti)供(gong)報警求助(zhu)渠道，提(ti)(ti)供(gong)計算(suan)機(ji)信息系統安(an)全指導，發布安(an)全動態，開展安(an)全宣傳。

第三章 安全保護責任

第八條 單位和個人應當(dang)依照(zhao)有關法規、規章和標準，對其(qi)所有、使用和管理的計算機信息系統承擔(dan)相應的安(an)全(quan)保(bao)護責任。

第九條 第二級(ji)(ji)以(yi)上(shang)計算機信息(xi)(xi)系統的(de)運營、使用單位應當建立安(an)(an)全保護組(zu)織，并報所在地地級(ji)(ji)以(yi)上(shang)市人民政府公(gong)安(an)(an)機關(guan)公(gong)共信息(xi)(xi)網絡安(an)(an)全監察部(bu)門備案。

第十條 安(an)全(quan)(quan)保護組織保障本(ben)單(dan)(dan)位(wei)計算(suan)機(ji)信(xin)(xin)息(xi)系(xi)(xi)(xi)統(tong)(tong)的(de)安(an)全(quan)(quan)運(yun)行(xing)，組織本(ben)單(dan)(dan)位(wei)計算(suan)機(ji)信(xin)(xin)息(xi)系(xi)(xi)(xi)統(tong)(tong)的(de)有害信(xin)(xin)息(xi)防治工作，組織開展本(ben)單(dan)(dan)位(wei)計算(suan)機(ji)信(xin)(xin)息(xi)系(xi)(xi)(xi)統(tong)(tong)安(an)全(quan)(quan)教育(yu)和(he)培訓，向公安(an)機(ji)關(guan)公共信(xin)(xin)息(xi)網絡安(an)全(quan)(quan)監(jian)察部門(men)報告本(ben)單(dan)(dan)位(wei)計算(suan)機(ji)信(xin)(xin)息(xi)系(xi)(xi)(xi)統(tong)(tong)運(yun)行(xing)、服務和(he)安(an)全(quan)(quan)等情況，及時協助公安(an)機(ji)關(guan)公共信(xin)(xin)息(xi)網絡安(an)全(quan)(quan)監(jian)察部門(men)查處違法(fa)犯罪和(he)處置突發事件。

第十一條 互(hu)聯單位、互(hu)聯網接入(ru)服務(wu)單位、互(hu)聯網數據中心應當對接入(ru)本(ben)網絡的(de)用戶進行(xing)資格審(shen)查，確認符合國(guo)家(jia)和省(sheng)有關規(gui)定后方可為(wei)其提供(gong)服務(wu)。

互聯(lian)網接入服(fu)務、信息服(fu)務單位以(yi)及互聯(lian)網數據中心應當向用戶(hu)宣傳相關(guan)法律法規，提供必要的安全保護措施。

第十二條 個人(ren)主頁、博客、聊天(tian)室、點對點服務等互聯網信息服務的提供單位(wei)和使(shi)用(yong)者應當依照國家和省有關規(gui)定，落(luo)實相應的安(an)全措施。

第十三條 網(wang)吧、圖書館(guan)、學校(xiao)、賓館(guan)等(deng)提(ti)供互聯網(wang)上網(wang)服務的(de)場所(suo)應當安(an)裝符合(he)國家規定的(de)安(an)全管理系統(tong)。

第十四條 互(hu)聯(lian)單位、互(hu)聯(lian)網(wang)接(jie)入(ru)服務(wu)單位以及互(hu)聯(lian)網(wang)數(shu)據(ju)中心應當每月將接(jie)入(ru)本網(wang)絡的用戶(hu)情況報地(di)級以上(shang)市公(gong)安(an)機關公(gong)共信(xin)息(xi)網(wang)絡安(an)全監察部門(men)備案。

第十五條 計算機(ji)信(xin)息系(xi)統運(yun)營(ying)、使用單(dan)位應當接受公(gong)安(an)機(ji)關公(gong)共信(xin)息網(wang)絡安(an)全(quan)監(jian)(jian)察(cha)部(bu)門(men)的(de)監(jian)(jian)督、檢查、指導，如實提供安(an)全(quan)保護有關信(xin)息、資料及數據文件(jian)，不得變相拒絕、拖(tuo)延(yan)、阻礙(ai)公(gong)安(an)機(ji)關公(gong)共信(xin)息網(wang)絡安(an)全(quan)監(jian)(jian)察(cha)部(bu)門(men)依法執行公(gong)務。

第四章 安全專用產品和安全服務

第十六條 安全專用產品必須取得公(gong)安部頒(ban)發的(de)銷(xiao)售許可(ke)證方可(ke)銷(xiao)售。

第十七條 生產(chan)、銷售(shou)或(huo)者提(ti)(ti)供含有計算(suan)機信息網絡(luo)遠程控(kong)制、密(mi)碼猜(cai)解、安(an)全（漏(lou)洞(dong)）檢測、信息群發技(ji)術(shu)的(de)產(chan)品(pin)和工具的(de)，應(ying)當(dang)在領取營業(ye)執照后30日(ri)內(nei)（沒有營業(ye)執照的(de)，自開辦(ban)之日(ri)起30日(ri)內(nei)）向單(dan)位所在地地級以上市人(ren)民政府公(gong)安(an)機關公(gong)共信息網絡(luo)安(an)全監察(cha)部門備(bei)案(an)，填(tian)寫《廣東(dong)省計算(suan)機信息網絡(luo)安(an)全特種(zhong)技(ji)術(shu)備(bei)案(an)表》，并提(ti)(ti)交如(ru)下(xia)資料：

（一）單位簡況；

（二）營業執照(zhao)（或其他(ta)有效(xiao)證明）復印件(jian)；

（三）研發和服務管理制度；

（四）主要經營管理(li)人(ren)(ren)員(yuan)、技術人(ren)(ren)員(yuan)和服務人(ren)(ren)員(yuan)有(you)效證件復印(yin)件；

（五）主要產品情況(kuang)。

第十八條 安全保護等級為第(di)三級以(yi)上的計算機信息系統(tong)應當選用符合下(xia)列條件的安全專用產品：

（一）產(chan)(chan)品(pin)研制、生產(chan)(chan)單(dan)位(wei)是由中(zhong)國公民、法(fa)人投(tou)資(zi)或者國家(jia)投(tou)資(zi)或者控股的(de)，在中(zhong)華(hua)人民共和國境內具有獨立(li)的(de)法(fa)人資(zi)格；

（二(er)）產品的核(he)心技術、關鍵部件具(ju)有我國自主(zhu)知識產權；

（三）產(chan)品研制(zhi)、生(sheng)產(chan)單位及(ji)其主要業(ye)務(wu)、技術(shu)人(ren)員無犯(fan)罪記錄；

（四）產(chan)品研(yan)制、生產(chan)單位聲明沒有故意留有或(huo)者設(she)置漏洞、后門、木馬(ma)等(deng)程序和功能；

（五）對(dui)國(guo)家安全、社會秩序(xu)、公共利益不構成危(wei)害(hai)。

第十九條 符合第十(shi)八條規定(ding)的安(an)全(quan)專用產品和生產單位應當到省公安(an)廳(ting)公共信息網(wang)絡安(an)全(quan)監察(cha)部門備案。

第二十條 為加強安(an)全(quan)服(fu)務(wu)機構的(de)指導，推動安(an)全(quan)服(fu)務(wu)質量和技(ji)術(shu)水平(ping)的(de)提(ti)高，廣(guang)東省對從事(shi)計算機信息(xi)系統安(an)全(quan)設計、建設、檢(jian)測(ce)、評估等(deng)安(an)全(quan)服(fu)務(wu)的(de)機構，根(gen)據其注冊(ce)資本、服(fu)務(wu)業績、技(ji)術(shu)力量、組(zu)織管理(li)情(qing)況實行分級指導。

第五章 安全等級測評

第二十一條 第二級以上的(de)計算(suan)機(ji)信息系統(tong)的(de)安(an)全測(ce)(ce)評應當選擇符合下列條件的(de)計算(suan)機(ji)信息系統(tong)安(an)全等(deng)級測(ce)(ce)評機(ji)構（簡稱測(ce)(ce)評機(ji)構）承擔：

（一）在中華人(ren)民(min)共和(he)國境內注冊(ce)成立（港澳臺地區除外），具有相應經營(ying)范圍(wei)的營(ying)業執照，注冊(ce)資本100萬元以(yi)上；

（二）由中國公(gong)民投資(zi)、中國法(fa)人投資(zi)或者(zhe)國家投資(zi)的企(qi)事業單(dan)位（港澳臺地區(qu)除外）；

（三）近3年完成的測(ce)評項目總值150萬(wan)元以上；

（四(si)）具有計算(suan)機安全(quan)或相關專業資格證書(shu)的專業技術人(ren)(ren)員不少(shao)于(yu)(yu)20人(ren)(ren)，其中大(da)學本(ben)科以上學歷的人(ren)(ren)員不少(shao)于(yu)(yu)15人(ren)(ren)；

（五）管理人員應當(dang)具有(you)3年以上從(cong)事計算(suan)機(ji)信息系統(tong)(tong)安全(quan)技術領域企業(ye)管理工作經歷，技術負責(ze)人已獲得計算(suan)機(ji)信息系統(tong)(tong)安全(quan)技術相關專業(ye)的(de)高(gao)級職稱，從(cong)事安全(quan)測評工作不少于3年，無犯罪記(ji)錄；

（六）工作人(ren)(ren)員僅限(xian)于中(zhong)國(guo)公(gong)民，法人(ren)(ren)及主(zhu)要業務、技術人(ren)(ren)員無犯罪(zui)記錄；

（七(qi)）具有與所承擔項目適應(ying)的技術裝備；

（八(ba)）具有完備的保密管(guan)(guan)(guan)理、項目管(guan)(guan)(guan)理、質(zhi)量管(guan)(guan)(guan)理、人員管(guan)(guan)(guan)理和培(pei)訓教育等安全管(guan)(guan)(guan)理制度(du)；

（九(jiu)）對國家安全、社會秩序、公共利益(yi)不(bu)構成威(wei)脅。

第二十二條 廣東省(sheng)對(dui)測評機構(gou)實施備案(an)制(zhi)度。符合(he)第(di)二十(shi)一條規(gui)定的條件，承擔(dan)第(di)二級以上的計算機信息系統(tong)測評工作的機構(gou)應當到省(sheng)公安廳公共信息網(wang)絡安全監(jian)察(cha)部(bu)門備案(an)。

第二十三條 省公安廳(ting)公共信(xin)息網絡(luo)安全(quan)監察部門對已(yi)備案的測評(ping)機(ji)構進行公布。

第二十四條 測評(ping)機構(gou)應(ying)當履行下(xia)列義務(wu)：

（一）遵守國家有(you)關法(fa)律法(fa)規和技(ji)術標準，提供安全(quan)、客觀、公正的(de)檢(jian)測評估服(fu)務，保證測評的(de)質量(liang)和效(xiao)果(guo)；

（二）保守在(zai)測評(ping)活動中(zhong)知(zhi)悉的(de)國家秘(mi)密(mi)、商業秘(mi)密(mi)和個人隱私，防(fang)范測評(ping)風險；

（三）對測(ce)評人員(yuan)進行安(an)全(quan)保密教育，與其簽訂安(an)全(quan)保密責任書，規定應當履行的安(an)全(quan)保密義務和承擔的法律責任，并負責檢查落(luo)實。

第二十五條 第二級以上的計算機(ji)(ji)信息系統建設完成后，使用單位(wei)應當(dang)委(wei)托符合(he)規定的測(ce)評機(ji)(ji)構安全測(ce)評合(he)格方可投入(ru)使用。測(ce)評活動應當(dang)接受公安機(ji)(ji)關公共信息網絡安全監察部門的監督。

第二十六條 計算機信(xin)息(xi)系統運營(ying)、使用單位委托安全測(ce)評機構測(ce)評，應當提交下列資料：

（一）安全測評(ping)委托書(shu)；

（二）計(ji)(ji)算機信息(xi)系(xi)(xi)統應用需求、系(xi)(xi)統結構(gou)拓撲及說明、系(xi)(xi)統安(an)全組織結構(gou)和(he)管(guan)理制度、安(an)全保護設施設計(ji)(ji)實(shi)(shi)施方案或者改(gai)建實(shi)(shi)施方案、系(xi)(xi)統軟件硬件和(he)信息(xi)安(an)全產品清單。

第二十七條 安全測(ce)評機構在(zai)收到委托(tuo)材(cai)料后，應當(dang)與委托(tuo)方協商制(zhi)訂安全測(ce)評計劃(hua)，開展(zhan)安全測(ce)評工作，并出(chu)具安全測(ce)評報告(gao)。

經測評，計算機信(xin)息系(xi)統安(an)全(quan)(quan)狀況未達到(dao)國家(jia)有關規(gui)定(ding)和標(biao)準的(de)要求，委托單位(wei)應當根據測評報(bao)告的(de)建議，完善計算機信(xin)息系(xi)統安(an)全(quan)(quan)建設，并重(zhong)新提出(chu)安(an)全(quan)(quan)測評委托。

測評(ping)機(ji)(ji)構對計算(suan)機(ji)(ji)信(xin)息(xi)系(xi)統進行使用前(qian)安(an)全(quan)(quan)測評(ping)，應當(dang)預先報告地級以上市公安(an)機(ji)(ji)關公共(gong)信(xin)息(xi)網(wang)絡(luo)安(an)全(quan)(quan)監察部門。安(an)全(quan)(quan)測評(ping)報告由計算(suan)機(ji)(ji)信(xin)息(xi)系(xi)統運(yun)營(ying)、使用單位報地級以上市公安(an)機(ji)(ji)關公共(gong)信(xin)息(xi)網(wang)絡(luo)安(an)全(quan)(quan)監察部門。

第二十八條 第三級計(ji)算機(ji)信息(xi)系(xi)統(tong)應(ying)當(dang)每年(nian)至少進行(xing)一(yi)次安全測評(ping)，第四級計(ji)算機(ji)信息(xi)系(xi)統(tong)應(ying)當(dang)每半年(nian)至少進行(xing)一(yi)次安全測評(ping)，第五級計(ji)算機(ji)信息(xi)系(xi)統(tong)應(ying)當(dang)依據(ju)特殊(shu)安全要求(qiu)進行(xing)安全測評(ping)。

第六章 應急處置

第二十九條 公安(an)機(ji)關公共信息(xi)網絡安(an)全監(jian)察(cha)部門與所(suo)在地安(an)全服務機(ji)構、互聯(lian)(lian)網運(yun)營(ying)(ying)單位(wei)和其(qi)他計算機(ji)信息(xi)系統運(yun)營(ying)(ying)、使(shi)用單位(wei)應當(dang)建立(li)聯(lian)(lian)防機(ji)制，依(yi)法及時查處(chu)通過(guo)計算機(ji)信息(xi)系統進(jin)行的違法犯罪(zui)行為，組織處(chu)置(zhi)重大突(tu)發事件(jian)。

第三十條 對計(ji)算機信(xin)息(xi)(xi)系統中發生(sheng)的案件(jian)和(he)重大安(an)全(quan)事(shi)故(gu)，計(ji)算機信(xin)息(xi)(xi)系統的運營、使用(yong)單位(wei)應當在二十四小(xiao)時內(nei)報告縣(xian)級以上人民政府公安(an)機關(guan)公共信(xin)息(xi)(xi)網絡安(an)全(quan)監察部(bu)門，并保(bao)留有關(guan)原始記錄(lu)。

第三十一條 第二級以上(shang)的計算機信息系統運營(ying)、使用單位應(ying)當(dang)制定重大突發事(shi)件應(ying)急處置(zhi)預案并定期實施演練。

第三十二條 計算(suan)機信息(xi)系統發(fa)生重大突(tu)發(fa)事(shi)件，有關單位應當按照應急處置(zhi)預案的要求(qiu)采(cai)取相應的處置(zhi)措施，并服從公安機關和國家指定的專(zhuan)門部門的調度。

第三十三條 地級市以上人(ren)民(min)政府(fu)公(gong)安(an)(an)機關公(gong)共信息網絡安(an)(an)全(quan)監察部門(men)經(jing)本(ben)機關主管領(ling)導批準，為保護計算機信息系統安(an)(an)全(quan)，在發(fa)生重大突(tu)發(fa)事件，危及國家安(an)(an)全(quan)、公(gong)共安(an)(an)全(quan)及社會(hui)穩定的緊(jin)急情況下，可以采取二十四小時(shi)內暫時(shi)停機、暫停聯網、備份數據等措施。

第七章 安全培訓

第三十四條 省(sheng)公安(an)廳、人事廳聯合成立(li)的(de)省(sheng)信(xin)息網絡(luo)安(an)全(quan)專(zhuan)業技(ji)術人員繼(ji)續教(jiao)育(yu)工作領導小(xiao)組，負責全(quan)省(sheng)信(xin)息網絡(luo)安(an)全(quan)專(zhuan)業技(ji)術人員繼(ji)續教(jiao)育(yu)工作的(de)組織(zhi)和領導。下設省(sheng)信(xin)息網絡(luo)安(an)全(quan)專(zhuan)業技(ji)術人員繼(ji)續教(jiao)育(yu)工作辦公室，具體負責日常(chang)管理工作。

第三十五條 下列人員(yuan)應當參加信(xin)(xin)息網(wang)絡(luo)安(an)全(quan)(quan)專業技術人員(yuan)繼續(xu)教(jiao)(jiao)育(yu)(yu)，取得省信(xin)(xin)息網(wang)絡(luo)安(an)全(quan)(quan)專業技術人員(yuan)繼續(xu)教(jiao)(jiao)育(yu)(yu)工作辦公室頒發的信(xin)(xin)息網(wang)絡(luo)安(an)全(quan)(quan)專業技術人員(yuan)繼續(xu)教(jiao)(jiao)育(yu)(yu)合格證書，持證上崗(gang)：

（一）計算機信(xin)息(xi)系統運營、使用單位信(xin)息(xi)安(an)全管(guan)理(li)責任人、信(xin)息(xi)審(shen)查員；

（二）互聯(lian)網接入服務、數據中心服務、信息服務、上網服務提供單位安全管理員(yuan)、專業技術人員(yuan)；

（三(san)）安(an)全專(zhuan)用產品(pin)生產單位專(zhuan)業技術人員；

（四(si)）安全(quan)服(fu)務機構專業技(ji)術人員、安全(quan)服(fu)務管理人員；

（五）其(qi)他(ta)從事計算(suan)機信息(xi)系(xi)統安全保(bao)護工作的人員(yuan)。

第三十六條 信息網絡(luo)(luo)安全專業技術人員繼續(xu)教育(yu)由省信息網絡(luo)(luo)安全專業技術人員繼續(xu)教育(yu)工作辦公室授權的(de)施(shi)教機構負責實施(shi)。施(shi)教機構實行統籌規劃。

第三十七條 信息網絡安全專業技術(shu)人(ren)員繼續(xu)教育培訓和考試按照有關規定進行，實(shi)行統一教學大(da)綱，統一教材，統一考試，統一發證。

考試合(he)格的，由省信(xin)息(xi)網絡(luo)安全(quan)專業技(ji)術人員(yuan)繼續教(jiao)育工作辦公室發(fa)給信(xin)息(xi)網絡(luo)安全(quan)專業技(ji)術人員(yuan)繼續教(jiao)育證書(shu)。

第八章 法律責任

第三十八條 違反本辦法的規定，依照有(you)關(guan)法律、法規和(he)規章處罰。

第九章 附則

第三十九條 本(ben)細則下(xia)列用語的含義：實(shi)體安全，指保護(hu)計算(suan)(suan)機(ji)(ji)信(xin)息系統的環境，計算(suan)(suan)機(ji)(ji)設備、設施（含網絡）以及其它(ta)媒體免遭(zao)地震、水災(zai)、火災(zai)、雷電、有害氣(qi)體和其它(ta)環境事(shi)故（如電磁(ci)污染等）破壞。

運行安全，指(zhi)保護計(ji)算機信息系(xi)統的信息處(chu)理過程順利進行。

信息安全，指保(bao)(bao)障信息的完(wan)整(zheng)性、保(bao)(bao)密性、可用性和(he)可控(kong)性。

內(nei)容(rong)安全，指確保(bao)計算機(ji)信息系統中傳輸(shu)的(de)(de)信息所承載的(de)(de)內(nei)容(rong)的(de)(de)合法(fa)性。

安(an)全(quan)（漏洞(dong)）檢(jian)測(ce)，指利用(yong)計算機技術手段掃描、探測(ce)計算機信息系統安(an)全(quan)漏洞(dong)。

第四十條 本辦法規定的(de)“以上”含本數。

第四十一條 本(ben)辦法規(gui)定(ding)的有關表格和證書由省公(gong)安廳制定(ding)式樣，統(tong)一監制。

第四十二條 本辦法由省公安廳(ting)負責解釋(shi)。

第四十三條 本辦法自2008年12月(yue)1日(ri)起施行(xing)。