廣東省公安廳關于計算機信息系統安全保護的實施辦法

（廣(guang)東省公安廳2008年9月27日(ri)以粵(yue)公通(tong)字〔2008〕228號發布 自2008年12月1日(ri)起施行(xing)）

第一章 總則

第一條 為(wei)保(bao)護(hu)計(ji)算(suan)機信(xin)息(xi)(xi)系(xi)統安全，促進信(xin)息(xi)(xi)化建設(she)的健康(kang)發展，貫徹落實(shi)《廣(guang)東省計(ji)算(suan)機信(xin)息(xi)(xi)系(xi)統安全保(bao)護(hu)條例》，根據有(you)關法(fa)律(lv)法(fa)規(gui)，制定本辦法(fa)。

第二條 本辦法適用于廣東省行(xing)政區域(yu)內計算機信息系統的(de)安全保護。

第三條 縣(xian)級以(yi)上人民政(zheng)府公安機關(guan)公共信息網絡安全(quan)監(jian)察部(bu)門具(ju)體負責(ze)本行政(zheng)區域內(nei)計算(suan)機信息系統的安全(quan)保護監(jian)管(guan)工作。

第二章 安全監督

第四條 公安機(ji)關公共信息網絡(luo)安全(quan)監察部門對計算機(ji)信息系統安全(quan)保護工作行使下列職責：

（一）監督、檢查、指導計(ji)算機信息系統安(an)全保護工作；

（二）組(zu)織開展計算(suan)機(ji)信息系統(tong)安全(quan)等級保護；

（三(san)）查(cha)處計算機違法犯罪案件；

（四）組織處置重大計算機信息系統安全事故和(he)事件；

（五(wu)）負責計算機病毒和其(qi)他(ta)有害數據防(fang)治管理(li)；

（六）負責計算機信息系統安全服務的(de)監督指導(dao)；

（七）負(fu)責計算機信息系統安(an)全專(zhuan)用產品的(de)監(jian)督管理(li)；

（八）負(fu)責計算(suan)機信息系統安全(quan)培訓管(guan)理；

（九）法(fa)律、法(fa)規(gui)和規(gui)章規(gui)定的其他(ta)職責。

第五條 公安(an)(an)(an)機關公共信(xin)(xin)息網(wang)絡安(an)(an)(an)全監察(cha)部(bu)門應當對計算(suan)機信(xin)(xin)息系(xi)統落實實體(ti)安(an)(an)(an)全、運行(xing)安(an)(an)(an)全、信(xin)(xin)息安(an)(an)(an)全和內容安(an)(an)(an)全措施(shi)的情況進行(xing)檢查。

對(dui)第三(san)級(ji)(ji)(ji)計算(suan)機(ji)信息(xi)系(xi)統(tong)每年至少(shao)檢查一次，對(dui)第四級(ji)(ji)(ji)計算(suan)機(ji)信息(xi)系(xi)統(tong)每半年至少(shao)檢查一次。對(dui)第五級(ji)(ji)(ji)計算(suan)機(ji)信息(xi)系(xi)統(tong)，應當會同國家指(zhi)定的(de)專門(men)部(bu)門(men)進(jin)行檢查。

對其他(ta)計算(suan)機信(xin)息(xi)系(xi)統應當不定期開展(zhan)檢查。

第六條 公(gong)安(an)機關公(gong)共信息網絡安(an)全(quan)(quan)監(jian)察部門發現計算(suan)機信息系統的安(an)全(quan)(quan)保護等(deng)級和安(an)全(quan)(quan)措施不符合有關規定和技術標準(zhun)，或者(zhe)存在安(an)全(quan)(quan)隱患(huan)的，應(ying)當通知(zhi)運營、使用單位進行整改。

第七條 公(gong)安(an)機關(guan)公(gong)共信息網絡安(an)全(quan)(quan)監察部門應當向公(gong)眾提供報警求助渠道，提供計算機信息系統安(an)全(quan)(quan)指導，發布(bu)安(an)全(quan)(quan)動(dong)態，開展安(an)全(quan)(quan)宣傳。

第三章 安全保護責任

第八條 單位和個人應當依照有關法規(gui)、規(gui)章和標準，對(dui)其(qi)所有、使用和管理的計(ji)算機信息(xi)系(xi)統承擔相應的安全保護責任。

第九條 第二級(ji)以(yi)上(shang)計(ji)算(suan)機信(xin)息系(xi)統的運營(ying)、使用單(dan)位應(ying)當(dang)建(jian)立安全保護組織，并報所在地(di)地(di)級(ji)以(yi)上(shang)市人(ren)民(min)政府公(gong)安機關公(gong)共信(xin)息網絡安全監察(cha)部門備案。

第十條 安全(quan)保護(hu)組織(zhi)保障(zhang)本(ben)單位計算機(ji)信息系(xi)統(tong)的(de)安全(quan)運(yun)行，組織(zhi)本(ben)單位計算機(ji)信息系(xi)統(tong)的(de)有害信息防(fang)治(zhi)工作，組織(zhi)開展本(ben)單位計算機(ji)信息系(xi)統(tong)安全(quan)教育和(he)培(pei)訓，向公安機(ji)關公共信息網絡安全(quan)監察部(bu)門(men)報告本(ben)單位計算機(ji)信息系(xi)統(tong)運(yun)行、服(fu)務(wu)和(he)安全(quan)等情(qing)況，及時協助公安機(ji)關公共信息網絡安全(quan)監察部(bu)門(men)查處違法(fa)犯罪和(he)處置(zhi)突發事件。

第十一條 互聯(lian)單(dan)位、互聯(lian)網接入服務單(dan)位、互聯(lian)網數據中心應當對接入本(ben)網絡的用戶進(jin)行資格審查，確認符合國家和省有關規定(ding)后方可(ke)為其提供服務。

互聯網接(jie)入服務、信息服務單位(wei)以(yi)及互聯網數(shu)據(ju)中心應當向(xiang)用戶宣傳相關法律法規，提供必要的(de)安全保護措施(shi)。

第十二條 個人主頁(ye)、博客、聊(liao)天室(shi)、點對點服務(wu)等互聯網信息服務(wu)的提供單(dan)位和(he)使用者(zhe)應當依(yi)照國家和(he)省有關(guan)規定，落實相應的安全措施。

第十三條 網(wang)(wang)吧、圖書館(guan)、學校、賓館(guan)等(deng)提供互(hu)聯網(wang)(wang)上網(wang)(wang)服務的場(chang)所應當(dang)安裝符(fu)合國家規定(ding)的安全管理系統。

第十四條 互(hu)聯(lian)(lian)單位(wei)、互(hu)聯(lian)(lian)網(wang)接入服務(wu)單位(wei)以(yi)及(ji)互(hu)聯(lian)(lian)網(wang)數據中心(xin)應當每月將(jiang)接入本網(wang)絡(luo)的用戶情況(kuang)報地級以(yi)上市公(gong)(gong)安(an)機關公(gong)(gong)共信息網(wang)絡(luo)安(an)全監察部門(men)備案。

第十五條 計算機信息系統運營、使用單(dan)位應當接受公(gong)(gong)安機關(guan)(guan)公(gong)(gong)共(gong)信息網絡(luo)安全監察部(bu)門的(de)監督、檢查、指導，如(ru)實提供(gong)安全保護(hu)有關(guan)(guan)信息、資(zi)料及數(shu)據文(wen)件，不得變相拒絕、拖(tuo)延、阻礙(ai)公(gong)(gong)安機關(guan)(guan)公(gong)(gong)共(gong)信息網絡(luo)安全監察部(bu)門依(yi)法執行(xing)公(gong)(gong)務。

第四章 安全專用產品和安全服務

第十六條 安全專用產品(pin)必須取得公安部頒發(fa)的銷售許可(ke)證(zheng)方(fang)可(ke)銷售。

第十七條 生產、銷售或(huo)者提供含有計(ji)算機信(xin)息網絡(luo)遠程控(kong)制、密碼猜解、安(an)全（漏洞）檢測、信(xin)息群(qun)發技(ji)術(shu)的產品和工(gong)具(ju)的，應當在領(ling)取營業執照(zhao)后30日內（沒有營業執照(zhao)的，自開辦之日起30日內）向單位所在地地級以上市人民政府(fu)公安(an)機關公共信(xin)息網絡(luo)安(an)全監察部門備(bei)案(an)，填(tian)寫《廣東省計(ji)算機信(xin)息網絡(luo)安(an)全特種技(ji)術(shu)備(bei)案(an)表》，并提交如(ru)下(xia)資料(liao)：

（一）單位簡況；

（二）營(ying)業執(zhi)照（或其他(ta)有(you)效證明）復印件；

（三）研(yan)發和服務管(guan)理制度；

（四(si)）主要(yao)經營管理人員(yuan)(yuan)、技術人員(yuan)(yuan)和服務人員(yuan)(yuan)有效證件復印件；

（五）主要(yao)產品情況。

第十八條 安(an)全(quan)保(bao)護等級為(wei)第三(san)級以(yi)上的計算(suan)機信息系統應當選用符合下列(lie)條件的安(an)全(quan)專用產品：

（一）產(chan)品(pin)研制、生產(chan)單(dan)位是(shi)由中國公民、法人投資(zi)(zi)或者國家投資(zi)(zi)或者控股的，在中華人民共和國境內(nei)具有獨(du)立的法人資(zi)(zi)格；

（二）產品(pin)的核心技術、關鍵(jian)部(bu)件具有(you)我國自主知識產權；

（三）產品研制、生產單位及其主要業務(wu)、技術人(ren)員無犯罪記錄；

（四）產(chan)品研制(zhi)、生產(chan)單位聲明(ming)沒有故(gu)意留(liu)有或者設置(zhi)漏(lou)洞、后門、木馬(ma)等(deng)程序和功能(neng)；

（五）對國家(jia)安全、社(she)會秩(zhi)序、公共利益不構成危害。

第十九條 符合(he)第(di)十(shi)八條規(gui)定(ding)的安(an)全專用產(chan)品(pin)和(he)生產(chan)單位(wei)應當到省公安(an)廳(ting)公共信息網絡安(an)全監(jian)察部門備案。

第二十條 為加強安全(quan)服(fu)務(wu)機(ji)(ji)構的(de)指導(dao)，推動安全(quan)服(fu)務(wu)質量和技術(shu)水平的(de)提高(gao)，廣東省(sheng)對從事計算機(ji)(ji)信息系統安全(quan)設(she)計、建設(she)、檢測、評估等安全(quan)服(fu)務(wu)的(de)機(ji)(ji)構，根據其(qi)注冊資(zi)本(ben)、服(fu)務(wu)業(ye)績、技術(shu)力(li)量、組織管(guan)理(li)情況實行(xing)分(fen)級指導(dao)。

第五章 安全等級測評

第二十一條 第二級(ji)以上的(de)計算機(ji)(ji)信息系(xi)統(tong)(tong)的(de)安全測(ce)評(ping)應當選擇符(fu)合下列條(tiao)件的(de)計算機(ji)(ji)信息系(xi)統(tong)(tong)安全等(deng)級(ji)測(ce)評(ping)機(ji)(ji)構（簡稱(cheng)測(ce)評(ping)機(ji)(ji)構）承擔：

（一）在中華人民共和(he)國境(jing)內注冊成立(li)（港澳(ao)臺地區除(chu)外），具有相應經營(ying)范圍的營(ying)業執照，注冊資本100萬元(yuan)以(yi)上；

（二）由中國(guo)(guo)公(gong)民(min)投資、中國(guo)(guo)法人投資或者國(guo)(guo)家投資的企事業單位（港澳臺地(di)區除外(wai)）；

（三）近3年完成的測評(ping)項目總值150萬(wan)元以(yi)上；

（四）具有計算機安(an)全或相(xiang)關專業資格證書的專業技術人(ren)員不(bu)(bu)少于(yu)20人(ren)，其中大學本科以(yi)上學歷的人(ren)員不(bu)(bu)少于(yu)15人(ren)；

（五）管(guan)理人員應當具(ju)有3年以(yi)上從(cong)事計(ji)算機(ji)信(xin)息系統安全(quan)(quan)技(ji)術領域企業管(guan)理工作經歷，技(ji)術負(fu)責(ze)人已獲得(de)計(ji)算機(ji)信(xin)息系統安全(quan)(quan)技(ji)術相關專業的高級(ji)職稱，從(cong)事安全(quan)(quan)測評工作不(bu)少(shao)于(yu)3年，無(wu)犯罪記錄；

（六）工作(zuo)人員僅限于中(zhong)國公民(min)，法人及主要業(ye)務(wu)、技術人員無犯(fan)罪記(ji)錄；

（七(qi)）具有與所承擔項目適應的技術裝備；

（八）具有完備的(de)保密管理、項(xiang)目管理、質量管理、人員管理和培訓教育等安全管理制度；

（九(jiu)）對國家安全、社會秩序、公(gong)共利益不構成威脅。

第二十二條 廣東省對測評(ping)機構(gou)實施備(bei)案制度。符合第二(er)十一條(tiao)規定的條(tiao)件，承擔(dan)第二(er)級(ji)以上的計算機信(xin)息(xi)系統測評(ping)工作的機構(gou)應當到省公安廳公共信(xin)息(xi)網絡安全監察部門備(bei)案。

第二十三條 省公安廳公共(gong)信息網絡安全監察部門對已備(bei)案的測評機構進(jin)行公布。

第二十四條 測評機構應當履(lv)行(xing)下列義務(wu)：

（一）遵守國家有關法律法規和(he)技術標準，提供安全、客(ke)觀、公正的(de)(de)檢測(ce)(ce)評估服務，保證測(ce)(ce)評的(de)(de)質量(liang)和(he)效(xiao)果；

（二(er)）保守在測評(ping)活動中(zhong)知(zhi)悉的國家(jia)秘(mi)密(mi)、商(shang)業(ye)秘(mi)密(mi)和(he)個人(ren)隱私(si)，防范測評(ping)風險；

（三）對測(ce)評人(ren)員(yuan)進行安(an)(an)全保(bao)密教育，與其(qi)簽(qian)訂安(an)(an)全保(bao)密責任書，規定應當履(lv)行的安(an)(an)全保(bao)密義務(wu)和承擔的法(fa)律責任，并負(fu)責檢查(cha)落實(shi)。

第二十五條 第(di)二級(ji)以(yi)上的(de)計算機信(xin)息系統建設(she)完成后，使(shi)用(yong)(yong)單位(wei)應當(dang)委托符合規定的(de)測(ce)評機構安(an)(an)全(quan)(quan)測(ce)評合格方可投(tou)入(ru)使(shi)用(yong)(yong)。測(ce)評活動應當(dang)接受公(gong)安(an)(an)機關(guan)公(gong)共信(xin)息網絡(luo)安(an)(an)全(quan)(quan)監察部門的(de)監督。

第二十六條 計算機信息系統運營(ying)、使(shi)用單位委托安全測評機構(gou)測評，應當(dang)提交下列資料：

（一）安(an)全測(ce)評委托書；

（二(er)）計算(suan)機(ji)信息(xi)系(xi)統(tong)(tong)應用需求、系(xi)統(tong)(tong)結構(gou)(gou)拓(tuo)撲及說明、系(xi)統(tong)(tong)安全組織結構(gou)(gou)和(he)管理制度、安全保(bao)護設施(shi)設計實(shi)施(shi)方案或(huo)者改(gai)建實(shi)施(shi)方案、系(xi)統(tong)(tong)軟件(jian)硬件(jian)和(he)信息(xi)安全產(chan)品清單。

第二十七條 安(an)全(quan)(quan)測(ce)評(ping)機構在收到委(wei)托(tuo)(tuo)材料后，應當與委(wei)托(tuo)(tuo)方協商制訂安(an)全(quan)(quan)測(ce)評(ping)計劃(hua)，開展安(an)全(quan)(quan)測(ce)評(ping)工作(zuo)，并出具安(an)全(quan)(quan)測(ce)評(ping)報告。

經測評(ping)，計算機(ji)信息(xi)系統(tong)安全(quan)狀況未達(da)到國家有關規定(ding)和標準的(de)要求，委(wei)托單位應(ying)當根據測評(ping)報告的(de)建議，完善計算機(ji)信息(xi)系統(tong)安全(quan)建設，并重新提出安全(quan)測評(ping)委(wei)托。

測(ce)(ce)評(ping)機構對計(ji)算(suan)(suan)機信息(xi)系(xi)統進行使(shi)用(yong)前安(an)(an)全測(ce)(ce)評(ping)，應當(dang)預(yu)先報(bao)(bao)告(gao)(gao)地級(ji)以上(shang)市(shi)公(gong)安(an)(an)機關公(gong)共信息(xi)網(wang)絡(luo)安(an)(an)全監察(cha)部門(men)。安(an)(an)全測(ce)(ce)評(ping)報(bao)(bao)告(gao)(gao)由計(ji)算(suan)(suan)機信息(xi)系(xi)統運營、使(shi)用(yong)單位(wei)報(bao)(bao)地級(ji)以上(shang)市(shi)公(gong)安(an)(an)機關公(gong)共信息(xi)網(wang)絡(luo)安(an)(an)全監察(cha)部門(men)。

第二十八條 第(di)(di)三級(ji)計算(suan)機信息系統應(ying)當(dang)每年(nian)至少進(jin)行(xing)一(yi)次(ci)安(an)全(quan)(quan)測評(ping)，第(di)(di)四級(ji)計算(suan)機信息系統應(ying)當(dang)每半年(nian)至少進(jin)行(xing)一(yi)次(ci)安(an)全(quan)(quan)測評(ping)，第(di)(di)五級(ji)計算(suan)機信息系統應(ying)當(dang)依據(ju)特殊安(an)全(quan)(quan)要求進(jin)行(xing)安(an)全(quan)(quan)測評(ping)。

第六章 應急處置

第二十九條 公安機關(guan)公共(gong)信(xin)息網絡安全監(jian)察(cha)部門與所在地安全服務(wu)機構、互聯(lian)網運營(ying)單位和其(qi)他計算(suan)機信(xin)息系統運營(ying)、使用單位應當(dang)建立聯(lian)防機制(zhi)，依法及時查處(chu)通(tong)過計算(suan)機信(xin)息系統進(jin)行的違法犯罪行為，組(zu)織處(chu)置重大突發(fa)事件。

第三十條 對計(ji)算機信息系統中發生(sheng)的案件和重大安(an)全事故(gu)，計(ji)算機信息系統的運(yun)營、使用單位應當在二十四小時內報告縣級以上人(ren)民政府(fu)公安(an)機關(guan)公共信息網絡安(an)全監察部門，并保(bao)留有關(guan)原始記錄。

第三十一條 第二級(ji)以上(shang)的計(ji)算機(ji)信息(xi)系統運(yun)營、使用單位應當(dang)制定重大突發(fa)事件應急(ji)處置(zhi)預(yu)案并定期實施演練(lian)。

第三十二條 計算機信息(xi)系統發生重大(da)突發事件，有關單位應(ying)當(dang)按(an)照(zhao)應(ying)急(ji)處置預案的要求(qiu)采取(qu)相應(ying)的處置措(cuo)施，并服(fu)從公(gong)安機關和國家(jia)指定的專門部門的調度。

第三十三條 地級市(shi)以上人(ren)民政府公安機(ji)關公共信(xin)息網(wang)絡安全(quan)監察部門經(jing)本機(ji)關主管領(ling)導(dao)批準，為(wei)保(bao)護計(ji)算機(ji)信(xin)息系統安全(quan)，在發生(sheng)重大突發事件，危及國(guo)家安全(quan)、公共安全(quan)及社(she)會穩定(ding)的(de)緊急(ji)情況下，可(ke)以采取(qu)二十四(si)小時內暫時停機(ji)、暫停聯網(wang)、備份(fen)數據等措(cuo)施(shi)。

第七章 安全培訓

第三十四條 省公安(an)(an)廳、人(ren)事廳聯合成立的省信息(xi)(xi)網絡(luo)(luo)(luo)安(an)(an)全(quan)專(zhuan)業(ye)技術人(ren)員(yuan)繼(ji)續教(jiao)育(yu)工(gong)作領導小組(zu)(zu)，負(fu)責全(quan)省信息(xi)(xi)網絡(luo)(luo)(luo)安(an)(an)全(quan)專(zhuan)業(ye)技術人(ren)員(yuan)繼(ji)續教(jiao)育(yu)工(gong)作的組(zu)(zu)織和領導。下設(she)省信息(xi)(xi)網絡(luo)(luo)(luo)安(an)(an)全(quan)專(zhuan)業(ye)技術人(ren)員(yuan)繼(ji)續教(jiao)育(yu)工(gong)作辦公室，具體負(fu)責日常(chang)管理(li)工(gong)作。

第三十五條 下列人(ren)員應當參加信息(xi)網絡(luo)(luo)安(an)全(quan)專(zhuan)(zhuan)業技術(shu)人(ren)員繼續(xu)(xu)教育(yu)，取得省信息(xi)網絡(luo)(luo)安(an)全(quan)專(zhuan)(zhuan)業技術(shu)人(ren)員繼續(xu)(xu)教育(yu)工作(zuo)辦公室頒發的信息(xi)網絡(luo)(luo)安(an)全(quan)專(zhuan)(zhuan)業技術(shu)人(ren)員繼續(xu)(xu)教育(yu)合格證書，持證上崗(gang)：

（一）計算(suan)機信息系統(tong)運營、使(shi)用單位(wei)信息安全管理責任人、信息審查員；

（二）互聯網(wang)接入服(fu)務(wu)(wu)、數據中(zhong)心服(fu)務(wu)(wu)、信(xin)息服(fu)務(wu)(wu)、上(shang)網(wang)服(fu)務(wu)(wu)提供單(dan)位安全管理員(yuan)、專(zhuan)業技術人員(yuan)；

（三）安(an)全專用產品生產單位專業技術人員；

（四）安全服(fu)務機(ji)構專業技術人員、安全服(fu)務管理人員；

（五）其他從(cong)事計(ji)算機信息系統安全保護工作的(de)人員(yuan)。

第三十六條 信(xin)息網絡安全(quan)專業技術(shu)人員繼(ji)(ji)續教育由(you)省信(xin)息網絡安全(quan)專業技術(shu)人員繼(ji)(ji)續教育工作辦公室授權的施教機(ji)(ji)構(gou)負責實(shi)施。施教機(ji)(ji)構(gou)實(shi)行(xing)統籌(chou)規劃。

第三十七條 信息網(wang)絡安全專業技術人員繼(ji)續(xu)教育培訓和考試(shi)按照有關規定進行，實行統一教學大綱，統一教材，統一考試(shi)，統一發(fa)證。

考試合(he)格的，由(you)省(sheng)信息(xi)網(wang)(wang)絡安全專業(ye)(ye)技術(shu)人(ren)員繼續教(jiao)育(yu)工作(zuo)辦公室(shi)發(fa)給(gei)信息(xi)網(wang)(wang)絡安全專業(ye)(ye)技術(shu)人(ren)員繼續教(jiao)育(yu)證書。

第八章 法律責任

第三十八條 違反本辦法的規(gui)(gui)定，依照有關法律、法規(gui)(gui)和規(gui)(gui)章(zhang)處罰。

第九章 附則

第三十九條 本(ben)細則下列用語的(de)含義：實體安全，指保(bao)護計(ji)算(suan)機信息系統的(de)環境，計(ji)算(suan)機設備、設施（含網(wang)絡）以及(ji)其它媒(mei)體免遭地震、水(shui)災(zai)、火(huo)災(zai)、雷電(dian)、有害氣體和(he)其它環境事故（如電(dian)磁污染等(deng)）破壞(huai)。

運行安全，指保護計算機信息(xi)系(xi)統的信息(xi)處(chu)理(li)過(guo)程順利進行。

信息安全，指保障信息的完整性(xing)、保密性(xing)、可(ke)用性(xing)和可(ke)控性(xing)。

內容安全，指(zhi)確保計算機(ji)信息系統中傳(chuan)輸的信息所承(cheng)載的內容的合法性。

安全（漏(lou)洞）檢(jian)測，指利用計算(suan)機技術手段掃(sao)描(miao)、探測計算(suan)機信息(xi)系統(tong)安全漏(lou)洞。

第四十條 本辦法規定的“以上”含本數。

第四十一條 本辦(ban)法(fa)規定的有(you)關表格和證(zheng)書由省(sheng)公安廳制(zhi)定式樣，統一監制(zhi)。

第四十二條 本辦法由省公安廳負責解釋。

第四十三條 本辦(ban)法自(zi)2008年(nian)12月(yue)1日起施(shi)行。