廣東省公安廳關于計算機信息系統安全保護的實施辦法

（廣東省公(gong)(gong)安(an)廳2008年9月27日以粵公(gong)(gong)通字〔2008〕228號發布 自(zi)2008年12月1日起施行(xing)）

第一章 總則

第一條 為保護計(ji)算機(ji)信(xin)息系(xi)統安(an)全(quan)，促進信(xin)息化建(jian)設的健康(kang)發展，貫徹落實《廣東(dong)省計(ji)算機(ji)信(xin)息系(xi)統安(an)全(quan)保護條(tiao)例》，根(gen)據有關法律法規，制定本辦法。

第二條 本辦法適(shi)用于廣東省行(xing)政(zheng)區域內計算機信息(xi)系統的(de)安(an)全(quan)保(bao)護(hu)。

第三條 縣級以上人民政府公安機關(guan)公共信(xin)息網絡安全監察部(bu)門具體負責(ze)本行政區域內計算(suan)機信(xin)息系統的(de)安全保護監管工作。

第二章 安全監督

第四條 公安機(ji)關公共(gong)信息網絡(luo)安全(quan)監察部門對(dui)計算機(ji)信息系統安全(quan)保護工作行使(shi)下列職(zhi)責：

（一）監督、檢查、指導計(ji)算機信息系統安全保護工作；

（二(er)）組織(zhi)開展計算機(ji)信息系統(tong)安全(quan)等(deng)級保護；

（三）查處(chu)計算機違法犯罪案件(jian)；

（四）組織(zhi)處置重大計算機信息系統(tong)安全(quan)事故和事件；

（五）負責計算機病(bing)毒和其(qi)他有害數據防(fang)治(zhi)管理；

（六(liu)）負責計算機信(xin)息系統安全服(fu)務的(de)監督指導；

（七）負責(ze)計算機信息(xi)系(xi)統安全(quan)專用產品(pin)的監督管理；

（八）負責計算機信息系統(tong)安全培(pei)訓(xun)管理；

（九）法律、法規(gui)和規(gui)章(zhang)規(gui)定的(de)其他職責(ze)。

第五條 公(gong)安(an)(an)(an)機關(guan)公(gong)共信(xin)息網絡(luo)安(an)(an)(an)全(quan)監察部門應當(dang)對(dui)計算機信(xin)息系統(tong)落實實體安(an)(an)(an)全(quan)、運行(xing)安(an)(an)(an)全(quan)、信(xin)息安(an)(an)(an)全(quan)和(he)內容(rong)安(an)(an)(an)全(quan)措(cuo)施的情況進行(xing)檢查。

對(dui)(dui)第三級計(ji)算(suan)機(ji)信息(xi)系統(tong)(tong)每年至(zhi)少檢查一次，對(dui)(dui)第四(si)級計(ji)算(suan)機(ji)信息(xi)系統(tong)(tong)每半年至(zhi)少檢查一次。對(dui)(dui)第五級計(ji)算(suan)機(ji)信息(xi)系統(tong)(tong)，應當(dang)會同(tong)國(guo)家(jia)指定的專門部門進行檢查。

對其他計(ji)算機信息(xi)系統應當(dang)不定期開展檢(jian)查。

第六條 公(gong)安(an)機關公(gong)共信息(xi)(xi)網絡安(an)全(quan)監察部門發(fa)現計算機信息(xi)(xi)系統的安(an)全(quan)保護等級和安(an)全(quan)措施不符合有關規定(ding)和技術(shu)標準，或者存在安(an)全(quan)隱患的，應當(dang)通(tong)知運營、使(shi)用單(dan)位進(jin)行整改。

第七條 公安(an)(an)機(ji)關(guan)公共(gong)信(xin)息網絡安(an)(an)全監察部門應當向公眾提供報警求助渠道，提供計算機(ji)信(xin)息系(xi)統安(an)(an)全指(zhi)導，發(fa)布安(an)(an)全動(dong)態，開展安(an)(an)全宣傳。

第三章 安全保護責任

第八條 單位和個人應(ying)當(dang)依照有關法(fa)規、規章和標(biao)準，對其所有、使用和管理的(de)(de)計(ji)算(suan)機(ji)信(xin)息系統承擔(dan)相應(ying)的(de)(de)安(an)全保護責(ze)任。

第九條 第二級以(yi)上計算機(ji)信(xin)息系(xi)統的運營、使用單位應(ying)當建立安全保護組織，并(bing)報所在地地級以(yi)上市人民政府(fu)公(gong)安機(ji)關(guan)公(gong)共信(xin)息網絡安全監察部門備(bei)案(an)。

第十條 安全(quan)(quan)保護組(zu)織保障(zhang)本(ben)單(dan)位(wei)計(ji)(ji)算(suan)(suan)機(ji)(ji)信(xin)息系統(tong)的安全(quan)(quan)運行，組(zu)織本(ben)單(dan)位(wei)計(ji)(ji)算(suan)(suan)機(ji)(ji)信(xin)息系統(tong)的有害信(xin)息防治工(gong)作，組(zu)織開展本(ben)單(dan)位(wei)計(ji)(ji)算(suan)(suan)機(ji)(ji)信(xin)息系統(tong)安全(quan)(quan)教(jiao)育和培訓(xun)，向(xiang)公安機(ji)(ji)關公共信(xin)息網絡(luo)安全(quan)(quan)監察部門報告本(ben)單(dan)位(wei)計(ji)(ji)算(suan)(suan)機(ji)(ji)信(xin)息系統(tong)運行、服務和安全(quan)(quan)等情(qing)況，及時協助公安機(ji)(ji)關公共信(xin)息網絡(luo)安全(quan)(quan)監察部門查處(chu)違法(fa)犯罪和處(chu)置突發事件(jian)。

第十一條 互聯(lian)單位、互聯(lian)網(wang)接入服務(wu)單位、互聯(lian)網(wang)數據(ju)中(zhong)心應(ying)當對接入本網(wang)絡的(de)用戶(hu)進行資格審查，確認符合國(guo)家和省有關規定后(hou)方(fang)可為其提供服務(wu)。

互(hu)聯網接入服務、信息服務單位(wei)以及(ji)互(hu)聯網數(shu)據中心應當(dang)向用(yong)戶宣傳相關法律(lv)法規，提供(gong)必要的安全保(bao)護措施。

第十二條 個人主頁、博客、聊天室、點(dian)對點(dian)服務等互(hu)聯網信息服務的提(ti)供單(dan)位和使(shi)用者應當依照(zhao)國(guo)家(jia)和省(sheng)有(you)關規定，落實相應的安全措施。

第十三條 網(wang)(wang)吧、圖書(shu)館、學(xue)校、賓館等提供(gong)互聯網(wang)(wang)上網(wang)(wang)服務的(de)場所應(ying)當安(an)裝(zhuang)符合國家規定的(de)安(an)全管理系統。

第十四條 互(hu)聯單位、互(hu)聯網接入服務單位以及互(hu)聯網數(shu)據(ju)中心(xin)應當每月將接入本網絡(luo)的用戶情況(kuang)報(bao)地級以上市公(gong)(gong)安機(ji)關公(gong)(gong)共信息網絡(luo)安全監察部(bu)門備案。

第十五條 計(ji)算機信(xin)息(xi)系統運營、使用(yong)單位應當接受公(gong)(gong)安(an)機關(guan)(guan)公(gong)(gong)共(gong)信(xin)息(xi)網絡安(an)全(quan)(quan)監(jian)察(cha)部門的監(jian)督、檢查(cha)、指導，如實提供安(an)全(quan)(quan)保護(hu)有關(guan)(guan)信(xin)息(xi)、資料及(ji)數(shu)據文(wen)件，不(bu)得變相拒絕、拖延、阻礙公(gong)(gong)安(an)機關(guan)(guan)公(gong)(gong)共(gong)信(xin)息(xi)網絡安(an)全(quan)(quan)監(jian)察(cha)部門依法執行公(gong)(gong)務。

第四章 安全專用產品和安全服務

第十六條 安全專用產(chan)品必(bi)須取得公安部頒發的(de)銷(xiao)售許可證方可銷(xiao)售。

第十七條 生產、銷售(shou)或者(zhe)提供含有計算(suan)機信息(xi)網絡(luo)(luo)(luo)遠程控制、密碼猜解、安(an)全(quan)(quan)（漏洞）檢測(ce)、信息(xi)群(qun)發技術(shu)的(de)(de)產品和(he)工具(ju)的(de)(de)，應當在領取營業執(zhi)照后30日(ri)內（沒有營業執(zhi)照的(de)(de)，自開辦之日(ri)起30日(ri)內）向(xiang)單(dan)位所(suo)在地地級以(yi)上市(shi)人民政(zheng)府公(gong)安(an)機關公(gong)共信息(xi)網絡(luo)(luo)(luo)安(an)全(quan)(quan)監察(cha)部門(men)備案，填寫《廣東省計算(suan)機信息(xi)網絡(luo)(luo)(luo)安(an)全(quan)(quan)特種(zhong)技術(shu)備案表》，并提交(jiao)如下(xia)資料：

（一）單位簡況；

（二）營業執照（或其他有效證明）復印(yin)件；

（三）研(yan)發和服務(wu)管理制度；

（四）主(zhu)要經營管理人(ren)員、技(ji)術人(ren)員和服(fu)務人(ren)員有效證(zheng)件(jian)復印件(jian)；

（五(wu)）主(zhu)要產品情況。

第十八條 安(an)全(quan)保護等級為第三級以上(shang)的計(ji)算機信息系統應當(dang)選用符合下列條件(jian)的安(an)全(quan)專用產(chan)品：

（一）產品研制、生(sheng)產單位是由(you)中國公(gong)民、法人投資(zi)或者國家投資(zi)或者控(kong)股的，在中華人民共和國境內(nei)具有(you)獨立的法人資(zi)格；

（二）產品的核心技術、關鍵部件具有我(wo)國(guo)自主知識產權(quan)；

（三）產品(pin)研制、生產單(dan)位及其主要業務、技術人員無犯罪(zui)記錄；

（四(si)）產品研制、生產單位聲明沒(mei)有(you)故意留(liu)有(you)或者設置漏洞、后門、木馬等(deng)程序和功能；

（五）對國家(jia)安全(quan)、社會秩序、公共(gong)利益(yi)不構(gou)成(cheng)危害。

第十九條 符合第十八條規定的安全(quan)專(zhuan)用產(chan)品和(he)生(sheng)產(chan)單位應當到省(sheng)公(gong)安廳公(gong)共信息(xi)網絡(luo)安全(quan)監察部門(men)備案。

第二十條 為加強(qiang)安(an)全(quan)服務機(ji)構的(de)指(zhi)導(dao)，推動安(an)全(quan)服務質量和技(ji)術水平的(de)提高，廣東省對從事(shi)計算(suan)機(ji)信息系(xi)統安(an)全(quan)設計、建(jian)設、檢測、評估等安(an)全(quan)服務的(de)機(ji)構，根(gen)據(ju)其注冊資本(ben)、服務業績(ji)、技(ji)術力量、組織管(guan)理情況實行(xing)分級指(zhi)導(dao)。

第五章 安全等級測評

第二十一條 第二(er)級以上的計(ji)(ji)算機信息(xi)系統的安(an)全測評應當選擇符(fu)合下列(lie)條(tiao)件的計(ji)(ji)算機信息(xi)系統安(an)全等級測評機構（簡(jian)稱測評機構）承擔：

（一）在中華人(ren)民共和國境內注冊(ce)成(cheng)立（港澳臺地區(qu)除(chu)外），具有相應經營范(fan)圍的(de)營業執照(zhao)，注冊(ce)資本100萬(wan)元以上；

（二）由中國公(gong)民投(tou)資、中國法人投(tou)資或者國家投(tou)資的企事業單位（港澳臺地(di)區除外）；

（三）近3年完成的(de)測評項目總(zong)值150萬(wan)元以上；

（四）具有計算機安全或相關(guan)專業資格證書的(de)專業技(ji)術人(ren)員不少于20人(ren)，其中大學本科以上學歷的(de)人(ren)員不少于15人(ren)；

（五(wu)）管(guan)理人員應當具有(you)3年以(yi)上從事(shi)計(ji)算機(ji)信(xin)息(xi)系統安全技術(shu)領域(yu)企(qi)業(ye)(ye)管(guan)理工作(zuo)經歷，技術(shu)負責人已獲得計(ji)算機(ji)信(xin)息(xi)系統安全技術(shu)相關專業(ye)(ye)的(de)高級職稱，從事(shi)安全測評(ping)工作(zuo)不少于3年，無犯罪(zui)記(ji)錄；

（六）工作人員(yuan)僅限于中國公(gong)民，法人及主要業務、技術人員(yuan)無犯罪(zui)記(ji)錄；

（七）具有與所承擔項目適應的技術裝備；

（八）具有完備的保密(mi)管理(li)、項目管理(li)、質(zhi)量管理(li)、人員管理(li)和培訓(xun)教(jiao)育(yu)等(deng)安全管理(li)制度；

（九(jiu)）對(dui)國家安全(quan)、社(she)會秩序(xu)、公共利益不構成威(wei)脅。

第二十二條 廣東省對測評機構實施備(bei)案制度。符合第二(er)(er)十(shi)一(yi)條(tiao)規定的條(tiao)件，承擔第二(er)(er)級(ji)以(yi)上的計算機信息(xi)系統測評工作的機構應當(dang)到(dao)省公(gong)安(an)廳公(gong)共(gong)信息(xi)網絡安(an)全(quan)監察(cha)部門備(bei)案。

第二十三條 省公安廳(ting)公共信息網(wang)絡安全監察部(bu)門(men)對已備案的測評機構進行公布。

第二十四條 測評機(ji)構應當履行下列義務：

（一）遵(zun)守國(guo)家(jia)有關法(fa)律法(fa)規和技術(shu)標(biao)準(zhun)，提供安(an)全、客觀、公正的檢測評(ping)估服務，保(bao)證測評(ping)的質量和效果；

（二）保守在(zai)測評活動中知悉的(de)國(guo)家秘密、商(shang)業秘密和個人隱私，防范測評風險；

（三）對測評(ping)人(ren)員進行安(an)全保(bao)密教育(yu)，與其簽(qian)訂安(an)全保(bao)密責(ze)任書，規定(ding)應當(dang)履(lv)行的安(an)全保(bao)密義務和承擔的法律責(ze)任，并負責(ze)檢(jian)查落實(shi)。

第二十五條 第二級以上的計算機(ji)信(xin)息(xi)系統建設完成后，使用(yong)單位應當委托符(fu)合(he)規定的測評(ping)(ping)機(ji)構安全(quan)測評(ping)(ping)合(he)格方可(ke)投(tou)入使用(yong)。測評(ping)(ping)活動應當接受公安機(ji)關公共(gong)信(xin)息(xi)網絡安全(quan)監察部門的監督。

第二十六條 計算(suan)機信息系統運營、使(shi)用單位(wei)委(wei)托安全測評機構測評，應(ying)當提(ti)交下列資料(liao)：

（一）安全測評委托書；

（二(er)）計算機信(xin)息(xi)系(xi)統(tong)應用(yong)需求、系(xi)統(tong)結構拓(tuo)撲及說(shuo)明、系(xi)統(tong)安全組(zu)織結構和管理制度、安全保護設(she)施設(she)計實施方案或者改(gai)建實施方案、系(xi)統(tong)軟(ruan)件(jian)硬件(jian)和信(xin)息(xi)安全產品清(qing)單。

第二十七條 安(an)全測(ce)評機構在收到委托材料(liao)后，應當與委托方協商(shang)制訂安(an)全測(ce)評計劃，開展安(an)全測(ce)評工作，并出具(ju)安(an)全測(ce)評報告。

經(jing)測評，計算機(ji)信(xin)息(xi)系統安(an)全(quan)狀況未達到國(guo)家有關規定和標準(zhun)的要求，委托(tuo)單位應(ying)當根據(ju)測評報(bao)告(gao)的建(jian)議，完(wan)善計算機(ji)信(xin)息(xi)系統安(an)全(quan)建(jian)設(she)，并(bing)重新提出安(an)全(quan)測評委托(tuo)。

測(ce)評(ping)機(ji)構對計(ji)(ji)算(suan)機(ji)信(xin)息(xi)(xi)系(xi)統進行(xing)使用前安全(quan)測(ce)評(ping)，應(ying)當預(yu)先(xian)報(bao)告地級以上(shang)市(shi)公(gong)(gong)安機(ji)關(guan)公(gong)(gong)共信(xin)息(xi)(xi)網絡安全(quan)監察部門(men)。安全(quan)測(ce)評(ping)報(bao)告由(you)計(ji)(ji)算(suan)機(ji)信(xin)息(xi)(xi)系(xi)統運(yun)營、使用單位(wei)報(bao)地級以上(shang)市(shi)公(gong)(gong)安機(ji)關(guan)公(gong)(gong)共信(xin)息(xi)(xi)網絡安全(quan)監察部門(men)。

第二十八條 第(di)三級(ji)計(ji)(ji)(ji)算機(ji)信息系(xi)統(tong)應(ying)當每年至(zhi)少(shao)進(jin)行一(yi)次安(an)(an)全(quan)測評(ping)，第(di)四級(ji)計(ji)(ji)(ji)算機(ji)信息系(xi)統(tong)應(ying)當每半年至(zhi)少(shao)進(jin)行一(yi)次安(an)(an)全(quan)測評(ping)，第(di)五(wu)級(ji)計(ji)(ji)(ji)算機(ji)信息系(xi)統(tong)應(ying)當依據(ju)特殊安(an)(an)全(quan)要求進(jin)行安(an)(an)全(quan)測評(ping)。

第六章 應急處置

第二十九條 公安機關公共信息(xi)(xi)網(wang)(wang)絡安全監察部門(men)與所(suo)在(zai)地安全服務機構、互聯網(wang)(wang)運營單(dan)位和其他計(ji)算(suan)機信息(xi)(xi)系(xi)統運營、使用單(dan)位應當建(jian)立(li)聯防機制，依(yi)法(fa)及(ji)時查處通過計(ji)算(suan)機信息(xi)(xi)系(xi)統進(jin)行(xing)的違法(fa)犯罪行(xing)為，組織處置重大突(tu)發事件。

第三十條 對計算機信息系(xi)統(tong)中發生的案件和重大安(an)全事故(gu)，計算機信息系(xi)統(tong)的運營(ying)、使用單位應(ying)當在(zai)二十(shi)四(si)小時內報告縣級以(yi)上人民政府公安(an)機關公共信息網絡(luo)安(an)全監察(cha)部門，并保留有關原始記(ji)錄(lu)。

第三十一條 第(di)二級以上的計算機(ji)信息(xi)系統運營(ying)、使用單(dan)位應當制(zhi)定重大突(tu)發事(shi)件應急處置預案(an)并(bing)定期實施演練。

第三十二條 計(ji)算機信息(xi)系(xi)統發(fa)生(sheng)重大突發(fa)事(shi)件(jian)，有關(guan)單位(wei)應當按照應急(ji)處(chu)(chu)置(zhi)預案(an)的要求采取相應的處(chu)(chu)置(zhi)措施，并服從(cong)公(gong)安機關(guan)和(he)國家(jia)指定的專(zhuan)門部門的調度。

第三十三條 地級(ji)市以上人民政(zheng)府公(gong)安(an)機關(guan)公(gong)共信息網絡安(an)全監察部門經本機關(guan)主管領導批準，為保護計算機信息系統安(an)全，在發(fa)生重大(da)突發(fa)事(shi)件，危及國家安(an)全、公(gong)共安(an)全及社會穩定(ding)的緊急情況下(xia)，可以采取二十(shi)四小時(shi)內暫時(shi)停(ting)機、暫停(ting)聯網、備(bei)份數(shu)據(ju)等措施。

第七章 安全培訓

第三十四條 省(sheng)(sheng)公安(an)廳、人(ren)事(shi)廳聯合成立的省(sheng)(sheng)信(xin)(xin)息網絡(luo)(luo)安(an)全專(zhuan)(zhuan)業(ye)(ye)技(ji)術(shu)人(ren)員繼(ji)續(xu)教育工(gong)作(zuo)領導小組，負責全省(sheng)(sheng)信(xin)(xin)息網絡(luo)(luo)安(an)全專(zhuan)(zhuan)業(ye)(ye)技(ji)術(shu)人(ren)員繼(ji)續(xu)教育工(gong)作(zuo)的組織(zhi)和領導。下設省(sheng)(sheng)信(xin)(xin)息網絡(luo)(luo)安(an)全專(zhuan)(zhuan)業(ye)(ye)技(ji)術(shu)人(ren)員繼(ji)續(xu)教育工(gong)作(zuo)辦公室，具體負責日常管(guan)理工(gong)作(zuo)。

第三十五條 下列人員應(ying)當參加信息(xi)網(wang)絡(luo)(luo)安(an)(an)全專(zhuan)(zhuan)業技(ji)術人員繼(ji)續教育，取得省信息(xi)網(wang)絡(luo)(luo)安(an)(an)全專(zhuan)(zhuan)業技(ji)術人員繼(ji)續教育工作辦公室頒發(fa)的信息(xi)網(wang)絡(luo)(luo)安(an)(an)全專(zhuan)(zhuan)業技(ji)術人員繼(ji)續教育合格(ge)證(zheng)書，持(chi)證(zheng)上崗：

（一）計算機信息系統運(yun)營、使用單位信息安全管(guan)理(li)責(ze)任人、信息審查員；

（二）互聯網(wang)接入服務、數據中心服務、信息服務、上(shang)網(wang)服務提供單位安全管理員(yuan)、專業技術人員(yuan)；

（三）安全專(zhuan)用產品生(sheng)產單(dan)位(wei)專(zhuan)業(ye)技術人員；

（四）安(an)全服(fu)務機構專(zhuan)業技(ji)術(shu)人員(yuan)、安(an)全服(fu)務管理人員(yuan)；

（五）其他從事計算(suan)機信息系統安全保護工(gong)作的人(ren)員。

第三十六條 信(xin)息網絡安(an)(an)全專業(ye)技(ji)術人(ren)員繼續教(jiao)育由(you)省信(xin)息網絡安(an)(an)全專業(ye)技(ji)術人(ren)員繼續教(jiao)育工作辦公室授(shou)權(quan)的(de)施教(jiao)機構(gou)負(fu)責(ze)實(shi)施。施教(jiao)機構(gou)實(shi)行統(tong)籌規劃(hua)。

第三十七條 信息網絡安(an)全專(zhuan)業技術人員繼(ji)續教育(yu)培訓和考試按照有關規定進行(xing)，實行(xing)統(tong)一(yi)(yi)教學大綱，統(tong)一(yi)(yi)教材，統(tong)一(yi)(yi)考試，統(tong)一(yi)(yi)發證。

考試合格的(de)，由(you)省信息網絡(luo)安全(quan)專業(ye)技術人(ren)員繼(ji)續教育(yu)(yu)工作辦公室發(fa)給信息網絡(luo)安全(quan)專業(ye)技術人(ren)員繼(ji)續教育(yu)(yu)證書。

第八章 法律責任

第三十八條 違反本辦法的規定，依照有關法律、法規和規章處罰(fa)。

第九章 附則

第三十九條 本細則下(xia)列用語的含義：實體(ti)安(an)全，指保(bao)護計(ji)算機信息系(xi)統的環(huan)境，計(ji)算機設備、設施（含網絡(luo)）以及其它媒體(ti)免遭地震、水災(zai)(zai)、火災(zai)(zai)、雷電(dian)、有害氣體(ti)和其它環(huan)境事故（如電(dian)磁污染(ran)等）破壞(huai)。

運行安全，指保護計算機(ji)信(xin)息(xi)系(xi)統(tong)的信(xin)息(xi)處理過程(cheng)順利進行。

信(xin)息(xi)安全(quan)，指保(bao)(bao)障信(xin)息(xi)的(de)完整性(xing)、保(bao)(bao)密性(xing)、可用性(xing)和可控性(xing)。

內容安全，指(zhi)確(que)保(bao)計算(suan)機信息(xi)系(xi)統中傳(chuan)輸的信息(xi)所承載的內容的合法性(xing)。

安(an)全(quan)（漏洞）檢測，指利用計算機(ji)技術手(shou)段掃描、探(tan)測計算機(ji)信息系統安(an)全(quan)漏洞。

第四十條 本辦(ban)法規定的“以上(shang)”含本數。

第四十一條 本辦法(fa)規定的(de)有關表格和證書由省公安廳制定式樣，統一監制。

第四十二條 本辦(ban)法由省公安廳負責(ze)解(jie)釋。

第四十三條 本(ben)辦法自(zi)2008年(nian)12月1日起施(shi)行。