廣東省公安廳關于計算機信息系統安全保護的實施辦法

（廣東省公安廳2008年(nian)9月27日以粵公通(tong)字〔2008〕228號(hao)發布 自2008年(nian)12月1日起(qi)施(shi)行(xing)）

第一章 總則

第一條 為保護(hu)計算(suan)機信息系(xi)統安(an)全，促進信息化建設(she)的健康發展，貫徹(che)落實《廣東(dong)省計算(suan)機信息系(xi)統安(an)全保護(hu)條(tiao)例》，根據有關法(fa)律法(fa)規，制定本辦法(fa)。

第二條 本辦法適用于廣(guang)東省行(xing)政區域(yu)內(nei)計算機信(xin)息(xi)系統的安全保護。

第三條 縣(xian)級以上人民政(zheng)府公安(an)機(ji)關公共信(xin)息(xi)網(wang)絡安(an)全(quan)監察部門具體負責本行政(zheng)區域內計算機(ji)信(xin)息(xi)系統的安(an)全(quan)保護監管工(gong)作。

第二章 安全監督

第四條 公(gong)安機關公(gong)共信(xin)息(xi)(xi)網(wang)絡安全(quan)監(jian)察部門對(dui)計算機信(xin)息(xi)(xi)系統安全(quan)保護(hu)工作行使下列職(zhi)責：

（一）監督(du)、檢查、指(zhi)導計算機信息系統安全保護工作；

（二）組織開(kai)展計算機信息系統安全等級保護(hu)；

（三）查(cha)處(chu)計算機違法犯罪案件；

（四）組織處置重大計(ji)算機(ji)信息系統安(an)全事故和(he)事件(jian)；

（五）負(fu)責計(ji)算(suan)機病毒和(he)其他有害數(shu)據防(fang)治管(guan)理(li)；

（六）負責(ze)計算機信息(xi)系統安全服務(wu)的監督指導；

（七）負(fu)責計算機(ji)信息系統安全專用產(chan)品的監督管理；

（八）負責計(ji)算機(ji)信息系統安全培訓管理；

（九(jiu)）法(fa)律(lv)、法(fa)規(gui)和規(gui)章規(gui)定的其他職(zhi)責。

第五條 公(gong)安機(ji)關公(gong)共信息(xi)網(wang)絡安全(quan)(quan)監察部門應(ying)當(dang)對計算機(ji)信息(xi)系(xi)統落(luo)實實體安全(quan)(quan)、運(yun)行安全(quan)(quan)、信息(xi)安全(quan)(quan)和內容安全(quan)(quan)措施的情況進行檢查。

對(dui)第三級計算機信息系統每年至少檢查一次(ci)，對(dui)第四級計算機信息系統每半年至少檢查一次(ci)。對(dui)第五級計算機信息系統，應當會同國家指定的(de)專門部門進行(xing)檢查。

對其(qi)他計算機信息系統應當不定期(qi)開展檢查。

第六條 公安(an)機關(guan)公共信息(xi)網(wang)絡安(an)全(quan)監察部門(men)發現計(ji)算機信息(xi)系統的(de)安(an)全(quan)保護等(deng)級和(he)安(an)全(quan)措施不(bu)符(fu)合(he)有關(guan)規定和(he)技術標準，或者存在安(an)全(quan)隱(yin)患的(de)，應當通知運營、使用單位進(jin)行(xing)整改。

第七條 公(gong)安機關公(gong)共信(xin)息(xi)網絡安全(quan)監察(cha)部門應當向公(gong)眾提供報警求助渠道，提供計算(suan)機信(xin)息(xi)系統安全(quan)指導(dao)，發布(bu)安全(quan)動(dong)態，開展安全(quan)宣傳。

第三章 安全保護責任

第八條 單位和(he)個人應當依(yi)照有關法規(gui)、規(gui)章和(he)標準，對其所有、使(shi)用和(he)管理的(de)計算機信息系統(tong)承擔(dan)相應的(de)安全保護責任。

第九條 第二級以(yi)(yi)上(shang)計算機信息系統的運營、使(shi)用(yong)單(dan)位應當建立安全保護組織，并報所在地(di)地(di)級以(yi)(yi)上(shang)市人民(min)政府公安機關公共信息網絡安全監察部(bu)門備案。

第十條 安(an)(an)(an)全(quan)(quan)保(bao)護(hu)組(zu)織保(bao)障本單(dan)(dan)位計(ji)(ji)算(suan)(suan)機信(xin)(xin)(xin)息(xi)(xi)系統(tong)的安(an)(an)(an)全(quan)(quan)運行，組(zu)織本單(dan)(dan)位計(ji)(ji)算(suan)(suan)機信(xin)(xin)(xin)息(xi)(xi)系統(tong)的有害信(xin)(xin)(xin)息(xi)(xi)防治(zhi)工作，組(zu)織開展本單(dan)(dan)位計(ji)(ji)算(suan)(suan)機信(xin)(xin)(xin)息(xi)(xi)系統(tong)安(an)(an)(an)全(quan)(quan)教育和(he)培訓，向公安(an)(an)(an)機關公共(gong)信(xin)(xin)(xin)息(xi)(xi)網(wang)絡安(an)(an)(an)全(quan)(quan)監察(cha)(cha)部(bu)門(men)報(bao)告(gao)本單(dan)(dan)位計(ji)(ji)算(suan)(suan)機信(xin)(xin)(xin)息(xi)(xi)系統(tong)運行、服務和(he)安(an)(an)(an)全(quan)(quan)等情況(kuang)，及(ji)時協助(zhu)公安(an)(an)(an)機關公共(gong)信(xin)(xin)(xin)息(xi)(xi)網(wang)絡安(an)(an)(an)全(quan)(quan)監察(cha)(cha)部(bu)門(men)查處違法犯罪和(he)處置(zhi)突發事件。

第十一條 互聯(lian)(lian)(lian)單位、互聯(lian)(lian)(lian)網接入服務單位、互聯(lian)(lian)(lian)網數據(ju)中心應當(dang)對接入本(ben)網絡的用戶(hu)進(jin)行資格審查，確(que)認符合國家和省有關規(gui)定后方可為(wei)其提供服務。

互聯網接(jie)入服(fu)務、信息服(fu)務單位以(yi)及(ji)互聯網數(shu)據中心應當向用戶宣傳(chuan)相關法(fa)律(lv)法(fa)規，提供必要的安全保護措(cuo)施(shi)。

第十二條 個人主頁(ye)、博客、聊天室、點對點服務等互聯網信息服務的提供單位和使用者(zhe)應當依照國家(jia)和省有關規(gui)定，落實(shi)相(xiang)應的安全措(cuo)施。

第十三條 網吧(ba)、圖書館(guan)、學校、賓館(guan)等(deng)提供互聯網上網服(fu)務(wu)的場所應當安裝符合(he)國(guo)家規定的安全管理系(xi)統。

第十四條 互(hu)聯(lian)單(dan)位、互(hu)聯(lian)網(wang)接(jie)入服務(wu)單(dan)位以及互(hu)聯(lian)網(wang)數據中(zhong)心(xin)應當每(mei)月(yue)將接(jie)入本網(wang)絡的用戶情況報地級以上市公安機關公共信息網(wang)絡安全監察部門備(bei)案(an)。

第十五條 計(ji)算機信息(xi)系統(tong)運營、使用單位(wei)應(ying)當接受公安機關公共信息(xi)網絡(luo)安全(quan)監(jian)察(cha)部(bu)門的監(jian)督、檢查、指導(dao)，如實提供安全(quan)保護有關信息(xi)、資料及數據文件，不得變相拒絕、拖延、阻礙公安機關公共信息(xi)網絡(luo)安全(quan)監(jian)察(cha)部(bu)門依法執(zhi)行公務。

第四章 安全專用產品和安全服務

第十六條 安(an)全專用(yong)產品(pin)必須(xu)取得公安(an)部頒發(fa)的銷(xiao)售(shou)許(xu)可(ke)證方可(ke)銷(xiao)售(shou)。

第十七條 生(sheng)產、銷售或者(zhe)提供含(han)有計算(suan)機(ji)(ji)信息網絡遠程(cheng)控制、密碼猜解、安(an)全(quan)（漏洞）檢測、信息群發技(ji)(ji)術的(de)產品(pin)和工具的(de)，應當在(zai)領取營業執照后(hou)30日內(nei)（沒(mei)有營業執照的(de)，自(zi)開辦之日起30日內(nei)）向單(dan)位所(suo)在(zai)地地級(ji)以上市人民政(zheng)府(fu)公(gong)安(an)機(ji)(ji)關公(gong)共信息網絡安(an)全(quan)監察部(bu)門(men)備案，填寫《廣(guang)東省計算(suan)機(ji)(ji)信息網絡安(an)全(quan)特(te)種技(ji)(ji)術備案表》，并提交如下(xia)資料：

（一）單位簡況；

（二）營業執(zhi)照（或其他有效證明）復印件；

（三）研(yan)發(fa)和服務管理制度；

（四）主要經(jing)營管理人員、技術(shu)人員和服務人員有效證件(jian)復印件(jian)；

（五）主要產品情況。

第十八條 安全保護等(deng)級(ji)為(wei)第三級(ji)以(yi)上的計算機信息系統應(ying)當選用(yong)符(fu)合下列條件的安全專用(yong)產品：

（一(yi)）產品研制、生產單(dan)位(wei)是由中國公民(min)、法(fa)人投資或者國家投資或者控股的，在中華人民(min)共(gong)和國境內具有(you)獨(du)立的法(fa)人資格；

（二(er)）產(chan)品的核心技術、關鍵部件具(ju)有我國自主(zhu)知(zhi)識產(chan)權(quan)；

（三）產品研制(zhi)、生產單位及其主要(yao)業務、技術人員無(wu)犯(fan)罪(zui)記錄；

（四(si)）產品研(yan)制、生(sheng)產單(dan)位聲明沒有(you)(you)故意留(liu)有(you)(you)或者設置漏洞、后門、木馬等程序(xu)和(he)功能；

（五）對國家安全、社會秩序、公共利益不構成危害。

第十九條 符合(he)第(di)十八條規定的(de)安全專用產(chan)品和生產(chan)單位應(ying)當到省公安廳公共信息網絡(luo)安全監察部門備案(an)。

第二十條 為加強安(an)全服(fu)務機(ji)(ji)構(gou)的(de)指(zhi)導，推動安(an)全服(fu)務質(zhi)量(liang)和技術(shu)水平的(de)提高，廣東省對從事(shi)計算機(ji)(ji)信息系(xi)統安(an)全設計、建設、檢測、評(ping)估等安(an)全服(fu)務的(de)機(ji)(ji)構(gou)，根據其注冊(ce)資本、服(fu)務業績、技術(shu)力量(liang)、組織管(guan)理情況實(shi)行分級指(zhi)導。

第五章 安全等級測評

第二十一條 第二級以(yi)上的計算機(ji)信(xin)息(xi)(xi)系(xi)統(tong)的安全測評應當選擇(ze)符合下(xia)列條件的計算機(ji)信(xin)息(xi)(xi)系(xi)統(tong)安全等級測評機(ji)構(gou)(gou)（簡(jian)稱(cheng)測評機(ji)構(gou)(gou)）承擔(dan)：

（一）在中華(hua)人民(min)共和國境內注(zhu)冊(ce)成(cheng)立（港澳臺地區除外(wai)），具(ju)有相應經營(ying)范圍(wei)的營(ying)業執(zhi)照，注(zhu)冊(ce)資本100萬元以上；

（二）由中國(guo)公(gong)民(min)投(tou)資、中國(guo)法人投(tou)資或者國(guo)家投(tou)資的企(qi)事業單(dan)位（港澳臺地(di)區(qu)除(chu)外）；

（三）近3年完成的測評項目總值(zhi)150萬元以上；

（四(si)）具有計(ji)算機安全或(huo)相關專(zhuan)業資格證書的(de)專(zhuan)業技(ji)術人(ren)員(yuan)不少于(yu)20人(ren)，其(qi)中大學(xue)本科(ke)以上學(xue)歷的(de)人(ren)員(yuan)不少于(yu)15人(ren)；

（五）管理(li)(li)人員應當具有3年以上(shang)從(cong)事(shi)計算機信(xin)息系統安全(quan)技(ji)(ji)術領域企業(ye)管理(li)(li)工(gong)作(zuo)經(jing)歷，技(ji)(ji)術負責人已獲得計算機信(xin)息系統安全(quan)技(ji)(ji)術相關(guan)專業(ye)的高級職稱，從(cong)事(shi)安全(quan)測評(ping)工(gong)作(zuo)不少于(yu)3年，無犯罪記錄；

（六）工作人(ren)(ren)(ren)員僅限于中國公民，法人(ren)(ren)(ren)及(ji)主(zhu)要(yao)業務、技術人(ren)(ren)(ren)員無犯罪記錄；

（七）具有與所承擔項目適應的技(ji)術裝備(bei)；

（八）具有完備的保密(mi)管理(li)、項目管理(li)、質量管理(li)、人員管理(li)和培訓教育等安全管理(li)制度；

（九(jiu)）對國家安(an)全、社會秩序(xu)、公(gong)共(gong)利益不構(gou)成威脅(xie)。

第二十二條 廣東省對測(ce)評機構實施備案(an)制度。符(fu)合(he)第二十一條(tiao)規(gui)定的條(tiao)件，承擔第二級以上的計算機信息(xi)系統測(ce)評工作(zuo)的機構應當到省公(gong)安廳(ting)公(gong)共信息(xi)網絡(luo)安全監察部(bu)門備案(an)。

第二十三條 省公(gong)安(an)廳公(gong)共信息(xi)網絡安(an)全監察部(bu)門(men)對已備案的測評機構進行公(gong)布(bu)。

第二十四條 測(ce)評機構應當(dang)履行(xing)下列(lie)義務：

（一）遵(zun)守(shou)國家有關法律法規和(he)技術(shu)標(biao)準，提供安全(quan)、客觀(guan)、公正的(de)檢測(ce)評估服(fu)務(wu)，保(bao)證(zheng)測(ce)評的(de)質量和(he)效果；

（二）保守(shou)在(zai)測評活(huo)動(dong)中知(zhi)悉的國家秘密、商業秘密和個人隱私，防范(fan)測評風險；

（三）對(dui)測(ce)評人員進行(xing)安全保(bao)密教育，與其簽訂安全保(bao)密責(ze)任(ren)(ren)書，規(gui)定應當(dang)履行(xing)的安全保(bao)密義務和承擔的法律責(ze)任(ren)(ren)，并負責(ze)檢(jian)查落(luo)實(shi)。

第二十五條 第二級以上(shang)的(de)(de)計算機(ji)(ji)信(xin)(xin)息系統(tong)建設(she)完成后，使(shi)用單位應當(dang)委(wei)托符(fu)合規定的(de)(de)測(ce)評(ping)機(ji)(ji)構安全測(ce)評(ping)合格方可投入使(shi)用。測(ce)評(ping)活(huo)動應當(dang)接受公安機(ji)(ji)關公共信(xin)(xin)息網絡安全監察部門的(de)(de)監督。

第二十六條 計算機(ji)信息系統(tong)運營、使用單位委托安全測(ce)評機(ji)構(gou)測(ce)評，應當提交下列資(zi)料：

（一）安全測評(ping)委托書；

（二）計算機(ji)信息(xi)系統應用需求、系統結構拓(tuo)撲及說明、系統安(an)全組織(zhi)結構和(he)管理(li)制度、安(an)全保(bao)護(hu)設施設計實(shi)施方(fang)案或者改(gai)建(jian)實(shi)施方(fang)案、系統軟件(jian)硬件(jian)和(he)信息(xi)安(an)全產品清單。

第二十七條 安全測評(ping)機構(gou)在收到委托材料后，應當(dang)與委托方協商制訂安全測評(ping)計劃，開(kai)展安全測評(ping)工(gong)作，并出具安全測評(ping)報(bao)告。

經測(ce)評，計(ji)(ji)算機(ji)信(xin)息(xi)系統(tong)安全(quan)(quan)狀況未達到國家有(you)關(guan)規(gui)定和(he)標(biao)準的要(yao)求(qiu)，委(wei)托單位應當根(gen)據測(ce)評報告的建議，完(wan)善計(ji)(ji)算機(ji)信(xin)息(xi)系統(tong)安全(quan)(quan)建設，并重新(xin)提出安全(quan)(quan)測(ce)評委(wei)托。

測評(ping)機構對計算機信息系統進行使用(yong)前安(an)(an)全測評(ping)，應(ying)當預先報告地(di)級以上(shang)市公(gong)(gong)安(an)(an)機關公(gong)(gong)共信息網絡(luo)安(an)(an)全監察(cha)部門。安(an)(an)全測評(ping)報告由計算機信息系統運營、使用(yong)單(dan)位報地(di)級以上(shang)市公(gong)(gong)安(an)(an)機關公(gong)(gong)共信息網絡(luo)安(an)(an)全監察(cha)部門。

第二十八條 第(di)三級(ji)計算(suan)機(ji)信(xin)息系(xi)統(tong)應(ying)(ying)當(dang)每年至少進(jin)行(xing)一次安(an)全(quan)測評(ping)(ping)，第(di)四級(ji)計算(suan)機(ji)信(xin)息系(xi)統(tong)應(ying)(ying)當(dang)每半年至少進(jin)行(xing)一次安(an)全(quan)測評(ping)(ping)，第(di)五(wu)級(ji)計算(suan)機(ji)信(xin)息系(xi)統(tong)應(ying)(ying)當(dang)依(yi)據(ju)特殊安(an)全(quan)要求進(jin)行(xing)安(an)全(quan)測評(ping)(ping)。

第六章 應急處置

第二十九條 公(gong)安機關公(gong)共信(xin)息網(wang)絡安全監察部(bu)門與(yu)所在地安全服務機構、互聯網(wang)運營單位和其(qi)他計(ji)(ji)算(suan)(suan)機信(xin)息系(xi)統(tong)運營、使(shi)用單位應當建立(li)聯防機制，依法及(ji)時查處通過計(ji)(ji)算(suan)(suan)機信(xin)息系(xi)統(tong)進行的違法犯罪行為，組織處置重大突發事件。

第三十條 對計(ji)(ji)算機信息系統中發(fa)生的案(an)件和重大安全(quan)事(shi)故，計(ji)(ji)算機信息系統的運營、使用單位應當在二十四小時(shi)內報(bao)告(gao)縣級(ji)以上人民政(zheng)府公安機關公共信息網絡安全(quan)監察部門，并(bing)保(bao)留有關原始記錄。

第三十一條 第二級以上的(de)計算機(ji)信息(xi)系統運營、使用單位應當制定重(zhong)大(da)突發事件應急(ji)處置(zhi)預案并定期實施演(yan)練(lian)。

第三十二條 計算(suan)機信息系統發(fa)生(sheng)重大突發(fa)事(shi)件(jian)，有關單(dan)位應當按(an)照(zhao)應急處(chu)置預案的要求采取相應的處(chu)置措施，并服從(cong)公(gong)安機關和國家指定的專門部門的調度(du)。

第三十三條 地級市(shi)以上人民政府公(gong)安(an)機關(guan)公(gong)共信息(xi)網(wang)絡(luo)安(an)全監察部門經(jing)本(ben)機關(guan)主管領(ling)導批準(zhun)，為(wei)保護計算機信息(xi)系統安(an)全，在發(fa)生重大突發(fa)事件，危及國(guo)家安(an)全、公(gong)共安(an)全及社會穩定的緊急(ji)情況下，可以采取二(er)十四小時(shi)內暫時(shi)停機、暫停聯網(wang)、備份(fen)數(shu)據等措施。

第七章 安全培訓

第三十四條 省公安(an)(an)廳、人(ren)事廳聯(lian)合成立的省信(xin)息(xi)網絡(luo)(luo)安(an)(an)全(quan)專(zhuan)業技(ji)術人(ren)員(yuan)(yuan)繼續(xu)(xu)教(jiao)(jiao)育(yu)工作領導(dao)小組，負責全(quan)省信(xin)息(xi)網絡(luo)(luo)安(an)(an)全(quan)專(zhuan)業技(ji)術人(ren)員(yuan)(yuan)繼續(xu)(xu)教(jiao)(jiao)育(yu)工作的組織和領導(dao)。下設省信(xin)息(xi)網絡(luo)(luo)安(an)(an)全(quan)專(zhuan)業技(ji)術人(ren)員(yuan)(yuan)繼續(xu)(xu)教(jiao)(jiao)育(yu)工作辦公室，具體負責日常管理工作。

第三十五條 下列人(ren)(ren)員應當(dang)參加(jia)信息(xi)網(wang)絡安(an)全專業(ye)技術人(ren)(ren)員繼(ji)續(xu)(xu)教育(yu)，取得省信息(xi)網(wang)絡安(an)全專業(ye)技術人(ren)(ren)員繼(ji)續(xu)(xu)教育(yu)工作辦公(gong)室頒(ban)發的信息(xi)網(wang)絡安(an)全專業(ye)技術人(ren)(ren)員繼(ji)續(xu)(xu)教育(yu)合格證書(shu)，持證上崗：

（一(yi)）計(ji)算機信息系(xi)統(tong)運營、使用單位(wei)信息安(an)全管理(li)責任(ren)人、信息審查員(yuan)；

（二）互聯(lian)網接入服務(wu)(wu)、數(shu)據中心服務(wu)(wu)、信息(xi)服務(wu)(wu)、上(shang)網服務(wu)(wu)提(ti)供單位(wei)安全(quan)管理員(yuan)、專業技(ji)術人員(yuan)；

（三）安全專(zhuan)用產(chan)品生產(chan)單位專(zhuan)業技(ji)術人員；

（四）安全服務機構(gou)專業技術人(ren)員、安全服務管理(li)人(ren)員；

（五）其他從事(shi)計算機(ji)信息(xi)系統安全保護工(gong)作(zuo)的(de)人員(yuan)。

第三十六條 信(xin)息網絡安全專業技(ji)(ji)術(shu)人員(yuan)繼續教育由省信(xin)息網絡安全專業技(ji)(ji)術(shu)人員(yuan)繼續教育工作辦公室授(shou)權的施教機構(gou)(gou)負責實施。施教機構(gou)(gou)實行統(tong)籌規劃。

第三十七條 信息網絡安全專業技(ji)術人員繼續(xu)教(jiao)育培訓和考(kao)試(shi)按(an)照有關規定(ding)進行，實行統(tong)(tong)一(yi)(yi)教(jiao)學大綱，統(tong)(tong)一(yi)(yi)教(jiao)材，統(tong)(tong)一(yi)(yi)考(kao)試(shi)，統(tong)(tong)一(yi)(yi)發證。

考試合格的(de)，由(you)省信(xin)息網絡安(an)全專(zhuan)(zhuan)業技(ji)術人員繼續教(jiao)育(yu)工作辦公室發給信(xin)息網絡安(an)全專(zhuan)(zhuan)業技(ji)術人員繼續教(jiao)育(yu)證(zheng)書。

第八章 法律責任

第三十八條 違反本辦法的(de)規(gui)定，依照有(you)關法律、法規(gui)和規(gui)章處罰。

第九章 附則

第三十九條 本(ben)細則下列用語的含(han)義：實體(ti)(ti)安全，指保護計(ji)算(suan)(suan)機信息系統(tong)的環境，計(ji)算(suan)(suan)機設備、設施（含(han)網絡）以(yi)及(ji)其(qi)它(ta)媒體(ti)(ti)免遭地震、水災(zai)、火災(zai)、雷電(dian)、有害氣體(ti)(ti)和(he)其(qi)它(ta)環境事故（如電(dian)磁污(wu)染(ran)等）破壞。

運行(xing)安全，指保護計算(suan)機(ji)信息系統的信息處理過程(cheng)順利進行(xing)。

信(xin)息安全，指保障信(xin)息的完(wan)整(zheng)性(xing)、保密性(xing)、可(ke)用性(xing)和可(ke)控性(xing)。

內(nei)容(rong)安全，指確保計算機信息系統中(zhong)傳輸的信息所承(cheng)載的內(nei)容(rong)的合法性。

安全(quan)（漏(lou)洞）檢測(ce)(ce)，指利用計(ji)(ji)算機(ji)技術手(shou)段掃描、探(tan)測(ce)(ce)計(ji)(ji)算機(ji)信息系統安全(quan)漏(lou)洞。

第四十條 本辦法規定(ding)的“以上”含(han)本數。

第四十一條 本辦法規定的有(you)關表(biao)格(ge)和證書由省(sheng)公安(an)廳制定式樣，統(tong)一監制。

第四十二條 本辦法(fa)由(you)省公安廳負責解釋。

第四十三條 本辦法自(zi)2008年12月1日起(qi)施行。