廣東省公安廳關于計算機信息系統安全保護的實施辦法

（廣東省(sheng)公安(an)廳(ting)2008年(nian)9月27日(ri)(ri)以粵(yue)公通字〔2008〕228號發布 自2008年(nian)12月1日(ri)(ri)起施(shi)行(xing)）

第一章 總則

第一條 為保護(hu)計算(suan)(suan)機(ji)信息(xi)系統安(an)全(quan)，促進信息(xi)化建設的健康(kang)發(fa)展，貫徹落實《廣東省計算(suan)(suan)機(ji)信息(xi)系統安(an)全(quan)保護(hu)條(tiao)例》，根據(ju)有關法律法規(gui)，制定本辦(ban)法。

第二條 本(ben)辦法適(shi)用(yong)于廣東省行政區域(yu)內計算機(ji)信息系(xi)統(tong)的(de)安全(quan)保(bao)護(hu)。

第三條 縣(xian)級以上人民政府公安(an)(an)機關(guan)公共信息網絡(luo)安(an)(an)全(quan)監察部門具(ju)體負責(ze)本(ben)行(xing)政區(qu)域(yu)內計算機信息系統的安(an)(an)全(quan)保護(hu)監管工作。

第二章 安全監督

第四條 公(gong)安(an)機(ji)關公(gong)共(gong)信息(xi)網絡安(an)全監察部門對計算機(ji)信息(xi)系(xi)統安(an)全保(bao)護工作行使下列職責：

（一(yi)）監督、檢查、指導計算機信(xin)息系統安(an)全(quan)保護(hu)工作(zuo)；

（二）組織開(kai)展(zhan)計算機信息系(xi)統(tong)安全等級保護(hu)；

（三(san)）查處計算機(ji)違(wei)法犯罪案件；

（四）組(zu)織(zhi)處置重大(da)計算機信息系(xi)統安全(quan)事(shi)故和(he)事(shi)件；

（五(wu)）負(fu)責計(ji)算機病(bing)毒(du)和其他有害數(shu)據(ju)防治管(guan)理(li)；

（六）負責計算(suan)機信息系統安全(quan)服務(wu)的監(jian)督指導；

（七）負責(ze)計算機信息系統安(an)全專用產(chan)品的監督管理；

（八）負責計(ji)算機信息系(xi)統(tong)安(an)全培訓管理；

（九）法律、法規和規章規定的其他職責。

第五條 公安(an)(an)機(ji)關(guan)公共信(xin)息網絡安(an)(an)全(quan)(quan)監察(cha)部(bu)門(men)應當對計(ji)算機(ji)信(xin)息系統落實(shi)實(shi)體安(an)(an)全(quan)(quan)、運(yun)行安(an)(an)全(quan)(quan)、信(xin)息安(an)(an)全(quan)(quan)和內容安(an)(an)全(quan)(quan)措施的情況進行檢(jian)查。

對第三級(ji)計(ji)算機(ji)信(xin)息系統每年至(zhi)少檢(jian)查(cha)一次(ci)，對第四(si)級(ji)計(ji)算機(ji)信(xin)息系統每半年至(zhi)少檢(jian)查(cha)一次(ci)。對第五級(ji)計(ji)算機(ji)信(xin)息系統，應當會(hui)同國家指定的專門部(bu)門進行檢(jian)查(cha)。

對其(qi)他計算機信息系(xi)統應當不定期開展(zhan)檢查。

第六條 公安機關公共信(xin)息網絡(luo)安全監察部門發現計(ji)算機信(xin)息系統(tong)的安全保護等級和安全措(cuo)施(shi)不符合有(you)關規定和技(ji)術標(biao)準，或者存在(zai)安全隱患的，應當通(tong)知運營、使用(yong)單位進(jin)行整改。

第七條 公(gong)安(an)機關公(gong)共(gong)信息(xi)網絡安(an)全(quan)監察部門應當向公(gong)眾提供報警求(qiu)助(zhu)渠(qu)道，提供計(ji)算機信息(xi)系統安(an)全(quan)指(zhi)導，發布安(an)全(quan)動態(tai)，開展(zhan)安(an)全(quan)宣(xuan)傳。

第三章 安全保護責任

第八條 單位和個人應(ying)當(dang)依照有關法規、規章和標準，對(dui)其所(suo)有、使用和管理的計算(suan)機信息(xi)系統承擔(dan)相(xiang)應(ying)的安全保護(hu)責(ze)任。

第九條 第(di)二級以上(shang)計算機信息(xi)系統的運營(ying)、使用單位(wei)應當建立安全保護組織，并報所在地地級以上(shang)市人民(min)政府公安機關公共信息(xi)網絡安全監察部門備案。

第十條 安(an)(an)全(quan)保護組(zu)織保障本單位(wei)計算(suan)(suan)機(ji)信(xin)(xin)息系(xi)(xi)統(tong)(tong)的安(an)(an)全(quan)運行(xing)，組(zu)織本單位(wei)計算(suan)(suan)機(ji)信(xin)(xin)息系(xi)(xi)統(tong)(tong)的有害信(xin)(xin)息防治工作，組(zu)織開展本單位(wei)計算(suan)(suan)機(ji)信(xin)(xin)息系(xi)(xi)統(tong)(tong)安(an)(an)全(quan)教(jiao)育和(he)培訓，向公安(an)(an)機(ji)關(guan)公共(gong)信(xin)(xin)息網絡安(an)(an)全(quan)監察部門報告本單位(wei)計算(suan)(suan)機(ji)信(xin)(xin)息系(xi)(xi)統(tong)(tong)運行(xing)、服務和(he)安(an)(an)全(quan)等情況(kuang)，及時協(xie)助(zhu)公安(an)(an)機(ji)關(guan)公共(gong)信(xin)(xin)息網絡安(an)(an)全(quan)監察部門查(cha)處違法犯罪和(he)處置(zhi)突發(fa)事件。

第十一條 互(hu)聯(lian)單位、互(hu)聯(lian)網接(jie)入(ru)服(fu)務(wu)單位、互(hu)聯(lian)網數據中(zhong)心應當(dang)對接(jie)入(ru)本網絡(luo)的(de)用戶進行資格審(shen)查，確認符(fu)合國(guo)家和省有關(guan)規定后(hou)方可為(wei)其提供服(fu)務(wu)。

互(hu)聯網接入服務、信(xin)息服務單位以及互(hu)聯網數(shu)據中心應當向用戶(hu)宣傳相關法律(lv)法規(gui)，提供(gong)必(bi)要的安全保護措施。

第十二條 個人(ren)主頁、博客、聊天室、點對點服務(wu)等(deng)互聯網信息服務(wu)的提供單位(wei)和使(shi)用者應(ying)當依照國(guo)家和省有關規定，落實相應(ying)的安全(quan)措施。

第十三條 網(wang)吧、圖書館、學校(xiao)、賓館等(deng)提(ti)供互聯網(wang)上(shang)網(wang)服(fu)務(wu)的場所(suo)應當(dang)安(an)裝符(fu)合國家規定(ding)的安(an)全管理系統。

第十四條 互(hu)(hu)聯單位(wei)、互(hu)(hu)聯網(wang)(wang)接(jie)(jie)入服務單位(wei)以及互(hu)(hu)聯網(wang)(wang)數據(ju)中心應當每(mei)月(yue)將(jiang)接(jie)(jie)入本網(wang)(wang)絡的用戶情況(kuang)報(bao)地級以上市公(gong)安(an)機關公(gong)共信息網(wang)(wang)絡安(an)全監察(cha)部(bu)門備案。

第十五條 計算機信(xin)(xin)息(xi)系(xi)統運(yun)營、使用單位應當(dang)接受(shou)公安機關(guan)公共信(xin)(xin)息(xi)網(wang)絡(luo)安全(quan)(quan)監(jian)察(cha)部(bu)門的監(jian)督、檢查(cha)、指導，如實(shi)提(ti)供安全(quan)(quan)保(bao)護有關(guan)信(xin)(xin)息(xi)、資料及數據(ju)文件，不得變相拒絕、拖延(yan)、阻礙公安機關(guan)公共信(xin)(xin)息(xi)網(wang)絡(luo)安全(quan)(quan)監(jian)察(cha)部(bu)門依法執行(xing)公務。

第四章 安全專用產品和安全服務

第十六條 安全專用產品(pin)必須(xu)取得公安部頒發的銷售(shou)許可(ke)證方可(ke)銷售(shou)。

第十七條 生產、銷售或者(zhe)提供含有計(ji)算機信息(xi)網絡(luo)遠程控制、密(mi)碼猜(cai)解、安(an)全（漏洞(dong)）檢(jian)測、信息(xi)群發(fa)技術的產品(pin)和工具的，應(ying)當(dang)在領取(qu)營業執(zhi)照后30日內(nei)（沒(mei)有營業執(zhi)照的，自開辦之日起30日內(nei)）向單位所在地地級以上市(shi)人(ren)民政府公安(an)機關公共信息(xi)網絡(luo)安(an)全監(jian)察部門備案，填寫《廣東(dong)省計(ji)算機信息(xi)網絡(luo)安(an)全特種(zhong)技術備案表》，并(bing)提交如下資料：

（一）單位簡況；

（二）營(ying)業執照（或其他有效證明(ming)）復印(yin)件；

（三(san)）研發和服(fu)務管(guan)理(li)制度；

（四）主要經營管理人(ren)(ren)員(yuan)(yuan)、技術人(ren)(ren)員(yuan)(yuan)和服務(wu)人(ren)(ren)員(yuan)(yuan)有(you)效證件復印(yin)件；

（五）主要產品(pin)情況。

第十八條 安全保(bao)護等(deng)級(ji)為第(di)三級(ji)以上(shang)的計(ji)算(suan)機信息系統應(ying)當(dang)選用符(fu)合下列(lie)條件的安全專用產品(pin)：

（一）產品研制、生產單位是由中國公民、法人(ren)投(tou)資或者國家投(tou)資或者控股(gu)的(de)，在中華人(ren)民共(gong)和國境(jing)內(nei)具有獨立的(de)法人(ren)資格(ge)；

（二）產品的(de)核心技(ji)術、關鍵(jian)部件具有我(wo)國(guo)自主(zhu)知(zhi)識產權；

（三）產品研(yan)制(zhi)、生產單位(wei)及其主要業(ye)務、技術(shu)人員(yuan)無犯罪記錄；

（四）產(chan)品研制、生產(chan)單位聲明(ming)沒(mei)有故(gu)意留有或者(zhe)設置(zhi)漏洞、后門、木馬等(deng)程(cheng)序和功(gong)能；

（五）對國家安全、社會秩序、公共(gong)利益不(bu)構成危害。

第十九條 符合第十八條規定的安全專(zhuan)用(yong)產品和生產單位應當到省(sheng)公安廳公共信息網絡(luo)安全監察(cha)部門備案。

第二十條 為加強安全服務(wu)機構的指(zhi)導(dao)，推動(dong)安全服務(wu)質量和技術水平(ping)的提高(gao)，廣東省對從(cong)事計(ji)算(suan)機信息系統安全設計(ji)、建設、檢測、評估等安全服務(wu)的機構，根據其注冊(ce)資本、服務(wu)業績、技術力量、組織管理情況實(shi)行(xing)分級(ji)指(zhi)導(dao)。

第五章 安全等級測評

第二十一條 第二級以上(shang)的計算(suan)機信息系統(tong)的安全(quan)測(ce)(ce)評(ping)應當選(xuan)擇符合(he)下列條(tiao)件(jian)的計算(suan)機信息系統(tong)安全(quan)等級測(ce)(ce)評(ping)機構(gou)（簡(jian)稱測(ce)(ce)評(ping)機構(gou)）承擔：

（一）在中華人民共和國境內注冊成立（港澳臺地區除外），具有相應經(jing)營范圍的營業執照(zhao)，注冊資本100萬(wan)元以上；

（二）由中(zhong)國公(gong)民(min)投(tou)資、中(zhong)國法人投(tou)資或者(zhe)國家投(tou)資的企事(shi)業單位（港澳臺地區除外）；

（三(san)）近3年(nian)完成的測評項目總值150萬元以上；

（四(si)）具(ju)有計(ji)算機(ji)安全或(huo)相關專(zhuan)業資格證書的專(zhuan)業技術人(ren)員不少于20人(ren)，其中(zhong)大學(xue)本科以上學(xue)歷的人(ren)員不少于15人(ren)；

（五）管理(li)人員應當具有3年以上(shang)從事(shi)計算機(ji)(ji)信(xin)(xin)息系(xi)統(tong)安(an)全技(ji)術領域(yu)企業(ye)(ye)管理(li)工作經歷(li)，技(ji)術負責人已(yi)獲得計算機(ji)(ji)信(xin)(xin)息系(xi)統(tong)安(an)全技(ji)術相關專業(ye)(ye)的(de)高級職稱，從事(shi)安(an)全測評(ping)工作不少于3年，無犯罪(zui)記錄；

（六）工作人(ren)員僅(jin)限于中國公民，法(fa)人(ren)及主要業(ye)務、技(ji)術人(ren)員無犯(fan)罪記(ji)錄；

（七）具有與(yu)所承擔項目適(shi)應的(de)技(ji)術裝備；

（八(ba)）具有完(wan)備的保密管(guan)理、項目(mu)管(guan)理、質量管(guan)理、人員管(guan)理和培訓教育等安全(quan)管(guan)理制度；

（九）對(dui)國家(jia)安全、社會秩序、公共利(li)益不構成威脅。

第二十二條 廣(guang)東省(sheng)對(dui)測(ce)評機構(gou)實(shi)施備案制度。符(fu)合(he)第(di)二十一條規定的條件，承擔第(di)二級以上(shang)的計算機信(xin)息(xi)系統測(ce)評工(gong)作的機構(gou)應當到省(sheng)公安廳公共(gong)信(xin)息(xi)網絡安全監察部門備案。

第二十三條 省公(gong)(gong)安(an)廳(ting)公(gong)(gong)共(gong)信(xin)息(xi)網(wang)絡安(an)全監察部門(men)對已備案的測評機構進行(xing)公(gong)(gong)布。

第二十四條 測評機構應當履行下(xia)列義務：

（一）遵守國家(jia)有關法(fa)(fa)律法(fa)(fa)規和(he)(he)技術標(biao)準(zhun)，提供安全、客觀(guan)、公正的檢測評估服務，保(bao)證(zheng)測評的質量和(he)(he)效果(guo)；

（二）保守在測評活動(dong)中知(zhi)悉的國家秘密、商業秘密和(he)個人隱私，防范(fan)測評風(feng)險；

（三）對測評人員進行安全(quan)保密(mi)教育，與(yu)其簽訂安全(quan)保密(mi)責(ze)任(ren)書，規(gui)定應當履行的安全(quan)保密(mi)義務和承擔的法律責(ze)任(ren)，并負責(ze)檢查落實。

第二十五條 第二級以上的計算機信息(xi)系統建設完成后，使(shi)用單位應(ying)當委(wei)托符合規定的測評(ping)機構安全測評(ping)合格方可投入使(shi)用。測評(ping)活動應(ying)當接受公安機關公共信息(xi)網絡安全監察部(bu)門(men)的監督。

第二十六條 計算機(ji)信息系統運(yun)營、使(shi)用單(dan)位(wei)委托安全(quan)測評機(ji)構(gou)測評，應(ying)當提(ti)交下列資料：

（一）安全測評(ping)委托書；

（二）計算機信息系(xi)統(tong)應用需求、系(xi)統(tong)結構(gou)拓(tuo)撲及(ji)說(shuo)明、系(xi)統(tong)安全組織結構(gou)和管(guan)理制度、安全保護(hu)設(she)施設(she)計實施方案或(huo)者改(gai)建實施方案、系(xi)統(tong)軟件硬件和信息安全產品清單。

第二十七條 安全測(ce)評機構(gou)在收到(dao)委(wei)(wei)托材料后(hou)，應當與委(wei)(wei)托方協商制訂安全測(ce)評計劃(hua)，開展(zhan)安全測(ce)評工作，并(bing)出具安全測(ce)評報告。

經測(ce)評(ping)，計(ji)(ji)算機(ji)信息系(xi)統(tong)安全狀況未達(da)到國家有關(guan)規定和(he)標(biao)準(zhun)的要求，委托單位(wei)應(ying)當根據測(ce)評(ping)報(bao)告的建(jian)議(yi)，完善計(ji)(ji)算機(ji)信息系(xi)統(tong)安全建(jian)設(she)，并重新提(ti)出安全測(ce)評(ping)委托。

測(ce)評機(ji)(ji)構對計(ji)算機(ji)(ji)信息(xi)系統進行使用(yong)前安全測(ce)評，應當預(yu)先報告地(di)級以上市(shi)公安機(ji)(ji)關公共(gong)信息(xi)網絡安全監察(cha)部門。安全測(ce)評報告由計(ji)算機(ji)(ji)信息(xi)系統運營、使用(yong)單(dan)位報地(di)級以上市(shi)公安機(ji)(ji)關公共(gong)信息(xi)網絡安全監察(cha)部門。

第二十八條 第三級(ji)計算機信息(xi)系統(tong)應(ying)當每年(nian)至(zhi)少(shao)進(jin)行一次(ci)安(an)(an)全測評(ping)，第四(si)級(ji)計算機信息(xi)系統(tong)應(ying)當每半年(nian)至(zhi)少(shao)進(jin)行一次(ci)安(an)(an)全測評(ping)，第五級(ji)計算機信息(xi)系統(tong)應(ying)當依(yi)據特殊安(an)(an)全要(yao)求進(jin)行安(an)(an)全測評(ping)。

第六章 應急處置

第二十九條 公安(an)機(ji)關公共信息(xi)網(wang)絡(luo)安(an)全監察部(bu)門與所在地安(an)全服務機(ji)構、互(hu)聯網(wang)運營單(dan)位和(he)其(qi)他計(ji)算機(ji)信息(xi)系(xi)統運營、使用(yong)單(dan)位應當建立聯防(fang)機(ji)制，依法(fa)(fa)及時查處通過計(ji)算機(ji)信息(xi)系(xi)統進行的(de)違法(fa)(fa)犯罪行為，組織處置重大突(tu)發(fa)事件。

第三十條 對計算機(ji)信(xin)(xin)(xin)息系(xi)統中發(fa)生的(de)案件和(he)重大安全事故，計算機(ji)信(xin)(xin)(xin)息系(xi)統的(de)運營、使用單位應當在二十四(si)小時內(nei)報(bao)告縣級(ji)以上人民政(zheng)府公安機(ji)關(guan)公共信(xin)(xin)(xin)息網絡安全監察部(bu)門，并保(bao)留有關(guan)原始記錄。

第三十一條 第二級以(yi)上(shang)的計算(suan)機信息(xi)系(xi)統運營、使用單位(wei)應當制(zhi)定重大突發(fa)事件應急處置預案并定期實施演(yan)練。

第三十二條 計算(suan)機(ji)信(xin)息系統(tong)發生重大突發事件，有關(guan)單位(wei)應當按照(zhao)應急處置預案的(de)要求采取相應的(de)處置措施，并(bing)服(fu)從公安機(ji)關(guan)和國家指定的(de)專門部門的(de)調度。

第三十三條 地級市以上人民政府公安(an)機關(guan)公共信息網絡安(an)全監察部(bu)門經本機關(guan)主管領導批準(zhun)，為保護計(ji)算機信息系統安(an)全，在發生(sheng)重大突發事件，危及國家安(an)全、公共安(an)全及社(she)會穩定的緊急情況下，可以采取二十四小時內暫時停(ting)機、暫停(ting)聯網、備份數據等措施。

第七章 安全培訓

第三十四條 省公安(an)(an)(an)廳(ting)、人事廳(ting)聯合成(cheng)立的(de)省信息(xi)網絡(luo)安(an)(an)(an)全專業技(ji)術人員(yuan)繼(ji)(ji)續(xu)教育(yu)工作(zuo)(zuo)領導(dao)小組，負責全省信息(xi)網絡(luo)安(an)(an)(an)全專業技(ji)術人員(yuan)繼(ji)(ji)續(xu)教育(yu)工作(zuo)(zuo)的(de)組織(zhi)和領導(dao)。下設(she)省信息(xi)網絡(luo)安(an)(an)(an)全專業技(ji)術人員(yuan)繼(ji)(ji)續(xu)教育(yu)工作(zuo)(zuo)辦公室，具體負責日常管理工作(zuo)(zuo)。

第三十五條 下列(lie)人員(yuan)(yuan)應當參加信(xin)息(xi)(xi)網(wang)絡(luo)安(an)全專(zhuan)(zhuan)業技術(shu)人員(yuan)(yuan)繼續(xu)(xu)教(jiao)育，取得省信(xin)息(xi)(xi)網(wang)絡(luo)安(an)全專(zhuan)(zhuan)業技術(shu)人員(yuan)(yuan)繼續(xu)(xu)教(jiao)育工作(zuo)辦(ban)公室(shi)頒(ban)發的信(xin)息(xi)(xi)網(wang)絡(luo)安(an)全專(zhuan)(zhuan)業技術(shu)人員(yuan)(yuan)繼續(xu)(xu)教(jiao)育合格(ge)證書，持證上崗：

（一）計算機信(xin)息系統運營、使用(yong)單(dan)位信(xin)息安全(quan)管(guan)理責任人、信(xin)息審查員(yuan)；

（二）互聯網接入服務、數據中心服務、信息服務、上(shang)網服務提供單位安全管理(li)員(yuan)、專業技(ji)術人(ren)員(yuan)；

（三(san)）安全專用(yong)產品生產單位專業(ye)技術人員(yuan)；

（四）安全服(fu)務機構專(zhuan)業技術人員、安全服(fu)務管理人員；

（五(wu)）其他從事計算機信(xin)息系統安全保護工作的人員。

第三十六條 信息網(wang)絡安(an)全專業技(ji)術人員(yuan)繼續教(jiao)育由(you)省信息網(wang)絡安(an)全專業技(ji)術人員(yuan)繼續教(jiao)育工作辦公室授(shou)權(quan)的施教(jiao)機構(gou)負責實施。施教(jiao)機構(gou)實行統籌規劃(hua)。

第三十七條 信息網(wang)絡安全專業技(ji)術人(ren)員繼續教育(yu)培訓和考(kao)試(shi)按照(zhao)有關(guan)規定進行(xing)，實行(xing)統(tong)(tong)一(yi)教學大綱，統(tong)(tong)一(yi)教材(cai)，統(tong)(tong)一(yi)考(kao)試(shi)，統(tong)(tong)一(yi)發(fa)證。

考試合(he)格的，由省信息網絡(luo)安(an)全專業(ye)技術人(ren)員繼續教育(yu)工作辦(ban)公(gong)室發給信息網絡(luo)安(an)全專業(ye)技術人(ren)員繼續教育(yu)證書。

第八章 法律責任

第三十八條 違反本辦(ban)法的規定，依照有關法律(lv)、法規和規章(zhang)處罰。

第九章 附則

第三十九條 本(ben)細則下(xia)列(lie)用(yong)語(yu)的(de)含義：實體安全，指保(bao)護計(ji)算機信息系統的(de)環(huan)(huan)境(jing)，計(ji)算機設(she)備、設(she)施（含網(wang)絡）以(yi)及其它媒體免遭地(di)震、水災、火災、雷電、有(you)害氣體和(he)其它環(huan)(huan)境(jing)事(shi)故（如電磁污染(ran)等）破壞。

運行安全，指保護(hu)計(ji)算機信息系統的信息處理過程順利進行。

信息(xi)安全，指保(bao)(bao)障信息(xi)的完整性(xing)(xing)、保(bao)(bao)密性(xing)(xing)、可用性(xing)(xing)和可控性(xing)(xing)。

內容安全，指確保計算(suan)機信息(xi)系統中傳(chuan)輸的信息(xi)所承載的內容的合法性(xing)。

安(an)全（漏洞(dong)(dong)）檢測，指利用(yong)計算(suan)(suan)機技術手段(duan)掃描、探測計算(suan)(suan)機信息(xi)系統安(an)全漏洞(dong)(dong)。

第四十條 本辦法(fa)規定的(de)“以上”含本數。

第四十一條 本(ben)辦(ban)法規定的有(you)關表(biao)格和證書由省公安廳制定式樣，統一監制。

第四十二條 本(ben)辦法(fa)由(you)省(sheng)公安廳(ting)負責解釋。

第四十三條 本(ben)辦(ban)法(fa)自(zi)2008年(nian)12月1日(ri)起施行。