廣東省公安廳關于計算機信息系統安全保護的實施辦法

（廣(guang)東省公安廳(ting)2008年9月27日以粵公通字〔2008〕228號發布 自2008年12月1日起(qi)施行）

第一章 總則

第一條 為(wei)保(bao)護計(ji)(ji)算機信(xin)息系統安全(quan)(quan)，促(cu)進信(xin)息化(hua)建設(she)的(de)健(jian)康發展，貫(guan)徹落實《廣東省計(ji)(ji)算機信(xin)息系統安全(quan)(quan)保(bao)護條(tiao)例(li)》，根(gen)據有關(guan)法律法規，制定本辦法。

第二條 本辦法適用于(yu)廣東省行政區域內(nei)計算機信(xin)息系統的安全保護。

第三條 縣(xian)級(ji)以上(shang)人(ren)民政府公(gong)安(an)機(ji)(ji)關公(gong)共信息(xi)(xi)網絡(luo)安(an)全監察部門具(ju)體負責本行政區(qu)域內(nei)計算機(ji)(ji)信息(xi)(xi)系統的安(an)全保護監管工(gong)作。

第二章 安全監督

第四條 公安機關(guan)公共信(xin)息(xi)網絡安全(quan)監察部門對計算機信(xin)息(xi)系統安全(quan)保護工作行使下列職責：

（一）監督、檢查、指(zhi)導計算機信息系統(tong)安全保(bao)護工作；

（二）組織開展計算機(ji)信息系統(tong)安(an)全等級(ji)保護；

（三）查(cha)處計算機違法(fa)犯(fan)罪案件；

（四）組織處(chu)置(zhi)重大(da)計(ji)算機(ji)信息系統(tong)安全事故和事件；

（五）負責計算(suan)機病(bing)毒和其他有害數據防治(zhi)管理；

（六(liu)）負責計算機信息系統(tong)安全(quan)服(fu)務(wu)的監督指導；

（七(qi)）負責計算機信(xin)息系統安全(quan)專用產品的監督管理(li)；

（八(ba)）負責計算機信息系統(tong)安(an)全(quan)培訓管(guan)理(li)；

（九(jiu)）法律、法規(gui)和(he)規(gui)章規(gui)定的其(qi)他職責。

第五條 公安機(ji)關公共(gong)信(xin)(xin)息(xi)網(wang)絡安全(quan)監(jian)察部門應當對(dui)計算機(ji)信(xin)(xin)息(xi)系(xi)統落實實體安全(quan)、運行安全(quan)、信(xin)(xin)息(xi)安全(quan)和內容安全(quan)措(cuo)施的情況進行檢查。

對(dui)第三級計算(suan)機信息系(xi)統(tong)每年至少(shao)檢(jian)查(cha)(cha)一次，對(dui)第四(si)級計算(suan)機信息系(xi)統(tong)每半年至少(shao)檢(jian)查(cha)(cha)一次。對(dui)第五(wu)級計算(suan)機信息系(xi)統(tong)，應當會同國家指定(ding)的專門部門進行檢(jian)查(cha)(cha)。

對其(qi)他計算機信息系統應當不定期(qi)開展檢查(cha)。

第六條 公(gong)安機關公(gong)共信息網絡(luo)安全監察部門發(fa)現計(ji)算機信息系(xi)統的安全保護等級和安全措施不符合有(you)關規定和技術標準，或者存在安全隱患的，應當通知運營、使用單位進(jin)行整(zheng)改。

第七條 公安機關公共(gong)信息(xi)網(wang)絡安全監察部門應當向公眾提(ti)供報(bao)警(jing)求助渠道，提(ti)供計算機信息(xi)系統安全指導，發布安全動態，開展安全宣傳。

第三章 安全保護責任

第八條 單位和(he)個人應當依(yi)照有(you)關法(fa)規(gui)、規(gui)章和(he)標(biao)準(zhun)，對其所有(you)、使用和(he)管理的計算機(ji)信息(xi)系統承擔相(xiang)應的安(an)全保護責任(ren)。

第九條 第(di)二(er)級以上(shang)計算機信息系(xi)統的運營、使用(yong)單位應當(dang)建立安全(quan)保(bao)護組(zu)織，并報所在(zai)地地級以上(shang)市人民政府(fu)公(gong)安機關公(gong)共信息網絡(luo)安全(quan)監察部門備(bei)案。

第十條 安(an)(an)全(quan)(quan)(quan)(quan)保(bao)護組織保(bao)障本單(dan)(dan)位計(ji)算(suan)機(ji)信(xin)(xin)息(xi)系(xi)統的(de)安(an)(an)全(quan)(quan)(quan)(quan)運行，組織本單(dan)(dan)位計(ji)算(suan)機(ji)信(xin)(xin)息(xi)系(xi)統的(de)有(you)害信(xin)(xin)息(xi)防治工作(zuo)，組織開展本單(dan)(dan)位計(ji)算(suan)機(ji)信(xin)(xin)息(xi)系(xi)統安(an)(an)全(quan)(quan)(quan)(quan)教育(yu)和培訓(xun)，向公(gong)安(an)(an)機(ji)關(guan)公(gong)共信(xin)(xin)息(xi)網絡安(an)(an)全(quan)(quan)(quan)(quan)監察部門報(bao)告本單(dan)(dan)位計(ji)算(suan)機(ji)信(xin)(xin)息(xi)系(xi)統運行、服務和安(an)(an)全(quan)(quan)(quan)(quan)等(deng)情(qing)況，及時協助公(gong)安(an)(an)機(ji)關(guan)公(gong)共信(xin)(xin)息(xi)網絡安(an)(an)全(quan)(quan)(quan)(quan)監察部門查處(chu)違(wei)法(fa)犯罪和處(chu)置(zhi)突發事件。

第十一條 互聯單(dan)位、互聯網(wang)接入服(fu)務單(dan)位、互聯網(wang)數據中心應當對接入本(ben)網(wang)絡的用戶進行資(zi)格審查，確認符(fu)合國家和省有關規(gui)定后方可為(wei)其提供(gong)服(fu)務。

互(hu)聯網接(jie)入(ru)服務、信(xin)息服務單(dan)位(wei)以及(ji)互(hu)聯網數據中心應當(dang)向用戶宣傳(chuan)相關(guan)法(fa)律(lv)法(fa)規，提(ti)供必要的安(an)全保護(hu)措施。

第十二條 個(ge)人(ren)主頁、博客、聊天室、點對(dui)點服(fu)(fu)務等互聯網(wang)信息服(fu)(fu)務的提供單位(wei)和(he)使用(yong)者(zhe)應(ying)當依照國家和(he)省(sheng)有關規定，落(luo)實(shi)相(xiang)應(ying)的安全(quan)措施。

第十三條 網吧、圖書館、學校、賓(bin)館等提供互聯網上網服(fu)務(wu)的場所應當安裝符合國家規(gui)定的安全管理系統(tong)。

第十四條 互(hu)聯(lian)單位(wei)、互(hu)聯(lian)網接入服務單位(wei)以(yi)及互(hu)聯(lian)網數(shu)據中心應當每月將接入本網絡(luo)的用(yong)戶(hu)情(qing)況報地級(ji)以(yi)上市公(gong)安機關公(gong)共信息網絡(luo)安全監察(cha)部(bu)門備案。

第十五條 計算機(ji)信(xin)息(xi)系統運營、使用單位(wei)應當(dang)接受公(gong)(gong)安(an)機(ji)關(guan)(guan)公(gong)(gong)共(gong)信(xin)息(xi)網絡安(an)全(quan)監(jian)察部(bu)門的監(jian)督、檢查、指導，如實提供安(an)全(quan)保(bao)護有關(guan)(guan)信(xin)息(xi)、資料(liao)及(ji)數據文件，不得(de)變(bian)相拒絕(jue)、拖延(yan)、阻礙公(gong)(gong)安(an)機(ji)關(guan)(guan)公(gong)(gong)共(gong)信(xin)息(xi)網絡安(an)全(quan)監(jian)察部(bu)門依法執行公(gong)(gong)務。

第四章 安全專用產品和安全服務

第十六條 安(an)全專(zhuan)用(yong)產品必須取得公安(an)部(bu)頒發(fa)的(de)銷售(shou)許可(ke)證方(fang)可(ke)銷售(shou)。

第十七條 生產、銷售或者提(ti)供含有計算(suan)機信(xin)息(xi)網絡遠程(cheng)控制、密碼猜解、安(an)(an)全(quan)（漏洞）檢測(ce)、信(xin)息(xi)群發技術的(de)(de)產品和工具的(de)(de)，應當(dang)在領取營(ying)業執照后30日(ri)內（沒(mei)有營(ying)業執照的(de)(de)，自開辦之日(ri)起(qi)30日(ri)內）向(xiang)單位(wei)所在地地級(ji)以上市人民政府公安(an)(an)機關(guan)公共信(xin)息(xi)網絡安(an)(an)全(quan)監(jian)察部門備案，填寫(xie)《廣東省計算(suan)機信(xin)息(xi)網絡安(an)(an)全(quan)特種技術備案表》，并(bing)提(ti)交如下資料：

（一）單位簡況；

（二）營業執照(zhao)（或其(qi)他有效證明）復印件；

（三）研發(fa)和服務管理(li)制度；

（四）主要經營(ying)管理人(ren)員、技術人(ren)員和(he)服務(wu)人(ren)員有效證件復印件；

（五）主要(yao)產品(pin)情況。

第十八條 安(an)全(quan)保護等(deng)級為第三級以上的計(ji)算機信息(xi)系統應當選用(yong)符合(he)下(xia)列條件的安(an)全(quan)專用(yong)產品：

（一）產(chan)(chan)品研制、生產(chan)(chan)單(dan)位是由中國(guo)公民、法人投資或者(zhe)國(guo)家投資或者(zhe)控股(gu)的(de)，在(zai)中華人民共(gong)和國(guo)境(jing)內具有獨立的(de)法人資格；

（二）產(chan)品的核心技術(shu)、關鍵(jian)部件具有(you)我國(guo)自主知識產(chan)權；

（三）產(chan)品研制(zhi)、生產(chan)單位及其主要業務、技術人(ren)員無(wu)犯罪記錄；

（四(si)）產品研制、生(sheng)產單位聲(sheng)明沒有故意留有或者設(she)置(zhi)漏洞、后門、木(mu)馬等程序和功能；

（五）對國家安全、社會(hui)秩序(xu)、公共利益(yi)不構成危(wei)害。

第十九條 符合第十八條規(gui)定的安(an)全專(zhuan)用產品和生產單位應(ying)當到(dao)省公安(an)廳公共信息網(wang)絡安(an)全監(jian)察部門備案。

第二十條 為加強安全(quan)服務(wu)機(ji)構的指導，推動安全(quan)服務(wu)質(zhi)量和技(ji)術水平的提(ti)高，廣東省對(dui)從事(shi)計(ji)算機(ji)信息系統安全(quan)設(she)計(ji)、建設(she)、檢測、評估等安全(quan)服務(wu)的機(ji)構，根據其注(zhu)冊資本、服務(wu)業績、技(ji)術力(li)量、組織(zhi)管理情況實行分級指導。

第五章 安全等級測評

第二十一條 第二級(ji)以上的計(ji)算(suan)(suan)機(ji)信(xin)息系統(tong)的安全測評(ping)(ping)應當選擇符合下列(lie)條件的計(ji)算(suan)(suan)機(ji)信(xin)息系統(tong)安全等級(ji)測評(ping)(ping)機(ji)構（簡稱測評(ping)(ping)機(ji)構）承擔：

（一(yi)）在中華人(ren)民共和國境內注(zhu)冊(ce)成立（港(gang)澳臺地區(qu)除外），具有相應經(jing)營(ying)范(fan)圍的營(ying)業執照，注(zhu)冊(ce)資本100萬(wan)元(yuan)以上；

（二）由中(zhong)國公民投(tou)(tou)資、中(zhong)國法(fa)人投(tou)(tou)資或(huo)者國家(jia)投(tou)(tou)資的企事(shi)業單位（港澳臺地區除(chu)外）；

（三）近3年完成的測評(ping)項目總值150萬元(yuan)以上；

（四）具有(you)計算機安全或(huo)相關(guan)專(zhuan)業(ye)(ye)資格證書(shu)的(de)專(zhuan)業(ye)(ye)技術人員不(bu)少于(yu)20人，其中大學本科以上學歷(li)的(de)人員不(bu)少于(yu)15人；

（五）管(guan)(guan)理人員(yuan)應(ying)當具有3年以上(shang)從事(shi)計算(suan)機信(xin)息(xi)系(xi)統(tong)安(an)全(quan)(quan)(quan)技(ji)術(shu)領域企業(ye)管(guan)(guan)理工作(zuo)經歷，技(ji)術(shu)負責人已(yi)獲得計算(suan)機信(xin)息(xi)系(xi)統(tong)安(an)全(quan)(quan)(quan)技(ji)術(shu)相關(guan)專(zhuan)業(ye)的高(gao)級職稱，從事(shi)安(an)全(quan)(quan)(quan)測(ce)評工作(zuo)不少于(yu)3年，無犯罪記錄；

（六）工作人員僅限于中國公(gong)民，法人及主要(yao)業務、技術人員無(wu)犯罪記錄(lu)；

（七）具有與所承擔項目(mu)適(shi)應(ying)的技(ji)術裝備；

（八）具有完備(bei)的保密管理(li)、項目管理(li)、質量管理(li)、人員管理(li)和培(pei)訓教育(yu)等安全管理(li)制(zhi)度；

（九）對國(guo)家安全、社(she)會秩序、公共(gong)利益不構成威脅(xie)。

第二十二條 廣東省對測評(ping)機(ji)構實施(shi)備(bei)案制度。符(fu)合第二十(shi)一條(tiao)規定的條(tiao)件，承擔第二級以上的計算機(ji)信(xin)息系統(tong)測評(ping)工(gong)作的機(ji)構應當到省公安(an)(an)廳公共信(xin)息網(wang)絡安(an)(an)全監察部門備(bei)案。

第二十三條 省公安廳公共信(xin)息網絡(luo)安全監(jian)察部門對已備案的測評機構(gou)進行公布。

第二十四條 測評機構應當履行(xing)下列義務：

（一）遵守國(guo)家有關法(fa)律法(fa)規和技術(shu)標準，提供(gong)安全、客觀、公正(zheng)的檢測評(ping)估服務，保證測評(ping)的質量和效果(guo)；

（二）保守在測(ce)評(ping)活(huo)動(dong)中知(zhi)悉的國(guo)家秘密、商業秘密和個人隱私，防范測(ce)評(ping)風險；

（三）對測評人員進行(xing)安(an)全保(bao)密教(jiao)育(yu)，與其(qi)簽訂安(an)全保(bao)密責任(ren)書，規定應當履行(xing)的(de)安(an)全保(bao)密義務和承擔的(de)法(fa)律(lv)責任(ren)，并負責檢查落實。

第二十五條 第二級(ji)以上的(de)計算機(ji)(ji)信息系統建設(she)完(wan)成(cheng)后，使用(yong)單(dan)位應當(dang)委托符合規定的(de)測(ce)評機(ji)(ji)構安(an)全測(ce)評合格方(fang)可投入使用(yong)。測(ce)評活動應當(dang)接受公(gong)(gong)安(an)機(ji)(ji)關公(gong)(gong)共信息網絡安(an)全監(jian)察部門(men)的(de)監(jian)督。

第二十六條 計算(suan)機(ji)信息系(xi)統(tong)運營、使用單位委托安全測評(ping)機(ji)構測評(ping)，應當提交下列資料：

（一）安全測評委托書；

（二）計(ji)算(suan)機信息系統(tong)應用(yong)需求、系統(tong)結(jie)構(gou)拓撲及說明、系統(tong)安全(quan)(quan)組織結(jie)構(gou)和管理(li)制度、安全(quan)(quan)保(bao)護設施設計(ji)實(shi)施方案或者改建實(shi)施方案、系統(tong)軟件硬(ying)件和信息安全(quan)(quan)產品(pin)清單。

第二十七條 安(an)全(quan)測(ce)評(ping)(ping)機構在收到委托材料后(hou)，應當(dang)與(yu)委托方(fang)協商制訂安(an)全(quan)測(ce)評(ping)(ping)計劃(hua)，開(kai)展安(an)全(quan)測(ce)評(ping)(ping)工作，并出(chu)具安(an)全(quan)測(ce)評(ping)(ping)報(bao)告。

經測評，計算機(ji)信息系統(tong)安(an)全狀況未達到國(guo)家有關規(gui)定和標準的要求，委(wei)(wei)托單位應當(dang)根據(ju)測評報告的建議，完善計算機(ji)信息系統(tong)安(an)全建設，并(bing)重(zhong)新提出安(an)全測評委(wei)(wei)托。

測評(ping)(ping)機(ji)構(gou)對計算機(ji)信息(xi)系統(tong)進(jin)行(xing)使用前安(an)全測評(ping)(ping)，應當預先報告地級以(yi)上(shang)市(shi)公(gong)(gong)安(an)機(ji)關(guan)公(gong)(gong)共信息(xi)網(wang)絡安(an)全監(jian)察(cha)(cha)部門。安(an)全測評(ping)(ping)報告由計算機(ji)信息(xi)系統(tong)運營、使用單位報地級以(yi)上(shang)市(shi)公(gong)(gong)安(an)機(ji)關(guan)公(gong)(gong)共信息(xi)網(wang)絡安(an)全監(jian)察(cha)(cha)部門。

第二十八條 第(di)三級(ji)(ji)(ji)計算機(ji)信(xin)息系統(tong)應當(dang)每年(nian)至少(shao)進行(xing)(xing)一次安(an)全(quan)測評，第(di)四級(ji)(ji)(ji)計算機(ji)信(xin)息系統(tong)應當(dang)每半年(nian)至少(shao)進行(xing)(xing)一次安(an)全(quan)測評，第(di)五級(ji)(ji)(ji)計算機(ji)信(xin)息系統(tong)應當(dang)依據特(te)殊安(an)全(quan)要(yao)求進行(xing)(xing)安(an)全(quan)測評。

第六章 應急處置

第二十九條 公(gong)安機(ji)關公(gong)共信息網絡安全監察部(bu)門與(yu)所在(zai)地安全服務機(ji)構(gou)、互(hu)聯網運營單(dan)位和其他計(ji)算機(ji)信息系統運營、使用單(dan)位應當建立聯防機(ji)制，依法及時查處通過計(ji)算機(ji)信息系統進行的(de)違法犯罪(zui)行為，組織處置重大(da)突發事件。

第三十條 對計算(suan)機信息(xi)系(xi)統中(zhong)發生(sheng)的案件和重大(da)安全(quan)事故(gu)，計算(suan)機信息(xi)系(xi)統的運營、使用單(dan)位應當在二十四(si)小時內報告(gao)縣級以上人民政府公安機關公共信息(xi)網絡安全(quan)監察部門，并保(bao)留(liu)有關原始記錄(lu)。

第三十一條 第二級以上的計算機信息系統運營、使用單位應(ying)當制定重大突(tu)發事件應(ying)急處置預案并(bing)定期實施演練。

第三十二條 計算機信(xin)息系統發生(sheng)重大突發事件，有關單位應(ying)當按照(zhao)應(ying)急(ji)處置預案的(de)(de)要(yao)求采取相應(ying)的(de)(de)處置措施，并服從公安機關和國家指定的(de)(de)專門部門的(de)(de)調度。

第三十三條 地級市(shi)以(yi)上人民政府公安機關公共信(xin)息網絡安全監察部門經(jing)本機關主(zhu)管領導(dao)批準，為(wei)保護(hu)計算機信(xin)息系(xi)統安全，在發生重大突發事件(jian)，危及國(guo)家安全、公共安全及社會(hui)穩定(ding)的緊急情(qing)況(kuang)下，可以(yi)采取二(er)十四小時(shi)內暫時(shi)停(ting)機、暫停(ting)聯網、備(bei)份(fen)數據等措施。

第七章 安全培訓

第三十四條 省(sheng)公安廳、人(ren)事廳聯合(he)成立的省(sheng)信息網(wang)絡安全(quan)專業技術(shu)人(ren)員(yuan)(yuan)繼續教(jiao)(jiao)育工作領導小(xiao)組，負責(ze)全(quan)省(sheng)信息網(wang)絡安全(quan)專業技術(shu)人(ren)員(yuan)(yuan)繼續教(jiao)(jiao)育工作的組織和(he)領導。下設省(sheng)信息網(wang)絡安全(quan)專業技術(shu)人(ren)員(yuan)(yuan)繼續教(jiao)(jiao)育工作辦公室，具體負責(ze)日常(chang)管理工作。

第三十五條 下列人(ren)員(yuan)應當參加信(xin)息網(wang)絡安全專(zhuan)業(ye)(ye)技術(shu)(shu)人(ren)員(yuan)繼(ji)續教(jiao)育(yu)，取得省信(xin)息網(wang)絡安全專(zhuan)業(ye)(ye)技術(shu)(shu)人(ren)員(yuan)繼(ji)續教(jiao)育(yu)工(gong)作辦公室頒發的信(xin)息網(wang)絡安全專(zhuan)業(ye)(ye)技術(shu)(shu)人(ren)員(yuan)繼(ji)續教(jiao)育(yu)合(he)格證書，持證上崗：

（一）計(ji)算機信(xin)息系(xi)統運營、使用單位信(xin)息安全管理責(ze)任(ren)人、信(xin)息審查員；

（二）互聯網接(jie)入服務、數據(ju)中心服務、信(xin)息服務、上(shang)網服務提供(gong)單位安全管理(li)員(yuan)(yuan)、專業技術人員(yuan)(yuan)；

（三(san)）安全(quan)專用產(chan)品生產(chan)單位(wei)專業(ye)技術人員；

（四）安全(quan)服(fu)務機(ji)構專(zhuan)業技術(shu)人(ren)(ren)員、安全(quan)服(fu)務管理人(ren)(ren)員；

（五）其他從事(shi)計算機信息系統安全保護工作的人員。

第三十六條 信息網絡(luo)安全專業技(ji)術人員繼續(xu)教育由省(sheng)信息網絡(luo)安全專業技(ji)術人員繼續(xu)教育工作辦公(gong)室授權的(de)施(shi)教機構(gou)負責(ze)實施(shi)。施(shi)教機構(gou)實行統籌(chou)規劃。

第三十七條 信息(xi)網(wang)絡安全專業技術人員繼續教(jiao)育培訓和考(kao)(kao)試按照有關規(gui)定進(jin)行，實行統(tong)一(yi)教(jiao)學大綱(gang)，統(tong)一(yi)教(jiao)材，統(tong)一(yi)考(kao)(kao)試，統(tong)一(yi)發(fa)證。

考(kao)試合(he)格(ge)的(de)，由省信(xin)息網絡(luo)安(an)全專業技術人員(yuan)繼續(xu)教育工作辦公室發給信(xin)息網絡(luo)安(an)全專業技術人員(yuan)繼續(xu)教育證書。

第八章 法律責任

第三十八條 違反本辦法(fa)的(de)規定，依照有關法(fa)律、法(fa)規和規章處罰(fa)。

第九章 附則

第三十九條 本細則(ze)下列(lie)用(yong)語的(de)含(han)(han)義：實體(ti)(ti)安全，指保護計算機信息(xi)系統(tong)的(de)環(huan)境，計算機設備、設施（含(han)(han)網絡）以及其(qi)它媒體(ti)(ti)免(mian)遭(zao)地震、水災、火災、雷電(dian)、有(you)害氣體(ti)(ti)和(he)其(qi)它環(huan)境事故（如電(dian)磁污染等(deng)）破(po)壞。

運(yun)行(xing)安全，指保護計(ji)算機信(xin)息(xi)系(xi)統的信(xin)息(xi)處理過程順利進行(xing)。

信息(xi)安(an)全，指保障信息(xi)的完整性、保密性、可(ke)用性和可(ke)控性。

內(nei)容安全，指確保計(ji)算(suan)機(ji)信(xin)息(xi)系統中(zhong)傳(chuan)輸的信(xin)息(xi)所承載(zai)的內(nei)容的合法性。

安全(quan)（漏洞(dong)）檢測，指利用計算(suan)機(ji)技術手段掃(sao)描、探測計算(suan)機(ji)信(xin)息系統安全(quan)漏洞(dong)。

第四十條 本辦法規定的“以上”含本數。

第四十一條 本辦法規定(ding)的有(you)關(guan)表格和證書由(you)省(sheng)公(gong)安廳制定(ding)式樣，統一監制。

第四十二條 本(ben)辦法由省公安廳負責解釋。

第四十三條 本辦法自2008年12月1日起(qi)施行。