廣東省公安廳關于計算機信息系統安全保護的實施辦法

（廣東省公(gong)安(an)廳2008年(nian)9月(yue)27日以(yi)粵公(gong)通字〔2008〕228號發布 自(zi)2008年(nian)12月(yue)1日起(qi)施行(xing)）

第一章 總則

第一條 為保護計(ji)算(suan)機信(xin)(xin)息系統(tong)(tong)安(an)全，促進(jin)信(xin)(xin)息化建(jian)設的健康發展，貫徹落實《廣東省計(ji)算(suan)機信(xin)(xin)息系統(tong)(tong)安(an)全保護條例》，根據(ju)有(you)關(guan)法律法規，制定本辦法。

第二條 本辦法適(shi)用于(yu)廣東省行政區(qu)域(yu)內計(ji)算機信息系統的(de)安全保護。

第三條 縣級以上人民政府(fu)公(gong)安機關公(gong)共信息(xi)網(wang)絡安全(quan)監(jian)(jian)察(cha)部門具體負責本(ben)行政區域內計算(suan)機信息(xi)系統的(de)安全(quan)保護監(jian)(jian)管工作。

第二章 安全監督

第四條 公安機關公共信息(xi)網絡(luo)安全(quan)監(jian)察部門(men)對計算機信息(xi)系統(tong)安全(quan)保護工作行使(shi)下(xia)列(lie)職責：

（一）監督、檢查、指導計(ji)算機(ji)信息(xi)系統安全保護工作；

（二）組(zu)織(zhi)開(kai)展計算機信息系統安全等級保護；

（三）查處計算機違法犯罪案件；

（四）組織處置重(zhong)大計算機信息(xi)系(xi)統安全(quan)事(shi)故和(he)事(shi)件；

（五(wu)）負責計算機病毒和其他(ta)有害(hai)數據(ju)防(fang)治管理；

（六）負責(ze)計算機信息系統(tong)安全服務的(de)監督(du)指(zhi)導；

（七）負責計算機信息系(xi)統安全專用產品(pin)的監督管理；

（八）負責計算(suan)機信息系統安全(quan)培訓(xun)管(guan)理；

（九）法(fa)律(lv)、法(fa)規和規章規定的其他職責。

第五條 公安機(ji)關公共信(xin)息網絡(luo)安全(quan)監察部門應當(dang)對(dui)計算機(ji)信(xin)息系(xi)統落實實體(ti)安全(quan)、運(yun)行(xing)(xing)安全(quan)、信(xin)息安全(quan)和內容安全(quan)措(cuo)施的(de)情況進行(xing)(xing)檢查。

對第三級計(ji)(ji)算機信息(xi)(xi)系統每(mei)年至少(shao)檢查(cha)一(yi)次，對第四級計(ji)(ji)算機信息(xi)(xi)系統每(mei)半(ban)年至少(shao)檢查(cha)一(yi)次。對第五級計(ji)(ji)算機信息(xi)(xi)系統，應當會(hui)同國家(jia)指定的專門部門進行檢查(cha)。

對其(qi)他計算(suan)機信息系統應當(dang)不定期開展檢查。

第六條 公安(an)機關(guan)公共(gong)信(xin)息(xi)網絡安(an)全(quan)監察部門發(fa)現計(ji)算機信(xin)息(xi)系(xi)統的(de)安(an)全(quan)保護(hu)等級和安(an)全(quan)措施(shi)不符合有關(guan)規定和技術標準，或(huo)者存(cun)在(zai)安(an)全(quan)隱(yin)患的(de)，應當通知(zhi)運營、使(shi)用單位進行整改。

第七條 公(gong)安機(ji)關公(gong)共信息網(wang)絡安全(quan)(quan)監察部(bu)門應當向公(gong)眾(zhong)提(ti)供(gong)報警求助渠道，提(ti)供(gong)計算機(ji)信息系統安全(quan)(quan)指導，發布安全(quan)(quan)動態，開展安全(quan)(quan)宣傳。

第三章 安全保護責任

第八條 單(dan)位和個人應當依照有關法規、規章和標準(zhun)，對其所(suo)有、使(shi)用(yong)和管理(li)的計算機信(xin)息系統承擔相(xiang)應的安全保護責任(ren)。

第九條 第二級以上計算(suan)機信息系(xi)統的(de)運營、使用單位應當建立安全(quan)保(bao)護組織，并報所在地(di)地(di)級以上市人民政府公(gong)安機關公(gong)共信息網絡安全(quan)監察部門備案。

第十條 安(an)(an)全(quan)保(bao)護組織(zhi)(zhi)保(bao)障本單位(wei)計(ji)(ji)算(suan)機(ji)信(xin)(xin)息(xi)系(xi)(xi)統(tong)(tong)的(de)安(an)(an)全(quan)運行，組織(zhi)(zhi)本單位(wei)計(ji)(ji)算(suan)機(ji)信(xin)(xin)息(xi)系(xi)(xi)統(tong)(tong)的(de)有害(hai)信(xin)(xin)息(xi)防治(zhi)工作，組織(zhi)(zhi)開展(zhan)本單位(wei)計(ji)(ji)算(suan)機(ji)信(xin)(xin)息(xi)系(xi)(xi)統(tong)(tong)安(an)(an)全(quan)教(jiao)育和培訓，向(xiang)公安(an)(an)機(ji)關公共(gong)信(xin)(xin)息(xi)網絡安(an)(an)全(quan)監察部門報告本單位(wei)計(ji)(ji)算(suan)機(ji)信(xin)(xin)息(xi)系(xi)(xi)統(tong)(tong)運行、服(fu)務(wu)和安(an)(an)全(quan)等(deng)情況(kuang)，及時協助公安(an)(an)機(ji)關公共(gong)信(xin)(xin)息(xi)網絡安(an)(an)全(quan)監察部門查處違法犯(fan)罪(zui)和處置突發(fa)事件(jian)。

第十一條 互聯(lian)單位(wei)、互聯(lian)網接入(ru)服務(wu)單位(wei)、互聯(lian)網數(shu)據中心應(ying)當對接入(ru)本網絡的(de)用戶進(jin)行資格審(shen)查，確(que)認符(fu)合國家和省有關(guan)規定后方可為其提供服務(wu)。

互(hu)聯網接入服務(wu)、信(xin)息服務(wu)單位以(yi)及互(hu)聯網數據中心(xin)應當向用戶宣傳相關法(fa)律法(fa)規，提供必要(yao)的(de)安全保護措施。

第十二條 個人主頁、博(bo)客、聊天(tian)室、點(dian)對(dui)點(dian)服(fu)務等(deng)互聯網信息服(fu)務的(de)提(ti)供單位和使用(yong)者應當依照國家(jia)和省有關規定，落實相應的(de)安(an)全措施。

第十三條 網(wang)(wang)吧(ba)、圖書館(guan)、學校、賓館(guan)等提供互聯網(wang)(wang)上網(wang)(wang)服(fu)務(wu)的(de)場所應當安裝符合國家規定的(de)安全管理(li)系統。

第十四條 互聯單位、互聯網接入服務單位以(yi)及互聯網數據中心應當每月(yue)將接入本網絡(luo)的用戶情況(kuang)報地級以(yi)上市公安機關公共信息網絡(luo)安全監察(cha)部門備案。

第十五條 計算機信(xin)息(xi)系統(tong)運營、使用(yong)單位(wei)應(ying)當接受(shou)公(gong)安(an)機關(guan)公(gong)共信(xin)息(xi)網絡安(an)全監(jian)察(cha)部門(men)的監(jian)督(du)、檢查、指導，如實提供安(an)全保護有關(guan)信(xin)息(xi)、資料(liao)及數(shu)據文件，不(bu)得(de)變(bian)相(xiang)拒絕(jue)、拖延、阻(zu)礙公(gong)安(an)機關(guan)公(gong)共信(xin)息(xi)網絡安(an)全監(jian)察(cha)部門(men)依法(fa)執(zhi)行公(gong)務。

第四章 安全專用產品和安全服務

第十六條 安全(quan)專用產品必須取(qu)得公安部(bu)頒發的銷售許可(ke)證方可(ke)銷售。

第十七條 生產、銷售或(huo)者提(ti)供含有(you)計(ji)算機(ji)(ji)信息網絡遠程控(kong)制(zhi)、密碼猜解、安(an)(an)(an)全（漏(lou)洞）檢測、信息群(qun)發技術(shu)的產品和(he)工具的，應當在領取(qu)營業(ye)執照后30日內（沒(mei)有(you)營業(ye)執照的，自開(kai)辦之日起30日內）向(xiang)單位所(suo)在地地級以上(shang)市(shi)人(ren)民政府(fu)公安(an)(an)(an)機(ji)(ji)關公共信息網絡安(an)(an)(an)全監察部(bu)門(men)備案，填寫《廣東省(sheng)計(ji)算機(ji)(ji)信息網絡安(an)(an)(an)全特(te)種技術(shu)備案表》，并提(ti)交如下資(zi)料：

（一）單位簡況；

（二）營(ying)業執(zhi)照（或其他(ta)有效證(zheng)明）復(fu)印件；

（三(san)）研(yan)發和服務(wu)管理(li)制度；

（四）主(zhu)要經(jing)營管理人(ren)(ren)(ren)員、技術(shu)人(ren)(ren)(ren)員和(he)服務(wu)人(ren)(ren)(ren)員有(you)效(xiao)證件復印(yin)件；

（五）主要產品情況(kuang)。

第十八條 安全保(bao)護等級為第(di)三級以上的(de)計(ji)算機信(xin)息系(xi)統應(ying)當選用符合下列條件(jian)的(de)安全專(zhuan)用產品(pin)：

（一）產品(pin)研制、生產單位是(shi)由中國(guo)公民、法人投資或者(zhe)國(guo)家投資或者(zhe)控股的，在中華人民共和(he)國(guo)境(jing)內(nei)具有(you)獨立(li)的法人資格；

（二）產(chan)(chan)品(pin)的核心技術、關鍵部件具有我(wo)國(guo)自(zi)主知識產(chan)(chan)權；

（三(san)）產品研制、生產單位及(ji)其主要業務、技(ji)術人(ren)員無犯罪記錄；

（四）產品研制(zhi)、生產單位聲(sheng)明沒有(you)故意留有(you)或者設置(zhi)漏(lou)洞、后門、木(mu)馬等程序和(he)功能；

（五(wu)）對(dui)國家安全(quan)、社會秩(zhi)序、公共利益(yi)不構成危害。

第十九條 符合(he)第十八條規定(ding)的安全專用產(chan)品(pin)和生產(chan)單位應當到省公(gong)安廳公(gong)共信息(xi)網絡安全監(jian)察部門備案。

第二十條 為(wei)加(jia)強安全(quan)服(fu)務機構的指導，推(tui)動(dong)安全(quan)服(fu)務質(zhi)量和技(ji)術水平的提高，廣東(dong)省對從(cong)事計算機信息(xi)系統安全(quan)設計、建設、檢測、評估等安全(quan)服(fu)務的機構，根據(ju)其注冊資(zi)本、服(fu)務業績、技(ji)術力量、組織管理情況實行分級指導。

第五章 安全等級測評

第二十一條 第二(er)級以上的計算(suan)機(ji)(ji)信息系統(tong)的安全測(ce)評應當選擇符合下列條件的計算(suan)機(ji)(ji)信息系統(tong)安全等級測(ce)評機(ji)(ji)構（簡(jian)稱測(ce)評機(ji)(ji)構）承擔：

（一）在中華人民共和國境內注(zhu)冊成(cheng)立（港澳臺地(di)區(qu)除(chu)外），具有相應經營(ying)(ying)范圍的營(ying)(ying)業執照，注(zhu)冊資本(ben)100萬(wan)元以上；

（二）由中國公(gong)民投資(zi)、中國法(fa)人投資(zi)或者國家投資(zi)的企事業單位(wei)（港澳臺地區除外）；

（三）近3年(nian)完成的測評項目總值150萬元以上(shang)；

（四）具有計(ji)算機安全或相關專業(ye)資格(ge)證書的(de)(de)專業(ye)技(ji)術(shu)人員不少于(yu)(yu)20人，其中大學本科以上學歷的(de)(de)人員不少于(yu)(yu)15人；

（五）管理(li)人員應當具(ju)有3年以上從事計算機(ji)信息系統安全技(ji)術(shu)領域企業管理(li)工作經歷，技(ji)術(shu)負(fu)責人已獲得計算機(ji)信息系統安全技(ji)術(shu)相關(guan)專(zhuan)業的高級職稱，從事安全測(ce)評工作不(bu)少于3年，無(wu)犯罪記錄；

（六）工作人(ren)員僅限(xian)于中國公民，法人(ren)及主要業(ye)務、技術人(ren)員無(wu)犯罪(zui)記錄；

（七）具有(you)與(yu)所承擔(dan)項(xiang)目(mu)適(shi)應的技(ji)術裝備；

（八）具有完(wan)備的保密管理、項目管理、質(zhi)量管理、人(ren)員管理和培訓教育等安全(quan)管理制(zhi)度；

（九）對國家安全、社會(hui)秩序(xu)、公(gong)共利益不構成威脅。

第二十二條 廣(guang)東省對測評機(ji)構實(shi)施(shi)備案制(zhi)度。符合第二(er)十一(yi)條(tiao)規定的(de)條(tiao)件，承(cheng)擔第二(er)級(ji)以上的(de)計(ji)算機(ji)信息系統測評工作(zuo)的(de)機(ji)構應當到省公安(an)廳公共信息網絡安(an)全(quan)監察(cha)部(bu)門備案。

第二十三條 省公安廳公共信(xin)息網絡安全監察部(bu)門對已(yi)備(bei)案(an)的測評機構進行公布。

第二十四條 測評(ping)機構應當履行(xing)下列義務：

（一）遵(zun)守國家有(you)關法(fa)律法(fa)規和技術(shu)標準，提供安全、客觀、公正的檢(jian)測(ce)評估服(fu)務(wu)，保證測(ce)評的質量(liang)和效果(guo)；

（二）保(bao)守在測評活動中知悉的國家秘密、商業秘密和個人(ren)隱私，防(fang)范測評風險；

（三）對測評人員進行(xing)安(an)全保密(mi)教育(yu)，與其簽訂安(an)全保密(mi)責(ze)任(ren)書，規(gui)定(ding)應當履行(xing)的(de)安(an)全保密(mi)義(yi)務和承擔的(de)法律責(ze)任(ren)，并負責(ze)檢查(cha)落實。

第二十五條 第二級以上的(de)計算機(ji)信息系統建(jian)設(she)完成后，使用單(dan)位應當委托(tuo)符合(he)規定(ding)的(de)測評(ping)機(ji)構安全(quan)(quan)測評(ping)合(he)格(ge)方可投(tou)入(ru)使用。測評(ping)活(huo)動應當接受公安機(ji)關公共(gong)信息網絡安全(quan)(quan)監察部(bu)門的(de)監督。

第二十六條 計算機信息系統運營、使用單位委(wei)托安全(quan)測(ce)評機構測(ce)評，應當提交下列資(zi)料：

（一）安全(quan)測評委(wei)托書；

（二）計算機信(xin)(xin)息系(xi)統(tong)應用需求(qiu)、系(xi)統(tong)結(jie)構拓撲及說(shuo)明、系(xi)統(tong)安全組織結(jie)構和管理制度(du)、安全保護設施設計實(shi)施方案(an)或(huo)者改建實(shi)施方案(an)、系(xi)統(tong)軟件硬件和信(xin)(xin)息安全產品清單(dan)。

第二十七條 安(an)全(quan)(quan)測(ce)(ce)評(ping)機構在(zai)收到委(wei)托材料后，應當(dang)與委(wei)托方協商(shang)制(zhi)訂安(an)全(quan)(quan)測(ce)(ce)評(ping)計劃，開展安(an)全(quan)(quan)測(ce)(ce)評(ping)工(gong)作，并出具安(an)全(quan)(quan)測(ce)(ce)評(ping)報告(gao)。

經測評(ping)，計算機信息系(xi)統安(an)全(quan)狀況未達到(dao)國家有關規定和(he)標(biao)準(zhun)的要求，委托(tuo)單位(wei)應(ying)當根據測評(ping)報告(gao)的建議，完善計算機信息系(xi)統安(an)全(quan)建設，并重(zhong)新提出(chu)安(an)全(quan)測評(ping)委托(tuo)。

測(ce)評機(ji)構對(dui)計算機(ji)信(xin)(xin)息(xi)系統進行使用(yong)前安(an)全測(ce)評，應當(dang)預先(xian)報告地級以上市(shi)公安(an)機(ji)關公共信(xin)(xin)息(xi)網絡安(an)全監察部(bu)門。安(an)全測(ce)評報告由計算機(ji)信(xin)(xin)息(xi)系統運(yun)營(ying)、使用(yong)單位報地級以上市(shi)公安(an)機(ji)關公共信(xin)(xin)息(xi)網絡安(an)全監察部(bu)門。

第二十八條 第三級(ji)計(ji)算(suan)機信息(xi)系統(tong)(tong)應當每年至少(shao)進行(xing)一次(ci)安(an)全(quan)(quan)測評，第四級(ji)計(ji)算(suan)機信息(xi)系統(tong)(tong)應當每半年至少(shao)進行(xing)一次(ci)安(an)全(quan)(quan)測評，第五級(ji)計(ji)算(suan)機信息(xi)系統(tong)(tong)應當依據特(te)殊安(an)全(quan)(quan)要求進行(xing)安(an)全(quan)(quan)測評。

第六章 應急處置

第二十九條 公安機(ji)關公共信息(xi)網絡(luo)安全(quan)監察部門與所(suo)在地(di)安全(quan)服務(wu)機(ji)構、互(hu)聯網運(yun)營(ying)單(dan)位(wei)和其(qi)他(ta)計算(suan)機(ji)信息(xi)系統運(yun)營(ying)、使用單(dan)位(wei)應(ying)當建立聯防機(ji)制(zhi)，依法及時查處通過計算(suan)機(ji)信息(xi)系統進行(xing)的違法犯罪行(xing)為，組織處置(zhi)重大突發事件。

第三十條 對計算機信息系(xi)(xi)統中發(fa)生的(de)(de)案件(jian)和重大安(an)全事(shi)故，計算機信息系(xi)(xi)統的(de)(de)運營、使(shi)用單位(wei)應當在二十四小時內(nei)報告(gao)縣級以上人民政府公(gong)(gong)安(an)機關公(gong)(gong)共信息網(wang)絡安(an)全監察部(bu)門，并保留(liu)有關原始記錄。

第三十一條 第(di)二(er)級以上的計算(suan)機信(xin)息系統運營(ying)、使用(yong)單位應(ying)當制定重(zhong)大突發事件應(ying)急處置預案(an)并定期(qi)實施(shi)演練。

第三十二條 計(ji)算機信息系統發(fa)生重大突發(fa)事件(jian)，有關單位應當按照應急(ji)處置(zhi)預案的(de)(de)要求(qiu)采取(qu)相(xiang)應的(de)(de)處置(zhi)措施，并服從(cong)公安機關和國家指定的(de)(de)專(zhuan)門部門的(de)(de)調度。

第三十三條 地級市(shi)以上人民(min)政府公(gong)安機關公(gong)共信息網(wang)絡安全監察部門經本機關主管領導批準，為保護計(ji)算機信息系統(tong)安全，在發生重大突發事(shi)件，危及國家安全、公(gong)共安全及社會穩(wen)定的緊(jin)急(ji)情況(kuang)下(xia)，可以采取二(er)十四小時內暫時停機、暫停聯網(wang)、備份(fen)數(shu)據等措施。

第七章 安全培訓

第三十四條 省(sheng)公安廳(ting)、人事(shi)廳(ting)聯合成立的省(sheng)信息網絡安全(quan)專業(ye)技(ji)(ji)術人員(yuan)繼續教育(yu)工作領導小組，負(fu)責(ze)全(quan)省(sheng)信息網絡安全(quan)專業(ye)技(ji)(ji)術人員(yuan)繼續教育(yu)工作的組織和領導。下(xia)設省(sheng)信息網絡安全(quan)專業(ye)技(ji)(ji)術人員(yuan)繼續教育(yu)工作辦公室(shi)，具體負(fu)責(ze)日常管理工作。

第三十五條 下列人員應(ying)當(dang)參加信息(xi)網(wang)絡(luo)(luo)安(an)全專(zhuan)業(ye)技(ji)術(shu)人員繼續教育(yu)，取得省信息(xi)網(wang)絡(luo)(luo)安(an)全專(zhuan)業(ye)技(ji)術(shu)人員繼續教育(yu)工作辦公(gong)室頒發(fa)的信息(xi)網(wang)絡(luo)(luo)安(an)全專(zhuan)業(ye)技(ji)術(shu)人員繼續教育(yu)合格證書，持證上(shang)崗：

（一）計算機信(xin)息(xi)系(xi)統運營、使用單位(wei)信(xin)息(xi)安全管理(li)責任人、信(xin)息(xi)審查員(yuan)；

（二）互聯網(wang)接(jie)入服(fu)務、數(shu)據(ju)中心服(fu)務、信(xin)息服(fu)務、上網(wang)服(fu)務提供單位安全管理員(yuan)、專業技(ji)術人員(yuan)；

（三）安全專(zhuan)用產(chan)品生產(chan)單位專(zhuan)業(ye)技術人(ren)員；

（四）安(an)全(quan)服務(wu)機(ji)構(gou)專業(ye)技術人(ren)員(yuan)、安(an)全(quan)服務(wu)管理人(ren)員(yuan)；

（五）其他從(cong)事計算機信(xin)息系統安全保(bao)護工作(zuo)的人員。

第三十六條 信息網絡(luo)安全專業技術人(ren)員繼續(xu)教(jiao)(jiao)(jiao)育由省信息網絡(luo)安全專業技術人(ren)員繼續(xu)教(jiao)(jiao)(jiao)育工作辦公室授權的施(shi)(shi)教(jiao)(jiao)(jiao)機構負(fu)責實(shi)施(shi)(shi)。施(shi)(shi)教(jiao)(jiao)(jiao)機構實(shi)行統籌(chou)規劃。

第三十七條 信息網(wang)絡安全(quan)專(zhuan)業(ye)技術人員繼續(xu)教(jiao)育培訓和(he)考(kao)試按照有關(guan)規定進(jin)行(xing)，實行(xing)統一教(jiao)學大綱，統一教(jiao)材，統一考(kao)試，統一發證(zheng)。

考(kao)試合格的，由省(sheng)信息網(wang)絡(luo)安(an)全專業技(ji)術(shu)人員繼續教育工作辦公室發(fa)給(gei)信息網(wang)絡(luo)安(an)全專業技(ji)術(shu)人員繼續教育證書。

第八章 法律責任

第三十八條 違反本(ben)辦法的規定，依照有(you)關法律(lv)、法規和規章處罰。

第九章 附則

第三十九條 本細則下(xia)列用語的含(han)義：實體安全(quan)，指保(bao)護計(ji)算機(ji)信息系(xi)統的環境，計(ji)算機(ji)設備、設施（含(han)網(wang)絡）以及其它媒體免(mian)遭地震、水災、火災、雷電、有(you)害氣體和(he)其它環境事故(gu)（如(ru)電磁污染等）破壞。

運行安全，指(zhi)保(bao)護計算機信息(xi)系(xi)統的信息(xi)處理過(guo)程順利(li)進行。

信息安(an)全，指保(bao)障(zhang)信息的(de)完整性(xing)、保(bao)密性(xing)、可用(yong)性(xing)和可控性(xing)。

內(nei)容安(an)全，指確保(bao)計算機信息系(xi)統中傳輸的信息所承載(zai)的內(nei)容的合法性(xing)。

安全（漏洞）檢(jian)測(ce)，指利(li)用計(ji)算(suan)機(ji)技術(shu)手段掃描、探(tan)測(ce)計(ji)算(suan)機(ji)信息系統(tong)安全漏洞。

第四十條 本(ben)辦法規定的“以上”含本(ben)數。

第四十一條 本(ben)辦法規(gui)定(ding)的有關表格和證(zheng)書由省公安廳制(zhi)定(ding)式樣，統(tong)一監制(zhi)。

第四十二條 本辦法由(you)省公安廳負(fu)責解釋。

第四十三條 本(ben)辦(ban)法自2008年12月1日起施行。