廣東省公安廳關于計算機信息系統安全保護的實施辦法

（廣東省公安廳(ting)2008年9月27日以(yi)粵公通字(zi)〔2008〕228號(hao)發布 自2008年12月1日起(qi)施行）

第一章 總則

第一條 為(wei)保護計算機信息系(xi)統(tong)安(an)全(quan)，促進信息化(hua)建設的健(jian)康(kang)發展，貫徹落實《廣東省計算機信息系(xi)統(tong)安(an)全(quan)保護條例》，根(gen)據有關(guan)法(fa)律法(fa)規，制(zhi)定(ding)本辦法(fa)。

第二條 本辦法適用于廣東(dong)省行政區域(yu)內計(ji)算(suan)機信息系統的安全保護。

第三條 縣級以上人民(min)政(zheng)府公安(an)機(ji)關公共信息網絡安(an)全監察部門具體(ti)負責(ze)本行政(zheng)區域內計算機(ji)信息系統的安(an)全保護監管工(gong)作。

第二章 安全監督

第四條 公(gong)安機關公(gong)共(gong)信息(xi)網絡安全(quan)監察(cha)部(bu)門對計算(suan)機信息(xi)系統安全(quan)保(bao)護工作行使下(xia)列(lie)職(zhi)責：

（一）監督(du)、檢查(cha)、指導(dao)計算機信息(xi)系統安全保(bao)護工作(zuo)；

（二）組織開展計算機(ji)信(xin)息系統安(an)全(quan)等級保護；

（三）查處計算機(ji)違法犯罪案件(jian)；

（四(si)）組織處置(zhi)重大計算機(ji)信(xin)息(xi)系統安全事(shi)故和事(shi)件；

（五(wu)）負責(ze)計算(suan)機病毒(du)和(he)其(qi)他有害數據防(fang)治(zhi)管(guan)理；

（六）負(fu)責計(ji)算機信息系統(tong)安全服(fu)務的監督指導；

（七）負責計算機(ji)信息系統安(an)全(quan)專(zhuan)用產(chan)品的監督(du)管理；

（八）負責計(ji)算機(ji)信息(xi)系統安全培訓(xun)管(guan)理；

（九）法(fa)律(lv)、法(fa)規和規章規定的其他職責。

第五條 公安機(ji)關(guan)公共信息網絡安全監(jian)察部門應當(dang)對(dui)計算機(ji)信息系統落實(shi)實(shi)體安全、運(yun)行(xing)安全、信息安全和內容安全措施的情況進行(xing)檢查。

對(dui)第三(san)級計(ji)算機(ji)信(xin)息(xi)系(xi)統每年至(zhi)少(shao)(shao)檢查(cha)(cha)一次，對(dui)第四級計(ji)算機(ji)信(xin)息(xi)系(xi)統每半年至(zhi)少(shao)(shao)檢查(cha)(cha)一次。對(dui)第五(wu)級計(ji)算機(ji)信(xin)息(xi)系(xi)統，應當會(hui)同國家指(zhi)定的(de)專門部(bu)門進行(xing)檢查(cha)(cha)。

對其(qi)他計算機信息(xi)系統應當不定期開展(zhan)檢查。

第六條 公安機關公共信息網絡(luo)安全(quan)監(jian)察部門發現計算機信息系統的安全(quan)保護(hu)等級和安全(quan)措施不符合(he)有關規定和技術標準，或(huo)者存(cun)在安全(quan)隱(yin)患(huan)的，應(ying)當(dang)通知(zhi)運(yun)營、使用單位進行整改。

第七條 公安機(ji)關公共信息網絡安全監(jian)察部門(men)應當(dang)向公眾提(ti)供報警(jing)求助(zhu)渠(qu)道，提(ti)供計(ji)算機(ji)信息系統安全指導(dao)，發布安全動態，開展(zhan)安全宣傳。

第三章 安全保護責任

第八條 單(dan)位和個人(ren)應當依照有(you)關法(fa)規、規章和標準，對其所有(you)、使用和管理(li)的(de)計算機信息系(xi)統承(cheng)擔相應的(de)安全保護責(ze)任。

第九條 第二(er)級(ji)以上(shang)計算機信息系統的運營、使用單位應當建立安全保護組織，并報所在地地級(ji)以上(shang)市人民政府公安機關公共信息網絡安全監察部門備案。

第十條 安(an)(an)全(quan)保(bao)護組(zu)(zu)(zu)織保(bao)障(zhang)本(ben)單位計算機信(xin)息(xi)系統(tong)(tong)的(de)安(an)(an)全(quan)運行，組(zu)(zu)(zu)織本(ben)單位計算機信(xin)息(xi)系統(tong)(tong)的(de)有害信(xin)息(xi)防治工(gong)作，組(zu)(zu)(zu)織開展(zhan)本(ben)單位計算機信(xin)息(xi)系統(tong)(tong)安(an)(an)全(quan)教育和培訓，向公(gong)(gong)安(an)(an)機關公(gong)(gong)共信(xin)息(xi)網絡安(an)(an)全(quan)監(jian)察(cha)部門(men)報告本(ben)單位計算機信(xin)息(xi)系統(tong)(tong)運行、服(fu)務和安(an)(an)全(quan)等情況，及時協助公(gong)(gong)安(an)(an)機關公(gong)(gong)共信(xin)息(xi)網絡安(an)(an)全(quan)監(jian)察(cha)部門(men)查處違法犯罪和處置突發事(shi)件。

第十一條 互聯單位、互聯網接入(ru)服務單位、互聯網數據中心應當對接入(ru)本網絡的用戶進行(xing)資格審查，確認符合國家(jia)和(he)省(sheng)有關規(gui)定后方可為其提(ti)供服務。

互聯(lian)網接入(ru)服務、信(xin)息服務單位以及互聯(lian)網數據中心應當向(xiang)用戶(hu)宣傳相關法律法規，提供(gong)必要的安全保護措施。

第十二條 個人(ren)主頁、博(bo)客(ke)、聊(liao)天室、點(dian)(dian)對點(dian)(dian)服(fu)務等互聯網(wang)信息(xi)服(fu)務的(de)(de)提(ti)供單(dan)位和使用者應(ying)當依(yi)照國家和省有關規定，落實相(xiang)應(ying)的(de)(de)安全措施。

第十三條 網吧、圖書館(guan)、學校、賓(bin)館(guan)等提供互聯網上網服務(wu)的(de)場所應當安裝符合國(guo)家規(gui)定的(de)安全管理系(xi)統。

第十四條 互聯單(dan)位(wei)、互聯網接(jie)入服務單(dan)位(wei)以及互聯網數(shu)據中心(xin)應當每月將接(jie)入本網絡的用戶情況報地級以上市(shi)公(gong)安機關(guan)公(gong)共信息網絡安全監察部門備案。

第十五條 計算機(ji)信(xin)息系統運營、使用(yong)單位應當接(jie)受公(gong)(gong)安(an)(an)機(ji)關公(gong)(gong)共信(xin)息網(wang)絡安(an)(an)全(quan)監(jian)察部(bu)門(men)的監(jian)督、檢查、指導，如實提(ti)供安(an)(an)全(quan)保護有關信(xin)息、資料及數據(ju)文件，不得(de)變相拒絕、拖(tuo)延(yan)、阻(zu)礙(ai)公(gong)(gong)安(an)(an)機(ji)關公(gong)(gong)共信(xin)息網(wang)絡安(an)(an)全(quan)監(jian)察部(bu)門(men)依法執行公(gong)(gong)務。

第四章 安全專用產品和安全服務

第十六條 安(an)全專用產(chan)品(pin)必須(xu)取得公安(an)部頒(ban)發的(de)銷售(shou)許(xu)可(ke)(ke)證方(fang)可(ke)(ke)銷售(shou)。

第十七條 生(sheng)產(chan)(chan)、銷(xiao)售或者提(ti)供(gong)含有計(ji)算機(ji)信(xin)息網絡(luo)遠程控制(zhi)、密碼猜解、安全（漏洞(dong)）檢測、信(xin)息群發(fa)技(ji)(ji)術(shu)的(de)產(chan)(chan)品和工(gong)具的(de)，應當在(zai)領取營業執照后30日(ri)(ri)內(nei)（沒有營業執照的(de)，自開辦之日(ri)(ri)起30日(ri)(ri)內(nei)）向單(dan)位所在(zai)地地級(ji)以上市人民政府(fu)公安機(ji)關公共信(xin)息網絡(luo)安全監察部門備案，填寫《廣東省(sheng)計(ji)算機(ji)信(xin)息網絡(luo)安全特種技(ji)(ji)術(shu)備案表》，并提(ti)交如(ru)下資料：

（一）單位簡況；

（二）營業執照（或其他有效證明）復印件；

（三）研發和服(fu)務管理制度；

（四）主要經營(ying)管理人(ren)員(yuan)、技術人(ren)員(yuan)和服務(wu)人(ren)員(yuan)有(you)效證件復印件；

（五）主要(yao)產品(pin)情況。

第十八條 安全保護等(deng)級為(wei)第三(san)級以(yi)上的計(ji)算機(ji)信(xin)息(xi)系統應當選(xuan)用符合(he)下列條(tiao)件的安全專用產品：

（一）產(chan)品(pin)研(yan)制、生產(chan)單位(wei)是由中國(guo)公民(min)、法人(ren)投資或者國(guo)家(jia)投資或者控(kong)股的(de)(de)，在中華人(ren)民(min)共(gong)和國(guo)境內(nei)具(ju)有獨立的(de)(de)法人(ren)資格；

（二(er)）產(chan)品(pin)的核心技術、關鍵(jian)部件具有我國(guo)自主知識產(chan)權；

（三）產品研制、生產單位及其主要業務(wu)、技術人員無(wu)犯(fan)罪記(ji)錄；

（四）產(chan)(chan)品研制、生(sheng)產(chan)(chan)單位聲(sheng)明沒有(you)故意(yi)留(liu)有(you)或(huo)者設(she)置漏(lou)洞、后門、木馬等程序和功能；

（五）對國(guo)家安全、社會秩序(xu)、公共利益不構(gou)成危害(hai)。

第十九條 符(fu)合(he)第(di)十八條規定的安全(quan)專用產(chan)品和(he)生產(chan)單位應當到省公安廳公共信息網(wang)絡(luo)安全(quan)監(jian)察部門備(bei)案。

第二十條 為(wei)加強安全(quan)(quan)服(fu)務(wu)機(ji)(ji)構的(de)指(zhi)導，推動安全(quan)(quan)服(fu)務(wu)質(zhi)量和技(ji)術水平的(de)提高，廣東省(sheng)對從事計算機(ji)(ji)信息系(xi)統安全(quan)(quan)設(she)計、建設(she)、檢測、評估等(deng)安全(quan)(quan)服(fu)務(wu)的(de)機(ji)(ji)構，根據其注冊資(zi)本、服(fu)務(wu)業(ye)績、技(ji)術力量、組織管理情(qing)況實行分級指(zhi)導。

第五章 安全等級測評

第二十一條 第二(er)級(ji)以上(shang)的(de)計算機(ji)信息(xi)系統(tong)(tong)的(de)安(an)全測(ce)(ce)評應當選擇符(fu)合下列條件的(de)計算機(ji)信息(xi)系統(tong)(tong)安(an)全等級(ji)測(ce)(ce)評機(ji)構(gou)（簡(jian)稱測(ce)(ce)評機(ji)構(gou)）承擔：

（一）在(zai)中華(hua)人(ren)民共(gong)和國境內注冊(ce)成立（港澳臺(tai)地區除外），具有相(xiang)應經營范(fan)圍的(de)營業執(zhi)照，注冊(ce)資本100萬(wan)元(yuan)以上；

（二）由(you)中國公民投資(zi)、中國法人投資(zi)或者(zhe)國家投資(zi)的企事業單位（港澳臺地區除外(wai)）；

（三）近3年完成的測評(ping)項目總值150萬元以上；

（四）具有(you)計算機安全或相關專(zhuan)業資格證書的專(zhuan)業技術(shu)人員(yuan)不(bu)(bu)少(shao)(shao)于20人，其(qi)中大學本科以上學歷的人員(yuan)不(bu)(bu)少(shao)(shao)于15人；

（五）管理(li)人員應當具有3年以上(shang)從事(shi)計(ji)算機信息(xi)系統安(an)全技術領域企(qi)業(ye)管理(li)工(gong)作經(jing)歷，技術負(fu)責人已獲得(de)計(ji)算機信息(xi)系統安(an)全技術相關專(zhuan)業(ye)的高級職稱(cheng)，從事(shi)安(an)全測評工(gong)作不(bu)少(shao)于3年，無犯罪記錄；

（六）工作人(ren)員僅限(xian)于中國(guo)公民，法人(ren)及(ji)主(zhu)要業務、技術(shu)人(ren)員無(wu)犯罪記錄(lu)；

（七(qi)）具有與所承擔項目適應的技術裝備(bei)；

（八(ba)）具有完備的(de)保密管(guan)(guan)(guan)理(li)(li)(li)、項目管(guan)(guan)(guan)理(li)(li)(li)、質量管(guan)(guan)(guan)理(li)(li)(li)、人員管(guan)(guan)(guan)理(li)(li)(li)和培訓教育(yu)等安全(quan)管(guan)(guan)(guan)理(li)(li)(li)制度(du)；

（九(jiu)）對國家安全、社會秩(zhi)序(xu)、公共(gong)利益不構成威脅。

第二十二條 廣東省對測(ce)評機構實施備(bei)案(an)制度。符(fu)合(he)第二(er)十一條規定的(de)條件，承擔第二(er)級以上的(de)計算機信(xin)息(xi)系統(tong)測(ce)評工作的(de)機構應當到(dao)省公(gong)安廳(ting)公(gong)共信(xin)息(xi)網絡安全監察部(bu)門(men)備(bei)案(an)。

第二十三條 省公安廳公共信息網絡安全監察部門對已備案的測評機構進行公布。

第二十四條 測(ce)評(ping)機構應當履行下列義(yi)務(wu)：

（一）遵守國家有關法律法規和技術標(biao)準，提供安(an)全、客觀、公正的檢測(ce)(ce)評估服務，保證測(ce)(ce)評的質量和效果(guo)；

（二）保(bao)守(shou)在測(ce)評活動(dong)中知悉的國家秘密、商業秘密和個人隱(yin)私，防范測(ce)評風險；

（三）對測評人員進行安全保(bao)(bao)(bao)密教育(yu)，與其(qi)簽訂(ding)安全保(bao)(bao)(bao)密責任(ren)書，規定(ding)應(ying)當履行的安全保(bao)(bao)(bao)密義務和承(cheng)擔(dan)的法律責任(ren)，并負責檢查落實(shi)。

第二十五條 第二級以上的計(ji)算機信息(xi)系統建設完(wan)成后，使用單位(wei)應當委(wei)托(tuo)符合(he)規定的測評(ping)(ping)機構安(an)全測評(ping)(ping)合(he)格方可投入使用。測評(ping)(ping)活動應當接(jie)受公安(an)機關(guan)公共(gong)信息(xi)網絡安(an)全監察部門的監督。

第二十六條 計算(suan)機信(xin)息系(xi)統運營(ying)、使用單位(wei)委托安(an)全測評(ping)機構(gou)測評(ping)，應當提交下列資(zi)料：

（一(yi)）安全(quan)測(ce)評委托書；

（二）計算機信息(xi)系(xi)統(tong)應用需求、系(xi)統(tong)結(jie)構拓(tuo)撲及說明、系(xi)統(tong)安(an)全組織結(jie)構和管理制度(du)、安(an)全保護(hu)設(she)施設(she)計實(shi)施方(fang)案或者改(gai)建實(shi)施方(fang)案、系(xi)統(tong)軟件硬件和信息(xi)安(an)全產(chan)品清(qing)單。

第二十七條 安(an)全測評機構在(zai)收到委(wei)托材料后，應當與委(wei)托方協商制(zhi)訂安(an)全測評計劃，開展安(an)全測評工(gong)作，并出具安(an)全測評報告。

經測(ce)評，計(ji)算(suan)機(ji)(ji)信息系統安全(quan)(quan)(quan)狀況未達到國(guo)家(jia)有關規定和標準的要(yao)求，委托單位應當(dang)根(gen)據測(ce)評報告(gao)的建議，完善(shan)計(ji)算(suan)機(ji)(ji)信息系統安全(quan)(quan)(quan)建設，并(bing)重(zhong)新提出安全(quan)(quan)(quan)測(ce)評委托。

測評機(ji)(ji)構(gou)對計算(suan)(suan)機(ji)(ji)信(xin)息(xi)系統進行使用前安全測評，應當(dang)預先報(bao)告地級以上市公安機(ji)(ji)關(guan)公共信(xin)息(xi)網絡(luo)安全監(jian)察部(bu)門。安全測評報(bao)告由計算(suan)(suan)機(ji)(ji)信(xin)息(xi)系統運營、使用單(dan)位報(bao)地級以上市公安機(ji)(ji)關(guan)公共信(xin)息(xi)網絡(luo)安全監(jian)察部(bu)門。

第二十八條 第(di)三級(ji)計算機(ji)(ji)信息(xi)系統(tong)(tong)應當(dang)每年至(zhi)少(shao)進(jin)(jin)行一(yi)(yi)次(ci)安全(quan)測評，第(di)四級(ji)計算機(ji)(ji)信息(xi)系統(tong)(tong)應當(dang)每半(ban)年至(zhi)少(shao)進(jin)(jin)行一(yi)(yi)次(ci)安全(quan)測評，第(di)五級(ji)計算機(ji)(ji)信息(xi)系統(tong)(tong)應當(dang)依據特(te)殊安全(quan)要求進(jin)(jin)行安全(quan)測評。

第六章 應急處置

第二十九條 公安(an)(an)機關公共信息(xi)網絡安(an)(an)全監察部門與所(suo)在地安(an)(an)全服務機構、互聯(lian)網運(yun)營單(dan)位(wei)和其他計算機信息(xi)系統運(yun)營、使用(yong)單(dan)位(wei)應當(dang)建立(li)聯(lian)防機制，依法及時(shi)查處通過(guo)計算機信息(xi)系統進行的違法犯罪行為，組織處置(zhi)重大(da)突(tu)發事件(jian)。

第三十條 對計(ji)算(suan)(suan)機信(xin)息系統中發生的案件和重大安全事故(gu)，計(ji)算(suan)(suan)機信(xin)息系統的運營(ying)、使用單(dan)位應當在(zai)二十四小時內報告縣級以上人民政(zheng)府(fu)公安機關公共信(xin)息網(wang)絡安全監察部門，并保留有(you)關原始記錄。

第三十一條 第(di)二級以上(shang)的計算機(ji)信(xin)息系統(tong)運營、使(shi)用單位應(ying)當制(zhi)定重(zhong)大(da)突發事件應(ying)急處置預案并定期實(shi)施演練。

第三十二條 計算機信息系統發生重大突發事(shi)件，有關單位(wei)應當按照應急處置預案的(de)要求采取相應的(de)處置措施，并服(fu)從公安(an)機關和國家(jia)指定的(de)專(zhuan)門部門的(de)調度。

第三十三條 地級市以上人民政府(fu)公(gong)安(an)機(ji)(ji)關(guan)公(gong)共信息網(wang)絡安(an)全(quan)監察(cha)部門(men)經本機(ji)(ji)關(guan)主管領導(dao)批準，為保護計(ji)算(suan)機(ji)(ji)信息系統安(an)全(quan)，在發生(sheng)重大突發事(shi)件，危及國家安(an)全(quan)、公(gong)共安(an)全(quan)及社會(hui)穩(wen)定的緊急情況下，可以采取(qu)二十四(si)小時內暫時停(ting)(ting)機(ji)(ji)、暫停(ting)(ting)聯網(wang)、備份數(shu)據等措施。

第七章 安全培訓

第三十四條 省(sheng)公安(an)廳、人(ren)事廳聯合成立的(de)省(sheng)信(xin)息(xi)(xi)網絡安(an)全專(zhuan)業(ye)(ye)技(ji)(ji)術人(ren)員繼(ji)續教(jiao)育工(gong)(gong)(gong)作(zuo)(zuo)領(ling)導(dao)小組，負責全省(sheng)信(xin)息(xi)(xi)網絡安(an)全專(zhuan)業(ye)(ye)技(ji)(ji)術人(ren)員繼(ji)續教(jiao)育工(gong)(gong)(gong)作(zuo)(zuo)的(de)組織和領(ling)導(dao)。下設省(sheng)信(xin)息(xi)(xi)網絡安(an)全專(zhuan)業(ye)(ye)技(ji)(ji)術人(ren)員繼(ji)續教(jiao)育工(gong)(gong)(gong)作(zuo)(zuo)辦公室，具體(ti)負責日常管(guan)理工(gong)(gong)(gong)作(zuo)(zuo)。

第三十五條 下列人員(yuan)應當參(can)加信(xin)息網(wang)絡(luo)(luo)(luo)安全(quan)專業技術人員(yuan)繼(ji)續教(jiao)育，取得(de)省信(xin)息網(wang)絡(luo)(luo)(luo)安全(quan)專業技術人員(yuan)繼(ji)續教(jiao)育工作辦(ban)公室頒發(fa)的(de)信(xin)息網(wang)絡(luo)(luo)(luo)安全(quan)專業技術人員(yuan)繼(ji)續教(jiao)育合格證書，持證上崗(gang)：

（一）計算機信(xin)(xin)息系統運營、使用(yong)單位信(xin)(xin)息安全管理責任人、信(xin)(xin)息審查員；

（二(er)）互聯網接入服務(wu)、數據(ju)中心(xin)服務(wu)、信息服務(wu)、上網服務(wu)提(ti)供(gong)單位安全管理員、專業技(ji)術人員；

（三）安(an)全專(zhuan)用產(chan)品生產(chan)單位專(zhuan)業技(ji)術人員；

（四）安全(quan)服務機構(gou)專(zhuan)業(ye)技術人員、安全(quan)服務管理人員；

（五）其(qi)他從事計算機(ji)信息系統(tong)安全保(bao)護工(gong)作(zuo)的人員。

第三十六條 信(xin)息網(wang)絡(luo)安全專業技(ji)術(shu)人(ren)員繼(ji)續(xu)(xu)教(jiao)(jiao)育由省(sheng)信(xin)息網(wang)絡(luo)安全專業技(ji)術(shu)人(ren)員繼(ji)續(xu)(xu)教(jiao)(jiao)育工作辦公室授權(quan)的(de)施(shi)教(jiao)(jiao)機(ji)構負責實施(shi)。施(shi)教(jiao)(jiao)機(ji)構實行統籌(chou)規(gui)劃(hua)。

第三十七條 信息(xi)網絡安全專業技術(shu)人(ren)員繼續教育(yu)培(pei)訓和(he)考試按照有關(guan)規(gui)定進(jin)行(xing)，實行(xing)統(tong)一教學大(da)綱，統(tong)一教材，統(tong)一考試，統(tong)一發證。

考試(shi)合格的，由省信息網(wang)絡安全專(zhuan)業技(ji)術人員(yuan)繼(ji)續教育(yu)(yu)工(gong)作辦公(gong)室發給信息網(wang)絡安全專(zhuan)業技(ji)術人員(yuan)繼(ji)續教育(yu)(yu)證(zheng)書。

第八章 法律責任

第三十八條 違反本辦(ban)法的規定(ding)，依照有關(guan)法律、法規和(he)規章處罰。

第九章 附則

第三十九條 本細則下列用語的含義：實體(ti)安全(quan)，指保護計算機信息系統的環境，計算機設備、設施(shi)（含網絡）以及(ji)其它媒體(ti)免遭地震、水災、火災、雷電、有(you)害氣體(ti)和(he)其它環境事故（如電磁(ci)污染等）破(po)壞(huai)。

運行(xing)安全，指保護計算(suan)機(ji)信(xin)息系統(tong)的信(xin)息處理過程順利進行(xing)。

信(xin)息安(an)全，指(zhi)保障信(xin)息的完整性、保密性、可(ke)用性和可(ke)控性。

內(nei)容(rong)安(an)全，指確保計算(suan)機(ji)信(xin)息系統中(zhong)傳(chuan)輸的信(xin)息所承載的內(nei)容(rong)的合法性。

安(an)全（漏洞(dong)）檢(jian)測，指(zhi)利用計(ji)算(suan)(suan)機(ji)技術手段掃描、探測計(ji)算(suan)(suan)機(ji)信息系統安(an)全漏洞(dong)。

第四十條 本(ben)辦(ban)法規(gui)定的“以上”含本(ben)數。

第四十一條 本辦法規定的有關表格和證(zheng)書由省公安廳制(zhi)定式(shi)樣，統一監(jian)制(zhi)。

第四十二條 本(ben)辦法由省公安(an)廳負(fu)責解(jie)釋。

第四十三條 本(ben)辦(ban)法自2008年12月1日起施行。