廣東省公安廳關于計算機信息系統安全保護的實施辦法

（廣(guang)東省公安(an)廳2008年(nian)9月27日以粵公通字(zi)〔2008〕228號發布 自2008年(nian)12月1日起施行）

第一章 總則

第一條 為保護計算(suan)機信(xin)息系(xi)統(tong)安(an)全，促進信(xin)息化建設的健康發展，貫(guan)徹落實《廣(guang)東省計算(suan)機信(xin)息系(xi)統(tong)安(an)全保護條例》，根(gen)據有關(guan)法律法規，制定本辦法。

第二條 本(ben)辦法適用于(yu)廣東(dong)省行政區域內計算(suan)機(ji)信息系統的安(an)全保護。

第三條 縣級以上人(ren)民(min)政府公安(an)機(ji)關公共(gong)信(xin)息網絡安(an)全監(jian)察部門具(ju)體負責本行政區域內計算機(ji)信(xin)息系統的安(an)全保(bao)護監(jian)管工作。

第二章 安全監督

第四條 公安機關公共(gong)信息網絡安全監察(cha)部(bu)門(men)對計算機信息系統安全保護工作行使下(xia)列職責：

（一）監(jian)督(du)、檢查、指(zhi)導計算(suan)機信(xin)息系統安全保護工作；

（二）組織開展計算機信(xin)息(xi)系統安全等級保護；

（三）查處計算機(ji)違(wei)法犯罪案(an)件；

（四）組織處置重(zhong)大計(ji)算(suan)機信息系統安全事(shi)故(gu)和(he)事(shi)件(jian)；

（五）負責計算機病毒和其他有害數據防治(zhi)管理；

（六）負責計算機信息系統安全(quan)服務的監(jian)督指導(dao)；

（七(qi)）負(fu)責計算機(ji)信(xin)息系統(tong)安全專用產品的監督管理；

（八(ba)）負責計算機信(xin)息系統安(an)全(quan)培(pei)訓管理；

（九）法(fa)律(lv)、法(fa)規(gui)(gui)和(he)規(gui)(gui)章規(gui)(gui)定(ding)的其他職責(ze)。

第五條 公安(an)機關(guan)公共信(xin)息(xi)網絡(luo)安(an)全(quan)監察部門應當對(dui)計算機信(xin)息(xi)系統落(luo)實實體安(an)全(quan)、運行安(an)全(quan)、信(xin)息(xi)安(an)全(quan)和內容安(an)全(quan)措施的情況進行檢查。

對(dui)(dui)(dui)第(di)三級計(ji)算(suan)機(ji)信息(xi)系統(tong)每年至少檢(jian)查(cha)一次(ci)，對(dui)(dui)(dui)第(di)四級計(ji)算(suan)機(ji)信息(xi)系統(tong)每半年至少檢(jian)查(cha)一次(ci)。對(dui)(dui)(dui)第(di)五級計(ji)算(suan)機(ji)信息(xi)系統(tong)，應(ying)當會同國(guo)家指定(ding)的專門部(bu)門進行(xing)檢(jian)查(cha)。

對其(qi)他計算機信息系統應當不定期開(kai)展檢查。

第六條 公(gong)安(an)機關公(gong)共信息網絡(luo)安(an)全(quan)(quan)監察部門發現(xian)計(ji)算機信息系統的(de)安(an)全(quan)(quan)保護等(deng)級和(he)安(an)全(quan)(quan)措施不符合有(you)關規定和(he)技術標(biao)準，或者存在安(an)全(quan)(quan)隱(yin)患的(de)，應當通知運營、使用(yong)單位進(jin)行整改。

第七條 公安(an)(an)機(ji)關公共信息網絡安(an)(an)全監(jian)察(cha)部門應當向公眾提(ti)供報警求助渠道(dao)，提(ti)供計算(suan)機(ji)信息系統(tong)安(an)(an)全指導，發布安(an)(an)全動態，開展(zhan)安(an)(an)全宣傳。

第三章 安全保護責任

第八條 單位和個人(ren)應(ying)當依照有關法規、規章和標準，對其所有、使用和管(guan)理(li)的(de)(de)計算機(ji)信(xin)息系統承(cheng)擔(dan)相(xiang)應(ying)的(de)(de)安(an)全保護責任。

第九條 第二級以上計算機信息(xi)系統的運營、使用(yong)單位應當建立安全保護組織，并報所在(zai)地(di)地(di)級以上市人民政府(fu)公(gong)(gong)安機關公(gong)(gong)共信息(xi)網絡(luo)安全監察(cha)部(bu)門備案。

第十條 安全(quan)保護組(zu)(zu)織(zhi)(zhi)保障本單位(wei)計算(suan)(suan)機信(xin)(xin)息(xi)(xi)(xi)系(xi)統(tong)(tong)的安全(quan)運行(xing)，組(zu)(zu)織(zhi)(zhi)本單位(wei)計算(suan)(suan)機信(xin)(xin)息(xi)(xi)(xi)系(xi)統(tong)(tong)的有害信(xin)(xin)息(xi)(xi)(xi)防治工作，組(zu)(zu)織(zhi)(zhi)開展(zhan)本單位(wei)計算(suan)(suan)機信(xin)(xin)息(xi)(xi)(xi)系(xi)統(tong)(tong)安全(quan)教(jiao)育(yu)和(he)培訓，向(xiang)公安機關(guan)公共信(xin)(xin)息(xi)(xi)(xi)網絡安全(quan)監察(cha)部門報告本單位(wei)計算(suan)(suan)機信(xin)(xin)息(xi)(xi)(xi)系(xi)統(tong)(tong)運行(xing)、服務(wu)和(he)安全(quan)等情況，及(ji)時協助公安機關(guan)公共信(xin)(xin)息(xi)(xi)(xi)網絡安全(quan)監察(cha)部門查(cha)處違法(fa)犯(fan)罪和(he)處置突發事件。

第十一條 互聯(lian)單(dan)位、互聯(lian)網接入服務(wu)單(dan)位、互聯(lian)網數據(ju)中(zhong)心應當對接入本網絡的用戶進行資(zi)格(ge)審查，確認符合(he)國家和(he)省有關規(gui)定后(hou)方(fang)可為(wei)其(qi)提供服務(wu)。

互聯網接入服務(wu)(wu)、信息服務(wu)(wu)單位以及互聯網數據中心(xin)應(ying)當向(xiang)用戶宣傳相關法律法規(gui)，提供必(bi)要的(de)安全(quan)保護(hu)措(cuo)施。

第十二條 個(ge)人主頁、博客、聊天室、點(dian)對點(dian)服務(wu)等互聯網信息服務(wu)的提(ti)供(gong)單位和使用者應當依照國家和省有(you)關規定，落實相應的安全措施。

第十三條 網吧、圖書(shu)館、學校、賓館等提供互聯網上網服務的(de)場所應當安(an)裝符合國家規(gui)定(ding)的(de)安(an)全管理系統。

第十四條 互(hu)聯(lian)(lian)單(dan)位(wei)、互(hu)聯(lian)(lian)網接入服務(wu)單(dan)位(wei)以及互(hu)聯(lian)(lian)網數據中心(xin)應(ying)當每月將接入本網絡的用(yong)戶情況報地級以上市公(gong)安機關公(gong)共信(xin)息網絡安全監(jian)察(cha)部(bu)門備案。

第十五條 計算機信(xin)息(xi)系統運營(ying)、使用單(dan)位應當接受公(gong)安機關公(gong)共信(xin)息(xi)網絡安全(quan)監(jian)察(cha)部門的監(jian)督(du)、檢查、指導，如實提(ti)供安全(quan)保(bao)護有關信(xin)息(xi)、資料(liao)及數據文件，不得變相拒絕、拖延、阻礙公(gong)安機關公(gong)共信(xin)息(xi)網絡安全(quan)監(jian)察(cha)部門依法(fa)執行公(gong)務。

第四章 安全專用產品和安全服務

第十六條 安全專用(yong)產品(pin)必須取(qu)得公安部頒發的銷售(shou)許可證方可銷售(shou)。

第十七條 生產(chan)、銷售(shou)或者提供(gong)含有計算機(ji)信息(xi)網(wang)絡(luo)遠程控(kong)制、密碼猜解、安全（漏洞）檢測(ce)、信息(xi)群(qun)發技(ji)術(shu)的(de)(de)產(chan)品和工具(ju)的(de)(de)，應當在領取營(ying)業執照(zhao)后30日(ri)內(nei)（沒有營(ying)業執照(zhao)的(de)(de)，自(zi)開(kai)辦之日(ri)起(qi)30日(ri)內(nei)）向單位所(suo)在地(di)地(di)級(ji)以上市人民政(zheng)府公(gong)安機(ji)關公(gong)共信息(xi)網(wang)絡(luo)安全監(jian)察部(bu)門備案，填寫《廣東省計算機(ji)信息(xi)網(wang)絡(luo)安全特(te)種技(ji)術(shu)備案表》，并提交如下資料：

（一）單位簡況；

（二(er)）營業執照（或其他有效證(zheng)明）復印件；

（三）研發和(he)服務管理制度；

（四(si)）主要經營(ying)管理人員、技術(shu)人員和服務人員有效證(zheng)件(jian)復印件(jian)；

（五）主要(yao)產品情況。

第十八條 安全保護(hu)等級為第三級以上的計算(suan)機(ji)信息系(xi)統應當選用符合下列條件(jian)的安全專用產(chan)品：

（一）產(chan)品研制、生(sheng)產(chan)單位是由(you)中國公民、法人(ren)投資(zi)(zi)或(huo)者國家投資(zi)(zi)或(huo)者控股(gu)的(de)，在中華人(ren)民共和國境內具有獨立的(de)法人(ren)資(zi)(zi)格；

（二）產品的核心(xin)技術、關鍵部件具有我國自(zi)主知識產權(quan)；

（三(san)）產(chan)品研(yan)制、生產(chan)單位及其主要業(ye)務、技(ji)術人員無犯罪記錄；

（四）產品(pin)研制、生產單位聲明沒有(you)故(gu)意留有(you)或(huo)者設置漏洞、后門、木(mu)馬等(deng)程(cheng)序和(he)功能(neng)；

（五）對國家安(an)全(quan)、社會(hui)秩序、公共利益(yi)不構成(cheng)危害。

第十九條 符合(he)第十八條規定的安(an)全專用產品(pin)和生產單(dan)位應當到省公安(an)廳公共信(xin)息網絡(luo)安(an)全監(jian)察(cha)部門備案。

第二十條 為加強(qiang)安全(quan)服務機(ji)構(gou)的指導，推(tui)動安全(quan)服務質量(liang)和技術水(shui)平的提高，廣東省(sheng)對從事計算(suan)機(ji)信息系統安全(quan)設(she)計、建設(she)、檢測、評(ping)估等安全(quan)服務的機(ji)構(gou)，根據(ju)其注(zhu)冊資本、服務業績、技術力量(liang)、組(zu)織管理情況實行分級指導。

第五章 安全等級測評

第二十一條 第(di)二級(ji)以上的(de)(de)計(ji)算(suan)機信息系(xi)統的(de)(de)安全測評(ping)應當選擇符合(he)下列條件的(de)(de)計(ji)算(suan)機信息系(xi)統安全等級(ji)測評(ping)機構(gou)（簡稱測評(ping)機構(gou)）承(cheng)擔：

（一(yi)）在(zai)中華人民共和國(guo)境內(nei)注冊成立（港澳(ao)臺(tai)地(di)區除外），具有相應(ying)經營(ying)(ying)范圍的(de)營(ying)(ying)業(ye)執(zhi)照(zhao)，注冊資本100萬元以上；

（二）由(you)中國公民(min)投資(zi)、中國法人投資(zi)或(huo)者(zhe)國家投資(zi)的企事業(ye)單(dan)位（港澳臺地區除外(wai)）；

（三）近3年完成的測評(ping)項目總(zong)值150萬元(yuan)以(yi)上；

（四）具有計算機安全(quan)或(huo)相關專(zhuan)業資格證書的專(zhuan)業技術(shu)人員(yuan)不少于(yu)20人，其中大學本科以上(shang)學歷(li)的人員(yuan)不少于(yu)15人；

（五）管理人(ren)員應當具有3年(nian)以上從事計(ji)算(suan)機信息(xi)系統安(an)全技(ji)術領域企(qi)業管理工(gong)作經(jing)歷，技(ji)術負責(ze)人(ren)已(yi)獲得計(ji)算(suan)機信息(xi)系統安(an)全技(ji)術相關專業的(de)高級職(zhi)稱，從事安(an)全測評工(gong)作不少(shao)于(yu)3年(nian)，無犯罪記錄；

（六）工作人員僅限于中國公民，法人及主要業(ye)務、技術人員無犯(fan)罪(zui)記錄；

（七）具有與所(suo)承擔項目適(shi)應的技術(shu)裝備；

（八）具有完備的保密管(guan)理(li)(li)、項(xiang)目管(guan)理(li)(li)、質量管(guan)理(li)(li)、人員(yuan)管(guan)理(li)(li)和培訓教育等安全管(guan)理(li)(li)制度；

（九）對國家安全、社會秩(zhi)序、公共利益不構成威脅。

第二十二條 廣東省(sheng)對(dui)測評機構(gou)實施備案制(zhi)度。符(fu)合第二(er)十一條規定的(de)條件，承擔第二(er)級以上的(de)計算(suan)機信(xin)息系統(tong)測評工作的(de)機構(gou)應當到(dao)省(sheng)公安廳(ting)公共信(xin)息網(wang)絡安全監察部門(men)備案。

第二十三條 省公(gong)安廳公(gong)共信(xin)息網絡安全監察部門對已備案的(de)測評機(ji)構進行公(gong)布。

第二十四條 測(ce)評機(ji)構應(ying)當履行下列義務(wu)：

（一）遵守(shou)國家(jia)有關法律法規(gui)和(he)技(ji)術標(biao)準，提供安(an)全、客觀、公正的檢測評(ping)估(gu)服務(wu)，保證測評(ping)的質量和(he)效果；

（二）保守在測評活(huo)動中(zhong)知悉的國家秘密、商業(ye)秘密和個人隱私，防范測評風(feng)險；

（三）對(dui)測評(ping)人員進行安(an)全(quan)保(bao)密教育，與其(qi)簽(qian)訂安(an)全(quan)保(bao)密責任書(shu)，規定(ding)應當履行的安(an)全(quan)保(bao)密義(yi)務(wu)和承擔(dan)的法(fa)律責任，并(bing)負責檢查落實。

第二十五條 第二級以上的(de)(de)計算(suan)機信息系統建設完成后，使(shi)用單位應當委托符合規定的(de)(de)測(ce)評(ping)(ping)機構(gou)安(an)(an)全測(ce)評(ping)(ping)合格方(fang)可(ke)投(tou)入(ru)使(shi)用。測(ce)評(ping)(ping)活動應當接受公(gong)安(an)(an)機關公(gong)共信息網(wang)絡安(an)(an)全監(jian)察部門的(de)(de)監(jian)督(du)。

第二十六條 計算機信息系統運營、使用單位委托安(an)全測評機構(gou)測評，應(ying)當提交下列資料：

（一）安全(quan)測評委(wei)托書(shu)；

（二）計算機信(xin)息(xi)系統應用(yong)需求、系統結(jie)構拓撲(pu)及說明、系統安(an)全(quan)組織(zhi)結(jie)構和管理(li)制度、安(an)全(quan)保護設(she)施(shi)設(she)計實(shi)(shi)施(shi)方案或(huo)者(zhe)改建(jian)實(shi)(shi)施(shi)方案、系統軟件硬件和信(xin)息(xi)安(an)全(quan)產品(pin)清單。

第二十七條 安(an)全(quan)測評(ping)機(ji)構在收到委托材(cai)料后，應當(dang)與委托方協商制(zhi)訂(ding)安(an)全(quan)測評(ping)計劃，開展(zhan)安(an)全(quan)測評(ping)工作，并(bing)出具安(an)全(quan)測評(ping)報告。

經測評，計算機(ji)信息系統安全狀況未(wei)達到國(guo)家有關規定和標準的要(yao)求，委托單位應(ying)當(dang)根(gen)據測評報告的建(jian)議(yi)，完(wan)善計算機(ji)信息系統安全建(jian)設(she)，并重新(xin)提出安全測評委托。

測評(ping)(ping)機(ji)構對計算(suan)(suan)機(ji)信(xin)(xin)息(xi)系統進(jin)行使用(yong)前安(an)(an)(an)(an)全測評(ping)(ping)，應當預先(xian)報(bao)告地級以上市(shi)公(gong)安(an)(an)(an)(an)機(ji)關(guan)公(gong)共信(xin)(xin)息(xi)網絡安(an)(an)(an)(an)全監(jian)察(cha)部(bu)門。安(an)(an)(an)(an)全測評(ping)(ping)報(bao)告由計算(suan)(suan)機(ji)信(xin)(xin)息(xi)系統運(yun)營、使用(yong)單位(wei)報(bao)地級以上市(shi)公(gong)安(an)(an)(an)(an)機(ji)關(guan)公(gong)共信(xin)(xin)息(xi)網絡安(an)(an)(an)(an)全監(jian)察(cha)部(bu)門。

第二十八條 第三級計算機(ji)信息系(xi)統(tong)應(ying)(ying)當(dang)(dang)每年(nian)至少進行(xing)一次安(an)全(quan)測(ce)評(ping)(ping)，第四(si)級計算機(ji)信息系(xi)統(tong)應(ying)(ying)當(dang)(dang)每半年(nian)至少進行(xing)一次安(an)全(quan)測(ce)評(ping)(ping)，第五級計算機(ji)信息系(xi)統(tong)應(ying)(ying)當(dang)(dang)依據特殊安(an)全(quan)要求(qiu)進行(xing)安(an)全(quan)測(ce)評(ping)(ping)。

第六章 應急處置

第二十九條 公安機(ji)關公共信(xin)息(xi)(xi)網(wang)絡安全監(jian)察部門與(yu)所在地安全服務機(ji)構、互聯網(wang)運(yun)營單位和其他計算機(ji)信(xin)息(xi)(xi)系(xi)統運(yun)營、使(shi)用單位應(ying)當(dang)建立聯防機(ji)制，依法及時查處通過計算機(ji)信(xin)息(xi)(xi)系(xi)統進行(xing)的違法犯(fan)罪行(xing)為，組織(zhi)處置重大突發(fa)事件(jian)。

第三十條 對計算機(ji)信息系(xi)統中發生的案件和重大安全事故，計算機(ji)信息系(xi)統的運營(ying)、使用(yong)單位應當在二十四小時內報(bao)告縣級以上人民政府公安機(ji)關(guan)公共信息網絡安全監察部門(men)，并保(bao)留有關(guan)原始記錄(lu)。

第三十一條 第(di)二級以(yi)上的計算機信(xin)息系統運(yun)營(ying)、使用單位(wei)應當(dang)制(zhi)定重(zhong)大突發事件應急處(chu)置(zhi)預案并(bing)定期實(shi)施演練(lian)。

第三十二條 計(ji)算(suan)機信息系統發(fa)生重(zhong)大突(tu)發(fa)事件，有(you)關單位(wei)應(ying)當按照應(ying)急處置預(yu)案的要求(qiu)采取(qu)相(xiang)應(ying)的處置措施，并服從(cong)公安(an)機關和國家指定的專門(men)(men)部門(men)(men)的調度。

第三十三條 地級市以上人民政府公安機(ji)(ji)關公共信息網絡(luo)安全監察部(bu)門經(jing)本機(ji)(ji)關主管領(ling)導批(pi)準，為保護計算機(ji)(ji)信息系統安全，在發生重大(da)突發事件(jian)，危及國家(jia)安全、公共安全及社會穩定的緊急情況下(xia)，可以采取二十(shi)四(si)小時(shi)內暫(zan)時(shi)停機(ji)(ji)、暫(zan)停聯網、備份數據等措施。

第七章 安全培訓

第三十四條 省公安(an)廳(ting)、人事(shi)廳(ting)聯(lian)合成立的(de)省信(xin)息網絡(luo)安(an)全專業技術(shu)人員(yuan)繼(ji)續(xu)教育工作(zuo)(zuo)領導小組，負(fu)責(ze)全省信(xin)息網絡(luo)安(an)全專業技術(shu)人員(yuan)繼(ji)續(xu)教育工作(zuo)(zuo)的(de)組織和領導。下設省信(xin)息網絡(luo)安(an)全專業技術(shu)人員(yuan)繼(ji)續(xu)教育工作(zuo)(zuo)辦(ban)公室，具(ju)體(ti)負(fu)責(ze)日常管理(li)工作(zuo)(zuo)。

第三十五條 下列人(ren)員應當參加信息網(wang)絡安(an)全專(zhuan)業技(ji)術人(ren)員繼續教(jiao)育(yu)，取得省信息網(wang)絡安(an)全專(zhuan)業技(ji)術人(ren)員繼續教(jiao)育(yu)工作辦公室頒發的(de)信息網(wang)絡安(an)全專(zhuan)業技(ji)術人(ren)員繼續教(jiao)育(yu)合格證書，持(chi)證上崗(gang)：

（一）計算機信(xin)息系統運營、使用單(dan)位(wei)信(xin)息安全管理責任人、信(xin)息審查員；

（二）互聯(lian)網接入服(fu)務、數據中心服(fu)務、信息(xi)服(fu)務、上網服(fu)務提(ti)供單位安全管(guan)理員(yuan)、專業技(ji)術人員(yuan)；

（三(san)）安全專用產品生產單位專業技術(shu)人員；

（四）安全服(fu)務機構專業(ye)技術人(ren)員、安全服(fu)務管理人(ren)員；

（五）其他從事(shi)計算機信息系統安全保護工(gong)作的人員。

第三十六條 信息網絡(luo)安(an)全(quan)專(zhuan)業技術人員繼續教育(yu)由省信息網絡(luo)安(an)全(quan)專(zhuan)業技術人員繼續教育(yu)工(gong)作(zuo)辦(ban)公室(shi)授權的(de)施教機(ji)構(gou)負責實施。施教機(ji)構(gou)實行統籌規劃(hua)。

第三十七條 信息(xi)網絡(luo)安全專業技術人員繼續教育培訓和考(kao)試按照(zhao)有關規定(ding)進(jin)行(xing)，實行(xing)統一教學大綱，統一教材，統一考(kao)試，統一發證。

考試合格(ge)的，由省信息網(wang)絡安全專業技(ji)術人員繼(ji)續教(jiao)育(yu)工作(zuo)辦(ban)公室發給信息網(wang)絡安全專業技(ji)術人員繼(ji)續教(jiao)育(yu)證(zheng)書。

第八章 法律責任

第三十八條 違反(fan)本辦(ban)法(fa)的規(gui)定(ding)，依照有關法(fa)律、法(fa)規(gui)和規(gui)章處罰。

第九章 附則

第三十九條 本細則下列用語的(de)含義：實體(ti)安全(quan)，指保(bao)護計算(suan)機信息系(xi)統的(de)環境，計算(suan)機設備、設施（含網絡）以及其它(ta)(ta)媒體(ti)免遭地震、水災(zai)、火災(zai)、雷電、有害(hai)氣體(ti)和(he)其它(ta)(ta)環境事故（如電磁污染等）破壞(huai)。

運行安全，指保護計算機信息(xi)系統的信息(xi)處理過程順利進(jin)行。

信(xin)息安全，指(zhi)保障信(xin)息的完整(zheng)性(xing)、保密性(xing)、可用性(xing)和可控性(xing)。

內(nei)容(rong)安(an)全，指確保計算(suan)機信息系統中(zhong)傳輸(shu)的信息所承(cheng)載的內(nei)容(rong)的合法性。

安全（漏(lou)洞(dong)）檢測，指(zhi)利用(yong)計(ji)(ji)算機技術手段掃(sao)描、探測計(ji)(ji)算機信息系(xi)統安全漏(lou)洞(dong)。

第四十條 本(ben)(ben)辦(ban)法規定的“以上”含本(ben)(ben)數。

第四十一條 本辦法規定的(de)有關表格和證(zheng)書由省公安廳制(zhi)(zhi)定式(shi)樣(yang)，統一監制(zhi)(zhi)。

第四十二條 本辦法由省(sheng)公(gong)安(an)廳負責解釋。

第四十三條 本辦法(fa)自2008年12月1日起施行。