廣東省公安廳關于計算機信息系統安全保護的實施辦法

（廣東省公安廳2008年9月27日以粵公通字〔2008〕228號發(fa)布 自2008年12月1日起(qi)施行）

第一章 總則

第一條 為保(bao)護(hu)計算機信(xin)(xin)息(xi)系統(tong)安全，促(cu)進信(xin)(xin)息(xi)化建設的健康發展，貫徹落(luo)實《廣(guang)東省(sheng)計算機信(xin)(xin)息(xi)系統(tong)安全保(bao)護(hu)條例》，根據有關法(fa)(fa)律法(fa)(fa)規，制定本辦法(fa)(fa)。

第二條 本辦法適用于廣東(dong)省行政區域(yu)內(nei)計算機信息系統(tong)的安(an)全保護(hu)。

第三條 縣級(ji)以上人民政(zheng)府公(gong)安(an)(an)機關公(gong)共信(xin)息(xi)網絡安(an)(an)全(quan)監察部門具體負(fu)責本(ben)行政(zheng)區(qu)域內(nei)計(ji)算(suan)機信(xin)息(xi)系統的(de)安(an)(an)全(quan)保護監管工作。

第二章 安全監督

第四條 公安(an)機(ji)(ji)關(guan)公共(gong)信息網(wang)絡安(an)全監察部(bu)門對計算機(ji)(ji)信息系統安(an)全保護工作行使下列職責：

（一）監督、檢(jian)查(cha)、指(zhi)導(dao)計算機信息系統(tong)安全(quan)保(bao)護(hu)工作(zuo)；

（二）組織開(kai)展計算機(ji)信息系統安(an)全等級(ji)保(bao)護；

（三）查處(chu)計算機違(wei)法犯罪案件；

（四）組(zu)織(zhi)處置(zhi)重(zhong)大計算機信息系統安全事故和事件；

（五）負(fu)責計算機病毒和其(qi)他有害數據防治管理(li)；

（六(liu)）負責計算機(ji)信(xin)息系統安全服務的監(jian)督指導；

（七）負責計算機(ji)信息系(xi)統安(an)全(quan)專用產品(pin)的監督管理；

（八）負責計算機信息系統安全(quan)培訓管理；

（九）法律、法規和(he)規章規定的其他(ta)職責(ze)。

第五條 公安(an)(an)(an)機(ji)關公共(gong)信(xin)息(xi)網絡安(an)(an)(an)全(quan)監(jian)察部門應(ying)當對計(ji)算(suan)機(ji)信(xin)息(xi)系統落(luo)實(shi)實(shi)體安(an)(an)(an)全(quan)、運行安(an)(an)(an)全(quan)、信(xin)息(xi)安(an)(an)(an)全(quan)和內(nei)容安(an)(an)(an)全(quan)措施的情況進行檢查(cha)。

對(dui)第三級計算(suan)(suan)機(ji)信(xin)息系統每年至少檢查一次(ci)，對(dui)第四級計算(suan)(suan)機(ji)信(xin)息系統每半年至少檢查一次(ci)。對(dui)第五級計算(suan)(suan)機(ji)信(xin)息系統，應當會同國家(jia)指定的專(zhuan)門部門進行檢查。

對其他計(ji)算機信(xin)息系統應(ying)當不定期開展(zhan)檢查。

第六條 公(gong)(gong)安(an)機(ji)(ji)關(guan)公(gong)(gong)共(gong)信(xin)息(xi)網(wang)絡安(an)全監察部門發現計算機(ji)(ji)信(xin)息(xi)系統的安(an)全保護等(deng)級和(he)安(an)全措(cuo)施不符合(he)有關(guan)規(gui)定(ding)和(he)技(ji)術標準，或(huo)者(zhe)存在安(an)全隱患的，應當通知(zhi)運營(ying)、使用(yong)單位(wei)進行整改(gai)。

第七條 公(gong)安(an)機關公(gong)共(gong)信(xin)息網絡安(an)全監察部門(men)應當向(xiang)公(gong)眾提供(gong)報警求助渠(qu)道，提供(gong)計(ji)算機信(xin)息系統安(an)全指導，發(fa)布安(an)全動態，開展安(an)全宣傳。

第三章 安全保護責任

第八條 單位(wei)和(he)個人應(ying)當依(yi)照有關(guan)法規、規章(zhang)和(he)標準(zhun)，對其所有、使用和(he)管(guan)理的(de)計算機(ji)信息系統承擔相應(ying)的(de)安全保護(hu)責(ze)任。

第九條 第二級(ji)以上(shang)計(ji)算機信息(xi)系統的運營、使用單位應當(dang)建立安全保護組織(zhi)，并報所在地地級(ji)以上(shang)市(shi)人(ren)民政(zheng)府公(gong)安機關(guan)公(gong)共信息(xi)網絡安全監察部門(men)備案。

第十條 安全保(bao)護組織(zhi)(zhi)保(bao)障(zhang)本單(dan)位計算(suan)機(ji)信(xin)(xin)息(xi)系統(tong)的安全運(yun)行(xing)，組織(zhi)(zhi)本單(dan)位計算(suan)機(ji)信(xin)(xin)息(xi)系統(tong)的有害信(xin)(xin)息(xi)防治(zhi)工作，組織(zhi)(zhi)開展本單(dan)位計算(suan)機(ji)信(xin)(xin)息(xi)系統(tong)安全教育(yu)和培訓(xun)，向(xiang)公(gong)安機(ji)關公(gong)共信(xin)(xin)息(xi)網絡(luo)安全監(jian)察(cha)部(bu)門報(bao)告(gao)本單(dan)位計算(suan)機(ji)信(xin)(xin)息(xi)系統(tong)運(yun)行(xing)、服務和安全等情(qing)況，及時協(xie)助公(gong)安機(ji)關公(gong)共信(xin)(xin)息(xi)網絡(luo)安全監(jian)察(cha)部(bu)門查處違法犯罪和處置突發(fa)事(shi)件。

第十一條 互聯單位(wei)(wei)、互聯網接入(ru)服(fu)務(wu)單位(wei)(wei)、互聯網數據(ju)中心應當對接入(ru)本網絡的用戶進行資格審查(cha)，確認符(fu)合國家和省有關規定后方可(ke)為其提供服(fu)務(wu)。

互聯(lian)(lian)網接入服務、信息服務單(dan)位以(yi)及互聯(lian)(lian)網數(shu)據中心應(ying)當向(xiang)用戶宣傳相關法律法規(gui)，提供必(bi)要的安全(quan)保(bao)護措施。

第十二條 個人主頁、博客、聊天室、點對點服務(wu)等互聯網信息(xi)服務(wu)的(de)提(ti)供(gong)單(dan)位和(he)(he)使用者(zhe)應當依照國家(jia)和(he)(he)省(sheng)有(you)關規定，落實相應的(de)安全措施。

第十三條 網(wang)吧、圖書館、學校、賓館等提供互(hu)聯網(wang)上網(wang)服(fu)務的場所應當(dang)安裝符合(he)國家規定的安全(quan)管理(li)系統。

第十四條 互聯單位、互聯網(wang)接入(ru)服務(wu)單位以及互聯網(wang)數據(ju)中心(xin)應當每月將接入(ru)本網(wang)絡的用戶情況報(bao)地級以上市公安機關公共信(xin)息網(wang)絡安全監察(cha)部門備案。

第十五條 計算機信息系(xi)統運營(ying)、使用單位應當(dang)接受公(gong)(gong)安機關公(gong)(gong)共信息網絡(luo)安全監(jian)察部(bu)門(men)的監(jian)督、檢查、指導，如實(shi)提供安全保(bao)護有關信息、資料及數據(ju)文(wen)件，不得變相拒絕(jue)、拖(tuo)延(yan)、阻礙公(gong)(gong)安機關公(gong)(gong)共信息網絡(luo)安全監(jian)察部(bu)門(men)依(yi)法執(zhi)行公(gong)(gong)務。

第四章 安全專用產品和安全服務

第十六條 安全專用產品必須取得公安部頒發的銷售許可證方(fang)可銷售。

第十七條 生產(chan)(chan)、銷售(shou)或者提供含有計算機信(xin)(xin)息(xi)網絡遠程控制(zhi)、密碼猜解、安(an)全（漏(lou)洞）檢(jian)測、信(xin)(xin)息(xi)群(qun)發技術(shu)的(de)產(chan)(chan)品和(he)工具的(de)，應當(dang)在領取營業執照(zhao)后30日內（沒有營業執照(zhao)的(de)，自開(kai)辦之日起30日內）向單位(wei)所在地地級以上市人民(min)政府(fu)公安(an)機關(guan)公共(gong)信(xin)(xin)息(xi)網絡安(an)全監察部門備(bei)案(an)(an)，填(tian)寫《廣東省計算機信(xin)(xin)息(xi)網絡安(an)全特(te)種技術(shu)備(bei)案(an)(an)表(biao)》，并提交(jiao)如下資料：

（一）單位簡況；

（二(er)）營業執(zhi)照（或其(qi)他有效證明）復印(yin)件；

（三）研發和服(fu)務管理制度；

（四）主(zhu)要經營管理人員、技(ji)術人員和服務人員有效證(zheng)件(jian)復印件(jian)；

（五）主(zhu)要產品情況。

第十八條 安(an)(an)全保護等級為第三級以上(shang)的(de)(de)計算機信息系(xi)統應當選用符(fu)合(he)下列(lie)條(tiao)件的(de)(de)安(an)(an)全專用產品：

（一）產(chan)品研制、生(sheng)產(chan)單位是由中(zhong)國(guo)公民(min)、法人投(tou)資或(huo)者國(guo)家投(tou)資或(huo)者控股(gu)的(de)，在(zai)中(zhong)華人民(min)共和國(guo)境內具有獨(du)立的(de)法人資格(ge)；

（二）產品的核心技術、關鍵(jian)部件具有我國自主知識產權；

（三）產品研制(zhi)、生(sheng)產單位及其主要業務、技術人員無犯罪(zui)記錄；

（四）產品研制、生產單位聲明(ming)沒(mei)有(you)故意留有(you)或者設置(zhi)漏洞、后門、木馬等(deng)程(cheng)序和(he)功能；

（五）對國家(jia)安(an)全、社會秩序(xu)、公共利益不構成危害。

第十九條 符合(he)第十(shi)八條規(gui)定(ding)的安全專用產(chan)品和生(sheng)產(chan)單位(wei)應(ying)當到省(sheng)公安廳公共(gong)信息網絡(luo)安全監察部門備案。

第二十條 為加強安(an)(an)全服(fu)(fu)務(wu)機(ji)構的指導(dao)，推動安(an)(an)全服(fu)(fu)務(wu)質量(liang)和技(ji)術水平的提(ti)高(gao)，廣東省(sheng)對從(cong)事(shi)計算機(ji)信(xin)息系(xi)統安(an)(an)全設(she)計、建(jian)設(she)、檢測(ce)、評(ping)估等安(an)(an)全服(fu)(fu)務(wu)的機(ji)構，根據其注冊資本(ben)、服(fu)(fu)務(wu)業績、技(ji)術力量(liang)、組織管理情況實(shi)行分級指導(dao)。

第五章 安全等級測評

第二十一條 第二級(ji)以(yi)上的計(ji)算(suan)機(ji)信息(xi)系統的安(an)全測評應當選擇符(fu)合下列條件的計(ji)算(suan)機(ji)信息(xi)系統安(an)全等級(ji)測評機(ji)構（簡稱測評機(ji)構）承擔(dan)：

（一）在中(zhong)華人民共和國境(jing)內注冊成立（港澳臺地區(qu)除外），具有相(xiang)應經營(ying)范圍的(de)營(ying)業執照，注冊資本100萬元(yuan)以上(shang)；

（二）由中國(guo)公民(min)投資、中國(guo)法人投資或者國(guo)家(jia)投資的企事(shi)業(ye)單(dan)位（港澳臺(tai)地區除外）；

（三）近3年(nian)完(wan)成的測(ce)評項目總值150萬元以(yi)上；

（四）具有計算(suan)機安(an)全或相關專(zhuan)業資格證書的專(zhuan)業技術人(ren)員不少于20人(ren)，其中大(da)學(xue)本科以(yi)上學(xue)歷(li)的人(ren)員不少于15人(ren)；

（五）管理人員應當具有3年(nian)以上從事計(ji)算機信息系統(tong)(tong)安(an)全技(ji)術(shu)領(ling)域企業管理工(gong)作(zuo)經(jing)歷，技(ji)術(shu)負責人已獲得計(ji)算機信息系統(tong)(tong)安(an)全技(ji)術(shu)相關專業的高級職(zhi)稱，從事安(an)全測評工(gong)作(zuo)不少于3年(nian)，無犯罪記錄(lu)；

（六）工(gong)作(zuo)人員(yuan)僅限于中國公民，法人及主要業(ye)務(wu)、技術人員(yuan)無犯(fan)罪記(ji)錄；

（七）具有與所承(cheng)擔項(xiang)目適應的技術裝(zhuang)備；

（八）具有(you)完備的保密管理(li)(li)(li)、項目管理(li)(li)(li)、質量管理(li)(li)(li)、人員(yuan)管理(li)(li)(li)和培(pei)訓教(jiao)育等(deng)安全管理(li)(li)(li)制度；

（九）對國家安全(quan)、社(she)會(hui)秩(zhi)序(xu)、公共(gong)利益(yi)不構成(cheng)威脅。

第二十二條 廣東(dong)省對(dui)測評機(ji)構實施備案制度。符合(he)第二(er)十一(yi)條規定的(de)條件，承擔第二(er)級以上的(de)計算機(ji)信息系(xi)統測評工作的(de)機(ji)構應當到省公(gong)安廳公(gong)共信息網絡安全(quan)監察(cha)部(bu)門備案。

第二十三條 省(sheng)公安廳公共信息網絡安全(quan)監察(cha)部門(men)對已備案的(de)測評(ping)機(ji)構進行公布。

第二十四條 測評(ping)機(ji)構應當履行(xing)下列義(yi)務：

（一）遵守國家有(you)關(guan)法(fa)律法(fa)規和(he)技(ji)術標準，提供安全、客觀、公(gong)正的(de)檢(jian)測評估服務，保證測評的(de)質量和(he)效果；

（二）保守在測評(ping)活(huo)動中知悉(xi)的國家秘密、商業秘密和個人(ren)隱私，防范測評(ping)風(feng)險；

（三(san)）對測(ce)評人員進行(xing)安全保密教育，與其(qi)簽(qian)訂安全保密責任(ren)書，規定應當履行(xing)的安全保密義務(wu)和承擔的法律責任(ren)，并負責檢查落實。

第二十五條 第二級以上(shang)的(de)計算機信息系(xi)統建設完成后，使(shi)(shi)用單位應當(dang)(dang)委托符合(he)規(gui)定的(de)測(ce)評(ping)機構安(an)全(quan)測(ce)評(ping)合(he)格方可投入使(shi)(shi)用。測(ce)評(ping)活動(dong)應當(dang)(dang)接(jie)受公安(an)機關公共(gong)信息網(wang)絡安(an)全(quan)監(jian)察部門(men)的(de)監(jian)督(du)。

第二十六條 計算機信(xin)息系(xi)統運營、使用單位委托(tuo)安全測(ce)評(ping)機構測(ce)評(ping)，應當(dang)提交下列(lie)資料：

（一）安(an)全(quan)測評委托書；

（二(er)）計(ji)算機(ji)信息系統(tong)(tong)應用需(xu)求、系統(tong)(tong)結(jie)構(gou)拓撲及說(shuo)明、系統(tong)(tong)安全組織(zhi)結(jie)構(gou)和管理(li)制度、安全保護(hu)設(she)施設(she)計(ji)實施方案(an)或者改建實施方案(an)、系統(tong)(tong)軟件硬件和信息安全產(chan)品清單。

第二十七條 安全(quan)測評機構在收到委托(tuo)材(cai)料后，應當與委托(tuo)方(fang)協(xie)商(shang)制訂安全(quan)測評計(ji)劃，開展安全(quan)測評工作，并出具安全(quan)測評報告。

經測(ce)(ce)評，計(ji)算機(ji)(ji)信(xin)息(xi)系統(tong)安(an)(an)全狀況未達到國(guo)家有關規定(ding)和標(biao)準的要求，委托單位應當根(gen)據測(ce)(ce)評報告(gao)的建(jian)議，完善計(ji)算機(ji)(ji)信(xin)息(xi)系統(tong)安(an)(an)全建(jian)設(she)，并重新提出安(an)(an)全測(ce)(ce)評委托。

測評(ping)機構對計(ji)(ji)算(suan)機信息(xi)系(xi)統(tong)進行使用(yong)前安全(quan)測評(ping)，應當(dang)預先報(bao)(bao)告地(di)級以上(shang)市公安機關公共信息(xi)網絡安全(quan)監察(cha)部門。安全(quan)測評(ping)報(bao)(bao)告由計(ji)(ji)算(suan)機信息(xi)系(xi)統(tong)運營、使用(yong)單位(wei)報(bao)(bao)地(di)級以上(shang)市公安機關公共信息(xi)網絡安全(quan)監察(cha)部門。

第二十八條 第三(san)級(ji)(ji)計算機信(xin)息系統(tong)應當(dang)每年至少進行一次安(an)全測評，第四級(ji)(ji)計算機信(xin)息系統(tong)應當(dang)每半年至少進行一次安(an)全測評，第五級(ji)(ji)計算機信(xin)息系統(tong)應當(dang)依據特殊安(an)全要(yao)求(qiu)進行安(an)全測評。

第六章 應急處置

第二十九條 公安(an)機(ji)關公共信息(xi)網(wang)絡(luo)安(an)全監察(cha)部門與所在地安(an)全服務(wu)機(ji)構、互聯網(wang)運(yun)營單位和(he)其他(ta)計算(suan)機(ji)信息(xi)系統運(yun)營、使用單位應當建立(li)聯防(fang)機(ji)制，依法(fa)(fa)及時(shi)查處通過計算(suan)機(ji)信息(xi)系統進行的違法(fa)(fa)犯罪行為，組織處置重大突發(fa)事件。

第三十條 對計(ji)算機(ji)信息系(xi)(xi)統中發生的(de)案件和重大安全事故，計(ji)算機(ji)信息系(xi)(xi)統的(de)運營(ying)、使用單位應當在二(er)十四小(xiao)時(shi)內報告縣級以(yi)上人民政府公安機(ji)關(guan)公共信息網絡(luo)安全監察部門，并保留有關(guan)原始記錄。

第三十一條 第(di)二級以上的計(ji)算機信息系統運營(ying)、使(shi)用單位應當(dang)制定重(zhong)大突發(fa)事件應急處置(zhi)預案并定期實施演練。

第三十二條 計算機信息系統發生重大突發事件，有關單(dan)位應當按照(zhao)應急處置預(yu)案的(de)(de)要求采取相應的(de)(de)處置措(cuo)施(shi)，并服從公安機關和國家(jia)指定的(de)(de)專(zhuan)門部門的(de)(de)調度。

第三十三條 地(di)級市(shi)以上人(ren)民政府公安(an)機(ji)(ji)關(guan)公共信息(xi)網絡(luo)安(an)全(quan)監察部(bu)門經本機(ji)(ji)關(guan)主管(guan)領導批準，為保護計算機(ji)(ji)信息(xi)系統安(an)全(quan)，在(zai)發生重大突發事(shi)件，危及國家安(an)全(quan)、公共安(an)全(quan)及社會穩定的緊急情況下，可以采取二十四小時內暫時停機(ji)(ji)、暫停聯(lian)網、備份數據等措施。

第七章 安全培訓

第三十四條 省(sheng)公(gong)安廳(ting)、人事廳(ting)聯合成立的省(sheng)信(xin)息(xi)(xi)網絡安全專業(ye)技術(shu)人員繼(ji)續(xu)教育(yu)(yu)工(gong)作領導(dao)小組(zu)，負(fu)責(ze)全省(sheng)信(xin)息(xi)(xi)網絡安全專業(ye)技術(shu)人員繼(ji)續(xu)教育(yu)(yu)工(gong)作的組(zu)織和領導(dao)。下設省(sheng)信(xin)息(xi)(xi)網絡安全專業(ye)技術(shu)人員繼(ji)續(xu)教育(yu)(yu)工(gong)作辦公(gong)室，具(ju)體負(fu)責(ze)日(ri)常管理工(gong)作。

第三十五條 下(xia)列(lie)人(ren)員(yuan)應(ying)當參加(jia)信(xin)息網絡(luo)安(an)全(quan)(quan)(quan)專(zhuan)業技(ji)術(shu)人(ren)員(yuan)繼(ji)續教(jiao)(jiao)育(yu)，取得(de)省(sheng)信(xin)息網絡(luo)安(an)全(quan)(quan)(quan)專(zhuan)業技(ji)術(shu)人(ren)員(yuan)繼(ji)續教(jiao)(jiao)育(yu)工作(zuo)辦公室(shi)頒發的(de)信(xin)息網絡(luo)安(an)全(quan)(quan)(quan)專(zhuan)業技(ji)術(shu)人(ren)員(yuan)繼(ji)續教(jiao)(jiao)育(yu)合格證書，持證上崗：

（一）計(ji)算機信息系統(tong)運營、使用單位信息安全管理責任人、信息審查員；

（二）互聯網接入服(fu)務、數據中心服(fu)務、信息服(fu)務、上網服(fu)務提供單位(wei)安全(quan)管理(li)員、專業技(ji)術人員；

（三(san)）安全專(zhuan)用產品(pin)生(sheng)產單位專(zhuan)業技術人(ren)員(yuan)；

（四(si)）安(an)(an)全(quan)服(fu)(fu)務(wu)機構專業技術(shu)人(ren)員、安(an)(an)全(quan)服(fu)(fu)務(wu)管理人(ren)員；

（五(wu)）其他從(cong)事計算機信息系(xi)統安全(quan)保護(hu)工(gong)作的人員(yuan)。

第三十六條 信息(xi)網(wang)絡安(an)全專業技術人(ren)員繼(ji)(ji)續教(jiao)育由(you)省信息(xi)網(wang)絡安(an)全專業技術人(ren)員繼(ji)(ji)續教(jiao)育工(gong)作辦公室授權的(de)施(shi)(shi)教(jiao)機構負責(ze)實施(shi)(shi)。施(shi)(shi)教(jiao)機構實行(xing)統籌(chou)規劃。

第三十七條 信息網絡安全專業(ye)技術人員繼續教(jiao)育培訓和考試(shi)按照(zhao)有關規定(ding)進(jin)行，實行統一(yi)(yi)教(jiao)學大(da)綱，統一(yi)(yi)教(jiao)材(cai)，統一(yi)(yi)考試(shi)，統一(yi)(yi)發證。

考試合格的，由省信息網絡安全專(zhuan)業技術人員(yuan)繼續(xu)教育工作(zuo)辦公室發(fa)給信息網絡安全專(zhuan)業技術人員(yuan)繼續(xu)教育證書。

第八章 法律責任

第三十八條 違反本辦法的規定，依照有關法律、法規和規章處罰(fa)。

第九章 附則

第三十九條 本細則下(xia)列用語的含(han)義：實體(ti)安全，指保(bao)護計(ji)(ji)算(suan)機信息系統的環(huan)境，計(ji)(ji)算(suan)機設(she)備(bei)、設(she)施（含(han)網絡）以及其它媒體(ti)免遭(zao)地震、水災(zai)、火災(zai)、雷電(dian)、有害(hai)氣體(ti)和其它環(huan)境事故（如電(dian)磁污染等）破壞。

運(yun)行安全(quan)，指保護計算機(ji)信息系統的信息處(chu)理(li)過程順利進行。

信息(xi)安全，指保障信息(xi)的完整性(xing)(xing)、保密性(xing)(xing)、可用(yong)性(xing)(xing)和可控性(xing)(xing)。

內容(rong)安全，指確保計算機信息系統中傳輸的信息所(suo)承載(zai)的內容(rong)的合法(fa)性。

安全（漏洞）檢(jian)測，指(zhi)利用計(ji)算機技術手段掃描、探測計(ji)算機信(xin)息系統安全漏洞。

第四十條 本辦法(fa)規定(ding)的“以上”含本數。

第四十一條 本辦法規定(ding)的(de)有關表格和證書由(you)省公安廳制(zhi)定(ding)式樣，統一監制(zhi)。

第四十二條 本辦(ban)法由省公安(an)廳負責解釋。

第四十三條 本辦法自2008年12月1日起施行。