廣東省公安廳關于計算機信息系統安全保護的實施辦法

（廣(guang)東省公(gong)(gong)安廳2008年9月27日以粵公(gong)(gong)通字(zi)〔2008〕228號(hao)發布 自2008年12月1日起施行）

第一章 總則

第一條 為(wei)保護計(ji)算(suan)(suan)機信息系統(tong)安全，促進信息化(hua)建設(she)的健康發展，貫徹(che)落實《廣東省計(ji)算(suan)(suan)機信息系統(tong)安全保護條例(li)》，根據有關法律(lv)法規，制定本辦法。

第二條 本辦(ban)法(fa)適用于廣東省(sheng)行政區域(yu)內計算機信息系統的安全保(bao)護。

第三條 縣級以上人民政府公安機關公共信(xin)(xin)息網絡(luo)安全監(jian)(jian)察部門具(ju)體負(fu)責(ze)本行政區域內計算機信(xin)(xin)息系(xi)統的安全保(bao)護監(jian)(jian)管工作。

第二章 安全監督

第四條 公(gong)安機(ji)關公(gong)共信息網絡(luo)安全監(jian)察部門對(dui)計算(suan)機(ji)信息系統(tong)安全保(bao)護工作行使(shi)下列職責：

（一）監督、檢查、指導計算機信息(xi)系(xi)統安全(quan)保護工(gong)作；

（二(er)）組織開展計(ji)算機信息(xi)系統安全等級保護；

（三）查處計算機(ji)違(wei)法(fa)犯罪案件；

（四(si)）組織處置(zhi)重大計算機信息系統安全(quan)事故和事件；

（五）負責計算機病毒和其他有害數據防治(zhi)管理；

（六）負責(ze)計算機信息系統安全(quan)服務的監督指導；

（七）負責(ze)計算機(ji)信(xin)息系統安全專用(yong)產品的(de)監督管理；

（八）負責計(ji)算機信息系統安全培訓管(guan)理；

（九）法律、法規和(he)規章(zhang)規定的其(qi)他職責。

第五條 公安機關公共信(xin)息(xi)網絡安全(quan)(quan)監察部門應(ying)當對計(ji)算機信(xin)息(xi)系統(tong)落實實體安全(quan)(quan)、運(yun)行安全(quan)(quan)、信(xin)息(xi)安全(quan)(quan)和內容安全(quan)(quan)措施的情況進行檢查。

對(dui)第(di)三級(ji)計算(suan)機(ji)信(xin)息系(xi)統每(mei)年(nian)至少檢查一(yi)(yi)次，對(dui)第(di)四(si)級(ji)計算(suan)機(ji)信(xin)息系(xi)統每(mei)半年(nian)至少檢查一(yi)(yi)次。對(dui)第(di)五(wu)級(ji)計算(suan)機(ji)信(xin)息系(xi)統，應當會同國家指定的專(zhuan)門部門進行檢查。

對其(qi)他計算(suan)機信息系統應當不(bu)定(ding)期(qi)開展(zhan)檢查。

第六條 公安機關公共(gong)信(xin)息網絡安全監察(cha)部(bu)門發現計算機信(xin)息系(xi)統(tong)的安全保(bao)護等級和安全措(cuo)施不符合有關規定和技(ji)術標準，或(huo)者存(cun)在安全隱患的，應(ying)當通知運營、使用單位進行(xing)整改。

第七條 公(gong)安機(ji)關公(gong)共信(xin)息(xi)網絡安全(quan)監察(cha)部門應(ying)當向公(gong)眾提(ti)供報警(jing)求助(zhu)渠道，提(ti)供計算機(ji)信(xin)息(xi)系統安全(quan)指導(dao)，發布安全(quan)動態，開展安全(quan)宣傳。

第三章 安全保護責任

第八條 單(dan)位(wei)和(he)個人應當(dang)依照有關法(fa)規、規章(zhang)和(he)標準，對(dui)其所有、使用和(he)管理(li)的計算機(ji)信息(xi)系(xi)統(tong)承(cheng)擔相應的安全保護責任(ren)。

第九條 第二級以(yi)上計算機(ji)信息系統(tong)的運營、使用單位(wei)應當(dang)建立安(an)全(quan)保護組織，并報所(suo)在(zai)地地級以(yi)上市人民政府公安(an)機(ji)關公共信息網絡安(an)全(quan)監察部門(men)備案(an)。

第十條 安全保(bao)護組織(zhi)保(bao)障本(ben)(ben)單(dan)(dan)位(wei)(wei)計(ji)算機(ji)信(xin)(xin)(xin)息系統(tong)的安全運行(xing)，組織(zhi)本(ben)(ben)單(dan)(dan)位(wei)(wei)計(ji)算機(ji)信(xin)(xin)(xin)息系統(tong)的有害信(xin)(xin)(xin)息防治工作，組織(zhi)開展本(ben)(ben)單(dan)(dan)位(wei)(wei)計(ji)算機(ji)信(xin)(xin)(xin)息系統(tong)安全教育和(he)(he)培訓，向公(gong)安機(ji)關公(gong)共信(xin)(xin)(xin)息網絡(luo)(luo)安全監(jian)察部門(men)報告本(ben)(ben)單(dan)(dan)位(wei)(wei)計(ji)算機(ji)信(xin)(xin)(xin)息系統(tong)運行(xing)、服(fu)務(wu)和(he)(he)安全等情況，及時協(xie)助公(gong)安機(ji)關公(gong)共信(xin)(xin)(xin)息網絡(luo)(luo)安全監(jian)察部門(men)查(cha)處違法(fa)犯罪和(he)(he)處置突發事件。

第十一條 互(hu)聯(lian)單位、互(hu)聯(lian)網接(jie)入(ru)服務(wu)(wu)單位、互(hu)聯(lian)網數據中心應當對(dui)接(jie)入(ru)本網絡的用戶(hu)進行資格審查，確(que)認(ren)符合國家(jia)和省有關規定(ding)后方可為其提供服務(wu)(wu)。

互(hu)(hu)聯(lian)網接(jie)入(ru)服(fu)務(wu)、信息服(fu)務(wu)單位以及互(hu)(hu)聯(lian)網數(shu)據中心應(ying)當向(xiang)用戶宣(xuan)傳相關(guan)法律法規，提(ti)供必要的安全保護措施。

第十二條 個人主頁、博(bo)客、聊天室、點(dian)對點(dian)服務等互聯網信息服務的提(ti)供(gong)單(dan)位和(he)使用(yong)者應當(dang)依(yi)照國家和(he)省有關規定，落實(shi)相應的安全措(cuo)施。

第十三條 網(wang)(wang)吧(ba)、圖(tu)書(shu)館、學校、賓(bin)館等提供互(hu)聯網(wang)(wang)上網(wang)(wang)服務的場(chang)所應當安裝符合國家規定的安全(quan)管理(li)系統。

第十四條 互聯(lian)單位(wei)、互聯(lian)網(wang)接(jie)入服務單位(wei)以及互聯(lian)網(wang)數據中心應當每月將接(jie)入本網(wang)絡(luo)的用(yong)戶情(qing)況報地級(ji)以上(shang)市(shi)公(gong)安(an)機關(guan)公(gong)共(gong)信息網(wang)絡(luo)安(an)全監(jian)察部門備案。

第十五條 計算機信(xin)息(xi)系(xi)統運營、使用單(dan)位應當接受公(gong)安機關公(gong)共(gong)信(xin)息(xi)網絡安全監(jian)察部門(men)的監(jian)督、檢查(cha)、指導，如實提供安全保護有關信(xin)息(xi)、資料及數據文(wen)件，不得變相拒絕、拖(tuo)延、阻礙公(gong)安機關公(gong)共(gong)信(xin)息(xi)網絡安全監(jian)察部門(men)依法執行公(gong)務。

第四章 安全專用產品和安全服務

第十六條 安(an)全(quan)專用產品必須取得公安(an)部頒發的銷(xiao)售許可(ke)證方可(ke)銷(xiao)售。

第十七條 生產(chan)、銷售或者(zhe)提供含有計算機信息(xi)(xi)網(wang)絡(luo)遠程控制、密碼(ma)猜解、安全（漏(lou)洞(dong)）檢測、信息(xi)(xi)群發技術的產(chan)品和工具的，應當(dang)在領取營業執照后30日(ri)內（沒有營業執照的，自開辦之日(ri)起30日(ri)內）向單位所在地(di)地(di)級以上市人民(min)政(zheng)府(fu)公安機關公共信息(xi)(xi)網(wang)絡(luo)安全監察(cha)部(bu)門備案，填寫《廣東省(sheng)計算機信息(xi)(xi)網(wang)絡(luo)安全特(te)種技術備案表》，并(bing)提交如下資料：

（一）單位簡況；

（二）營業執照（或(huo)其他有效證明）復印件(jian)；

（三）研發和服務管理(li)制度；

（四）主要經營(ying)管理人員、技術人員和服務人員有效(xiao)證件復(fu)印件；

（五）主要產品情況。

第十八條 安(an)全(quan)保(bao)護等級(ji)為第三級(ji)以上的計算機信息系統應當選用(yong)符合下(xia)列條件的安(an)全(quan)專用(yong)產(chan)品：

（一）產(chan)品(pin)研制、生產(chan)單位是由中國公民、法人(ren)投資或者(zhe)國家投資或者(zhe)控股的，在中華(hua)人(ren)民共和國境(jing)內(nei)具有獨立的法人(ren)資格；

（二）產品的核心技(ji)術、關(guan)鍵(jian)部件具(ju)有(you)我國自主知識產權；

（三）產品研(yan)制、生產單位及其主(zhu)要業務(wu)、技術人員無犯罪記錄；

（四）產品研(yan)制、生產單位聲明沒有(you)故意留有(you)或者設置漏(lou)洞、后(hou)門、木(mu)馬等程(cheng)序和(he)功(gong)能；

（五(wu)）對國家(jia)安全、社會秩(zhi)序(xu)、公(gong)共利益不(bu)構成(cheng)危害(hai)。

第十九條 符合第十八條規定的安(an)全專用產品和生產單位應當到(dao)省公安(an)廳公共信息網絡安(an)全監(jian)察部門備案(an)。

第二十條 為加強(qiang)安(an)(an)全服(fu)務(wu)機構的(de)指導，推動安(an)(an)全服(fu)務(wu)質(zhi)量和技術水平的(de)提高，廣東(dong)省對從事計(ji)(ji)算機信息系統安(an)(an)全設計(ji)(ji)、建設、檢測、評估等(deng)安(an)(an)全服(fu)務(wu)的(de)機構，根據其注冊資本(ben)、服(fu)務(wu)業(ye)績、技術力(li)量、組(zu)織管理情況實行(xing)分級指導。

第五章 安全等級測評

第二十一條 第(di)二級以(yi)上的(de)(de)計算機信(xin)息系統的(de)(de)安(an)全(quan)測評應(ying)當選(xuan)擇符合下列(lie)條(tiao)件的(de)(de)計算機信(xin)息系統安(an)全(quan)等(deng)級測評機構(gou)（簡(jian)稱(cheng)測評機構(gou)）承擔：

（一）在(zai)中華人民共和國(guo)境內注(zhu)冊成立（港澳臺地區除外），具有相(xiang)應經營(ying)范圍的(de)營(ying)業執照，注(zhu)冊資本100萬元以上；

（二）由中國公民投(tou)資、中國法人投(tou)資或者國家投(tou)資的(de)企事業單位（港澳(ao)臺地區除(chu)外(wai)）；

（三）近3年完成的測評項目總值150萬(wan)元以上；

（四）具有計算機(ji)安(an)全或相關專業資(zi)格證書的(de)專業技(ji)術人員不少于(yu)20人，其中大學本(ben)科以上(shang)學歷的(de)人員不少于(yu)15人；

（五）管理(li)人員應當具有3年(nian)以上從事計算(suan)機信息(xi)系統安全(quan)(quan)技(ji)術(shu)領域(yu)企業管理(li)工(gong)(gong)作經歷，技(ji)術(shu)負(fu)責人已獲得計算(suan)機信息(xi)系統安全(quan)(quan)技(ji)術(shu)相關(guan)專業的高級職(zhi)稱，從事安全(quan)(quan)測評(ping)工(gong)(gong)作不少于3年(nian)，無犯罪記錄；

（六）工作人(ren)員(yuan)僅限于中國公民(min)，法人(ren)及主(zhu)要(yao)業(ye)務、技術人(ren)員(yuan)無犯罪記錄(lu)；

（七）具(ju)有與所承擔項目適應(ying)的技術(shu)裝備；

（八(ba)）具有(you)完備的(de)保密管理、項目管理、質量管理、人員管理和培(pei)訓教育等(deng)安(an)全管理制度；

（九）對國家(jia)安(an)全、社會秩序(xu)、公共利益不構(gou)成(cheng)威脅。

第二十二條 廣(guang)東省對(dui)測(ce)評機構實施備(bei)(bei)案(an)制(zhi)度。符合第二十一條(tiao)規定的(de)條(tiao)件，承擔第二級以上的(de)計算機信息(xi)系(xi)統測(ce)評工作的(de)機構應當(dang)到省公(gong)安(an)廳公(gong)共信息(xi)網絡安(an)全監察部門備(bei)(bei)案(an)。

第二十三條 省公(gong)(gong)安廳公(gong)(gong)共信息網(wang)絡安全監察部門對已備(bei)案的測評機構進行公(gong)(gong)布。

第二十四條 測(ce)評機(ji)構應當履行(xing)下列(lie)義務(wu)：

（一）遵守國家(jia)有關法律法規和技術標準，提(ti)供安全、客(ke)觀、公正的檢(jian)測評估服務，保證測評的質量(liang)和效果；

（二）保守在測(ce)評活動中(zhong)知悉的國家秘(mi)密、商業秘(mi)密和個人隱私，防(fang)范測(ce)評風(feng)險；

（三）對(dui)測(ce)評人員進行(xing)安(an)(an)全(quan)保密教育，與(yu)其(qi)簽訂安(an)(an)全(quan)保密責(ze)任書，規定(ding)應當履行(xing)的(de)安(an)(an)全(quan)保密義務和承擔(dan)的(de)法律責(ze)任，并負(fu)責(ze)檢查落實。

第二十五條 第(di)二(er)級以上的(de)計算(suan)機(ji)信息系統(tong)建設(she)完成后，使用單位應當委托(tuo)符合規(gui)定的(de)測(ce)評機(ji)構(gou)安全測(ce)評合格方(fang)可投入使用。測(ce)評活動應當接受(shou)公(gong)安機(ji)關(guan)公(gong)共信息網絡(luo)安全監察部門的(de)監督(du)。

第二十六條 計(ji)算機(ji)信(xin)息系(xi)統運營、使用(yong)單位(wei)委(wei)托安全測評(ping)機(ji)構測評(ping)，應(ying)當提交下列資料：

（一）安全測評委托書(shu)；

（二(er)）計(ji)算機(ji)信息(xi)系(xi)統應用需求、系(xi)統結(jie)構拓(tuo)撲及說明(ming)、系(xi)統安(an)全組織結(jie)構和管理制(zhi)度、安(an)全保護設施(shi)設計(ji)實施(shi)方案或(huo)者改建實施(shi)方案、系(xi)統軟件(jian)硬件(jian)和信息(xi)安(an)全產品清(qing)單(dan)。

第二十七條 安全(quan)測(ce)(ce)(ce)評機構在收(shou)到委(wei)(wei)托材料后，應當與委(wei)(wei)托方協商(shang)制(zhi)訂安全(quan)測(ce)(ce)(ce)評計劃，開(kai)展(zhan)安全(quan)測(ce)(ce)(ce)評工(gong)作，并出具(ju)安全(quan)測(ce)(ce)(ce)評報告。

經(jing)測評，計(ji)算機(ji)信息(xi)系統(tong)(tong)安(an)全(quan)狀況未達到國(guo)家有關規定和標準的(de)要求，委(wei)托(tuo)(tuo)單位應(ying)當根據測評報(bao)告的(de)建議，完善計(ji)算機(ji)信息(xi)系統(tong)(tong)安(an)全(quan)建設，并重新(xin)提出安(an)全(quan)測評委(wei)托(tuo)(tuo)。

測(ce)評(ping)機(ji)構(gou)對計算機(ji)信息系統進行使用(yong)前(qian)安(an)(an)(an)全測(ce)評(ping)，應當預先報(bao)告地(di)級以(yi)上市公(gong)(gong)安(an)(an)(an)機(ji)關公(gong)(gong)共信息網(wang)絡安(an)(an)(an)全監(jian)察部門(men)。安(an)(an)(an)全測(ce)評(ping)報(bao)告由(you)計算機(ji)信息系統運營、使用(yong)單位報(bao)地(di)級以(yi)上市公(gong)(gong)安(an)(an)(an)機(ji)關公(gong)(gong)共信息網(wang)絡安(an)(an)(an)全監(jian)察部門(men)。

第二十八條 第三級(ji)計算(suan)機(ji)信(xin)(xin)(xin)息(xi)(xi)系(xi)統(tong)應(ying)當(dang)每(mei)年至少進行一次安(an)全(quan)測評(ping)(ping)，第四級(ji)計算(suan)機(ji)信(xin)(xin)(xin)息(xi)(xi)系(xi)統(tong)應(ying)當(dang)每(mei)半年至少進行一次安(an)全(quan)測評(ping)(ping)，第五級(ji)計算(suan)機(ji)信(xin)(xin)(xin)息(xi)(xi)系(xi)統(tong)應(ying)當(dang)依據特殊(shu)安(an)全(quan)要求(qiu)進行安(an)全(quan)測評(ping)(ping)。

第六章 應急處置

第二十九條 公安機(ji)(ji)關公共信息網(wang)絡(luo)安全監察部(bu)門與所在地安全服務機(ji)(ji)構、互聯網(wang)運營單(dan)位和(he)其他計算(suan)機(ji)(ji)信息系(xi)統運營、使用單(dan)位應當建(jian)立聯防機(ji)(ji)制(zhi)，依(yi)法(fa)及時查處通過計算(suan)機(ji)(ji)信息系(xi)統進行的違(wei)法(fa)犯罪行為(wei)，組織處置重大突發事件(jian)。

第三十條 對計算機信息系統中(zhong)發生的案(an)件和(he)重大(da)安(an)全事故，計算機信息系統的運(yun)營、使用單位應當在二(er)十四(si)小時內報告縣級(ji)以上人(ren)民政府公安(an)機關公共信息網絡安(an)全監(jian)察部門(men)，并保留有關原始記錄。

第三十一條 第二(er)級以(yi)上(shang)的(de)計算機信息系統運營、使用單(dan)位應當制定重大突發事件(jian)應急處置預案并定期(qi)實施演練。

第三十二條 計算(suan)機信息系統發生重(zhong)大突(tu)發事件，有關單位應當按照(zhao)應急處(chu)置(zhi)預案的要求(qiu)采取(qu)相應的處(chu)置(zhi)措施，并服從公安機關和國家指定(ding)的專門(men)部(bu)門(men)的調度(du)。

第三十三條 地級市以(yi)(yi)上人民政府公安(an)機(ji)(ji)關(guan)公共信(xin)息網(wang)絡(luo)安(an)全(quan)監(jian)察部門(men)經本機(ji)(ji)關(guan)主(zhu)管(guan)領導批準，為保護(hu)計(ji)算機(ji)(ji)信(xin)息系統安(an)全(quan)，在發生重大突發事件，危及國家安(an)全(quan)、公共安(an)全(quan)及社會穩定的緊急情況下，可以(yi)(yi)采取二(er)十四小時內(nei)暫(zan)時停(ting)機(ji)(ji)、暫(zan)停(ting)聯(lian)網(wang)、備份(fen)數據等措施。

第七章 安全培訓

第三十四條 省(sheng)公(gong)安(an)(an)廳、人事廳聯合成立的(de)省(sheng)信(xin)息(xi)網絡安(an)(an)全專業(ye)技(ji)術人員(yuan)繼(ji)續(xu)教(jiao)(jiao)(jiao)育(yu)工(gong)作(zuo)(zuo)領導小組，負責全省(sheng)信(xin)息(xi)網絡安(an)(an)全專業(ye)技(ji)術人員(yuan)繼(ji)續(xu)教(jiao)(jiao)(jiao)育(yu)工(gong)作(zuo)(zuo)的(de)組織和領導。下設省(sheng)信(xin)息(xi)網絡安(an)(an)全專業(ye)技(ji)術人員(yuan)繼(ji)續(xu)教(jiao)(jiao)(jiao)育(yu)工(gong)作(zuo)(zuo)辦公(gong)室(shi)，具體負責日(ri)常管理(li)工(gong)作(zuo)(zuo)。

第三十五條 下列人員應當參(can)加信息網(wang)絡安全專(zhuan)業(ye)(ye)技(ji)術人員繼續教(jiao)育(yu)，取得省信息網(wang)絡安全專(zhuan)業(ye)(ye)技(ji)術人員繼續教(jiao)育(yu)工作辦公室頒發的信息網(wang)絡安全專(zhuan)業(ye)(ye)技(ji)術人員繼續教(jiao)育(yu)合格(ge)證書，持證上崗：

（一(yi)）計算機信息系(xi)統(tong)運營、使用單位(wei)信息安全管理責(ze)任人、信息審查員；

（二(er)）互聯網接入服(fu)務(wu)(wu)、數(shu)據中(zhong)心服(fu)務(wu)(wu)、信息服(fu)務(wu)(wu)、上網服(fu)務(wu)(wu)提(ti)供單位(wei)安全管理(li)員、專(zhuan)業技術(shu)人員；

（三）安全專用產(chan)品生(sheng)產(chan)單(dan)位專業技術人員(yuan)；

（四）安(an)(an)全(quan)(quan)服(fu)務(wu)機構專(zhuan)業技(ji)術人員、安(an)(an)全(quan)(quan)服(fu)務(wu)管理人員；

（五(wu)）其他從事計算機信息系統安全保護工(gong)作的(de)人員。

第三十六條 信(xin)息網(wang)(wang)絡安全(quan)專業(ye)技術人(ren)員(yuan)(yuan)繼(ji)續教育(yu)由省信(xin)息網(wang)(wang)絡安全(quan)專業(ye)技術人(ren)員(yuan)(yuan)繼(ji)續教育(yu)工(gong)作辦(ban)公室授權(quan)的施教機構負責實(shi)施。施教機構實(shi)行統籌規劃。

第三十七條 信息網絡安全專業技術(shu)人員繼續教(jiao)育(yu)培訓和考試按照有關規定(ding)進行，實行統(tong)(tong)一(yi)教(jiao)學大綱，統(tong)(tong)一(yi)教(jiao)材(cai)，統(tong)(tong)一(yi)考試，統(tong)(tong)一(yi)發證。

考試合(he)格(ge)的，由省信(xin)息網絡安全專業(ye)技術(shu)人(ren)員繼續教育(yu)工作(zuo)辦公室發給信(xin)息網絡安全專業(ye)技術(shu)人(ren)員繼續教育(yu)證書。

第八章 法律責任

第三十八條 違(wei)反本辦法(fa)的規(gui)定，依照有關法(fa)律、法(fa)規(gui)和規(gui)章處罰。

第九章 附則

第三十九條 本細則下列用語的含義：實體安全，指保護計算(suan)機信(xin)息系統的環境(jing)，計算(suan)機設備、設施（含網絡）以及其它媒體免(mian)遭地(di)震、水災、火災、雷電、有害氣體和其它環境(jing)事(shi)故（如電磁污染(ran)等(deng)）破壞(huai)。

運行安全，指保護計算機信息系統(tong)的信息處理過程(cheng)順利(li)進行。

信息安全，指保(bao)障信息的完(wan)整性(xing)(xing)、保(bao)密性(xing)(xing)、可(ke)用性(xing)(xing)和可(ke)控性(xing)(xing)。

內容(rong)安全，指確(que)保計(ji)算機信息系(xi)統中傳輸的(de)信息所承載的(de)內容(rong)的(de)合法(fa)性。

安(an)(an)全(quan)（漏洞）檢(jian)測，指利用(yong)計算(suan)機技術手段掃描、探測計算(suan)機信息(xi)系統安(an)(an)全(quan)漏洞。

第四十條 本(ben)辦法(fa)規定的“以上”含(han)本(ben)數。

第四十一條 本(ben)辦法規定(ding)的(de)有關表格和證書(shu)由省公安廳制(zhi)定(ding)式樣，統一監制(zhi)。

第四十二條 本辦法由省公安廳負(fu)責解釋。

第四十三條 本辦法自2008年(nian)12月1日起施(shi)行。