廣東省公安廳關于計算機信息系統安全保護的實施辦法

（廣東(dong)省公安廳2008年9月(yue)(yue)27日以(yi)粵公通字〔2008〕228號(hao)發布 自(zi)2008年12月(yue)(yue)1日起施行）

第一章 總則

第一條 為(wei)保(bao)護計算(suan)機(ji)信(xin)息(xi)系(xi)統(tong)安(an)(an)全，促進(jin)信(xin)息(xi)化建設的健康(kang)發展，貫徹落實《廣東(dong)省計算(suan)機(ji)信(xin)息(xi)系(xi)統(tong)安(an)(an)全保(bao)護條例》，根據有關法律法規，制定本辦法。

第二條 本(ben)辦法適用于廣(guang)東(dong)省行(xing)政區域內計算(suan)機信息系統(tong)的安(an)全保(bao)護(hu)。

第三條 縣級以上(shang)人民政府公安(an)機關(guan)公共信息網絡安(an)全監察部門具體負(fu)責本行政區域內計算機信息系統的安(an)全保護監管工作。

第二章 安全監督

第四條 公安機(ji)關公共(gong)信息(xi)網絡安全(quan)監察部門(men)對計算機(ji)信息(xi)系統安全(quan)保護工作(zuo)行使下(xia)列職責(ze)：

（一）監(jian)督、檢查、指導(dao)計算機信息(xi)系統安全保(bao)護工作(zuo)；

（二）組織(zhi)開展計算機信息系(xi)統安全等級保護；

（三）查處計算機違(wei)法犯罪案件(jian)；

（四(si)）組織處置重大計算機信息系統安全事(shi)故和事(shi)件(jian)；

（五）負責計算機病毒和其他有害數據防治管理；

（六）負責計算機信息(xi)系統(tong)安全(quan)服務的監督(du)指導；

（七）負責計算機(ji)信息(xi)系(xi)統(tong)安(an)全專用產品的監督管理；

（八）負責計算機信息系(xi)統安(an)全培訓(xun)管理；

（九(jiu)）法律、法規和規章規定的其(qi)他職責。

第五條 公安機(ji)關公共信(xin)息網絡安全(quan)(quan)監察(cha)部門應當對(dui)計算機(ji)信(xin)息系(xi)統落實實體安全(quan)(quan)、運行(xing)(xing)安全(quan)(quan)、信(xin)息安全(quan)(quan)和(he)內容(rong)安全(quan)(quan)措施的情況(kuang)進行(xing)(xing)檢查。

對(dui)第(di)三級(ji)(ji)計算機信(xin)息系(xi)(xi)統每年(nian)至(zhi)(zhi)少(shao)檢查(cha)(cha)一(yi)次，對(dui)第(di)四級(ji)(ji)計算機信(xin)息系(xi)(xi)統每半年(nian)至(zhi)(zhi)少(shao)檢查(cha)(cha)一(yi)次。對(dui)第(di)五級(ji)(ji)計算機信(xin)息系(xi)(xi)統，應(ying)當會同國(guo)家指定(ding)的專門(men)部門(men)進行檢查(cha)(cha)。

對(dui)其(qi)他計(ji)算機信息系統應當不(bu)定期(qi)開展檢查。

第六條 公(gong)安(an)(an)機(ji)關公(gong)共(gong)信息網絡安(an)(an)全監察部門(men)發現計(ji)算(suan)機(ji)信息系(xi)統的安(an)(an)全保護等級和安(an)(an)全措施(shi)不符合(he)有關規定和技術標(biao)準，或者存在安(an)(an)全隱患的，應當通知運營(ying)、使用(yong)單位進行整改。

第七條 公(gong)(gong)安機關公(gong)(gong)共信息(xi)網絡(luo)安全監察部門應當(dang)向公(gong)(gong)眾提供報警求助渠道，提供計算機信息(xi)系統安全指導(dao)，發布安全動態，開展安全宣傳。

第三章 安全保護責任

第八條 單位和(he)個人應(ying)當依(yi)照有(you)關法規、規章和(he)標準，對其所有(you)、使用和(he)管(guan)理的計算機信息系統承擔相應(ying)的安(an)全保護責任(ren)。

第九條 第二級(ji)以上(shang)計算機(ji)信息系統(tong)的運營(ying)、使(shi)用單位應當(dang)建立安(an)全保護組(zu)織(zhi)，并報所在地(di)地(di)級(ji)以上(shang)市人民政府公安(an)機(ji)關公共信息網絡安(an)全監(jian)察部(bu)門備案(an)。

第十條 安(an)全(quan)(quan)(quan)保(bao)護(hu)組(zu)織保(bao)障本(ben)單(dan)位計算(suan)機(ji)(ji)(ji)信(xin)息(xi)(xi)(xi)系(xi)統的安(an)全(quan)(quan)(quan)運行(xing)，組(zu)織本(ben)單(dan)位計算(suan)機(ji)(ji)(ji)信(xin)息(xi)(xi)(xi)系(xi)統的有害信(xin)息(xi)(xi)(xi)防治工作(zuo)，組(zu)織開展本(ben)單(dan)位計算(suan)機(ji)(ji)(ji)信(xin)息(xi)(xi)(xi)系(xi)統安(an)全(quan)(quan)(quan)教育(yu)和(he)培訓，向公安(an)機(ji)(ji)(ji)關公共信(xin)息(xi)(xi)(xi)網(wang)絡安(an)全(quan)(quan)(quan)監察部(bu)門報告本(ben)單(dan)位計算(suan)機(ji)(ji)(ji)信(xin)息(xi)(xi)(xi)系(xi)統運行(xing)、服(fu)務(wu)和(he)安(an)全(quan)(quan)(quan)等(deng)情況，及時(shi)協助公安(an)機(ji)(ji)(ji)關公共信(xin)息(xi)(xi)(xi)網(wang)絡安(an)全(quan)(quan)(quan)監察部(bu)門查處違(wei)法犯罪和(he)處置突(tu)發事件。

第十一條 互聯單位(wei)、互聯網接入服(fu)務單位(wei)、互聯網數據中(zhong)心應當對接入本網絡的(de)用戶進行資格審(shen)查，確認(ren)符合(he)國家(jia)和(he)省(sheng)有關規(gui)定后方可為其提(ti)供服(fu)務。

互聯網(wang)(wang)接入(ru)服務、信息服務單(dan)位以及互聯網(wang)(wang)數據中心應當向用戶宣傳(chuan)相(xiang)關法律法規(gui)，提供必要的安全保護措施。

第十二條 個人主頁、博客、聊(liao)天室(shi)、點對點服(fu)務等互聯網(wang)信息(xi)服(fu)務的(de)提供單位和(he)(he)使用(yong)者(zhe)應(ying)當依照國家和(he)(he)省有關規定，落實相應(ying)的(de)安全措施(shi)。

第十三條 網吧、圖書館(guan)、學校、賓館(guan)等提供(gong)互聯網上(shang)網服務的(de)場所(suo)應當安裝符合國家規定的(de)安全管理系(xi)統(tong)。

第十四條 互(hu)聯(lian)(lian)單位、互(hu)聯(lian)(lian)網(wang)接入(ru)服務單位以(yi)及互(hu)聯(lian)(lian)網(wang)數據(ju)中心應當(dang)每月將(jiang)接入(ru)本網(wang)絡的用戶情況報地級以(yi)上市公(gong)安機關公(gong)共(gong)信(xin)息網(wang)絡安全監察(cha)部門備案(an)。

第十五條 計算(suan)機信息系統運營、使用單位(wei)應(ying)當接受(shou)公(gong)安機關公(gong)共(gong)信息網(wang)絡(luo)安全監察部門的監督、檢查、指導(dao)，如實提(ti)供安全保護有關信息、資料(liao)及(ji)數據(ju)文件，不得變相拒絕、拖(tuo)延、阻礙公(gong)安機關公(gong)共(gong)信息網(wang)絡(luo)安全監察部門依法執行公(gong)務。

第四章 安全專用產品和安全服務

第十六條 安全專用(yong)產品必須取得公安部頒發的(de)銷售許可證方可銷售。

第十七條 生產、銷售或者提供含有計算機信(xin)息(xi)(xi)網絡遠程控制、密(mi)碼猜解、安(an)(an)全（漏洞）檢測、信(xin)息(xi)(xi)群發技術的(de)產品和工具的(de)，應當在領取營業(ye)執照(zhao)后30日內(nei)（沒有營業(ye)執照(zhao)的(de)，自開辦之日起30日內(nei)）向單位所在地地級(ji)以上(shang)市(shi)人(ren)民政府公(gong)安(an)(an)機關(guan)公(gong)共信(xin)息(xi)(xi)網絡安(an)(an)全監察部(bu)門備案(an)，填寫《廣東(dong)省計算機信(xin)息(xi)(xi)網絡安(an)(an)全特種技術備案(an)表(biao)》，并提交如下資(zi)料：

（一）單位簡況；

（二）營(ying)業執照（或其他有(you)效證明）復印件；

（三(san)）研發和服務管理制度；

（四）主(zhu)要(yao)經營(ying)管(guan)理人(ren)員、技術(shu)人(ren)員和服務人(ren)員有效證(zheng)件復印(yin)件；

（五）主要產(chan)品情況。

第十八條 安全(quan)保護等級為第三級以上的(de)計算機(ji)信息系統應當選用(yong)符合(he)下(xia)列條件的(de)安全(quan)專用(yong)產品：

（一）產(chan)品研(yan)制(zhi)、生(sheng)產(chan)單位是由(you)中國公民、法(fa)人(ren)(ren)投資或者國家(jia)投資或者控股(gu)的，在(zai)中華人(ren)(ren)民共和(he)國境內具有獨立的法(fa)人(ren)(ren)資格；

（二）產(chan)品的核心技(ji)術、關鍵部件(jian)具(ju)有我國自主知(zhi)識產(chan)權；

（三）產(chan)品(pin)研制、生產(chan)單位及(ji)其主(zhu)要業(ye)務、技(ji)術(shu)人員無犯罪記(ji)錄；

（四）產品(pin)研制、生產單位聲明沒有故(gu)意留有或者(zhe)設(she)置漏(lou)洞、后門、木馬等程(cheng)序和(he)功能(neng)；

（五）對(dui)國家安全、社會秩序、公共利益不構成(cheng)危害。

第十九條 符合第十八條規定的(de)安(an)(an)(an)全專用產(chan)品和生(sheng)產(chan)單位應當到省公安(an)(an)(an)廳(ting)公共信息(xi)網(wang)絡安(an)(an)(an)全監察部門備案。

第二十條 為加強安(an)全服(fu)務機(ji)構(gou)的(de)(de)指(zhi)導(dao)，推動安(an)全服(fu)務質量和(he)技(ji)術水平的(de)(de)提高，廣(guang)東省對從(cong)事計(ji)算機(ji)信息系統安(an)全設計(ji)、建設、檢測、評(ping)估等安(an)全服(fu)務的(de)(de)機(ji)構(gou)，根據其(qi)注冊資(zi)本、服(fu)務業績、技(ji)術力(li)量、組織管理情況實行(xing)分級(ji)指(zhi)導(dao)。

第五章 安全等級測評

第二十一條 第二級(ji)以上的計(ji)(ji)算(suan)機(ji)信(xin)息系統的安全測(ce)(ce)評應當選擇符合下列條件的計(ji)(ji)算(suan)機(ji)信(xin)息系統安全等級(ji)測(ce)(ce)評機(ji)構(gou)（簡(jian)稱(cheng)測(ce)(ce)評機(ji)構(gou)）承(cheng)擔：

（一）在(zai)中華人民共和國境(jing)內(nei)注(zhu)冊成立（港澳臺地(di)區除外），具有相(xiang)應經營范圍(wei)的營業(ye)執照，注(zhu)冊資本100萬元(yuan)以上；

（二）由中國(guo)(guo)公民投資(zi)、中國(guo)(guo)法人(ren)投資(zi)或者(zhe)國(guo)(guo)家投資(zi)的企事(shi)業單(dan)位（港澳臺(tai)地區除外）；

（三）近3年完成的(de)測評項目總值150萬元以(yi)上(shang)；

（四(si)）具有計算機(ji)安全或相關專(zhuan)業(ye)(ye)資格證書的專(zhuan)業(ye)(ye)技術人員(yuan)不少于(yu)20人，其中大學(xue)本科以上學(xue)歷的人員(yuan)不少于(yu)15人；

（五）管理人員應(ying)當具有(you)3年以上從(cong)(cong)事計算(suan)機(ji)信(xin)息系統(tong)安全技(ji)術領域企業(ye)管理工作(zuo)經(jing)歷(li)，技(ji)術負責人已獲得(de)計算(suan)機(ji)信(xin)息系統(tong)安全技(ji)術相關專業(ye)的(de)高(gao)級(ji)職(zhi)稱(cheng)，從(cong)(cong)事安全測(ce)評工作(zuo)不少于3年，無(wu)犯罪(zui)記錄；

（六）工(gong)作人員(yuan)僅限于中國公民(min)，法人及(ji)主要業務、技術人員(yuan)無犯罪記錄；

（七）具有與所承擔項(xiang)目適應(ying)的技術裝備；

（八(ba)）具有完備的(de)保密管理、項目管理、質量(liang)管理、人員管理和培訓教(jiao)育等安全管理制度；

（九）對國家安全、社會秩(zhi)序、公共利益不(bu)構成威脅。

第二十二條 廣(guang)東(dong)省(sheng)對測評機(ji)構實(shi)施備(bei)案制度。符合第(di)二十一條(tiao)規定的條(tiao)件，承擔第(di)二級(ji)以(yi)上(shang)的計算機(ji)信(xin)息系(xi)統(tong)測評工(gong)作的機(ji)構應當(dang)到省(sheng)公安廳公共信(xin)息網絡安全監察部門備(bei)案。

第二十三條 省(sheng)公安廳公共(gong)信(xin)息網絡(luo)安全(quan)監察部(bu)門對已(yi)備案的測評(ping)機(ji)構進行公布。

第二十四條 測評機構應(ying)當履行(xing)下列義務(wu)：

（一(yi)）遵守國家有關(guan)法律法規和(he)技術標準(zhun)，提供安全、客觀、公正(zheng)的檢測評估服務(wu)，保證測評的質(zhi)量和(he)效果；

（二(er)）保守在測(ce)評活(huo)動(dong)中知悉(xi)的國家秘密(mi)、商業秘密(mi)和個(ge)人隱私，防范測(ce)評風險；

（三）對測評人(ren)員(yuan)進行(xing)安全保(bao)密教(jiao)育，與其簽訂(ding)安全保(bao)密責(ze)任(ren)書，規(gui)定應當履行(xing)的安全保(bao)密義(yi)務和承擔(dan)的法律責(ze)任(ren)，并(bing)負責(ze)檢查落實。

第二十五條 第二(er)級以上的計(ji)算機(ji)信(xin)息系(xi)統建設完成后，使用單位應當委(wei)托(tuo)符合規定的測(ce)(ce)評(ping)機(ji)構安(an)全測(ce)(ce)評(ping)合格方可投入使用。測(ce)(ce)評(ping)活(huo)動應當接受公安(an)機(ji)關公共信(xin)息網絡(luo)安(an)全監察(cha)部門的監督。

第二十六條 計算機信息(xi)系統運營、使用單(dan)位委托安(an)全測(ce)評機構測(ce)評，應當提(ti)交下(xia)列資料：

（一）安全(quan)測評委托(tuo)書；

（二）計算(suan)機信息(xi)系(xi)統(tong)應用需(xu)求、系(xi)統(tong)結構拓撲(pu)及說明(ming)、系(xi)統(tong)安全組織結構和管理制度、安全保護設施(shi)設計實(shi)施(shi)方(fang)案或(huo)者改建實(shi)施(shi)方(fang)案、系(xi)統(tong)軟件硬件和信息(xi)安全產品清單。

第二十七條 安(an)全(quan)(quan)(quan)測評(ping)機構在(zai)收到委托(tuo)材料后(hou)，應當與委托(tuo)方協(xie)商制訂(ding)安(an)全(quan)(quan)(quan)測評(ping)計劃(hua)，開(kai)展(zhan)安(an)全(quan)(quan)(quan)測評(ping)工作，并(bing)出(chu)具安(an)全(quan)(quan)(quan)測評(ping)報(bao)告。

經測(ce)(ce)(ce)評(ping)，計(ji)算機信息(xi)系統安全狀況未(wei)達到國家有關規定和標準(zhun)的要求，委托(tuo)單(dan)位應當(dang)根(gen)據測(ce)(ce)(ce)評(ping)報告的建議，完(wan)善計(ji)算機信息(xi)系統安全建設，并重新(xin)提出安全測(ce)(ce)(ce)評(ping)委托(tuo)。

測評(ping)機構對計(ji)算機信息(xi)系(xi)統(tong)進行使(shi)(shi)用前安全測評(ping)，應當預先報告地級以(yi)上市公(gong)安機關(guan)公(gong)共信息(xi)網(wang)絡(luo)安全監(jian)察部門。安全測評(ping)報告由計(ji)算機信息(xi)系(xi)統(tong)運營、使(shi)(shi)用單位報地級以(yi)上市公(gong)安機關(guan)公(gong)共信息(xi)網(wang)絡(luo)安全監(jian)察部門。

第二十八條 第三級計算機信息(xi)系統(tong)應當(dang)每年(nian)至少進行(xing)一次(ci)安全(quan)測評，第四級計算機信息(xi)系統(tong)應當(dang)每半年(nian)至少進行(xing)一次(ci)安全(quan)測評，第五(wu)級計算機信息(xi)系統(tong)應當(dang)依據特殊(shu)安全(quan)要求進行(xing)安全(quan)測評。

第六章 應急處置

第二十九條 公(gong)安機關公(gong)共信息(xi)網(wang)絡安全(quan)監察(cha)部門與所在地安全(quan)服務機構、互(hu)聯網(wang)運(yun)營單位(wei)(wei)和(he)其他計(ji)算機信息(xi)系統運(yun)營、使用單位(wei)(wei)應當(dang)建(jian)立聯防機制(zhi)，依法及時查處通過(guo)計(ji)算機信息(xi)系統進(jin)行的(de)違(wei)法犯罪行為(wei)，組織(zhi)處置(zhi)重大突(tu)發事(shi)件。

第三十條 對(dui)計算機(ji)(ji)信(xin)息系統(tong)中發生的案件(jian)和重(zhong)大(da)安全事故，計算機(ji)(ji)信(xin)息系統(tong)的運(yun)營、使用單位(wei)應當在二十(shi)四小時內報告(gao)縣級以上人民政府(fu)公安機(ji)(ji)關(guan)公共(gong)信(xin)息網絡安全監察部門，并保留(liu)有關(guan)原始記錄。

第三十一條 第(di)二級以(yi)上(shang)的計算(suan)機信息系統運營、使用(yong)單位應當制定重大突發(fa)事(shi)件應急處置預案并定期實施(shi)演練。

第三十二條 計算機(ji)信(xin)息系統發生重大(da)突發事件(jian)，有關(guan)單位應當按照應急處置預案(an)的要求采取相應的處置措施，并服(fu)從公安機(ji)關(guan)和國(guo)家指定的專門部門的調度。

第三十三條 地級市以上人(ren)民政府公(gong)安機(ji)關(guan)公(gong)共信(xin)息網絡安全監(jian)察(cha)部門經本機(ji)關(guan)主管領(ling)導批準，為保護計算機(ji)信(xin)息系統安全，在發生重大突(tu)發事件，危及(ji)國家安全、公(gong)共安全及(ji)社會穩定的緊急情(qing)況下，可以采取(qu)二(er)十四小時內(nei)暫時停機(ji)、暫停聯網、備份數據(ju)等措施。

第七章 安全培訓

第三十四條 省公安廳、人(ren)事廳聯合(he)成立的省信(xin)息網(wang)絡(luo)安全(quan)專業技(ji)術(shu)(shu)人(ren)員(yuan)繼(ji)續(xu)(xu)教育工(gong)作(zuo)領導小(xiao)組(zu)，負責全(quan)省信(xin)息網(wang)絡(luo)安全(quan)專業技(ji)術(shu)(shu)人(ren)員(yuan)繼(ji)續(xu)(xu)教育工(gong)作(zuo)的組(zu)織和領導。下設(she)省信(xin)息網(wang)絡(luo)安全(quan)專業技(ji)術(shu)(shu)人(ren)員(yuan)繼(ji)續(xu)(xu)教育工(gong)作(zuo)辦公室，具體負責日常管理工(gong)作(zuo)。

第三十五條 下列人員應(ying)當(dang)參加信(xin)(xin)息網(wang)絡安全專(zhuan)業技(ji)術(shu)(shu)人員繼(ji)續(xu)教(jiao)(jiao)育(yu)，取得省信(xin)(xin)息網(wang)絡安全專(zhuan)業技(ji)術(shu)(shu)人員繼(ji)續(xu)教(jiao)(jiao)育(yu)工作辦(ban)公室頒發(fa)的信(xin)(xin)息網(wang)絡安全專(zhuan)業技(ji)術(shu)(shu)人員繼(ji)續(xu)教(jiao)(jiao)育(yu)合格(ge)證(zheng)書(shu)，持證(zheng)上(shang)崗：

（一）計算機(ji)信(xin)息系統運營、使用(yong)單(dan)位信(xin)息安全(quan)管理責任人、信(xin)息審查員；

（二）互(hu)聯網接入服(fu)務(wu)、數據中(zhong)心服(fu)務(wu)、信息服(fu)務(wu)、上網服(fu)務(wu)提供單位安(an)全管理員、專業技術人員；

（三）安全(quan)專用產品生產單(dan)位專業技術(shu)人員；

（四）安全(quan)(quan)服(fu)務機構專(zhuan)業(ye)技術人(ren)員、安全(quan)(quan)服(fu)務管(guan)理人(ren)員；

（五）其他從事計算機信(xin)息系統安全(quan)保護工作的人員。

第三十六條 信(xin)息網絡安(an)(an)全(quan)專業技(ji)術人(ren)員繼續(xu)教育(yu)由省信(xin)息網絡安(an)(an)全(quan)專業技(ji)術人(ren)員繼續(xu)教育(yu)工(gong)作(zuo)辦公室授權的施(shi)教機(ji)構負(fu)責(ze)實(shi)施(shi)。施(shi)教機(ji)構實(shi)行統籌規(gui)劃。

第三十七條 信息網絡安全專業技(ji)術人員繼續教(jiao)育(yu)培訓和考試(shi)按(an)照有關規定(ding)進行，實行統一教(jiao)學(xue)大(da)綱，統一教(jiao)材，統一考試(shi)，統一發證。

考試(shi)合(he)格的，由省信(xin)息(xi)網絡(luo)安全專業技(ji)術(shu)人員(yuan)繼續教育工作辦公(gong)室(shi)發給信(xin)息(xi)網絡(luo)安全專業技(ji)術(shu)人員(yuan)繼續教育證書。

第八章 法律責任

第三十八條 違反本(ben)辦法(fa)(fa)的(de)規定(ding)，依(yi)照(zhao)有(you)關法(fa)(fa)律、法(fa)(fa)規和(he)規章(zhang)處罰。

第九章 附則

第三十九條 本細則(ze)下列用語(yu)的含(han)(han)義：實(shi)體(ti)安全，指保護計算機信(xin)息系統的環(huan)境，計算機設備、設施（含(han)(han)網絡）以及其它媒體(ti)免遭地(di)震、水災、火災、雷電(dian)、有害氣(qi)體(ti)和其它環(huan)境事故(gu)（如電(dian)磁污染等）破壞。

運行(xing)安全，指保護(hu)計算機信息系統的信息處理過程順利(li)進行(xing)。

信(xin)息(xi)安(an)全(quan)，指保障信(xin)息(xi)的完整性、保密性、可(ke)用性和可(ke)控性。

內容安(an)全，指(zhi)確保(bao)計算機信息(xi)系統中傳輸(shu)的(de)信息(xi)所承載的(de)內容的(de)合(he)法(fa)性。

安全(quan)（漏洞）檢測，指利用計算機(ji)技術手段(duan)掃描、探測計算機(ji)信息系(xi)統安全(quan)漏洞。

第四十條 本(ben)辦法規定的(de)“以上”含本(ben)數(shu)。

第四十一條 本辦(ban)法規定的(de)有關(guan)表格(ge)和(he)證書由省公安廳制定式樣，統一監制。

第四十二條 本辦(ban)法由(you)省公安廳負責解釋。

第四十三條 本辦法(fa)自2008年(nian)12月1日(ri)起施行。