廣東省公安廳關于計算機信息系統安全保護的實施辦法

（廣東(dong)省公安廳(ting)2008年9月27日以(yi)粵公通字〔2008〕228號發布(bu) 自(zi)2008年12月1日起施行）

第一章 總則

第一條 為保(bao)護計算(suan)機(ji)信息(xi)系(xi)統(tong)安全，促進信息(xi)化(hua)建設的健康發展，貫(guan)徹落實《廣東省計算(suan)機(ji)信息(xi)系(xi)統(tong)安全保(bao)護條(tiao)例》，根據有關法(fa)律法(fa)規，制定(ding)本(ben)辦法(fa)。

第二條 本辦法適用(yong)于廣東省(sheng)行(xing)政區域(yu)內計(ji)算機信息系(xi)統的安全保護。

第三條 縣級以上人民政府公(gong)安機(ji)關公(gong)共信息(xi)網絡安全(quan)監察部(bu)門具(ju)體負(fu)責本(ben)行政區域內計算(suan)機(ji)信息(xi)系統的安全(quan)保(bao)護監管(guan)工作。

第二章 安全監督

第四條 公安機(ji)關公共信息網絡安全監察部(bu)門對計算機(ji)信息系統安全保護工作行(xing)使下列職責：

（一）監督、檢(jian)查、指導計算機信息系(xi)統安全保護工作；

（二(er)）組織開展(zhan)計算(suan)機信息系(xi)統安全(quan)等級(ji)保護(hu)；

（三）查(cha)處計算機違法犯罪案件；

（四(si)）組織處置重(zhong)大(da)計算機(ji)信(xin)息系(xi)統(tong)安全(quan)事故(gu)和事件；

（五）負責計算(suan)機病(bing)毒和其他有害數據防(fang)治管理；

（六）負責(ze)計算(suan)機(ji)信息系(xi)統安全服(fu)務的監督指導；

（七）負責計算(suan)機信息系統安全專用產(chan)品的(de)監督管理；

（八(ba)）負責(ze)計算機(ji)信息系統(tong)安(an)全(quan)培(pei)訓管理(li)；

（九）法(fa)律、法(fa)規(gui)和(he)規(gui)章規(gui)定的其(qi)他職責。

第五條 公安機(ji)(ji)關公共信息網(wang)絡安全(quan)監察部門(men)應當對計算機(ji)(ji)信息系(xi)統落實實體安全(quan)、運行(xing)(xing)安全(quan)、信息安全(quan)和(he)內(nei)容安全(quan)措施的情況進行(xing)(xing)檢查。

對(dui)第三級計算機(ji)信(xin)(xin)息系(xi)統(tong)(tong)每(mei)年至(zhi)少檢查(cha)(cha)一次(ci)，對(dui)第四級計算機(ji)信(xin)(xin)息系(xi)統(tong)(tong)每(mei)半(ban)年至(zhi)少檢查(cha)(cha)一次(ci)。對(dui)第五級計算機(ji)信(xin)(xin)息系(xi)統(tong)(tong)，應(ying)當會(hui)同國(guo)家(jia)指(zhi)定的專門部門進行檢查(cha)(cha)。

對其他計算機信(xin)息(xi)系統(tong)應當不定(ding)期開(kai)展檢查。

第六條 公(gong)安機關公(gong)共(gong)信息(xi)網絡安全監察部門發現計算機信息(xi)系統的(de)安全保護等級和安全措施不符合有關規定和技術標(biao)準，或者存(cun)在安全隱(yin)患的(de)，應當通(tong)知運營、使用單(dan)位進行整(zheng)改。

第七條 公(gong)安機(ji)(ji)關公(gong)共信息網絡安全監察部(bu)門(men)應當向公(gong)眾提(ti)供(gong)報警求助渠道(dao)，提(ti)供(gong)計算機(ji)(ji)信息系統安全指導，發布安全動態，開展安全宣傳。

第三章 安全保護責任

第八條 單位和(he)個人應(ying)當依照有關法規、規章和(he)標準(zhun)，對其所有、使用和(he)管理的(de)計算(suan)機信息(xi)系統承擔相應(ying)的(de)安全保護責任。

第九條 第二級以上計算機(ji)信息(xi)系統的(de)運(yun)營、使(shi)用單位應當建(jian)立(li)安(an)全保護組織，并報(bao)所在地(di)地(di)級以上市人(ren)民政府公安(an)機(ji)關(guan)公共信息(xi)網絡安(an)全監察部門(men)備(bei)案。

第十條 安(an)(an)全(quan)保護(hu)組(zu)織(zhi)保障(zhang)本(ben)單(dan)位(wei)(wei)計(ji)算(suan)機(ji)(ji)信(xin)(xin)息系統(tong)(tong)的(de)安(an)(an)全(quan)運(yun)行，組(zu)織(zhi)本(ben)單(dan)位(wei)(wei)計(ji)算(suan)機(ji)(ji)信(xin)(xin)息系統(tong)(tong)的(de)有害信(xin)(xin)息防治工作，組(zu)織(zhi)開(kai)展本(ben)單(dan)位(wei)(wei)計(ji)算(suan)機(ji)(ji)信(xin)(xin)息系統(tong)(tong)安(an)(an)全(quan)教育和(he)培訓，向公(gong)(gong)安(an)(an)機(ji)(ji)關公(gong)(gong)共(gong)信(xin)(xin)息網絡(luo)(luo)安(an)(an)全(quan)監察(cha)部(bu)門(men)報告本(ben)單(dan)位(wei)(wei)計(ji)算(suan)機(ji)(ji)信(xin)(xin)息系統(tong)(tong)運(yun)行、服務和(he)安(an)(an)全(quan)等(deng)情況，及時(shi)協(xie)助公(gong)(gong)安(an)(an)機(ji)(ji)關公(gong)(gong)共(gong)信(xin)(xin)息網絡(luo)(luo)安(an)(an)全(quan)監察(cha)部(bu)門(men)查處違法犯罪和(he)處置突發事(shi)件(jian)。

第十一條 互聯單位、互聯網接(jie)(jie)入(ru)服務(wu)單位、互聯網數據中心應當(dang)對接(jie)(jie)入(ru)本網絡的用戶進行資格(ge)審查，確認(ren)符合國(guo)家(jia)和省有(you)關規定后(hou)方可為(wei)其提供(gong)服務(wu)。

互(hu)聯(lian)網(wang)接入服務、信息服務單位(wei)以及互(hu)聯(lian)網(wang)數(shu)據中心應當向用戶宣傳相關(guan)法(fa)(fa)律(lv)法(fa)(fa)規，提供必要的安(an)全保護措施。

第十二條 個(ge)人主頁(ye)、博客、聊(liao)天室、點對點服務等互聯網信(xin)息服務的(de)提供單位(wei)和使用者應當依照(zhao)國(guo)家(jia)和省有(you)關規定，落(luo)實相應的(de)安全措施。

第十三條 網(wang)吧、圖書(shu)館、學(xue)校、賓館等(deng)提供互聯網(wang)上網(wang)服務的場所(suo)應當安(an)裝符合(he)國家規定的安(an)全管(guan)理系統。

第十四條 互聯(lian)(lian)單位、互聯(lian)(lian)網接(jie)(jie)入(ru)服務單位以及互聯(lian)(lian)網數據(ju)中(zhong)心應(ying)當每月(yue)將接(jie)(jie)入(ru)本網絡(luo)的用戶情況報地級以上(shang)市公(gong)安機關公(gong)共信息網絡(luo)安全監察部門備案(an)。

第十五條 計算(suan)機(ji)(ji)信(xin)(xin)息(xi)系統(tong)運營、使用單位應當接受(shou)公安(an)機(ji)(ji)關公共信(xin)(xin)息(xi)網(wang)絡安(an)全監察部門的監督、檢查、指導，如(ru)實提供安(an)全保護有關信(xin)(xin)息(xi)、資料及數據文件，不(bu)得變相拒(ju)絕、拖延、阻(zu)礙公安(an)機(ji)(ji)關公共信(xin)(xin)息(xi)網(wang)絡安(an)全監察部門依法執行公務。

第四章 安全專用產品和安全服務

第十六條 安全專用(yong)產品必須(xu)取得公安部頒(ban)發的銷售(shou)(shou)許可證(zheng)方可銷售(shou)(shou)。

第十七條 生產、銷售或者提供(gong)含有計算機(ji)信(xin)息(xi)(xi)網絡(luo)遠程控(kong)制(zhi)、密(mi)碼(ma)猜解、安(an)(an)全(quan)（漏(lou)洞）檢測、信(xin)息(xi)(xi)群(qun)發(fa)技(ji)術(shu)(shu)的(de)產品和(he)工具的(de)，應當(dang)在領取營業(ye)執照后30日內（沒有營業(ye)執照的(de)，自開辦之日起30日內）向(xiang)單(dan)位所在地地級以上市人民政府(fu)公(gong)安(an)(an)機(ji)關公(gong)共(gong)信(xin)息(xi)(xi)網絡(luo)安(an)(an)全(quan)監察部門(men)備案，填寫(xie)《廣東省計算機(ji)信(xin)息(xi)(xi)網絡(luo)安(an)(an)全(quan)特種技(ji)術(shu)(shu)備案表》，并提交如(ru)下資料：

（一）單位簡況；

（二）營業執照（或其他有(you)效證明）復印件；

（三）研發和服務(wu)管理制度；

（四）主(zhu)要經營管理(li)人(ren)員(yuan)、技術(shu)人(ren)員(yuan)和服務(wu)人(ren)員(yuan)有效證(zheng)件復印件；

（五）主(zhu)要產品情況。

第十八條 安(an)全保(bao)護等級為第三級以上(shang)的(de)計算(suan)機(ji)信(xin)息系統應當選用(yong)符合下列條件的(de)安(an)全專用(yong)產品：

（一）產品研制(zhi)、生產單位是由中國(guo)(guo)公民(min)(min)、法(fa)(fa)人投資或(huo)者(zhe)(zhe)國(guo)(guo)家(jia)投資或(huo)者(zhe)(zhe)控股的，在(zai)中華人民(min)(min)共(gong)和國(guo)(guo)境內具(ju)有獨立的法(fa)(fa)人資格(ge)；

（二）產品的核心技術、關鍵部件具有我(wo)國(guo)自主知識(shi)產權；

（三）產(chan)品(pin)研(yan)制、生產(chan)單位及其主要業務、技術人員無犯罪記錄；

（四）產品研(yan)制、生(sheng)產單(dan)位(wei)聲明沒有故意留(liu)有或者設置漏(lou)洞、后(hou)門(men)、木馬等(deng)程序(xu)和功能；

（五(wu)）對國家(jia)安全、社會(hui)秩序、公共(gong)利益不構成危害。

第十九條 符(fu)合第(di)十八條規定的安全專用產品和生產單(dan)位應當到省公安廳(ting)公共(gong)信息(xi)網(wang)絡安全監察(cha)部門(men)備案。

第二十條 為加強(qiang)安(an)(an)全(quan)服(fu)務(wu)機構(gou)的指(zhi)導(dao)，推動安(an)(an)全(quan)服(fu)務(wu)質量(liang)和技術水平的提高，廣(guang)東省對(dui)從事計算(suan)機信(xin)息系統安(an)(an)全(quan)設計、建設、檢測(ce)、評(ping)估等安(an)(an)全(quan)服(fu)務(wu)的機構(gou)，根據(ju)其(qi)注冊資本、服(fu)務(wu)業績、技術力量(liang)、組織管理情況實行分(fen)級指(zhi)導(dao)。

第五章 安全等級測評

第二十一條 第二級以上的(de)(de)計算機信息(xi)系統的(de)(de)安全測評應當選擇符合下列(lie)條件的(de)(de)計算機信息(xi)系統安全等級測評機構(gou)（簡稱測評機構(gou)）承(cheng)擔：

（一）在中華人民共和國境內注冊成立（港澳(ao)臺地(di)區除外(wai)），具有相應經營(ying)范(fan)圍(wei)的營(ying)業(ye)執照，注冊資本100萬元以上(shang)；

（二）由(you)中(zhong)國(guo)公民投(tou)資(zi)、中(zhong)國(guo)法人投(tou)資(zi)或者國(guo)家投(tou)資(zi)的(de)企事業單位(wei)（港(gang)澳臺(tai)地區除外）；

（三）近3年完成的測評(ping)項目(mu)總(zong)值150萬元以上；

（四(si)）具有計算(suan)機(ji)安全或相關(guan)專業(ye)資格(ge)證書的專業(ye)技術人員(yuan)(yuan)不少于(yu)20人，其中大學本科以(yi)上(shang)學歷的人員(yuan)(yuan)不少于(yu)15人；

（五）管理(li)人(ren)員應當具有3年以上從(cong)事(shi)計算機信息(xi)系統安全技(ji)術(shu)領域企(qi)業(ye)管理(li)工作經歷，技(ji)術(shu)負責(ze)人(ren)已獲得(de)計算機信息(xi)系統安全技(ji)術(shu)相關專業(ye)的(de)高級職(zhi)稱，從(cong)事(shi)安全測(ce)評工作不少于3年，無犯罪記錄；

（六）工作人(ren)員僅限(xian)于中國公(gong)民，法人(ren)及主要(yao)業務、技術人(ren)員無犯罪記(ji)錄；

（七）具有(you)與所承擔(dan)項(xiang)目適應的技術裝備；

（八(ba)）具有(you)完(wan)備的保密管理(li)、項目管理(li)、質(zhi)量(liang)管理(li)、人(ren)員管理(li)和培(pei)訓(xun)教育等安全管理(li)制(zhi)度；

（九）對國家安全、社(she)會秩序、公共利益不構成(cheng)威(wei)脅。

第二十二條 廣東(dong)省對測評機構(gou)實施(shi)備案制度(du)。符合第二十一條(tiao)規定的條(tiao)件，承擔第二級以上的計算機信(xin)息系(xi)統測評工作的機構(gou)應(ying)當到省公(gong)安廳公(gong)共信(xin)息網絡安全(quan)監察部(bu)門備案。

第二十三條 省公安廳公共信息網絡安全監察部門對已備案的測評機構進行公布(bu)。

第二十四條 測評機構應當履行(xing)下(xia)列義務(wu)：

（一(yi)）遵(zun)守國(guo)家有關法律法規和技術(shu)標準，提供安全、客觀、公(gong)正的(de)檢(jian)測評估服務，保證測評的(de)質量和效果；

（二(er)）保(bao)守在測評活動中知(zhi)悉的(de)國家秘密(mi)(mi)、商(shang)業秘密(mi)(mi)和個人隱私，防范測評風險(xian)；

（三）對測(ce)評人員進行安(an)全(quan)保密教育，與其簽訂(ding)安(an)全(quan)保密責任書，規定應當履行的(de)安(an)全(quan)保密義務(wu)和承擔的(de)法律(lv)責任，并負責檢查(cha)落實(shi)。

第二十五條 第二(er)級(ji)以(yi)上的(de)計算機(ji)信息系(xi)統建設完成后，使(shi)用單位應當(dang)委托符合(he)規定的(de)測評(ping)(ping)機(ji)構安(an)全(quan)測評(ping)(ping)合(he)格方可投入使(shi)用。測評(ping)(ping)活(huo)動應當(dang)接受(shou)公(gong)安(an)機(ji)關公(gong)共信息網絡安(an)全(quan)監(jian)(jian)察(cha)部門的(de)監(jian)(jian)督(du)。

第二十六條 計算(suan)機信息(xi)系統(tong)運營、使用單位委托安全測(ce)評機構測(ce)評，應當提交(jiao)下列資料(liao)：

（一）安全測(ce)評(ping)委托書；

（二）計(ji)算機信(xin)息系(xi)統應用需求(qiu)、系(xi)統結構拓撲(pu)及說(shuo)明、系(xi)統安(an)全組織結構和管理(li)制度、安(an)全保護設施(shi)(shi)設計(ji)實施(shi)(shi)方案(an)或(huo)者改建實施(shi)(shi)方案(an)、系(xi)統軟件硬件和信(xin)息安(an)全產品清單。

第二十七條 安(an)全(quan)測評(ping)機構在收到委(wei)托(tuo)材料(liao)后，應當(dang)與委(wei)托(tuo)方協商制訂(ding)安(an)全(quan)測評(ping)計劃，開展安(an)全(quan)測評(ping)工作，并(bing)出具安(an)全(quan)測評(ping)報告。

經測(ce)評(ping)(ping)，計(ji)算機信息(xi)系統安全狀況(kuang)未達到(dao)國家有(you)關規定(ding)和(he)標準的要求，委(wei)托單位應(ying)當根據測(ce)評(ping)(ping)報告(gao)的建議，完善計(ji)算機信息(xi)系統安全建設，并重新提出安全測(ce)評(ping)(ping)委(wei)托。

測評(ping)機(ji)構對計算(suan)機(ji)信(xin)息(xi)系統進行使用前安(an)(an)(an)全測評(ping)，應當預先報(bao)告地級(ji)以(yi)上市(shi)公安(an)(an)(an)機(ji)關(guan)(guan)公共(gong)信(xin)息(xi)網(wang)絡安(an)(an)(an)全監(jian)察部門。安(an)(an)(an)全測評(ping)報(bao)告由計算(suan)機(ji)信(xin)息(xi)系統運(yun)營、使用單(dan)位(wei)報(bao)地級(ji)以(yi)上市(shi)公安(an)(an)(an)機(ji)關(guan)(guan)公共(gong)信(xin)息(xi)網(wang)絡安(an)(an)(an)全監(jian)察部門。

第二十八條 第(di)三級計(ji)算機信(xin)息(xi)系統應當每(mei)年(nian)至少進行一次安(an)全測(ce)評，第(di)四級計(ji)算機信(xin)息(xi)系統應當每(mei)半年(nian)至少進行一次安(an)全測(ce)評，第(di)五(wu)級計(ji)算機信(xin)息(xi)系統應當依據特(te)殊安(an)全要(yao)求(qiu)進行安(an)全測(ce)評。

第六章 應急處置

第二十九條 公安機關公共信息(xi)網(wang)絡安全監察部門與(yu)所在地安全服務機構、互聯網(wang)運營單(dan)位和(he)其(qi)他計算機信息(xi)系統運營、使用單(dan)位應當建立聯防(fang)機制(zhi)，依法及(ji)時(shi)查處通過計算機信息(xi)系統進行(xing)的違法犯罪行(xing)為，組織處置重大突(tu)發(fa)事件。

第三十條 對計算機(ji)信息系統中發生(sheng)的案(an)件和重大安全事故，計算機(ji)信息系統的運營(ying)、使用單(dan)位應當在二十四小時內報告縣級以上人民政府(fu)公安機(ji)關公共信息網絡安全監察(cha)部(bu)門，并保留有(you)關原始(shi)記錄。

第三十一條 第二級以上(shang)的計算機信息(xi)系統運(yun)營、使用單位應當制(zhi)定(ding)重大突發事件(jian)應急處置預案并定(ding)期(qi)實施(shi)演練。

第三十二條 計算機(ji)信息系統(tong)發生重(zhong)大突發事件(jian)，有(you)關(guan)單位應當按(an)照(zhao)應急處置預案的要求采取相應的處置措施，并服從公(gong)安機(ji)關(guan)和國家(jia)指定的專門部門的調度。

第三十三條 地級市以(yi)上人民政府公安機(ji)(ji)關公共(gong)信息網(wang)絡(luo)安全監察部門(men)經本機(ji)(ji)關主管領導批準，為保護計算機(ji)(ji)信息系統安全，在(zai)發生重大突發事(shi)件，危及(ji)國家安全、公共(gong)安全及(ji)社會(hui)穩(wen)定的(de)緊急情況下，可以(yi)采取二十四(si)小時內暫(zan)時停機(ji)(ji)、暫(zan)停聯網(wang)、備份數據(ju)等措施。

第七章 安全培訓

第三十四條 省公安廳、人事廳聯合成(cheng)立(li)的省信息網絡安全專業技術人員繼續教(jiao)(jiao)育工(gong)作(zuo)領導(dao)小組，負責全省信息網絡安全專業技術人員繼續教(jiao)(jiao)育工(gong)作(zuo)的組織和領導(dao)。下設省信息網絡安全專業技術人員繼續教(jiao)(jiao)育工(gong)作(zuo)辦公室，具體負責日常管理工(gong)作(zuo)。

第三十五條 下列人(ren)員(yuan)應當(dang)參(can)加信(xin)息網絡安全專業(ye)技術(shu)人(ren)員(yuan)繼續教(jiao)育，取得省信(xin)息網絡安全專業(ye)技術(shu)人(ren)員(yuan)繼續教(jiao)育工作辦(ban)公室(shi)頒發的信(xin)息網絡安全專業(ye)技術(shu)人(ren)員(yuan)繼續教(jiao)育合格證書，持(chi)證上崗：

（一）計算(suan)機信息系統運營(ying)、使用(yong)單位信息安全管理(li)責任人、信息審查(cha)員；

（二）互(hu)聯網接入服務、數據中心服務、信息服務、上網服務提供單位安全管理(li)員、專業技術人員；

（三）安全專用產品生產單位(wei)專業技(ji)術人員；

（四(si)）安全服(fu)務(wu)機構(gou)專(zhuan)業技術(shu)人員(yuan)、安全服(fu)務(wu)管理人員(yuan)；

（五(wu)）其他從(cong)事計算機信(xin)息(xi)系(xi)統(tong)安全保(bao)護工(gong)作(zuo)的人員。

第三十六條 信息網絡安全(quan)專業(ye)技術人員(yuan)(yuan)繼(ji)(ji)續教(jiao)(jiao)育(yu)由(you)省(sheng)信息網絡安全(quan)專業(ye)技術人員(yuan)(yuan)繼(ji)(ji)續教(jiao)(jiao)育(yu)工(gong)作辦公室授(shou)權的施教(jiao)(jiao)機構負責實(shi)施。施教(jiao)(jiao)機構實(shi)行統籌規劃。

第三十七條 信息網絡安全專業(ye)技術人員繼續教(jiao)育培訓和考試按照有關(guan)規(gui)定進行，實行統(tong)一(yi)教(jiao)學(xue)大綱，統(tong)一(yi)教(jiao)材，統(tong)一(yi)考試，統(tong)一(yi)發證。

考試合格的，由省信(xin)(xin)息(xi)網絡安全專業(ye)技術(shu)人員繼續教育工(gong)作辦(ban)公室發給信(xin)(xin)息(xi)網絡安全專業(ye)技術(shu)人員繼續教育證(zheng)書(shu)。

第八章 法律責任

第三十八條 違反(fan)本辦法(fa)(fa)的規(gui)(gui)定，依照有關法(fa)(fa)律、法(fa)(fa)規(gui)(gui)和規(gui)(gui)章處罰。

第九章 附則

第三十九條 本細則下(xia)列用語的含(han)義：實體安全，指(zhi)保護計算機(ji)信息系統的環(huan)境，計算機(ji)設備(bei)、設施（含(han)網絡(luo)）以及其(qi)(qi)它媒體免(mian)遭地震、水(shui)災、火災、雷電、有害氣體和其(qi)(qi)它環(huan)境事故（如電磁污染(ran)等）破壞。

運行安(an)全，指保護計算機信息系統的(de)信息處理過程(cheng)順利(li)進行。

信(xin)息安全，指保障信(xin)息的完整性(xing)、保密性(xing)、可用性(xing)和(he)可控(kong)性(xing)。

內容安全，指確(que)保(bao)計算機信息(xi)系統中傳輸的(de)(de)信息(xi)所承載的(de)(de)內容的(de)(de)合法(fa)性。

安全(quan)（漏(lou)洞）檢測(ce)，指利(li)用計(ji)(ji)算機技(ji)術手段掃描、探測(ce)計(ji)(ji)算機信息系統安全(quan)漏(lou)洞。

第四十條 本辦法規定的“以上”含本數。

第四十一條 本辦法規(gui)定(ding)的有關表格和證書由省公安廳(ting)制定(ding)式樣(yang)，統(tong)一監制。

第四十二條 本辦法由省公安廳負(fu)責解(jie)釋。

第四十三條 本(ben)辦法(fa)自2008年(nian)12月1日起施(shi)行。