廣東省公安廳關于計算機信息系統安全保護的實施辦法

（廣東省公安廳2008年(nian)9月(yue)27日(ri)以粵公通字〔2008〕228號(hao)發布 自2008年(nian)12月(yue)1日(ri)起施行(xing)）

第一章 總則

第一條 為保護計(ji)算機(ji)信(xin)息(xi)系統安全(quan)，促進信(xin)息(xi)化建(jian)設的(de)健康(kang)發展，貫徹(che)落實《廣東省計(ji)算機(ji)信(xin)息(xi)系統安全(quan)保護條例》，根(gen)據有關法(fa)(fa)律法(fa)(fa)規，制定本辦法(fa)(fa)。

第二條 本辦法(fa)適用于廣(guang)東省行政區域內計算機信息系統(tong)的安全保護。

第三條 縣級(ji)以上人(ren)民政(zheng)(zheng)府公安(an)機(ji)關(guan)公共信息網絡(luo)安(an)全(quan)監(jian)察部(bu)門具體負(fu)責(ze)本行(xing)政(zheng)(zheng)區域內計算機(ji)信息系統的(de)安(an)全(quan)保護監(jian)管工作。

第二章 安全監督

第四條 公安機關公共信息網(wang)絡安全(quan)監察部門(men)對計算(suan)機信息系統安全(quan)保護(hu)工作行使下列職責：

（一(yi)）監督(du)、檢查、指導計算機信息系(xi)統安全保護工作；

（二）組(zu)織開展計算機信息系統(tong)安全等級保護(hu)；

（三）查處計(ji)算機違法犯罪案件；

（四）組織處置重大計算機(ji)信息系統安(an)全事故和事件；

（五）負責計算機病毒和其他(ta)有害數據防治管理；

（六）負責計算機(ji)信息(xi)系統安全服(fu)務的監(jian)督(du)指導；

（七）負責(ze)計算機信息系統安全專用產品的(de)監督管理；

（八）負責計算機信息系統安全培訓管理；

（九）法律(lv)、法規和規章規定(ding)的其他職責。

第五條 公安(an)機(ji)(ji)關公共信息(xi)網絡安(an)全(quan)監察部(bu)門應(ying)當(dang)對(dui)計算機(ji)(ji)信息(xi)系(xi)統(tong)落實實體安(an)全(quan)、運行安(an)全(quan)、信息(xi)安(an)全(quan)和(he)內容安(an)全(quan)措施的情況(kuang)進行檢查(cha)。

對第三級(ji)計算機信息(xi)系(xi)統(tong)每(mei)年至(zhi)少(shao)檢查(cha)一次(ci)，對第四級(ji)計算機信息(xi)系(xi)統(tong)每(mei)半年至(zhi)少(shao)檢查(cha)一次(ci)。對第五級(ji)計算機信息(xi)系(xi)統(tong)，應當會同國家指(zhi)定的專門(men)部門(men)進行(xing)檢查(cha)。

對其他計算機信息(xi)系(xi)統應當不定(ding)期(qi)開展檢查。

第六條 公安(an)機(ji)關(guan)公共信(xin)息網絡安(an)全監察部門發現計算機(ji)信(xin)息系統(tong)的安(an)全保護等級和安(an)全措施不符合有關(guan)規定和技術(shu)標準，或者存在安(an)全隱患的，應當通知運(yun)營、使用單位(wei)進(jin)行整改。

第七條 公(gong)(gong)安(an)(an)機關(guan)公(gong)(gong)共信(xin)息網絡安(an)(an)全(quan)(quan)(quan)(quan)監察(cha)部門應當向公(gong)(gong)眾提供(gong)報警(jing)求(qiu)助渠道，提供(gong)計算機信(xin)息系統(tong)安(an)(an)全(quan)(quan)(quan)(quan)指導，發(fa)布安(an)(an)全(quan)(quan)(quan)(quan)動(dong)態，開展(zhan)安(an)(an)全(quan)(quan)(quan)(quan)宣傳(chuan)。

第三章 安全保護責任

第八條 單(dan)位和(he)個人(ren)應(ying)(ying)當依照有關(guan)法規、規章和(he)標(biao)準，對(dui)其(qi)所(suo)有、使用(yong)和(he)管(guan)理的計算機信(xin)息系統承擔(dan)相應(ying)(ying)的安(an)全保護責任(ren)。

第九條 第二級以(yi)上計算(suan)機(ji)信息(xi)系統的運(yun)營(ying)、使用單(dan)位應當建立安(an)(an)全(quan)保護組織(zhi)，并報(bao)所在地地級以(yi)上市人民(min)政府公(gong)安(an)(an)機(ji)關公(gong)共信息(xi)網絡安(an)(an)全(quan)監(jian)察部門備案。

第十條 安(an)全(quan)保(bao)護組織保(bao)障本(ben)單位計算機(ji)信(xin)(xin)息系(xi)(xi)統(tong)(tong)的安(an)全(quan)運行(xing)，組織本(ben)單位計算機(ji)信(xin)(xin)息系(xi)(xi)統(tong)(tong)的有害(hai)信(xin)(xin)息防治工作，組織開(kai)展(zhan)本(ben)單位計算機(ji)信(xin)(xin)息系(xi)(xi)統(tong)(tong)安(an)全(quan)教育和培訓(xun)，向公安(an)機(ji)關公共信(xin)(xin)息網(wang)絡(luo)安(an)全(quan)監察(cha)部門(men)報告(gao)本(ben)單位計算機(ji)信(xin)(xin)息系(xi)(xi)統(tong)(tong)運行(xing)、服務和安(an)全(quan)等情況(kuang)，及時協助(zhu)公安(an)機(ji)關公共信(xin)(xin)息網(wang)絡(luo)安(an)全(quan)監察(cha)部門(men)查處違法(fa)犯罪和處置(zhi)突發(fa)事件。

第十一條 互聯單(dan)位(wei)、互聯網接入服務單(dan)位(wei)、互聯網數據(ju)中心應當對接入本網絡(luo)的用戶進行(xing)資格審查，確(que)認(ren)符(fu)合國家和省(sheng)有關(guan)規(gui)定后(hou)方可(ke)為其提供服務。

互(hu)聯網接入服(fu)務(wu)(wu)、信息(xi)服(fu)務(wu)(wu)單位以及(ji)互(hu)聯網數(shu)據(ju)中心應當向用戶宣(xuan)傳相(xiang)關法(fa)律法(fa)規，提供必要的安全保護措(cuo)施。

第十二條 個人主(zhu)頁、博客、聊天室、點(dian)對點(dian)服務(wu)等互聯網信息(xi)服務(wu)的(de)提供單位和使用者應(ying)當依照國家(jia)和省有關規(gui)定，落實(shi)相應(ying)的(de)安全措施。

第十三條 網吧(ba)、圖書館、學校、賓館等(deng)提供(gong)互聯(lian)網上網服務的場(chang)所應當安裝符合國家規(gui)定(ding)的安全管理系統。

第十四條 互(hu)聯(lian)單(dan)位、互(hu)聯(lian)網接(jie)入(ru)服務(wu)單(dan)位以及互(hu)聯(lian)網數據(ju)中心應當每(mei)月(yue)將接(jie)入(ru)本網絡(luo)的用戶情況(kuang)報(bao)地級以上市公(gong)安機關公(gong)共信息(xi)網絡(luo)安全監察部門備(bei)案。

第十五條 計算機信(xin)息(xi)系統運(yun)營(ying)、使用單位(wei)應當(dang)接受公安機關(guan)公共(gong)信(xin)息(xi)網(wang)絡(luo)安全監(jian)察部門的監(jian)督、檢(jian)查、指導，如實提供(gong)安全保(bao)護(hu)有關(guan)信(xin)息(xi)、資料及數(shu)據文件，不得變(bian)相拒(ju)絕、拖延、阻礙(ai)公安機關(guan)公共(gong)信(xin)息(xi)網(wang)絡(luo)安全監(jian)察部門依(yi)法(fa)執行(xing)公務。

第四章 安全專用產品和安全服務

第十六條 安全專用產品(pin)必須取得(de)公安部頒發的銷售(shou)許(xu)可(ke)證方(fang)可(ke)銷售(shou)。

第十七條 生(sheng)產、銷售(shou)或者提(ti)(ti)供含有計(ji)算機信息網(wang)絡(luo)遠程控制、密碼猜(cai)解、安全(quan)（漏洞）檢(jian)測、信息群(qun)發技(ji)術(shu)(shu)的(de)產品和工具的(de)，應當在(zai)領(ling)取營業(ye)執照后30日(ri)內（沒有營業(ye)執照的(de)，自(zi)開辦之(zhi)日(ri)起(qi)30日(ri)內）向單位所在(zai)地(di)(di)地(di)(di)級以上市人民政府(fu)公安機關公共信息網(wang)絡(luo)安全(quan)監察部門備(bei)案(an)，填寫(xie)《廣(guang)東省計(ji)算機信息網(wang)絡(luo)安全(quan)特種技(ji)術(shu)(shu)備(bei)案(an)表》，并提(ti)(ti)交(jiao)如下(xia)資料：

（一）單位簡況；

（二）營業(ye)執照（或其他有效證明）復印件；

（三）研發(fa)和服(fu)務管理制度；

（四）主要經營(ying)管(guan)理人(ren)員、技術人(ren)員和服務人(ren)員有效證件復(fu)印件；

（五）主(zhu)要產品(pin)情況。

第十八條 安全(quan)保護等級(ji)為第三級(ji)以上的計(ji)算機信息系統應當選用符合下列條件的安全(quan)專用產品：

（一）產品研制(zhi)、生產單位(wei)是由中國公(gong)民、法人投資(zi)或(huo)者國家投資(zi)或(huo)者控股的(de)，在(zai)中華人民共和國境內具有獨(du)立(li)的(de)法人資(zi)格；

（二(er)）產(chan)品的(de)核心技術、關鍵部件(jian)具有我國自(zi)主(zhu)知識產(chan)權；

（三）產(chan)品研制、生產(chan)單位及其主要業務、技(ji)術人員無犯罪記(ji)錄；

（四）產品研制、生產單位聲明(ming)沒有(you)故(gu)意留有(you)或者設置漏洞、后門、木馬(ma)等(deng)程序(xu)和功能；

（五(wu)）對國家安全、社(she)會秩序、公共(gong)利益不構成危害。

第十九條 符合第十八(ba)條規(gui)定的安全專用(yong)產品和生(sheng)產單位應當到省公(gong)安廳公(gong)共信息網(wang)絡安全監察部門備案。

第二十條 為(wei)加強(qiang)安(an)全(quan)服務機(ji)構的指導(dao)，推(tui)動安(an)全(quan)服務質量(liang)和技(ji)術(shu)水平的提高，廣東省對從事(shi)計(ji)算(suan)機(ji)信息系(xi)統安(an)全(quan)設計(ji)、建設、檢測、評估等安(an)全(quan)服務的機(ji)構，根據其注冊(ce)資本、服務業(ye)績、技(ji)術(shu)力量(liang)、組織管理情況實行分級(ji)指導(dao)。

第五章 安全等級測評

第二十一條 第(di)二級以(yi)上的計算機(ji)信息(xi)系(xi)統(tong)的安全測評應當(dang)選(xuan)擇符合(he)下列(lie)條(tiao)件(jian)的計算機(ji)信息(xi)系(xi)統(tong)安全等(deng)級測評機(ji)構（簡稱測評機(ji)構）承擔：

（一）在中(zhong)華人(ren)民共和(he)國(guo)境(jing)內注冊(ce)成立（港(gang)澳臺地區除外），具有相應經營(ying)范圍的營(ying)業執(zhi)照，注冊(ce)資本100萬元(yuan)以上；

（二(er)）由中(zhong)(zhong)國公民投(tou)資、中(zhong)(zhong)國法人投(tou)資或者(zhe)國家(jia)投(tou)資的企事(shi)業(ye)單位（港澳(ao)臺(tai)地區除外）；

（三）近3年完成的測評項(xiang)目總值(zhi)150萬元(yuan)以(yi)上；

（四）具有計算機(ji)安全或相關專業資格(ge)證書的(de)專業技術人(ren)(ren)員(yuan)(yuan)不少于20人(ren)(ren)，其中(zhong)大學(xue)本科以上(shang)學(xue)歷的(de)人(ren)(ren)員(yuan)(yuan)不少于15人(ren)(ren)；

（五）管理人員應(ying)當(dang)具有(you)3年(nian)(nian)以上從(cong)事計(ji)算機信息系(xi)統(tong)安(an)全(quan)技術(shu)(shu)(shu)領域(yu)企業管理工作經歷，技術(shu)(shu)(shu)負責人已(yi)獲得計(ji)算機信息系(xi)統(tong)安(an)全(quan)技術(shu)(shu)(shu)相(xiang)關專業的高級(ji)職稱，從(cong)事安(an)全(quan)測評工作不少于3年(nian)(nian)，無犯(fan)罪記錄；

（六）工作人員僅限于中國公民，法人及主要業務、技術(shu)人員無犯(fan)罪記錄；

（七(qi)）具有與(yu)所承擔項目適應的(de)技術裝備；

（八）具(ju)有完備的保密管理(li)、項目管理(li)、質量管理(li)、人員管理(li)和培訓(xun)教育等安全管理(li)制度(du)；

（九(jiu)）對國家安全、社(she)會(hui)秩序、公共利益不構(gou)成威脅。

第二十二條 廣東(dong)省(sheng)對測(ce)評機(ji)構(gou)實施備(bei)案制(zhi)度。符合第二十(shi)一條(tiao)規定的條(tiao)件，承擔第二級以(yi)上的計算(suan)機(ji)信息(xi)系統測(ce)評工作的機(ji)構(gou)應(ying)當到省(sheng)公(gong)(gong)安廳公(gong)(gong)共信息(xi)網絡安全監察部門(men)備(bei)案。

第二十三條 省公(gong)安廳公(gong)共信息網(wang)絡安全監察部門對(dui)已備(bei)案的測評機構進行公(gong)布。

第二十四條 測評(ping)機構應當履行下列義(yi)務：

（一）遵守國家(jia)有關法律法規和(he)技術標準，提供(gong)安全、客觀、公正的(de)檢(jian)測(ce)評(ping)估服務，保證(zheng)測(ce)評(ping)的(de)質量和(he)效果；

（二）保守(shou)在(zai)測評活動中知悉的(de)國家(jia)秘(mi)(mi)密、商業秘(mi)(mi)密和個人隱私，防范測評風險；

（三）對測評(ping)人員進行(xing)安全保(bao)密(mi)教育，與其簽訂安全保(bao)密(mi)責(ze)任書，規定應當(dang)履行(xing)的安全保(bao)密(mi)義務和承擔的法律責(ze)任，并負(fu)責(ze)檢(jian)查落實。

第二十五條 第二級以上的計算(suan)機(ji)信息(xi)系(xi)統建設(she)完成后，使用單(dan)位應當委(wei)托符合(he)規定的測(ce)(ce)評機(ji)構安全測(ce)(ce)評合(he)格方可(ke)投入使用。測(ce)(ce)評活動應當接受公(gong)安機(ji)關公(gong)共信息(xi)網(wang)絡安全監察部門的監督。

第二十六條 計算機(ji)信(xin)息系統(tong)運營、使用(yong)單位(wei)委(wei)托安(an)全測(ce)評機(ji)構測(ce)評，應(ying)當提交下列資料：

（一(yi)）安全(quan)測評委托書；

（二）計(ji)算機信(xin)息(xi)系(xi)統(tong)應用(yong)需(xu)求、系(xi)統(tong)結構(gou)拓撲及說明(ming)、系(xi)統(tong)安全(quan)組織(zhi)結構(gou)和管理制度、安全(quan)保(bao)護設施(shi)設計(ji)實施(shi)方案或者改建實施(shi)方案、系(xi)統(tong)軟件(jian)硬件(jian)和信(xin)息(xi)安全(quan)產品(pin)清單。

第二十七條 安全(quan)(quan)測(ce)(ce)評機構(gou)在收到(dao)委托材(cai)料(liao)后，應當與委托方協商(shang)制訂安全(quan)(quan)測(ce)(ce)評計劃，開展安全(quan)(quan)測(ce)(ce)評工作，并出具安全(quan)(quan)測(ce)(ce)評報(bao)告。

經測(ce)(ce)評，計(ji)算(suan)機(ji)信(xin)息系統安全狀況未達到國(guo)家有關(guan)規定(ding)和標準的(de)(de)要求(qiu)，委托單位應當根據測(ce)(ce)評報告的(de)(de)建議，完(wan)善(shan)計(ji)算(suan)機(ji)信(xin)息系統安全建設，并重(zhong)新提(ti)出安全測(ce)(ce)評委托。

測評機(ji)(ji)構(gou)對計算(suan)機(ji)(ji)信(xin)(xin)息(xi)系(xi)(xi)統進行使用前安全(quan)測評，應當預先(xian)報(bao)(bao)告(gao)地級以上(shang)市公(gong)(gong)安機(ji)(ji)關公(gong)(gong)共(gong)信(xin)(xin)息(xi)網(wang)絡安全(quan)監(jian)察部門(men)(men)。安全(quan)測評報(bao)(bao)告(gao)由(you)計算(suan)機(ji)(ji)信(xin)(xin)息(xi)系(xi)(xi)統運營(ying)、使用單(dan)位報(bao)(bao)地級以上(shang)市公(gong)(gong)安機(ji)(ji)關公(gong)(gong)共(gong)信(xin)(xin)息(xi)網(wang)絡安全(quan)監(jian)察部門(men)(men)。

第二十八條 第三級(ji)(ji)計(ji)(ji)算(suan)機(ji)信息系統(tong)應當(dang)每年至少進(jin)(jin)行(xing)一次安(an)全測評，第四級(ji)(ji)計(ji)(ji)算(suan)機(ji)信息系統(tong)應當(dang)每半年至少進(jin)(jin)行(xing)一次安(an)全測評，第五(wu)級(ji)(ji)計(ji)(ji)算(suan)機(ji)信息系統(tong)應當(dang)依(yi)據(ju)特殊(shu)安(an)全要求(qiu)進(jin)(jin)行(xing)安(an)全測評。

第六章 應急處置

第二十九條 公安(an)機關公共信息網絡(luo)安(an)全監察部門(men)與所(suo)在地安(an)全服務機構、互聯網運營單位和其他(ta)計算(suan)機信息系統(tong)運營、使用單位應當建(jian)立聯防機制，依(yi)法及時(shi)查處通過計算(suan)機信息系統(tong)進行的(de)違法犯罪行為，組織處置重大突發事件(jian)。

第三十條 對計(ji)算機(ji)信息(xi)系統中發生(sheng)的案件和重大安全事故，計(ji)算機(ji)信息(xi)系統的運營、使用(yong)單位應(ying)當在二十四小時(shi)內報(bao)告縣(xian)級(ji)以(yi)上人民政府公安機(ji)關公共信息(xi)網(wang)絡安全監察部(bu)門，并(bing)保(bao)留有(you)關原始記錄。

第三十一條 第(di)二級以上的計算機(ji)信息系統運營(ying)、使(shi)用單位(wei)應當制定重(zhong)大突發事(shi)件應急(ji)處置預案并定期實施演練。

第三十二條 計算機(ji)信息(xi)系統發(fa)(fa)生重大突發(fa)(fa)事件，有關(guan)單位應(ying)當按照應(ying)急處置(zhi)預案的要求(qiu)采(cai)取相應(ying)的處置(zhi)措施，并服從(cong)公(gong)安(an)機(ji)關(guan)和國(guo)家指定的專(zhuan)門(men)部(bu)門(men)的調度。

第三十三條 地(di)級市以上人民政府公安(an)機(ji)關公共(gong)信息網(wang)絡安(an)全監(jian)察(cha)部門(men)經本機(ji)關主管領導批準，為保(bao)護計算機(ji)信息系統安(an)全，在發(fa)(fa)生重大突發(fa)(fa)事件(jian)，危及國家安(an)全、公共(gong)安(an)全及社(she)會(hui)穩定的緊(jin)急情況下，可以采取二(er)十四小時(shi)內(nei)暫(zan)時(shi)停機(ji)、暫(zan)停聯網(wang)、備份數據等措(cuo)施。

第七章 安全培訓

第三十四條 省(sheng)公安(an)廳(ting)、人(ren)事(shi)廳(ting)聯合成立的(de)省(sheng)信息網絡安(an)全(quan)(quan)專(zhuan)(zhuan)業技(ji)術(shu)人(ren)員繼(ji)續(xu)教育工(gong)作領(ling)導小組(zu)，負(fu)責全(quan)(quan)省(sheng)信息網絡安(an)全(quan)(quan)專(zhuan)(zhuan)業技(ji)術(shu)人(ren)員繼(ji)續(xu)教育工(gong)作的(de)組(zu)織(zhi)和領(ling)導。下設省(sheng)信息網絡安(an)全(quan)(quan)專(zhuan)(zhuan)業技(ji)術(shu)人(ren)員繼(ji)續(xu)教育工(gong)作辦公室(shi)，具體負(fu)責日常管理工(gong)作。

第三十五條 下列人(ren)員應當參加信(xin)息網絡安全(quan)(quan)專業(ye)技術(shu)人(ren)員繼(ji)續(xu)教(jiao)育(yu)(yu)，取(qu)得省信(xin)息網絡安全(quan)(quan)專業(ye)技術(shu)人(ren)員繼(ji)續(xu)教(jiao)育(yu)(yu)工作辦(ban)公室頒發的(de)信(xin)息網絡安全(quan)(quan)專業(ye)技術(shu)人(ren)員繼(ji)續(xu)教(jiao)育(yu)(yu)合格證書，持證上(shang)崗：

（一(yi)）計算機信(xin)息系統運營(ying)、使用單位(wei)信(xin)息安全管理責任人、信(xin)息審查員；

（二）互(hu)聯網接入(ru)服務、數據中心服務、信息服務、上網服務提供單位安全管理(li)員、專業(ye)技術人員；

（三(san)）安全專用(yong)產(chan)品生(sheng)產(chan)單位專業技(ji)術人員；

（四）安(an)全(quan)(quan)服務(wu)機(ji)構專業技術人員(yuan)、安(an)全(quan)(quan)服務(wu)管理人員(yuan)；

（五）其他從事計算機(ji)信息(xi)系統安全(quan)保護工(gong)作的人員。

第三十六條 信(xin)息網絡安全專業(ye)(ye)技(ji)術人員繼續教(jiao)(jiao)育(yu)由省信(xin)息網絡安全專業(ye)(ye)技(ji)術人員繼續教(jiao)(jiao)育(yu)工作辦公室(shi)授權的施教(jiao)(jiao)機構負責實(shi)施。施教(jiao)(jiao)機構實(shi)行統籌(chou)規劃(hua)。

第三十七條 信息網絡安全專業技術人員繼續(xu)教(jiao)育培訓(xun)和考(kao)試按照有關規(gui)定進行(xing)，實行(xing)統一教(jiao)學大綱，統一教(jiao)材(cai)，統一考(kao)試，統一發證。

考試合格的，由省信(xin)息網絡安全專業技術(shu)(shu)人員繼續(xu)教(jiao)育工作辦公(gong)室發給信(xin)息網絡安全專業技術(shu)(shu)人員繼續(xu)教(jiao)育證書(shu)。

第八章 法律責任

第三十八條 違反本辦法的(de)規定，依照有關法律、法規和規章處罰。

第九章 附則

第三十九條 本細(xi)則下列用(yong)語的含(han)義(yi)：實體安全(quan)，指(zhi)保護(hu)計(ji)(ji)算機信息系統的環境，計(ji)(ji)算機設備、設施（含(han)網(wang)絡）以及其它(ta)媒(mei)體免遭地震、水災(zai)、火災(zai)、雷電(dian)、有害(hai)氣(qi)體和其它(ta)環境事故（如電(dian)磁(ci)污染等）破壞。

運行安全，指(zhi)保護計算機信息(xi)系統(tong)的(de)信息(xi)處理(li)過(guo)程順利進行。

信息安全，指保(bao)障信息的完整性(xing)、保(bao)密性(xing)、可用性(xing)和可控(kong)性(xing)。

內(nei)容安全(quan)，指確(que)保計算機信息(xi)系(xi)統中(zhong)傳(chuan)輸的(de)(de)信息(xi)所承載的(de)(de)內(nei)容的(de)(de)合法性。

安全（漏洞）檢測，指利用計(ji)算機技術手段掃描(miao)、探測計(ji)算機信(xin)息系統安全漏洞。

第四十條 本辦(ban)法規定(ding)的“以上”含本數。

第四十一條 本辦法規(gui)定(ding)的(de)有關表格和證(zheng)書由省(sheng)公(gong)安廳制定(ding)式樣，統(tong)一監制。

第四十二條 本辦法(fa)由省公安廳負責(ze)解釋。

第四十三條 本辦法自2008年(nian)12月(yue)1日起(qi)施行。