廣東省公安廳關于計算機信息系統安全保護的實施辦法

（廣東省公安(an)廳2008年9月(yue)27日以粵(yue)公通字〔2008〕228號(hao)發布 自(zi)2008年12月(yue)1日起施行）

第一章 總則

第一條 為(wei)保(bao)護(hu)(hu)計算(suan)機信息(xi)系(xi)統安全，促進信息(xi)化建設的健康發(fa)展，貫徹落實《廣東省計算(suan)機信息(xi)系(xi)統安全保(bao)護(hu)(hu)條例》，根據有關法律法規，制定本辦法。

第二條 本辦法適用于(yu)廣東省行政區域內計算(suan)機信息系統的(de)安全保護。

第三條 縣(xian)級以上人民政府(fu)公安(an)(an)機(ji)關(guan)公共(gong)信息網絡安(an)(an)全監察部門具(ju)體(ti)負責本行政區域內計算機(ji)信息系統的安(an)(an)全保護監管工作(zuo)。

第二章 安全監督

第四條 公安機(ji)關(guan)公共信息(xi)網絡安全(quan)(quan)監察(cha)部(bu)門對(dui)計算(suan)機(ji)信息(xi)系統安全(quan)(quan)保護工作行使下(xia)列職責：

（一）監督、檢(jian)查、指導計(ji)算機信息系統安全(quan)保(bao)護(hu)工作(zuo)；

（二）組織開展計算(suan)機信(xin)息系(xi)統(tong)安全等級保護；

（三(san)）查處計算機違(wei)法犯(fan)罪案件(jian)；

（四(si)）組織處(chu)置重大計算機(ji)信息系(xi)統安全事故和(he)事件；

（五(wu)）負(fu)責(ze)計算機病(bing)毒和其他有害(hai)數據防治管理(li)；

（六）負責計(ji)算機信息系統安全服務的監督指導；

（七）負責計算(suan)機信(xin)息(xi)系(xi)統安(an)全專(zhuan)用(yong)產品的(de)監督管理(li)；

（八）負責計算(suan)機信息系統安全培訓管理；

（九）法律、法規(gui)和規(gui)章規(gui)定(ding)的其他職(zhi)責。

第五條 公安(an)(an)機關公共信息(xi)網絡安(an)(an)全(quan)監察部(bu)門應當(dang)對(dui)計算(suan)機信息(xi)系統落實實體安(an)(an)全(quan)、運行(xing)安(an)(an)全(quan)、信息(xi)安(an)(an)全(quan)和內容安(an)(an)全(quan)措施的(de)情(qing)況進行(xing)檢查。

對(dui)第(di)三級計算(suan)機信(xin)息(xi)(xi)系(xi)統每年至少(shao)檢(jian)查一次(ci)，對(dui)第(di)四級計算(suan)機信(xin)息(xi)(xi)系(xi)統每半年至少(shao)檢(jian)查一次(ci)。對(dui)第(di)五級計算(suan)機信(xin)息(xi)(xi)系(xi)統，應(ying)當會同國(guo)家指定(ding)的專門(men)部門(men)進行檢(jian)查。

對其他計算機(ji)信息系(xi)統應當不定期(qi)開展檢查。

第六條 公安(an)(an)機關公共信(xin)息網絡安(an)(an)全(quan)監(jian)察(cha)部門發現計算(suan)機信(xin)息系(xi)統(tong)的安(an)(an)全(quan)保(bao)護等級和(he)安(an)(an)全(quan)措(cuo)施不符合(he)有關規定(ding)和(he)技術標準，或者存在安(an)(an)全(quan)隱患的，應(ying)當(dang)通知(zhi)運營、使用單(dan)位(wei)進行整改。

第七條 公(gong)安(an)機關公(gong)共信(xin)(xin)息網(wang)絡安(an)全(quan)監察部門(men)應當向公(gong)眾(zhong)提(ti)供報警求助渠道，提(ti)供計算機信(xin)(xin)息系統安(an)全(quan)指導，發布安(an)全(quan)動態，開展安(an)全(quan)宣傳。

第三章 安全保護責任

第八條 單(dan)位和(he)個人(ren)應(ying)當(dang)依照有關法規(gui)、規(gui)章和(he)標準，對其所有、使用和(he)管(guan)理(li)的計算機信息系統(tong)承(cheng)擔相應(ying)的安全保護責任。

第九條 第二級以上計算(suan)機(ji)信息系(xi)統的運(yun)營、使用(yong)單位(wei)應當(dang)建立安(an)全保護組(zu)織，并報所在地地級以上市人民政府公(gong)(gong)安(an)機(ji)關(guan)公(gong)(gong)共信息網絡安(an)全監(jian)察部門備案。

第十條 安(an)(an)(an)全(quan)保護(hu)組(zu)織(zhi)(zhi)保障本(ben)單(dan)(dan)位(wei)(wei)計算(suan)機(ji)信(xin)(xin)息(xi)系(xi)(xi)統(tong)的(de)(de)安(an)(an)(an)全(quan)運行，組(zu)織(zhi)(zhi)本(ben)單(dan)(dan)位(wei)(wei)計算(suan)機(ji)信(xin)(xin)息(xi)系(xi)(xi)統(tong)的(de)(de)有(you)害(hai)信(xin)(xin)息(xi)防治工作，組(zu)織(zhi)(zhi)開(kai)展本(ben)單(dan)(dan)位(wei)(wei)計算(suan)機(ji)信(xin)(xin)息(xi)系(xi)(xi)統(tong)安(an)(an)(an)全(quan)教(jiao)育和培(pei)訓，向公安(an)(an)(an)機(ji)關公共信(xin)(xin)息(xi)網絡安(an)(an)(an)全(quan)監(jian)察部門報告本(ben)單(dan)(dan)位(wei)(wei)計算(suan)機(ji)信(xin)(xin)息(xi)系(xi)(xi)統(tong)運行、服務和安(an)(an)(an)全(quan)等情況，及時協(xie)助公安(an)(an)(an)機(ji)關公共信(xin)(xin)息(xi)網絡安(an)(an)(an)全(quan)監(jian)察部門查處違法犯罪和處置(zhi)突發事件。

第十一條 互聯(lian)單(dan)位(wei)、互聯(lian)網(wang)接入服(fu)務單(dan)位(wei)、互聯(lian)網(wang)數據中(zhong)心應(ying)當對(dui)接入本網(wang)絡的用(yong)戶進行資格審(shen)查(cha)，確認符合國家和省有關規(gui)定(ding)后方可為其提供服(fu)務。

互(hu)聯(lian)網接入服(fu)務、信息服(fu)務單位以及(ji)互(hu)聯(lian)網數據中心應當向用戶宣傳相關法(fa)律(lv)法(fa)規，提供必要的安全(quan)保護措施。

第十二條 個人主頁、博客、聊天室、點(dian)對點(dian)服務(wu)等互聯(lian)網信息服務(wu)的(de)提供(gong)單位和(he)使(shi)用者應當依照(zhao)國家和(he)省(sheng)有關規定，落(luo)實相應的(de)安全措(cuo)施。

第十三條 網(wang)(wang)吧、圖(tu)書館、學(xue)校、賓館等提供互聯網(wang)(wang)上網(wang)(wang)服(fu)務的(de)場所應當安裝符(fu)合國家規(gui)定的(de)安全(quan)管(guan)理系統(tong)。

第十四條 互(hu)聯單位(wei)、互(hu)聯網接入服(fu)務單位(wei)以(yi)及互(hu)聯網數據中心應當每月將接入本(ben)網絡(luo)(luo)的用戶(hu)情況報地級(ji)以(yi)上市(shi)公安機關公共信息網絡(luo)(luo)安全監察部(bu)門備案。

第十五條 計算(suan)機信息(xi)系統運營、使用單位應(ying)當接受公安(an)機關(guan)公共信息(xi)網(wang)絡(luo)安(an)全(quan)(quan)監察部(bu)(bu)門的監督(du)、檢查、指導，如實提(ti)供安(an)全(quan)(quan)保護(hu)有(you)關(guan)信息(xi)、資料及數(shu)據文件，不得變相拒絕、拖延(yan)、阻礙公安(an)機關(guan)公共信息(xi)網(wang)絡(luo)安(an)全(quan)(quan)監察部(bu)(bu)門依(yi)法執行公務。

第四章 安全專用產品和安全服務

第十六條 安全專用產品必須取得(de)公安部頒發(fa)的銷(xiao)售許可證(zheng)方(fang)可銷(xiao)售。

第十七條 生產(chan)、銷售或者(zhe)提(ti)供含有計算(suan)機信(xin)(xin)息網絡(luo)(luo)遠程控制(zhi)、密碼猜(cai)解、安(an)全（漏洞）檢測、信(xin)(xin)息群發技術(shu)的(de)產(chan)品和工具(ju)的(de)，應(ying)當(dang)在(zai)領(ling)取(qu)營業執(zhi)照后30日(ri)內（沒有營業執(zhi)照的(de)，自開辦(ban)之日(ri)起30日(ri)內）向單位所在(zai)地地級(ji)以上市人民政府公安(an)機關(guan)公共信(xin)(xin)息網絡(luo)(luo)安(an)全監察(cha)部門備(bei)案(an)，填寫(xie)《廣東省計算(suan)機信(xin)(xin)息網絡(luo)(luo)安(an)全特種技術(shu)備(bei)案(an)表》，并提(ti)交(jiao)如下資料(liao)：

（一）單位簡況；

（二(er)）營(ying)業(ye)執照(zhao)（或其他(ta)有效證明）復(fu)印件；

（三(san)）研發和服務管理制度；

（四）主要經(jing)營(ying)管理人(ren)員、技術(shu)人(ren)員和服(fu)務人(ren)員有(you)效證件復(fu)印件；

（五）主要產(chan)品情(qing)況。

第十八條 安全保(bao)護等(deng)級為第三(san)級以上(shang)的計算機信息系統應當選用符(fu)合下(xia)列條件的安全專用產(chan)品：

（一）產品研(yan)制、生產單(dan)位(wei)是由(you)中國(guo)公民、法人投資或(huo)者(zhe)國(guo)家投資或(huo)者(zhe)控股的(de)，在中華人民共和國(guo)境內具(ju)有獨(du)立的(de)法人資格；

（二）產(chan)品(pin)的(de)核心技(ji)術、關鍵部件具有(you)我國自(zi)主知識產(chan)權；

（三(san)）產品研制(zhi)、生產單位及其主要(yao)業(ye)務、技術人員無犯罪(zui)記錄；

（四）產品研制、生產單位聲明沒有(you)故意(yi)留有(you)或(huo)者設置漏洞、后門、木(mu)馬等(deng)程(cheng)序和功能；

（五）對(dui)國家安(an)全、社會秩序、公共利益不構成危害。

第十九條 符合第十八條規定的安全專(zhuan)用產(chan)品和生產(chan)單位應當(dang)到省公安廳公共信息網絡安全監察部門備(bei)案(an)。

第二十條 為(wei)加強(qiang)安全(quan)服務機(ji)構(gou)的指(zhi)導，推(tui)動(dong)安全(quan)服務質量和技術(shu)(shu)水平的提高，廣東省對從事計(ji)算機(ji)信息系統安全(quan)設計(ji)、建設、檢測、評估等安全(quan)服務的機(ji)構(gou)，根(gen)據其(qi)注(zhu)冊資本、服務業績、技術(shu)(shu)力量、組織管理情(qing)況實行分級指(zhi)導。

第五章 安全等級測評

第二十一條 第二級(ji)以上的計算機(ji)信息系統(tong)的安全(quan)測評(ping)應(ying)當(dang)選擇(ze)符(fu)合下列條(tiao)件的計算機(ji)信息系統(tong)安全(quan)等級(ji)測評(ping)機(ji)構(gou)（簡稱測評(ping)機(ji)構(gou)）承擔：

（一）在(zai)中華人民(min)共(gong)和國境(jing)內注冊(ce)成立（港澳臺地(di)區除(chu)外(wai)），具有相(xiang)應經營范圍的營業執照，注冊(ce)資(zi)本100萬元以上；

（二）由(you)中國(guo)公(gong)民投資、中國(guo)法人投資或(huo)者國(guo)家(jia)投資的企(qi)事業單(dan)位(wei)（港澳臺地(di)區除外）；

（三）近3年完成的測評項目總(zong)值150萬元以上；

（四）具有計算機安全或相(xiang)關專(zhuan)業資格證書(shu)的專(zhuan)業技術人(ren)員(yuan)不少于20人(ren)，其中大學本科以上學歷的人(ren)員(yuan)不少于15人(ren)；

（五(wu)）管理(li)人員應當具有3年(nian)以上從事計算(suan)機(ji)信息系統(tong)安全技(ji)術(shu)領(ling)域企業管理(li)工(gong)作經(jing)歷，技(ji)術(shu)負(fu)責人已獲得計算(suan)機(ji)信息系統(tong)安全技(ji)術(shu)相關專(zhuan)業的高級(ji)職稱，從事安全測評(ping)工(gong)作不少于3年(nian)，無犯罪(zui)記錄；

（六）工作人(ren)員僅限(xian)于中國公民，法(fa)人(ren)及主(zhu)要業務、技術人(ren)員無犯罪記錄；

（七）具有與所承擔項目(mu)適應的技術裝備(bei)；

（八）具有完備的保密管理、項目管理、質量管理、人員管理和培(pei)訓教育(yu)等安全管理制(zhi)度；

（九）對(dui)國家安(an)全、社會秩序、公共利益不構成威脅。

第二十二條 廣(guang)東省(sheng)對測評(ping)機構實施備案(an)制度。符合第二十一(yi)條(tiao)規定(ding)的(de)(de)條(tiao)件，承擔第二級以上(shang)的(de)(de)計(ji)算機信(xin)(xin)息(xi)系統測評(ping)工(gong)作的(de)(de)機構應(ying)當到省(sheng)公安廳公共(gong)信(xin)(xin)息(xi)網絡安全(quan)監察部(bu)門(men)備案(an)。

第二十三條 省公安(an)廳公共信息網絡(luo)安(an)全(quan)監察(cha)部門對已備案的(de)測(ce)評機構進行公布(bu)。

第二十四條 測評機(ji)構應當履行下列義務(wu)：

（一）遵(zun)守國家有(you)關法(fa)律(lv)法(fa)規(gui)和(he)技術(shu)標(biao)準，提供安全、客(ke)觀、公正的檢測評(ping)估服(fu)務，保證測評(ping)的質量和(he)效(xiao)果；

（二）保守(shou)在測(ce)評(ping)活(huo)動中知悉的國家(jia)秘密(mi)、商業秘密(mi)和(he)個人(ren)隱私，防范測(ce)評(ping)風(feng)險；

（三(san)）對測(ce)評人員進行安全(quan)保密教育，與(yu)其簽訂安全(quan)保密責任書(shu)，規定應當履行的安全(quan)保密義務和承擔(dan)的法律責任，并負責檢(jian)查落(luo)實。

第二十五條 第(di)二級以(yi)上的(de)計算(suan)機(ji)信息(xi)系統建(jian)設(she)完成后，使用(yong)單位應當(dang)委托符合(he)規定的(de)測評機(ji)構安全測評合(he)格(ge)方可投入(ru)使用(yong)。測評活動應當(dang)接受(shou)公(gong)安機(ji)關公(gong)共信息(xi)網絡安全監察部門的(de)監督。

第二十六條 計算機(ji)信息系統運營、使用(yong)單(dan)位委(wei)托安全測(ce)評機(ji)構測(ce)評，應當提交下列資料：

（一）安全測評委托(tuo)書；

（二）計(ji)算機(ji)信息(xi)系(xi)統應用需求、系(xi)統結(jie)構(gou)拓(tuo)撲及說(shuo)明、系(xi)統安(an)全組(zu)織結(jie)構(gou)和管理制度、安(an)全保護(hu)設(she)施(shi)設(she)計(ji)實施(shi)方案(an)或者改建(jian)實施(shi)方案(an)、系(xi)統軟件硬件和信息(xi)安(an)全產品清單。

第二十七條 安(an)全測(ce)(ce)評機構在收到委托材料后，應當與委托方協(xie)商制訂安(an)全測(ce)(ce)評計劃，開展安(an)全測(ce)(ce)評工作，并(bing)出(chu)具(ju)安(an)全測(ce)(ce)評報告。

經測評，計算機(ji)信息系統(tong)安全(quan)狀況未達到國家有(you)關規定和標準的要求，委(wei)托單位(wei)應當根據測評報告的建議，完善(shan)計算機(ji)信息系統(tong)安全(quan)建設(she)，并(bing)重新提(ti)出安全(quan)測評委(wei)托。

測評(ping)機(ji)(ji)構(gou)對計(ji)(ji)算機(ji)(ji)信息(xi)系統(tong)進行使用(yong)前安全(quan)(quan)測評(ping)，應(ying)當預先報(bao)告地級以(yi)上(shang)市(shi)公(gong)安機(ji)(ji)關公(gong)共信息(xi)網絡安全(quan)(quan)監察部門(men)。安全(quan)(quan)測評(ping)報(bao)告由計(ji)(ji)算機(ji)(ji)信息(xi)系統(tong)運營、使用(yong)單位(wei)報(bao)地級以(yi)上(shang)市(shi)公(gong)安機(ji)(ji)關公(gong)共信息(xi)網絡安全(quan)(quan)監察部門(men)。

第二十八條 第三級(ji)計(ji)(ji)算機(ji)信(xin)息(xi)系統應當每年至少進行一次安(an)全(quan)測評(ping)，第四(si)級(ji)計(ji)(ji)算機(ji)信(xin)息(xi)系統應當每半(ban)年至少進行一次安(an)全(quan)測評(ping)，第五級(ji)計(ji)(ji)算機(ji)信(xin)息(xi)系統應當依據(ju)特殊安(an)全(quan)要(yao)求進行安(an)全(quan)測評(ping)。

第六章 應急處置

第二十九條 公(gong)安(an)機(ji)(ji)關公(gong)共信息網絡安(an)全監察部門(men)與所在地安(an)全服務機(ji)(ji)構、互聯網運(yun)營(ying)單位和其他計(ji)算機(ji)(ji)信息系(xi)統運(yun)營(ying)、使用(yong)單位應(ying)當(dang)建(jian)立聯防機(ji)(ji)制，依(yi)法及時查處通過計(ji)算機(ji)(ji)信息系(xi)統進行(xing)的(de)違法犯(fan)罪行(xing)為，組織處置重(zhong)大突發事件。

第三十條 對計算(suan)機信息(xi)系統(tong)中發(fa)生的(de)案件(jian)和(he)重大安全(quan)事(shi)故，計算(suan)機信息(xi)系統(tong)的(de)運營、使(shi)用單位(wei)應當(dang)在(zai)二十四小時內報告(gao)縣級以上人民政府公安機關(guan)公共信息(xi)網絡安全(quan)監察部(bu)門，并保留有關(guan)原始記錄(lu)。

第三十一條 第(di)二級(ji)以上的計算機信息系統(tong)運營、使用單位(wei)應(ying)當制(zhi)定(ding)重大(da)突發事(shi)件應(ying)急處置預案并定(ding)期(qi)實施演練。

第三十二條 計(ji)算機信息系統發(fa)(fa)生重大突發(fa)(fa)事件，有關單位(wei)應當按照應急處(chu)(chu)置預案的要求采取(qu)相(xiang)應的處(chu)(chu)置措施，并服從公(gong)安機關和國家指定(ding)的專(zhuan)門(men)部(bu)門(men)的調度。

第三十三條 地級市以(yi)上人(ren)民(min)政府(fu)公安機關公共信息網絡(luo)安全監(jian)察部門經本(ben)機關主管領導(dao)批(pi)準，為保護計算機信息系(xi)統安全，在(zai)發生(sheng)重大突發事件，危(wei)及國(guo)家安全、公共安全及社會穩定的緊(jin)急情況(kuang)下，可以(yi)采取二十四小(xiao)時(shi)內暫(zan)(zan)時(shi)停(ting)機、暫(zan)(zan)停(ting)聯(lian)網、備份數據等措施。

第七章 安全培訓

第三十四條 省(sheng)(sheng)公安(an)(an)廳、人事廳聯(lian)合(he)成立的省(sheng)(sheng)信(xin)息網絡安(an)(an)全(quan)專(zhuan)業(ye)技術(shu)人員(yuan)繼(ji)續教(jiao)育(yu)工(gong)作(zuo)(zuo)領導小組(zu)，負(fu)責全(quan)省(sheng)(sheng)信(xin)息網絡安(an)(an)全(quan)專(zhuan)業(ye)技術(shu)人員(yuan)繼(ji)續教(jiao)育(yu)工(gong)作(zuo)(zuo)的組(zu)織和領導。下設省(sheng)(sheng)信(xin)息網絡安(an)(an)全(quan)專(zhuan)業(ye)技術(shu)人員(yuan)繼(ji)續教(jiao)育(yu)工(gong)作(zuo)(zuo)辦公室，具體負(fu)責日常(chang)管理(li)工(gong)作(zuo)(zuo)。

第三十五條 下列人員應當參加信(xin)息網絡(luo)安(an)全專業技(ji)術人員繼續教(jiao)育(yu)(yu)，取得省信(xin)息網絡(luo)安(an)全專業技(ji)術人員繼續教(jiao)育(yu)(yu)工作辦公室頒發的信(xin)息網絡(luo)安(an)全專業技(ji)術人員繼續教(jiao)育(yu)(yu)合(he)格證書(shu)，持證上(shang)崗：

（一）計算機信息系統(tong)運營、使用(yong)單(dan)位信息安全管理責任人、信息審(shen)查(cha)員；

（二）互聯網接入(ru)服務(wu)、數據中(zhong)心(xin)服務(wu)、信息(xi)服務(wu)、上網服務(wu)提供單位安全管理員(yuan)、專業技(ji)術人員(yuan)；

（三）安全專用產品生產單位專業技術人員；

（四）安全服(fu)務機構專業技術人(ren)員、安全服(fu)務管理(li)人(ren)員；

（五）其他從事(shi)計算機信(xin)息系(xi)統安全(quan)保護工作的人員。

第三十六條 信息網絡(luo)(luo)安(an)全專業技(ji)(ji)術(shu)人(ren)員繼續(xu)(xu)教(jiao)育由省信息網絡(luo)(luo)安(an)全專業技(ji)(ji)術(shu)人(ren)員繼續(xu)(xu)教(jiao)育工作辦公室授(shou)權的施(shi)(shi)教(jiao)機(ji)構負責實施(shi)(shi)。施(shi)(shi)教(jiao)機(ji)構實行(xing)統籌規劃。

第三十七條 信息網絡安全專業技術人員(yuan)繼(ji)續教(jiao)(jiao)育培(pei)訓和(he)考試按照(zhao)有關規(gui)定(ding)進行，實行統(tong)(tong)一教(jiao)(jiao)學大綱，統(tong)(tong)一教(jiao)(jiao)材，統(tong)(tong)一考試，統(tong)(tong)一發證。

考試(shi)合格(ge)的，由省信息網絡(luo)安全專業(ye)(ye)技術人(ren)員繼(ji)續(xu)教育工(gong)作(zuo)辦公室發給信息網絡(luo)安全專業(ye)(ye)技術人(ren)員繼(ji)續(xu)教育證(zheng)書。

第八章 法律責任

第三十八條 違反本辦法(fa)的規(gui)定，依照有(you)關法(fa)律、法(fa)規(gui)和(he)規(gui)章處罰。

第九章 附則

第三十九條 本細(xi)則下列(lie)用語的含(han)義：實體安全，指保(bao)護計算機(ji)信息系統的環境(jing)(jing)，計算機(ji)設備(bei)、設施（含(han)網絡）以及其它(ta)媒體免遭地震(zhen)、水災、火災、雷電、有害氣(qi)體和其它(ta)環境(jing)(jing)事故(gu)（如(ru)電磁(ci)污染(ran)等(deng)）破壞。

運(yun)行(xing)安全，指(zhi)保護(hu)計算機信息系統(tong)的信息處理過程順利進行(xing)。

信息(xi)安全，指保障信息(xi)的完整性(xing)(xing)、保密性(xing)(xing)、可用性(xing)(xing)和可控性(xing)(xing)。

內容安全，指確保計算機信息系(xi)統中傳輸的(de)(de)信息所承(cheng)載(zai)的(de)(de)內容的(de)(de)合(he)法(fa)性(xing)。

安全（漏洞）檢測，指利用計算機(ji)技(ji)術手段掃描、探測計算機(ji)信息系統安全漏洞。

第四十條 本(ben)辦法規(gui)定的“以上(shang)”含本(ben)數。

第四十一條 本(ben)辦法規定(ding)的(de)有關表(biao)格(ge)和證書由省公安廳制定(ding)式(shi)樣，統一監制。

第四十二條 本辦法由省公安廳負責(ze)解釋(shi)。

第四十三條 本辦(ban)法自2008年12月1日起(qi)施行。