廣東省公安廳關于計算機信息系統安全保護的實施辦法

（廣(guang)東(dong)省公(gong)安廳2008年9月27日以粵公(gong)通字〔2008〕228號發布 自2008年12月1日起施行(xing)）

第一章 總則

第一條 為保護計算機信(xin)息系統(tong)安全，促進信(xin)息化(hua)建設的健康發展，貫徹落實《廣東省計算機信(xin)息系統(tong)安全保護條例》，根據有關(guan)法律(lv)法規，制定本辦法。

第二條 本辦法適(shi)用于(yu)廣東省(sheng)行政區域(yu)內計算機信息系統的安全(quan)保護。

第三條 縣(xian)級以上人(ren)民政(zheng)府公安(an)機關公共(gong)信息網絡安(an)全監察部門具體負責本(ben)行政(zheng)區域內計(ji)算機信息系統的安(an)全保護監管工作。

第二章 安全監督

第四條 公安機關公共信息(xi)網絡安全監察部門(men)對計算(suan)機信息(xi)系(xi)統(tong)安全保護工作行使下列(lie)職責：

（一）監督、檢查、指導(dao)計(ji)算機信息系(xi)統安(an)全保(bao)護工(gong)作；

（二(er)）組織開展(zhan)計算機(ji)信息系(xi)統安(an)全等級保護；

（三）查處(chu)計算(suan)機違(wei)法(fa)犯(fan)罪(zui)案件(jian)；

（四）組織處置重大計(ji)算機信息系統安全(quan)事(shi)故和事(shi)件(jian)；

（五）負責計算(suan)機(ji)病毒和其他有害數據(ju)防治管理；

（六）負責計算機(ji)信息系統(tong)安(an)全服務的(de)監督指(zhi)導；

（七）負責計算機信息系(xi)統安全專用產品的監(jian)督管理；

（八）負責計算機信息系統安全培訓管理；

（九）法(fa)(fa)律、法(fa)(fa)規和規章規定的其他職責。

第五條 公(gong)安(an)(an)(an)機(ji)關公(gong)共(gong)信息網絡安(an)(an)(an)全(quan)監察部門應當對計算(suan)機(ji)信息系統落實(shi)實(shi)體安(an)(an)(an)全(quan)、運行(xing)安(an)(an)(an)全(quan)、信息安(an)(an)(an)全(quan)和內容安(an)(an)(an)全(quan)措施的情況進行(xing)檢查。

對第(di)三級(ji)計算機(ji)信(xin)息(xi)系統每(mei)年(nian)至(zhi)少檢(jian)查一(yi)(yi)次(ci)，對第(di)四級(ji)計算機(ji)信(xin)息(xi)系統每(mei)半年(nian)至(zhi)少檢(jian)查一(yi)(yi)次(ci)。對第(di)五級(ji)計算機(ji)信(xin)息(xi)系統，應當會同國家指定的(de)專門部門進行檢(jian)查。

對(dui)其(qi)他計算(suan)機(ji)信息系統(tong)應當不定期開展檢查。

第六條 公安(an)機關(guan)(guan)公共信息網(wang)絡安(an)全監察(cha)部門發(fa)現計(ji)算機信息系統的安(an)全保護等(deng)級和安(an)全措施不符(fu)合有(you)關(guan)(guan)規定和技術標準，或(huo)者存在安(an)全隱患(huan)的，應當通知(zhi)運營、使用單位進行整(zheng)改(gai)。

第七條 公(gong)(gong)安(an)機關公(gong)(gong)共信息(xi)網絡安(an)全(quan)監察部(bu)門應當向公(gong)(gong)眾(zhong)提供(gong)報(bao)警求助渠道，提供(gong)計(ji)算機信息(xi)系統安(an)全(quan)指導，發布安(an)全(quan)動態，開展安(an)全(quan)宣傳。

第三章 安全保護責任

第八條 單(dan)位和(he)個人應當依照(zhao)有關(guan)法規、規章和(he)標(biao)準，對其所有、使(shi)用和(he)管理的計算(suan)機(ji)信息系(xi)統承擔相應的安全保護責(ze)任。

第九條 第二級(ji)以(yi)上計算機信息系統(tong)的(de)運營、使用單(dan)位(wei)應當建立(li)安全(quan)保(bao)護組織，并報所在地地級(ji)以(yi)上市人民政府公安機關公共信息網絡(luo)安全(quan)監察部門備案。

第十條 安(an)(an)全(quan)保護組(zu)織保障本(ben)單位(wei)計(ji)算(suan)機(ji)(ji)信息系統(tong)的安(an)(an)全(quan)運(yun)行(xing)，組(zu)織本(ben)單位(wei)計(ji)算(suan)機(ji)(ji)信息系統(tong)的有害信息防(fang)治工作(zuo)，組(zu)織開展(zhan)本(ben)單位(wei)計(ji)算(suan)機(ji)(ji)信息系統(tong)安(an)(an)全(quan)教育(yu)和(he)培訓，向公(gong)(gong)安(an)(an)機(ji)(ji)關公(gong)(gong)共信息網(wang)絡(luo)安(an)(an)全(quan)監察部(bu)門報告(gao)本(ben)單位(wei)計(ji)算(suan)機(ji)(ji)信息系統(tong)運(yun)行(xing)、服務(wu)和(he)安(an)(an)全(quan)等情況，及時協(xie)助(zhu)公(gong)(gong)安(an)(an)機(ji)(ji)關公(gong)(gong)共信息網(wang)絡(luo)安(an)(an)全(quan)監察部(bu)門查處(chu)違法犯罪和(he)處(chu)置突發(fa)事件。

第十一條 互聯(lian)(lian)單位(wei)、互聯(lian)(lian)網接(jie)入服(fu)務單位(wei)、互聯(lian)(lian)網數據中(zhong)心應當對接(jie)入本網絡的(de)用戶(hu)進行(xing)資格審查，確認符合(he)國家和省有關(guan)規定后方可為(wei)其提(ti)供服(fu)務。

互聯網接(jie)入(ru)服(fu)務、信息服(fu)務單(dan)位以(yi)及互聯網數據中(zhong)心(xin)應當向用戶宣傳相關法(fa)律法(fa)規，提供必(bi)要的安(an)全保護措施。

第十二條 個人主頁、博客、聊(liao)天室、點(dian)(dian)對(dui)點(dian)(dian)服(fu)務等互(hu)聯網信(xin)息服(fu)務的提(ti)供單位和(he)使用(yong)者應(ying)(ying)當(dang)依照國家(jia)和(he)省有關規定，落實相應(ying)(ying)的安(an)全措施。

第十三條 網(wang)(wang)吧(ba)、圖書館、學校、賓館等提供互聯網(wang)(wang)上網(wang)(wang)服(fu)務(wu)的場所應當安裝符合國家(jia)規定(ding)的安全(quan)管理系(xi)統。

第十四條 互(hu)聯(lian)單位(wei)、互(hu)聯(lian)網(wang)接(jie)入服務單位(wei)以及互(hu)聯(lian)網(wang)數據(ju)中心(xin)應當(dang)每月將接(jie)入本網(wang)絡的用戶情況報地級以上市(shi)公安機關公共(gong)信息網(wang)絡安全(quan)監察部門備案。

第十五條 計算機(ji)信息系統運營、使用單位應當接受(shou)公安機(ji)關(guan)(guan)公共信息網(wang)絡(luo)(luo)安全監(jian)察部門(men)的監(jian)督、檢查、指導(dao)，如(ru)實提供安全保護有關(guan)(guan)信息、資料及數據文(wen)件(jian)，不得變相(xiang)拒絕(jue)、拖延(yan)、阻礙(ai)公安機(ji)關(guan)(guan)公共信息網(wang)絡(luo)(luo)安全監(jian)察部門(men)依(yi)法執(zhi)行公務。

第四章 安全專用產品和安全服務

第十六條 安全專用產品必(bi)須取得公安部頒(ban)發的銷(xiao)售(shou)許(xu)可證方(fang)可銷(xiao)售(shou)。

第十七條 生(sheng)產、銷(xiao)售或(huo)者(zhe)提供含有計算機(ji)(ji)信息網絡遠程(cheng)控制(zhi)、密碼(ma)猜解、安全（漏洞(dong)）檢(jian)測、信息群發技(ji)術(shu)的產品和工具的，應(ying)當在(zai)領取營(ying)業執照后30日(ri)(ri)內(nei)（沒有營(ying)業執照的，自開辦之日(ri)(ri)起30日(ri)(ri)內(nei)）向單位所在(zai)地地級以上市(shi)人民政府公安機(ji)(ji)關公共信息網絡安全監察部門(men)備案，填寫《廣(guang)東省(sheng)計算機(ji)(ji)信息網絡安全特種(zhong)技(ji)術(shu)備案表》，并提交如下資料：

（一）單位簡況；

（二）營業(ye)執照（或其他(ta)有效證明）復印件(jian)；

（三）研發(fa)和服務管理制(zhi)度(du)；

（四）主要經營管理人員、技(ji)術人員和(he)服務人員有(you)效證件復(fu)印件；

（五）主要(yao)產品情(qing)況(kuang)。

第十八條 安全保護等級(ji)為第三級(ji)以(yi)上的計(ji)算(suan)機(ji)信息系統應當(dang)選用符合(he)下列條(tiao)件的安全專用產(chan)品：

（一）產品研制、生產單位是(shi)由中國公民、法(fa)人投資(zi)或者國家(jia)投資(zi)或者控股(gu)的，在中華人民共和國境(jing)內具(ju)有(you)獨立(li)的法(fa)人資(zi)格；

（二）產(chan)(chan)品的核心(xin)技(ji)術(shu)、關鍵部件(jian)具有我(wo)國自(zi)主知識產(chan)(chan)權；

（三）產(chan)品研制、生(sheng)產(chan)單位(wei)及其主要業務、技術人(ren)員無(wu)犯罪記錄；

（四）產(chan)品研(yan)制、生(sheng)產(chan)單位聲(sheng)明沒(mei)有故意留有或者(zhe)設置漏洞、后門、木馬(ma)等程序和(he)功能；

（五）對國家安(an)全、社會(hui)秩(zhi)序、公共利益(yi)不(bu)構成危害。

第十九條 符(fu)合第(di)十(shi)八條規定(ding)的安全專用產品(pin)和生產單(dan)位應當到(dao)省公(gong)安廳公(gong)共信息(xi)網絡安全監察部門備案。

第二十條 為(wei)加強安(an)(an)全服務機構的指導，推動安(an)(an)全服務質量(liang)和(he)技術水平的提高，廣東省對(dui)從(cong)事計算機信息系統(tong)安(an)(an)全設計、建設、檢測、評估等安(an)(an)全服務的機構，根據其注(zhu)冊(ce)資(zi)本、服務業績、技術力量(liang)、組織管理情(qing)況實(shi)行分級(ji)指導。

第五章 安全等級測評

第二十一條 第二級(ji)以(yi)上的計算(suan)(suan)機(ji)(ji)(ji)(ji)信(xin)息系統的安全測(ce)評應當選擇符合下列條件的計算(suan)(suan)機(ji)(ji)(ji)(ji)信(xin)息系統安全等級(ji)測(ce)評機(ji)(ji)(ji)(ji)構（簡稱測(ce)評機(ji)(ji)(ji)(ji)構）承擔：

（一）在中華人民共和國(guo)境內注(zhu)冊成立（港澳臺地區除外），具有相(xiang)應經營范圍的營業執照，注(zhu)冊資本(ben)100萬(wan)元(yuan)以上；

（二(er)）由中國公(gong)民投(tou)資(zi)、中國法人投(tou)資(zi)或者國家(jia)投(tou)資(zi)的企事業單位(wei)（港澳臺地區除外）；

（三(san)）近3年完成的測評(ping)項目總值150萬元(yuan)以(yi)上；

（四）具有(you)計算機安全或相關(guan)專(zhuan)業資(zi)格(ge)證書(shu)的專(zhuan)業技術人員(yuan)不少于20人，其中大學本(ben)科以上(shang)學歷的人員(yuan)不少于15人；

（五）管理人員應當具有3年(nian)(nian)以上從(cong)事計算(suan)(suan)機(ji)信息(xi)系統(tong)安(an)全(quan)技(ji)術領域企業管理工(gong)作(zuo)經歷，技(ji)術負責人已獲(huo)得計算(suan)(suan)機(ji)信息(xi)系統(tong)安(an)全(quan)技(ji)術相關專業的高級職(zhi)稱(cheng)，從(cong)事安(an)全(quan)測(ce)評(ping)工(gong)作(zuo)不少于3年(nian)(nian)，無(wu)犯罪記錄(lu)；

（六）工作人(ren)(ren)員(yuan)僅(jin)限于中(zhong)國公民(min)，法人(ren)(ren)及主要(yao)業務、技術人(ren)(ren)員(yuan)無犯罪記錄；

（七）具(ju)有與所承擔項(xiang)目(mu)適應的技術裝(zhuang)備；

（八(ba)）具有完備的保密管(guan)理(li)、項目管(guan)理(li)、質量管(guan)理(li)、人員管(guan)理(li)和培訓教育等(deng)安(an)全(quan)管(guan)理(li)制度；

（九）對國家安(an)全、社(she)會秩序、公共利益不構成威脅。

第二十二條 廣(guang)東省對測評(ping)機(ji)構實施備(bei)案制度(du)。符合第二十一條規定的(de)(de)條件，承擔第二級以上的(de)(de)計算機(ji)信(xin)息(xi)系統(tong)測評(ping)工作的(de)(de)機(ji)構應當到省公(gong)安廳公(gong)共信(xin)息(xi)網絡安全(quan)監察部門備(bei)案。

第二十三條 省公(gong)(gong)安廳公(gong)(gong)共信息網絡安全監察部門對(dui)已備(bei)案的測評機構進行公(gong)(gong)布(bu)。

第二十四條 測評機構應(ying)當履行下列義(yi)務(wu)：

（一）遵守國家有關法律法規和技術標準，提供安全、客觀、公正的(de)檢測(ce)評估服務(wu)，保證測(ce)評的(de)質量和效(xiao)果；

（二）保守在測評(ping)活(huo)動中知悉的國家秘密(mi)、商業秘密(mi)和個人隱私(si)，防范(fan)測評(ping)風(feng)險；

（三）對測評(ping)人(ren)員進行(xing)安(an)全保密(mi)教育，與其簽訂安(an)全保密(mi)責任書，規定(ding)應當履行(xing)的安(an)全保密(mi)義(yi)務和承(cheng)擔的法律(lv)責任，并(bing)負(fu)責檢查(cha)落(luo)實(shi)。

第二十五條 第二(er)級以(yi)上(shang)的計算機(ji)信息系(xi)統(tong)建設(she)完成后，使用單位(wei)應(ying)當委托符(fu)合規定的測(ce)評(ping)機(ji)構安(an)全測(ce)評(ping)合格方可投入使用。測(ce)評(ping)活動(dong)應(ying)當接(jie)受公安(an)機(ji)關公共信息網絡安(an)全監察部門的監督。

第二十六條 計算(suan)機(ji)信息系統運(yun)營、使用單位委托安全(quan)測(ce)評(ping)機(ji)構(gou)測(ce)評(ping)，應當提交下列資料：

（一）安全測(ce)評委托書；

（二）計算機信息系統(tong)應用需(xu)求、系統(tong)結構拓撲及(ji)說(shuo)明、系統(tong)安(an)全(quan)(quan)組織結構和(he)管理(li)制度、安(an)全(quan)(quan)保護設施設計實施方案或者(zhe)改(gai)建實施方案、系統(tong)軟件(jian)(jian)硬件(jian)(jian)和(he)信息安(an)全(quan)(quan)產品(pin)清(qing)單。

第二十七條 安(an)全(quan)測評(ping)機(ji)構在收到委托材料后，應當(dang)與委托方協(xie)商制訂(ding)安(an)全(quan)測評(ping)計(ji)劃(hua)，開展安(an)全(quan)測評(ping)工(gong)作，并出具(ju)安(an)全(quan)測評(ping)報告。

經測評(ping)，計算(suan)機信(xin)息(xi)系統安(an)全狀(zhuang)況未達到國家有關規(gui)定和(he)標(biao)準的要(yao)求，委托單(dan)位應當根據測評(ping)報(bao)告的建議，完善計算(suan)機信(xin)息(xi)系統安(an)全建設(she)，并重新提出安(an)全測評(ping)委托。

測(ce)評(ping)機構對計算(suan)機信(xin)息(xi)系(xi)統進行使用(yong)前安(an)(an)全測(ce)評(ping)，應當預(yu)先報(bao)告(gao)地級以上市公(gong)(gong)安(an)(an)機關公(gong)(gong)共信(xin)息(xi)網絡安(an)(an)全監察部門。安(an)(an)全測(ce)評(ping)報(bao)告(gao)由計算(suan)機信(xin)息(xi)系(xi)統運營、使用(yong)單位報(bao)地級以上市公(gong)(gong)安(an)(an)機關公(gong)(gong)共信(xin)息(xi)網絡安(an)(an)全監察部門。

第二十八條 第(di)三級(ji)(ji)(ji)計算(suan)機(ji)信息系統應當(dang)每年至(zhi)少進(jin)行(xing)一次(ci)安(an)全(quan)(quan)測(ce)評，第(di)四級(ji)(ji)(ji)計算(suan)機(ji)信息系統應當(dang)每半(ban)年至(zhi)少進(jin)行(xing)一次(ci)安(an)全(quan)(quan)測(ce)評，第(di)五級(ji)(ji)(ji)計算(suan)機(ji)信息系統應當(dang)依據特殊安(an)全(quan)(quan)要求(qiu)進(jin)行(xing)安(an)全(quan)(quan)測(ce)評。

第六章 應急處置

第二十九條 公安(an)(an)機(ji)關公共信(xin)息網絡安(an)(an)全(quan)(quan)監察部門與所在地安(an)(an)全(quan)(quan)服務機(ji)構、互(hu)聯網運營單(dan)位(wei)(wei)和其(qi)他計算機(ji)信(xin)息系(xi)統(tong)運營、使用單(dan)位(wei)(wei)應當建立聯防機(ji)制，依法及時查(cha)處通過計算機(ji)信(xin)息系(xi)統(tong)進(jin)行的違法犯(fan)罪行為，組(zu)織(zhi)處置重大突(tu)發事件。

第三十條 對計算(suan)機信息系統中發生的案件和重大(da)安(an)全事故，計算(suan)機信息系統的運營、使用(yong)單位應當在二十四小時內(nei)報告縣級(ji)以(yi)上人民(min)政府公安(an)機關公共信息網(wang)絡安(an)全監察部門，并(bing)保留有(you)關原始(shi)記(ji)錄(lu)。

第三十一條 第二級以上(shang)的計算機信(xin)息系統運營、使用(yong)單位應當制(zhi)定(ding)重(zhong)大(da)突發(fa)事件(jian)應急(ji)處置預案并定(ding)期實施演(yan)練。

第三十二條 計(ji)算(suan)機信(xin)息系統(tong)發(fa)生重大(da)突發(fa)事件，有關(guan)單位應(ying)(ying)當按照(zhao)應(ying)(ying)急處(chu)置預案的(de)要求采取相(xiang)應(ying)(ying)的(de)處(chu)置措施，并服從公安機關(guan)和國家指定的(de)專(zhuan)門部(bu)門的(de)調(diao)度。

第三十三條 地級(ji)市(shi)以上人民政府公(gong)安(an)機(ji)關公(gong)共信息網(wang)絡安(an)全(quan)(quan)(quan)監察部(bu)門經本機(ji)關主管(guan)領導批準，為保護計算機(ji)信息系統安(an)全(quan)(quan)(quan)，在發(fa)生(sheng)重大突(tu)發(fa)事(shi)件，危(wei)及(ji)國(guo)家安(an)全(quan)(quan)(quan)、公(gong)共安(an)全(quan)(quan)(quan)及(ji)社會穩定的緊急情況(kuang)下，可(ke)以采取二十四小時(shi)內暫時(shi)停機(ji)、暫停聯(lian)網(wang)、備(bei)份數據(ju)等(deng)措施。

第七章 安全培訓

第三十四條 省(sheng)公安(an)廳、人(ren)事廳聯(lian)合成(cheng)立的省(sheng)信息網(wang)(wang)絡(luo)安(an)全(quan)專業(ye)(ye)技術人(ren)員繼續(xu)教育工作(zuo)領導(dao)小組(zu)，負責(ze)(ze)全(quan)省(sheng)信息網(wang)(wang)絡(luo)安(an)全(quan)專業(ye)(ye)技術人(ren)員繼續(xu)教育工作(zuo)的組(zu)織(zhi)和領導(dao)。下設(she)省(sheng)信息網(wang)(wang)絡(luo)安(an)全(quan)專業(ye)(ye)技術人(ren)員繼續(xu)教育工作(zuo)辦公室(shi)，具體負責(ze)(ze)日常管理工作(zuo)。

第三十五條 下(xia)列(lie)人(ren)員(yuan)應當參加信(xin)息(xi)網(wang)絡(luo)安全專(zhuan)(zhuan)(zhuan)業技(ji)術人(ren)員(yuan)繼(ji)(ji)續教育，取得省信(xin)息(xi)網(wang)絡(luo)安全專(zhuan)(zhuan)(zhuan)業技(ji)術人(ren)員(yuan)繼(ji)(ji)續教育工作(zuo)辦(ban)公(gong)室頒發(fa)的信(xin)息(xi)網(wang)絡(luo)安全專(zhuan)(zhuan)(zhuan)業技(ji)術人(ren)員(yuan)繼(ji)(ji)續教育合格證書，持證上崗(gang)：

（一）計算機信(xin)息(xi)系統運營、使用單位(wei)信(xin)息(xi)安全管理責任人、信(xin)息(xi)審(shen)查員；

（二）互聯網接入服務、數據中心服務、信(xin)息服務、上網服務提供單位安全管理員、專(zhuan)業技術人員；

（三）安全(quan)專用(yong)產品生(sheng)產單(dan)位專業技術人員；

（四）安全(quan)服務機構專業技術人員、安全(quan)服務管理人員；

（五）其(qi)他從事計算機信息(xi)系統安全保護工作的人員。

第三十六條 信息(xi)網絡安全專業技術人員(yuan)(yuan)繼續(xu)(xu)教育由省信息(xi)網絡安全專業技術人員(yuan)(yuan)繼續(xu)(xu)教育工作辦公室授權的施教機構(gou)負責實施。施教機構(gou)實行統籌規(gui)劃。

第三十七條 信息網絡安(an)全專業(ye)技(ji)術人員(yuan)繼(ji)續(xu)教(jiao)育培訓(xun)和考試(shi)按照有關(guan)規定進(jin)行，實行統(tong)一教(jiao)學大(da)綱，統(tong)一教(jiao)材，統(tong)一考試(shi)，統(tong)一發(fa)證。

考(kao)試(shi)合格的，由省信(xin)(xin)息網(wang)絡安全專(zhuan)業技術人(ren)員繼(ji)續(xu)教育工作辦公室發給信(xin)(xin)息網(wang)絡安全專(zhuan)業技術人(ren)員繼(ji)續(xu)教育證書(shu)。

第八章 法律責任

第三十八條 違反本(ben)辦(ban)法的規(gui)(gui)定(ding)，依照有關(guan)法律(lv)、法規(gui)(gui)和(he)規(gui)(gui)章處罰。

第九章 附則

第三十九條 本細則下列用語(yu)的含(han)義：實(shi)體安全，指保護(hu)計(ji)算機信息系(xi)統的環(huan)境(jing)，計(ji)算機設備、設施（含(han)網絡）以及其它媒體免(mian)遭地震、水災、火災、雷電、有害氣(qi)體和(he)其它環(huan)境(jing)事故（如(ru)電磁污染等）破壞。

運行安(an)全，指保(bao)護(hu)計算機信息(xi)(xi)系統的信息(xi)(xi)處理過程順利進行。

信息安全，指保障(zhang)信息的完整性(xing)、保密性(xing)、可用性(xing)和可控性(xing)。

內(nei)容安(an)全，指確保計算(suan)機(ji)信息系(xi)統中傳(chuan)輸的信息所承載的內(nei)容的合(he)法性。

安全(quan)（漏(lou)洞）檢測(ce)，指利(li)用計(ji)算機技術手段(duan)掃描、探測(ce)計(ji)算機信息系統(tong)安全(quan)漏(lou)洞。

第四十條 本辦法規定的“以上(shang)”含(han)本數。

第四十一條 本(ben)辦(ban)法規定(ding)的有(you)關(guan)表格和證書由省公安廳(ting)制(zhi)定(ding)式樣，統一監(jian)制(zhi)。

第四十二條 本辦(ban)法由(you)省公安廳負責解釋。

第四十三條 本(ben)辦法自(zi)2008年12月1日起施行。