廣東省公安廳關于計算機信息系統安全保護的實施辦法

（廣東省公(gong)安(an)廳2008年9月(yue)(yue)27日以粵公(gong)通字〔2008〕228號發(fa)布(bu) 自(zi)2008年12月(yue)(yue)1日起施行）

第一章 總則

第一條 為(wei)保護計算機信(xin)息系統(tong)安全(quan)，促進(jin)信(xin)息化(hua)建設(she)的健康發展，貫徹落實《廣(guang)東省計算機信(xin)息系統(tong)安全(quan)保護條(tiao)例》，根據有關法(fa)律法(fa)規，制定本辦法(fa)。

第二條 本辦法適用于廣(guang)東省(sheng)行政區(qu)域(yu)內計(ji)算(suan)機信息(xi)系(xi)統的安全保護。

第三條 縣級以上人民政(zheng)府公安機關公共(gong)信(xin)息(xi)網絡安全監察部門具體(ti)負(fu)責本行政(zheng)區域內計(ji)算機信(xin)息(xi)系統的安全保護監管(guan)工(gong)作。

第二章 安全監督

第四條 公(gong)安機關公(gong)共信息網絡安全(quan)監察部門對計算(suan)機信息系統安全(quan)保護工(gong)作(zuo)行使(shi)下列職責：

（一）監督、檢(jian)查、指導(dao)計算機信息系(xi)統安全保(bao)護工作；

（二）組織(zhi)開展計算機信(xin)息系統安全等級保護；

（三）查處計(ji)算機違法犯罪案件(jian)；

（四）組織處(chu)置重大計算機(ji)信息系統安全(quan)事故(gu)和事件(jian)；

（五(wu)）負責計算機病毒和(he)其(qi)他有(you)害(hai)數據防(fang)治管理；

（六）負責(ze)計算機信息系統(tong)安全(quan)服務的(de)監督指導(dao)；

（七）負責計算機(ji)信息系統安全(quan)專用產品的(de)監(jian)督管理(li)；

（八）負(fu)責計算機信息系(xi)統安全培訓管理；

（九）法律(lv)、法規(gui)和(he)規(gui)章規(gui)定的其他職責。

第五條 公安(an)(an)(an)機(ji)關公共信息(xi)網絡安(an)(an)(an)全(quan)監察部門應當對計算機(ji)信息(xi)系統落實實體安(an)(an)(an)全(quan)、運(yun)行安(an)(an)(an)全(quan)、信息(xi)安(an)(an)(an)全(quan)和內容安(an)(an)(an)全(quan)措施的(de)情況(kuang)進行檢查。

對(dui)第三(san)級計算機信息系統每年至少檢(jian)查一次，對(dui)第四級計算機信息系統每半年至少檢(jian)查一次。對(dui)第五(wu)級計算機信息系統，應當會同國家指定的專(zhuan)門部門進行(xing)檢(jian)查。

對其(qi)他計算機(ji)信(xin)息系統應當不定期開(kai)展(zhan)檢查。

第六條 公安(an)機(ji)關公共(gong)信(xin)息網絡安(an)全(quan)(quan)監察(cha)部門發現計算機(ji)信(xin)息系統的安(an)全(quan)(quan)保護等級和(he)安(an)全(quan)(quan)措施不符合有關規定(ding)和(he)技術標(biao)準，或者存在安(an)全(quan)(quan)隱患(huan)的，應當通知運營、使用單(dan)位進行(xing)整改。

第七條 公安(an)機關公共信息網絡安(an)全(quan)監(jian)察部門應當向(xiang)公眾提供(gong)報警求助(zhu)渠道(dao)，提供(gong)計算機信息系統安(an)全(quan)指導(dao)，發布安(an)全(quan)動態，開(kai)展安(an)全(quan)宣傳。

第三章 安全保護責任

第八條 單位(wei)和個人應當依照有關法規(gui)、規(gui)章(zhang)和標準，對其所有、使(shi)用和管(guan)理的計算機(ji)信(xin)息系(xi)統承擔相應的安(an)全保護(hu)責任。

第九條 第(di)二(er)級以上(shang)計(ji)算機信(xin)息系統(tong)的(de)運營、使用單位應當建立安全保護組織，并報(bao)所在地(di)地(di)級以上(shang)市人(ren)民(min)政(zheng)府(fu)公安機關公共(gong)信(xin)息網絡安全監(jian)察部門備案(an)。

第十條 安(an)全保護組(zu)織(zhi)保障本(ben)(ben)(ben)(ben)單位(wei)(wei)(wei)計算(suan)機(ji)(ji)信息(xi)系統(tong)的安(an)全運行，組(zu)織(zhi)本(ben)(ben)(ben)(ben)單位(wei)(wei)(wei)計算(suan)機(ji)(ji)信息(xi)系統(tong)的有害信息(xi)防治工作，組(zu)織(zhi)開展(zhan)本(ben)(ben)(ben)(ben)單位(wei)(wei)(wei)計算(suan)機(ji)(ji)信息(xi)系統(tong)安(an)全教(jiao)育(yu)和培(pei)訓，向公(gong)安(an)機(ji)(ji)關公(gong)共信息(xi)網(wang)絡安(an)全監(jian)察(cha)部門(men)報(bao)告本(ben)(ben)(ben)(ben)單位(wei)(wei)(wei)計算(suan)機(ji)(ji)信息(xi)系統(tong)運行、服務和安(an)全等情(qing)況，及時協助公(gong)安(an)機(ji)(ji)關公(gong)共信息(xi)網(wang)絡安(an)全監(jian)察(cha)部門(men)查(cha)處違法犯罪和處置突發事(shi)件(jian)。

第十一條 互(hu)聯單位(wei)(wei)、互(hu)聯網(wang)接(jie)(jie)入服務單位(wei)(wei)、互(hu)聯網(wang)數據中心應當對接(jie)(jie)入本網(wang)絡的(de)用戶進行資格審查，確認符合國家和省有關規定后方可為其提供服務。

互聯網接入(ru)服務、信息服務單(dan)位以(yi)及互聯網數據(ju)中心應當(dang)向用戶(hu)宣(xuan)傳相(xiang)關法律法規，提供必(bi)要的安(an)全保(bao)護(hu)措施。

第十二條 個人主頁、博客、聊(liao)天室、點對點服務等互聯網信息(xi)服務的提(ti)供單位(wei)和(he)使(shi)用者應當(dang)依(yi)照(zhao)國家和(he)省有關(guan)規(gui)定，落實相(xiang)應的安(an)全(quan)措施。

第十三條 網吧、圖書(shu)館、學校、賓館等提供互聯網上網服(fu)務的(de)場(chang)所(suo)應(ying)當安裝符合國家規定的(de)安全(quan)管理系統。

第十四條 互聯單位(wei)(wei)、互聯網接入服務單位(wei)(wei)以及互聯網數據中心應當每月(yue)將接入本網絡(luo)的用戶情況報(bao)地級以上市公安機關公共信(xin)息網絡(luo)安全監察部(bu)門(men)備案。

第十五條 計算機信(xin)息(xi)系(xi)統運(yun)營、使用單(dan)位(wei)應當接(jie)受公(gong)安(an)機關(guan)公(gong)共信(xin)息(xi)網(wang)絡安(an)全監(jian)察部門的監(jian)督、檢查(cha)、指導(dao)，如實提供安(an)全保護有關(guan)信(xin)息(xi)、資料及數據文件，不得變(bian)相拒絕、拖延、阻礙公(gong)安(an)機關(guan)公(gong)共信(xin)息(xi)網(wang)絡安(an)全監(jian)察部門依法執行公(gong)務。

第四章 安全專用產品和安全服務

第十六條 安(an)(an)全專用產品必(bi)須取得公安(an)(an)部頒(ban)發的銷售許可證方可銷售。

第十七條 生產、銷售或者提(ti)供含有計(ji)算機信息(xi)網(wang)絡(luo)遠(yuan)程控制、密碼猜解(jie)、安全（漏洞）檢測、信息(xi)群發技術(shu)的產品和工具的，應當在領取營業(ye)執照(zhao)后30日(ri)內（沒有營業(ye)執照(zhao)的，自(zi)開(kai)辦之日(ri)起30日(ri)內）向單位所在地地級以上市人民(min)政府公安機關公共信息(xi)網(wang)絡(luo)安全監(jian)察部門(men)備案，填(tian)寫《廣東(dong)省計(ji)算機信息(xi)網(wang)絡(luo)安全特種技術(shu)備案表》，并(bing)提(ti)交如下資料：

（一）單位簡況；

（二）營業執照（或其(qi)他有(you)效證明）復(fu)印件；

（三）研發(fa)和服務管理制度；

（四）主(zhu)要經營管理(li)人員、技術人員和(he)服務人員有效證(zheng)件復(fu)印件；

（五）主要產品(pin)情況。

第十八條 安全保(bao)護等(deng)級(ji)為(wei)第(di)三(san)級(ji)以(yi)上的(de)計算(suan)機信息系統應當選(xuan)用(yong)符合下列(lie)條件的(de)安全專用(yong)產品(pin)：

（一(yi)）產(chan)品研(yan)制、生產(chan)單(dan)位是(shi)由中國(guo)公民(min)、法人投(tou)資(zi)或(huo)者國(guo)家投(tou)資(zi)或(huo)者控股的(de)，在中華人民(min)共(gong)和國(guo)境內(nei)具有獨立的(de)法人資(zi)格；

（二）產品的核心技術(shu)、關鍵(jian)部(bu)件(jian)具有我(wo)國自(zi)主知識產權；

（三）產品研制、生(sheng)產單位及其主要業務、技術(shu)人員無(wu)犯罪(zui)記錄(lu)；

（四(si)）產品研制、生產單位聲(sheng)明(ming)沒有故意留有或者設置(zhi)漏(lou)洞、后門、木馬等程序和功能；

（五）對國家安全(quan)、社會(hui)秩(zhi)序、公共利(li)益不構(gou)成(cheng)危害。

第十九條 符合第十八條(tiao)規定(ding)的安(an)全專(zhuan)用產品(pin)和生產單位應當到(dao)省(sheng)公安(an)廳公共信息網絡安(an)全監察部門備案。

第二十條 為(wei)加強安全(quan)服(fu)務機(ji)(ji)(ji)構的指導(dao)，推動安全(quan)服(fu)務質量和技術水平的提高，廣東省(sheng)對從事計(ji)算機(ji)(ji)(ji)信息系統(tong)安全(quan)設計(ji)、建設、檢測(ce)、評估等(deng)安全(quan)服(fu)務的機(ji)(ji)(ji)構，根據(ju)其注冊資本、服(fu)務業(ye)績、技術力(li)量、組(zu)織管理(li)情況實行分級指導(dao)。

第五章 安全等級測評

第二十一條 第二(er)級(ji)以(yi)上的(de)(de)計算機(ji)信(xin)息系(xi)統的(de)(de)安全(quan)(quan)測(ce)評應(ying)當選(xuan)擇符(fu)合下列條件的(de)(de)計算機(ji)信(xin)息系(xi)統安全(quan)(quan)等級(ji)測(ce)評機(ji)構(gou)（簡稱測(ce)評機(ji)構(gou)）承擔：

（一）在(zai)中(zhong)華人(ren)民共(gong)和國境內注冊成立(li)（港澳臺地區除外），具(ju)有相(xiang)應經(jing)營(ying)范(fan)圍的營(ying)業(ye)執(zhi)照，注冊資(zi)本100萬元以上；

（二）由中(zhong)國(guo)(guo)公(gong)民投資(zi)、中(zhong)國(guo)(guo)法人投資(zi)或者(zhe)國(guo)(guo)家投資(zi)的(de)企事業單位（港(gang)澳臺地區除外）；

（三）近3年(nian)完成的測評項目總值150萬(wan)元以上(shang)；

（四）具有(you)計算機安(an)全或相關專業資格(ge)證書的專業技術人員不(bu)少(shao)于20人，其(qi)中大學(xue)本科以上(shang)學(xue)歷的人員不(bu)少(shao)于15人；

（五）管理人員應當具有3年以上從(cong)事計(ji)(ji)算(suan)機信(xin)息系統安(an)全技(ji)術(shu)領域企業管理工作經歷，技(ji)術(shu)負責人已獲得計(ji)(ji)算(suan)機信(xin)息系統安(an)全技(ji)術(shu)相(xiang)關專業的高(gao)級職稱，從(cong)事安(an)全測評(ping)工作不少于3年，無犯(fan)罪記錄；

（六）工(gong)作人(ren)員僅限于中國公民(min)，法人(ren)及(ji)主要業務、技術人(ren)員無犯(fan)罪記錄；

（七）具有與所承擔項目適應的技術裝備(bei)；

（八）具有完備的保密管理(li)(li)、項目(mu)管理(li)(li)、質量管理(li)(li)、人(ren)員管理(li)(li)和培訓教育等安全管理(li)(li)制度(du)；

（九）對國家(jia)安全、社會(hui)秩序、公(gong)共利益不構成威脅。

第二十二條 廣(guang)東省對測評(ping)機(ji)構實施備(bei)案(an)(an)制(zhi)度。符合第(di)二(er)十一(yi)條(tiao)(tiao)規定的(de)條(tiao)(tiao)件，承(cheng)擔第(di)二(er)級以上的(de)計算機(ji)信(xin)息(xi)系統測評(ping)工(gong)作的(de)機(ji)構應當到省公(gong)安廳公(gong)共信(xin)息(xi)網(wang)絡安全監察部門(men)備(bei)案(an)(an)。

第二十三條 省公安(an)廳公共信息網(wang)絡安(an)全監察部門對已備案(an)的測(ce)評(ping)機構(gou)進行公布。

第二十四條 測評機構應當履行下列義務：

（一）遵(zun)守國(guo)家有關法律法規和技(ji)術標準，提供安全(quan)、客觀、公正(zheng)的(de)檢測評(ping)估服務，保證(zheng)測評(ping)的(de)質量和效果；

（二）保守在測評活動中知悉的國家秘(mi)密(mi)、商業(ye)秘(mi)密(mi)和個人隱私(si)，防范(fan)測評風險；

（三）對測評人員進(jin)行安全保密教育(yu)，與其簽訂(ding)安全保密責任(ren)書，規定應當履行的(de)安全保密義務(wu)和(he)承擔的(de)法(fa)律責任(ren)，并(bing)負責檢(jian)查落實(shi)。

第二十五條 第二級以上的計算機信息(xi)系(xi)統建設完成后(hou)，使用單位應(ying)當委(wei)托符合規(gui)定(ding)的測評機構安全測評合格方(fang)可投入使用。測評活(huo)動應(ying)當接受公(gong)安機關公(gong)共信息(xi)網絡安全監察部門(men)的監督。

第二十六條 計(ji)算機信息系統運營(ying)、使(shi)用單位委托安(an)全測(ce)評機構測(ce)評，應(ying)當提(ti)交下列資(zi)料：

（一）安全(quan)測評委托(tuo)書；

（二(er)）計算機信息(xi)系(xi)統應用需(xu)求、系(xi)統結構拓(tuo)撲及說明、系(xi)統安(an)全組織結構和管理制度、安(an)全保(bao)護(hu)設(she)(she)施設(she)(she)計實施方案或者改建實施方案、系(xi)統軟件(jian)硬件(jian)和信息(xi)安(an)全產品清單(dan)。

第二十七條 安(an)(an)(an)全測(ce)評(ping)(ping)機構在(zai)收到委(wei)托材料(liao)后(hou)，應當與委(wei)托方協商制訂安(an)(an)(an)全測(ce)評(ping)(ping)計劃，開展安(an)(an)(an)全測(ce)評(ping)(ping)工作，并出具安(an)(an)(an)全測(ce)評(ping)(ping)報告。

經測(ce)評(ping)，計算(suan)機(ji)信息系(xi)統(tong)安全狀況未達到國家有關規定(ding)和標準的(de)要求，委托單位應(ying)當根(gen)據測(ce)評(ping)報告的(de)建議，完(wan)善計算(suan)機(ji)信息系(xi)統(tong)安全建設，并(bing)重新提出(chu)安全測(ce)評(ping)委托。

測(ce)評機(ji)構對計(ji)算機(ji)信息(xi)(xi)(xi)系統(tong)進(jin)行(xing)使用(yong)前安全(quan)測(ce)評，應當預先報(bao)告地級(ji)以上市公安機(ji)關(guan)公共信息(xi)(xi)(xi)網(wang)絡安全(quan)監察部(bu)門。安全(quan)測(ce)評報(bao)告由(you)計(ji)算機(ji)信息(xi)(xi)(xi)系統(tong)運(yun)營(ying)、使用(yong)單位(wei)報(bao)地級(ji)以上市公安機(ji)關(guan)公共信息(xi)(xi)(xi)網(wang)絡安全(quan)監察部(bu)門。

第二十八條 第三級計算機信息系統應(ying)當每年至(zhi)少(shao)進行(xing)(xing)一(yi)次(ci)安(an)(an)全(quan)測(ce)評(ping)(ping)，第四級計算機信息系統應(ying)當每半年至(zhi)少(shao)進行(xing)(xing)一(yi)次(ci)安(an)(an)全(quan)測(ce)評(ping)(ping)，第五級計算機信息系統應(ying)當依(yi)據特殊(shu)安(an)(an)全(quan)要(yao)求進行(xing)(xing)安(an)(an)全(quan)測(ce)評(ping)(ping)。

第六章 應急處置

第二十九條 公安機(ji)(ji)關公共信息(xi)網(wang)絡安全監察部門(men)與所(suo)在(zai)地安全服(fu)務機(ji)(ji)構、互聯網(wang)運(yun)營(ying)單位和其他計(ji)算(suan)機(ji)(ji)信息(xi)系統(tong)(tong)運(yun)營(ying)、使用單位應當建(jian)立聯防(fang)機(ji)(ji)制，依法及(ji)時查處通過計(ji)算(suan)機(ji)(ji)信息(xi)系統(tong)(tong)進行的違法犯(fan)罪行為，組(zu)織(zhi)處置(zhi)重大(da)突(tu)發事件。

第三十條 對計算機信息系統(tong)中(zhong)發(fa)生的案件和重大安(an)全事故，計算機信息系統(tong)的運營(ying)、使(shi)用單位(wei)應(ying)當在二十四(si)小時內報(bao)告縣(xian)級以上人民政府公安(an)機關(guan)公共信息網絡(luo)安(an)全監(jian)察(cha)部門，并保留有(you)關(guan)原始記錄。

第三十一條 第二級以上的(de)計(ji)算機信(xin)息系統運營、使用單位(wei)應(ying)當制(zhi)定(ding)重大突發事件應(ying)急(ji)處置預案并定(ding)期實施演練(lian)。

第三十二條 計算(suan)機信(xin)息系統發生重大突(tu)發事件，有關(guan)單位應當按(an)照(zhao)應急(ji)處(chu)置預案的要求采取相應的處(chu)置措施(shi)，并服從公安機關(guan)和(he)國家指(zhi)定(ding)的專門(men)部(bu)門(men)的調(diao)度(du)。

第三十三條 地級市以(yi)上(shang)人民政府公安(an)機關公共(gong)信(xin)息網(wang)絡安(an)全(quan)監察部門經本機關主管領導批準(zhun)，為保護(hu)計算機信(xin)息系統安(an)全(quan)，在發生重大突發事件，危(wei)及國(guo)家安(an)全(quan)、公共(gong)安(an)全(quan)及社會穩定的緊急情況下，可以(yi)采取二十四小時內暫時停機、暫停聯網(wang)、備份數據(ju)等(deng)措施。

第七章 安全培訓

第三十四條 省(sheng)公(gong)安(an)廳、人(ren)事廳聯合成立的省(sheng)信息網絡(luo)安(an)全專(zhuan)業(ye)(ye)技(ji)術人(ren)員(yuan)繼續教育工(gong)作(zuo)領導小組(zu)，負責全省(sheng)信息網絡(luo)安(an)全專(zhuan)業(ye)(ye)技(ji)術人(ren)員(yuan)繼續教育工(gong)作(zuo)的組(zu)織和領導。下設省(sheng)信息網絡(luo)安(an)全專(zhuan)業(ye)(ye)技(ji)術人(ren)員(yuan)繼續教育工(gong)作(zuo)辦公(gong)室，具體負責日常管理工(gong)作(zuo)。

第三十五條 下列人(ren)員(yuan)應當參(can)加信息(xi)網(wang)絡安(an)全專業技(ji)術人(ren)員(yuan)繼(ji)續教育(yu)，取得(de)省信息(xi)網(wang)絡安(an)全專業技(ji)術人(ren)員(yuan)繼(ji)續教育(yu)工作辦公室頒發的信息(xi)網(wang)絡安(an)全專業技(ji)術人(ren)員(yuan)繼(ji)續教育(yu)合格(ge)證(zheng)書，持(chi)證(zheng)上(shang)崗(gang)：

（一）計算機信息系統運營(ying)、使用單位(wei)信息安(an)全管(guan)理(li)責任人、信息審查員；

（二）互(hu)聯網接入服(fu)(fu)務、數據中心服(fu)(fu)務、信息服(fu)(fu)務、上網服(fu)(fu)務提供單(dan)位安(an)全(quan)管理員、專(zhuan)業技術人員；

（三）安全專(zhuan)用產品生產單位(wei)專(zhuan)業技術人員；

（四）安全服務機(ji)構專業技術人員(yuan)、安全服務管理人員(yuan)；

（五）其他從(cong)事計算(suan)機(ji)信息系(xi)統(tong)安全(quan)保護工作的人員(yuan)。

第三十六條 信(xin)息網(wang)絡安全專(zhuan)(zhuan)業技術人(ren)員繼續(xu)教育由省(sheng)信(xin)息網(wang)絡安全專(zhuan)(zhuan)業技術人(ren)員繼續(xu)教育工作(zuo)辦公(gong)室授權(quan)的施(shi)教機構負責實施(shi)。施(shi)教機構實行統籌規劃。

第三十七條 信息網絡安(an)全(quan)專業(ye)技術人員繼續教(jiao)育培(pei)訓和考(kao)試按照有關規(gui)定(ding)進行(xing)，實行(xing)統一教(jiao)學大綱，統一教(jiao)材(cai)，統一考(kao)試，統一發證。

考(kao)試合(he)格的，由省(sheng)信息網(wang)絡安全專(zhuan)業技(ji)(ji)術人員(yuan)(yuan)繼(ji)續(xu)教育工作(zuo)辦公室(shi)發(fa)給信息網(wang)絡安全專(zhuan)業技(ji)(ji)術人員(yuan)(yuan)繼(ji)續(xu)教育證書。

第八章 法律責任

第三十八條 違反本辦法的規(gui)定(ding)，依(yi)照有關法律(lv)、法規(gui)和規(gui)章處(chu)罰(fa)。

第九章 附則

第三十九條 本細則下(xia)列用(yong)語(yu)的含義：實體(ti)安(an)全，指保(bao)護計算(suan)機信息系統的環境，計算(suan)機設(she)備、設(she)施（含網絡）以及其(qi)它(ta)媒體(ti)免遭(zao)地震(zhen)、水災、火(huo)災、雷電、有害(hai)氣體(ti)和其(qi)它(ta)環境事故（如(ru)電磁污染(ran)等）破(po)壞。

運行安(an)全，指保(bao)護計算機信息(xi)系(xi)統的信息(xi)處理過程(cheng)順利進行。

信(xin)息(xi)安全(quan)，指保障信(xin)息(xi)的(de)完(wan)整性、保密性、可用性和可控性。

內容(rong)安全，指確(que)保計(ji)算機信(xin)息(xi)系(xi)統(tong)中傳輸的信(xin)息(xi)所承載的內容(rong)的合法性。

安全(quan)（漏洞(dong)）檢測，指利(li)用計算機技術手段掃描、探測計算機信(xin)息系統安全(quan)漏洞(dong)。

第四十條 本(ben)辦法規定的“以上(shang)”含本(ben)數(shu)。

第四十一條 本辦法規定(ding)的有關表格和證書由省公安廳制定(ding)式(shi)樣，統一監制。

第四十二條 本辦法由省(sheng)公安廳負責(ze)解釋。

第四十三條 本(ben)辦法(fa)自2008年(nian)12月(yue)1日起施行。