廣東省公安廳關于計算機信息系統安全保護的實施辦法

（廣東(dong)省公(gong)安廳2008年9月27日以粵公(gong)通字(zi)〔2008〕228號發布 自2008年12月1日起(qi)施(shi)行(xing)）

第一章 總則

第一條 為保護計(ji)算機信息系統安(an)全，促進信息化(hua)建(jian)設的(de)健康發展，貫徹落實《廣東省(sheng)計(ji)算機信息系統安(an)全保護條(tiao)例》，根(gen)據有(you)關法律(lv)法規，制定本辦法。

第二條 本辦法(fa)適(shi)用于廣東省行政區(qu)域內計算(suan)機信息系統(tong)的安全保護。

第三條 縣級以上人民政府公(gong)安(an)機關(guan)公(gong)共信息網絡(luo)安(an)全監(jian)察部門(men)具體負責本行政區域內計(ji)算機信息系統的(de)安(an)全保護(hu)監(jian)管(guan)工(gong)作。

第二章 安全監督

第四條 公安(an)機(ji)關公共信息網絡安(an)全(quan)監察(cha)部門對計算機(ji)信息系統安(an)全(quan)保(bao)護工作(zuo)行使下列職責：

（一）監(jian)督(du)、檢查、指導計(ji)算機信息系統安全(quan)保護(hu)工作；

（二）組織開展計算(suan)機信(xin)息系(xi)統(tong)安全等級保護(hu)；

（三(san)）查處(chu)計算機違法犯罪案件(jian)；

（四）組(zu)織處置重大計算機信息系統(tong)安(an)全事故和(he)事件；

（五）負責計算機病毒和其(qi)他有害(hai)數(shu)據防(fang)治管理；

（六）負責計算機信息系統安全服務的監督指(zhi)導；

（七）負責(ze)計算機(ji)信息系統(tong)安全專用產品的監督管(guan)理；

（八）負責計算機信息系統安全(quan)培訓管理；

（九(jiu)）法(fa)律、法(fa)規(gui)和規(gui)章規(gui)定的(de)其(qi)他職責(ze)。

第五條 公安(an)(an)(an)(an)機(ji)關公共信(xin)(xin)息網絡安(an)(an)(an)(an)全監察部門應當(dang)對計算機(ji)信(xin)(xin)息系(xi)統(tong)落(luo)實實體安(an)(an)(an)(an)全、運行(xing)(xing)安(an)(an)(an)(an)全、信(xin)(xin)息安(an)(an)(an)(an)全和內(nei)容安(an)(an)(an)(an)全措(cuo)施的情況進行(xing)(xing)檢查。

對(dui)第三級計算機(ji)(ji)信息系統每年至少(shao)檢查一(yi)次(ci)，對(dui)第四級計算機(ji)(ji)信息系統每半年至少(shao)檢查一(yi)次(ci)。對(dui)第五級計算機(ji)(ji)信息系統，應當會(hui)同(tong)國家指定(ding)的專門部門進行(xing)檢查。

對(dui)其他計算機信息(xi)系統應當不定期開(kai)展檢查。

第六條 公(gong)(gong)安(an)(an)機關公(gong)(gong)共信息(xi)(xi)網絡安(an)(an)全監察部門發現計算機信息(xi)(xi)系統(tong)的(de)安(an)(an)全保(bao)護(hu)等(deng)級(ji)和安(an)(an)全措(cuo)施(shi)不符合有關規定和技術標準，或者存在安(an)(an)全隱患的(de)，應當通知運營、使(shi)用單位進行整改。

第七條 公(gong)安(an)機關公(gong)共(gong)信(xin)息(xi)網絡安(an)全(quan)監察部門應當向公(gong)眾提供報警求(qiu)助渠(qu)道，提供計(ji)算(suan)機信(xin)息(xi)系統安(an)全(quan)指(zhi)導，發布安(an)全(quan)動態，開展安(an)全(quan)宣傳。

第三章 安全保護責任

第八條 單位和個人應當依照有關法規、規章和標準，對其所有、使用(yong)和管(guan)理的計算機信息系統承擔相應的安(an)全保護(hu)責任。

第九條 第(di)二(er)級以上(shang)計算機(ji)(ji)信息系(xi)統的運營、使(shi)用單位應當建立安(an)(an)全保護組織，并報(bao)所在(zai)地(di)地(di)級以上(shang)市人民政府公(gong)安(an)(an)機(ji)(ji)關(guan)公(gong)共信息網絡(luo)安(an)(an)全監察部(bu)門備案。

第十條 安(an)全(quan)保護組織(zhi)保障本單(dan)位(wei)計(ji)算機信(xin)息系(xi)(xi)統(tong)的安(an)全(quan)運(yun)行，組織(zhi)本單(dan)位(wei)計(ji)算機信(xin)息系(xi)(xi)統(tong)的有害信(xin)息防(fang)治工作，組織(zhi)開展本單(dan)位(wei)計(ji)算機信(xin)息系(xi)(xi)統(tong)安(an)全(quan)教育和(he)培訓，向(xiang)公(gong)安(an)機關(guan)公(gong)共信(xin)息網(wang)絡(luo)(luo)安(an)全(quan)監(jian)察部(bu)門報告本單(dan)位(wei)計(ji)算機信(xin)息系(xi)(xi)統(tong)運(yun)行、服務和(he)安(an)全(quan)等(deng)情況，及(ji)時協助公(gong)安(an)機關(guan)公(gong)共信(xin)息網(wang)絡(luo)(luo)安(an)全(quan)監(jian)察部(bu)門查處違法犯罪和(he)處置(zhi)突發事件(jian)。

第十一條 互聯單位、互聯網(wang)接(jie)入(ru)服務單位、互聯網(wang)數(shu)據中心應當對接(jie)入(ru)本網(wang)絡的(de)用戶進行(xing)資格審查，確(que)認符合國家和省有(you)關規定后(hou)方可為(wei)其(qi)提(ti)供服務。

互(hu)聯網接(jie)入服務、信息服務單位以(yi)及互(hu)聯網數(shu)據中心應當向用戶宣傳相(xiang)關法律(lv)法規(gui)，提供必要的安全(quan)保護措(cuo)施(shi)。

第十二條 個人主(zhu)頁、博客、聊天(tian)室、點對點服務(wu)等互聯網信息服務(wu)的(de)提供單(dan)位和使用者應(ying)當依照國家和省有(you)關規(gui)定，落實相應(ying)的(de)安(an)全(quan)措施。

第十三條 網(wang)吧、圖書館、學校、賓館等提供互(hu)聯網(wang)上網(wang)服(fu)務的場所應(ying)當安裝符合國(guo)家(jia)規定的安全管(guan)理系(xi)統。

第十四條 互聯(lian)單位(wei)(wei)、互聯(lian)網(wang)(wang)接入服務單位(wei)(wei)以(yi)及互聯(lian)網(wang)(wang)數(shu)據(ju)中心應當每月將(jiang)接入本網(wang)(wang)絡的(de)用戶情況報地級以(yi)上市(shi)公安(an)機關公共信息網(wang)(wang)絡安(an)全監察(cha)部(bu)門備(bei)案。

第十五條 計算機(ji)信(xin)息(xi)系統運(yun)營(ying)、使用單位應當接受公(gong)安(an)機(ji)關公(gong)共信(xin)息(xi)網絡(luo)安(an)全(quan)監察部門的監督(du)、檢查、指(zhi)導，如實提供(gong)安(an)全(quan)保護(hu)有關信(xin)息(xi)、資料及數據文件，不得變相拒絕、拖延、阻礙公(gong)安(an)機(ji)關公(gong)共信(xin)息(xi)網絡(luo)安(an)全(quan)監察部門依法(fa)執行公(gong)務。

第四章 安全專用產品和安全服務

第十六條 安全專用(yong)產品必須取得公安部頒發的銷售許可證方可銷售。

第十七條 生(sheng)產、銷售或者提(ti)供含有計算(suan)機信(xin)息(xi)網(wang)(wang)(wang)絡(luo)遠程控制、密碼猜解、安(an)(an)全(quan)（漏洞）檢測、信(xin)息(xi)群發技術(shu)的產品和工(gong)具的，應當在領取營(ying)業(ye)執(zhi)照后30日(ri)(ri)內（沒(mei)有營(ying)業(ye)執(zhi)照的，自開辦之日(ri)(ri)起30日(ri)(ri)內）向單位所在地地級以上(shang)市人(ren)民政府公安(an)(an)機關公共信(xin)息(xi)網(wang)(wang)(wang)絡(luo)安(an)(an)全(quan)監察部門備(bei)案，填寫(xie)《廣東省計算(suan)機信(xin)息(xi)網(wang)(wang)(wang)絡(luo)安(an)(an)全(quan)特種(zhong)技術(shu)備(bei)案表》，并提(ti)交如下資(zi)料：

（一）單位簡況；

（二）營業執照(zhao)（或其他有效證明）復印件；

（三(san)）研發和服務管理制度；

（四）主要(yao)經營管(guan)理(li)人員(yuan)、技術人員(yuan)和服務人員(yuan)有效證件(jian)復印件(jian)；

（五）主要產品情況。

第十八條 安全(quan)(quan)保護(hu)等級(ji)(ji)為第三級(ji)(ji)以上的計(ji)算(suan)機信息系(xi)統應當(dang)選(xuan)用符合(he)下列條件的安全(quan)(quan)專(zhuan)用產品(pin)：

（一）產品研制、生產單位(wei)是由(you)中(zhong)國(guo)公民(min)、法(fa)人投資(zi)或(huo)者(zhe)國(guo)家投資(zi)或(huo)者(zhe)控股的，在中(zhong)華人民(min)共(gong)和國(guo)境內具有獨立的法(fa)人資(zi)格(ge)；

（二）產品的(de)核心(xin)技術、關(guan)鍵部件具有(you)我國自主知識產權(quan)；

（三）產品研制、生產單(dan)位(wei)及其主要(yao)業務、技術人員無犯罪記(ji)錄；

（四）產品研制(zhi)、生產單位聲明沒(mei)有(you)故意留有(you)或者設置漏洞(dong)、后(hou)門、木馬等程(cheng)序和功能(neng)；

（五）對國家安全、社會(hui)秩(zhi)序、公共利(li)益不構成危害。

第十九條 符(fu)合第十八條規定的安(an)全(quan)專用產(chan)(chan)品和生產(chan)(chan)單(dan)位(wei)應(ying)當到省(sheng)公安(an)廳公共信(xin)息網絡安(an)全(quan)監察部門(men)備案。

第二十條 為加強(qiang)安(an)(an)全(quan)服務機(ji)構的(de)(de)指導，推(tui)動安(an)(an)全(quan)服務質量和技術水平的(de)(de)提高，廣東(dong)省(sheng)對從事計算機(ji)信息系統安(an)(an)全(quan)設計、建設、檢測、評估等安(an)(an)全(quan)服務的(de)(de)機(ji)構，根(gen)據其注冊資(zi)本、服務業績、技術力量、組織管理情況實行分級指導。

第五章 安全等級測評

第二十一條 第二級(ji)以上的計算機信息(xi)系統的安全測評(ping)應(ying)當選擇符合下列條件的計算機信息(xi)系統安全等級(ji)測評(ping)機構(gou)（簡稱測評(ping)機構(gou)）承擔：

（一）在中華人(ren)民(min)共和國(guo)境內(nei)注(zhu)冊(ce)成立（港澳臺地區除外），具有相應經營范圍的(de)營業執(zhi)照，注(zhu)冊(ce)資本100萬(wan)元以上；

（二）由(you)中國(guo)公民投(tou)資(zi)、中國(guo)法人投(tou)資(zi)或者國(guo)家投(tou)資(zi)的企事業單(dan)位（港澳臺地(di)區除(chu)外）；

（三）近(jin)3年完成的測評項(xiang)目總值(zhi)150萬元以上；

（四）具有計算機(ji)安全或(huo)相關專(zhuan)業(ye)資格證書的專(zhuan)業(ye)技術(shu)人員不少于20人，其中大(da)學(xue)本科以(yi)上學(xue)歷的人員不少于15人；

（五）管(guan)理(li)人員(yuan)應當(dang)具有3年以上從事計(ji)(ji)算機(ji)信息系統安全技術(shu)(shu)(shu)領域企(qi)業(ye)管(guan)理(li)工作經歷，技術(shu)(shu)(shu)負(fu)責人已(yi)獲得計(ji)(ji)算機(ji)信息系統安全技術(shu)(shu)(shu)相關專業(ye)的高級職稱，從事安全測評工作不少(shao)于3年，無犯罪記錄；

（六(liu)）工作人(ren)員(yuan)僅(jin)限于中國公(gong)民，法人(ren)及(ji)主要業務、技術人(ren)員(yuan)無犯罪記錄；

（七）具有(you)與(yu)所承擔項目(mu)適應的技術(shu)裝備；

（八）具有(you)完備的保密(mi)管理(li)(li)、項目管理(li)(li)、質量管理(li)(li)、人(ren)員管理(li)(li)和培(pei)訓教育(yu)等安全(quan)管理(li)(li)制度；

（九）對國家(jia)安全(quan)、社會秩(zhi)序、公共利益(yi)不構成(cheng)威脅。

第二十二條 廣東省對測評機構實施備(bei)案制度。符合第(di)二十一(yi)條(tiao)規定的條(tiao)件，承擔(dan)第(di)二級以上的計算(suan)機信息(xi)系統測評工作的機構應當到省公安廳公共(gong)信息(xi)網絡安全監察部門備(bei)案。

第二十三條 省(sheng)公(gong)(gong)安廳公(gong)(gong)共信(xin)息網(wang)絡安全(quan)監察部門對已(yi)備案的(de)測(ce)評(ping)機(ji)構進行(xing)公(gong)(gong)布(bu)。

第二十四條 測評機構應當(dang)履(lv)行(xing)下列義務：

（一）遵守國家有關法(fa)律法(fa)規和(he)技術標(biao)準(zhun)，提供安全、客觀、公(gong)正的(de)檢測評(ping)估服務(wu)，保證測評(ping)的(de)質(zhi)量和(he)效果；

（二）保守在測(ce)評(ping)活動(dong)中(zhong)知悉(xi)的國家(jia)秘密、商業秘密和個人隱(yin)私，防范測(ce)評(ping)風險；

（三）對測評人員進(jin)行(xing)(xing)安(an)全(quan)(quan)保密教育，與(yu)其簽訂安(an)全(quan)(quan)保密責任(ren)(ren)書，規(gui)定應當履行(xing)(xing)的安(an)全(quan)(quan)保密義務和承擔的法律責任(ren)(ren)，并(bing)負(fu)責檢查落實。

第二十五條 第二級(ji)以(yi)上的(de)計算機(ji)(ji)信息系統建設完成后，使用(yong)單位(wei)應當(dang)委托符合(he)規定的(de)測評機(ji)(ji)構(gou)安(an)全(quan)測評合(he)格(ge)方可投入使用(yong)。測評活動應當(dang)接受公(gong)安(an)機(ji)(ji)關公(gong)共信息網絡安(an)全(quan)監察部門的(de)監督。

第二十六條 計(ji)算(suan)機信息系統運營、使用單(dan)位委托安(an)全(quan)測評機構測評，應當提交下列資料：

（一）安全測評委托書；

（二）計(ji)算機(ji)信(xin)息系統(tong)應用(yong)需求、系統(tong)結構拓撲及說(shuo)明、系統(tong)安全組織結構和(he)管理制度、安全保護設施(shi)設計(ji)實施(shi)方(fang)案(an)或(huo)者改建實施(shi)方(fang)案(an)、系統(tong)軟(ruan)件硬件和(he)信(xin)息安全產品清單。

第二十七條 安(an)全測(ce)評(ping)機構在收到委(wei)托材料后(hou)，應當與委(wei)托方協商(shang)制訂安(an)全測(ce)評(ping)計劃，開展安(an)全測(ce)評(ping)工作，并出具安(an)全測(ce)評(ping)報告(gao)。

經測評(ping)，計(ji)算(suan)機(ji)信息系統(tong)安全(quan)狀況未達到國家(jia)有關規定和標準的(de)(de)要求，委托單(dan)位應(ying)當根(gen)據測評(ping)報(bao)告的(de)(de)建議，完(wan)善計(ji)算(suan)機(ji)信息系統(tong)安全(quan)建設，并重新提出安全(quan)測評(ping)委托。

測(ce)評機構對(dui)計(ji)算機信(xin)息(xi)系統進行(xing)使用前安(an)(an)(an)全(quan)測(ce)評，應當預先報告(gao)(gao)地(di)級以上市(shi)公(gong)(gong)安(an)(an)(an)機關公(gong)(gong)共(gong)信(xin)息(xi)網(wang)絡安(an)(an)(an)全(quan)監(jian)察(cha)部門。安(an)(an)(an)全(quan)測(ce)評報告(gao)(gao)由計(ji)算機信(xin)息(xi)系統運營、使用單位報地(di)級以上市(shi)公(gong)(gong)安(an)(an)(an)機關公(gong)(gong)共(gong)信(xin)息(xi)網(wang)絡安(an)(an)(an)全(quan)監(jian)察(cha)部門。

第二十八條 第三(san)級計(ji)(ji)算機(ji)信息(xi)系(xi)統應(ying)當每年至(zhi)(zhi)少進(jin)行一次安全(quan)測評(ping)，第四級計(ji)(ji)算機(ji)信息(xi)系(xi)統應(ying)當每半(ban)年至(zhi)(zhi)少進(jin)行一次安全(quan)測評(ping)，第五級計(ji)(ji)算機(ji)信息(xi)系(xi)統應(ying)當依據特(te)殊安全(quan)要(yao)求(qiu)進(jin)行安全(quan)測評(ping)。

第六章 應急處置

第二十九條 公安機(ji)(ji)關公共信息網絡安全監察部門與所在(zai)地安全服(fu)務(wu)機(ji)(ji)構、互聯網運營單(dan)位和其他(ta)計(ji)算(suan)機(ji)(ji)信息系統運營、使用單(dan)位應當(dang)建(jian)立聯防機(ji)(ji)制，依法及時查(cha)處通(tong)過計(ji)算(suan)機(ji)(ji)信息系統進行的違(wei)法犯罪行為，組織處置重大突(tu)發事件。

第三十條 對計(ji)算(suan)機(ji)信息系(xi)統(tong)中發生的案件和重大(da)安全事故，計(ji)算(suan)機(ji)信息系(xi)統(tong)的運營、使用單位應當(dang)在二(er)十四小時內報(bao)告縣級(ji)以上人民政府公安機(ji)關公共信息網(wang)絡(luo)安全監察部(bu)門，并保留(liu)有關原始記錄。

第三十一條 第二級以上(shang)的計算機信息(xi)系統運營、使用單位應當制定(ding)重大突發(fa)事件應急(ji)處置預案(an)并定(ding)期(qi)實(shi)施演練。

第三十二條 計算機(ji)(ji)信息(xi)系統發生重大(da)突發事件，有(you)關單位應當按照應急(ji)處(chu)置預(yu)案的要求采取相(xiang)應的處(chu)置措施，并(bing)服從公(gong)安機(ji)(ji)關和國家指定的專(zhuan)門部(bu)門的調度。

第三十三條 地(di)級市以上人民(min)政府公(gong)安機關公(gong)共信息(xi)(xi)網(wang)絡(luo)安全監察(cha)部(bu)門經(jing)本(ben)機關主管領導批準(zhun)，為(wei)保護計算機信息(xi)(xi)系統安全，在發生重大突(tu)發事件，危及國家安全、公(gong)共安全及社會穩定的(de)緊急情況下，可(ke)以采(cai)取二十四小時內暫(zan)時停機、暫(zan)停聯(lian)網(wang)、備(bei)份數據等措施(shi)。

第七章 安全培訓

第三十四條 省公(gong)安廳(ting)、人(ren)事廳(ting)聯合成立(li)的省信(xin)(xin)息(xi)(xi)網(wang)絡安全(quan)專業技(ji)術(shu)人(ren)員繼(ji)(ji)續(xu)教育(yu)工作領導小組(zu)(zu)，負責(ze)全(quan)省信(xin)(xin)息(xi)(xi)網(wang)絡安全(quan)專業技(ji)術(shu)人(ren)員繼(ji)(ji)續(xu)教育(yu)工作的組(zu)(zu)織(zhi)和領導。下設省信(xin)(xin)息(xi)(xi)網(wang)絡安全(quan)專業技(ji)術(shu)人(ren)員繼(ji)(ji)續(xu)教育(yu)工作辦公(gong)室(shi)，具體負責(ze)日(ri)常管(guan)理工作。

第三十五條 下列(lie)人員(yuan)應(ying)當(dang)參加信(xin)息網絡(luo)安全專(zhuan)(zhuan)業(ye)技術人員(yuan)繼(ji)續教(jiao)育(yu)，取得省信(xin)息網絡(luo)安全專(zhuan)(zhuan)業(ye)技術人員(yuan)繼(ji)續教(jiao)育(yu)工作辦公室頒發的信(xin)息網絡(luo)安全專(zhuan)(zhuan)業(ye)技術人員(yuan)繼(ji)續教(jiao)育(yu)合格(ge)證書(shu)，持證上崗(gang)：

（一(yi)）計(ji)算(suan)機信(xin)(xin)息(xi)系統運(yun)營、使用單(dan)位信(xin)(xin)息(xi)安全管理(li)責任人、信(xin)(xin)息(xi)審(shen)查員；

（二）互聯(lian)網接(jie)入服務(wu)(wu)、數據中(zhong)心服務(wu)(wu)、信息服務(wu)(wu)、上網服務(wu)(wu)提供(gong)單位安(an)全管理員、專業技(ji)術人員；

（三）安全專用產品(pin)生產單位專業技術(shu)人員；

（四）安(an)全服務機構專業技術(shu)人(ren)員、安(an)全服務管理人(ren)員；

（五）其他從事計算機信息系統(tong)安全保護(hu)工作(zuo)的人員。

第三十六條 信息(xi)網絡(luo)(luo)安全專(zhuan)業技(ji)術人員繼續教(jiao)育由(you)省(sheng)信息(xi)網絡(luo)(luo)安全專(zhuan)業技(ji)術人員繼續教(jiao)育工(gong)作辦公室授權的施(shi)教(jiao)機構負(fu)責(ze)實施(shi)。施(shi)教(jiao)機構實行統籌(chou)規劃。

第三十七條 信息網絡安全(quan)專(zhuan)業技術人員繼(ji)續教育培訓和考試(shi)按照有關規定(ding)進行，實行統一(yi)教學(xue)大綱，統一(yi)教材，統一(yi)考試(shi)，統一(yi)發證(zheng)。

考試合格的，由省信息網(wang)絡安(an)(an)全(quan)專(zhuan)業(ye)技(ji)術(shu)人員繼續(xu)教育工作辦公(gong)室發給信息網(wang)絡安(an)(an)全(quan)專(zhuan)業(ye)技(ji)術(shu)人員繼續(xu)教育證書(shu)。

第八章 法律責任

第三十八條 違反本(ben)辦法的規(gui)定，依照有關法律、法規(gui)和規(gui)章處罰(fa)。

第九章 附則

第三十九條 本細則(ze)下列用語(yu)的含義(yi)：實體(ti)安(an)全，指(zhi)保護計(ji)(ji)算機信息系統的環境(jing)(jing)，計(ji)(ji)算機設備、設施(shi)（含網(wang)絡(luo)）以及其它媒體(ti)免遭地震、水災、火災、雷電、有(you)害氣體(ti)和其它環境(jing)(jing)事故（如電磁污染等）破壞。

運行安全(quan)，指保護計算機信(xin)息系統(tong)的信(xin)息處理(li)過程順利進行。

信息安(an)全，指保障信息的(de)完整性(xing)(xing)(xing)、保密性(xing)(xing)(xing)、可(ke)(ke)用性(xing)(xing)(xing)和可(ke)(ke)控性(xing)(xing)(xing)。

內容安全，指確保計算機信(xin)息系(xi)統中傳(chuan)輸的(de)(de)信(xin)息所承(cheng)載的(de)(de)內容的(de)(de)合法性。

安全（漏(lou)洞）檢測，指利用計算機(ji)技術手段掃描、探測計算機(ji)信息(xi)系統安全漏(lou)洞。

第四十條 本辦法規定的“以上”含(han)本數。

第四十一條 本辦法規定的有關表格和證書由省公安廳制(zhi)定式樣(yang)，統一(yi)監制(zhi)。

第四十二條 本辦法(fa)由省公安(an)廳負責解釋。

第四十三條 本辦法自2008年12月1日(ri)起施行。