廣東省公安廳關于計算機信息系統安全保護的實施辦法

（廣東省公安廳2008年9月(yue)27日以粵公通字〔2008〕228號發布 自2008年12月(yue)1日起施行）

第一章 總則

第一條 為保護(hu)計算(suan)機(ji)信(xin)息(xi)系統安(an)全(quan)，促進信(xin)息(xi)化建設(she)的健(jian)康發展(zhan)，貫徹落實《廣東省計算(suan)機(ji)信(xin)息(xi)系統安(an)全(quan)保護(hu)條(tiao)例》，根據(ju)有(you)關(guan)法律(lv)法規，制(zhi)定本辦(ban)法。

第二條 本辦法適用于廣東省行政區(qu)域內計算(suan)機信(xin)息(xi)系統的安全保護。

第三條 縣級以上(shang)人(ren)民政(zheng)府公(gong)(gong)安機關(guan)公(gong)(gong)共信(xin)息網絡安全監察部門(men)具體負責本行(xing)政(zheng)區域內計算機信(xin)息系統的安全保護監管工作。

第二章 安全監督

第四條 公(gong)安機關公(gong)共信息網絡安全(quan)監察(cha)部門對計算機信息系統安全(quan)保護工作行(xing)使下列職責：

（一）監督、檢查、指導計算機(ji)信息系統安全保護工作；

（二）組織(zhi)開(kai)展計(ji)算(suan)機信息系統安(an)全等(deng)級保護；

（三）查(cha)處(chu)計算機違法(fa)犯罪(zui)案件(jian)；

（四）組織(zhi)處置重大計(ji)算(suan)機信息系統安全事(shi)故和事(shi)件；

（五）負(fu)責計(ji)算(suan)機病毒和(he)其他有害數(shu)據(ju)防(fang)治管理；

（六(liu)）負責計算機信息系(xi)統(tong)安全服務的監督指導；

（七）負責計算機信息系(xi)統安全專用產品的監督管理；

（八）負(fu)責計(ji)算機(ji)信息(xi)系統(tong)安全培訓(xun)管理；

（九）法律、法規和規章規定(ding)的其他職責。

第五條 公安(an)機(ji)(ji)關公共信息網絡安(an)全監察(cha)部門(men)應當(dang)對(dui)計算機(ji)(ji)信息系統落(luo)實(shi)實(shi)體安(an)全、運行安(an)全、信息安(an)全和內(nei)容安(an)全措(cuo)施(shi)的情況(kuang)進(jin)行檢查。

對(dui)第三級計算機信(xin)息系(xi)(xi)統(tong)每年至少檢查(cha)一次(ci)，對(dui)第四級計算機信(xin)息系(xi)(xi)統(tong)每半年至少檢查(cha)一次(ci)。對(dui)第五級計算機信(xin)息系(xi)(xi)統(tong)，應當(dang)會(hui)同國(guo)家指定(ding)的專(zhuan)門(men)部門(men)進行(xing)檢查(cha)。

對(dui)其他計算機信息系統應當不定期開展檢查(cha)。

第六條 公(gong)安(an)機關(guan)公(gong)共信(xin)息(xi)網(wang)絡(luo)安(an)全監察部門發現(xian)計算機信(xin)息(xi)系統的安(an)全保(bao)護等級和安(an)全措施不符合有關(guan)規定和技術標準，或者(zhe)存在(zai)安(an)全隱(yin)患(huan)的，應(ying)當通知運營、使用單位進行整改。

第七條 公(gong)安(an)(an)機關公(gong)共(gong)信息網(wang)絡安(an)(an)全(quan)(quan)(quan)監(jian)察(cha)部門應(ying)當(dang)向公(gong)眾提供(gong)報警求助渠(qu)道，提供(gong)計(ji)算機信息系統安(an)(an)全(quan)(quan)(quan)指導，發布(bu)安(an)(an)全(quan)(quan)(quan)動態，開展安(an)(an)全(quan)(quan)(quan)宣傳(chuan)。

第三章 安全保護責任

第八條 單(dan)位(wei)和個人應當依照有(you)關法規、規章和標(biao)準，對(dui)其所有(you)、使用和管理的計算機信息系統承擔(dan)相應的安全保(bao)護責任。

第九條 第二級以(yi)上(shang)計算(suan)機信(xin)息(xi)系(xi)統的(de)運營、使用(yong)單位應當(dang)建立安全保護組織，并報所在地(di)地(di)級以(yi)上(shang)市人(ren)民政府(fu)公(gong)安機關公(gong)共信(xin)息(xi)網絡(luo)安全監察部門備案。

第十條 安(an)全(quan)(quan)保護(hu)組(zu)織保障本單位計(ji)算機(ji)(ji)(ji)信息(xi)(xi)系統(tong)(tong)的(de)安(an)全(quan)(quan)運行，組(zu)織本單位計(ji)算機(ji)(ji)(ji)信息(xi)(xi)系統(tong)(tong)的(de)有害(hai)信息(xi)(xi)防治(zhi)工(gong)作，組(zu)織開展本單位計(ji)算機(ji)(ji)(ji)信息(xi)(xi)系統(tong)(tong)安(an)全(quan)(quan)教育和培訓，向公安(an)機(ji)(ji)(ji)關(guan)公共信息(xi)(xi)網絡安(an)全(quan)(quan)監察部(bu)門報告本單位計(ji)算機(ji)(ji)(ji)信息(xi)(xi)系統(tong)(tong)運行、服務和安(an)全(quan)(quan)等(deng)情(qing)況(kuang)，及(ji)時協助(zhu)公安(an)機(ji)(ji)(ji)關(guan)公共信息(xi)(xi)網絡安(an)全(quan)(quan)監察部(bu)門查處(chu)違法(fa)犯罪和處(chu)置突發事件。

第十一條 互聯(lian)(lian)單(dan)位(wei)、互聯(lian)(lian)網(wang)接入(ru)(ru)服(fu)務單(dan)位(wei)、互聯(lian)(lian)網(wang)數據(ju)中(zhong)心(xin)應當對(dui)接入(ru)(ru)本網(wang)絡的用戶進行資格審查(cha)，確認符合國家和省有關規定后方可為其提供(gong)服(fu)務。

互(hu)聯(lian)網(wang)接入服務、信息服務單位(wei)以及互(hu)聯(lian)網(wang)數據中心應當(dang)向用戶(hu)宣傳(chuan)相(xiang)關法律(lv)法規，提供(gong)必要(yao)的安全保護措施。

第十二條 個人主(zhu)頁、博客(ke)、聊天室、點對點服務等互聯(lian)網信(xin)息服務的提供單位(wei)和使用者應當依(yi)照國家和省有關(guan)規定，落實相應的安全措施。

第十三條 網(wang)吧、圖書館(guan)、學校、賓館(guan)等提供互聯(lian)網(wang)上網(wang)服務的場(chang)所應當安裝符(fu)合國家規定的安全管理系統。

第十四條 互(hu)聯(lian)單位、互(hu)聯(lian)網接(jie)(jie)入服(fu)務單位以及互(hu)聯(lian)網數據中心應當(dang)每月將接(jie)(jie)入本網絡的用戶情況報地級以上市公安機關公共信息網絡安全監察(cha)部(bu)門備(bei)案。

第十五條 計算機(ji)(ji)信息(xi)系統運(yun)營(ying)、使用單位應當接(jie)受公安機(ji)(ji)關公共(gong)信息(xi)網(wang)絡(luo)安全監(jian)察(cha)部門的(de)監(jian)督、檢查、指導，如實提供(gong)安全保護有關信息(xi)、資料及(ji)數據文件，不(bu)得變相拒絕、拖延、阻礙公安機(ji)(ji)關公共(gong)信息(xi)網(wang)絡(luo)安全監(jian)察(cha)部門依法(fa)執行公務。

第四章 安全專用產品和安全服務

第十六條 安全專用(yong)產品必(bi)須取(qu)得公安部頒發的銷售(shou)許可證(zheng)方(fang)可銷售(shou)。

第十七條 生產(chan)、銷售或者提供含有計算機信(xin)息(xi)(xi)(xi)網絡(luo)遠程控制、密碼猜(cai)解、安(an)全（漏洞）檢測、信(xin)息(xi)(xi)(xi)群發技術的產(chan)品和工(gong)具的，應(ying)當在領取營(ying)業執照后30日(ri)內（沒有營(ying)業執照的，自開辦之(zhi)日(ri)起30日(ri)內）向單位所在地地級(ji)以上市人民(min)政府公(gong)安(an)機關公(gong)共信(xin)息(xi)(xi)(xi)網絡(luo)安(an)全監察部門備(bei)案(an)，填寫(xie)《廣東省計算機信(xin)息(xi)(xi)(xi)網絡(luo)安(an)全特(te)種技術備(bei)案(an)表》，并(bing)提交如下資料：

（一）單位簡況；

（二）營業執照（或其他有效證明）復印(yin)件；

（三）研發和服(fu)務管理制度；

（四）主要經營管理人員(yuan)、技術人員(yuan)和服務人員(yuan)有(you)效(xiao)證(zheng)件復印(yin)件；

（五）主要產品情況。

第十八條 安(an)全保(bao)護等(deng)級(ji)為第三級(ji)以上的計算機信息(xi)系統應當選(xuan)用符合下(xia)列條件的安(an)全專用產品：

（一）產品研(yan)制、生產單位(wei)是由中國(guo)公民、法人(ren)投(tou)資(zi)或者(zhe)國(guo)家投(tou)資(zi)或者(zhe)控股的，在中華人(ren)民共和國(guo)境內具(ju)有獨立的法人(ren)資(zi)格；

（二）產品(pin)的核心(xin)技術、關鍵部(bu)件具有我國自(zi)主(zhu)知識產權；

（三(san)）產(chan)品研制、生產(chan)單位及其主要業(ye)務、技術人員無犯(fan)罪記錄；

（四）產(chan)品研制、生產(chan)單位聲明沒有(you)故意留有(you)或(huo)者(zhe)設置漏洞、后門、木馬(ma)等程序和功能(neng)；

（五）對國家安全、社(she)會(hui)秩序、公共利益不構成(cheng)危害(hai)。

第十九條 符合第十(shi)八條規定的(de)安全(quan)專用(yong)產(chan)品和生產(chan)單位(wei)應當到省公安廳公共信息網絡安全(quan)監察部門備案。

第二十條 為(wei)加(jia)強安(an)全(quan)服(fu)(fu)務(wu)機(ji)構的指導，推動安(an)全(quan)服(fu)(fu)務(wu)質量(liang)和技術水(shui)平的提高，廣東省對從事計算機(ji)信息系統安(an)全(quan)設計、建設、檢測、評估等安(an)全(quan)服(fu)(fu)務(wu)的機(ji)構，根據其注冊(ce)資本、服(fu)(fu)務(wu)業績、技術力量(liang)、組織管理情況(kuang)實行分級(ji)指導。

第五章 安全等級測評

第二十一條 第二級以上(shang)的計(ji)(ji)算(suan)機信息系統的安全(quan)測(ce)評應當選擇符合下列條件的計(ji)(ji)算(suan)機信息系統安全(quan)等級測(ce)評機構（簡稱測(ce)評機構）承擔：

（一）在中華人民共(gong)和國(guo)境內注冊(ce)(ce)成立（港澳臺地區(qu)除外），具(ju)有相應經營范圍的營業(ye)執照，注冊(ce)(ce)資本100萬元以上；

（二）由中國公民(min)投(tou)資、中國法人(ren)投(tou)資或者國家(jia)投(tou)資的(de)企事業單位（港澳臺(tai)地區除外）；

（三）近3年完成的(de)測評項目總值(zhi)150萬元以(yi)上(shang)；

（四）具(ju)有計算機安(an)全或相關(guan)專業(ye)(ye)資格證書的專業(ye)(ye)技術人(ren)員(yuan)不少(shao)于20人(ren)，其中大(da)學本科以上學歷的人(ren)員(yuan)不少(shao)于15人(ren)；

（五）管理(li)人(ren)員應當(dang)具有(you)3年以上從事(shi)計算(suan)(suan)機(ji)信息系統安全技術(shu)領域企業(ye)管理(li)工作經歷，技術(shu)負責人(ren)已獲得計算(suan)(suan)機(ji)信息系統安全技術(shu)相關專(zhuan)業(ye)的(de)高級職稱，從事(shi)安全測評工作不少于3年，無犯罪記錄；

（六）工作人(ren)(ren)員僅限于中國公民，法人(ren)(ren)及主(zhu)要業務(wu)、技(ji)術人(ren)(ren)員無(wu)犯罪記錄；

（七）具有與所承(cheng)擔項目(mu)適應的技術裝備(bei)；

（八）具有完備的保密管(guan)理(li)、項目管(guan)理(li)、質量管(guan)理(li)、人員管(guan)理(li)和培訓教育(yu)等安全管(guan)理(li)制度(du)；

（九）對國家安全、社(she)會秩序、公共利益不構成威脅。

第二十二條 廣(guang)東省對測評機(ji)構實施備案制度。符合(he)第(di)二(er)十一條規(gui)定的(de)(de)條件，承擔(dan)第(di)二(er)級以上的(de)(de)計算(suan)機(ji)信(xin)息系(xi)統測評工作(zuo)的(de)(de)機(ji)構應當到省公(gong)安(an)廳公(gong)共信(xin)息網絡安(an)全(quan)監察部門備案。

第二十三條 省公安廳公共(gong)信(xin)息網絡安全監(jian)察部(bu)門對已備案的(de)測評機構進行公布(bu)。

第二十四條 測評機構應(ying)當履行下列義務：

（一(yi)）遵守(shou)國(guo)家有(you)關法律法規和(he)技術標準(zhun)，提供安全、客觀、公正的檢測(ce)評估服(fu)務，保(bao)證測(ce)評的質量和(he)效果(guo)；

（二）保守(shou)在測評活動中知悉的國家秘密(mi)(mi)、商業秘密(mi)(mi)和個人隱私，防范(fan)測評風險；

（三）對測評人員進(jin)行(xing)安(an)全保(bao)密教(jiao)育(yu)，與其簽訂安(an)全保(bao)密責(ze)任書，規定應當履行(xing)的(de)(de)安(an)全保(bao)密義務和承擔的(de)(de)法律責(ze)任，并負責(ze)檢查落實。

第二十五條 第二級以上的計算(suan)機信息系統建設完(wan)成后，使用(yong)單(dan)位應當委托(tuo)符合(he)規定的測(ce)(ce)(ce)評(ping)機構安(an)全(quan)測(ce)(ce)(ce)評(ping)合(he)格方可(ke)投入(ru)使用(yong)。測(ce)(ce)(ce)評(ping)活動應當接受(shou)公(gong)安(an)機關公(gong)共信息網絡安(an)全(quan)監察部門(men)的監督。

第二十六條 計(ji)算(suan)機信息系統運營、使用單位委托安(an)全測(ce)評機構測(ce)評，應當提交下列資料：

（一）安全測評(ping)委托書；

（二）計(ji)算機信息系(xi)統應用需求、系(xi)統結構(gou)拓撲及(ji)說明、系(xi)統安(an)全(quan)組(zu)織結構(gou)和(he)管理制(zhi)度、安(an)全(quan)保護設(she)施(shi)設(she)計(ji)實施(shi)方案(an)或者改建實施(shi)方案(an)、系(xi)統軟件硬件和(he)信息安(an)全(quan)產品清單。

第二十七條 安全(quan)測(ce)評(ping)機構(gou)在(zai)收到委托材料后(hou)，應(ying)當與委托方協商制訂安全(quan)測(ce)評(ping)計劃，開展安全(quan)測(ce)評(ping)工(gong)作，并(bing)出具安全(quan)測(ce)評(ping)報(bao)告。

經測(ce)(ce)評(ping)，計算(suan)機(ji)信(xin)息系(xi)統安全(quan)狀況未(wei)達到國家(jia)有(you)關規定和標準的(de)要(yao)求，委托(tuo)單位應當根(gen)據(ju)測(ce)(ce)評(ping)報告的(de)建議(yi)，完(wan)善計算(suan)機(ji)信(xin)息系(xi)統安全(quan)建設(she)，并重新提出安全(quan)測(ce)(ce)評(ping)委托(tuo)。

測評(ping)(ping)機(ji)構對(dui)計算(suan)機(ji)信息(xi)系(xi)統(tong)進行使(shi)用前安全(quan)測評(ping)(ping)，應當預先(xian)報告(gao)地級以(yi)上市公(gong)安機(ji)關(guan)公(gong)共信息(xi)網絡安全(quan)監察部(bu)門。安全(quan)測評(ping)(ping)報告(gao)由(you)計算(suan)機(ji)信息(xi)系(xi)統(tong)運(yun)營、使(shi)用單(dan)位(wei)報地級以(yi)上市公(gong)安機(ji)關(guan)公(gong)共信息(xi)網絡安全(quan)監察部(bu)門。

第二十八條 第三級(ji)計(ji)算(suan)(suan)機信(xin)息系統應當(dang)(dang)每年(nian)至少進(jin)行一次(ci)安(an)(an)全(quan)(quan)測(ce)評(ping)，第四(si)級(ji)計(ji)算(suan)(suan)機信(xin)息系統應當(dang)(dang)每半年(nian)至少進(jin)行一次(ci)安(an)(an)全(quan)(quan)測(ce)評(ping)，第五級(ji)計(ji)算(suan)(suan)機信(xin)息系統應當(dang)(dang)依據特(te)殊(shu)安(an)(an)全(quan)(quan)要求(qiu)進(jin)行安(an)(an)全(quan)(quan)測(ce)評(ping)。

第六章 應急處置

第二十九條 公安機關公共信息網(wang)絡安全監察部門與所在地安全服(fu)務機構、互聯網(wang)運營單位和其他(ta)計算機信息系統(tong)運營、使用單位應(ying)當建(jian)立聯防機制(zhi)，依法及時查處通過計算機信息系統(tong)進行的違法犯罪行為，組織處置重大突發事(shi)件(jian)。

第三十條 對計(ji)算機(ji)(ji)(ji)信(xin)息系(xi)統中發生的案件和(he)重大安全事故，計(ji)算機(ji)(ji)(ji)信(xin)息系(xi)統的運營、使用(yong)單位應當在(zai)二十四小時內(nei)報告縣級以上(shang)人民(min)政府公安機(ji)(ji)(ji)關公共信(xin)息網絡安全監(jian)察部門(men)，并(bing)保留有關原始記錄。

第三十一條 第(di)二(er)級以(yi)上的計算機信息(xi)系統運(yun)營、使用(yong)單位應(ying)當制(zhi)定(ding)重大突(tu)發事件應(ying)急處置預案并定(ding)期實(shi)施演練。

第三十二條 計算機(ji)信息(xi)系統發(fa)生重大突發(fa)事件，有(you)關單位應當按照應急處(chu)置(zhi)預案的(de)要求采取(qu)相應的(de)處(chu)置(zhi)措施，并服從(cong)公安機(ji)關和國家指定的(de)專門(men)部門(men)的(de)調度。

第三十三條 地(di)級(ji)市(shi)以上(shang)人(ren)民政府公(gong)(gong)安(an)機關(guan)公(gong)(gong)共信息(xi)網絡(luo)安(an)全(quan)(quan)監察部門經本機關(guan)主管(guan)領導批(pi)準，為(wei)保護計算機信息(xi)系統安(an)全(quan)(quan)，在發生重(zhong)大突發事(shi)件，危及國家安(an)全(quan)(quan)、公(gong)(gong)共安(an)全(quan)(quan)及社(she)會穩定的緊急情(qing)況下，可以采取二十(shi)四小時內暫(zan)時停(ting)機、暫(zan)停(ting)聯(lian)網、備份(fen)數據等措施。

第七章 安全培訓

第三十四條 省公(gong)安廳(ting)、人事廳(ting)聯合成立的省信(xin)息網絡安全專(zhuan)業(ye)技術人員繼(ji)續教育工(gong)(gong)(gong)作(zuo)領(ling)導(dao)小組，負責全省信(xin)息網絡安全專(zhuan)業(ye)技術人員繼(ji)續教育工(gong)(gong)(gong)作(zuo)的組織和(he)領(ling)導(dao)。下設省信(xin)息網絡安全專(zhuan)業(ye)技術人員繼(ji)續教育工(gong)(gong)(gong)作(zuo)辦公(gong)室(shi)，具體負責日常管理工(gong)(gong)(gong)作(zuo)。

第三十五條 下列人(ren)員(yuan)應當參加信(xin)息網絡安全(quan)專業技術人(ren)員(yuan)繼續教(jiao)育，取(qu)得省信(xin)息網絡安全(quan)專業技術人(ren)員(yuan)繼續教(jiao)育工作辦公室頒發的信(xin)息網絡安全(quan)專業技術人(ren)員(yuan)繼續教(jiao)育合格證(zheng)書，持(chi)證(zheng)上崗(gang)：

（一）計算機信(xin)息(xi)(xi)系(xi)統運營、使用(yong)單位信(xin)息(xi)(xi)安(an)全(quan)管(guan)理責(ze)任人(ren)、信(xin)息(xi)(xi)審查員；

（二）互(hu)聯網接入服務(wu)(wu)、數據(ju)中心服務(wu)(wu)、信息服務(wu)(wu)、上網服務(wu)(wu)提供(gong)單位安全管理員、專業技術人員；

（三）安全專(zhuan)用產(chan)品生產(chan)單位(wei)專(zhuan)業技術(shu)人(ren)員；

（四）安全服務機構專(zhuan)業技術人(ren)員(yuan)、安全服務管理人(ren)員(yuan)；

（五）其他從事計算機信(xin)息系統安全保(bao)護工作的人員。

第三十六條 信息網絡安全專業技術(shu)(shu)人(ren)員(yuan)繼續教育由省信息網絡安全專業技術(shu)(shu)人(ren)員(yuan)繼續教育工作辦公室(shi)授(shou)權的施(shi)教機(ji)構負(fu)責(ze)實施(shi)。施(shi)教機(ji)構實行統(tong)籌規(gui)劃。

第三十七條 信息網絡安(an)全(quan)專業技術人員繼續教育培訓和考試(shi)按(an)照有關(guan)規定進行，實行統(tong)(tong)一教學大綱，統(tong)(tong)一教材，統(tong)(tong)一考試(shi)，統(tong)(tong)一發證。

考試合格(ge)的，由省(sheng)信息(xi)網絡安(an)全專(zhuan)業技術(shu)人(ren)員(yuan)繼續教(jiao)育(yu)工作辦(ban)公室發(fa)給信息(xi)網絡安(an)全專(zhuan)業技術(shu)人(ren)員(yuan)繼續教(jiao)育(yu)證書。

第八章 法律責任

第三十八條 違(wei)反(fan)本辦法的(de)規定，依照(zhao)有關法律、法規和規章(zhang)處(chu)罰(fa)。

第九章 附則

第三十九條 本(ben)細則下列用語的(de)含義：實體(ti)安全，指保護計(ji)算機(ji)信息系(xi)統的(de)環境(jing)，計(ji)算機(ji)設(she)備、設(she)施（含網絡）以及其(qi)它媒體(ti)免遭地(di)震、水災、火災、雷電、有害氣體(ti)和(he)其(qi)它環境(jing)事故（如(ru)電磁(ci)污(wu)染等(deng)）破壞。

運(yun)行(xing)安(an)全，指保護計(ji)算機信息(xi)系統的信息(xi)處理過(guo)程順(shun)利進行(xing)。

信(xin)息(xi)安全(quan)，指保(bao)障信(xin)息(xi)的完整性(xing)、保(bao)密性(xing)、可(ke)用性(xing)和可(ke)控性(xing)。

內(nei)容(rong)安全，指確保計(ji)算機信息(xi)系統中(zhong)傳輸的(de)(de)信息(xi)所承載的(de)(de)內(nei)容(rong)的(de)(de)合法性。

安全（漏(lou)洞(dong)）檢測，指利用計(ji)算機技(ji)術手段(duan)掃描、探測計(ji)算機信息系統安全漏(lou)洞(dong)。

第四十條 本(ben)辦法規定的“以上”含(han)本(ben)數。

第四十一條 本辦法規(gui)定的有關(guan)表格(ge)和證書由省公安廳制定式(shi)樣(yang)，統一監(jian)制。

第四十二條 本(ben)辦法由(you)省公安廳負責(ze)解釋。

第四十三條 本辦(ban)法自2008年(nian)12月1日起(qi)施行(xing)。