廣東省公安廳關于計算機信息系統安全保護的實施辦法

（廣東省公安廳2008年(nian)9月(yue)27日以粵公通字〔2008〕228號(hao)發(fa)布(bu) 自2008年(nian)12月(yue)1日起施行）

第一章 總則

第一條 為(wei)保護計(ji)算(suan)機(ji)信(xin)息系統(tong)安全，促進信(xin)息化建設的健康發(fa)展，貫徹(che)落實《廣東省計(ji)算(suan)機(ji)信(xin)息系統(tong)安全保護條例》，根據有關法律(lv)法規，制定本辦法。

第二條 本辦法(fa)適用于廣東省行政區域內計算機信(xin)息(xi)系統(tong)的安全保(bao)護(hu)。

第三條 縣級以上人民政(zheng)府公(gong)安(an)機關公(gong)共信息網絡安(an)全監(jian)察部門具體負責本行政(zheng)區域內計算機信息系統的安(an)全保(bao)護監(jian)管工作。

第二章 安全監督

第四條 公安(an)機(ji)關公共信(xin)息(xi)(xi)網(wang)絡安(an)全監察部門對(dui)計算機(ji)信(xin)息(xi)(xi)系統安(an)全保(bao)護(hu)工作行使(shi)下列(lie)職(zhi)責：

（一(yi)）監督、檢(jian)查、指導計(ji)算機信息系統安全保(bao)護工作；

（二）組織開展計(ji)算機信(xin)息系(xi)統安全等級(ji)保護；

（三(san)）查(cha)處計算機違法犯罪案(an)件(jian)；

（四）組織(zhi)處置重(zhong)大計算機信(xin)息系(xi)統安(an)全(quan)事(shi)(shi)故和(he)事(shi)(shi)件；

（五）負責計(ji)算機病毒(du)和其他有害數據防治管理；

（六）負責計算機信息系統安(an)全服務(wu)的監督指導；

（七）負責計算機信息系(xi)統(tong)安全專用產品的監督管(guan)理；

（八）負責計算機信息系統安全(quan)培訓管理；

（九）法律、法規(gui)和規(gui)章規(gui)定的其他職責。

第五條 公安(an)(an)機(ji)關公共信息網絡安(an)(an)全監察(cha)部門(men)應(ying)當對計算機(ji)信息系統落實實體安(an)(an)全、運行(xing)安(an)(an)全、信息安(an)(an)全和內容安(an)(an)全措施的(de)情況進行(xing)檢查。

對(dui)第(di)三級計(ji)算(suan)機(ji)信息系統每(mei)年(nian)至少(shao)檢(jian)查一次，對(dui)第(di)四級計(ji)算(suan)機(ji)信息系統每(mei)半年(nian)至少(shao)檢(jian)查一次。對(dui)第(di)五級計(ji)算(suan)機(ji)信息系統，應(ying)當會同(tong)國家(jia)指定(ding)的專門(men)部門(men)進(jin)行檢(jian)查。

對其他計算機信息(xi)系統應(ying)當不定期開展檢查。

第六條 公(gong)安(an)機關公(gong)共(gong)信息(xi)網絡(luo)安(an)全監察部門發現計(ji)算機信息(xi)系統的安(an)全保護等(deng)級和安(an)全措施不符合有關規定和技(ji)術標準，或者存(cun)在安(an)全隱患的，應(ying)當通知運營(ying)、使(shi)用單位進行整改。

第七條 公(gong)安機(ji)關公(gong)共(gong)信息網絡安全(quan)監(jian)察部門應當向公(gong)眾提供報警求助渠道(dao)，提供計算(suan)機(ji)信息系統(tong)安全(quan)指導，發布(bu)安全(quan)動態(tai)，開(kai)展(zhan)安全(quan)宣傳。

第三章 安全保護責任

第八條 單位和個(ge)人(ren)應(ying)當(dang)依照(zhao)有(you)關(guan)法規(gui)、規(gui)章和標準(zhun)，對其所有(you)、使(shi)用和管理的計算機信息系統承擔相(xiang)應(ying)的安全保護責(ze)任。

第九條 第(di)二級以(yi)(yi)上計算機信(xin)息(xi)系統的(de)運營、使用(yong)單(dan)位應當建(jian)立安(an)全(quan)保護組織(zhi)，并報所在地(di)地(di)級以(yi)(yi)上市人(ren)民政府公安(an)機關公共信(xin)息(xi)網絡(luo)安(an)全(quan)監察部門備(bei)案。

第十條 安(an)全保(bao)護組織(zhi)保(bao)障本單位計算(suan)(suan)(suan)機信(xin)(xin)息(xi)系統(tong)的安(an)全運行(xing)，組織(zhi)本單位計算(suan)(suan)(suan)機信(xin)(xin)息(xi)系統(tong)的有害信(xin)(xin)息(xi)防治工作，組織(zhi)開展(zhan)本單位計算(suan)(suan)(suan)機信(xin)(xin)息(xi)系統(tong)安(an)全教育(yu)和培訓(xun)，向公(gong)安(an)機關公(gong)共信(xin)(xin)息(xi)網(wang)絡安(an)全監(jian)察部門報告本單位計算(suan)(suan)(suan)機信(xin)(xin)息(xi)系統(tong)運行(xing)、服務和安(an)全等情(qing)況，及(ji)時協助公(gong)安(an)機關公(gong)共信(xin)(xin)息(xi)網(wang)絡安(an)全監(jian)察部門查處違(wei)法犯(fan)罪(zui)和處置突發事件。

第十一條 互聯單(dan)位(wei)、互聯網接(jie)入服務單(dan)位(wei)、互聯網數據中心應(ying)當對接(jie)入本網絡的用戶(hu)進行資格審查，確(que)認(ren)符合國家和省有關規定后方可為其提供服務。

互聯網接入服務(wu)、信息服務(wu)單位(wei)以(yi)及互聯網數(shu)據中心應當向(xiang)用(yong)戶(hu)宣傳(chuan)相關法(fa)律法(fa)規，提供必要(yao)的安全(quan)保護措施(shi)。

第十二條 個人(ren)主頁、博客、聊天室、點對點服務等(deng)互聯網信息服務的提供單位(wei)和(he)使用者應當依照國(guo)家(jia)和(he)省有關(guan)規定，落實相(xiang)應的安全措施。

第十三條 網吧(ba)、圖書館、學校、賓館等(deng)提供互聯網上網服(fu)務的(de)場所應(ying)當安裝符合國家規定的(de)安全(quan)管理系統。

第十四條 互(hu)(hu)聯單位(wei)、互(hu)(hu)聯網(wang)接入(ru)服務單位(wei)以及互(hu)(hu)聯網(wang)數據中心應(ying)當每(mei)月將接入(ru)本網(wang)絡的用戶情況報地級以上市公安機關公共信息網(wang)絡安全監察部門(men)備案。

第十五條 計算機信(xin)息(xi)(xi)(xi)系統運營、使(shi)用單(dan)位應當接(jie)受公安(an)機關(guan)公共信(xin)息(xi)(xi)(xi)網絡(luo)安(an)全監(jian)(jian)察部(bu)(bu)門(men)的監(jian)(jian)督、檢查、指導，如(ru)實(shi)提(ti)供安(an)全保(bao)護有關(guan)信(xin)息(xi)(xi)(xi)、資料及數據文(wen)件，不(bu)得變相拒絕、拖(tuo)延、阻礙公安(an)機關(guan)公共信(xin)息(xi)(xi)(xi)網絡(luo)安(an)全監(jian)(jian)察部(bu)(bu)門(men)依法執行公務。

第四章 安全專用產品和安全服務

第十六條 安全專用產(chan)品必須取得公(gong)安部頒發的(de)銷(xiao)(xiao)售許(xu)可(ke)證方可(ke)銷(xiao)(xiao)售。

第十七條 生產(chan)、銷售或者提供含有計(ji)算機(ji)(ji)信息(xi)網(wang)絡(luo)遠程(cheng)控制、密碼猜解(jie)、安(an)(an)全（漏洞(dong)）檢測、信息(xi)群發技(ji)術(shu)的(de)產(chan)品和工具的(de)，應當在領取營業(ye)執照后30日(ri)內(nei)（沒(mei)有營業(ye)執照的(de)，自(zi)開辦之日(ri)起30日(ri)內(nei)）向單位所在地(di)地(di)級以上市人民(min)政府(fu)公(gong)安(an)(an)機(ji)(ji)關公(gong)共信息(xi)網(wang)絡(luo)安(an)(an)全監察部門備(bei)案(an)，填寫《廣東省(sheng)計(ji)算機(ji)(ji)信息(xi)網(wang)絡(luo)安(an)(an)全特種技(ji)術(shu)備(bei)案(an)表》，并提交(jiao)如下(xia)資料：

（一）單位簡況；

（二）營業執照（或其他有效(xiao)證(zheng)明(ming)）復(fu)印件；

（三）研(yan)發(fa)和服務管(guan)理制度；

（四）主要經營管理人員(yuan)、技術人員(yuan)和服務人員(yuan)有(you)效證件(jian)復印件(jian)；

（五(wu)）主(zhu)要產品情況。

第十八條 安(an)全(quan)保(bao)護等(deng)級為第三(san)級以上的計算機信息系統應當選用符(fu)合下列條件(jian)的安(an)全(quan)專用產(chan)品：

（一）產品研制、生產單位是由中(zhong)國公民、法人(ren)投資或者(zhe)國家投資或者(zhe)控(kong)股的，在中(zhong)華人(ren)民共和(he)國境內具有獨立的法人(ren)資格；

（二）產(chan)品的核心技術(shu)、關鍵部件具有我國(guo)自主知識產(chan)權；

（三）產品研(yan)制(zhi)、生(sheng)產單位及其主要業務、技(ji)術人員無犯罪記(ji)錄；

（四）產(chan)品研制、生產(chan)單位聲明沒有故意留(liu)有或者設置(zhi)漏(lou)洞、后門(men)、木馬等程(cheng)序和功能；

（五）對(dui)國家(jia)安全、社會秩(zhi)序、公共利益(yi)不構成危害。

第十九條 符合(he)第十八條規定的安全(quan)專用產(chan)品(pin)和生(sheng)產(chan)單位(wei)應當到省公(gong)安廳公(gong)共信息網絡安全(quan)監察(cha)部門備案。

第二十條 為加強安(an)(an)(an)全(quan)(quan)服(fu)(fu)務(wu)機構的(de)(de)指導(dao)，推動安(an)(an)(an)全(quan)(quan)服(fu)(fu)務(wu)質量和技(ji)(ji)術水平的(de)(de)提高，廣東省對從(cong)事計算(suan)機信息系統安(an)(an)(an)全(quan)(quan)設(she)計、建設(she)、檢測、評(ping)估等安(an)(an)(an)全(quan)(quan)服(fu)(fu)務(wu)的(de)(de)機構，根據(ju)其注冊(ce)資本、服(fu)(fu)務(wu)業績(ji)、技(ji)(ji)術力量、組(zu)織(zhi)管理(li)情況實行(xing)分級指導(dao)。

第五章 安全等級測評

第二十一條 第二(er)級以上的(de)計(ji)(ji)算機(ji)信息系(xi)統(tong)的(de)安全測(ce)評應(ying)當選擇符合(he)下列(lie)條件的(de)計(ji)(ji)算機(ji)信息系(xi)統(tong)安全等級測(ce)評機(ji)構(gou)（簡(jian)稱測(ce)評機(ji)構(gou)）承擔：

（一）在中華人(ren)民共和國境內注冊成立（港澳(ao)臺地區除外(wai)），具有相應經營(ying)范(fan)圍(wei)的(de)營(ying)業執照，注冊資本100萬元(yuan)以上；

（二）由(you)中國公(gong)民(min)投(tou)資、中國法人投(tou)資或者國家投(tou)資的企(qi)事業(ye)單位（港澳臺地區(qu)除外）；

（三）近3年完成的測(ce)評項目總值150萬元(yuan)以上；

（四）具有計算機安全或相關專業資格(ge)證書(shu)的(de)(de)專業技術人員(yuan)不(bu)少于(yu)20人，其中大學(xue)本科以上學(xue)歷的(de)(de)人員(yuan)不(bu)少于(yu)15人；

（五）管理人員應當具有3年(nian)以(yi)上從事計算(suan)機(ji)信息(xi)系統安(an)全(quan)技術領域(yu)企(qi)業管理工作經歷，技術負責(ze)人已獲得(de)計算(suan)機(ji)信息(xi)系統安(an)全(quan)技術相關專業的高級(ji)職稱(cheng)，從事安(an)全(quan)測(ce)評(ping)工作不少于3年(nian)，無犯罪(zui)記錄(lu)；

（六）工(gong)作人員僅限于(yu)中國公民，法(fa)人及(ji)主要業(ye)務、技術人員無犯罪記(ji)錄；

（七）具有(you)與所承擔項(xiang)目適應(ying)的(de)技術裝備；

（八(ba)）具(ju)有完(wan)備的保(bao)密管(guan)(guan)理(li)、項(xiang)目(mu)管(guan)(guan)理(li)、質量管(guan)(guan)理(li)、人員(yuan)管(guan)(guan)理(li)和培訓教育等安(an)全管(guan)(guan)理(li)制(zhi)度；

（九(jiu)）對(dui)國(guo)家安全、社(she)會秩序、公共利(li)益不(bu)構(gou)成威(wei)脅(xie)。

第二十二條 廣東省對測評機(ji)構(gou)實施備案制(zhi)度(du)。符合(he)第二十一條規定的(de)條件，承擔第二級以上的(de)計算機(ji)信息系(xi)統測評工作的(de)機(ji)構(gou)應當(dang)到省公安(an)廳公共信息網絡安(an)全監察部門備案。

第二十三條 省公(gong)安廳公(gong)共信息網絡安全(quan)監察部門對已備案的測評機(ji)構進行公(gong)布。

第二十四條 測評機構應當履行(xing)下列(lie)義務：

（一）遵守(shou)國(guo)家有關法(fa)律法(fa)規和(he)技術標準(zhun)，提供安全、客觀、公(gong)正的檢測評(ping)估服務，保證(zheng)測評(ping)的質量(liang)和(he)效果；

（二）保守在測評活動中知悉的國家秘密、商(shang)業秘密和(he)個人隱私，防范測評風險；

（三）對測評人員進行(xing)安全保密教育，與其簽訂安全保密責任書，規(gui)定應當履(lv)行(xing)的安全保密義務和承擔的法(fa)律責任，并負責檢查落實。

第二十五條 第二級(ji)以上的(de)計算機信(xin)息系統建設完成(cheng)后，使(shi)用(yong)單位應(ying)當委托符合規定(ding)的(de)測評(ping)機構安全(quan)測評(ping)合格方(fang)可投入使(shi)用(yong)。測評(ping)活(huo)動應(ying)當接受公安機關公共(gong)信(xin)息網絡安全(quan)監察部門的(de)監督。

第二十六條 計算機信息系統(tong)運營、使用單位(wei)委(wei)托安全(quan)測評(ping)機構測評(ping)，應當提(ti)交下列資料：

（一(yi)）安全測評委托(tuo)書；

（二(er)）計算機信息系統應(ying)用需求、系統結構(gou)(gou)拓撲(pu)及說明、系統安全組織結構(gou)(gou)和管理(li)制度、安全保護設施(shi)設計實施(shi)方案或者改建實施(shi)方案、系統軟(ruan)件硬(ying)件和信息安全產品清單(dan)。

第二十七條 安全測評機(ji)構(gou)在收(shou)到委(wei)托材料后(hou)，應當(dang)與委(wei)托方協商制訂安全測評計劃，開展安全測評工作，并出具安全測評報告。

經測(ce)(ce)(ce)評，計(ji)算機信(xin)息系(xi)統(tong)安全(quan)狀況(kuang)未達(da)到國家有關規定和標準的要求，委(wei)托單位應當根(gen)據測(ce)(ce)(ce)評報(bao)告(gao)的建議，完(wan)善計(ji)算機信(xin)息系(xi)統(tong)安全(quan)建設，并重新提出安全(quan)測(ce)(ce)(ce)評委(wei)托。

測評(ping)機(ji)構對計算(suan)機(ji)信息系統(tong)進行(xing)使用前安(an)全(quan)(quan)測評(ping)，應當預先(xian)報告地級(ji)以(yi)上(shang)市公安(an)機(ji)關(guan)公共信息網絡安(an)全(quan)(quan)監察(cha)部門。安(an)全(quan)(quan)測評(ping)報告由(you)計算(suan)機(ji)信息系統(tong)運(yun)營(ying)、使用單(dan)位報地級(ji)以(yi)上(shang)市公安(an)機(ji)關(guan)公共信息網絡安(an)全(quan)(quan)監察(cha)部門。

第二十八條 第(di)三級計算機信(xin)息(xi)(xi)系(xi)統(tong)應當(dang)(dang)每年至少(shao)進(jin)行一次安全(quan)(quan)(quan)測(ce)評，第(di)四級計算機信(xin)息(xi)(xi)系(xi)統(tong)應當(dang)(dang)每半年至少(shao)進(jin)行一次安全(quan)(quan)(quan)測(ce)評，第(di)五級計算機信(xin)息(xi)(xi)系(xi)統(tong)應當(dang)(dang)依據特(te)殊安全(quan)(quan)(quan)要求進(jin)行安全(quan)(quan)(quan)測(ce)評。

第六章 應急處置

第二十九條 公安(an)機(ji)(ji)關公共信息網絡安(an)全監察部門與所在地安(an)全服務機(ji)(ji)構、互聯網運營單(dan)位和其(qi)他計算機(ji)(ji)信息系統(tong)運營、使(shi)用單(dan)位應當建立聯防機(ji)(ji)制，依(yi)法(fa)及(ji)時查(cha)處通過計算機(ji)(ji)信息系統(tong)進行的違法(fa)犯罪行為，組織處置重大突發事件(jian)。

第三十條 對計算(suan)機信(xin)息系(xi)統中發(fa)生的案件(jian)和重(zhong)大(da)安(an)(an)全事故，計算(suan)機信(xin)息系(xi)統的運(yun)營(ying)、使(shi)用單位應當在二(er)十四小時內報告(gao)縣級(ji)以上人(ren)民政(zheng)府公安(an)(an)機關公共(gong)信(xin)息網絡(luo)安(an)(an)全監察部門，并保留有(you)關原始記錄(lu)。

第三十一條 第二(er)級以上的(de)計算機(ji)信息系統(tong)運營(ying)、使用單位應(ying)當制定重大(da)突(tu)發事(shi)件(jian)應(ying)急處(chu)置(zhi)預(yu)案并定期實施(shi)演練。

第三十二條 計算(suan)機信息系統(tong)發(fa)生重大突發(fa)事件，有關單位應當按(an)照應急處(chu)置預(yu)案的(de)要(yao)求(qiu)采取相(xiang)應的(de)處(chu)置措(cuo)施(shi)，并服從公安(an)機關和國家指定的(de)專(zhuan)門部門的(de)調度。

第三十三條 地級市以上人(ren)民政府公安(an)機(ji)關(guan)公共(gong)信息(xi)網(wang)絡安(an)全(quan)監察部門(men)經(jing)本機(ji)關(guan)主(zhu)管領導(dao)批準(zhun)，為保(bao)護計算(suan)機(ji)信息(xi)系統安(an)全(quan)，在發(fa)生(sheng)重大突發(fa)事件(jian)，危及(ji)(ji)國(guo)家安(an)全(quan)、公共(gong)安(an)全(quan)及(ji)(ji)社會穩定的緊急情況(kuang)下，可以采取二十四小時(shi)內暫(zan)時(shi)停(ting)機(ji)、暫(zan)停(ting)聯(lian)網(wang)、備份數據等措施。

第七章 安全培訓

第三十四條 省(sheng)公安(an)廳、人事廳聯合成(cheng)立的省(sheng)信(xin)息網絡安(an)全(quan)專(zhuan)(zhuan)業(ye)技(ji)(ji)術人員繼(ji)續(xu)教育工作(zuo)領(ling)(ling)導小(xiao)組，負責全(quan)省(sheng)信(xin)息網絡安(an)全(quan)專(zhuan)(zhuan)業(ye)技(ji)(ji)術人員繼(ji)續(xu)教育工作(zuo)的組織和領(ling)(ling)導。下設(she)省(sheng)信(xin)息網絡安(an)全(quan)專(zhuan)(zhuan)業(ye)技(ji)(ji)術人員繼(ji)續(xu)教育工作(zuo)辦公室(shi)，具體負責日(ri)常管理工作(zuo)。

第三十五條 下(xia)列(lie)人(ren)(ren)員(yuan)應(ying)當參加信息(xi)網絡安全專業技(ji)術人(ren)(ren)員(yuan)繼(ji)(ji)續教(jiao)(jiao)(jiao)育(yu)，取得省信息(xi)網絡安全專業技(ji)術人(ren)(ren)員(yuan)繼(ji)(ji)續教(jiao)(jiao)(jiao)育(yu)工作辦公室頒發的信息(xi)網絡安全專業技(ji)術人(ren)(ren)員(yuan)繼(ji)(ji)續教(jiao)(jiao)(jiao)育(yu)合(he)格證書，持證上崗(gang)：

（一）計(ji)算機信(xin)(xin)息系統運(yun)營、使用單位(wei)信(xin)(xin)息安(an)全管理責任人、信(xin)(xin)息審查員；

（二）互聯(lian)網(wang)接入服(fu)務(wu)(wu)、數據中心服(fu)務(wu)(wu)、信息服(fu)務(wu)(wu)、上網(wang)服(fu)務(wu)(wu)提供單位安全管理員、專業技術人員；

（三）安(an)全專(zhuan)用產(chan)品生產(chan)單位專(zhuan)業(ye)技術人員；

（四）安全服務機(ji)構專業技術人員(yuan)、安全服務管理人員(yuan)；

（五）其他從事計算機信息系統安全保護工作的人員。

第三十六條 信(xin)息(xi)網絡安(an)全專業(ye)技術人員繼續教育由省(sheng)信(xin)息(xi)網絡安(an)全專業(ye)技術人員繼續教育工作(zuo)辦公室授(shou)權(quan)的(de)施教機構(gou)負責實施。施教機構(gou)實行統籌規劃。

第三十七條 信息網(wang)絡安全(quan)專業(ye)技術人員(yuan)繼續教(jiao)育培訓和考(kao)試(shi)按(an)照有關(guan)規定進(jin)行(xing)，實行(xing)統(tong)一(yi)教(jiao)學大綱，統(tong)一(yi)教(jiao)材，統(tong)一(yi)考(kao)試(shi)，統(tong)一(yi)發證。

考試合格的(de)，由省信息(xi)網絡(luo)安全(quan)專業技術人(ren)(ren)員繼(ji)續(xu)教育工作辦公室發給信息(xi)網絡(luo)安全(quan)專業技術人(ren)(ren)員繼(ji)續(xu)教育證書。

第八章 法律責任

第三十八條 違反本辦法(fa)(fa)的規(gui)定，依(yi)照(zhao)有關法(fa)(fa)律、法(fa)(fa)規(gui)和規(gui)章處罰。

第九章 附則

第三十九條 本細(xi)則下(xia)列用語的(de)(de)含義：實體安全，指(zhi)保護計(ji)算機信息系統的(de)(de)環境，計(ji)算機設備、設施（含網絡(luo)）以(yi)及其它媒體免遭地(di)震、水災(zai)、火災(zai)、雷電、有害氣體和其它環境事故（如(ru)電磁污染等）破壞。

運行安全(quan)，指(zhi)保護計(ji)算機(ji)信息系統的(de)信息處理過程順利(li)進行。

信息安全，指保障信息的完(wan)整性(xing)、保密性(xing)、可用性(xing)和可控性(xing)。

內(nei)容(rong)安全，指(zhi)確保(bao)計算機(ji)信息系(xi)統中傳輸的(de)信息所承載的(de)內(nei)容(rong)的(de)合法性。

安全(quan)（漏(lou)洞）檢(jian)測，指利用計算機技術手段掃描、探(tan)測計算機信息系統安全(quan)漏(lou)洞。

第四十條 本辦法規定的(de)“以(yi)上”含本數。

第四十一條 本辦法規定(ding)的有關表格和證書由省公安廳制(zhi)定(ding)式樣，統一(yi)監制(zhi)。

第四十二條 本辦法由(you)省公安廳(ting)負責解釋。

第四十三條 本(ben)辦(ban)法自2008年12月1日起施行。