廣東省公安廳關于計算機信息系統安全保護的實施辦法

（廣東省(sheng)公(gong)安(an)廳2008年9月(yue)27日(ri)以粵公(gong)通字〔2008〕228號發布 自2008年12月(yue)1日(ri)起施(shi)行）

第一章 總則

第一條 為(wei)保護計(ji)算機信(xin)息系統(tong)安全，促進(jin)信(xin)息化建(jian)設的健(jian)康發展(zhan)，貫徹落實(shi)《廣東(dong)省計(ji)算機信(xin)息系統(tong)安全保護條例》，根據有關法律(lv)法規，制定本(ben)辦法。

第二條 本辦法適用于廣東省行政區(qu)域(yu)內計算機信息系(xi)統的(de)安全(quan)保(bao)護。

第三條 縣級以上人民政(zheng)府公安(an)機(ji)關(guan)公共信息網絡安(an)全(quan)監察部門(men)具(ju)體負責本(ben)行政(zheng)區域內計(ji)算(suan)機(ji)信息系統的安(an)全(quan)保(bao)護監管工(gong)作(zuo)。

第二章 安全監督

第四條 公安(an)機(ji)關公共信息網絡安(an)全(quan)監察部門(men)對計算(suan)機(ji)信息系統安(an)全(quan)保護(hu)工作行(xing)使(shi)下列職(zhi)責：

（一）監督、檢(jian)查(cha)、指導計算機信息系統(tong)安(an)全保護工作；

（二）組織開展計算機信息系統安全等級保護；

（三）查處計(ji)算機違法犯罪案件；

（四）組織處置重大計算機信(xin)息系統安全(quan)事(shi)故和事(shi)件；

（五）負責計算機(ji)病毒和其他有害(hai)數據(ju)防(fang)治管(guan)理；

（六）負責(ze)計算機信息系統(tong)安全服(fu)務的監督指(zhi)導；

（七(qi)）負責計(ji)算機信息(xi)系統安全(quan)專用產品(pin)的監(jian)督(du)管理；

（八(ba)）負責計算(suan)機信息系統安全培訓管理；

（九）法律、法規(gui)和規(gui)章規(gui)定的其他職責。

第五條 公安(an)(an)機關公共信息(xi)(xi)網絡安(an)(an)全(quan)監察部(bu)門應當對(dui)計算機信息(xi)(xi)系統落(luo)實實體安(an)(an)全(quan)、運行(xing)安(an)(an)全(quan)、信息(xi)(xi)安(an)(an)全(quan)和內容安(an)(an)全(quan)措施(shi)的(de)情況進行(xing)檢查。

對(dui)第三級(ji)計算機信(xin)息(xi)系統(tong)每(mei)年至少檢查(cha)一(yi)次，對(dui)第四級(ji)計算機信(xin)息(xi)系統(tong)每(mei)半(ban)年至少檢查(cha)一(yi)次。對(dui)第五級(ji)計算機信(xin)息(xi)系統(tong)，應當(dang)會同(tong)國家指定的專門(men)部門(men)進行檢查(cha)。

對其他計算機信(xin)息(xi)系統應當不(bu)定期(qi)開展檢(jian)查。

第六條 公安機關(guan)公共信息網絡(luo)安全(quan)監(jian)察部門(men)發現(xian)計算機信息系(xi)統的安全(quan)保護(hu)等級和安全(quan)措施不符合有關(guan)規定和技術(shu)標(biao)準，或者存在安全(quan)隱(yin)患的，應當通知運營(ying)、使用單位進行整改。

第七條 公(gong)安機關(guan)公(gong)共信(xin)息網絡安全(quan)(quan)監察部門應當向(xiang)公(gong)眾(zhong)提(ti)供(gong)(gong)報(bao)警求助渠道(dao)，提(ti)供(gong)(gong)計算機信(xin)息系統安全(quan)(quan)指導，發(fa)布安全(quan)(quan)動態，開展安全(quan)(quan)宣傳。

第三章 安全保護責任

第八條 單位和(he)個人(ren)應當依照有關法規、規章和(he)標準，對其所有、使(shi)用和(he)管理的計算機信(xin)息系(xi)統承擔相應的安全保護(hu)責任(ren)。

第九條 第二(er)級(ji)以(yi)上計算機信息系統的(de)運營、使用單(dan)位應當(dang)建立安全保護組織(zhi)，并報所在(zai)地地級(ji)以(yi)上市人(ren)民政(zheng)府公安機關公共(gong)信息網絡安全監察部門備案。

第十條 安(an)(an)(an)全(quan)(quan)保護組(zu)織保障本單位(wei)計算(suan)機(ji)信(xin)息(xi)系統(tong)(tong)的(de)安(an)(an)(an)全(quan)(quan)運行，組(zu)織本單位(wei)計算(suan)機(ji)信(xin)息(xi)系統(tong)(tong)的(de)有害(hai)信(xin)息(xi)防治(zhi)工作，組(zu)織開展本單位(wei)計算(suan)機(ji)信(xin)息(xi)系統(tong)(tong)安(an)(an)(an)全(quan)(quan)教育和培訓(xun)，向公(gong)安(an)(an)(an)機(ji)關公(gong)共(gong)信(xin)息(xi)網(wang)絡安(an)(an)(an)全(quan)(quan)監察部(bu)門(men)報告本單位(wei)計算(suan)機(ji)信(xin)息(xi)系統(tong)(tong)運行、服務和安(an)(an)(an)全(quan)(quan)等情況(kuang)，及(ji)時協(xie)助公(gong)安(an)(an)(an)機(ji)關公(gong)共(gong)信(xin)息(xi)網(wang)絡安(an)(an)(an)全(quan)(quan)監察部(bu)門(men)查處(chu)違法犯罪和處(chu)置突發(fa)事(shi)件(jian)。

第十一條 互(hu)(hu)聯單(dan)位(wei)、互(hu)(hu)聯網(wang)接(jie)入(ru)服務(wu)單(dan)位(wei)、互(hu)(hu)聯網(wang)數據中心應當對接(jie)入(ru)本網(wang)絡(luo)的用戶(hu)進行資格審查，確認符合國(guo)家和省有關規定(ding)后(hou)方可為其提供服務(wu)。

互(hu)聯(lian)網接入服務、信息服務單(dan)位以及(ji)互(hu)聯(lian)網數據中(zhong)心應當向(xiang)用戶宣傳相(xiang)關法(fa)律法(fa)規，提(ti)供必(bi)要的安全保護措(cuo)施(shi)。

第十二條 個人主頁、博客、聊(liao)天室、點(dian)(dian)對(dui)點(dian)(dian)服務等互(hu)聯(lian)網信息服務的提(ti)供單(dan)位和(he)使用者(zhe)應當依照國(guo)家(jia)和(he)省有(you)關(guan)規(gui)定，落實(shi)相應的安(an)全措施。

第十三條 網(wang)吧、圖書館(guan)、學校、賓(bin)館(guan)等提供(gong)互(hu)聯(lian)網(wang)上網(wang)服(fu)務的場(chang)所應(ying)當安裝符合國家(jia)規(gui)定的安全管理系統(tong)。

第十四條 互(hu)聯單位、互(hu)聯網(wang)接入服(fu)務(wu)單位以及互(hu)聯網(wang)數據中心應當每月將接入本網(wang)絡的用(yong)戶情況報地(di)級以上(shang)市(shi)公(gong)(gong)安機關(guan)公(gong)(gong)共信息網(wang)絡安全監察(cha)部(bu)門備(bei)案。

第十五條 計(ji)算機(ji)信(xin)息系統運營、使用(yong)單位應(ying)當接受公(gong)(gong)安機(ji)關公(gong)(gong)共(gong)信(xin)息網絡安全監察部(bu)門(men)的監督、檢查、指(zhi)導(dao)，如實提供安全保護有關信(xin)息、資料(liao)及數據文件，不得(de)變相拒(ju)絕、拖(tuo)延、阻礙公(gong)(gong)安機(ji)關公(gong)(gong)共(gong)信(xin)息網絡安全監察部(bu)門(men)依法(fa)執行公(gong)(gong)務。

第四章 安全專用產品和安全服務

第十六條 安全(quan)專用產品必須取得公安部頒發的銷(xiao)售許可(ke)證方可(ke)銷(xiao)售。

第十七條 生(sheng)產、銷售或(huo)者提供含有計(ji)(ji)算機信息網(wang)絡遠程控(kong)制(zhi)、密碼(ma)猜(cai)解、安(an)(an)全(quan)（漏(lou)洞）檢測、信息群發技術(shu)的(de)產品和工(gong)具的(de)，應當在(zai)(zai)領(ling)取營業(ye)(ye)執(zhi)照后30日(ri)(ri)內（沒有營業(ye)(ye)執(zhi)照的(de)，自開辦之日(ri)(ri)起(qi)30日(ri)(ri)內）向單位所(suo)在(zai)(zai)地地級以上市人民政府(fu)公安(an)(an)機關公共(gong)信息網(wang)絡安(an)(an)全(quan)監察部門備案，填寫《廣東省計(ji)(ji)算機信息網(wang)絡安(an)(an)全(quan)特種技術(shu)備案表》，并提交如(ru)下資料：

（一）單位簡況；

（二(er)）營業執(zhi)照（或(huo)其他有效(xiao)證明）復印件；

（三）研(yan)發和(he)服務管理制度(du)；

（四(si)）主要經營管理人(ren)員(yuan)、技術人(ren)員(yuan)和(he)服(fu)務人(ren)員(yuan)有效證(zheng)件(jian)復(fu)印件(jian)；

（五）主要產品情況。

第十八條 安全保護(hu)等(deng)級為第三級以上的(de)計算(suan)機信(xin)息(xi)系(xi)統應當選(xuan)用符合下列條件(jian)的(de)安全專用產(chan)品：

（一）產(chan)品研制、生(sheng)產(chan)單位是由中國公民(min)、法人(ren)投資(zi)或者國家投資(zi)或者控(kong)股的(de)，在中華人(ren)民(min)共和國境內具(ju)有獨立的(de)法人(ren)資(zi)格；

（二）產品的核(he)心(xin)技術、關鍵(jian)部件具有我國自主知識產權(quan)；

（三）產品研制、生產單位及其主要業務(wu)、技術人員無犯罪記錄；

（四）產(chan)品(pin)研(yan)制、生產(chan)單(dan)位聲明沒有(you)故意留有(you)或(huo)者設置漏洞、后門、木馬等程序和功能；

（五）對國家安全(quan)、社會(hui)秩序(xu)、公共利益不構成危害。

第十九條 符合第十八條規定(ding)的安全專用產品和(he)生(sheng)產單(dan)位應當到省公(gong)(gong)安廳(ting)公(gong)(gong)共信(xin)息網絡安全監(jian)察部(bu)門備案(an)。

第二十條 為(wei)加(jia)強安全服(fu)務(wu)(wu)機(ji)構的指導(dao)，推動安全服(fu)務(wu)(wu)質量(liang)和技術水平的提高，廣(guang)東省對(dui)從(cong)事計算機(ji)信(xin)息系統(tong)安全設(she)計、建(jian)設(she)、檢測、評估等安全服(fu)務(wu)(wu)的機(ji)構，根據(ju)其注冊資本(ben)、服(fu)務(wu)(wu)業績、技術力量(liang)、組織管理情況(kuang)實(shi)行分級指導(dao)。

第五章 安全等級測評

第二十一條 第二級(ji)(ji)以(yi)上的計算機(ji)信息系(xi)統的安全測評應當選擇符合下列條件的計算機(ji)信息系(xi)統安全等級(ji)(ji)測評機(ji)構(gou)（簡稱測評機(ji)構(gou)）承(cheng)擔：

（一）在中華人(ren)民共(gong)和國境內(nei)注(zhu)冊(ce)成立(li)（港澳臺地區(qu)除(chu)外），具有(you)相應經營范(fan)圍(wei)的營業執照，注(zhu)冊(ce)資本100萬元以上；

（二(er)）由中(zhong)國公民投(tou)資、中(zhong)國法(fa)人投(tou)資或者國家投(tou)資的企事(shi)業單位（港澳臺地區除外(wai)）；

（三）近3年完成的測(ce)評項目總值150萬(wan)元以上；

（四(si)）具(ju)有計(ji)算機安全或相關(guan)專業(ye)資(zi)格證書的專業(ye)技術人員不(bu)少(shao)于(yu)20人，其中大學本科以(yi)上學歷的人員不(bu)少(shao)于(yu)15人；

（五）管(guan)理(li)人員應當具有3年以上(shang)從事計算(suan)機信息(xi)系(xi)統安全(quan)技術(shu)領域企業(ye)管(guan)理(li)工作經歷，技術(shu)負責人已獲得計算(suan)機信息(xi)系(xi)統安全(quan)技術(shu)相關專業(ye)的高(gao)級職稱(cheng)，從事安全(quan)測評工作不少于3年，無(wu)犯罪記錄；

（六）工作人員僅(jin)限于(yu)中國公民，法人及主要(yao)業務、技術人員無(wu)犯罪記(ji)錄；

（七）具有(you)與所(suo)承擔項目(mu)適應(ying)的技術裝備(bei)；

（八）具有(you)完備的保(bao)密管(guan)(guan)理(li)、項(xiang)目管(guan)(guan)理(li)、質量管(guan)(guan)理(li)、人員管(guan)(guan)理(li)和(he)培訓教育等安(an)全管(guan)(guan)理(li)制(zhi)度(du)；

（九）對國家安全、社會秩序、公共(gong)利益不構成威脅。

第二十二條 廣東省對(dui)測評機構實施備(bei)案制度(du)。符合第二十一條規(gui)定的(de)(de)條件，承擔第二級以(yi)上的(de)(de)計算機信息系統測評工(gong)作(zuo)的(de)(de)機構應(ying)當(dang)到省公(gong)安廳(ting)公(gong)共信息網(wang)絡安全監察部(bu)門備(bei)案。

第二十三條 省公安廳公共信息(xi)網絡(luo)安全監察(cha)部門(men)對(dui)已(yi)備案(an)的測評(ping)機構進行公布。

第二十四條 測(ce)評(ping)機構應(ying)當(dang)履行下列義(yi)務：

（一）遵守國(guo)家有關法(fa)律法(fa)規(gui)和技術(shu)標(biao)準，提(ti)供安全、客觀、公正(zheng)的(de)檢測(ce)評(ping)估服務，保證測(ce)評(ping)的(de)質量(liang)和效果；

（二）保守在測(ce)評(ping)活動(dong)中知悉的國家(jia)秘密(mi)、商業秘密(mi)和個人隱私，防范測(ce)評(ping)風(feng)險；

（三）對(dui)測評人員進(jin)行安(an)(an)全保密教育，與其簽(qian)訂安(an)(an)全保密責任書，規(gui)定應當履行的(de)安(an)(an)全保密義(yi)務和承擔的(de)法(fa)律責任，并負責檢查落實(shi)。

第二十五條 第二級以上的(de)計算機(ji)信(xin)息系統建設完成后，使用(yong)單位(wei)應(ying)當(dang)委(wei)托符合規(gui)定的(de)測評機(ji)構安全測評合格方(fang)可投入使用(yong)。測評活動應(ying)當(dang)接(jie)受公安機(ji)關(guan)公共(gong)信(xin)息網絡安全監察部門的(de)監督。

第二十六條 計(ji)算機(ji)信息系統運營、使用單位委托安(an)全測評機(ji)構測評，應當提交下列資料：

（一(yi)）安全測評委托書；

（二）計算機(ji)信(xin)息(xi)系統(tong)應用需(xu)求、系統(tong)結(jie)構拓撲及說明、系統(tong)安(an)(an)全組織(zhi)結(jie)構和(he)管理制度、安(an)(an)全保護(hu)設施(shi)設計實施(shi)方案或者改(gai)建實施(shi)方案、系統(tong)軟(ruan)件(jian)硬件(jian)和(he)信(xin)息(xi)安(an)(an)全產(chan)品清單。

第二十七條 安全(quan)測(ce)評機構(gou)在(zai)收到(dao)委托材料后，應當與(yu)委托方協商制訂安全(quan)測(ce)評計(ji)劃，開展安全(quan)測(ce)評工(gong)作，并出具安全(quan)測(ce)評報告。

經測(ce)評，計算機信息系統(tong)安全狀況未達到(dao)國(guo)家有關規(gui)定和標準的要求(qiu)，委托單位(wei)應當根據測(ce)評報(bao)告的建(jian)議，完善計算機信息系統(tong)安全建(jian)設，并重新提出安全測(ce)評委托。

測評機構對計算機信(xin)(xin)息系統(tong)進行使用(yong)(yong)前安(an)全(quan)(quan)測評，應當(dang)預(yu)先報告(gao)地(di)級以上市公(gong)(gong)安(an)機關公(gong)(gong)共(gong)信(xin)(xin)息網絡安(an)全(quan)(quan)監(jian)察部(bu)門。安(an)全(quan)(quan)測評報告(gao)由(you)計算機信(xin)(xin)息系統(tong)運營、使用(yong)(yong)單位(wei)報地(di)級以上市公(gong)(gong)安(an)機關公(gong)(gong)共(gong)信(xin)(xin)息網絡安(an)全(quan)(quan)監(jian)察部(bu)門。

第二十八條 第(di)(di)(di)三級計(ji)算(suan)機(ji)信(xin)息系統應(ying)當每年(nian)至(zhi)少(shao)進行一(yi)次安(an)全(quan)(quan)測(ce)(ce)評(ping)(ping)，第(di)(di)(di)四級計(ji)算(suan)機(ji)信(xin)息系統應(ying)當每半年(nian)至(zhi)少(shao)進行一(yi)次安(an)全(quan)(quan)測(ce)(ce)評(ping)(ping)，第(di)(di)(di)五級計(ji)算(suan)機(ji)信(xin)息系統應(ying)當依據特(te)殊安(an)全(quan)(quan)要求進行安(an)全(quan)(quan)測(ce)(ce)評(ping)(ping)。

第六章 應急處置

第二十九條 公安機(ji)(ji)(ji)關公共信(xin)息(xi)網(wang)(wang)絡(luo)安全監察部門與所在(zai)地安全服務機(ji)(ji)(ji)構、互聯(lian)網(wang)(wang)運(yun)營(ying)單(dan)位和(he)其他計(ji)算(suan)機(ji)(ji)(ji)信(xin)息(xi)系統運(yun)營(ying)、使用單(dan)位應(ying)當建立(li)聯(lian)防(fang)機(ji)(ji)(ji)制，依法及(ji)時查處(chu)通(tong)過計(ji)算(suan)機(ji)(ji)(ji)信(xin)息(xi)系統進行的違法犯罪行為(wei)，組織處(chu)置(zhi)重大突發(fa)事件。

第三十條 對計(ji)算(suan)機(ji)(ji)信(xin)息系統(tong)中發生(sheng)的(de)(de)案(an)件和重大安全事故，計(ji)算(suan)機(ji)(ji)信(xin)息系統(tong)的(de)(de)運營、使(shi)用單位應當在二十四(si)小時內(nei)報(bao)告(gao)縣級以上(shang)人民政府公安機(ji)(ji)關公共信(xin)息網絡安全監察部門，并保(bao)留有關原始記(ji)錄(lu)。

第三十一條 第(di)二(er)級(ji)以(yi)上(shang)的(de)計算機信息系統運營(ying)、使用單(dan)位應當(dang)制定重大突發事件應急處置預案并定期(qi)實施演練。

第三十二條 計(ji)算(suan)機(ji)(ji)信息系統發生重(zhong)大突發事件，有關(guan)單位應當按照(zhao)應急(ji)處置預案的要求采(cai)取相應的處置措(cuo)施，并(bing)服從公安機(ji)(ji)關(guan)和國家指定的專門(men)部門(men)的調度。

第三十三條 地級市以上人民(min)政(zheng)府公(gong)安(an)機關公(gong)共信(xin)息網絡安(an)全(quan)(quan)監察(cha)部門經本機關主管領(ling)導批(pi)準，為保護(hu)計算機信(xin)息系統安(an)全(quan)(quan)，在發生重(zhong)大突發事件，危及(ji)國(guo)家安(an)全(quan)(quan)、公(gong)共安(an)全(quan)(quan)及(ji)社(she)會穩定(ding)的緊急(ji)情況下(xia)，可以采取二十四(si)小時內暫時停機、暫停聯網、備份數據等(deng)措施。

第七章 安全培訓

第三十四條 省公安廳、人事廳聯合成立的省信息網絡(luo)安全(quan)專業(ye)技術人員繼(ji)續(xu)教育(yu)工作(zuo)領(ling)導小組，負(fu)責全(quan)省信息網絡(luo)安全(quan)專業(ye)技術人員繼(ji)續(xu)教育(yu)工作(zuo)的組織和領(ling)導。下設省信息網絡(luo)安全(quan)專業(ye)技術人員繼(ji)續(xu)教育(yu)工作(zuo)辦公室，具體負(fu)責日常管理工作(zuo)。

第三十五條 下列(lie)人(ren)員(yuan)應(ying)當參加信息網絡(luo)(luo)安全專(zhuan)業技(ji)術(shu)人(ren)員(yuan)繼續(xu)教育(yu)，取得省(sheng)信息網絡(luo)(luo)安全專(zhuan)業技(ji)術(shu)人(ren)員(yuan)繼續(xu)教育(yu)工(gong)作(zuo)辦公室頒發的信息網絡(luo)(luo)安全專(zhuan)業技(ji)術(shu)人(ren)員(yuan)繼續(xu)教育(yu)合格證書，持證上崗：

（一(yi)）計算機信息系統(tong)運營、使用單位信息安全管理責任人、信息審查員(yuan)；

（二）互聯網(wang)(wang)接入(ru)服(fu)(fu)務(wu)、數據中(zhong)心(xin)服(fu)(fu)務(wu)、信息服(fu)(fu)務(wu)、上網(wang)(wang)服(fu)(fu)務(wu)提供單位安(an)全管理員(yuan)、專業技術人(ren)員(yuan)；

（三）安(an)全專(zhuan)用產品生產單位專(zhuan)業技術人員；

（四）安全服務機構(gou)專業技術(shu)人員、安全服務管理人員；

（五）其他從事計算機信息系統安全保護工作的人員。

第三十六條 信(xin)息網絡(luo)安(an)全專業技術人(ren)員(yuan)繼續教(jiao)(jiao)育由省(sheng)信(xin)息網絡(luo)安(an)全專業技術人(ren)員(yuan)繼續教(jiao)(jiao)育工作(zuo)辦公室授(shou)權的施教(jiao)(jiao)機(ji)(ji)構負責(ze)實施。施教(jiao)(jiao)機(ji)(ji)構實行統(tong)籌規劃。

第三十七條 信息(xi)網絡安(an)全(quan)專業技術(shu)人員繼(ji)續(xu)教育培(pei)訓和(he)考試按照(zhao)有關規定進行(xing)，實行(xing)統(tong)一教學(xue)大綱，統(tong)一教材，統(tong)一考試，統(tong)一發(fa)證。

考試合(he)格(ge)的，由(you)省信(xin)息網絡(luo)安全(quan)專業(ye)技(ji)術人員繼續(xu)教育工作辦公室(shi)發給(gei)信(xin)息網絡(luo)安全(quan)專業(ye)技(ji)術人員繼續(xu)教育證(zheng)書。

第八章 法律責任

第三十八條 違(wei)反本辦法的(de)規定，依(yi)照有關法律、法規和規章處罰。

第九章 附則

第三十九條 本細則下(xia)列用(yong)語的含(han)義：實體安全(quan)，指保護計算(suan)機信(xin)息系統的環境，計算(suan)機設備、設施（含(han)網絡）以及其它媒體免遭地(di)震(zhen)、水災、火災、雷電、有(you)害氣體和(he)其它環境事故（如(ru)電磁(ci)污染等）破(po)壞(huai)。

運行(xing)(xing)安全，指(zhi)保護計算機(ji)信息系統的信息處理(li)過程順利進(jin)行(xing)(xing)。

信息安全(quan)，指(zhi)保障信息的完整性、保密性、可用(yong)性和(he)可控性。

內容安(an)全(quan)，指確(que)保計算機信息(xi)系統中傳輸的信息(xi)所承載(zai)的內容的合法性。

安(an)全(quan)（漏洞(dong)）檢測，指(zhi)利用計算機技術(shu)手段掃描、探測計算機信息(xi)系統(tong)安(an)全(quan)漏洞(dong)。

第四十條 本(ben)辦(ban)法(fa)規定的(de)“以上”含本(ben)數。

第四十一條 本辦(ban)法規定的(de)有關表格和證(zheng)書由省公安廳制定式樣(yang)，統一監制。

第四十二條 本辦(ban)法由省公安廳負責(ze)解釋。

第四十三條 本辦(ban)法自2008年(nian)12月(yue)1日起施行。