廣東省公安廳關于計算機信息系統安全保護的實施辦法

（廣東省(sheng)公安廳2008年9月(yue)27日以粵公通(tong)字〔2008〕228號(hao)發布 自2008年12月(yue)1日起施行）

第一章 總則

第一條 為保護計算(suan)機信息系(xi)(xi)統安(an)全，促進信息化建設的健康發(fa)展，貫徹落實《廣(guang)東(dong)省計算(suan)機信息系(xi)(xi)統安(an)全保護條例》，根據有關法(fa)律法(fa)規，制定本(ben)辦(ban)法(fa)。

第二條 本辦法適用于(yu)廣(guang)東(dong)省(sheng)行政區域內計(ji)算機信息系統的安全保護(hu)。

第三條 縣級(ji)以上人(ren)民政府公(gong)(gong)安(an)機關公(gong)(gong)共信息(xi)網絡安(an)全監察部門具(ju)體負責本行(xing)政區域(yu)內(nei)計算機信息(xi)系統的安(an)全保護監管工(gong)作。

第二章 安全監督

第四條 公安(an)機關公共信(xin)息網絡安(an)全監察(cha)部門(men)對計算(suan)機信(xin)息系(xi)統安(an)全保護工作行使下列(lie)職責：

（一）監督、檢查、指導計(ji)算機(ji)信息系統安全保護工作；

（二）組織(zhi)開(kai)展計算機信息系(xi)統安全(quan)等(deng)級保護；

（三(san)）查處計(ji)算機違法犯罪案(an)件(jian)；

（四(si)）組(zu)織處置重大計算機信息系統(tong)安(an)全事故(gu)和事件；

（五）負責計算機病毒和(he)其他有害數據防治(zhi)管理；

（六）負責計算機(ji)信息(xi)系(xi)統安全服務的監督指導；

（七）負責計算機信息系統安全專用產品的(de)監督管理；

（八）負責計算機信息系統安全(quan)培訓管(guan)理(li)；

（九）法律、法規(gui)和規(gui)章規(gui)定(ding)的其他職責。

第五條 公安(an)機關公共(gong)信(xin)息(xi)(xi)網絡安(an)全(quan)監察部門應當對計算機信(xin)息(xi)(xi)系統落實實體安(an)全(quan)、運行(xing)安(an)全(quan)、信(xin)息(xi)(xi)安(an)全(quan)和內容(rong)安(an)全(quan)措施的情況進行(xing)檢查。

對第三級計算機(ji)信(xin)息系統(tong)每年(nian)至少檢(jian)(jian)(jian)查(cha)一次，對第四級計算機(ji)信(xin)息系統(tong)每半年(nian)至少檢(jian)(jian)(jian)查(cha)一次。對第五(wu)級計算機(ji)信(xin)息系統(tong)，應當(dang)會同國家指定(ding)的(de)專門(men)(men)部門(men)(men)進行檢(jian)(jian)(jian)查(cha)。

對(dui)其他計算機信息系統應當不定期開展檢查。

第六條 公(gong)安(an)(an)(an)機關公(gong)共(gong)信(xin)息網絡(luo)安(an)(an)(an)全(quan)監察部門發(fa)現(xian)計算機信(xin)息系統的安(an)(an)(an)全(quan)保護(hu)等(deng)級和安(an)(an)(an)全(quan)措施不符合有關規定和技術標準，或者存在安(an)(an)(an)全(quan)隱患的，應當通知運營、使用單位進行(xing)整改。

第七條 公安(an)(an)機關公共(gong)信(xin)息網(wang)絡安(an)(an)全監察部門應當向公眾提(ti)供報(bao)警求助渠道(dao)，提(ti)供計算機信(xin)息系統安(an)(an)全指導，發布安(an)(an)全動態，開展(zhan)安(an)(an)全宣傳。

第三章 安全保護責任

第八條 單位和個人(ren)應(ying)當依照有關法(fa)規(gui)、規(gui)章和標準，對其所有、使用和管理(li)的(de)(de)計算機信(xin)息系統承擔相應(ying)的(de)(de)安(an)全(quan)保(bao)護責(ze)任。

第九條 第二級以上計算(suan)機信息系統的運營(ying)、使用單位(wei)應當建立安(an)全保(bao)護組織，并(bing)報所在地(di)地(di)級以上市人民政府(fu)公安(an)機關公共(gong)信息網絡安(an)全監察(cha)部門備(bei)案(an)。

第十條 安全保(bao)護組織保(bao)障(zhang)本單位(wei)(wei)計(ji)算機(ji)信(xin)(xin)息(xi)系統的安全運行，組織本單位(wei)(wei)計(ji)算機(ji)信(xin)(xin)息(xi)系統的有害信(xin)(xin)息(xi)防治工作(zuo)，組織開展本單位(wei)(wei)計(ji)算機(ji)信(xin)(xin)息(xi)系統安全教育和培訓，向公安機(ji)關(guan)公共信(xin)(xin)息(xi)網絡(luo)(luo)安全監(jian)(jian)察(cha)部門報告本單位(wei)(wei)計(ji)算機(ji)信(xin)(xin)息(xi)系統運行、服務和安全等情況(kuang)，及(ji)時協助公安機(ji)關(guan)公共信(xin)(xin)息(xi)網絡(luo)(luo)安全監(jian)(jian)察(cha)部門查處違(wei)法(fa)犯罪和處置突發事件。

第十一條 互(hu)聯(lian)單位、互(hu)聯(lian)網(wang)接入服務單位、互(hu)聯(lian)網(wang)數據(ju)中(zhong)心(xin)應當對接入本網(wang)絡的用戶(hu)進(jin)行資格(ge)審查(cha)，確(que)認符合國家和省有關規(gui)定后方可為其提供服務。

互聯網接入服務、信息服務單位以及互聯網數據中(zhong)心應當(dang)向用戶宣傳相關法(fa)(fa)律(lv)法(fa)(fa)規，提供必要的(de)安全保護措施。

第十二條 個人主(zhu)頁(ye)、博客、聊天室、點(dian)對點(dian)服務(wu)等互(hu)聯(lian)網信息服務(wu)的提供單位和使(shi)用者應當依照國家和省有關規定，落實相應的安全措施。

第十三條 網吧(ba)、圖書(shu)館(guan)、學校(xiao)、賓(bin)館(guan)等(deng)提(ti)供(gong)互聯網上網服務的場所應(ying)當安(an)裝符合國(guo)家規定的安(an)全管理系統。

第十四條 互(hu)(hu)(hu)聯單(dan)位、互(hu)(hu)(hu)聯網(wang)接入服務單(dan)位以(yi)及互(hu)(hu)(hu)聯網(wang)數據中心應當每月將接入本網(wang)絡(luo)的用(yong)戶情況報(bao)地級以(yi)上(shang)市公安機關公共信(xin)息網(wang)絡(luo)安全監察部門備案。

第十五條 計(ji)算機信息系統運營、使(shi)用單(dan)位應當接受公安(an)(an)機關(guan)(guan)公共信息網絡安(an)(an)全(quan)監(jian)察(cha)部(bu)(bu)門(men)的監(jian)督(du)、檢查、指導，如(ru)實提(ti)供安(an)(an)全(quan)保護(hu)有(you)關(guan)(guan)信息、資料及數據(ju)文件，不(bu)得變相(xiang)拒絕、拖延、阻礙公安(an)(an)機關(guan)(guan)公共信息網絡安(an)(an)全(quan)監(jian)察(cha)部(bu)(bu)門(men)依(yi)法(fa)執行公務。

第四章 安全專用產品和安全服務

第十六條 安全專用(yong)產品必須取得公安部頒發的銷(xiao)(xiao)售許可(ke)證方可(ke)銷(xiao)(xiao)售。

第十七條 生(sheng)產(chan)、銷售或(huo)者提供含有計算機信息(xi)網絡遠程控制、密碼猜解、安(an)全（漏洞(dong)）檢測、信息(xi)群發技術(shu)的(de)(de)(de)產(chan)品和工具的(de)(de)(de)，應當(dang)在(zai)領取營業執照后30日內(nei)（沒有營業執照的(de)(de)(de)，自開辦之(zhi)日起(qi)30日內(nei)）向單位所在(zai)地(di)地(di)級以上市人民政府公安(an)機關(guan)公共信息(xi)網絡安(an)全監察(cha)部(bu)門備(bei)案，填寫(xie)《廣(guang)東(dong)省計算機信息(xi)網絡安(an)全特種技術(shu)備(bei)案表》，并提交如下(xia)資料：

（一）單位簡況；

（二）營業執(zhi)照（或其他有(you)效證明）復印件；

（三）研發和(he)服務管理制度；

（四）主要經營管理人(ren)員、技術人(ren)員和(he)服務人(ren)員有效證(zheng)件復(fu)印件；

（五）主要產(chan)品情況(kuang)。

第十八條 安全保(bao)護等級(ji)為第(di)三級(ji)以上的(de)計算機信息系統應當選用符(fu)合(he)下(xia)列(lie)條(tiao)件的(de)安全專用產品(pin)：

（一(yi)）產(chan)品研(yan)制、生產(chan)單位是(shi)由中(zhong)國公民(min)(min)、法人投資(zi)或者(zhe)國家投資(zi)或者(zhe)控股的，在中(zhong)華人民(min)(min)共和(he)國境內具(ju)有獨立(li)的法人資(zi)格；

（二）產品的核(he)心技術(shu)、關鍵部件具有我國自主知識產權；

（三(san)）產品研制、生產單位及其主要業務、技術人(ren)員無犯罪記錄；

（四）產品研制、生產單位聲(sheng)明(ming)沒有故意(yi)留有或者(zhe)設(she)置漏洞(dong)、后門、木馬等程(cheng)序和功能；

（五(wu)）對(dui)國家安全、社會秩序、公共利益(yi)不構成危害。

第十九條 符合第十八條規定(ding)的安全專用產品和生產單位應當到省公安廳(ting)公共信息網絡安全監察部(bu)門備案。

第二十條 為加強(qiang)安(an)全(quan)服(fu)務(wu)(wu)機構的指(zhi)導(dao)，推動安(an)全(quan)服(fu)務(wu)(wu)質量和技術水平的提高，廣東省對從事計(ji)(ji)算機信息系統(tong)安(an)全(quan)設計(ji)(ji)、建設、檢測、評估等(deng)安(an)全(quan)服(fu)務(wu)(wu)的機構，根據其注冊資本、服(fu)務(wu)(wu)業績、技術力量、組織管理情況(kuang)實行分級(ji)指(zhi)導(dao)。

第五章 安全等級測評

第二十一條 第二級(ji)以上的計算(suan)機(ji)(ji)信息系(xi)統(tong)的安全測(ce)評應當選擇符合下列(lie)條件的計算(suan)機(ji)(ji)信息系(xi)統(tong)安全等(deng)級(ji)測(ce)評機(ji)(ji)構(gou)（簡稱測(ce)評機(ji)(ji)構(gou)）承擔：

（一）在中華人(ren)民共(gong)和國境內注(zhu)冊成立（港澳(ao)臺地區除(chu)外），具有(you)相應經營范圍的營業(ye)執照，注(zhu)冊資本100萬(wan)元以上；

（二(er)）由中國(guo)公民投資(zi)、中國(guo)法人投資(zi)或者國(guo)家投資(zi)的企事業單位（港澳臺(tai)地區除外）；

（三）近3年完成的(de)測評項目總值150萬元以上；

（四）具(ju)有計算機安全或相關專業(ye)資格(ge)證(zheng)書的專業(ye)技術(shu)人(ren)員不少于20人(ren)，其中(zhong)大學本科以上(shang)學歷的人(ren)員不少于15人(ren)；

（五(wu)）管理人員應當具有(you)3年以上從(cong)事(shi)計(ji)算(suan)機信息(xi)系統安全(quan)(quan)技術領(ling)域企業(ye)管理工作經歷，技術負責人已(yi)獲得計(ji)算(suan)機信息(xi)系統安全(quan)(quan)技術相關專業(ye)的高級職(zhi)稱，從(cong)事(shi)安全(quan)(quan)測評工作不(bu)少(shao)于3年，無犯罪記錄；

（六）工作人(ren)員(yuan)僅限于中國(guo)公民，法人(ren)及主要業務、技術人(ren)員(yuan)無犯罪記錄(lu)；

（七）具(ju)有與所承(cheng)擔項目適(shi)應的技術裝備；

（八）具有完(wan)備的保密管(guan)理、項目管(guan)理、質量管(guan)理、人員管(guan)理和(he)培訓教育等安全管(guan)理制度；

（九）對國家安全、社會(hui)秩序(xu)、公共利益不構成威脅。

第二十二條 廣東省對測評機(ji)(ji)構實施備案制度。符合第二十一條規(gui)定的條件，承擔(dan)第二級(ji)以上(shang)的計算(suan)機(ji)(ji)信(xin)息系統測評工作的機(ji)(ji)構應當到省公(gong)安(an)廳公(gong)共(gong)信(xin)息網絡(luo)安(an)全監察部門備案。

第二十三條 省公(gong)安(an)廳公(gong)共信息網絡(luo)安(an)全(quan)監察部門對已備案(an)的測評機構(gou)進(jin)行公(gong)布(bu)。

第二十四條 測評機構應當履行下列義務：

（一）遵守(shou)國家有關法(fa)律法(fa)規和技術(shu)標準，提供安全、客觀、公正的檢測(ce)(ce)評估服(fu)務，保證測(ce)(ce)評的質量和效果(guo)；

（二(er)）保守在測評活動中(zhong)知悉的國家秘(mi)密、商業秘(mi)密和個人隱私，防(fang)范測評風險；

（三）對測評人(ren)員(yuan)進行(xing)安全保密(mi)教育，與其簽訂安全保密(mi)責(ze)(ze)任書，規定應當履行(xing)的安全保密(mi)義(yi)務和(he)承擔的法(fa)律責(ze)(ze)任，并負責(ze)(ze)檢查落實(shi)。

第二十五條 第二級以上(shang)的(de)(de)計算機信(xin)息(xi)系統建設完成后，使(shi)(shi)用單(dan)位應當委托符合規定的(de)(de)測(ce)評(ping)機構安(an)全測(ce)評(ping)合格方可投入(ru)使(shi)(shi)用。測(ce)評(ping)活(huo)動應當接受(shou)公(gong)安(an)機關公(gong)共(gong)信(xin)息(xi)網絡(luo)安(an)全監察(cha)部門的(de)(de)監督。

第二十六條 計(ji)算機信息系統運營(ying)、使用(yong)單位委托安全測評機構測評，應(ying)當提交下列(lie)資料：

（一）安全測評委(wei)托書(shu)；

（二）計算機信息系統(tong)應用需求、系統(tong)結構拓撲及說(shuo)明、系統(tong)安全組織結構和管理(li)制(zhi)度、安全保護(hu)設施(shi)設計實施(shi)方案或者(zhe)改建實施(shi)方案、系統(tong)軟件硬件和信息安全產品清單。

第二十七條 安全(quan)測評機(ji)構在(zai)收到委(wei)托材料后，應當(dang)與委(wei)托方協商制訂(ding)安全(quan)測評計劃，開展安全(quan)測評工(gong)作，并出具安全(quan)測評報告。

經測評，計算(suan)機(ji)信息系統安(an)全(quan)狀況未(wei)達到(dao)國家有(you)關規定和(he)標準的要求(qiu)，委托(tuo)單位(wei)應當根據測評報告(gao)的建(jian)議，完善計算(suan)機(ji)信息系統安(an)全(quan)建(jian)設，并重新提出安(an)全(quan)測評委托(tuo)。

測(ce)評機(ji)構對計(ji)算(suan)(suan)機(ji)信(xin)息(xi)系(xi)統進行(xing)使用前安全測(ce)評，應當預先報告(gao)地(di)(di)級(ji)以上市公(gong)安機(ji)關(guan)公(gong)共(gong)(gong)信(xin)息(xi)網(wang)絡(luo)安全監察部門。安全測(ce)評報告(gao)由計(ji)算(suan)(suan)機(ji)信(xin)息(xi)系(xi)統運營、使用單位報地(di)(di)級(ji)以上市公(gong)安機(ji)關(guan)公(gong)共(gong)(gong)信(xin)息(xi)網(wang)絡(luo)安全監察部門。

第二十八條 第(di)三級(ji)(ji)計算(suan)機信(xin)息系統應當每年(nian)至少(shao)(shao)進行一(yi)次(ci)安(an)(an)全(quan)測評(ping)，第(di)四級(ji)(ji)計算(suan)機信(xin)息系統應當每半年(nian)至少(shao)(shao)進行一(yi)次(ci)安(an)(an)全(quan)測評(ping)，第(di)五(wu)級(ji)(ji)計算(suan)機信(xin)息系統應當依(yi)據特殊安(an)(an)全(quan)要求進行安(an)(an)全(quan)測評(ping)。

第六章 應急處置

第二十九條 公安(an)機(ji)關公共信息(xi)網絡安(an)全監察部門與所(suo)在地(di)安(an)全服務機(ji)構(gou)、互聯(lian)網運(yun)營單位(wei)和其他計算(suan)機(ji)信息(xi)系(xi)(xi)統運(yun)營、使(shi)用單位(wei)應(ying)當建立(li)聯(lian)防(fang)機(ji)制(zhi)，依法及時查(cha)處通過計算(suan)機(ji)信息(xi)系(xi)(xi)統進(jin)行的(de)違法犯罪行為，組織處置重大突發事(shi)件。

第三十條 對計算(suan)機(ji)信息(xi)系統中發(fa)生的案件(jian)和(he)重大安全事故，計算(suan)機(ji)信息(xi)系統的運營、使用單位(wei)應當在二十(shi)四小時內報告縣級以上人民政府公安機(ji)關(guan)公共信息(xi)網絡安全監(jian)察部門，并保留(liu)有關(guan)原始(shi)記錄。

第三十一條 第二級以上的計算(suan)機信息系統運營、使(shi)用單(dan)位應(ying)當制定重大突發事件應(ying)急處(chu)置預案(an)并(bing)定期實施演練。

第三十二條 計(ji)算機信息系統發(fa)(fa)生(sheng)重(zhong)大(da)突(tu)發(fa)(fa)事件，有關單(dan)位應當按照(zhao)應急處(chu)置預案的(de)要求采取相應的(de)處(chu)置措施(shi)，并(bing)服(fu)從公安機關和國家指定的(de)專門(men)部門(men)的(de)調度。

第三十三條 地級市以上人(ren)民(min)政(zheng)府公安(an)(an)機(ji)關公共信(xin)息(xi)網絡安(an)(an)全(quan)監察部門經本機(ji)關主(zhu)管領導(dao)批(pi)準，為保(bao)護計算機(ji)信(xin)息(xi)系(xi)統安(an)(an)全(quan)，在(zai)發生重大突發事件，危(wei)及(ji)國(guo)家安(an)(an)全(quan)、公共安(an)(an)全(quan)及(ji)社會(hui)穩定的緊急情況下，可以采(cai)取二十四小時內暫時停(ting)機(ji)、暫停(ting)聯網、備份數據等措(cuo)施(shi)。

第七章 安全培訓

第三十四條 省(sheng)公安廳、人(ren)事廳聯合(he)成立的(de)省(sheng)信息(xi)網絡(luo)安全專業技(ji)術人(ren)員繼(ji)(ji)續教(jiao)育(yu)工作領導(dao)小組，負責全省(sheng)信息(xi)網絡(luo)安全專業技(ji)術人(ren)員繼(ji)(ji)續教(jiao)育(yu)工作的(de)組織和領導(dao)。下設省(sheng)信息(xi)網絡(luo)安全專業技(ji)術人(ren)員繼(ji)(ji)續教(jiao)育(yu)工作辦公室，具體負責日常管理工作。

第三十五條 下(xia)列人(ren)員(yuan)(yuan)(yuan)應當參加信息網(wang)絡(luo)(luo)安(an)全專業技術人(ren)員(yuan)(yuan)(yuan)繼(ji)續(xu)教(jiao)育，取(qu)得省信息網(wang)絡(luo)(luo)安(an)全專業技術人(ren)員(yuan)(yuan)(yuan)繼(ji)續(xu)教(jiao)育工作辦(ban)公室(shi)頒(ban)發的(de)信息網(wang)絡(luo)(luo)安(an)全專業技術人(ren)員(yuan)(yuan)(yuan)繼(ji)續(xu)教(jiao)育合格證書，持證上崗：

（一(yi)）計算機信(xin)息系統運(yun)營、使用單位(wei)信(xin)息安全管(guan)理責(ze)任人、信(xin)息審查員(yuan)；

（二）互聯網(wang)(wang)接(jie)入服(fu)(fu)務(wu)、數據(ju)中心(xin)服(fu)(fu)務(wu)、信(xin)息服(fu)(fu)務(wu)、上網(wang)(wang)服(fu)(fu)務(wu)提(ti)供單位(wei)安全(quan)管(guan)理員、專業技術人員；

（三）安全專(zhuan)用產(chan)(chan)品生產(chan)(chan)單位專(zhuan)業技術人(ren)員；

（四）安全服(fu)務機(ji)構專業技(ji)術(shu)人員(yuan)、安全服(fu)務管理(li)人員(yuan)；

（五）其他從事計算機信息系統安(an)全保(bao)護工作的人員(yuan)。

第三十六條 信息(xi)(xi)網絡(luo)安(an)全專(zhuan)業(ye)技術人員繼續教(jiao)育由省信息(xi)(xi)網絡(luo)安(an)全專(zhuan)業(ye)技術人員繼續教(jiao)育工作辦公室授權的(de)施(shi)(shi)教(jiao)機構負責(ze)實施(shi)(shi)。施(shi)(shi)教(jiao)機構實行統(tong)籌規劃。

第三十七條 信息網絡(luo)安全專業技術人(ren)員(yuan)繼續(xu)教育培訓和考(kao)試(shi)按照有關規定進行，實行統(tong)一教學(xue)大綱，統(tong)一教材，統(tong)一考(kao)試(shi)，統(tong)一發證。

考試合格的，由省信息網絡(luo)安(an)全(quan)專(zhuan)業(ye)技術人員繼(ji)(ji)續(xu)教(jiao)育工作辦公室發(fa)給(gei)信息網絡(luo)安(an)全(quan)專(zhuan)業(ye)技術人員繼(ji)(ji)續(xu)教(jiao)育證書(shu)。

第八章 法律責任

第三十八條 違(wei)反本辦法的規定，依照有關(guan)法律、法規和規章處罰。

第九章 附則

第三十九條 本細則下列用語的(de)含(han)義(yi)：實體(ti)安全，指(zhi)保護(hu)計算機信息系統的(de)環境，計算機設(she)備、設(she)施（含(han)網(wang)絡）以及其(qi)它(ta)媒體(ti)免遭地震、水災(zai)、火災(zai)、雷電(dian)、有害氣體(ti)和其(qi)它(ta)環境事故（如電(dian)磁污染(ran)等(deng)）破壞。

運(yun)行安全，指保護計算機(ji)信息系統(tong)的信息處理(li)過程順利進行。

信息安全，指保(bao)(bao)障(zhang)信息的完整性、保(bao)(bao)密性、可(ke)用性和可(ke)控性。

內(nei)容(rong)安全，指(zhi)確(que)保計算機(ji)信息系統中(zhong)傳(chuan)輸的(de)信息所承載的(de)內(nei)容(rong)的(de)合法性。

安全（漏(lou)洞）檢測(ce)，指利用(yong)計(ji)算機(ji)技術手段掃描(miao)、探(tan)測(ce)計(ji)算機(ji)信息系統安全漏(lou)洞。

第四十條 本(ben)辦(ban)法規定(ding)的“以上(shang)”含本(ben)數。

第四十一條 本辦法規(gui)定的有關表格和證書(shu)由(you)省公安廳制定式樣，統一(yi)監(jian)制。

第四十二條 本辦法由省公安廳(ting)負責(ze)解(jie)釋。

第四十三條 本(ben)辦法自2008年12月1日起施行(xing)。