廣東省公安廳關于計算機信息系統安全保護的實施辦法

（廣東省(sheng)公安廳2008年(nian)9月(yue)27日以粵公通字〔2008〕228號(hao)發布(bu) 自2008年(nian)12月(yue)1日起施行(xing)）

第一章 總則

第一條 為保護計算機(ji)信(xin)息(xi)(xi)系統安全，促進信(xin)息(xi)(xi)化(hua)建(jian)設(she)的健康(kang)發(fa)展(zhan)，貫徹落實《廣東省計算機(ji)信(xin)息(xi)(xi)系統安全保護條例》，根(gen)據有關法律法規，制定本辦法。

第二條 本辦法適用于(yu)廣東省行政(zheng)區域內計算機信息系(xi)統的安全保護。

第三條 縣級以上人(ren)民政府公安(an)機關公共(gong)信息(xi)網絡安(an)全監察部(bu)門具(ju)體負責(ze)本行(xing)政區域內(nei)計(ji)算(suan)機信息(xi)系統的安(an)全保護監管工作。

第二章 安全監督

第四條 公安(an)機(ji)關公共信息網絡安(an)全監(jian)察部門對計算機(ji)信息系統安(an)全保(bao)護工作行使下列(lie)職責：

（一）監督、檢查、指導計算機信息(xi)系統安(an)全(quan)保護工作；

（二）組織開(kai)展計算機信息系統(tong)安全等級保(bao)護；

（三）查處計算機違法犯罪案件；

（四）組織處(chu)置(zhi)重(zhong)大計算機信息系統安全事故(gu)和事件；

（五）負責計(ji)算機病毒和其他有害數(shu)據防治管(guan)理；

（六(liu)）負責(ze)計算機信息系統(tong)安全服務(wu)的(de)監督指導；

（七(qi)）負責計算機(ji)信息(xi)系統安(an)全(quan)專用產(chan)品的(de)監督管(guan)理(li)；

（八）負責計算機信息系統安全培訓管理；

（九）法(fa)律(lv)、法(fa)規(gui)和規(gui)章規(gui)定的其(qi)他職責。

第五條 公(gong)安機關(guan)公(gong)共(gong)信息網絡安全(quan)監(jian)察部門(men)應(ying)當對(dui)計算機信息系統落實(shi)實(shi)體(ti)安全(quan)、運行安全(quan)、信息安全(quan)和內容安全(quan)措施的情況進行檢查。

對(dui)第(di)三級計算機(ji)信(xin)息系統(tong)每(mei)年至少檢查(cha)一次，對(dui)第(di)四級計算機(ji)信(xin)息系統(tong)每(mei)半年至少檢查(cha)一次。對(dui)第(di)五級計算機(ji)信(xin)息系統(tong)，應當會同國家指(zhi)定的專門部門進行檢查(cha)。

對其他計算機信息(xi)系(xi)統(tong)應當不定期(qi)開展檢查(cha)。

第六條 公安(an)機關公共信息(xi)網(wang)絡安(an)全(quan)(quan)監察(cha)部門發現(xian)計算機信息(xi)系統的安(an)全(quan)(quan)保護等級和(he)安(an)全(quan)(quan)措(cuo)施(shi)不符(fu)合有(you)關規定和(he)技術標準，或(huo)者存在安(an)全(quan)(quan)隱(yin)患的，應(ying)當通知運營、使用單位進行整改。

第七條 公(gong)(gong)安(an)(an)(an)機(ji)關公(gong)(gong)共信息(xi)網絡安(an)(an)(an)全(quan)(quan)監察部門(men)應當向公(gong)(gong)眾提供(gong)報警求助(zhu)渠(qu)道，提供(gong)計算機(ji)信息(xi)系統安(an)(an)(an)全(quan)(quan)指導(dao)，發布(bu)安(an)(an)(an)全(quan)(quan)動(dong)態，開展(zhan)安(an)(an)(an)全(quan)(quan)宣傳。

第三章 安全保護責任

第八條 單位和(he)個人應(ying)當依(yi)照有關法(fa)規、規章和(he)標準，對其(qi)所有、使(shi)用(yong)和(he)管理的(de)計算機信息系統承擔相應(ying)的(de)安(an)全保護責任(ren)。

第九條 第(di)二級以上計算機信(xin)息(xi)系統的運(yun)營、使用單(dan)位應當建立安全保護組織(zhi)，并報(bao)所在地地級以上市(shi)人民政府公(gong)安機關公(gong)共信(xin)息(xi)網絡(luo)安全監察部(bu)門備案。

第十條 安(an)全(quan)(quan)保(bao)護(hu)組織保(bao)障本單(dan)位(wei)計(ji)算機信(xin)息(xi)(xi)系(xi)統(tong)(tong)的(de)安(an)全(quan)(quan)運行，組織本單(dan)位(wei)計(ji)算機信(xin)息(xi)(xi)系(xi)統(tong)(tong)的(de)有害(hai)信(xin)息(xi)(xi)防治工作，組織開展本單(dan)位(wei)計(ji)算機信(xin)息(xi)(xi)系(xi)統(tong)(tong)安(an)全(quan)(quan)教(jiao)育和培(pei)訓，向公(gong)安(an)機關公(gong)共(gong)信(xin)息(xi)(xi)網(wang)絡安(an)全(quan)(quan)監察部門報告本單(dan)位(wei)計(ji)算機信(xin)息(xi)(xi)系(xi)統(tong)(tong)運行、服務和安(an)全(quan)(quan)等(deng)情況(kuang)，及時(shi)協(xie)助公(gong)安(an)機關公(gong)共(gong)信(xin)息(xi)(xi)網(wang)絡安(an)全(quan)(quan)監察部門查(cha)處違法犯罪和處置突發事件。

第十一條 互(hu)聯(lian)(lian)單位(wei)、互(hu)聯(lian)(lian)網接(jie)入服(fu)務單位(wei)、互(hu)聯(lian)(lian)網數據中心應當對接(jie)入本(ben)網絡的用戶(hu)進行(xing)資格審查，確(que)認(ren)符合(he)國家和省有關規定后(hou)方可為其提供服(fu)務。

互聯網接入服務、信息(xi)服務單位以及互聯網數(shu)據中心應當向用戶宣傳(chuan)相關(guan)法律法規(gui)，提供(gong)必要的(de)安全(quan)保護(hu)措施。

第十二條 個人主頁、博客、聊(liao)天室、點對點服務等(deng)互聯網信息服務的(de)提供單位和(he)(he)使用者(zhe)應當依(yi)照國家和(he)(he)省有關規定，落實相應的(de)安(an)全措施。

第十三條 網(wang)吧、圖書館、學(xue)校、賓館等提供(gong)互(hu)聯網(wang)上網(wang)服(fu)務的(de)場所應當(dang)安(an)裝符合國家規(gui)定(ding)的(de)安(an)全管(guan)理系統。

第十四條 互聯單位、互聯網接入服務單位以(yi)及互聯網數據中心(xin)應當每月將接入本網絡(luo)的用戶情況報(bao)地(di)級以(yi)上市公安(an)機關(guan)公共信息網絡(luo)安(an)全監察部門(men)備案。

第十五條 計算機(ji)(ji)信(xin)息系統運營、使用單位(wei)應當接受(shou)公(gong)(gong)安(an)機(ji)(ji)關公(gong)(gong)共信(xin)息網絡安(an)全監察部門(men)的監督、檢(jian)查(cha)、指導，如實提供安(an)全保護(hu)有(you)關信(xin)息、資料及數據文件，不得變相拒絕(jue)、拖(tuo)延、阻礙公(gong)(gong)安(an)機(ji)(ji)關公(gong)(gong)共信(xin)息網絡安(an)全監察部門(men)依法執行公(gong)(gong)務(wu)。

第四章 安全專用產品和安全服務

第十六條 安全專用產品必須取得公安部頒發的銷售許(xu)可證方可銷售。

第十七條 生產(chan)、銷(xiao)售或者提供含有(you)計算機信息(xi)(xi)網絡(luo)(luo)遠程控制、密碼(ma)猜解、安(an)全(quan)(quan)（漏洞）檢(jian)測、信息(xi)(xi)群發技術的產(chan)品(pin)和工(gong)具的，應當在領取營業執(zhi)照(zhao)后30日(ri)內(nei)(nei)（沒有(you)營業執(zhi)照(zhao)的，自開辦之(zhi)日(ri)起(qi)30日(ri)內(nei)(nei)）向單(dan)位(wei)所在地地級以上市人民政(zheng)府(fu)公(gong)安(an)機關(guan)公(gong)共信息(xi)(xi)網絡(luo)(luo)安(an)全(quan)(quan)監察部(bu)門備案，填寫(xie)《廣東省計算機信息(xi)(xi)網絡(luo)(luo)安(an)全(quan)(quan)特(te)種技術備案表》，并提交如下資料：

（一）單位簡況；

（二(er)）營業執照（或其他(ta)有(you)效證明）復印件；

（三(san)）研(yan)發和服(fu)務(wu)管理(li)制度(du)；

（四）主要經營管理(li)人(ren)員、技術人(ren)員和服務人(ren)員有效證件復(fu)印件；

（五）主要產品情(qing)況(kuang)。

第十八條 安(an)全保護等級為第三級以(yi)上的計算機信息系統應當選用(yong)符合下列條件(jian)的安(an)全專用(yong)產品：

（一）產(chan)品研制(zhi)、生產(chan)單位是由中(zhong)國(guo)公(gong)民(min)、法(fa)人投(tou)資或者國(guo)家投(tou)資或者控股的(de)，在中(zhong)華(hua)人民(min)共(gong)和國(guo)境內具(ju)有獨立的(de)法(fa)人資格；

（二）產品的核心(xin)技術、關鍵(jian)部件具有我(wo)國自主知(zhi)識(shi)產權；

（三）產品研制、生產單位及其主要(yao)業務、技(ji)術人員無犯罪記(ji)錄(lu)；

（四(si)）產品研制、生產單位聲明沒有故意留有或者設置漏洞、后門、木馬等程序(xu)和(he)功能；

（五）對國(guo)家安(an)全、社會(hui)秩序、公(gong)共利益不構成危害。

第十九條 符合第十八條規定的安全專用產(chan)品和(he)生產(chan)單位應當到省(sheng)公安廳公共信息網(wang)絡安全監察部門備(bei)案(an)。

第二十條 為(wei)加強安(an)全(quan)服(fu)(fu)務機(ji)(ji)構的(de)(de)指導，推動安(an)全(quan)服(fu)(fu)務質量和技術水平的(de)(de)提高(gao)，廣東省對從事計算機(ji)(ji)信息(xi)系(xi)統安(an)全(quan)設計、建設、檢測(ce)、評(ping)估等(deng)安(an)全(quan)服(fu)(fu)務的(de)(de)機(ji)(ji)構，根據其注冊資本(ben)、服(fu)(fu)務業績、技術力量、組織管理情況(kuang)實行分(fen)級(ji)指導。

第五章 安全等級測評

第二十一條 第(di)二級以上的(de)計算機信息(xi)系統的(de)安全測評應當選擇符合下列(lie)條件的(de)計算機信息(xi)系統安全等級測評機構（簡稱測評機構）承擔：

（一）在中(zhong)華人民共和國境內注(zhu)冊成(cheng)立（港澳臺地區除外），具有(you)相應經營范(fan)圍(wei)的營業執照(zhao)，注(zhu)冊資(zi)本(ben)100萬元以上；

（二）由中(zhong)國公民投(tou)資、中(zhong)國法人投(tou)資或者國家投(tou)資的企(qi)事業單(dan)位（港澳臺地區除外）；

（三(san)）近3年完成的(de)測(ce)評(ping)項目(mu)總值150萬元以上(shang)；

（四）具有計算機安全或(huo)相關專業(ye)資格證書的專業(ye)技術人(ren)員不少于(yu)20人(ren)，其中(zhong)大(da)學本(ben)科以上(shang)學歷的人(ren)員不少于(yu)15人(ren)；

（五）管(guan)理人員應當具有(you)3年以上從(cong)事(shi)(shi)計算(suan)機信(xin)息(xi)系統安全(quan)技(ji)(ji)術領域(yu)企業管(guan)理工作經歷，技(ji)(ji)術負責(ze)人已獲(huo)得(de)計算(suan)機信(xin)息(xi)系統安全(quan)技(ji)(ji)術相(xiang)關專業的高級職稱(cheng)，從(cong)事(shi)(shi)安全(quan)測評(ping)工作不少于3年，無(wu)犯罪記錄；

（六）工作人(ren)員(yuan)僅限于中(zhong)國(guo)公民，法(fa)人(ren)及主要(yao)業務、技(ji)術人(ren)員(yuan)無犯罪記錄；

（七）具有(you)與(yu)所承擔項目適(shi)應(ying)的技術裝備；

（八(ba)）具有完備的保密管(guan)理(li)(li)(li)、項(xiang)目(mu)管(guan)理(li)(li)(li)、質量管(guan)理(li)(li)(li)、人員(yuan)管(guan)理(li)(li)(li)和培訓教(jiao)育等(deng)安全管(guan)理(li)(li)(li)制度；

（九）對(dui)國(guo)家安(an)全(quan)、社會秩序、公共(gong)利益(yi)不構成威脅。

第二十二條 廣東省對測評(ping)機(ji)構(gou)實施備案(an)制(zhi)度。符合第(di)二十一條規(gui)定的條件(jian)，承擔第(di)二級以上的計算機(ji)信息(xi)系統(tong)測評(ping)工作的機(ji)構(gou)應當到省公(gong)(gong)安廳公(gong)(gong)共(gong)信息(xi)網絡安全監察部門備案(an)。

第二十三條 省公(gong)安廳公(gong)共信息(xi)網(wang)絡安全監察部門對已備(bei)案的測評(ping)機構進行公(gong)布。

第二十四條 測評機構應(ying)當履行下列(lie)義務：

（一(yi)）遵(zun)守國家有關(guan)法律法規(gui)和技術(shu)標準，提供安(an)全(quan)、客觀、公正的檢測評估服務，保證測評的質量和效果；

（二(er)）保守在測評(ping)活(huo)動中知悉的國家(jia)秘密、商業秘密和個人隱私，防范測評(ping)風險；

（三(san)）對測評人員(yuan)進(jin)行安全保密教育，與其簽訂(ding)安全保密責(ze)任書，規定應(ying)當(dang)履行的安全保密義務和承(cheng)擔的法(fa)律(lv)責(ze)任，并負責(ze)檢查(cha)落(luo)實。

第二十五條 第二級以上(shang)的(de)(de)計算機信息系統(tong)建設(she)完成(cheng)后，使用單(dan)位應(ying)當委托符合規(gui)定的(de)(de)測(ce)評機構安全(quan)測(ce)評合格方可投入使用。測(ce)評活動應(ying)當接(jie)受公安機關公共信息網絡安全(quan)監察(cha)部門的(de)(de)監督(du)。

第二十六條 計算機(ji)信息(xi)系統運營、使用單位委托安全(quan)測評機(ji)構測評，應當(dang)提交下(xia)列資(zi)料：

（一）安全測評委托書(shu)；

（二）計算機信息系統應用需求、系統結構(gou)拓(tuo)撲及說明、系統安(an)全(quan)組織結構(gou)和管理制度(du)、安(an)全(quan)保(bao)護設施(shi)設計實施(shi)方(fang)案或(huo)者(zhe)改建(jian)實施(shi)方(fang)案、系統軟(ruan)件硬件和信息安(an)全(quan)產品(pin)清單。

第二十七條 安(an)全測(ce)(ce)評(ping)(ping)機(ji)構在收到委托材料后，應當與委托方(fang)協商(shang)制訂安(an)全測(ce)(ce)評(ping)(ping)計劃，開展安(an)全測(ce)(ce)評(ping)(ping)工作，并出具(ju)安(an)全測(ce)(ce)評(ping)(ping)報告。

經測評，計算(suan)機(ji)信息(xi)系統(tong)安全狀況未達到國家有(you)關規定和標準的要(yao)求，委托單位應當根據測評報告的建(jian)議，完善計算(suan)機(ji)信息(xi)系統(tong)安全建(jian)設，并重(zhong)新提出安全測評委托。

測(ce)評機(ji)(ji)構對計算(suan)(suan)機(ji)(ji)信息系統進行使用前安(an)全(quan)測(ce)評，應當預先(xian)報告地級(ji)以上(shang)市公安(an)機(ji)(ji)關(guan)(guan)公共信息網絡安(an)全(quan)監察(cha)部門。安(an)全(quan)測(ce)評報告由計算(suan)(suan)機(ji)(ji)信息系統運營、使用單位報地級(ji)以上(shang)市公安(an)機(ji)(ji)關(guan)(guan)公共信息網絡安(an)全(quan)監察(cha)部門。

第二十八條 第三(san)級計算機(ji)(ji)信息系統應當(dang)(dang)每年(nian)至(zhi)少進行一(yi)次安(an)全(quan)測評，第四級計算機(ji)(ji)信息系統應當(dang)(dang)每半年(nian)至(zhi)少進行一(yi)次安(an)全(quan)測評，第五級計算機(ji)(ji)信息系統應當(dang)(dang)依據特(te)殊安(an)全(quan)要(yao)求進行安(an)全(quan)測評。

第六章 應急處置

第二十九條 公(gong)安機(ji)(ji)關公(gong)共信(xin)息(xi)網絡安全監(jian)察部門與所在地(di)安全服務機(ji)(ji)構、互(hu)聯網運營單(dan)位和(he)其他計算(suan)機(ji)(ji)信(xin)息(xi)系統運營、使用單(dan)位應(ying)當建(jian)立聯防機(ji)(ji)制，依法及時(shi)查處通(tong)過計算(suan)機(ji)(ji)信(xin)息(xi)系統進行的違法犯罪(zui)行為，組織處置(zhi)重大突發事件。

第三十條 對計算機(ji)信息(xi)系統中發生的案件和(he)重大安全(quan)事故，計算機(ji)信息(xi)系統的運營、使用單位應當在二十四(si)小時內(nei)報告縣級以(yi)上(shang)人民政府公安機(ji)關公共信息(xi)網(wang)絡安全(quan)監察部門(men)，并保留有關原始記錄。

第三十一條 第二(er)級以上的計(ji)算機信(xin)息系統(tong)運營、使(shi)用單位應(ying)(ying)當制定(ding)重(zhong)大(da)突發事(shi)件應(ying)(ying)急處置預案并定(ding)期實施演練。

第三十二條 計(ji)算機信息系統發(fa)生重大(da)突發(fa)事件，有關單位應(ying)當按照應(ying)急處(chu)置(zhi)預案(an)的(de)要(yao)求采取相應(ying)的(de)處(chu)置(zhi)措施，并服從公安機關和國家指定的(de)專(zhuan)門(men)部門(men)的(de)調(diao)度(du)。

第三十三條 地級(ji)市以(yi)上人民(min)政府公(gong)安機關公(gong)共信息(xi)網(wang)絡(luo)安全(quan)監(jian)察(cha)部門經本機關主管(guan)領導批準，為保護(hu)計(ji)算(suan)機信息(xi)系統安全(quan)，在發(fa)生重大(da)突發(fa)事件，危及國家安全(quan)、公(gong)共安全(quan)及社會穩定的(de)緊急(ji)情(qing)況下，可以(yi)采取二十(shi)四小(xiao)時(shi)內暫(zan)時(shi)停機、暫(zan)停聯網(wang)、備份數據等(deng)措施(shi)。

第七章 安全培訓

第三十四條 省(sheng)公安廳、人(ren)(ren)事廳聯合成立的(de)省(sheng)信(xin)息網(wang)絡(luo)安全(quan)專業技(ji)術(shu)人(ren)(ren)員繼續教(jiao)育(yu)工(gong)作(zuo)領導小組，負責全(quan)省(sheng)信(xin)息網(wang)絡(luo)安全(quan)專業技(ji)術(shu)人(ren)(ren)員繼續教(jiao)育(yu)工(gong)作(zuo)的(de)組織和領導。下(xia)設(she)省(sheng)信(xin)息網(wang)絡(luo)安全(quan)專業技(ji)術(shu)人(ren)(ren)員繼續教(jiao)育(yu)工(gong)作(zuo)辦(ban)公室，具體負責日常管理工(gong)作(zuo)。

第三十五條 下列人(ren)(ren)員應當參加信(xin)息(xi)網(wang)絡安(an)全(quan)專業技(ji)術人(ren)(ren)員繼續教(jiao)育(yu)，取得省信(xin)息(xi)網(wang)絡安(an)全(quan)專業技(ji)術人(ren)(ren)員繼續教(jiao)育(yu)工作(zuo)辦公室頒發的信(xin)息(xi)網(wang)絡安(an)全(quan)專業技(ji)術人(ren)(ren)員繼續教(jiao)育(yu)合格證書，持(chi)證上崗：

（一）計算機(ji)信息(xi)系統運(yun)營、使(shi)用單位信息(xi)安全管理責(ze)任人(ren)、信息(xi)審(shen)查(cha)員；

（二）互聯網接入服務、數據中心服務、信息服務、上網服務提(ti)供單位安全管理(li)員、專業技術人員；

（三）安全專用產品生產單(dan)位專業技術(shu)人員；

（四）安全服(fu)(fu)務機構(gou)專業(ye)技術人員、安全服(fu)(fu)務管(guan)理(li)人員；

（五）其他從事計算機信息系(xi)統安(an)全(quan)保護工(gong)作的(de)人員(yuan)。

第三十六條 信息(xi)網絡(luo)安全專(zhuan)業(ye)技術人(ren)員(yuan)繼(ji)續(xu)教(jiao)育由省(sheng)信息(xi)網絡(luo)安全專(zhuan)業(ye)技術人(ren)員(yuan)繼(ji)續(xu)教(jiao)育工作辦公室(shi)授(shou)權的施(shi)教(jiao)機(ji)構負(fu)責(ze)實施(shi)。施(shi)教(jiao)機(ji)構實行統籌規(gui)劃。

第三十七條 信(xin)息(xi)網絡(luo)安全(quan)專業技術人員(yuan)繼(ji)續教育培訓和考試按照(zhao)有關規定進行(xing)，實行(xing)統(tong)一教學(xue)大綱，統(tong)一教材，統(tong)一考試，統(tong)一發證。

考試(shi)合格的，由省信(xin)息網絡(luo)安全(quan)專業技(ji)術人(ren)員繼續教育工作辦(ban)公(gong)室(shi)發給信(xin)息網絡(luo)安全(quan)專業技(ji)術人(ren)員繼續教育證書。

第八章 法律責任

第三十八條 違反本(ben)辦法的規定，依照(zhao)有(you)關(guan)法律、法規和規章處罰。

第九章 附則

第三十九條 本細(xi)則(ze)下列用語(yu)的含(han)義(yi)：實體安全，指保護計(ji)算機信息系(xi)統的環境(jing)，計(ji)算機設(she)備、設(she)施（含(han)網絡(luo)）以(yi)及其它媒體免遭地震(zhen)、水災、火災、雷電、有害氣體和其它環境(jing)事故(gu)（如(ru)電磁污染(ran)等）破壞(huai)。

運行(xing)安(an)全，指保護計(ji)算(suan)機信息系統的信息處理過程順利進行(xing)。

信(xin)息安全，指保障信(xin)息的完整性(xing)、保密性(xing)、可用(yong)性(xing)和可控性(xing)。

內(nei)容(rong)安全，指確保計算機信息(xi)(xi)系統中(zhong)傳輸(shu)的(de)信息(xi)(xi)所承載的(de)內(nei)容(rong)的(de)合法性(xing)。

安全（漏洞(dong)）檢測，指利用計算機技術手(shou)段(duan)掃描、探測計算機信息系(xi)統安全漏洞(dong)。

第四十條 本(ben)辦法規定的“以上”含本(ben)數(shu)。

第四十一條 本辦法規定(ding)的有關表格和(he)證書由省公安(an)廳制定(ding)式樣(yang)，統一(yi)監制。

第四十二條 本辦法由省公安廳負責解釋。

第四十三條 本辦法自2008年12月(yue)1日(ri)起施行(xing)。