廣東省公安廳關于計算機信息系統安全保護的實施辦法

（廣東省公安廳(ting)2008年9月27日(ri)以(yi)粵公通字〔2008〕228號(hao)發布 自(zi)2008年12月1日(ri)起施行）

第一章 總則

第一條 為保護計(ji)算(suan)機(ji)信(xin)息(xi)系統安(an)全(quan)，促進信(xin)息(xi)化建設的健康發展，貫徹落實《廣東省計(ji)算(suan)機(ji)信(xin)息(xi)系統安(an)全(quan)保護條例(li)》，根據有關法(fa)(fa)律法(fa)(fa)規，制定本辦法(fa)(fa)。

第二條 本辦法適用于(yu)廣東省(sheng)行政區(qu)域內(nei)計算機(ji)信息系(xi)統的安(an)全(quan)保護。

第三條 縣級以上人民政(zheng)府公安機(ji)關公共信息(xi)網絡安全監察部門具體負責本行政(zheng)區域內計算機(ji)信息(xi)系統的安全保護監管(guan)工作(zuo)。

第二章 安全監督

第四條 公安機(ji)關(guan)公共(gong)信(xin)(xin)息網(wang)絡安全監(jian)察部門對(dui)計(ji)算(suan)機(ji)信(xin)(xin)息系統安全保護工(gong)作行使下(xia)列職責：

（一）監督、檢查、指導計算(suan)機信息系統安全保護工(gong)作；

（二(er)）組織開展(zhan)計算機信息系統安全等(deng)級保護；

（三）查處(chu)計(ji)算機違法犯(fan)罪案(an)件；

（四）組織處置(zhi)重大(da)計算機信息(xi)系統安全(quan)事故和事件；

（五）負責計算(suan)機病毒和其他有害(hai)數據防治管理；

（六）負責計算(suan)機信息系統安全(quan)服(fu)務的監(jian)督指導；

（七）負責計算機信息系統安全專用產(chan)品(pin)的監督管理；

（八）負責計算(suan)機信(xin)息(xi)系統安全培訓管理；

（九）法(fa)律、法(fa)規和(he)規章規定的其(qi)他職責。

第五條 公(gong)安機關公(gong)共信息(xi)網絡安全監察部門應當對計算機信息(xi)系統落實實體(ti)安全、運(yun)行安全、信息(xi)安全和內容安全措(cuo)施的情(qing)況進行檢查。

對(dui)第(di)三級計(ji)算機信(xin)息系統(tong)每年至少檢(jian)查(cha)一次，對(dui)第(di)四級計(ji)算機信(xin)息系統(tong)每半年至少檢(jian)查(cha)一次。對(dui)第(di)五(wu)級計(ji)算機信(xin)息系統(tong)，應(ying)當會同國家指(zhi)定的專門部(bu)門進行檢(jian)查(cha)。

對(dui)其他(ta)計算(suan)機(ji)信息系(xi)統應當不(bu)定(ding)期開展檢查。

第六條 公(gong)安(an)機(ji)關(guan)公(gong)共信息網絡安(an)全監(jian)察部(bu)門(men)發現計算機(ji)信息系統的安(an)全保護等級和安(an)全措施(shi)不符(fu)合有(you)關(guan)規定和技(ji)術標準，或(huo)者存(cun)在安(an)全隱患的，應當通知運營、使(shi)用單位(wei)進行整改(gai)。

第七條 公(gong)(gong)安(an)機關公(gong)(gong)共信息網絡安(an)全(quan)監察部門(men)應(ying)當(dang)向(xiang)公(gong)(gong)眾提供(gong)報警求助渠道，提供(gong)計算(suan)機信息系(xi)統(tong)安(an)全(quan)指導，發布(bu)安(an)全(quan)動態，開展安(an)全(quan)宣傳。

第三章 安全保護責任

第八條 單位和個人(ren)應(ying)當依照有關法規(gui)、規(gui)章和標準，對其所有、使用和管(guan)理的計(ji)算機信息系統承擔(dan)相應(ying)的安全保護(hu)責任。

第九條 第二級以(yi)上(shang)計算機信(xin)(xin)息系統的運(yun)營(ying)、使用(yong)單(dan)位應當建立安全保(bao)護組(zu)織，并報所在地(di)地(di)級以(yi)上(shang)市(shi)人民政府公安機關(guan)公共信(xin)(xin)息網絡(luo)安全監察部門備案。

第十條 安(an)(an)全(quan)(quan)(quan)保護組織保障本單(dan)位計(ji)(ji)算(suan)機(ji)信(xin)(xin)息(xi)(xi)系(xi)統的安(an)(an)全(quan)(quan)(quan)運(yun)行，組織本單(dan)位計(ji)(ji)算(suan)機(ji)信(xin)(xin)息(xi)(xi)系(xi)統的有(you)害信(xin)(xin)息(xi)(xi)防治工(gong)作，組織開展本單(dan)位計(ji)(ji)算(suan)機(ji)信(xin)(xin)息(xi)(xi)系(xi)統安(an)(an)全(quan)(quan)(quan)教育(yu)和(he)培訓，向公(gong)(gong)安(an)(an)機(ji)關公(gong)(gong)共(gong)(gong)信(xin)(xin)息(xi)(xi)網絡安(an)(an)全(quan)(quan)(quan)監察部門(men)報告(gao)本單(dan)位計(ji)(ji)算(suan)機(ji)信(xin)(xin)息(xi)(xi)系(xi)統運(yun)行、服務(wu)和(he)安(an)(an)全(quan)(quan)(quan)等情況，及(ji)時協(xie)助公(gong)(gong)安(an)(an)機(ji)關公(gong)(gong)共(gong)(gong)信(xin)(xin)息(xi)(xi)網絡安(an)(an)全(quan)(quan)(quan)監察部門(men)查處違法犯罪(zui)和(he)處置(zhi)突發事件(jian)。

第十一條 互(hu)(hu)聯(lian)單(dan)位(wei)、互(hu)(hu)聯(lian)網接入服務(wu)單(dan)位(wei)、互(hu)(hu)聯(lian)網數據(ju)中心應當對接入本網絡(luo)的用戶進行(xing)資格審查，確認符合國家(jia)和省有關規(gui)定(ding)后方可為其提供服務(wu)。

互聯網接(jie)入服務、信息服務單位(wei)以及互聯網數據中(zhong)心應當向用(yong)戶宣傳相關法律法規，提供(gong)必要(yao)的安全(quan)保護措施。

第十二條 個人(ren)主頁、博客、聊天(tian)室、點(dian)對(dui)點(dian)服(fu)(fu)務等互聯網信息服(fu)(fu)務的提供單(dan)位和(he)使用者應(ying)當依照國家(jia)和(he)省有關規定，落實相應(ying)的安(an)全措施(shi)。

第十三條 網吧(ba)、圖書館、學(xue)校、賓館等提供互聯網上網服務的場所應(ying)當安裝符合(he)國家(jia)規(gui)定的安全(quan)管理系統。

第十四條 互(hu)聯單位、互(hu)聯網接入服務單位以及互(hu)聯網數據中心(xin)應當(dang)每(mei)月將(jiang)接入本網絡的用戶情況報地(di)級(ji)以上(shang)市(shi)公安機關公共信(xin)息網絡安全監察部門備案。

第十五條 計算機(ji)信(xin)(xin)息(xi)系統運營、使用(yong)單位應當(dang)接(jie)受公安機(ji)關(guan)(guan)公共信(xin)(xin)息(xi)網絡安全監察(cha)部門(men)的監督、檢查、指導，如實提(ti)供安全保護有關(guan)(guan)信(xin)(xin)息(xi)、資料及數據文件(jian)，不得(de)變(bian)相拒絕、拖延、阻礙公安機(ji)關(guan)(guan)公共信(xin)(xin)息(xi)網絡安全監察(cha)部門(men)依(yi)法執行公務。

第四章 安全專用產品和安全服務

第十六條 安(an)全(quan)專用產(chan)品必須取得公(gong)安(an)部(bu)頒發(fa)的銷售(shou)許可證(zheng)方可銷售(shou)。

第十七條 生(sheng)產、銷(xiao)售或者(zhe)提供含有計(ji)算(suan)機(ji)信(xin)息(xi)網(wang)絡遠程控制(zhi)、密碼猜解、安全（漏(lou)洞）檢測、信(xin)息(xi)群發技術(shu)的(de)(de)產品和工具的(de)(de)，應當在領取營(ying)(ying)業執(zhi)照(zhao)后30日內（沒(mei)有營(ying)(ying)業執(zhi)照(zhao)的(de)(de)，自開辦之日起(qi)30日內）向單位所(suo)在地地級以上市人民政府公安機(ji)關公共信(xin)息(xi)網(wang)絡安全監察部(bu)門備案，填寫《廣東(dong)省計(ji)算(suan)機(ji)信(xin)息(xi)網(wang)絡安全特種技術(shu)備案表》，并提交如下資料：

（一）單位簡況；

（二）營業執照(zhao)（或其他(ta)有(you)效證明）復印件；

（三）研發和服務管(guan)理(li)制度；

（四(si)）主要經營管理人(ren)員(yuan)、技術人(ren)員(yuan)和服(fu)務人(ren)員(yuan)有效證件(jian)復印件(jian)；

（五）主(zhu)要產(chan)品情況。

第十八條 安全(quan)保護等級為第三級以上的計(ji)算機(ji)信息系統(tong)應當(dang)選用符(fu)合下列條(tiao)件(jian)的安全(quan)專用產品：

（一）產(chan)品研制、生產(chan)單位是由(you)中國(guo)公民、法(fa)人(ren)投(tou)資或(huo)(huo)者國(guo)家投(tou)資或(huo)(huo)者控股的，在(zai)中華人(ren)民共和國(guo)境(jing)內具有獨立(li)的法(fa)人(ren)資格；

（二）產品的(de)核(he)心技術(shu)、關(guan)鍵部件具有(you)我國自主知識產權；

（三）產品研制(zhi)、生產單(dan)位及其主要業(ye)務、技術人員無犯罪記錄；

（四）產品研制、生產單(dan)位(wei)聲明沒有故意留有或者設置漏洞、后門(men)、木馬等程序(xu)和功能(neng)；

（五(wu)）對國家安(an)全、社(she)會秩(zhi)序、公(gong)共利益不構成危(wei)害。

第十九條 符合第十八條規定的安(an)全(quan)專(zhuan)用產(chan)品和生(sheng)產(chan)單位應當到(dao)省(sheng)公(gong)安(an)廳公(gong)共(gong)信息網絡安(an)全(quan)監察部門備案。

第二十條 為加強安(an)全(quan)服務機構的(de)指導，推動安(an)全(quan)服務質量和技術水平的(de)提高，廣東省對從事計算機信息系統安(an)全(quan)設計、建設、檢(jian)測、評估等安(an)全(quan)服務的(de)機構，根據其注冊資本、服務業績(ji)、技術力量、組織管理情況實行分級指導。

第五章 安全等級測評

第二十一條 第二級以上的(de)計算機(ji)信息系(xi)統的(de)安全測(ce)(ce)評(ping)(ping)應當選擇符合(he)下列條(tiao)件(jian)的(de)計算機(ji)信息系(xi)統安全等級測(ce)(ce)評(ping)(ping)機(ji)構（簡稱測(ce)(ce)評(ping)(ping)機(ji)構）承擔：

（一(yi)）在中華(hua)人民共和國(guo)境內注冊(ce)(ce)成立（港澳臺(tai)地區除外），具有相應經營(ying)范(fan)圍的(de)營(ying)業(ye)執照，注冊(ce)(ce)資本100萬元以上；

（二）由中國公民投資(zi)、中國法人投資(zi)或者國家(jia)投資(zi)的企(qi)事(shi)業單位（港澳臺地區除(chu)外）；

（三）近3年(nian)完成(cheng)的測(ce)評項目總值150萬元(yuan)以上；

（四）具有計(ji)算機安全或相關專(zhuan)業(ye)資格證書的(de)專(zhuan)業(ye)技術人(ren)(ren)員不少于20人(ren)(ren)，其中(zhong)大學本科以上學歷的(de)人(ren)(ren)員不少于15人(ren)(ren)；

（五）管(guan)理人(ren)員應當具有3年(nian)以上(shang)從(cong)事(shi)計算機(ji)信(xin)息(xi)(xi)系統安全技術領域企業(ye)管(guan)理工(gong)作經歷，技術負責(ze)人(ren)已獲(huo)得計算機(ji)信(xin)息(xi)(xi)系統安全技術相關專業(ye)的高級職(zhi)稱，從(cong)事(shi)安全測評工(gong)作不少于3年(nian)，無犯罪(zui)記錄；

（六）工作人員僅限于中國公民，法人及(ji)主要業(ye)務、技術人員無犯罪記錄(lu)；

（七）具有與所承(cheng)擔項目適(shi)應的技術裝備；

（八）具有完備的保密(mi)管理(li)、項(xiang)目管理(li)、質量(liang)管理(li)、人員管理(li)和培訓(xun)教育(yu)等安全管理(li)制度；

（九）對國家安全、社會秩序(xu)、公共利益不(bu)構成威(wei)脅(xie)。

第二十二條 廣東省對測(ce)評機構實施備案(an)制(zhi)度(du)。符(fu)合第二十一條規定(ding)的(de)條件，承擔第二級以上的(de)計算(suan)機信息系(xi)統測(ce)評工作(zuo)的(de)機構應當到省公(gong)(gong)安廳公(gong)(gong)共(gong)信息網絡安全監察(cha)部門備案(an)。

第二十三條 省(sheng)公(gong)(gong)安廳(ting)公(gong)(gong)共信(xin)息網絡安全監察(cha)部(bu)門對已備案的測(ce)評(ping)機構(gou)進(jin)行公(gong)(gong)布。

第二十四條 測評機構應當履行下列義務(wu)：

（一(yi)）遵守國家有關法律法規和技術標(biao)準，提(ti)供(gong)安全(quan)、客觀、公正的(de)檢測評估服務，保證(zheng)測評的(de)質量和效果；

（二）保守(shou)在(zai)測評活動中知悉的國家秘密(mi)、商業秘密(mi)和個(ge)人(ren)隱私，防范測評風(feng)險；

（三）對(dui)測評人員進行(xing)安全保密教育(yu)，與其簽(qian)訂(ding)安全保密責(ze)任書，規定應(ying)當履行(xing)的(de)安全保密義務和承擔的(de)法(fa)律責(ze)任，并負責(ze)檢查(cha)落實。

第二十五條 第(di)二級以(yi)上的計算機(ji)信息系統(tong)建設完成后，使用(yong)單位應(ying)當委托符合規定的測(ce)評(ping)機(ji)構安全測(ce)評(ping)合格方(fang)可(ke)投入使用(yong)。測(ce)評(ping)活動應(ying)當接受公(gong)安機(ji)關公(gong)共信息網絡安全監察部門的監督。

第二十六條 計算機信息(xi)系統(tong)運(yun)營、使用單(dan)位委托安全(quan)測評機構(gou)測評，應當(dang)提交(jiao)下列資(zi)料：

（一）安全測評(ping)委托書；

（二）計(ji)算機信息系(xi)統(tong)(tong)應用需求、系(xi)統(tong)(tong)結構拓(tuo)撲及說明、系(xi)統(tong)(tong)安全(quan)組織結構和管理制度、安全(quan)保護設(she)施設(she)計(ji)實施方案或者(zhe)改(gai)建實施方案、系(xi)統(tong)(tong)軟(ruan)件(jian)硬件(jian)和信息安全(quan)產(chan)品清單。

第二十七條 安(an)(an)全(quan)測(ce)(ce)(ce)評機構在收到委(wei)托(tuo)材料后(hou)，應當與委(wei)托(tuo)方(fang)協商制訂安(an)(an)全(quan)測(ce)(ce)(ce)評計(ji)劃，開展安(an)(an)全(quan)測(ce)(ce)(ce)評工作，并出(chu)具(ju)安(an)(an)全(quan)測(ce)(ce)(ce)評報告。

經測評，計(ji)算(suan)機(ji)信(xin)息(xi)系(xi)統安全(quan)狀況(kuang)未達到國(guo)家有關(guan)規定(ding)和標準的(de)要求，委托單(dan)位(wei)應當根據測評報告的(de)建議，完(wan)善(shan)計(ji)算(suan)機(ji)信(xin)息(xi)系(xi)統安全(quan)建設，并重新提出安全(quan)測評委托。

測評機構對計(ji)算機信(xin)息系統進行使用前(qian)安(an)(an)全測評，應當(dang)預(yu)先報(bao)告地級(ji)以上(shang)市公安(an)(an)機關公共信(xin)息網絡安(an)(an)全監察部(bu)(bu)門。安(an)(an)全測評報(bao)告由計(ji)算機信(xin)息系統運營(ying)、使用單位報(bao)地級(ji)以上(shang)市公安(an)(an)機關公共信(xin)息網絡安(an)(an)全監察部(bu)(bu)門。

第二十八條 第(di)三級計算機(ji)信息(xi)系統(tong)應(ying)當每(mei)年至少進(jin)行一次安(an)全測評(ping)(ping)，第(di)四級計算機(ji)信息(xi)系統(tong)應(ying)當每(mei)半(ban)年至少進(jin)行一次安(an)全測評(ping)(ping)，第(di)五級計算機(ji)信息(xi)系統(tong)應(ying)當依(yi)據特殊安(an)全要求進(jin)行安(an)全測評(ping)(ping)。

第六章 應急處置

第二十九條 公安(an)機(ji)關公共信(xin)息網(wang)絡(luo)安(an)全(quan)監察部門與(yu)所在地安(an)全(quan)服務(wu)機(ji)構、互聯(lian)網(wang)運(yun)營(ying)單位和其他計(ji)算機(ji)信(xin)息系統(tong)運(yun)營(ying)、使用單位應當建立聯(lian)防機(ji)制，依法及時查處通過計(ji)算機(ji)信(xin)息系統(tong)進行的違法犯罪(zui)行為，組織處置重大突發事件。

第三十條 對計算機信息系(xi)統中發生(sheng)的案件和重(zhong)大(da)安全(quan)事故(gu)，計算機信息系(xi)統的運(yun)營、使用單(dan)位(wei)應當在二十四小(xiao)時內報告縣(xian)級以上人(ren)民(min)政府公安機關(guan)公共信息網絡安全(quan)監察部(bu)門，并保留有關(guan)原(yuan)始記(ji)錄(lu)。

第三十一條 第二(er)級以(yi)上(shang)的計算機信息系(xi)統運營、使用單位應當制(zhi)定重大突(tu)發事件應急處置(zhi)預(yu)案并定期實施演練。

第三十二條 計(ji)算機信息(xi)系(xi)統發生重大突發事(shi)件，有關(guan)單位(wei)應當(dang)按照(zhao)應急處(chu)置(zhi)(zhi)預(yu)案(an)的要(yao)求采取(qu)相(xiang)應的處(chu)置(zhi)(zhi)措施，并服從公安機關(guan)和(he)國家指定的專門部門的調度。

第三十三條 地(di)級市以上(shang)人(ren)民政(zheng)府公安機(ji)關公共信息(xi)網絡(luo)安全監(jian)察部(bu)門經本機(ji)關主管(guan)領導批準(zhun)，為保護計算機(ji)信息(xi)系統(tong)安全，在發生重大突發事件(jian)，危(wei)及國(guo)家(jia)安全、公共安全及社會穩定的緊急情況(kuang)下，可(ke)以采取二十(shi)四小(xiao)時內暫(zan)時停機(ji)、暫(zan)停聯網、備份(fen)數(shu)據(ju)等措施。

第七章 安全培訓

第三十四條 省(sheng)公安(an)(an)廳、人(ren)事廳聯合成(cheng)立的(de)省(sheng)信息網(wang)絡安(an)(an)全(quan)(quan)(quan)專(zhuan)業技(ji)術人(ren)員(yuan)繼(ji)續教育(yu)工(gong)作(zuo)(zuo)領導小組，負責全(quan)(quan)(quan)省(sheng)信息網(wang)絡安(an)(an)全(quan)(quan)(quan)專(zhuan)業技(ji)術人(ren)員(yuan)繼(ji)續教育(yu)工(gong)作(zuo)(zuo)的(de)組織和(he)領導。下(xia)設(she)省(sheng)信息網(wang)絡安(an)(an)全(quan)(quan)(quan)專(zhuan)業技(ji)術人(ren)員(yuan)繼(ji)續教育(yu)工(gong)作(zuo)(zuo)辦公室，具體(ti)負責日(ri)常管(guan)理工(gong)作(zuo)(zuo)。

第三十五條 下列人(ren)員應當參加信(xin)息(xi)網絡安(an)全(quan)(quan)專業(ye)(ye)技(ji)術(shu)(shu)人(ren)員繼(ji)(ji)續教育(yu)，取得省(sheng)信(xin)息(xi)網絡安(an)全(quan)(quan)專業(ye)(ye)技(ji)術(shu)(shu)人(ren)員繼(ji)(ji)續教育(yu)工作辦公室頒發的信(xin)息(xi)網絡安(an)全(quan)(quan)專業(ye)(ye)技(ji)術(shu)(shu)人(ren)員繼(ji)(ji)續教育(yu)合格(ge)證(zheng)書，持證(zheng)上崗：

（一）計(ji)算機信(xin)(xin)息(xi)(xi)系統運營、使(shi)用單位信(xin)(xin)息(xi)(xi)安全(quan)管理責(ze)任(ren)人(ren)、信(xin)(xin)息(xi)(xi)審查(cha)員；

（二）互聯網接入服務(wu)、數據中心服務(wu)、信(xin)息服務(wu)、上(shang)網服務(wu)提供單位安全管(guan)理員(yuan)、專(zhuan)業技術人員(yuan)；

（三）安全(quan)專用產品(pin)生產單位(wei)專業技術人(ren)員；

（四）安全服(fu)務(wu)機構專業技(ji)術人員(yuan)、安全服(fu)務(wu)管理人員(yuan)；

（五）其他從事計算機信息系統安(an)全保護(hu)工作的人員。

第三十六條 信息網絡安全專業(ye)技(ji)術(shu)人(ren)員繼(ji)續教育(yu)由(you)省信息網絡安全專業(ye)技(ji)術(shu)人(ren)員繼(ji)續教育(yu)工作(zuo)辦公室授權的施(shi)(shi)教機構負責實(shi)施(shi)(shi)。施(shi)(shi)教機構實(shi)行統籌規(gui)劃。

第三十七條 信息(xi)網絡安全專業技(ji)術人員繼續教(jiao)育培訓和考試(shi)按(an)照(zhao)有關規(gui)定進行(xing)，實行(xing)統(tong)一(yi)教(jiao)學大綱，統(tong)一(yi)教(jiao)材，統(tong)一(yi)考試(shi)，統(tong)一(yi)發證。

考(kao)試合格(ge)的(de)，由省信息(xi)網(wang)絡安全專業技(ji)術人員繼(ji)續教育工作辦(ban)公室發給信息(xi)網(wang)絡安全專業技(ji)術人員繼(ji)續教育證書。

第八章 法律責任

第三十八條 違反本辦法的規定，依(yi)照有關法律、法規和規章(zhang)處罰(fa)。

第九章 附則

第三十九條 本細則下列用語(yu)的含義(yi)：實(shi)體安全，指保護計(ji)算(suan)機信息系統的環(huan)(huan)境(jing)，計(ji)算(suan)機設(she)備、設(she)施（含網絡）以及(ji)其它媒(mei)體免遭地震、水災、火災、雷電、有害氣(qi)體和其它環(huan)(huan)境(jing)事故（如(ru)電磁污染等）破壞(huai)。

運行安(an)全，指保護計(ji)算機(ji)信息(xi)系統(tong)的信息(xi)處理過程(cheng)順利進行。

信(xin)息安全(quan)，指保(bao)障信(xin)息的完整性(xing)(xing)、保(bao)密性(xing)(xing)、可(ke)用性(xing)(xing)和可(ke)控性(xing)(xing)。

內容安全，指確保(bao)計算機信息(xi)系統中(zhong)傳輸的(de)信息(xi)所承(cheng)載的(de)內容的(de)合法性。

安全（漏洞(dong)）檢(jian)測(ce)，指(zhi)利用計算機技術手段掃(sao)描、探(tan)測(ce)計算機信息系統安全漏洞(dong)。

第四十條 本(ben)辦(ban)法(fa)規定的(de)“以上”含本(ben)數(shu)。

第四十一條 本(ben)辦(ban)法規定(ding)的有關(guan)表格和證書由省(sheng)公(gong)安廳制定(ding)式樣，統(tong)一監制。

第四十二條 本(ben)辦法由省公安廳負責解(jie)釋。

第四十三條 本辦(ban)法(fa)自2008年12月1日(ri)起施(shi)行(xing)。