廣東省公安廳關于計算機信息系統安全保護的實施辦法

（廣東省(sheng)公安廳2008年(nian)9月27日以粵公通字〔2008〕228號發布 自2008年(nian)12月1日起施行）

第一章 總則

第一條 為保(bao)護(hu)計算(suan)機信息系統安全，促進信息化建設的健(jian)康發展，貫徹落實《廣東省計算(suan)機信息系統安全保(bao)護(hu)條例》，根據有(you)關法(fa)(fa)律法(fa)(fa)規，制定本辦法(fa)(fa)。

第二條 本辦法適用(yong)于(yu)廣東省行(xing)政區域內計算機信息(xi)系(xi)統的安全保護。

第三條 縣級以上(shang)人民政(zheng)府公(gong)安機關公(gong)共信息(xi)網絡安全監察部(bu)門(men)具體(ti)負(fu)責本行政(zheng)區域(yu)內計(ji)算機信息(xi)系統的安全保護監管(guan)工作。

第二章 安全監督

第四條 公(gong)(gong)安(an)機(ji)關公(gong)(gong)共信息網(wang)絡(luo)安(an)全監察部門對計算機(ji)信息系統安(an)全保(bao)護工作行使下列職責：

（一）監督(du)、檢查、指導計算機信息系(xi)統安全保護工(gong)作；

（二）組織開展計算機信(xin)息系統安全等(deng)級保護；

（三）查處計算機違(wei)法犯罪案(an)件；

（四）組織處置重大計算(suan)機(ji)信(xin)息系統安全事故和事件；

（五(wu)）負(fu)責(ze)計算機(ji)病毒和(he)其(qi)他有害數據防治管理(li)；

（六）負責(ze)計算機信息系統(tong)安全(quan)服務(wu)的監督指導；

（七(qi)）負責(ze)計算(suan)機(ji)信(xin)息系統安全(quan)專用產品(pin)的監(jian)督管理；

（八(ba)）負責計算機信(xin)息系統安全培訓管(guan)理；

（九）法(fa)律、法(fa)規(gui)和規(gui)章規(gui)定的其(qi)他(ta)職責。

第五條 公(gong)安(an)(an)機(ji)關公(gong)共信息(xi)網(wang)絡(luo)安(an)(an)全(quan)監察部門應(ying)當對(dui)計算機(ji)信息(xi)系統落(luo)實實體安(an)(an)全(quan)、運行(xing)安(an)(an)全(quan)、信息(xi)安(an)(an)全(quan)和內(nei)容安(an)(an)全(quan)措施(shi)的(de)情況(kuang)進行(xing)檢查。

對第(di)三(san)級計(ji)算機(ji)信息(xi)系統(tong)每年至少檢(jian)查一次，對第(di)四級計(ji)算機(ji)信息(xi)系統(tong)每半年至少檢(jian)查一次。對第(di)五級計(ji)算機(ji)信息(xi)系統(tong)，應當會同(tong)國(guo)家指定的專門部門進(jin)行檢(jian)查。

對其他計算(suan)機信息系(xi)統(tong)應當不定期開展檢查。

第六條 公(gong)安(an)機關(guan)公(gong)共信息網絡安(an)全(quan)監(jian)察部門發現計算機信息系(xi)統的安(an)全(quan)保護等級(ji)和安(an)全(quan)措(cuo)施不符(fu)合(he)有(you)關(guan)規定和技術標(biao)準，或(huo)者存在(zai)安(an)全(quan)隱患(huan)的，應當通知運營、使用單(dan)位進行整改(gai)。

第七條 公安(an)機關公共信(xin)息(xi)網(wang)絡安(an)全監(jian)察部(bu)門應當向公眾提供(gong)報警求助渠(qu)道，提供(gong)計算機信(xin)息(xi)系統安(an)全指(zhi)導，發布安(an)全動態，開展安(an)全宣傳。

第三章 安全保護責任

第八條 單位(wei)和個(ge)人應當(dang)依照有(you)關法規、規章和標準，對其所有(you)、使用和管理的計算機信息(xi)系統承(cheng)擔相應的安全保護(hu)責(ze)任。

第九條 第二級(ji)以上(shang)計算機(ji)信息(xi)系統的運營、使用單位應當建立安全保(bao)護組(zu)織，并報所在地(di)地(di)級(ji)以上(shang)市(shi)人(ren)民(min)政(zheng)府公安機(ji)關(guan)公共信息(xi)網絡安全監察部門備案。

第十條 安(an)(an)(an)全(quan)(quan)(quan)(quan)保護(hu)組(zu)織(zhi)保障本(ben)單(dan)位計(ji)算(suan)機(ji)信(xin)息系(xi)統(tong)的(de)安(an)(an)(an)全(quan)(quan)(quan)(quan)運行(xing)，組(zu)織(zhi)本(ben)單(dan)位計(ji)算(suan)機(ji)信(xin)息系(xi)統(tong)的(de)有(you)害(hai)信(xin)息防治工作，組(zu)織(zhi)開展本(ben)單(dan)位計(ji)算(suan)機(ji)信(xin)息系(xi)統(tong)安(an)(an)(an)全(quan)(quan)(quan)(quan)教育和培訓(xun)，向(xiang)公安(an)(an)(an)機(ji)關公共信(xin)息網絡安(an)(an)(an)全(quan)(quan)(quan)(quan)監察部(bu)門報(bao)告(gao)本(ben)單(dan)位計(ji)算(suan)機(ji)信(xin)息系(xi)統(tong)運行(xing)、服務和安(an)(an)(an)全(quan)(quan)(quan)(quan)等(deng)情況，及時(shi)協助公安(an)(an)(an)機(ji)關公共信(xin)息網絡安(an)(an)(an)全(quan)(quan)(quan)(quan)監察部(bu)門查處違(wei)法犯罪(zui)和處置突發事件。

第十一條 互(hu)聯單位、互(hu)聯網(wang)(wang)接入服務單位、互(hu)聯網(wang)(wang)數據(ju)中心(xin)應(ying)當對接入本(ben)網(wang)(wang)絡(luo)的用(yong)戶進行資格審查，確認(ren)符合(he)國家和省有關(guan)規定(ding)后(hou)方可為其提供服務。

互聯(lian)(lian)網(wang)接(jie)入服務、信(xin)息服務單(dan)位以及(ji)互聯(lian)(lian)網(wang)數據(ju)中心應(ying)當向(xiang)用戶(hu)宣傳相關(guan)法律法規，提(ti)供必要(yao)的安全保護(hu)措施。

第十二條 個人主頁(ye)、博客(ke)、聊(liao)天(tian)室、點對點服務等(deng)互聯網信息服務的提(ti)供(gong)單(dan)位(wei)和使用者應(ying)當依(yi)照國家和省有(you)關規定，落實(shi)相應(ying)的安(an)全(quan)措(cuo)施。

第十三條 網吧、圖書(shu)館(guan)、學校(xiao)、賓館(guan)等提供(gong)互聯網上網服務的(de)場所應當(dang)安裝(zhuang)符合國(guo)家規定的(de)安全管(guan)理系統(tong)。

第十四條 互(hu)聯單(dan)位、互(hu)聯網接入(ru)服務(wu)單(dan)位以及(ji)互(hu)聯網數(shu)據中心應當每月(yue)將(jiang)接入(ru)本網絡的用(yong)戶(hu)情況報地級以上市公(gong)安機關公(gong)共信息網絡安全監(jian)察部門備案。

第十五條 計算機信息系(xi)統運營、使用單位應當接受公安(an)機關(guan)(guan)公共信息網(wang)絡安(an)全(quan)監察(cha)部門(men)的監督(du)、檢(jian)查、指導，如實提供(gong)安(an)全(quan)保(bao)護有關(guan)(guan)信息、資(zi)料及數據(ju)文件，不(bu)得變相拒絕、拖延、阻礙公安(an)機關(guan)(guan)公共信息網(wang)絡安(an)全(quan)監察(cha)部門(men)依(yi)法執行公務(wu)。

第四章 安全專用產品和安全服務

第十六條 安(an)全專用產品(pin)必須取得(de)公安(an)部(bu)頒發的銷(xiao)售(shou)許可證方可銷(xiao)售(shou)。

第十七條 生產(chan)、銷售或(huo)者提供(gong)含有(you)計(ji)算機信息網(wang)絡遠程控制、密碼(ma)猜解、安(an)全(quan)（漏(lou)洞(dong)）檢測(ce)、信息群發(fa)技術的(de)產(chan)品和工具的(de)，應(ying)當在領取營(ying)(ying)業(ye)執(zhi)照(zhao)后30日內（沒(mei)有(you)營(ying)(ying)業(ye)執(zhi)照(zhao)的(de)，自開辦之日起30日內）向單(dan)位所在地(di)地(di)級(ji)以(yi)上市人民政府(fu)公(gong)安(an)機關(guan)公(gong)共信息網(wang)絡安(an)全(quan)監察部門備案，填寫《廣(guang)東省計(ji)算機信息網(wang)絡安(an)全(quan)特(te)種技術備案表(biao)》，并(bing)提交如下資料：

（一）單位簡況；

（二）營業執(zhi)照(zhao)（或其他(ta)有效證明）復印件；

（三）研(yan)發和服務管理(li)制度；

（四）主要經(jing)營管(guan)理(li)人(ren)員(yuan)、技術人(ren)員(yuan)和服務人(ren)員(yuan)有(you)效證件復(fu)印件；

（五）主要產品情(qing)況。

第十八條 安(an)(an)全保護等級為第三級以上的計算機信息(xi)系統應當選用符合下列(lie)條件的安(an)(an)全專(zhuan)用產品：

（一）產品(pin)研制、生(sheng)產單位是由中(zhong)國(guo)公民、法(fa)人投資或者國(guo)家投資或者控股的，在中(zhong)華人民共和國(guo)境(jing)內具有獨立的法(fa)人資格；

（二）產品的(de)核心技(ji)術、關鍵部件(jian)具有我國(guo)自主知識產權；

（三）產品研制(zhi)、生產單位(wei)及(ji)其主要業務、技術(shu)人(ren)員(yuan)無犯罪記錄；

（四）產(chan)品研(yan)制、生產(chan)單位聲明(ming)沒有故意留(liu)有或者設(she)置漏洞(dong)、后門、木馬等程序和功能；

（五）對(dui)國(guo)家安全、社會秩序(xu)、公共(gong)利益(yi)不構成(cheng)危害。

第十九條 符合第十八條(tiao)規定的(de)安(an)全(quan)(quan)專(zhuan)用產品和生產單位(wei)應當到省公(gong)安(an)廳公(gong)共信息網絡安(an)全(quan)(quan)監察部門(men)備案。

第二十條 為加強安全(quan)服(fu)務機構的指(zhi)(zhi)導(dao)，推動(dong)安全(quan)服(fu)務質量和技(ji)術(shu)水平的提高，廣(guang)東省對從事計算(suan)機信息系統安全(quan)設計、建(jian)設、檢測、評估(gu)等安全(quan)服(fu)務的機構，根據其(qi)注冊(ce)資本、服(fu)務業績、技(ji)術(shu)力量、組織(zhi)管理情況實(shi)行分級指(zhi)(zhi)導(dao)。

第五章 安全等級測評

第二十一條 第二(er)級以上的計算(suan)機(ji)(ji)信息(xi)系(xi)統(tong)的安全測評應當選擇符合(he)下列(lie)條件(jian)的計算(suan)機(ji)(ji)信息(xi)系(xi)統(tong)安全等級測評機(ji)(ji)構（簡稱測評機(ji)(ji)構）承擔(dan)：

（一）在(zai)中(zhong)華人民共和(he)國境內(nei)注冊成立（港澳臺地區除外），具有相應(ying)經(jing)營(ying)范圍的營(ying)業執(zhi)照，注冊資本100萬元以上；

（二）由中(zhong)國公民投(tou)資、中(zhong)國法人投(tou)資或者國家投(tou)資的企事(shi)業單位（港澳臺地(di)區除外）；

（三）近3年完成的測評項目總值150萬元以(yi)上；

（四）具有(you)計算機安(an)全或相關專業(ye)資格(ge)證書的專業(ye)技術人(ren)員不(bu)少于(yu)20人(ren)，其(qi)中大學(xue)本科以(yi)上學(xue)歷的人(ren)員不(bu)少于(yu)15人(ren)；

（五(wu)）管理人員應當(dang)具(ju)有(you)3年以上(shang)從(cong)事計算機(ji)信息(xi)系統安(an)全(quan)技術領域企業管理工作經歷，技術負責人已獲(huo)得計算機(ji)信息(xi)系統安(an)全(quan)技術相關專業的高(gao)級職稱，從(cong)事安(an)全(quan)測評工作不少于3年，無犯罪記錄；

（六）工(gong)作人員(yuan)僅(jin)限于(yu)中國公民，法(fa)人及主要業(ye)務、技術人員(yuan)無犯罪(zui)記錄；

（七）具有與所承擔(dan)項目適(shi)應的技術裝備；

（八）具(ju)有完備的保密管(guan)理(li)、項目管(guan)理(li)、質量管(guan)理(li)、人員管(guan)理(li)和培訓教育等安全管(guan)理(li)制度；

（九）對國家安(an)全(quan)、社會(hui)秩(zhi)序、公共利益不構成(cheng)威(wei)脅(xie)。

第二十二條 廣東(dong)省(sheng)對測評(ping)機(ji)構(gou)實(shi)施(shi)備案(an)制度(du)。符合第(di)二十一條規定的(de)條件，承擔第(di)二級以上的(de)計算機(ji)信息(xi)系統測評(ping)工作的(de)機(ji)構(gou)應當到省(sheng)公安廳公共信息(xi)網絡安全(quan)監察部門備案(an)。

第二十三條 省(sheng)公(gong)安(an)廳公(gong)共信(xin)息網絡安(an)全監察部(bu)門(men)對已備案的(de)測評機構進(jin)行(xing)公(gong)布。

第二十四條 測(ce)評機構應當履(lv)行下列義務：

（一）遵守國家(jia)有關(guan)法(fa)(fa)律法(fa)(fa)規和(he)技術標準，提供安全、客觀、公正的檢測評估服(fu)務，保證測評的質量(liang)和(he)效果；

（二(er)）保守在測評活動中(zhong)知悉的國(guo)家秘密、商業秘密和個人隱私，防范(fan)測評風(feng)險；

（三）對測評人員進行安(an)全(quan)保(bao)密教育(yu)，與其簽(qian)訂安(an)全(quan)保(bao)密責(ze)任書，規定應當履行的安(an)全(quan)保(bao)密義務和承擔的法(fa)律責(ze)任，并負(fu)責(ze)檢查落實。

第二十五條 第二級以上的(de)(de)計算機(ji)信息系統建設(she)完(wan)成后，使(shi)用單(dan)位應當委托(tuo)符合規定的(de)(de)測評(ping)機(ji)構安全(quan)測評(ping)合格方可投入使(shi)用。測評(ping)活(huo)動應當接受公安機(ji)關公共(gong)信息網絡安全(quan)監察部門的(de)(de)監督。

第二十六條 計(ji)算機(ji)信息(xi)系統運營、使(shi)用單位委(wei)托安全測評機(ji)構測評，應當提交下列資(zi)料：

（一）安(an)全測評委托書；

（二）計算機(ji)信息系統應用需求、系統結(jie)構(gou)(gou)拓撲及說明、系統安全(quan)組織結(jie)構(gou)(gou)和管理制度(du)、安全(quan)保護(hu)設施(shi)設計實施(shi)方(fang)案(an)或(huo)者改(gai)建實施(shi)方(fang)案(an)、系統軟件硬件和信息安全(quan)產(chan)品清(qing)單。

第二十七條 安(an)全(quan)測(ce)評(ping)機構在收到委(wei)托(tuo)材料后(hou)，應當(dang)與委(wei)托(tuo)方協商制訂安(an)全(quan)測(ce)評(ping)計劃(hua)，開(kai)展(zhan)安(an)全(quan)測(ce)評(ping)工作，并出具安(an)全(quan)測(ce)評(ping)報告。

經測(ce)評，計算機(ji)信息系統(tong)安(an)全狀況未(wei)達(da)到國(guo)家有關規定(ding)和(he)標準的要求，委托單(dan)位(wei)應當根(gen)據測(ce)評報(bao)告的建(jian)議，完善計算機(ji)信息系統(tong)安(an)全建(jian)設，并重新提出安(an)全測(ce)評委托。

測評機(ji)構對計(ji)算機(ji)信(xin)(xin)息(xi)(xi)(xi)系統進行使(shi)(shi)用前安全(quan)測評，應當預(yu)先報(bao)告地級以上市(shi)公(gong)(gong)安機(ji)關公(gong)(gong)共信(xin)(xin)息(xi)(xi)(xi)網絡安全(quan)監(jian)察部(bu)門。安全(quan)測評報(bao)告由計(ji)算機(ji)信(xin)(xin)息(xi)(xi)(xi)系統運營、使(shi)(shi)用單位報(bao)地級以上市(shi)公(gong)(gong)安機(ji)關公(gong)(gong)共信(xin)(xin)息(xi)(xi)(xi)網絡安全(quan)監(jian)察部(bu)門。

第二十八條 第三(san)級(ji)(ji)計算(suan)(suan)機信(xin)息系(xi)統應(ying)當(dang)每年至(zhi)少進行(xing)一次安(an)全測(ce)評，第四級(ji)(ji)計算(suan)(suan)機信(xin)息系(xi)統應(ying)當(dang)每半年至(zhi)少進行(xing)一次安(an)全測(ce)評，第五級(ji)(ji)計算(suan)(suan)機信(xin)息系(xi)統應(ying)當(dang)依(yi)據特殊安(an)全要求進行(xing)安(an)全測(ce)評。

第六章 應急處置

第二十九條 公(gong)安機關公(gong)共信息(xi)網絡(luo)安全監察部門與所在(zai)地安全服務機構、互(hu)聯網運營單(dan)位(wei)和其他計算(suan)機信息(xi)系(xi)(xi)統(tong)運營、使用(yong)單(dan)位(wei)應當建立聯防機制，依法及時查處(chu)通過計算(suan)機信息(xi)系(xi)(xi)統(tong)進行的違法犯罪行為，組織處(chu)置(zhi)重大突發事件。

第三十條 對(dui)計算機信息(xi)系統中(zhong)發生的(de)案件和(he)重大安(an)全(quan)事故，計算機信息(xi)系統的(de)運營、使用單位應(ying)當在二十四小時內(nei)報告縣級以(yi)上人民(min)政府公(gong)安(an)機關公(gong)共信息(xi)網(wang)絡安(an)全(quan)監察(cha)部門，并(bing)保留有關原始記錄。

第三十一條 第二級以上的計算機信息系統(tong)運營、使用單位(wei)應當制(zhi)定重大(da)突發事(shi)件應急(ji)處(chu)置(zhi)預案并定期實施(shi)演練(lian)。

第三十二條 計算機信息系(xi)統(tong)發生重(zhong)大突發事件，有關(guan)單位應(ying)當按(an)照應(ying)急處置預(yu)案的(de)要求(qiu)采取相應(ying)的(de)處置措施(shi)，并服從公安機關(guan)和國家指定的(de)專門部門的(de)調(diao)度。

第三十三條 地級市(shi)以上人民(min)政府(fu)公安機(ji)關公共信息網(wang)絡(luo)安全監察部門經本機(ji)關主管領導(dao)批準(zhun)，為保護(hu)計算(suan)機(ji)信息系統(tong)安全，在發生(sheng)重大突發事件，危及(ji)國家安全、公共安全及(ji)社會穩定的緊急情況(kuang)下(xia)，可以采取二十四小時內(nei)暫時停(ting)機(ji)、暫停(ting)聯網(wang)、備(bei)份數據(ju)等措施。

第七章 安全培訓

第三十四條 省(sheng)(sheng)公(gong)安廳、人(ren)(ren)事廳聯合成立的省(sheng)(sheng)信息(xi)網絡(luo)安全專業技術人(ren)(ren)員(yuan)繼續教育工(gong)作(zuo)領導(dao)小(xiao)組(zu)(zu)，負責全省(sheng)(sheng)信息(xi)網絡(luo)安全專業技術人(ren)(ren)員(yuan)繼續教育工(gong)作(zuo)的組(zu)(zu)織和領導(dao)。下設省(sheng)(sheng)信息(xi)網絡(luo)安全專業技術人(ren)(ren)員(yuan)繼續教育工(gong)作(zuo)辦公(gong)室，具體負責日常管理工(gong)作(zuo)。

第三十五條 下(xia)列人員應當參(can)加信(xin)(xin)息(xi)網(wang)(wang)絡安(an)全專(zhuan)業(ye)技術(shu)人員繼(ji)續教(jiao)育(yu)，取得省信(xin)(xin)息(xi)網(wang)(wang)絡安(an)全專(zhuan)業(ye)技術(shu)人員繼(ji)續教(jiao)育(yu)工作辦公室(shi)頒發的信(xin)(xin)息(xi)網(wang)(wang)絡安(an)全專(zhuan)業(ye)技術(shu)人員繼(ji)續教(jiao)育(yu)合格證書，持(chi)證上崗：

（一）計算(suan)機信息系(xi)統運營、使(shi)用單(dan)位信息安(an)全管理責任人、信息審(shen)查(cha)員(yuan)；

（二）互(hu)聯網(wang)接(jie)入服務(wu)(wu)、數據中心服務(wu)(wu)、信息(xi)服務(wu)(wu)、上網(wang)服務(wu)(wu)提供單(dan)位安(an)全管理員、專業(ye)技(ji)術(shu)人員；

（三）安全專用產(chan)(chan)品生產(chan)(chan)單位專業技術(shu)人(ren)員；

（四）安全(quan)服(fu)務機(ji)構專(zhuan)業技(ji)術人員、安全(quan)服(fu)務管理人員；

（五(wu)）其他從事(shi)計算機信(xin)息(xi)系統(tong)安(an)全保護工作的人(ren)員。

第三十六條 信息網(wang)(wang)絡安(an)全(quan)(quan)專業技術人員繼續教(jiao)育由(you)省信息網(wang)(wang)絡安(an)全(quan)(quan)專業技術人員繼續教(jiao)育工(gong)作辦公室授權的施(shi)教(jiao)機構(gou)負責實(shi)施(shi)。施(shi)教(jiao)機構(gou)實(shi)行統籌(chou)規(gui)劃。

第三十七條 信息網(wang)絡安(an)全專業技術(shu)人(ren)員繼續教(jiao)(jiao)(jiao)育培訓和(he)考(kao)(kao)試按照(zhao)有關規定進行，實行統一教(jiao)(jiao)(jiao)學大綱，統一教(jiao)(jiao)(jiao)材(cai)，統一考(kao)(kao)試，統一發(fa)證(zheng)。

考試合格的，由省信(xin)息(xi)網絡安全(quan)(quan)專業技術人(ren)員繼續(xu)教(jiao)育工作(zuo)辦(ban)公室發給信(xin)息(xi)網絡安全(quan)(quan)專業技術人(ren)員繼續(xu)教(jiao)育證書。

第八章 法律責任

第三十八條 違反本辦法(fa)的規定，依照(zhao)有關法(fa)律、法(fa)規和規章處罰。

第九章 附則

第三十九條 本細則下列用(yong)語的(de)(de)含義：實體(ti)安全，指(zhi)保護計算(suan)機信息系統的(de)(de)環境，計算(suan)機設(she)備、設(she)施(shi)（含網(wang)絡）以(yi)及其它媒體(ti)免(mian)遭地震、水(shui)災(zai)(zai)、火災(zai)(zai)、雷(lei)電、有害氣體(ti)和(he)其它環境事(shi)故（如(ru)電磁(ci)污染(ran)等）破壞。

運行安全，指保護(hu)計算機信(xin)息系統的信(xin)息處理過程順利進行。

信(xin)息(xi)安全，指保障信(xin)息(xi)的完整性(xing)、保密性(xing)、可(ke)用性(xing)和可(ke)控性(xing)。

內容(rong)安(an)全，指確(que)保計算(suan)機信息系(xi)統中傳輸的(de)信息所承載(zai)的(de)內容(rong)的(de)合法性。

安(an)全(quan)（漏(lou)洞）檢測，指利用計算機技術(shu)手段掃描(miao)、探測計算機信(xin)息系(xi)統(tong)安(an)全(quan)漏(lou)洞。

第四十條 本辦法(fa)規定的“以上”含本數。

第四十一條 本辦法規定的有關表格和(he)證書由省公(gong)安廳制(zhi)定式樣，統一監制(zhi)。

第四十二條 本辦法由省公安廳負(fu)責解釋。

第四十三條 本辦法(fa)自2008年12月(yue)1日(ri)起(qi)施行(xing)。