廣東省公安廳關于計算機信息系統安全保護的實施辦法

（廣(guang)東(dong)省公安廳2008年(nian)9月(yue)27日(ri)以粵公通字〔2008〕228號發(fa)布(bu) 自2008年(nian)12月(yue)1日(ri)起施行(xing)）

第一章 總則

第一條 為(wei)保(bao)護(hu)計算機信(xin)息系統(tong)安(an)(an)全(quan)，促(cu)進信(xin)息化建設的健康(kang)發展(zhan)，貫(guan)徹落實《廣(guang)東省計算機信(xin)息系統(tong)安(an)(an)全(quan)保(bao)護(hu)條例》，根據有關法律法規，制定本辦法。

第二條 本(ben)辦(ban)法適(shi)用于廣東省行政區域內(nei)計算機信息(xi)系(xi)統(tong)的安全保護(hu)。

第三條 縣級以(yi)上(shang)人(ren)民政府公安機關(guan)公共信息(xi)網絡安全監(jian)察部門具(ju)體負責本行政區域內計算(suan)機信息(xi)系統的安全保護監(jian)管工作(zuo)。

第二章 安全監督

第四條 公(gong)安(an)機(ji)關公(gong)共(gong)信(xin)息網絡安(an)全(quan)監察部(bu)門對計算機(ji)信(xin)息系(xi)統安(an)全(quan)保護工作行使(shi)下列職責：

（一）監督、檢查(cha)、指導計算(suan)機信息系統安(an)全保護工作(zuo)；

（二）組織開(kai)展計算(suan)機信息系(xi)統安全等(deng)級保護(hu)；

（三(san)）查(cha)處計算機(ji)違法犯(fan)罪案件(jian)；

（四）組織處置(zhi)重大計算機信息(xi)系統安全事故和事件；

（五(wu)）負責計算機(ji)病毒和其(qi)他有害數據防治管理；

（六）負(fu)責計算機(ji)信息系統安(an)全(quan)服(fu)務(wu)的監督(du)指導；

（七）負責計算機信息系統安全專(zhuan)用產品的(de)監督管理；

（八）負責計算機信息系統(tong)安全培訓(xun)管理；

（九）法(fa)律、法(fa)規和(he)規章規定的其他職責。

第五條 公(gong)安(an)(an)機關公(gong)共信(xin)(xin)息網絡安(an)(an)全(quan)(quan)(quan)監察部門應當對(dui)計算機信(xin)(xin)息系統落實實體(ti)安(an)(an)全(quan)(quan)(quan)、運行(xing)安(an)(an)全(quan)(quan)(quan)、信(xin)(xin)息安(an)(an)全(quan)(quan)(quan)和內容(rong)安(an)(an)全(quan)(quan)(quan)措(cuo)施的(de)情況進行(xing)檢查。

對(dui)第(di)三(san)級計(ji)算機(ji)(ji)信息(xi)系統每年(nian)至少檢(jian)(jian)查(cha)一次，對(dui)第(di)四級計(ji)算機(ji)(ji)信息(xi)系統每半年(nian)至少檢(jian)(jian)查(cha)一次。對(dui)第(di)五級計(ji)算機(ji)(ji)信息(xi)系統，應當會(hui)同國家指定的專門(men)(men)部門(men)(men)進(jin)行檢(jian)(jian)查(cha)。

對其他計算機信息系統應當不定期開展檢查。

第六條 公安(an)(an)機(ji)關(guan)公共信息網絡(luo)安(an)(an)全監察部門發現計算(suan)機(ji)信息系(xi)統的(de)安(an)(an)全保護等級(ji)和(he)安(an)(an)全措施不符(fu)合有關(guan)規定和(he)技術標準，或(huo)者存在安(an)(an)全隱患的(de)，應當通(tong)知(zhi)運營、使用(yong)單(dan)位進行整(zheng)改。

第七條 公安(an)機關公共信息(xi)網絡安(an)全(quan)監察部門應當(dang)向公眾提供(gong)報警求助渠(qu)道，提供(gong)計算機信息(xi)系(xi)統安(an)全(quan)指導，發布安(an)全(quan)動(dong)態(tai)，開展安(an)全(quan)宣傳。

第三章 安全保護責任

第八條 單位(wei)和個人(ren)應當依照有(you)關(guan)法規(gui)、規(gui)章和標(biao)準，對其(qi)所有(you)、使(shi)用和管理的計算機信息系統承擔(dan)相應的安全保護責任。

第九條 第二級(ji)(ji)以上計算(suan)機信(xin)息(xi)系(xi)統的運營、使用(yong)單位應當建立安全保護組織，并報所在地地級(ji)(ji)以上市(shi)人民(min)政(zheng)府公(gong)安機關公(gong)共信(xin)息(xi)網絡安全監察部門備(bei)案。

第十條 安全(quan)保(bao)護組(zu)織保(bao)障本單(dan)位(wei)計(ji)算機(ji)(ji)(ji)信息(xi)系(xi)統(tong)的(de)安全(quan)運行，組(zu)織本單(dan)位(wei)計(ji)算機(ji)(ji)(ji)信息(xi)系(xi)統(tong)的(de)有害信息(xi)防治工作，組(zu)織開展(zhan)本單(dan)位(wei)計(ji)算機(ji)(ji)(ji)信息(xi)系(xi)統(tong)安全(quan)教(jiao)育和培(pei)訓，向公(gong)安機(ji)(ji)(ji)關(guan)(guan)公(gong)共信息(xi)網絡(luo)安全(quan)監察(cha)部(bu)門報告本單(dan)位(wei)計(ji)算機(ji)(ji)(ji)信息(xi)系(xi)統(tong)運行、服務和安全(quan)等情(qing)況，及時協助公(gong)安機(ji)(ji)(ji)關(guan)(guan)公(gong)共信息(xi)網絡(luo)安全(quan)監察(cha)部(bu)門查處(chu)違法犯罪和處(chu)置突發(fa)事件。

第十一條 互聯單位、互聯網(wang)(wang)接入(ru)服(fu)務(wu)單位、互聯網(wang)(wang)數據中(zhong)心應當對(dui)接入(ru)本網(wang)(wang)絡的(de)用戶(hu)進行資格審查，確認符合國家和省有(you)關(guan)規定(ding)后方可為(wei)其提供服(fu)務(wu)。

互聯網接入服(fu)務(wu)、信息服(fu)務(wu)單位以及互聯網數據中心應當向(xiang)用戶(hu)宣傳相關法律法規，提供必要(yao)的安全保護措施。

第十二條 個人主頁、博客、聊(liao)天(tian)室、點對點服務等(deng)互聯(lian)網信(xin)息服務的提供單位和使用者應當依照(zhao)國家和省有關規定，落實相(xiang)應的安全(quan)措(cuo)施。

第十三條 網吧、圖(tu)書館、學校、賓館等提供互聯網上網服務的(de)場所應(ying)當(dang)安(an)裝符合國家規(gui)定的(de)安(an)全管(guan)理系統。

第十四條 互聯單位、互聯網接(jie)(jie)入(ru)服務單位以(yi)及(ji)互聯網數(shu)據(ju)中(zhong)心(xin)應當每月將接(jie)(jie)入(ru)本網絡的用戶情(qing)況報地級以(yi)上市(shi)公(gong)安機關公(gong)共信息網絡安全監察部門(men)備(bei)案(an)。

第十五條 計算機(ji)信(xin)息(xi)(xi)系統運營、使用單位應當接受公(gong)安(an)機(ji)關(guan)(guan)公(gong)共信(xin)息(xi)(xi)網絡(luo)安(an)全(quan)監(jian)察部門(men)的監(jian)督(du)、檢查、指導，如實提供安(an)全(quan)保護有關(guan)(guan)信(xin)息(xi)(xi)、資料及數據文(wen)件，不(bu)得變(bian)相拒絕、拖延、阻礙(ai)公(gong)安(an)機(ji)關(guan)(guan)公(gong)共信(xin)息(xi)(xi)網絡(luo)安(an)全(quan)監(jian)察部門(men)依(yi)法(fa)執(zhi)行公(gong)務。

第四章 安全專用產品和安全服務

第十六條 安全專用(yong)產品(pin)必須取得公(gong)安部(bu)頒發的(de)銷(xiao)售許可證方可銷(xiao)售。

第十七條 生產(chan)、銷售(shou)或者(zhe)提(ti)供含有(you)計(ji)算(suan)機(ji)信息網(wang)絡(luo)遠(yuan)程(cheng)控制、密碼(ma)猜(cai)解(jie)、安(an)全（漏洞）檢測、信息群發(fa)技(ji)術的產(chan)品和工具(ju)的，應當在(zai)領(ling)取營(ying)業執照后30日內（沒有(you)營(ying)業執照的，自開辦(ban)之日起30日內）向單(dan)位所在(zai)地地級以(yi)上市人民政(zheng)府公安(an)機(ji)關公共(gong)信息網(wang)絡(luo)安(an)全監察部(bu)門備(bei)案，填(tian)寫《廣(guang)東(dong)省計(ji)算(suan)機(ji)信息網(wang)絡(luo)安(an)全特(te)種技(ji)術備(bei)案表(biao)》，并(bing)提(ti)交如下資料：

（一）單位簡況；

（二(er)）營業(ye)執(zhi)照（或其他有(you)效證明）復印件；

（三）研發和服務管理制度；

（四）主要經(jing)營管(guan)理人員、技術人員和服務人員有效證件復印件；

（五）主要產品情況。

第十八條 安全保護等級為第三級以上的計算機信息系(xi)統(tong)應當(dang)選用符合下列條件的安全專用產(chan)品(pin)：

（一）產品研制、生(sheng)產單位是(shi)由中國(guo)公民、法(fa)人投資(zi)或者(zhe)國(guo)家投資(zi)或者(zhe)控股的，在中華人民共和國(guo)境內(nei)具有獨(du)立的法(fa)人資(zi)格；

（二(er)）產(chan)品的核(he)心(xin)技術、關鍵部件具有我(wo)國自主(zhu)知識產(chan)權；

（三(san)）產(chan)品(pin)研制、生產(chan)單位及(ji)其主(zhu)要業務、技術人員(yuan)無犯罪記(ji)錄；

（四）產品(pin)研制、生(sheng)產單位聲明沒有(you)(you)故意留有(you)(you)或者設置漏洞、后門、木馬等程序和功能；

（五）對國(guo)家安全、社會(hui)秩序、公共利益不構成危害。

第十九條 符合第十八條規定的安全(quan)專用(yong)產品和生產單(dan)位(wei)應當到省公安廳公共信息網絡(luo)安全(quan)監(jian)察部(bu)門備案。

第二十條 為(wei)加強安(an)全(quan)(quan)服務(wu)機(ji)構(gou)的指(zhi)導，推(tui)動(dong)安(an)全(quan)(quan)服務(wu)質(zhi)量和(he)技術水平的提高，廣東省對(dui)從事計算機(ji)信息系統安(an)全(quan)(quan)設計、建設、檢測、評估等安(an)全(quan)(quan)服務(wu)的機(ji)構(gou)，根據其注冊資本、服務(wu)業績、技術力量、組織管理情(qing)況實行分(fen)級指(zhi)導。

第五章 安全等級測評

第二十一條 第二級以(yi)上的計算機(ji)(ji)信息系統的安全(quan)測(ce)(ce)(ce)評應當選(xuan)擇符合下列條件的計算機(ji)(ji)信息系統安全(quan)等級測(ce)(ce)(ce)評機(ji)(ji)構（簡稱(cheng)測(ce)(ce)(ce)評機(ji)(ji)構）承擔：

（一）在中華(hua)人民共和國境內注冊成立（港(gang)澳臺地區除外），具有相應經營范圍的(de)營業執照，注冊資本100萬元以上；

（二）由(you)中國公民投(tou)資、中國法人投(tou)資或者國家投(tou)資的企事業單(dan)位（港澳臺地區除外(wai)）；

（三(san)）近3年完成(cheng)的測(ce)評項目總(zong)值150萬元以上；

（四）具有計(ji)算機安(an)全或(huo)相關專業資格證(zheng)書的專業技術人員不(bu)少于20人，其中大學(xue)(xue)本(ben)科以(yi)上學(xue)(xue)歷的人員不(bu)少于15人；

（五）管理人員(yuan)應(ying)當(dang)具(ju)有(you)3年以(yi)上從(cong)事(shi)計算機(ji)信息系(xi)統(tong)安全技術(shu)領(ling)域企業(ye)(ye)管理工(gong)作(zuo)經歷，技術(shu)負責人已獲得計算機(ji)信息系(xi)統(tong)安全技術(shu)相關(guan)專(zhuan)業(ye)(ye)的高級職(zhi)稱，從(cong)事(shi)安全測(ce)評工(gong)作(zuo)不少(shao)于(yu)3年，無犯罪記錄；

（六(liu)）工(gong)作(zuo)人(ren)員僅限于中國公民，法人(ren)及(ji)主要業務、技術人(ren)員無犯(fan)罪記錄(lu)；

（七）具(ju)有與所承擔項目(mu)適應(ying)的技(ji)術裝備；

（八）具有完備(bei)的保密管理、項目管理、質(zhi)量(liang)管理、人員管理和(he)培訓教育等(deng)安全管理制度；

（九(jiu)）對國家(jia)安全、社(she)會秩序、公共利(li)益不構(gou)成威脅。

第二十二條 廣東省對測評(ping)機(ji)構實施備案制度。符合第二十一條(tiao)規定(ding)的(de)(de)條(tiao)件，承擔第二級以上的(de)(de)計算機(ji)信息系統測評(ping)工作(zuo)的(de)(de)機(ji)構應當到省公安(an)廳公共信息網絡安(an)全監察部門(men)備案。

第二十三條 省公安(an)廳公共信息網(wang)絡(luo)安(an)全監(jian)察部門對已備案的測評(ping)機構進行公布。

第二十四條 測評機構應當(dang)履行(xing)下(xia)列義務：

（一）遵(zun)守國家有關法律法規和技術標準，提供安全(quan)、客觀、公正的(de)檢測(ce)評(ping)估服務，保證測(ce)評(ping)的(de)質量和效果；

（二）保守(shou)在測評(ping)活動中知悉的國家秘密、商業(ye)秘密和個人(ren)隱私(si)，防范測評(ping)風險；

（三）對(dui)測評人員進行安全保密教育，與其簽訂安全保密責(ze)任書(shu)，規定應當履行的(de)安全保密義務和承擔的(de)法律責(ze)任，并(bing)負責(ze)檢查落實。

第二十五條 第二(er)級以上的(de)(de)計算(suan)機信息(xi)系(xi)統建(jian)設完成后，使用(yong)單(dan)位應當委托符合規定的(de)(de)測(ce)評機構(gou)安(an)全測(ce)評合格方(fang)可投入(ru)使用(yong)。測(ce)評活動應當接(jie)受公安(an)機關公共信息(xi)網絡安(an)全監察部門的(de)(de)監督。

第二十六條 計算機(ji)信息系統運營(ying)、使用單(dan)位委托安全測評機(ji)構測評，應當(dang)提交下列(lie)資(zi)料：

（一）安全測評委托書；

（二(er)）計算(suan)機信息(xi)系(xi)(xi)統(tong)應(ying)用(yong)需求(qiu)、系(xi)(xi)統(tong)結(jie)構拓撲及說明(ming)、系(xi)(xi)統(tong)安全組(zu)織結(jie)構和管理制度、安全保護設施(shi)設計實(shi)(shi)施(shi)方案(an)或者改建實(shi)(shi)施(shi)方案(an)、系(xi)(xi)統(tong)軟件硬件和信息(xi)安全產品清單。

第二十七條 安全(quan)測(ce)評(ping)機構在收(shou)到委(wei)托材料后，應當與委(wei)托方協商制訂安全(quan)測(ce)評(ping)計劃，開(kai)展安全(quan)測(ce)評(ping)工作，并出(chu)具(ju)安全(quan)測(ce)評(ping)報(bao)告。

經測(ce)評(ping)，計算機(ji)信(xin)息系(xi)統(tong)安全(quan)狀況未(wei)達到國家有關規定和標準的要求，委托單位應當(dang)根(gen)據測(ce)評(ping)報告的建議(yi)，完善計算機(ji)信(xin)息系(xi)統(tong)安全(quan)建設(she)，并(bing)重新(xin)提出安全(quan)測(ce)評(ping)委托。

測評機(ji)構對計(ji)算(suan)(suan)機(ji)信(xin)息系(xi)(xi)統進行使用(yong)前(qian)安(an)(an)全(quan)測評，應當預先(xian)報(bao)告(gao)地(di)級(ji)以(yi)上市公(gong)安(an)(an)機(ji)關(guan)公(gong)共(gong)信(xin)息網(wang)絡安(an)(an)全(quan)監(jian)察(cha)部門(men)。安(an)(an)全(quan)測評報(bao)告(gao)由(you)計(ji)算(suan)(suan)機(ji)信(xin)息系(xi)(xi)統運營、使用(yong)單位(wei)報(bao)地(di)級(ji)以(yi)上市公(gong)安(an)(an)機(ji)關(guan)公(gong)共(gong)信(xin)息網(wang)絡安(an)(an)全(quan)監(jian)察(cha)部門(men)。

第二十八條 第(di)三級(ji)計(ji)(ji)算機信息系(xi)統應(ying)當(dang)每年(nian)至(zhi)少進(jin)(jin)行(xing)一(yi)次安全(quan)測(ce)評(ping)，第(di)四級(ji)計(ji)(ji)算機信息系(xi)統應(ying)當(dang)每半年(nian)至(zhi)少進(jin)(jin)行(xing)一(yi)次安全(quan)測(ce)評(ping)，第(di)五級(ji)計(ji)(ji)算機信息系(xi)統應(ying)當(dang)依據特殊安全(quan)要(yao)求(qiu)進(jin)(jin)行(xing)安全(quan)測(ce)評(ping)。

第六章 應急處置

第二十九條 公(gong)安(an)機關公(gong)共(gong)信(xin)息網(wang)絡(luo)安(an)全監察部門與所在地安(an)全服務機構(gou)、互(hu)聯(lian)(lian)網(wang)運營單位和其他計算機信(xin)息系(xi)統(tong)運營、使用單位應(ying)當(dang)建立(li)聯(lian)(lian)防機制，依法及時(shi)查(cha)處通過(guo)計算機信(xin)息系(xi)統(tong)進行的違(wei)法犯罪行為，組織處置重大突發事件。

第三十條 對計算(suan)機信息(xi)系統中(zhong)發生的案件和(he)重大安全(quan)事故，計算(suan)機信息(xi)系統的運營、使(shi)用單(dan)位(wei)應當在二(er)十(shi)四小時(shi)內(nei)報告縣級以上人民政府公安機關公共信息(xi)網絡安全(quan)監察部門，并(bing)保留有(you)關原始記(ji)錄。

第三十一條 第二級以上的(de)計算機(ji)信息(xi)系統運營、使用(yong)單位應(ying)當制定重大(da)突發事件應(ying)急處置預案并定期(qi)實施演(yan)練。

第三十二條 計算機(ji)信(xin)息系統發生重大突發事件，有關單位應當(dang)按照應急處(chu)置預案(an)的(de)要求采(cai)取相應的(de)處(chu)置措施，并(bing)服(fu)從(cong)公安機(ji)關和國家指定的(de)專門(men)部門(men)的(de)調度(du)。

第三十三條 地(di)級市以上人民政府(fu)公(gong)安(an)機(ji)(ji)關公(gong)共信息網絡安(an)全(quan)(quan)監察部門經本機(ji)(ji)關主管領導批準，為保護計算機(ji)(ji)信息系統安(an)全(quan)(quan)，在(zai)發生重大(da)突(tu)發事件，危及(ji)國家安(an)全(quan)(quan)、公(gong)共安(an)全(quan)(quan)及(ji)社會(hui)穩定的緊急情況下，可以采取二十四小時內暫時停機(ji)(ji)、暫停聯網、備份數(shu)據等措施。

第七章 安全培訓

第三十四條 省公(gong)安(an)(an)廳、人(ren)事廳聯合成立的(de)省信(xin)息網(wang)絡安(an)(an)全(quan)(quan)專業(ye)技(ji)(ji)術(shu)(shu)人(ren)員(yuan)(yuan)繼續教(jiao)育(yu)工(gong)作(zuo)領(ling)導小組，負責全(quan)(quan)省信(xin)息網(wang)絡安(an)(an)全(quan)(quan)專業(ye)技(ji)(ji)術(shu)(shu)人(ren)員(yuan)(yuan)繼續教(jiao)育(yu)工(gong)作(zuo)的(de)組織和領(ling)導。下設省信(xin)息網(wang)絡安(an)(an)全(quan)(quan)專業(ye)技(ji)(ji)術(shu)(shu)人(ren)員(yuan)(yuan)繼續教(jiao)育(yu)工(gong)作(zuo)辦(ban)公(gong)室，具(ju)體負責日(ri)常管理工(gong)作(zuo)。

第三十五條 下(xia)列人員應當參加信息網絡安全(quan)(quan)專業技術人員繼(ji)續(xu)教育，取(qu)得(de)省信息網絡安全(quan)(quan)專業技術人員繼(ji)續(xu)教育工作辦公室(shi)頒發的信息網絡安全(quan)(quan)專業技術人員繼(ji)續(xu)教育合(he)格(ge)證書，持證上崗：

（一）計算機(ji)信(xin)息系統運營、使(shi)用單位(wei)信(xin)息安全管理責任(ren)人、信(xin)息審查員；

（二）互聯網接入(ru)服(fu)(fu)(fu)(fu)務、數據中心(xin)服(fu)(fu)(fu)(fu)務、信息服(fu)(fu)(fu)(fu)務、上(shang)網服(fu)(fu)(fu)(fu)務提供單(dan)位安全管理員、專業技(ji)術人員；

（三）安全專(zhuan)用產品生產單位專(zhuan)業技(ji)術人員；

（四）安(an)全服務機構專業(ye)技術人員、安(an)全服務管理人員；

（五）其他(ta)從事計算機(ji)信(xin)息系統(tong)安全保護工(gong)作的人(ren)員。

第三十六條 信(xin)息(xi)網絡安全專(zhuan)業(ye)(ye)技術人(ren)員繼(ji)續(xu)教育由(you)省信(xin)息(xi)網絡安全專(zhuan)業(ye)(ye)技術人(ren)員繼(ji)續(xu)教育工作辦公室(shi)授權的(de)施(shi)(shi)教機構(gou)(gou)負責(ze)實施(shi)(shi)。施(shi)(shi)教機構(gou)(gou)實行統籌(chou)規劃。

第三十七條 信(xin)息網(wang)絡安(an)全(quan)專業技術人員繼續(xu)教育培(pei)訓和考(kao)試按照有關規定進(jin)行(xing)，實行(xing)統一教學大綱(gang)，統一教材，統一考(kao)試，統一發證。

考(kao)試合格的，由(you)省信(xin)息(xi)(xi)網(wang)絡安全專業(ye)技術人(ren)員繼續教(jiao)育工作辦公室發給信(xin)息(xi)(xi)網(wang)絡安全專業(ye)技術人(ren)員繼續教(jiao)育證書。

第八章 法律責任

第三十八條 違反本辦法(fa)(fa)的(de)規(gui)定，依(yi)照有(you)關法(fa)(fa)律、法(fa)(fa)規(gui)和規(gui)章處(chu)罰。

第九章 附則

第三十九條 本(ben)細則下列用語的含義：實體安全(quan)，指保護計(ji)算(suan)機信息系統的環(huan)境，計(ji)算(suan)機設備、設施（含網絡）以(yi)及(ji)其它媒體免遭地(di)震、水災(zai)、火災(zai)、雷電、有害氣體和其它環(huan)境事故（如電磁污染等）破(po)壞(huai)。

運行安(an)全(quan)，指(zhi)保護計算(suan)機信(xin)息系統的信(xin)息處(chu)理過程順(shun)利(li)進行。

信(xin)息安(an)全(quan)，指保(bao)障信(xin)息的完整性(xing)、保(bao)密性(xing)、可用性(xing)和可控(kong)性(xing)。

內容安全，指確保計算機(ji)信(xin)息(xi)系統(tong)中傳輸(shu)的(de)(de)信(xin)息(xi)所承載的(de)(de)內容的(de)(de)合法性。

安(an)全(quan)（漏(lou)(lou)洞）檢測，指(zhi)利用計算機技術手段掃描、探測計算機信息系統安(an)全(quan)漏(lou)(lou)洞。

第四十條 本(ben)(ben)辦法規定的“以(yi)上”含本(ben)(ben)數。

第四十一條 本辦法規(gui)定(ding)的有關表(biao)格(ge)和(he)證書由省公(gong)安廳(ting)制定(ding)式(shi)樣，統一監制。

第四十二條 本辦法由省公安廳負責解釋。

第四十三條 本辦(ban)法自2008年12月1日起(qi)施行。