廣東省公安廳關于計算機信息系統安全保護的實施辦法

（廣東省公安(an)廳(ting)2008年9月(yue)27日(ri)以(yi)粵公通字〔2008〕228號發布 自(zi)2008年12月(yue)1日(ri)起施行(xing)）

第一章 總則

第一條 為保(bao)護計算機(ji)信(xin)(xin)息系統安(an)全(quan)，促進信(xin)(xin)息化建(jian)設的健康發展，貫徹落實《廣東省計算機(ji)信(xin)(xin)息系統安(an)全(quan)保(bao)護條例》，根據有關法(fa)律(lv)法(fa)規，制定本辦法(fa)。

第二條 本辦(ban)法適(shi)用于廣(guang)東省行政區域內計算(suan)機信息系統(tong)的安全保護。

第三條 縣級以上人民政府公安(an)機(ji)關公共信(xin)息網絡(luo)安(an)全監(jian)察(cha)部門具體負責本行政區域內計算機(ji)信(xin)息系統(tong)的安(an)全保(bao)護監(jian)管工(gong)作。

第二章 安全監督

第四條 公安機關公共(gong)信(xin)息網絡安全(quan)監察部門對(dui)計算機信(xin)息系統安全(quan)保(bao)護(hu)工作行使下列職責：

（一）監(jian)督、檢查、指導計算機信息系統安全保護工(gong)作；

（二(er)）組(zu)織(zhi)開展(zhan)計算(suan)機信息系統安(an)全等(deng)級保護；

（三）查處計算(suan)機違法犯罪案(an)件；

（四(si)）組織(zhi)處置重(zhong)大(da)計算機信(xin)息系統(tong)安全事(shi)故和事(shi)件；

（五）負(fu)責計算機病(bing)毒和其(qi)他有害數據防(fang)治管理；

（六）負責計算機信(xin)息系統安全(quan)服務的監督指導；

（七(qi)）負責計算機信息系統安全專(zhuan)用(yong)產(chan)品的監督管理；

（八）負責計算(suan)機(ji)信息系統安(an)全培訓管理；

（九）法(fa)(fa)律、法(fa)(fa)規和(he)規章規定的其他職(zhi)責。

第五條 公安(an)(an)機關公共信息網絡安(an)(an)全(quan)(quan)(quan)監察部(bu)門應當對計算(suan)機信息系統落實實體(ti)安(an)(an)全(quan)(quan)(quan)、運行(xing)安(an)(an)全(quan)(quan)(quan)、信息安(an)(an)全(quan)(quan)(quan)和(he)內容安(an)(an)全(quan)(quan)(quan)措施的情況進行(xing)檢(jian)查。

對第三(san)級計(ji)(ji)算機信息系(xi)統(tong)每(mei)年(nian)至少檢(jian)查(cha)(cha)一(yi)次(ci)，對第四級計(ji)(ji)算機信息系(xi)統(tong)每(mei)半年(nian)至少檢(jian)查(cha)(cha)一(yi)次(ci)。對第五級計(ji)(ji)算機信息系(xi)統(tong)，應當會(hui)同國家指(zhi)定的專門部門進行檢(jian)查(cha)(cha)。

對其他計算(suan)機信(xin)息系統應(ying)當(dang)不定(ding)期開展檢查(cha)。

第六條 公安(an)機關公共信息網絡安(an)全(quan)(quan)監察部門(men)發現計算機信息系統的安(an)全(quan)(quan)保護等級和(he)安(an)全(quan)(quan)措施不符合(he)有關規定(ding)和(he)技術標準(zhun)，或(huo)者存(cun)在安(an)全(quan)(quan)隱患(huan)的，應(ying)當(dang)通知運營、使用單(dan)位(wei)進(jin)行整改。

第七條 公安機關(guan)公共信(xin)息(xi)網絡(luo)安全(quan)監(jian)察部(bu)門(men)應當向公眾提供報警求助渠(qu)道，提供計算機信(xin)息(xi)系統(tong)安全(quan)指導(dao)，發布安全(quan)動態，開展安全(quan)宣(xuan)傳。

第三章 安全保護責任

第八條 單(dan)位和個人應當依照有關法(fa)規、規章和標準，對其所有、使用和管理(li)的計算機信息系(xi)統承擔相應的安全保護責(ze)任。

第九條 第二級以(yi)上計算機信(xin)息系統的(de)運(yun)營、使用單位(wei)應(ying)當建立(li)安(an)(an)全保護組(zu)織，并報(bao)所(suo)在地地級以(yi)上市人民政府公(gong)安(an)(an)機關公(gong)共信(xin)息網(wang)絡安(an)(an)全監察部門備案。

第十條 安(an)(an)全(quan)(quan)保護(hu)組織(zhi)(zhi)保障本(ben)(ben)單(dan)位計(ji)(ji)算機(ji)信(xin)(xin)息系(xi)統的安(an)(an)全(quan)(quan)運(yun)行(xing)，組織(zhi)(zhi)本(ben)(ben)單(dan)位計(ji)(ji)算機(ji)信(xin)(xin)息系(xi)統的有害信(xin)(xin)息防(fang)治工作，組織(zhi)(zhi)開展本(ben)(ben)單(dan)位計(ji)(ji)算機(ji)信(xin)(xin)息系(xi)統安(an)(an)全(quan)(quan)教育和培訓(xun)，向公安(an)(an)機(ji)關(guan)公共信(xin)(xin)息網絡(luo)(luo)安(an)(an)全(quan)(quan)監(jian)察部(bu)門報告本(ben)(ben)單(dan)位計(ji)(ji)算機(ji)信(xin)(xin)息系(xi)統運(yun)行(xing)、服務(wu)和安(an)(an)全(quan)(quan)等情況，及時協助公安(an)(an)機(ji)關(guan)公共信(xin)(xin)息網絡(luo)(luo)安(an)(an)全(quan)(quan)監(jian)察部(bu)門查處違(wei)法犯罪和處置突發事件。

第十一條 互(hu)聯單位、互(hu)聯網接入服(fu)務單位、互(hu)聯網數據中心(xin)應當對接入本(ben)網絡的用戶(hu)進行資格審查，確認符合國(guo)家(jia)和省有關規(gui)定后方(fang)可為其(qi)提供服(fu)務。

互(hu)(hu)聯(lian)網(wang)接入服(fu)務、信息服(fu)務單(dan)位以及互(hu)(hu)聯(lian)網(wang)數據中心應當向(xiang)用戶宣傳相關(guan)法律(lv)法規，提供必要的安(an)全保(bao)護措施。

第十二條 個人主(zhu)頁、博客(ke)、聊天室、點(dian)對點(dian)服務等互聯網(wang)信(xin)息服務的提供單位和(he)使(shi)用者應當依照國家和(he)省(sheng)有關(guan)規定，落實相應的安全措施。

第十三條 網吧、圖書(shu)館、學校、賓館等提供互聯(lian)網上網服務的(de)場所應當安(an)裝符合國家規定的(de)安(an)全管理(li)系統(tong)。

第十四條 互(hu)(hu)聯(lian)單位(wei)、互(hu)(hu)聯(lian)網接(jie)入服(fu)務單位(wei)以及互(hu)(hu)聯(lian)網數據(ju)中心應當每月將接(jie)入本網絡(luo)的用戶情況(kuang)報地級(ji)以上(shang)市公安機關公共信息(xi)網絡(luo)安全監察部門備案(an)。

第十五條 計算機信(xin)息(xi)系統運營、使用單(dan)位應當接(jie)受公(gong)安(an)機關公(gong)共(gong)信(xin)息(xi)網(wang)絡安(an)全(quan)監(jian)(jian)察(cha)部(bu)門的(de)監(jian)(jian)督、檢(jian)查(cha)、指導，如實(shi)提(ti)供安(an)全(quan)保護(hu)有(you)關信(xin)息(xi)、資料及數據文(wen)件，不得變相拒絕、拖(tuo)延、阻礙公(gong)安(an)機關公(gong)共(gong)信(xin)息(xi)網(wang)絡安(an)全(quan)監(jian)(jian)察(cha)部(bu)門依法(fa)執行公(gong)務。

第四章 安全專用產品和安全服務

第十六條 安(an)全(quan)專(zhuan)用產品必須取得公安(an)部頒(ban)發的銷售許可(ke)(ke)證方可(ke)(ke)銷售。

第十七條 生產、銷售或(huo)者提(ti)供含有計算機信(xin)息網(wang)絡遠程控制、密碼(ma)猜(cai)解、安(an)(an)全(quan)(quan)（漏(lou)洞）檢(jian)測、信(xin)息群(qun)發技術(shu)的產品(pin)和工具的，應當(dang)在領取營(ying)業執照后30日內（沒有營(ying)業執照的，自(zi)開辦之(zhi)日起30日內）向(xiang)單位所在地地級以上市人民政府(fu)公安(an)(an)機關公共信(xin)息網(wang)絡安(an)(an)全(quan)(quan)監察部門備(bei)(bei)案，填(tian)寫《廣東(dong)省計算機信(xin)息網(wang)絡安(an)(an)全(quan)(quan)特種技術(shu)備(bei)(bei)案表》，并提(ti)交如下資料：

（一）單位簡況；

（二）營(ying)業執(zhi)照（或其他有效(xiao)證明）復(fu)印件；

（三）研發和服務管理制度；

（四）主要經營管理(li)人員(yuan)、技術人員(yuan)和服務人員(yuan)有效證件復印件；

（五）主(zhu)要產(chan)品(pin)情況。

第十八條 安(an)全保護等級為第三級以上的計算機信息系統應當選用(yong)符合下列條件的安(an)全專用(yong)產品：

（一）產(chan)品研制、生(sheng)產(chan)單位(wei)是由中國公民(min)、法人投(tou)資或者國家投(tou)資或者控股的(de)，在中華人民(min)共和國境內具(ju)有獨立的(de)法人資格(ge)；

（二）產品的核心技術、關鍵部件具有我(wo)國(guo)自主知識產權(quan)；

（三）產品研(yan)制、生(sheng)產單(dan)位及其主要業務、技術人員無犯罪(zui)記錄；

（四(si)）產(chan)品(pin)研(yan)制(zhi)、生產(chan)單位聲明沒有(you)故(gu)意留有(you)或者設(she)置漏洞、后門(men)、木(mu)馬等(deng)程序和(he)功能；

（五）對(dui)國(guo)家(jia)安(an)全、社(she)會(hui)秩序、公共(gong)利益不構成危害。

第十九條 符合第十八條規定的(de)安全(quan)專用產品(pin)和生(sheng)產單位應當(dang)到省公安廳公共信(xin)息(xi)網絡安全(quan)監察部門備案(an)。

第二十條 為(wei)加(jia)強(qiang)安(an)全服(fu)務(wu)機構的(de)(de)指導(dao)，推動安(an)全服(fu)務(wu)質量和技術水平的(de)(de)提高，廣東省對從事(shi)計算(suan)機信息系統安(an)全設(she)計、建設(she)、檢(jian)測(ce)、評(ping)估等安(an)全服(fu)務(wu)的(de)(de)機構，根據(ju)其注冊資本、服(fu)務(wu)業績、技術力量、組織管理情況實行分級指導(dao)。

第五章 安全等級測評

第二十一條 第二(er)級以上的計算機(ji)信息(xi)系統(tong)的安全測評應當選擇符(fu)合(he)下列條(tiao)件的計算機(ji)信息(xi)系統(tong)安全等級測評機(ji)構（簡(jian)稱測評機(ji)構）承(cheng)擔(dan)：

（一(yi)）在中華(hua)人(ren)民共和國(guo)境內(nei)注(zhu)(zhu)冊成立（港澳臺地區除(chu)外(wai)），具有相應經營(ying)范圍的營(ying)業執(zhi)照，注(zhu)(zhu)冊資(zi)本(ben)100萬元以上；

（二(er)）由中國(guo)公民投(tou)資(zi)、中國(guo)法人投(tou)資(zi)或者國(guo)家投(tou)資(zi)的企(qi)事業單位（港澳(ao)臺(tai)地區(qu)除外）；

（三）近3年完成(cheng)的(de)測評項目總(zong)值150萬元以(yi)上(shang)；

（四）具有(you)計算機安(an)全(quan)或相關專業資(zi)格證書的專業技術人(ren)(ren)員不少(shao)于20人(ren)(ren)，其中大(da)學本科(ke)以上學歷的人(ren)(ren)員不少(shao)于15人(ren)(ren)；

（五）管(guan)理(li)人(ren)員應當具有3年以(yi)上從事(shi)計算機信息(xi)系(xi)統安全技術(shu)領域(yu)企業(ye)管(guan)理(li)工作(zuo)經歷，技術(shu)負責人(ren)已獲(huo)得計算機信息(xi)系(xi)統安全技術(shu)相關專業(ye)的高級(ji)職(zhi)稱(cheng)，從事(shi)安全測(ce)評工作(zuo)不少于3年，無犯罪記錄(lu)；

（六）工作人員僅限于中國公民，法(fa)人及主要(yao)業務、技術人員無犯罪記錄；

（七）具有與所(suo)承擔項目適應的(de)技術(shu)裝(zhuang)備；

（八）具有完備(bei)的保密管理(li)、項目管理(li)、質量管理(li)、人員管理(li)和培訓教育等(deng)安全管理(li)制度；

（九(jiu)）對國家安全、社會(hui)秩序、公共利益不構成威脅。

第二十二條 廣東省對測評機構實施備案制度。符合(he)第二(er)十(shi)一條(tiao)規定的條(tiao)件(jian)，承擔(dan)第二(er)級以(yi)上的計算(suan)機信(xin)息(xi)系(xi)統測評工作的機構應當到省公安廳公共信(xin)息(xi)網絡安全監察部門備案。

第二十三條 省公安(an)(an)廳公共信息網(wang)絡(luo)安(an)(an)全監察部門(men)對已備案的測(ce)評機構(gou)進行(xing)公布。

第二十四條 測評機構(gou)應當履行下(xia)列義務：

（一）遵守(shou)國(guo)家有關法律法規和技術標準(zhun)，提供安全、客觀、公(gong)正的檢測(ce)(ce)評估服務，保證測(ce)(ce)評的質量和效果；

（二）保守(shou)在測(ce)(ce)評活動中知悉的國(guo)家秘密、商業秘密和(he)個人隱私，防范測(ce)(ce)評風險；

（三(san)）對測評人員(yuan)進行(xing)(xing)安(an)(an)全保(bao)密教育，與其簽訂安(an)(an)全保(bao)密責任(ren)書，規(gui)定應當履行(xing)(xing)的安(an)(an)全保(bao)密義(yi)務和承擔的法律(lv)責任(ren)，并負責檢查落實(shi)。

第二十五條 第二級以(yi)上的計算機(ji)信息系統(tong)建設完成后(hou)，使(shi)用單位應(ying)當委托符(fu)合規定的測(ce)評(ping)(ping)機(ji)構(gou)安全測(ce)評(ping)(ping)合格方可(ke)投入使(shi)用。測(ce)評(ping)(ping)活動應(ying)當接受公安機(ji)關公共(gong)信息網絡(luo)安全監(jian)察部(bu)門的監(jian)督(du)。

第二十六條 計算(suan)機信息(xi)系(xi)統運營(ying)、使用單(dan)位(wei)委托安全測評機構測評，應當提交下列資(zi)料(liao)：

（一）安全測評委(wei)托書；

（二）計(ji)算機信息系統(tong)應用需求、系統(tong)結(jie)構拓撲及說明、系統(tong)安全組織結(jie)構和管理制(zhi)度、安全保護(hu)設施(shi)設計(ji)實(shi)施(shi)方案(an)或(huo)者(zhe)改建實(shi)施(shi)方案(an)、系統(tong)軟件硬件和信息安全產品清單(dan)。

第二十七條 安全測(ce)(ce)評(ping)(ping)機構(gou)在收到委托材料后，應(ying)當與委托方(fang)協商制(zhi)訂安全測(ce)(ce)評(ping)(ping)計劃，開展安全測(ce)(ce)評(ping)(ping)工作，并出(chu)具安全測(ce)(ce)評(ping)(ping)報(bao)告。

經測(ce)評(ping)，計算機信息(xi)系(xi)統(tong)安全狀況未達(da)到國家有關規定(ding)和標準的要求(qiu)，委托單位應當根據測(ce)評(ping)報告的建議(yi)，完善計算機信息(xi)系(xi)統(tong)安全建設，并重(zhong)新提出安全測(ce)評(ping)委托。

測(ce)評(ping)(ping)機構(gou)對計(ji)算機信(xin)息(xi)系統進行使用前安全(quan)測(ce)評(ping)(ping)，應當預先報告地級以上(shang)(shang)市公(gong)安機關(guan)公(gong)共信(xin)息(xi)網(wang)絡(luo)安全(quan)監察(cha)部門(men)。安全(quan)測(ce)評(ping)(ping)報告由(you)計(ji)算機信(xin)息(xi)系統運營、使用單位報地級以上(shang)(shang)市公(gong)安機關(guan)公(gong)共信(xin)息(xi)網(wang)絡(luo)安全(quan)監察(cha)部門(men)。

第二十八條 第三(san)級計算機信(xin)(xin)息系(xi)(xi)統(tong)應(ying)當(dang)(dang)每年(nian)至(zhi)少進(jin)行(xing)(xing)一(yi)次安(an)全(quan)測(ce)評，第四級計算機信(xin)(xin)息系(xi)(xi)統(tong)應(ying)當(dang)(dang)每半(ban)年(nian)至(zhi)少進(jin)行(xing)(xing)一(yi)次安(an)全(quan)測(ce)評，第五(wu)級計算機信(xin)(xin)息系(xi)(xi)統(tong)應(ying)當(dang)(dang)依據(ju)特(te)殊(shu)安(an)全(quan)要(yao)求進(jin)行(xing)(xing)安(an)全(quan)測(ce)評。

第六章 應急處置

第二十九條 公安機(ji)(ji)(ji)關公共信(xin)息網(wang)絡安全監察部(bu)門與所在地安全服務機(ji)(ji)(ji)構(gou)、互(hu)聯網(wang)運營(ying)單位和其他計(ji)算機(ji)(ji)(ji)信(xin)息系統運營(ying)、使用單位應(ying)當建立(li)聯防機(ji)(ji)(ji)制，依法(fa)及時查處(chu)通過計(ji)算機(ji)(ji)(ji)信(xin)息系統進行的違法(fa)犯罪行為，組織處(chu)置(zhi)重大突發事件。

第三十條 對計算機(ji)信(xin)息系統(tong)中發生的案件和重大安(an)(an)全事(shi)故(gu)，計算機(ji)信(xin)息系統(tong)的運營、使用單(dan)位應(ying)當在二十四(si)小時(shi)內報(bao)告縣級(ji)以上人(ren)民政府公(gong)安(an)(an)機(ji)關公(gong)共信(xin)息網絡安(an)(an)全監察部門，并保留(liu)有關原始記錄(lu)。

第三十一條 第二級(ji)以上的計算(suan)機信息(xi)系統運營、使用單位應當制定重大(da)突發事件應急(ji)處置預案并定期實施演練。

第三十二條 計算機(ji)(ji)信息(xi)系統發生(sheng)重大突發事件，有關單位應當按照應急(ji)處置預案的要求采(cai)取(qu)相應的處置措(cuo)施，并服從公(gong)安機(ji)(ji)關和國(guo)家指定的專門部門的調度(du)。

第三十三條 地級(ji)市以上人民政府公安(an)(an)機(ji)關公共信息(xi)網絡安(an)(an)全(quan)監察部門(men)經本(ben)機(ji)關主管領導(dao)批(pi)準(zhun)，為保護計算機(ji)信息(xi)系統(tong)安(an)(an)全(quan)，在發生重大突發事件，危及國家安(an)(an)全(quan)、公共安(an)(an)全(quan)及社會(hui)穩定的(de)緊急情(qing)況(kuang)下，可以采取二十四小時內(nei)暫時停機(ji)、暫停聯網、備份(fen)數據(ju)等措施。

第七章 安全培訓

第三十四條 省(sheng)公(gong)安廳、人事廳聯合成立的省(sheng)信息(xi)(xi)網(wang)絡安全專業技(ji)術人員(yuan)繼續教(jiao)育(yu)工(gong)(gong)作(zuo)(zuo)領導小(xiao)組，負責全省(sheng)信息(xi)(xi)網(wang)絡安全專業技(ji)術人員(yuan)繼續教(jiao)育(yu)工(gong)(gong)作(zuo)(zuo)的組織和(he)領導。下設省(sheng)信息(xi)(xi)網(wang)絡安全專業技(ji)術人員(yuan)繼續教(jiao)育(yu)工(gong)(gong)作(zuo)(zuo)辦(ban)公(gong)室，具體負責日常管理工(gong)(gong)作(zuo)(zuo)。

第三十五條 下(xia)列人(ren)員(yuan)應當參加信息(xi)(xi)網(wang)絡(luo)安(an)全專(zhuan)業技術人(ren)員(yuan)繼(ji)續(xu)教(jiao)育(yu)，取得省信息(xi)(xi)網(wang)絡(luo)安(an)全專(zhuan)業技術人(ren)員(yuan)繼(ji)續(xu)教(jiao)育(yu)工作辦(ban)公室頒發的(de)信息(xi)(xi)網(wang)絡(luo)安(an)全專(zhuan)業技術人(ren)員(yuan)繼(ji)續(xu)教(jiao)育(yu)合格(ge)證書(shu)，持證上崗：

（一）計算機信息系統運營、使用(yong)單位信息安(an)全(quan)管理責(ze)任人、信息審查員(yuan)；

（二）互聯網接入服務(wu)、數據(ju)中心服務(wu)、信息服務(wu)、上(shang)網服務(wu)提供(gong)單位安(an)全(quan)管理員(yuan)、專業技術人員(yuan)；

（三(san)）安全專用產(chan)品(pin)生產(chan)單位專業技(ji)術人員；

（四）安(an)(an)全服務機構(gou)專業技(ji)術人員(yuan)、安(an)(an)全服務管理人員(yuan)；

（五）其他從事計算(suan)機信息系統安全保護工作的人員。

第三十六條 信息(xi)網絡安全專業(ye)技(ji)術人員(yuan)繼續教育(yu)由省信息(xi)網絡安全專業(ye)技(ji)術人員(yuan)繼續教育(yu)工作辦公室授(shou)權的施教機構負責實施。施教機構實行統籌規劃。

第三十七條 信息網絡(luo)安全專(zhuan)業(ye)技術人員繼(ji)續(xu)教(jiao)(jiao)育培訓(xun)和考(kao)試按照有關規定(ding)進行(xing)，實行(xing)統一(yi)(yi)教(jiao)(jiao)學大綱(gang)，統一(yi)(yi)教(jiao)(jiao)材，統一(yi)(yi)考(kao)試，統一(yi)(yi)發證。

考試合格的，由(you)省信(xin)息網絡安全專(zhuan)(zhuan)業(ye)技術(shu)人(ren)員繼續(xu)教育(yu)工(gong)作辦公室發(fa)給信(xin)息網絡安全專(zhuan)(zhuan)業(ye)技術(shu)人(ren)員繼續(xu)教育(yu)證書。

第八章 法律責任

第三十八條 違反(fan)本辦法的規(gui)定(ding)，依照有關法律、法規(gui)和規(gui)章處罰。

第九章 附則

第三十九條 本細則下列用語的含義：實體(ti)安全，指(zhi)保(bao)護計算機信(xin)息(xi)系統(tong)的環境，計算機設備、設施（含網絡）以及其它媒體(ti)免遭地震、水災、火災、雷電、有害氣(qi)體(ti)和其它環境事故（如電磁污染等）破壞。

運(yun)行(xing)安全，指保護計算機信(xin)(xin)息系統的信(xin)(xin)息處理過(guo)程(cheng)順(shun)利進行(xing)。

信(xin)息安(an)全，指保障信(xin)息的完整性(xing)(xing)、保密(mi)性(xing)(xing)、可用性(xing)(xing)和可控性(xing)(xing)。

內容安全，指確(que)保計(ji)算機信(xin)息系統中(zhong)傳輸的信(xin)息所承載的內容的合法性(xing)。

安全（漏(lou)洞(dong)）檢測(ce)(ce)，指利用計算機(ji)技術手段(duan)掃描、探測(ce)(ce)計算機(ji)信息系統安全漏(lou)洞(dong)。

第四十條 本(ben)辦法規定的“以上”含(han)本(ben)數。

第四十一條 本辦法規定的有關表格(ge)和證(zheng)書由省公安廳制定式樣(yang)，統一(yi)監制。

第四十二條 本辦法由省公安廳負責解釋。

第四十三條 本辦法(fa)自(zi)2008年12月(yue)1日起施行。