廣東省公安廳關于計算機信息系統安全保護的實施辦法

（廣東省公(gong)安廳2008年9月(yue)27日以粵(yue)公(gong)通字〔2008〕228號發布 自(zi)2008年12月(yue)1日起施行(xing)）

第一章 總則

第一條 為保(bao)(bao)護(hu)計算機(ji)信(xin)息(xi)系(xi)統安(an)全，促進信(xin)息(xi)化建(jian)設的健康發展，貫徹落實《廣東省計算機(ji)信(xin)息(xi)系(xi)統安(an)全保(bao)(bao)護(hu)條(tiao)例》，根據(ju)有關(guan)法(fa)律法(fa)規，制定(ding)本辦法(fa)。

第二條 本辦法(fa)適用于廣東(dong)省行政(zheng)區域(yu)內計(ji)算機信息系統的(de)安全保護。

第三條 縣級以上人民(min)政府公安(an)機(ji)關(guan)公共(gong)信(xin)息網絡安(an)全監(jian)察(cha)部(bu)門(men)具體負(fu)責本行政區域(yu)內計算機(ji)信(xin)息系(xi)統的安(an)全保護監(jian)管工作。

第二章 安全監督

第四條 公(gong)安機關公(gong)共信息網絡安全監察(cha)部(bu)門對計(ji)算機信息系統安全保護(hu)工作行使下(xia)列職責：

（一）監督、檢查(cha)、指導計算(suan)機(ji)信息系統安全(quan)保護工作；

（二）組織開展計算機信息系統安全(quan)等級保護(hu)；

（三(san)）查處計(ji)算(suan)機違法(fa)犯罪案件；

（四(si)）組織處(chu)置重大計算(suan)機信息系統安全事故和事件；

（五）負責計算機病毒和其他有(you)害數據(ju)防治管理；

（六）負責(ze)計(ji)算(suan)機(ji)信息系統安全服(fu)務的監督指導；

（七(qi)）負責計算機信息系統安全(quan)專用產(chan)品的監督管理；

（八）負責計算機信息系(xi)統安全培(pei)訓管理；

（九）法(fa)律(lv)、法(fa)規(gui)(gui)和規(gui)(gui)章規(gui)(gui)定的其他職(zhi)責(ze)。

第五條 公安機關公共信息(xi)(xi)網絡安全(quan)(quan)(quan)監察(cha)部門應當對計(ji)算機信息(xi)(xi)系統(tong)落實實體安全(quan)(quan)(quan)、運行安全(quan)(quan)(quan)、信息(xi)(xi)安全(quan)(quan)(quan)和內容安全(quan)(quan)(quan)措(cuo)施的情況進行檢(jian)查(cha)。

對第(di)三級計(ji)算(suan)機信息(xi)(xi)系統(tong)每年(nian)至少檢(jian)查(cha)一(yi)(yi)次，對第(di)四級計(ji)算(suan)機信息(xi)(xi)系統(tong)每半年(nian)至少檢(jian)查(cha)一(yi)(yi)次。對第(di)五級計(ji)算(suan)機信息(xi)(xi)系統(tong)，應當會同國家指(zhi)定的專(zhuan)門部門進行檢(jian)查(cha)。

對(dui)其(qi)他計(ji)算機信息系統應當不定期開展(zhan)檢查。

第六條 公(gong)安機(ji)關公(gong)共信息網絡安全(quan)(quan)(quan)監察部門(men)發現(xian)計算機(ji)信息系統的安全(quan)(quan)(quan)保護等(deng)級和(he)安全(quan)(quan)(quan)措施不符合有關規(gui)定和(he)技術標準，或者存在安全(quan)(quan)(quan)隱患的，應(ying)當(dang)通(tong)知運營(ying)、使用單位(wei)進行整改。

第七條 公安(an)機(ji)關(guan)公共信息網(wang)絡安(an)全(quan)監察部門應當向公眾提供(gong)報(bao)警求助渠道，提供(gong)計算機(ji)信息系統安(an)全(quan)指導，發(fa)布(bu)安(an)全(quan)動(dong)態，開展(zhan)安(an)全(quan)宣傳。

第三章 安全保護責任

第八條 單(dan)位(wei)和個人(ren)應(ying)當(dang)依照有關法規、規章和標(biao)準，對(dui)其所(suo)有、使用和管理的計算機(ji)信息(xi)系統承擔相(xiang)應(ying)的安全保(bao)護責任。

第九條 第二(er)級(ji)以上(shang)計(ji)算機信息(xi)系統(tong)的(de)運營、使用單位應當建(jian)立安(an)全保(bao)護組(zu)織，并報所在地地級(ji)以上(shang)市人民政府(fu)公(gong)安(an)機關(guan)公(gong)共信息(xi)網絡安(an)全監察部(bu)門備案。

第十條 安(an)全保護組織保障本單位(wei)(wei)計算機(ji)信(xin)息(xi)系(xi)統(tong)(tong)的安(an)全運行，組織本單位(wei)(wei)計算機(ji)信(xin)息(xi)系(xi)統(tong)(tong)的有害信(xin)息(xi)防治(zhi)工作，組織開展本單位(wei)(wei)計算機(ji)信(xin)息(xi)系(xi)統(tong)(tong)安(an)全教育(yu)和培(pei)訓(xun)，向公(gong)安(an)機(ji)關公(gong)共信(xin)息(xi)網(wang)絡(luo)安(an)全監察部門報(bao)告本單位(wei)(wei)計算機(ji)信(xin)息(xi)系(xi)統(tong)(tong)運行、服務和安(an)全等(deng)情況，及(ji)時協助公(gong)安(an)機(ji)關公(gong)共信(xin)息(xi)網(wang)絡(luo)安(an)全監察部門查處違法犯(fan)罪和處置突發事件。

第十一條 互(hu)(hu)聯(lian)(lian)單(dan)位、互(hu)(hu)聯(lian)(lian)網(wang)接入(ru)服(fu)務單(dan)位、互(hu)(hu)聯(lian)(lian)網(wang)數據中心(xin)應(ying)當(dang)對接入(ru)本網(wang)絡的用戶(hu)進行資格審查，確認符(fu)合國家和省有關(guan)規定后方(fang)可為(wei)其提供(gong)服(fu)務。

互聯網接入服務(wu)、信息服務(wu)單(dan)位以及(ji)互聯網數據中心應當向用戶宣(xuan)傳相關法律法規(gui)，提(ti)供必(bi)要的安全保護措施。

第十二條 個(ge)人主頁、博客(ke)、聊天(tian)室、點對點服(fu)務等互聯(lian)網信息服(fu)務的(de)提供(gong)單位和(he)使用者應(ying)當依照國(guo)家和(he)省有關規定(ding)，落實相應(ying)的(de)安(an)全措施(shi)。

第十三條 網吧、圖(tu)書館、學校、賓館等提供互(hu)聯網上(shang)網服務的(de)場所(suo)應當安(an)裝符合國家規定的(de)安(an)全(quan)管理系統。

第十四條 互聯單位、互聯網接入(ru)服務(wu)單位以(yi)及互聯網數據中心應當每月將接入(ru)本網絡的用戶情況(kuang)報地級以(yi)上市公(gong)安(an)機關公(gong)共信息網絡安(an)全監察部(bu)門備案(an)。

第十五條 計算機信(xin)(xin)(xin)息系統運營、使用單位(wei)應當接受公(gong)安(an)機關公(gong)共信(xin)(xin)(xin)息網絡安(an)全(quan)(quan)(quan)監(jian)察(cha)部(bu)門的監(jian)督(du)、檢查(cha)、指(zhi)導，如實提供安(an)全(quan)(quan)(quan)保護有關信(xin)(xin)(xin)息、資料及(ji)數據文件，不得變相拒絕、拖延、阻礙公(gong)安(an)機關公(gong)共信(xin)(xin)(xin)息網絡安(an)全(quan)(quan)(quan)監(jian)察(cha)部(bu)門依法執行公(gong)務。

第四章 安全專用產品和安全服務

第十六條 安全專(zhuan)用產(chan)品必須(xu)取得(de)公(gong)安部頒發的銷售(shou)許(xu)可證方(fang)可銷售(shou)。

第十七條 生產、銷售或者(zhe)提(ti)供含有(you)計(ji)算機信(xin)息網絡遠程控(kong)制、密碼猜解(jie)、安(an)(an)全（漏洞(dong)）檢測(ce)、信(xin)息群發技術的(de)產品(pin)和(he)工具的(de)，應當在(zai)領取營(ying)業(ye)執照后30日內(nei)（沒有(you)營(ying)業(ye)執照的(de)，自開辦(ban)之日起30日內(nei)）向(xiang)單位所(suo)在(zai)地(di)地(di)級以上(shang)市人民(min)政府公安(an)(an)機關公共信(xin)息網絡安(an)(an)全監(jian)察部門備案，填寫《廣東省計(ji)算機信(xin)息網絡安(an)(an)全特種技術備案表》，并提(ti)交如下資料：

（一）單位簡況；

（二）營業執照（或其他(ta)有效證明(ming)）復印(yin)件；

（三）研發和服務管理制度；

（四）主要經(jing)營管(guan)理(li)人員(yuan)(yuan)、技(ji)術人員(yuan)(yuan)和服務人員(yuan)(yuan)有(you)效證件復印(yin)件；

（五）主要產(chan)品情(qing)況(kuang)。

第十八條 安(an)全保護等(deng)級(ji)為第三級(ji)以上(shang)的計(ji)算機信息系統(tong)應當(dang)選用(yong)符(fu)合(he)下列條件(jian)的安(an)全專用(yong)產品：

（一）產(chan)品研制、生(sheng)產(chan)單位是由中(zhong)國公民(min)、法人投資或者(zhe)國家投資或者(zhe)控股的(de)，在中(zhong)華人民(min)共(gong)和國境內具有獨立的(de)法人資格；

（二）產品的核心技術、關鍵部件具有我(wo)國自主知識產權；

（三）產(chan)品研制、生產(chan)單(dan)位(wei)及其主(zhu)要(yao)業(ye)務、技術人員無犯(fan)罪記錄；

（四）產品研制(zhi)、生(sheng)產單位聲明沒有(you)故意留有(you)或者設置漏洞、后門(men)、木馬等程序和功(gong)能(neng)；

（五）對國家(jia)安(an)全、社(she)會(hui)秩(zhi)序、公共利益不(bu)構成危害。

第十九條 符合(he)第十八條規定的安(an)全專用產品和生產單位(wei)應當到省公安(an)廳(ting)公共信息(xi)網絡安(an)全監(jian)察部門備案。

第二十條 為加強(qiang)安(an)全服(fu)(fu)務機(ji)構的指導，推動(dong)安(an)全服(fu)(fu)務質量和技(ji)術(shu)水(shui)平的提(ti)高，廣東(dong)省對(dui)從事計算機(ji)信息(xi)系統安(an)全設計、建(jian)設、檢測(ce)、評估等安(an)全服(fu)(fu)務的機(ji)構，根據其(qi)注冊資本、服(fu)(fu)務業(ye)績(ji)、技(ji)術(shu)力量、組織管理情況實行(xing)分級指導。

第五章 安全等級測評

第二十一條 第二級(ji)以上(shang)的計算機(ji)(ji)(ji)信息系統的安全測評應當選擇符合下列條件的計算機(ji)(ji)(ji)信息系統安全等級(ji)測評機(ji)(ji)(ji)構(gou)（簡稱(cheng)測評機(ji)(ji)(ji)構(gou)）承擔：

（一）在(zai)中華(hua)人民共和國(guo)境內注冊(ce)成立（港澳(ao)臺地區(qu)除(chu)外），具有相應(ying)經營(ying)范圍的營(ying)業執照，注冊(ce)資本100萬元以上；

（二(er)）由中國(guo)公民投(tou)資、中國(guo)法人投(tou)資或者國(guo)家(jia)投(tou)資的企事業單(dan)位(wei)（港澳臺地區除(chu)外(wai)）；

（三）近3年(nian)完成的(de)測評(ping)項目總值(zhi)150萬元以上；

（四(si)）具(ju)有(you)計算機安全或相關專(zhuan)業資格證書的專(zhuan)業技術(shu)人(ren)員不少于(yu)20人(ren)，其中大(da)學本科以上學歷的人(ren)員不少于(yu)15人(ren)；

（五）管理人員應當具有3年(nian)以(yi)上從事計算機(ji)信(xin)息系統安全(quan)技術(shu)領域企業管理工作經歷，技術(shu)負責人已獲(huo)得計算機(ji)信(xin)息系統安全(quan)技術(shu)相(xiang)關專(zhuan)業的高級(ji)職稱，從事安全(quan)測評工作不少于3年(nian)，無犯罪記(ji)錄(lu)；

（六）工作人員僅限于(yu)中國(guo)公民，法人及主(zhu)要業務(wu)、技(ji)術人員無犯罪記錄；

（七）具有與所承擔項目適(shi)應(ying)的技術裝備；

（八）具有完備的保(bao)密管(guan)(guan)理(li)、項目管(guan)(guan)理(li)、質(zhi)量管(guan)(guan)理(li)、人員管(guan)(guan)理(li)和培(pei)訓教(jiao)育等安全管(guan)(guan)理(li)制度(du)；

（九）對國家安(an)全、社會秩序、公共利(li)益不(bu)構成威脅。

第二十二條 廣(guang)東省對測評機構實施備(bei)案制(zhi)度。符(fu)合第(di)二(er)十一條(tiao)規定的(de)(de)條(tiao)件，承擔(dan)第(di)二(er)級以上的(de)(de)計(ji)算機信(xin)息(xi)系(xi)統測評工作的(de)(de)機構應當到省公安(an)廳公共(gong)信(xin)息(xi)網絡安(an)全監察部門(men)備(bei)案。

第二十三條 省公(gong)安廳公(gong)共信息網絡安全監察(cha)部門對(dui)已(yi)備案(an)的測評機構進(jin)行公(gong)布。

第二十四條 測評機構應(ying)當(dang)履行下列義務(wu)：

（一）遵守國家有關法(fa)律法(fa)規(gui)和(he)技術標準，提供安全、客觀、公(gong)正(zheng)的檢測(ce)評(ping)估服務，保證測(ce)評(ping)的質量和(he)效果；

（二）保守(shou)在測評活動中(zhong)知悉的國家秘(mi)密、商業秘(mi)密和個人隱私，防(fang)范測評風險；

（三(san)）對測評人員進行安(an)全保密(mi)教育，與其簽訂安(an)全保密(mi)責(ze)任(ren)書，規定應(ying)當履行的安(an)全保密(mi)義務(wu)和承擔的法律責(ze)任(ren)，并負責(ze)檢查(cha)落實(shi)。

第二十五條 第二(er)級(ji)以(yi)上的計(ji)算機(ji)信息系統建設完成后(hou)，使用(yong)單(dan)位應當(dang)委托符合規定(ding)的測評(ping)(ping)機(ji)構安(an)全測評(ping)(ping)合格方可投(tou)入使用(yong)。測評(ping)(ping)活動應當(dang)接受公安(an)機(ji)關公共信息網絡安(an)全監(jian)察部門的監(jian)督。

第二十六條 計算機信息系統運(yun)營、使用單(dan)位委托安全測(ce)評機構測(ce)評，應當提(ti)交(jiao)下(xia)列資料：

（一）安全測評委托書；

（二）計算機信(xin)息系(xi)統應用需求、系(xi)統結構拓(tuo)撲及說明、系(xi)統安(an)(an)全(quan)組織結構和管理制(zhi)度、安(an)(an)全(quan)保(bao)護(hu)設(she)施設(she)計實施方(fang)案或者改建實施方(fang)案、系(xi)統軟(ruan)件硬件和信(xin)息安(an)(an)全(quan)產(chan)品清單(dan)。

第二十七條 安(an)全測評(ping)機構在收到委托材料后，應當(dang)與委托方協商制訂安(an)全測評(ping)計劃，開(kai)展安(an)全測評(ping)工作，并出(chu)具(ju)安(an)全測評(ping)報告。

經測(ce)評(ping)，計算機信息(xi)系統(tong)安全狀況(kuang)未達到國家有關規定和標準的(de)要求，委托(tuo)單位應當根據測(ce)評(ping)報告的(de)建(jian)議，完善計算機信息(xi)系統(tong)安全建(jian)設，并重新(xin)提出安全測(ce)評(ping)委托(tuo)。

測評機構對(dui)計算(suan)機信息(xi)系統(tong)進行使用前安全測評，應(ying)當預(yu)先報(bao)告(gao)地級(ji)(ji)以上市(shi)公安機關公共信息(xi)網絡安全監察(cha)部門(men)。安全測評報(bao)告(gao)由計算(suan)機信息(xi)系統(tong)運營、使用單位報(bao)地級(ji)(ji)以上市(shi)公安機關公共信息(xi)網絡安全監察(cha)部門(men)。

第二十八條 第三(san)級(ji)(ji)(ji)計算機信息系統應(ying)當(dang)(dang)每年至少進(jin)行一次安全(quan)(quan)測(ce)評，第四級(ji)(ji)(ji)計算機信息系統應(ying)當(dang)(dang)每半年至少進(jin)行一次安全(quan)(quan)測(ce)評，第五級(ji)(ji)(ji)計算機信息系統應(ying)當(dang)(dang)依據特殊(shu)安全(quan)(quan)要(yao)求進(jin)行安全(quan)(quan)測(ce)評。

第六章 應急處置

第二十九條 公安(an)機(ji)關公共信(xin)息網(wang)絡安(an)全(quan)監察部門與所在(zai)地安(an)全(quan)服(fu)務機(ji)構、互(hu)聯網(wang)運(yun)營(ying)單位和其他計算機(ji)信(xin)息系統運(yun)營(ying)、使用單位應當建立聯防(fang)機(ji)制，依(yi)法(fa)及時(shi)查處通過計算機(ji)信(xin)息系統進行(xing)的違法(fa)犯(fan)罪行(xing)為，組織處置(zhi)重大突發事件。

第三十條 對計算機信息(xi)(xi)系(xi)統中發生的(de)案(an)件和重大安(an)全(quan)事故，計算機信息(xi)(xi)系(xi)統的(de)運(yun)營、使用單位(wei)應當在(zai)二十四小時內報告縣級以上(shang)人(ren)民政府公安(an)機關(guan)公共信息(xi)(xi)網(wang)絡(luo)安(an)全(quan)監察部門，并保留有關(guan)原始記(ji)錄。

第三十一條 第二級以上的(de)計算機信息系(xi)統運營(ying)、使(shi)用單位應當制(zhi)定重大突(tu)發(fa)事件應急處置(zhi)預(yu)案并(bing)定期實(shi)施(shi)演練。

第三十二條 計算機信息(xi)系統發生重大(da)突發事件，有關單位應(ying)當按(an)照應(ying)急處置(zhi)預案的要求(qiu)采取相應(ying)的處置(zhi)措施(shi)，并服從(cong)公安機關和國(guo)家指定的專(zhuan)門(men)部(bu)門(men)的調度。

第三十三條 地級市(shi)以上人民政府公(gong)(gong)(gong)安(an)(an)(an)機關公(gong)(gong)(gong)共(gong)信(xin)息網絡安(an)(an)(an)全監察部(bu)門經本機關主管(guan)領導批準，為保護(hu)計算機信(xin)息系(xi)統(tong)安(an)(an)(an)全，在發(fa)生重大(da)突發(fa)事(shi)件，危及國家(jia)安(an)(an)(an)全、公(gong)(gong)(gong)共(gong)安(an)(an)(an)全及社會穩定的緊急情況下，可以采取二(er)十四(si)小時內暫時停機、暫停聯網、備份數據等措施。

第七章 安全培訓

第三十四條 省公安(an)廳、人(ren)事廳聯合成(cheng)立的(de)省信(xin)息網(wang)絡安(an)全專業技(ji)(ji)術(shu)人(ren)員(yuan)(yuan)繼續教(jiao)(jiao)育(yu)工作(zuo)領導(dao)小組，負責(ze)全省信(xin)息網(wang)絡安(an)全專業技(ji)(ji)術(shu)人(ren)員(yuan)(yuan)繼續教(jiao)(jiao)育(yu)工作(zuo)的(de)組織和領導(dao)。下設省信(xin)息網(wang)絡安(an)全專業技(ji)(ji)術(shu)人(ren)員(yuan)(yuan)繼續教(jiao)(jiao)育(yu)工作(zuo)辦(ban)公室，具(ju)體負責(ze)日常(chang)管(guan)理工作(zuo)。

第三十五條 下列人員應(ying)當(dang)參加(jia)信(xin)息(xi)(xi)網(wang)絡安(an)全(quan)專業技術人員繼續(xu)教育(yu)，取得省信(xin)息(xi)(xi)網(wang)絡安(an)全(quan)專業技術人員繼續(xu)教育(yu)工作(zuo)辦公室頒(ban)發(fa)的信(xin)息(xi)(xi)網(wang)絡安(an)全(quan)專業技術人員繼續(xu)教育(yu)合格證書，持證上崗(gang)：

（一）計(ji)算機信(xin)息系(xi)統運營、使(shi)用單位信(xin)息安全管理責任人、信(xin)息審查員；

（二）互聯網(wang)接入(ru)服(fu)務(wu)、數據中心(xin)服(fu)務(wu)、信息服(fu)務(wu)、上網(wang)服(fu)務(wu)提(ti)供單位安全管(guan)理(li)員(yuan)、專業技術人(ren)員(yuan)；

（三(san)）安全專用產(chan)品生產(chan)單位專業(ye)技術(shu)人員；

（四）安(an)全(quan)服務(wu)(wu)機構專業技術人員、安(an)全(quan)服務(wu)(wu)管理(li)人員；

（五）其他從事計算機(ji)信(xin)息(xi)系統安全(quan)保護工作的人(ren)員。

第三十六條 信(xin)息網(wang)絡安全(quan)專業技(ji)術人(ren)員繼續教(jiao)育由省信(xin)息網(wang)絡安全(quan)專業技(ji)術人(ren)員繼續教(jiao)育工作(zuo)辦公室授(shou)權的施(shi)(shi)(shi)教(jiao)機構(gou)(gou)負(fu)責實施(shi)(shi)(shi)。施(shi)(shi)(shi)教(jiao)機構(gou)(gou)實行(xing)統籌規劃。

第三十七條 信息網絡安全專業技術(shu)人(ren)員繼續(xu)教(jiao)育(yu)培訓和考試(shi)按(an)照(zhao)有(you)關(guan)規定進(jin)行，實行統(tong)一(yi)教(jiao)學大綱，統(tong)一(yi)教(jiao)材，統(tong)一(yi)考試(shi)，統(tong)一(yi)發(fa)證(zheng)。

考試合格的(de)，由(you)省信息網(wang)絡(luo)安(an)(an)全(quan)專業(ye)技術人員繼續教(jiao)育(yu)工作辦公室發給(gei)信息網(wang)絡(luo)安(an)(an)全(quan)專業(ye)技術人員繼續教(jiao)育(yu)證書。

第八章 法律責任

第三十八條 違反本辦法的規定，依照有關法律、法規和規章(zhang)處罰。

第九章 附則

第三十九條 本細則(ze)下列(lie)用語的(de)含義：實(shi)體(ti)(ti)安全，指(zhi)保護計算機(ji)信(xin)息系統的(de)環境(jing)，計算機(ji)設備、設施（含網絡）以及其它(ta)媒體(ti)(ti)免遭地震、水災、火(huo)災、雷電、有害氣體(ti)(ti)和(he)其它(ta)環境(jing)事故（如電磁(ci)污染等）破壞。

運行安全，指(zhi)保護計算機信息系統的信息處理(li)過程順利(li)進行。

信息安全(quan)，指保障(zhang)信息的完整性(xing)、保密性(xing)、可用性(xing)和可控性(xing)。

內容(rong)安全，指(zhi)確保計算(suan)機信息系(xi)統中傳輸的(de)信息所承載的(de)內容(rong)的(de)合法性(xing)。

安(an)全(quan)（漏洞）檢測，指(zhi)利用(yong)計算機技術手段(duan)掃描(miao)、探(tan)測計算機信息系統安(an)全(quan)漏洞。

第四十條 本辦法規定的“以上”含本數。

第四十一條 本辦法規定的有(you)關(guan)表格(ge)和證書由省公(gong)安廳制定式樣(yang)，統一監制。

第四十二條 本辦法由省公安廳(ting)負責解(jie)釋。

第四十三條 本辦(ban)法自2008年12月1日(ri)起施行。