廣東省公安廳關于計算機信息系統安全保護的實施辦法

（廣東省公安廳2008年9月27日(ri)以粵公通(tong)字〔2008〕228號發布 自2008年12月1日(ri)起施行）

第一章 總則

第一條 為保護(hu)計算機信(xin)(xin)息系統(tong)安全，促進信(xin)(xin)息化建設的健康發(fa)展，貫(guan)徹(che)落實(shi)《廣(guang)東省計算機信(xin)(xin)息系統(tong)安全保護(hu)條例(li)》，根據有(you)關(guan)法(fa)律法(fa)規，制(zhi)定本辦法(fa)。

第二條 本辦法適用于廣東省行政區(qu)域內計算機信(xin)息系(xi)統(tong)的安全保護。

第三條 縣級以上人民政府公安機關公共信息網絡安全監察部門(men)具(ju)體負(fu)責本行(xing)政區域內計算(suan)機信息系統的安全保護(hu)監管工作。

第二章 安全監督

第四條 公(gong)安(an)(an)機(ji)關公(gong)共(gong)信(xin)息網絡安(an)(an)全監(jian)察部(bu)門對計(ji)算機(ji)信(xin)息系統安(an)(an)全保(bao)護工作行使下列職(zhi)責：

（一）監督、檢查、指導計算機信息(xi)系統安全保護工作；

（二）組織開展計算(suan)機信息系統安全等級保護；

（三）查處計(ji)算機違法(fa)犯(fan)罪案(an)件；

（四）組織處置(zhi)重(zhong)大(da)計算機信息系統安全事故(gu)和(he)事件；

（五）負責計(ji)算機病(bing)毒和其他有害數據(ju)防治(zhi)管理；

（六）負責計(ji)算(suan)機(ji)信息(xi)系統安全服務的監督指(zhi)導；

（七）負責計(ji)算(suan)機信息(xi)系統安全(quan)專用產品的監(jian)督管理(li)；

（八）負(fu)責計算機(ji)信息系統安全培訓管理；

（九）法律、法規和規章(zhang)規定的其他(ta)職責。

第五條 公安機(ji)關公共信息(xi)網絡安全(quan)(quan)監(jian)察(cha)部門應當對(dui)計算機(ji)信息(xi)系統落實實體(ti)安全(quan)(quan)、運行(xing)(xing)安全(quan)(quan)、信息(xi)安全(quan)(quan)和內容安全(quan)(quan)措(cuo)施的情況(kuang)進行(xing)(xing)檢(jian)查。

對(dui)第(di)三級計算機(ji)信(xin)息系統(tong)每年(nian)至(zhi)少(shao)檢查(cha)一(yi)次，對(dui)第(di)四級計算機(ji)信(xin)息系統(tong)每半年(nian)至(zhi)少(shao)檢查(cha)一(yi)次。對(dui)第(di)五級計算機(ji)信(xin)息系統(tong)，應當會同國(guo)家指定的專(zhuan)門部門進行檢查(cha)。

對其(qi)他計算機(ji)信息系統(tong)應當不定期開展檢(jian)查。

第六條 公安機(ji)關公共(gong)信息網(wang)絡安全監(jian)察部門發現計算機(ji)信息系統的安全保護等(deng)級和安全措施不符(fu)合有關規定和技(ji)術標準(zhun)，或者存在安全隱患的，應當(dang)通知(zhi)運營、使(shi)用單位進行整(zheng)改。

第七條 公安(an)機(ji)關公共信息網絡(luo)安(an)全監(jian)察部門應當向公眾(zhong)提(ti)供報警(jing)求助渠(qu)道，提(ti)供計算(suan)機(ji)信息系統安(an)全指導(dao)，發布安(an)全動態(tai)，開展安(an)全宣傳。

第三章 安全保護責任

第八條 單位(wei)和(he)個人應(ying)當(dang)依照有關法規(gui)、規(gui)章和(he)標(biao)準，對其(qi)所有、使用和(he)管理的計算機信息系統承擔相應(ying)的安全(quan)保護責(ze)任(ren)。

第九條 第二級(ji)以上計算機(ji)信(xin)息系統的(de)運營、使用單位應(ying)當建立安(an)(an)全(quan)保護組織，并報(bao)所在地(di)地(di)級(ji)以上市人民政府公(gong)安(an)(an)機(ji)關公(gong)共信(xin)息網(wang)絡(luo)安(an)(an)全(quan)監察部(bu)門備(bei)案。

第十條 安全(quan)保(bao)護組(zu)織保(bao)障本單位計算機(ji)信(xin)(xin)息系(xi)統的(de)安全(quan)運行，組(zu)織本單位計算機(ji)信(xin)(xin)息系(xi)統的(de)有害信(xin)(xin)息防治工作，組(zu)織開展本單位計算機(ji)信(xin)(xin)息系(xi)統安全(quan)教育和培訓，向(xiang)公安機(ji)關(guan)公共信(xin)(xin)息網(wang)絡(luo)安全(quan)監(jian)察(cha)(cha)部門報告本單位計算機(ji)信(xin)(xin)息系(xi)統運行、服務(wu)和安全(quan)等情況，及時協助公安機(ji)關(guan)公共信(xin)(xin)息網(wang)絡(luo)安全(quan)監(jian)察(cha)(cha)部門查處違法犯罪和處置突發(fa)事件。

第十一條 互聯(lian)單(dan)位、互聯(lian)網接入服務單(dan)位、互聯(lian)網數據(ju)中心應當(dang)對接入本(ben)網絡的用戶(hu)進行資格審查，確認符合(he)國家(jia)和(he)省有關規定后方可為(wei)其(qi)提供服務。

互聯網接入服務、信息服務單(dan)位以(yi)及互聯網數據中心應(ying)當向用戶宣傳相關法(fa)律法(fa)規，提供(gong)必要的安全保護(hu)措施。

第十二條 個人主頁、博客、聊天室(shi)、點對點服務(wu)等互聯網信息服務(wu)的(de)提(ti)供單(dan)位和(he)使(shi)用者(zhe)應當依照國(guo)家和(he)省(sheng)有關規定(ding)，落實(shi)相應的(de)安全措(cuo)施。

第十三條 網(wang)吧、圖書館、學校、賓館等(deng)提(ti)供互聯網(wang)上網(wang)服務的場所應當(dang)安(an)裝符合(he)國家規定的安(an)全管理系(xi)統。

第十四條 互(hu)(hu)(hu)聯(lian)單位(wei)、互(hu)(hu)(hu)聯(lian)網(wang)接(jie)入服務單位(wei)以及互(hu)(hu)(hu)聯(lian)網(wang)數(shu)據中心應當每月將接(jie)入本網(wang)絡的用戶情況報地級以上市(shi)公安機關公共信(xin)息網(wang)絡安全(quan)監察部(bu)門備案。

第十五條 計算機(ji)信(xin)(xin)息系統(tong)運營、使用單(dan)位(wei)應當(dang)接受(shou)公(gong)安機(ji)關(guan)公(gong)共信(xin)(xin)息網(wang)絡安全(quan)監察(cha)部門的監督、檢查、指導(dao)，如實提(ti)供(gong)安全(quan)保護有關(guan)信(xin)(xin)息、資料(liao)及數據文件，不(bu)得(de)變相拒(ju)絕、拖(tuo)延、阻礙公(gong)安機(ji)關(guan)公(gong)共信(xin)(xin)息網(wang)絡安全(quan)監察(cha)部門依法執行公(gong)務。

第四章 安全專用產品和安全服務

第十六條 安(an)全專(zhuan)用產品(pin)必(bi)須取得公安(an)部頒發的銷(xiao)(xiao)售許可(ke)證方可(ke)銷(xiao)(xiao)售。

第十七條 生產(chan)、銷售或(huo)者提供含有(you)計算機信息(xi)(xi)網(wang)絡遠程(cheng)控(kong)制、密碼猜解、安(an)(an)全（漏洞）檢測、信息(xi)(xi)群發(fa)技術的產(chan)品和工具的，應當在領取營(ying)業執(zhi)(zhi)照(zhao)后30日(ri)內（沒有(you)營(ying)業執(zhi)(zhi)照(zhao)的，自開辦之日(ri)起30日(ri)內）向(xiang)單位所在地(di)地(di)級以上市人(ren)民(min)政府公安(an)(an)機關公共信息(xi)(xi)網(wang)絡安(an)(an)全監察部門備(bei)案，填(tian)寫《廣東省計算機信息(xi)(xi)網(wang)絡安(an)(an)全特(te)種技術備(bei)案表》，并提交如下資料(liao)：

（一）單位簡況；

（二）營業(ye)執照（或其他有(you)效證明）復(fu)印件；

（三）研發和服務管理制度；

（四）主要經(jing)營管(guan)理(li)人員、技術人員和服務人員有效證件復印件；

（五）主要(yao)產品情況。

第十八條 安(an)(an)全保護等級(ji)為第三級(ji)以上的(de)計算機信(xin)息系統(tong)應當選用符(fu)合下列條件(jian)的(de)安(an)(an)全專用產(chan)品：

（一）產品研制、生(sheng)產單位是(shi)由中(zhong)國(guo)公民、法人投資(zi)或(huo)者國(guo)家投資(zi)或(huo)者控(kong)股的，在中(zhong)華人民共和國(guo)境內(nei)具(ju)有獨立的法人資(zi)格；

（二）產(chan)品的核心技術、關鍵部件具(ju)有我國自主知識產(chan)權；

（三）產(chan)品研制、生產(chan)單位(wei)及其主要業(ye)務、技術人員(yuan)無犯(fan)罪記錄；

（四）產(chan)品研制、生(sheng)產(chan)單位聲明(ming)沒有故意留有或者設(she)置漏洞、后門(men)、木馬等程序和功能(neng)；

（五）對國家安全、社(she)會秩序、公共利(li)益不構成危害。

第十九條 符合第十八(ba)條規定的安(an)全(quan)專用產(chan)品和生產(chan)單(dan)位(wei)應當到省公安(an)廳公共信息網絡安(an)全(quan)監(jian)察部門備案。

第二十條 為加強安(an)全服(fu)務機構(gou)的(de)指導，推動(dong)安(an)全服(fu)務質量和技術(shu)水平(ping)的(de)提高(gao)，廣東省對從事計(ji)(ji)算(suan)機信息(xi)系統安(an)全設計(ji)(ji)、建設、檢(jian)測、評估等安(an)全服(fu)務的(de)機構(gou)，根(gen)據其注冊資本、服(fu)務業(ye)績、技術(shu)力量、組織管理情況實行分級指導。

第五章 安全等級測評

第二十一條 第二級(ji)以上的(de)計(ji)算(suan)機(ji)信息(xi)(xi)系統的(de)安全測評(ping)應(ying)當選擇符合下列條件的(de)計(ji)算(suan)機(ji)信息(xi)(xi)系統安全等級(ji)測評(ping)機(ji)構（簡稱(cheng)測評(ping)機(ji)構）承擔：

（一）在中華人民共和國境內(nei)注(zhu)冊成立（港澳臺地(di)區除外），具有相應經營范(fan)圍的營業執照，注(zhu)冊資本100萬元以上；

（二）由中國公(gong)民投資、中國法(fa)人投資或者(zhe)國家投資的企事業單(dan)位（港澳臺地區除(chu)外）；

（三）近3年完(wan)成的測評項目總(zong)值150萬元以上；

（四）具有計(ji)算(suan)機安全或相關專(zhuan)業資格證書的(de)專(zhuan)業技(ji)術人(ren)(ren)員不少(shao)于20人(ren)(ren)，其中大學(xue)本科(ke)以上(shang)學(xue)歷(li)的(de)人(ren)(ren)員不少(shao)于15人(ren)(ren)；

（五）管理人(ren)員(yuan)應當具有(you)3年以上從(cong)事計(ji)算機(ji)信息系(xi)統(tong)安(an)全技(ji)(ji)術領(ling)域企業(ye)管理工作(zuo)經歷，技(ji)(ji)術負(fu)責人(ren)已獲得計(ji)算機(ji)信息系(xi)統(tong)安(an)全技(ji)(ji)術相關專業(ye)的高級職稱，從(cong)事安(an)全測評工作(zuo)不(bu)少于3年，無犯罪記錄；

（六）工作(zuo)人(ren)員僅限于中(zhong)國(guo)公民，法人(ren)及(ji)主要(yao)業務、技術人(ren)員無犯(fan)罪記錄(lu)；

（七）具有與所承擔(dan)項(xiang)目適應的技術(shu)裝備(bei)；

（八）具有完備的(de)保密管(guan)(guan)理、項目(mu)管(guan)(guan)理、質(zhi)量管(guan)(guan)理、人員(yuan)管(guan)(guan)理和培訓教育(yu)等安全(quan)管(guan)(guan)理制度；

（九）對國家安全、社(she)會(hui)秩序、公共(gong)利益(yi)不構(gou)成威脅(xie)。

第二十二條 廣(guang)東省對測評機構(gou)實施備(bei)(bei)案制度。符(fu)合第(di)二(er)十(shi)一條(tiao)規(gui)定的條(tiao)件，承擔第(di)二(er)級以上的計算機信息(xi)系(xi)統測評工(gong)作的機構(gou)應當到省公(gong)(gong)安廳(ting)公(gong)(gong)共信息(xi)網(wang)絡安全(quan)監(jian)察部門(men)備(bei)(bei)案。

第二十三條 省公(gong)安(an)廳公(gong)共信息網(wang)絡安(an)全(quan)監(jian)察部門對已備案的(de)測評機構進行(xing)公(gong)布。

第二十四條 測評(ping)機構應(ying)當(dang)履行下列(lie)義務：

（一）遵守國(guo)家(jia)有關法(fa)律法(fa)規和技術(shu)標準，提(ti)供安全、客觀、公正(zheng)的(de)檢測評估服務，保證測評的(de)質量和效(xiao)果；

（二）保守在測(ce)評活動中知悉的國家秘(mi)密、商業(ye)秘(mi)密和個(ge)人隱私(si)，防范(fan)測(ce)評風險；

（三）對測評(ping)人員進行(xing)安全(quan)保密教育(yu)，與其簽(qian)訂安全(quan)保密責任(ren)書(shu)，規(gui)定(ding)應當履行(xing)的(de)安全(quan)保密義(yi)務和承擔的(de)法律責任(ren)，并負責檢查落實。

第二十五條 第二級以上的(de)計算機(ji)信(xin)息系統建設完成(cheng)后(hou)，使用單位應當委托(tuo)符合規定的(de)測評(ping)機(ji)構(gou)安(an)全測評(ping)合格(ge)方可投入使用。測評(ping)活動應當接受公(gong)安(an)機(ji)關公(gong)共(gong)信(xin)息網絡安(an)全監察部門(men)的(de)監督(du)。

第二十六條 計算機信(xin)息系統運(yun)營、使用單位委托安(an)全測(ce)評(ping)機構測(ce)評(ping)，應當提交下列資料：

（一）安(an)全(quan)測評委(wei)托書；

（二）計算(suan)機信息(xi)系(xi)統應(ying)用需求、系(xi)統結(jie)構拓撲及說明、系(xi)統安(an)(an)全組(zu)織結(jie)構和管理制度(du)、安(an)(an)全保護設(she)施(shi)設(she)計實施(shi)方案(an)或者改建實施(shi)方案(an)、系(xi)統軟件硬件和信息(xi)安(an)(an)全產品清單。

第二十七條 安(an)全(quan)測(ce)(ce)評機構在收到委托材料后，應(ying)當與委托方協商制訂(ding)安(an)全(quan)測(ce)(ce)評計劃，開展安(an)全(quan)測(ce)(ce)評工作(zuo)，并出具安(an)全(quan)測(ce)(ce)評報告。

經測評，計(ji)算(suan)機信息系(xi)(xi)統(tong)(tong)安全(quan)(quan)狀況未達到國(guo)家有關規定(ding)和標(biao)準的要求(qiu)，委托(tuo)單(dan)位應當根據測評報(bao)告的建議，完善計(ji)算(suan)機信息系(xi)(xi)統(tong)(tong)安全(quan)(quan)建設，并重(zhong)新提出安全(quan)(quan)測評委托(tuo)。

測評機構(gou)對計算機信息系統(tong)進行使用前(qian)安(an)(an)(an)全(quan)測評，應當(dang)預(yu)先報(bao)(bao)告地級以上市公(gong)安(an)(an)(an)機關公(gong)共信息網絡(luo)安(an)(an)(an)全(quan)監(jian)察部(bu)門。安(an)(an)(an)全(quan)測評報(bao)(bao)告由計算機信息系統(tong)運營、使用單位報(bao)(bao)地級以上市公(gong)安(an)(an)(an)機關公(gong)共信息網絡(luo)安(an)(an)(an)全(quan)監(jian)察部(bu)門。

第二十八條 第(di)三級(ji)計(ji)算機(ji)(ji)信息系(xi)統(tong)應(ying)當(dang)每年(nian)至(zhi)少(shao)進(jin)(jin)行一(yi)次安(an)全(quan)測評(ping)，第(di)四(si)級(ji)計(ji)算機(ji)(ji)信息系(xi)統(tong)應(ying)當(dang)每半年(nian)至(zhi)少(shao)進(jin)(jin)行一(yi)次安(an)全(quan)測評(ping)，第(di)五(wu)級(ji)計(ji)算機(ji)(ji)信息系(xi)統(tong)應(ying)當(dang)依據特殊安(an)全(quan)要求進(jin)(jin)行安(an)全(quan)測評(ping)。

第六章 應急處置

第二十九條 公安(an)機(ji)(ji)(ji)(ji)關公共(gong)信息網絡(luo)安(an)全監(jian)察部門與所在地安(an)全服務機(ji)(ji)(ji)(ji)構(gou)、互聯(lian)網運營單位(wei)和(he)其他計算機(ji)(ji)(ji)(ji)信息系統(tong)(tong)運營、使用單位(wei)應當建(jian)立(li)聯(lian)防機(ji)(ji)(ji)(ji)制，依法及時查處(chu)(chu)通過計算機(ji)(ji)(ji)(ji)信息系統(tong)(tong)進行的(de)違法犯(fan)罪行為(wei)，組織處(chu)(chu)置重大突發事件。

第三十條 對(dui)計(ji)算機信(xin)息(xi)系(xi)統(tong)中(zhong)發生的(de)案件和重大安(an)全(quan)事故，計(ji)算機信(xin)息(xi)系(xi)統(tong)的(de)運(yun)營、使用單位應(ying)當在二十(shi)四小時內(nei)報告縣級以上人民政(zheng)府公安(an)機關(guan)公共信(xin)息(xi)網絡(luo)安(an)全(quan)監(jian)察(cha)部(bu)門，并(bing)保留有(you)關(guan)原始記錄。

第三十一條 第二級以上的計算機信(xin)息系統運營、使用單位應當(dang)制定重大突發事件應急處(chu)置預案并定期(qi)實施演練。

第三十二條 計算機(ji)信息系統發(fa)生重大突發(fa)事件(jian)，有(you)關(guan)單位應當按照應急處(chu)置預(yu)案的(de)要求(qiu)采(cai)取相應的(de)處(chu)置措施，并服(fu)從公安機(ji)關(guan)和國家(jia)指定(ding)的(de)專門部門的(de)調度。

第三十三條 地級市以上人民政府公(gong)安(an)機關公(gong)共(gong)信息網(wang)絡安(an)全(quan)監察部(bu)門經(jing)本機關主(zhu)管領(ling)導批準，為(wei)保護計算機信息系統安(an)全(quan)，在(zai)發生重(zhong)大突發事(shi)件(jian)，危(wei)及國家安(an)全(quan)、公(gong)共(gong)安(an)全(quan)及社會穩定(ding)的緊(jin)急情況下，可以采取二十四小時(shi)內暫(zan)時(shi)停機、暫(zan)停聯網(wang)、備份數據等措施。

第七章 安全培訓

第三十四條 省(sheng)公安廳、人(ren)事廳聯合成立的省(sheng)信息網(wang)(wang)絡(luo)安全(quan)專業技術(shu)人(ren)員(yuan)繼續(xu)教育工(gong)(gong)作領導(dao)(dao)小(xiao)組(zu)，負(fu)責全(quan)省(sheng)信息網(wang)(wang)絡(luo)安全(quan)專業技術(shu)人(ren)員(yuan)繼續(xu)教育工(gong)(gong)作的組(zu)織和領導(dao)(dao)。下設(she)省(sheng)信息網(wang)(wang)絡(luo)安全(quan)專業技術(shu)人(ren)員(yuan)繼續(xu)教育工(gong)(gong)作辦(ban)公室，具體負(fu)責日常(chang)管理工(gong)(gong)作。

第三十五條 下列(lie)人員(yuan)應(ying)當參加信(xin)息網絡安全(quan)專(zhuan)業(ye)(ye)技(ji)術人員(yuan)繼續教(jiao)育，取得省信(xin)息網絡安全(quan)專(zhuan)業(ye)(ye)技(ji)術人員(yuan)繼續教(jiao)育工作辦公室頒(ban)發的信(xin)息網絡安全(quan)專(zhuan)業(ye)(ye)技(ji)術人員(yuan)繼續教(jiao)育合(he)格證(zheng)書，持證(zheng)上崗：

（一(yi)）計(ji)算(suan)機信(xin)息系(xi)統運營、使用單(dan)位信(xin)息安全管理責(ze)任(ren)人、信(xin)息審查員；

（二）互聯網(wang)接入服務、數據中心服務、信息(xi)服務、上(shang)網(wang)服務提(ti)供(gong)單位安全(quan)管(guan)理員(yuan)(yuan)、專(zhuan)業技術(shu)人員(yuan)(yuan)；

（三(san)）安全專用產品生產單位專業技術人員；

（四）安(an)全服務機(ji)構專(zhuan)業(ye)技術人員、安(an)全服務管理(li)人員；

（五）其(qi)他從事計算機信息系(xi)統安全(quan)保(bao)護工作的人員。

第三十六條 信息網(wang)(wang)絡安(an)全(quan)專業技術人員(yuan)繼續教育(yu)由省信息網(wang)(wang)絡安(an)全(quan)專業技術人員(yuan)繼續教育(yu)工作辦公室授(shou)權(quan)的施(shi)(shi)教機構負責實(shi)施(shi)(shi)。施(shi)(shi)教機構實(shi)行統籌規劃。

第三十七條 信息網(wang)絡安全(quan)專業技術人員(yuan)繼續(xu)教(jiao)育培訓和考試(shi)按照(zhao)有關規(gui)定進行(xing)，實行(xing)統(tong)一(yi)教(jiao)學大綱，統(tong)一(yi)教(jiao)材，統(tong)一(yi)考試(shi)，統(tong)一(yi)發(fa)證。

考試合格(ge)的，由省信息網(wang)絡安全專(zhuan)(zhuan)業技術(shu)人員(yuan)繼續教育工作辦公室發(fa)給(gei)信息網(wang)絡安全專(zhuan)(zhuan)業技術(shu)人員(yuan)繼續教育證書。

第八章 法律責任

第三十八條 違反本辦(ban)法(fa)(fa)的規定，依照有關法(fa)(fa)律、法(fa)(fa)規和(he)規章處罰。

第九章 附則

第三十九條 本(ben)細(xi)則下列用語的(de)含(han)義：實體(ti)安全，指保(bao)護計(ji)算機(ji)信(xin)息(xi)系統的(de)環境(jing)，計(ji)算機(ji)設備、設施（含(han)網絡）以及其它媒體(ti)免(mian)遭地震、水災、火災、雷電、有害氣體(ti)和其它環境(jing)事故（如電磁污染(ran)等(deng)）破壞。

運行(xing)安全，指保護計算(suan)機信(xin)息系統的信(xin)息處理過程順利(li)進(jin)行(xing)。

信息安全，指(zhi)保(bao)障信息的完(wan)整性(xing)、保(bao)密性(xing)、可(ke)用(yong)性(xing)和可(ke)控性(xing)。

內容(rong)安全，指確保計算(suan)機信息系統(tong)中傳(chuan)輸的信息所承載的內容(rong)的合法性。

安全(quan)（漏洞）檢測(ce)，指(zhi)利用計算(suan)機(ji)技術手段掃描、探測(ce)計算(suan)機(ji)信息系(xi)統安全(quan)漏洞。

第四十條 本辦法規定的“以上(shang)”含本數。

第四十一條 本辦法規(gui)定的(de)有關表格和證(zheng)書(shu)由省(sheng)公(gong)安廳制(zhi)定式樣，統一監制(zhi)。

第四十二條 本辦法由省公(gong)安廳負(fu)責解釋。

第四十三條 本辦法自2008年(nian)12月1日起施行。