廣東省公安廳關于計算機信息系統安全保護的實施辦法

（廣東省公(gong)(gong)安(an)廳2008年(nian)9月27日以粵公(gong)(gong)通字〔2008〕228號發(fa)布(bu) 自2008年(nian)12月1日起施(shi)行）

第一章 總則

第一條 為保(bao)(bao)護計算機信息系統(tong)安(an)全(quan)，促進信息化建設的健康發(fa)展，貫徹(che)落實《廣東省計算機信息系統(tong)安(an)全(quan)保(bao)(bao)護條例》，根(gen)據有關法律法規，制(zhi)定本辦法。

第二條 本(ben)辦法適用于廣東省行政區域內計(ji)算(suan)機信息系統的安全保護。

第三條 縣級(ji)以(yi)上人民(min)政府公(gong)安(an)機關公(gong)共信(xin)息網絡(luo)安(an)全監察部門具體負(fu)責本行政區域(yu)內計算機信(xin)息系(xi)統(tong)的安(an)全保護監管工(gong)作(zuo)。

第二章 安全監督

第四條 公(gong)安(an)機(ji)關公(gong)共(gong)信息網絡安(an)全監察(cha)部門對計算機(ji)信息系(xi)統安(an)全保護工作行使下列(lie)職責：

（一）監督、檢查(cha)、指導計算(suan)機(ji)信息系統安全保護(hu)工作；

（二）組織開展計算機(ji)信息系(xi)統安全等級保護；

（三）查(cha)處(chu)計算機違法犯罪案件；

（四）組織處置(zhi)重大計算機信息系統安全(quan)事(shi)故和事(shi)件；

（五）負責(ze)計算機病毒和其他有害數據防治管理；

（六）負(fu)責計算機信息系統安全服務的監督指導；

（七(qi)）負責(ze)計算(suan)機信息系統安全(quan)專用產品的監(jian)督管理；

（八）負責計算機信息系統(tong)安全(quan)培訓管理；

（九）法(fa)律、法(fa)規(gui)和規(gui)章(zhang)規(gui)定的其(qi)他職責。

第五條 公(gong)安(an)(an)機關公(gong)共信息(xi)網(wang)絡安(an)(an)全(quan)監察部(bu)門應當對計算(suan)機信息(xi)系(xi)統落(luo)實(shi)實(shi)體安(an)(an)全(quan)、運(yun)行安(an)(an)全(quan)、信息(xi)安(an)(an)全(quan)和內容安(an)(an)全(quan)措(cuo)施(shi)的情(qing)況進行檢查。

對第(di)(di)(di)三級計(ji)算機(ji)信息系統(tong)每(mei)年(nian)至少檢(jian)查一次，對第(di)(di)(di)四級計(ji)算機(ji)信息系統(tong)每(mei)半年(nian)至少檢(jian)查一次。對第(di)(di)(di)五(wu)級計(ji)算機(ji)信息系統(tong)，應當會同(tong)國家指定的專門部門進行(xing)檢(jian)查。

對其(qi)他計算(suan)機信息系(xi)統應當不定(ding)期開展檢查(cha)。

第六條 公安機關(guan)公共信息(xi)網絡安全(quan)監察部門發現(xian)計算機信息(xi)系統(tong)的(de)安全(quan)保護等級(ji)和(he)安全(quan)措施不符合有關(guan)規定和(he)技術(shu)標準，或者(zhe)存在安全(quan)隱患(huan)的(de)，應當通知運營、使用(yong)單位進行整(zheng)改。

第七條 公(gong)安機關公(gong)共信息(xi)網(wang)絡安全監察部(bu)門(men)應(ying)當(dang)向公(gong)眾(zhong)提供(gong)報(bao)警(jing)求助渠道(dao)，提供(gong)計算機信息(xi)系(xi)統安全指導，發布安全動態，開展安全宣傳。

第三章 安全保護責任

第八條 單位和個人(ren)應當依照有關法規、規章和標(biao)準，對其所有、使用和管理的計算機信息系統承擔(dan)相應的安全保護責(ze)任。

第九條 第二級(ji)(ji)以上計算機(ji)(ji)信息系(xi)統的運營、使(shi)用單位應當建(jian)立安全保護組織，并(bing)報(bao)所在地(di)地(di)級(ji)(ji)以上市人民政(zheng)府(fu)公(gong)安機(ji)(ji)關(guan)公(gong)共(gong)信息網絡安全監察部(bu)門備(bei)案。

第十條 安(an)全保護組織(zhi)保障(zhang)本單(dan)位(wei)(wei)計(ji)(ji)算(suan)機(ji)信(xin)息(xi)(xi)系(xi)統(tong)的安(an)全運(yun)行，組織(zhi)本單(dan)位(wei)(wei)計(ji)(ji)算(suan)機(ji)信(xin)息(xi)(xi)系(xi)統(tong)的有害(hai)信(xin)息(xi)(xi)防治工作(zuo)，組織(zhi)開展本單(dan)位(wei)(wei)計(ji)(ji)算(suan)機(ji)信(xin)息(xi)(xi)系(xi)統(tong)安(an)全教育和(he)培(pei)訓，向(xiang)公安(an)機(ji)關公共信(xin)息(xi)(xi)網(wang)(wang)絡(luo)安(an)全監(jian)察部(bu)(bu)門報告本單(dan)位(wei)(wei)計(ji)(ji)算(suan)機(ji)信(xin)息(xi)(xi)系(xi)統(tong)運(yun)行、服務和(he)安(an)全等情況，及時(shi)協助(zhu)公安(an)機(ji)關公共信(xin)息(xi)(xi)網(wang)(wang)絡(luo)安(an)全監(jian)察部(bu)(bu)門查處違法犯罪和(he)處置(zhi)突發事件(jian)。

第十一條 互聯單(dan)(dan)位(wei)、互聯網(wang)(wang)接入服(fu)務單(dan)(dan)位(wei)、互聯網(wang)(wang)數據中(zhong)心應當對接入本網(wang)(wang)絡的(de)用(yong)戶進行(xing)資(zi)格審查，確認(ren)符合(he)國(guo)家和省有關規定后(hou)方可為其(qi)提供服(fu)務。

互聯網接入服(fu)(fu)務、信息服(fu)(fu)務單位(wei)以及互聯網數(shu)據中心應當向(xiang)用(yong)戶宣傳相(xiang)關法(fa)律法(fa)規，提供(gong)必要的安(an)全(quan)保護措施(shi)。

第十二條 個(ge)人主頁、博客、聊天室、點(dian)對(dui)點(dian)服(fu)(fu)務(wu)等互(hu)聯網信息服(fu)(fu)務(wu)的(de)提供單位和使用者應當依(yi)照(zhao)國家和省有關(guan)規定(ding)，落實相應的(de)安全措施(shi)。

第十三條 網吧(ba)、圖書館、學(xue)校、賓(bin)館等(deng)提(ti)供互聯(lian)網上(shang)網服務的場所應當(dang)安裝符合(he)國家規定的安全管理(li)系(xi)統。

第十四條 互聯單位、互聯網(wang)接(jie)入服(fu)務單位以(yi)及互聯網(wang)數據中心應當每月將接(jie)入本網(wang)絡(luo)(luo)的用戶情(qing)況報地級以(yi)上市公(gong)安(an)(an)機關公(gong)共信息網(wang)絡(luo)(luo)安(an)(an)全(quan)監察(cha)部門備案(an)。

第十五條 計算機信(xin)(xin)(xin)息(xi)系統運營、使用單位應當(dang)接受公(gong)安機關公(gong)共(gong)信(xin)(xin)(xin)息(xi)網(wang)絡(luo)(luo)安全監察部門(men)(men)的監督、檢查(cha)、指導(dao)，如實提供安全保護有關信(xin)(xin)(xin)息(xi)、資料及(ji)數(shu)據文件(jian)，不得變相拒絕(jue)、拖延、阻礙公(gong)安機關公(gong)共(gong)信(xin)(xin)(xin)息(xi)網(wang)絡(luo)(luo)安全監察部門(men)(men)依法執行公(gong)務。

第四章 安全專用產品和安全服務

第十六條 安(an)全專用產品必(bi)須取得公安(an)部頒發的銷售許(xu)可證方可銷售。

第十七條 生產、銷售(shou)或者提(ti)供(gong)含(han)有計算(suan)機信息網(wang)絡遠程控制(zhi)、密碼(ma)猜解、安(an)全(quan)（漏洞）檢(jian)測、信息群發技術的產品和工具(ju)的，應當在(zai)領取(qu)營業(ye)執照后30日內(nei)（沒有營業(ye)執照的，自(zi)開辦之日起30日內(nei)）向單(dan)位所在(zai)地(di)地(di)級(ji)以(yi)上市人(ren)民政府(fu)公安(an)機關公共(gong)信息網(wang)絡安(an)全(quan)監察部門備(bei)案(an)，填寫《廣東省計算(suan)機信息網(wang)絡安(an)全(quan)特種技術備(bei)案(an)表》，并(bing)提(ti)交如下資料：

（一）單位簡況；

（二）營業執照（或其他(ta)有效證明）復印(yin)件；

（三）研發和服務管理(li)制(zhi)度；

（四）主要經營管理人員、技(ji)術人員和服務人員有效證件復印件；

（五）主(zhu)要產(chan)品情(qing)況。

第十八條 安全保護等級為第三級以上(shang)的計(ji)算機信息系統應(ying)當選用(yong)符合下列條件的安全專用(yong)產品：

（一）產品研制、生(sheng)產單位是(shi)由中國(guo)公民(min)、法(fa)人(ren)投資或(huo)者國(guo)家投資或(huo)者控股(gu)的(de)(de)，在(zai)中華人(ren)民(min)共(gong)和國(guo)境內具有(you)獨(du)立的(de)(de)法(fa)人(ren)資格；

（二）產(chan)品的核(he)心(xin)技術(shu)、關鍵部(bu)件具(ju)有我國(guo)自(zi)主知(zhi)識(shi)產(chan)權；

（三(san)）產品研(yan)制、生(sheng)產單位及其主(zhu)要業務、技術人(ren)員無犯罪記錄；

（四(si)）產品研制(zhi)、生產單(dan)位(wei)聲明沒有(you)(you)故(gu)意留有(you)(you)或者(zhe)設置(zhi)漏(lou)洞、后門、木馬等(deng)程序和功(gong)能；

（五(wu)）對國家(jia)安全、社會秩(zhi)序、公共(gong)利益(yi)不構成危害。

第十九條 符合第(di)十(shi)八條規(gui)定的(de)安(an)全專用產品和(he)生(sheng)產單位應當到省(sheng)公(gong)安(an)廳公(gong)共信(xin)息網(wang)絡安(an)全監(jian)察(cha)部門備案(an)。

第二十條 為加(jia)強安全服(fu)(fu)務(wu)機(ji)構(gou)的(de)指導，推動安全服(fu)(fu)務(wu)質量(liang)和技術(shu)水平的(de)提高(gao)，廣東省(sheng)對從事計(ji)算機(ji)信息(xi)系統安全設計(ji)、建設、檢測、評估(gu)等安全服(fu)(fu)務(wu)的(de)機(ji)構(gou)，根據其注冊(ce)資本、服(fu)(fu)務(wu)業績、技術(shu)力量(liang)、組織管理情況(kuang)實行分級指導。

第五章 安全等級測評

第二十一條 第二級(ji)以上的(de)計算機信(xin)(xin)息系統的(de)安(an)全(quan)測評(ping)應當選(xuan)擇符合下列(lie)條件的(de)計算機信(xin)(xin)息系統安(an)全(quan)等級(ji)測評(ping)機構(gou)（簡稱測評(ping)機構(gou)）承擔：

（一）在中(zhong)華(hua)人(ren)民共和國(guo)境內注(zhu)冊成立(li)（港澳(ao)臺地區除外），具有相應經營范圍的營業執照，注(zhu)冊資本100萬元以(yi)上；

（二）由中國(guo)公民投(tou)資、中國(guo)法人投(tou)資或者國(guo)家投(tou)資的企事業單位（港澳臺地區(qu)除外）；

（三）近3年完成(cheng)的測評項目(mu)總值150萬元以上；

（四）具(ju)有計(ji)算機(ji)安全或相(xiang)關(guan)專業(ye)(ye)資格證(zheng)書的(de)專業(ye)(ye)技術人(ren)員不少于(yu)20人(ren)，其(qi)中大學本科(ke)以上學歷的(de)人(ren)員不少于(yu)15人(ren)；

（五(wu)）管理人員應當具(ju)有3年(nian)以上從事計算機(ji)信(xin)息(xi)系(xi)統(tong)(tong)安(an)(an)全(quan)技(ji)術(shu)(shu)領域企業管理工作經(jing)歷，技(ji)術(shu)(shu)負(fu)責人已獲得計算機(ji)信(xin)息(xi)系(xi)統(tong)(tong)安(an)(an)全(quan)技(ji)術(shu)(shu)相關(guan)專業的高(gao)級(ji)職稱，從事安(an)(an)全(quan)測評工作不少于3年(nian)，無犯罪(zui)記錄；

（六(liu)）工作人員(yuan)僅限于中國公民，法人及主要業務、技(ji)術人員(yuan)無犯罪記錄(lu)；

（七）具有與所(suo)承擔項目適應的技術(shu)裝備；

（八）具有完備的保密管(guan)理(li)、項目管(guan)理(li)、質量管(guan)理(li)、人(ren)員(yuan)管(guan)理(li)和培訓教育等安全(quan)管(guan)理(li)制度；

（九）對國家安全、社會秩(zhi)序、公共利益不構成威脅(xie)。

第二十二條 廣東省對(dui)測評(ping)(ping)機(ji)構實施備案制度。符合第二(er)十一條規定的(de)條件，承(cheng)擔(dan)第二(er)級以上的(de)計(ji)算(suan)機(ji)信息(xi)(xi)系統測評(ping)(ping)工作的(de)機(ji)構應(ying)當到(dao)省公安廳(ting)公共信息(xi)(xi)網絡(luo)安全監察(cha)部門備案。

第二十三條 省公安廳(ting)公共信(xin)息網絡安全監察部(bu)門對已備案(an)的測評機構進行公布。

第二十四條 測評機構(gou)應當履行下列(lie)義務(wu)：

（一）遵守國家有關法律法規和(he)(he)技術標準，提供安全、客觀、公正(zheng)的(de)檢測(ce)評估服務(wu)，保證(zheng)測(ce)評的(de)質量和(he)(he)效(xiao)果(guo)；

（二）保(bao)守在測評活動(dong)中知悉的國(guo)家秘密、商業(ye)秘密和個(ge)人隱私，防(fang)范測評風(feng)險；

（三）對測(ce)評人員進行安全保(bao)密教育，與其簽訂安全保(bao)密責任書，規定應當履行的(de)安全保(bao)密義(yi)務(wu)和(he)承(cheng)擔的(de)法律責任，并負(fu)責檢(jian)查落實(shi)。

第二十五條 第二級(ji)以(yi)上的(de)計(ji)算機(ji)信息(xi)系統建設完成后，使用(yong)單位應(ying)當(dang)委(wei)托符合(he)(he)規定的(de)測(ce)(ce)評機(ji)構(gou)安全測(ce)(ce)評合(he)(he)格(ge)方可投入(ru)使用(yong)。測(ce)(ce)評活動應(ying)當(dang)接受公安機(ji)關(guan)公共信息(xi)網(wang)絡安全監察部(bu)門的(de)監督。

第二十六條 計算機(ji)信息系統運營、使用(yong)單位委托安全(quan)測(ce)評機(ji)構測(ce)評，應當(dang)提(ti)交下列資料：

（一(yi)）安(an)全測評(ping)委托書(shu)；

（二）計算機信(xin)息(xi)系統應用需求(qiu)、系統結構拓撲及說明、系統安全組織結構和(he)管理制度(du)、安全保(bao)護設施(shi)設計實(shi)施(shi)方案或者改建實(shi)施(shi)方案、系統軟件(jian)硬(ying)件(jian)和(he)信(xin)息(xi)安全產品清(qing)單。

第二十七條 安(an)(an)全測評(ping)機構(gou)在收(shou)到委(wei)托材料后(hou)，應當與委(wei)托方協商制訂安(an)(an)全測評(ping)計(ji)劃，開展安(an)(an)全測評(ping)工作，并出具(ju)安(an)(an)全測評(ping)報(bao)告。

經(jing)測(ce)評(ping)，計(ji)(ji)算機(ji)信息系(xi)統(tong)安全狀況未達(da)到國家(jia)有關規定和標準的(de)要求，委托單位應當(dang)根據測(ce)評(ping)報告的(de)建議，完(wan)善(shan)計(ji)(ji)算機(ji)信息系(xi)統(tong)安全建設，并重新提出安全測(ce)評(ping)委托。

測評機構對計算(suan)機信(xin)息(xi)(xi)系(xi)統(tong)進行(xing)使用(yong)前(qian)安全(quan)測評，應當預先報告(gao)地級以(yi)上市(shi)公(gong)安機關公(gong)共信(xin)息(xi)(xi)網(wang)絡安全(quan)監察(cha)部(bu)門。安全(quan)測評報告(gao)由計算(suan)機信(xin)息(xi)(xi)系(xi)統(tong)運營、使用(yong)單位報地級以(yi)上市(shi)公(gong)安機關公(gong)共信(xin)息(xi)(xi)網(wang)絡安全(quan)監察(cha)部(bu)門。

第二十八條 第(di)(di)三級(ji)計(ji)(ji)算(suan)機(ji)信息(xi)系統(tong)應當每(mei)年至少(shao)進(jin)(jin)行一(yi)次(ci)安(an)全(quan)(quan)測(ce)評(ping)，第(di)(di)四級(ji)計(ji)(ji)算(suan)機(ji)信息(xi)系統(tong)應當每(mei)半(ban)年至少(shao)進(jin)(jin)行一(yi)次(ci)安(an)全(quan)(quan)測(ce)評(ping)，第(di)(di)五級(ji)計(ji)(ji)算(suan)機(ji)信息(xi)系統(tong)應當依據特殊安(an)全(quan)(quan)要求進(jin)(jin)行安(an)全(quan)(quan)測(ce)評(ping)。

第六章 應急處置

第二十九條 公安機(ji)關公共信息網絡安全監(jian)察部門與所在地安全服務機(ji)構、互聯(lian)(lian)網運營(ying)單位和其他計算機(ji)信息系統運營(ying)、使(shi)用(yong)單位應當建立聯(lian)(lian)防機(ji)制，依法及時查處通過計算機(ji)信息系統進行的違法犯罪行為，組(zu)織處置重大突發事件。

第三十條 對計算機(ji)信(xin)息系(xi)統(tong)中發生的案件(jian)和重大安全事故，計算機(ji)信(xin)息系(xi)統(tong)的運營(ying)、使用(yong)單(dan)位(wei)應當在二十四小時內報告縣級以上人民政府公(gong)安機(ji)關公(gong)共(gong)信(xin)息網絡(luo)安全監察部門，并保留有關原(yuan)始記錄(lu)。

第三十一條 第二級以上的計算機(ji)信息(xi)系統運營、使用(yong)單位應當(dang)制(zhi)定重大突發事件(jian)應急處置預案并(bing)定期實(shi)施演練。

第三十二條 計算機信息系統發生重大突發事件，有關單位應(ying)當(dang)按照應(ying)急處置(zhi)預案的要(yao)求采(cai)取相應(ying)的處置(zhi)措施，并服從公安機關和國家指定的專門部門的調度。

第三十三條 地級市以(yi)上人民政府公安(an)(an)機(ji)關(guan)公共信息(xi)(xi)網絡(luo)安(an)(an)全(quan)監(jian)察(cha)部門經(jing)本機(ji)關(guan)主管(guan)領導批(pi)準，為(wei)保護(hu)計(ji)算機(ji)信息(xi)(xi)系統(tong)安(an)(an)全(quan)，在(zai)發(fa)生重大突發(fa)事件，危及(ji)國(guo)家安(an)(an)全(quan)、公共安(an)(an)全(quan)及(ji)社會穩定的緊急情況下(xia)，可以(yi)采取(qu)二十(shi)四(si)小時內暫時停(ting)(ting)機(ji)、暫停(ting)(ting)聯網、備份數據等(deng)措(cuo)施。

第七章 安全培訓

第三十四條 省(sheng)公(gong)安(an)廳、人事廳聯合成立的省(sheng)信息網絡安(an)全專業技術人員(yuan)繼續教育工作(zuo)領(ling)導小組，負責(ze)全省(sheng)信息網絡安(an)全專業技術人員(yuan)繼續教育工作(zuo)的組織和(he)領(ling)導。下設省(sheng)信息網絡安(an)全專業技術人員(yuan)繼續教育工作(zuo)辦公(gong)室，具體負責(ze)日常(chang)管理工作(zuo)。

第三十五條 下列人員(yuan)(yuan)應當參加信息網絡安(an)全(quan)(quan)專業技(ji)術(shu)人員(yuan)(yuan)繼續教育(yu)，取得省信息網絡安(an)全(quan)(quan)專業技(ji)術(shu)人員(yuan)(yuan)繼續教育(yu)工(gong)作辦公(gong)室頒發的(de)信息網絡安(an)全(quan)(quan)專業技(ji)術(shu)人員(yuan)(yuan)繼續教育(yu)合格證書(shu)，持證上崗：

（一）計算(suan)機信(xin)息系(xi)統運(yun)營、使用單(dan)位(wei)信(xin)息安全管理責任人、信(xin)息審查員；

（二(er)）互(hu)聯網接(jie)入(ru)服(fu)務、數(shu)據中(zhong)心(xin)服(fu)務、信息服(fu)務、上網服(fu)務提供(gong)單位安全(quan)管(guan)理員、專業技(ji)術人(ren)員；

（三(san)）安(an)全專(zhuan)用產品生產單位專(zhuan)業技(ji)術(shu)人員；

（四(si)）安全服務(wu)機構專(zhuan)業技術人員、安全服務(wu)管理人員；

（五）其(qi)他從事(shi)計算機信息系統安全保(bao)護工(gong)作的人員(yuan)。

第三十六條 信(xin)息網(wang)絡安全專業(ye)技術人員(yuan)繼(ji)續(xu)教育由省信(xin)息網(wang)絡安全專業(ye)技術人員(yuan)繼(ji)續(xu)教育工(gong)作辦公(gong)室(shi)授權的施(shi)教機構(gou)負責實施(shi)。施(shi)教機構(gou)實行統籌規劃。

第三十七條 信息網(wang)絡安全專業技(ji)術人員繼續教(jiao)育(yu)培(pei)訓和考(kao)試(shi)按照(zhao)有關規定進(jin)行，實行統一教(jiao)學大綱(gang)，統一教(jiao)材(cai)，統一考(kao)試(shi)，統一發證。

考試合格的，由省信息網絡安全(quan)專業技術人員繼續(xu)教育(yu)工作辦公(gong)室發(fa)給信息網絡安全(quan)專業技術人員繼續(xu)教育(yu)證書。

第八章 法律責任

第三十八條 違反本(ben)辦法的規定，依照有(you)關法律、法規和規章處(chu)罰。

第九章 附則

第三十九條 本細則下列用語的含義：實體安全，指保(bao)護(hu)計(ji)算(suan)機信息系(xi)統的環境，計(ji)算(suan)機設備、設施（含網絡）以及其它(ta)媒(mei)體免遭地震、水災、火(huo)災、雷電、有害氣體和其它(ta)環境事故(gu)（如電磁污染等）破壞。

運行(xing)安全，指保(bao)護計(ji)算機信息(xi)(xi)系(xi)統的信息(xi)(xi)處(chu)理過程順利進行(xing)。

信息安全，指(zhi)保障信息的完整性、保密性、可(ke)用性和可(ke)控(kong)性。

內(nei)容(rong)安全，指確保計算機信息(xi)系統中傳輸的(de)信息(xi)所承(cheng)載的(de)內(nei)容(rong)的(de)合法性。

安全（漏(lou)洞）檢測(ce)，指利(li)用計算機(ji)技(ji)術手段掃(sao)描(miao)、探測(ce)計算機(ji)信息系(xi)統安全漏(lou)洞。

第四十條 本辦法規定的“以上”含本數。

第四十一條 本辦(ban)法(fa)規定的有關表格和證書由省公安廳制(zhi)定式(shi)樣，統一監(jian)制(zhi)。

第四十二條 本辦法由省(sheng)公安廳負責解釋。

第四十三條 本(ben)辦法(fa)自2008年12月1日起施行(xing)。