廣東省公安廳關于計算機信息系統安全保護的實施辦法

（廣(guang)東(dong)省公(gong)安廳2008年9月(yue)27日以粵公(gong)通(tong)字〔2008〕228號發布 自2008年12月(yue)1日起施行）

第一章 總則

第一條 為保護計算機(ji)信息(xi)系統安全，促進信息(xi)化(hua)建設(she)的健康發(fa)展，貫徹落實《廣(guang)東省計算機(ji)信息(xi)系統安全保護條例》，根(gen)據有關法律法規，制定本辦法。

第二條 本(ben)辦法適用于(yu)廣東省(sheng)行(xing)政區域內計算機信息系統的安全保護。

第三條 縣級(ji)以上人民政(zheng)府公安(an)(an)機(ji)關(guan)公共(gong)信息網絡安(an)(an)全監(jian)察部門具(ju)體負責本行政(zheng)區域內計算機(ji)信息系(xi)統的安(an)(an)全保護監(jian)管工作(zuo)。

第二章 安全監督

第四條 公安(an)機關公共(gong)信息網絡(luo)安(an)全(quan)監察部門對計算機信息系統安(an)全(quan)保護工作行使下(xia)列(lie)職(zhi)責：

（一）監督、檢查、指(zhi)導計(ji)算(suan)機信息系(xi)統(tong)安全保護工作；

（二）組織(zhi)開展計(ji)算機信息系統(tong)安全等級保(bao)護；

（三(san)）查處計(ji)算機違法(fa)犯罪案件；

（四）組(zu)織處置重大計算機信息系統安全事故(gu)和事件；

（五）負責(ze)計(ji)算機病毒和其他(ta)有害數(shu)據(ju)防治管理；

（六）負責計算機信息系統安全服務的(de)監督指導(dao)；

（七(qi)）負(fu)責(ze)計算機(ji)信息系統安全專用產(chan)品的監督管理；

（八(ba)）負(fu)責計算機信(xin)息系統(tong)安全(quan)培訓管(guan)理(li)；

（九）法(fa)(fa)律、法(fa)(fa)規和規章規定的其他職責(ze)。

第五條 公安(an)(an)機(ji)關公共信(xin)息網(wang)絡安(an)(an)全監察(cha)部門應當對計(ji)算機(ji)信(xin)息系統(tong)落實(shi)實(shi)體安(an)(an)全、運行安(an)(an)全、信(xin)息安(an)(an)全和內容(rong)安(an)(an)全措施的情況(kuang)進(jin)行檢查。

對第三級計算(suan)機(ji)信(xin)息系(xi)統(tong)每年至(zhi)少檢(jian)(jian)查(cha)(cha)一(yi)次，對第四級計算(suan)機(ji)信(xin)息系(xi)統(tong)每半年至(zhi)少檢(jian)(jian)查(cha)(cha)一(yi)次。對第五級計算(suan)機(ji)信(xin)息系(xi)統(tong)，應(ying)當會(hui)同國(guo)家指定的專門(men)部門(men)進行檢(jian)(jian)查(cha)(cha)。

對其(qi)他(ta)計算機信息系統應當不定期開展檢查。

第六條 公安(an)(an)機(ji)(ji)關公共信息(xi)網絡安(an)(an)全監察部門發現計算機(ji)(ji)信息(xi)系統的(de)安(an)(an)全保(bao)護等級和(he)安(an)(an)全措施不符合(he)有關規定和(he)技術標準，或者(zhe)存在安(an)(an)全隱患的(de)，應當(dang)通知運(yun)營(ying)、使用單位進行整(zheng)改。

第七條 公安(an)機(ji)關公共信(xin)息網絡安(an)全監察部門應當向公眾提(ti)供報警求助(zhu)渠(qu)道，提(ti)供計算機(ji)信(xin)息系(xi)統安(an)全指(zhi)導，發布安(an)全動態，開展安(an)全宣傳。

第三章 安全保護責任

第八條 單位和個人應(ying)當依照(zhao)有(you)關法(fa)規、規章和標準，對其所有(you)、使(shi)用和管理(li)的(de)計算機(ji)信(xin)息系統承擔(dan)相應(ying)的(de)安(an)全保護責任(ren)。

第九條 第二級以上(shang)計算機信息(xi)(xi)系統的運營、使用單位(wei)應當建立(li)安(an)全保護(hu)組織，并(bing)報所在(zai)地(di)地(di)級以上(shang)市人民(min)政府公(gong)(gong)安(an)機關公(gong)(gong)共信息(xi)(xi)網絡安(an)全監察部門備案。

第十條 安(an)(an)全(quan)保護(hu)組織(zhi)保障本(ben)單(dan)位計算機(ji)信(xin)息(xi)系(xi)統(tong)(tong)的安(an)(an)全(quan)運行(xing)，組織(zhi)本(ben)單(dan)位計算機(ji)信(xin)息(xi)系(xi)統(tong)(tong)的有害信(xin)息(xi)防治工作，組織(zhi)開展本(ben)單(dan)位計算機(ji)信(xin)息(xi)系(xi)統(tong)(tong)安(an)(an)全(quan)教育和(he)培訓，向公安(an)(an)機(ji)關(guan)公共(gong)信(xin)息(xi)網絡安(an)(an)全(quan)監(jian)察部(bu)門報告(gao)本(ben)單(dan)位計算機(ji)信(xin)息(xi)系(xi)統(tong)(tong)運行(xing)、服務和(he)安(an)(an)全(quan)等情況，及時協助(zhu)公安(an)(an)機(ji)關(guan)公共(gong)信(xin)息(xi)網絡安(an)(an)全(quan)監(jian)察部(bu)門查處違(wei)法犯(fan)罪和(he)處置(zhi)突(tu)發事(shi)件(jian)。

第十一條 互聯(lian)單位、互聯(lian)網(wang)接入服(fu)務(wu)單位、互聯(lian)網(wang)數據(ju)中心應當對(dui)接入本網(wang)絡的用(yong)戶進(jin)行資格(ge)審查，確認(ren)符合國(guo)家和省有(you)關規定后方可為(wei)其提供(gong)服(fu)務(wu)。

互(hu)聯網(wang)(wang)接入服務、信息服務單(dan)位(wei)以及(ji)互(hu)聯網(wang)(wang)數(shu)據中心應當向用戶宣傳(chuan)相關法(fa)律法(fa)規，提供必要的安全保護措施。

第十二條 個人主頁、博客、聊天室、點對(dui)點服(fu)務等互聯網信(xin)息服(fu)務的(de)提供單位和(he)使用(yong)者應(ying)當(dang)依(yi)照國(guo)家和(he)省有關(guan)規(gui)定，落實(shi)相應(ying)的(de)安全措施(shi)。

第十三條 網吧、圖書(shu)館(guan)(guan)、學(xue)校、賓館(guan)(guan)等提供互聯(lian)網上網服務的場所應當安裝符合國家(jia)規(gui)定的安全管(guan)理系統。

第十四條 互聯單位(wei)、互聯網接入(ru)(ru)服務單位(wei)以(yi)及互聯網數據中(zhong)心應(ying)當每(mei)月將(jiang)接入(ru)(ru)本網絡的(de)用戶情況報地級以(yi)上市公安機關(guan)公共信(xin)息(xi)網絡安全監察部門備(bei)案。

第十五條 計算(suan)機(ji)信息(xi)系統運營、使(shi)用單位應當接(jie)受公(gong)(gong)安機(ji)關(guan)公(gong)(gong)共(gong)(gong)信息(xi)網(wang)絡安全(quan)(quan)監察(cha)(cha)部(bu)門的監督、檢(jian)查、指導，如實提供安全(quan)(quan)保護有關(guan)信息(xi)、資(zi)料及數據文件，不得變(bian)相拒絕(jue)、拖延、阻礙公(gong)(gong)安機(ji)關(guan)公(gong)(gong)共(gong)(gong)信息(xi)網(wang)絡安全(quan)(quan)監察(cha)(cha)部(bu)門依法執行公(gong)(gong)務。

第四章 安全專用產品和安全服務

第十六條 安全專(zhuan)用產品(pin)必須取(qu)得公安部頒發的銷(xiao)售許可(ke)證方(fang)可(ke)銷(xiao)售。

第十七條 生產、銷售或者提(ti)供含有計算機(ji)信息(xi)網(wang)絡(luo)遠程控制、密碼猜解、安(an)全（漏洞）檢測、信息(xi)群發技術的產品和工具的，應當在領取營(ying)業(ye)執照(zhao)后30日內（沒有營(ying)業(ye)執照(zhao)的，自開辦(ban)之日起30日內）向單位所在地地級以(yi)上(shang)市人民政府公安(an)機(ji)關公共(gong)信息(xi)網(wang)絡(luo)安(an)全監(jian)察(cha)部(bu)門備(bei)案，填(tian)寫《廣(guang)東省計算機(ji)信息(xi)網(wang)絡(luo)安(an)全特種技術備(bei)案表》，并提(ti)交如下資(zi)料：

（一）單位簡況；

（二）營業(ye)執照(zhao)（或(huo)其他有效證(zheng)明）復(fu)印件；

（三）研發和服務管理制度；

（四）主要經營管(guan)理人(ren)員(yuan)、技(ji)術(shu)人(ren)員(yuan)和服(fu)務人(ren)員(yuan)有(you)效證件復(fu)印件；

（五）主要(yao)產品情況。

第十八條 安全保護(hu)等級(ji)為第三級(ji)以(yi)上的(de)計算機信息系(xi)統(tong)應當選用(yong)符合下列條件的(de)安全專用(yong)產(chan)品：

（一(yi)）產(chan)品研制、生(sheng)產(chan)單位是由中國(guo)公民、法人投(tou)資或者國(guo)家投(tou)資或者控股的(de)，在中華人民共和國(guo)境內具有(you)獨(du)立的(de)法人資格；

（二(er)）產品的核心(xin)技術(shu)、關鍵部(bu)件具有我國自主知識產權(quan)；

（三）產(chan)(chan)品(pin)研制、生產(chan)(chan)單位(wei)及其主要業(ye)務、技術人員無犯(fan)罪記錄；

（四）產(chan)品(pin)研制、生產(chan)單位聲明沒有(you)故意(yi)留(liu)有(you)或者設置漏洞、后門(men)、木馬等(deng)程序(xu)和(he)功能；

（五）對國家安全、社會秩序、公共利益不構成危害(hai)。

第十九條 符合第十(shi)八條規定的安全專(zhuan)用產(chan)品和生(sheng)產(chan)單位應(ying)當到(dao)省公(gong)安廳公(gong)共信息網絡安全監(jian)察部門備案。

第二十條 為(wei)加強(qiang)安全服務(wu)(wu)機(ji)構(gou)(gou)的指(zhi)導(dao)，推(tui)動(dong)安全服務(wu)(wu)質(zhi)量(liang)和(he)技術水平的提高(gao)，廣東省對從事(shi)計算機(ji)信息系(xi)統安全設(she)計、建設(she)、檢測、評估(gu)等安全服務(wu)(wu)的機(ji)構(gou)(gou)，根據其注冊資(zi)本、服務(wu)(wu)業(ye)績、技術力量(liang)、組織管(guan)理情況(kuang)實(shi)行(xing)分(fen)級指(zhi)導(dao)。

第五章 安全等級測評

第二十一條 第二(er)級以上的計算(suan)(suan)機(ji)信息系(xi)(xi)統(tong)的安全測評應當選擇符合(he)下(xia)列條件(jian)的計算(suan)(suan)機(ji)信息系(xi)(xi)統(tong)安全等級測評機(ji)構(gou)（簡稱(cheng)測評機(ji)構(gou)）承擔：

（一）在中華人民共和國境(jing)內注冊(ce)成(cheng)立（港澳(ao)臺地區除外），具有(you)相(xiang)應經營范圍的營業執照，注冊(ce)資本100萬元以上；

（二）由中國(guo)公民投(tou)資(zi)(zi)、中國(guo)法人(ren)投(tou)資(zi)(zi)或者國(guo)家投(tou)資(zi)(zi)的企事業單(dan)位（港澳臺地區除(chu)外）；

（三(san)）近3年完(wan)成的測評項目總值150萬元以上；

（四）具有計算機安(an)全或相關專業資(zi)格證書的專業技術人員(yuan)不少(shao)于20人，其中大學(xue)本(ben)科以上(shang)學(xue)歷的人員(yuan)不少(shao)于15人；

（五）管(guan)理人(ren)員應當具有3年以上(shang)從(cong)事(shi)計算機信(xin)息(xi)系統安全技術領域(yu)企業管(guan)理工作經歷，技術負責人(ren)已獲得計算機信(xin)息(xi)系統安全技術相關專業的高(gao)級(ji)職稱，從(cong)事(shi)安全測評工作不(bu)少于3年，無犯罪記(ji)錄；

（六）工作人員僅限(xian)于中國公民，法人及主要業務、技術人員無犯(fan)罪記(ji)錄；

（七）具有與所承擔項目適應的技術裝備(bei)；

（八）具有完(wan)備的保密(mi)管(guan)理、項(xiang)目管(guan)理、質量管(guan)理、人(ren)員管(guan)理和培(pei)訓(xun)教育等(deng)安全管(guan)理制度；

（九(jiu)）對(dui)國家安(an)全(quan)、社(she)會(hui)秩序、公共利益(yi)不構成威脅。

第二十二條 廣東省對(dui)測評(ping)機構實施(shi)備(bei)案制度。符合第二十一條規定的條件，承擔(dan)第二級(ji)以(yi)上(shang)的計算機信(xin)息系統測評(ping)工作的機構應當(dang)到省公(gong)安廳公(gong)共信(xin)息網絡安全(quan)監察(cha)部門備(bei)案。

第二十三條 省公安廳公共信(xin)息(xi)網絡安全監察(cha)部(bu)門對已備案(an)的測評機(ji)構進行公布。

第二十四條 測評機(ji)構應當(dang)履行(xing)下列義(yi)務：

（一）遵守國家有關法(fa)律法(fa)規(gui)和技術(shu)標準，提供(gong)安全、客觀(guan)、公正的檢(jian)測(ce)評(ping)估服務，保(bao)證測(ce)評(ping)的質(zhi)量和效果；

（二）保守在測(ce)評(ping)(ping)活動中知悉的國家秘密、商業秘密和個人(ren)隱私(si)，防(fang)范測(ce)評(ping)(ping)風險；

（三）對測評人員進行安(an)全保(bao)密(mi)教(jiao)育(yu)，與(yu)其簽(qian)訂安(an)全保(bao)密(mi)責(ze)任書，規定應當(dang)履行的安(an)全保(bao)密(mi)義務和承擔(dan)的法律責(ze)任，并負責(ze)檢查(cha)落實。

第二十五條 第二(er)級(ji)以上的(de)計算機信息(xi)(xi)系統建(jian)設完(wan)成后，使用(yong)(yong)單位應(ying)當委托符合規定的(de)測評機構安全測評合格方可投入使用(yong)(yong)。測評活動應(ying)當接受公安機關公共信息(xi)(xi)網絡(luo)安全監察部(bu)門(men)的(de)監督。

第二十六條 計算(suan)機信(xin)息系統運(yun)營(ying)、使用單(dan)位(wei)委托安全測評機構測評，應(ying)當提交(jiao)下列資料：

（一）安全測(ce)評委托書；

（二）計算機信息系(xi)統應用需求、系(xi)統結構拓撲及說明(ming)、系(xi)統安(an)全組織結構和(he)管理(li)制(zhi)度、安(an)全保(bao)護設施設計實(shi)施方案或者改(gai)建實(shi)施方案、系(xi)統軟件(jian)硬件(jian)和(he)信息安(an)全產品清單。

第二十七條 安全測(ce)評(ping)機構在收到委(wei)托(tuo)(tuo)材料后(hou)，應當與委(wei)托(tuo)(tuo)方(fang)協(xie)商制訂安全測(ce)評(ping)計劃，開展安全測(ce)評(ping)工作(zuo)，并出具(ju)安全測(ce)評(ping)報告。

經測評(ping)，計算機(ji)(ji)信(xin)息系統(tong)安(an)全狀況未達到(dao)國家有關(guan)規定和標準(zhun)的要求，委(wei)托單位(wei)應當(dang)根據測評(ping)報告(gao)的建議(yi)，完善計算機(ji)(ji)信(xin)息系統(tong)安(an)全建設，并重(zhong)新提出安(an)全測評(ping)委(wei)托。

測評機(ji)(ji)構對計算機(ji)(ji)信(xin)(xin)息系統進行使用前安(an)全(quan)(quan)測評，應當(dang)預先報(bao)告地級(ji)(ji)以上市公(gong)安(an)機(ji)(ji)關公(gong)共(gong)信(xin)(xin)息網絡安(an)全(quan)(quan)監察部(bu)門(men)。安(an)全(quan)(quan)測評報(bao)告由計算機(ji)(ji)信(xin)(xin)息系統運(yun)營、使用單位報(bao)地級(ji)(ji)以上市公(gong)安(an)機(ji)(ji)關公(gong)共(gong)信(xin)(xin)息網絡安(an)全(quan)(quan)監察部(bu)門(men)。

第二十八條 第三級(ji)計算(suan)機信(xin)息(xi)系(xi)(xi)統(tong)應(ying)當每年至(zhi)少進行(xing)一次安全(quan)(quan)測(ce)評(ping)(ping)，第四級(ji)計算(suan)機信(xin)息(xi)系(xi)(xi)統(tong)應(ying)當每半年至(zhi)少進行(xing)一次安全(quan)(quan)測(ce)評(ping)(ping)，第五級(ji)計算(suan)機信(xin)息(xi)系(xi)(xi)統(tong)應(ying)當依(yi)據特殊安全(quan)(quan)要求(qiu)進行(xing)安全(quan)(quan)測(ce)評(ping)(ping)。

第六章 應急處置

第二十九條 公(gong)安機(ji)(ji)關公(gong)共(gong)信息網(wang)絡安全監察部門與所(suo)在地安全服務機(ji)(ji)構、互(hu)聯(lian)網(wang)運營單位(wei)和其他計算機(ji)(ji)信息系統運營、使用單位(wei)應(ying)當建(jian)立聯(lian)防機(ji)(ji)制(zhi)，依(yi)法及時查處通過計算機(ji)(ji)信息系統進行的違法犯罪行為(wei)，組織處置(zhi)重大突發事件。

第三十條 對計算(suan)機信(xin)息系(xi)統中發生(sheng)的(de)案件和重大安全事故(gu)，計算(suan)機信(xin)息系(xi)統的(de)運營(ying)、使(shi)用單位(wei)應當在(zai)二十(shi)四小時內報告(gao)縣級以(yi)上(shang)人(ren)民政府公安機關公共信(xin)息網絡安全監察部(bu)門(men)，并保留(liu)有關原始記錄。

第三十一條 第二級以上的計算機信息系統運營(ying)、使用(yong)單(dan)位(wei)應(ying)當(dang)制定重大突發事(shi)件(jian)應(ying)急(ji)處置預案并定期實施演練(lian)。

第三十二條 計算機信息系統(tong)發(fa)生重大突發(fa)事(shi)件(jian)，有關單位應(ying)(ying)當按照應(ying)(ying)急處置預案的要求采取相(xiang)應(ying)(ying)的處置措施(shi)，并服從公安機關和國(guo)家指定的專門部門的調度。

第三十三條 地級市以(yi)上人民政(zheng)府公安機關(guan)公共信息網(wang)絡安全監察部(bu)門經本機關(guan)主管領導批準，為保護計算機信息系統安全，在發(fa)生重大突發(fa)事件，危及(ji)國(guo)家安全、公共安全及(ji)社(she)會穩定的緊急情況下，可以(yi)采(cai)取二十四小時內暫(zan)時停機、暫(zan)停聯(lian)網(wang)、備份數(shu)據等措施。

第七章 安全培訓

第三十四條 省(sheng)公安(an)廳、人事廳聯(lian)合成立的省(sheng)信(xin)息(xi)網(wang)(wang)絡安(an)全專業(ye)技(ji)術(shu)人員(yuan)繼(ji)續教(jiao)育工作(zuo)領導(dao)小組，負責(ze)全省(sheng)信(xin)息(xi)網(wang)(wang)絡安(an)全專業(ye)技(ji)術(shu)人員(yuan)繼(ji)續教(jiao)育工作(zuo)的組織和領導(dao)。下設省(sheng)信(xin)息(xi)網(wang)(wang)絡安(an)全專業(ye)技(ji)術(shu)人員(yuan)繼(ji)續教(jiao)育工作(zuo)辦公室，具(ju)體負責(ze)日(ri)常管理工作(zuo)。

第三十五條 下列人(ren)員(yuan)應當參(can)加信(xin)息網絡安全專(zhuan)(zhuan)(zhuan)業技(ji)術(shu)人(ren)員(yuan)繼(ji)續(xu)教(jiao)育，取得(de)省(sheng)信(xin)息網絡安全專(zhuan)(zhuan)(zhuan)業技(ji)術(shu)人(ren)員(yuan)繼(ji)續(xu)教(jiao)育工作辦公室頒發的信(xin)息網絡安全專(zhuan)(zhuan)(zhuan)業技(ji)術(shu)人(ren)員(yuan)繼(ji)續(xu)教(jiao)育合格證(zheng)書，持(chi)證(zheng)上崗：

（一）計算(suan)機信息(xi)系統運營(ying)、使用單位信息(xi)安(an)全管理責任人、信息(xi)審查員(yuan)；

（二）互聯(lian)網接入(ru)服務(wu)、數據中心服務(wu)、信息服務(wu)、上網服務(wu)提供單(dan)位安全管(guan)理員(yuan)、專業技術人員(yuan)；

（三）安全專(zhuan)用(yong)產品生(sheng)產單(dan)位專(zhuan)業技(ji)術人(ren)員；

（四）安全服務(wu)機構專(zhuan)業技(ji)術人員(yuan)、安全服務(wu)管理人員(yuan)；

（五(wu)）其(qi)他(ta)從事計算機(ji)信息系統安全保護工(gong)作的人員。

第三十六條 信(xin)息網絡安(an)全專業(ye)技術人員繼(ji)續(xu)教育由省信(xin)息網絡安(an)全專業(ye)技術人員繼(ji)續(xu)教育工作辦公室授權的施教機構負責實施。施教機構實行統籌規劃。

第三十七條 信息(xi)網絡安全專業技術人(ren)員(yuan)繼續教育培訓(xun)和考(kao)試按照有關(guan)規(gui)定進行(xing)，實(shi)行(xing)統(tong)一教學大綱，統(tong)一教材，統(tong)一考(kao)試，統(tong)一發證(zheng)。

考試合格的，由省信息網絡(luo)安全(quan)專業技術(shu)人員繼(ji)續教育(yu)工作(zuo)辦公(gong)室發給信息網絡(luo)安全(quan)專業技術(shu)人員繼(ji)續教育(yu)證書。

第八章 法律責任

第三十八條 違反本辦(ban)法的規(gui)定，依照有關法律、法規(gui)和規(gui)章處罰。

第九章 附則

第三十九條 本細則下(xia)列用語的(de)含義：實體(ti)安全，指保護計(ji)算機信息系統的(de)環境，計(ji)算機設備、設施（含網(wang)絡）以(yi)及(ji)其它(ta)媒體(ti)免遭地震、水(shui)災、火災、雷電(dian)(dian)、有(you)害(hai)氣體(ti)和其它(ta)環境事故（如電(dian)(dian)磁污染等）破壞(huai)。

運行安全，指保護計算機信(xin)息系統的信(xin)息處理過程(cheng)順(shun)利進(jin)行。

信息安全，指(zhi)保障信息的完整性(xing)、保密(mi)性(xing)、可(ke)用(yong)性(xing)和可(ke)控性(xing)。

內容安全，指(zhi)確保(bao)計算(suan)機信息(xi)系(xi)統中傳輸(shu)的信息(xi)所承載的內容的合法性。

安全（漏洞）檢測，指利(li)用計(ji)算(suan)機技術手段掃描、探測計(ji)算(suan)機信息系統安全漏洞。

第四十條 本辦法規定的“以上”含本數。

第四十一條 本辦法規定(ding)的有關(guan)表格(ge)和(he)證書由(you)省公(gong)安廳制定(ding)式(shi)樣，統一監(jian)制。

第四十二條 本辦法由省(sheng)公(gong)安廳(ting)負責解釋。

第四十三條 本辦法自2008年(nian)12月1日起施行。