廣東省公安廳關于計算機信息系統安全保護的實施辦法

（廣東省(sheng)公安廳2008年9月27日以(yi)粵(yue)公通字(zi)〔2008〕228號發布 自2008年12月1日起施行）

第一章 總則

第一條 為(wei)保(bao)護計(ji)算機信息系統安(an)全，促(cu)進信息化建(jian)設的(de)健康發展(zhan)，貫徹落實《廣東省計(ji)算機信息系統安(an)全保(bao)護條例》，根據有關法(fa)律法(fa)規，制定(ding)本辦法(fa)。

第二條 本辦法適用于廣東省(sheng)行政區(qu)域(yu)內計算(suan)機信息系統的安全保(bao)護。

第三條 縣級以上人民(min)政府公安(an)機關(guan)公共信息網絡安(an)全(quan)監(jian)察部(bu)門具體負責本(ben)行(xing)政區域內計算(suan)機信息系統的安(an)全(quan)保護監(jian)管工作。

第二章 安全監督

第四條 公安(an)機關公共信(xin)息(xi)網(wang)絡安(an)全監(jian)察部門對計算機信(xin)息(xi)系(xi)統(tong)安(an)全保護工作(zuo)行使下列職責：

（一）監督、檢查、指導計(ji)算機信息(xi)系統安全保護(hu)工作；

（二）組織開展計算(suan)機信息系統安全等級保護(hu)；

（三）查處計(ji)算機違法犯罪案件；

（四）組織處(chu)置(zhi)重大計(ji)算機信息系統(tong)安全事故和事件；

（五(wu)）負責計算(suan)機病毒(du)和其(qi)他有害數據防(fang)治管理；

（六）負責計(ji)算機信息系統安全服務的監督指(zhi)導；

（七）負責計(ji)算機信息系統安全專用產品的(de)監督管理；

（八）負責計算機信息(xi)系(xi)統安全(quan)培訓管理；

（九）法律、法規和規章規定的(de)其他(ta)職責。

第五條 公安機關公共信息網絡安全(quan)監(jian)察部門應當(dang)對計算機信息系統落實實體安全(quan)、運行(xing)安全(quan)、信息安全(quan)和內容安全(quan)措施的情況(kuang)進行(xing)檢查(cha)。

對第三級計算(suan)機信(xin)息系(xi)統每年(nian)至少檢查(cha)一(yi)次，對第四級計算(suan)機信(xin)息系(xi)統每半年(nian)至少檢查(cha)一(yi)次。對第五(wu)級計算(suan)機信(xin)息系(xi)統，應當會同國家指定(ding)的專門部門進(jin)行檢查(cha)。

對其他計算(suan)機信息系統應當不定(ding)期開展檢查。

第六條 公安機關公共信息網絡安全(quan)監察部門發現計算(suan)機信息系統的(de)安全(quan)保護等(deng)級和(he)安全(quan)措施不符合(he)有關規(gui)定和(he)技(ji)術標準，或者存在安全(quan)隱患(huan)的(de)，應當(dang)通知運營(ying)、使用單位(wei)進行整(zheng)改(gai)。

第七條 公安(an)機關(guan)公共(gong)信息網絡安(an)全監(jian)察部門應當向公眾提供報(bao)警求(qiu)助渠道，提供計算(suan)機信息系(xi)統安(an)全指導，發布安(an)全動態，開展安(an)全宣傳(chuan)。

第三章 安全保護責任

第八條 單位和個人應當依(yi)照(zhao)有(you)關法規、規章和標準(zhun)，對其所有(you)、使用和管理(li)的計算(suan)機信息系(xi)統(tong)承擔相應的安全(quan)保護責任。

第九條 第(di)二級以(yi)上計算機(ji)信息系統的運營、使用單位應當建立安(an)全(quan)保護組織(zhi)，并報(bao)所在地地級以(yi)上市(shi)人(ren)民政(zheng)府公(gong)安(an)機(ji)關公(gong)共信息網絡(luo)安(an)全(quan)監察部(bu)門備案。

第十條 安(an)全(quan)(quan)保(bao)護組(zu)織保(bao)障本(ben)單位(wei)計算機(ji)(ji)信(xin)(xin)(xin)息系統(tong)的安(an)全(quan)(quan)運(yun)行，組(zu)織本(ben)單位(wei)計算機(ji)(ji)信(xin)(xin)(xin)息系統(tong)的有害信(xin)(xin)(xin)息防治工(gong)作，組(zu)織開展(zhan)本(ben)單位(wei)計算機(ji)(ji)信(xin)(xin)(xin)息系統(tong)安(an)全(quan)(quan)教育和培訓，向公安(an)機(ji)(ji)關公共(gong)信(xin)(xin)(xin)息網(wang)(wang)絡安(an)全(quan)(quan)監(jian)察部門報告本(ben)單位(wei)計算機(ji)(ji)信(xin)(xin)(xin)息系統(tong)運(yun)行、服務和安(an)全(quan)(quan)等(deng)情況，及時協助公安(an)機(ji)(ji)關公共(gong)信(xin)(xin)(xin)息網(wang)(wang)絡安(an)全(quan)(quan)監(jian)察部門查處違法犯罪和處置突發事件(jian)。

第十一條 互(hu)聯單位(wei)、互(hu)聯網接入服務(wu)單位(wei)、互(hu)聯網數據中心應當(dang)對(dui)接入本網絡的用戶進行資格(ge)審查(cha)，確認符(fu)合國家(jia)和省有關(guan)規定后方可為其提供服務(wu)。

互聯網接(jie)入服務、信(xin)息服務單(dan)位(wei)以及(ji)互聯網數(shu)據中心應當向用(yong)戶宣傳相(xiang)關法(fa)律法(fa)規(gui)，提供必要(yao)的安全保護措施(shi)。

第十二條 個(ge)人(ren)主頁、博客(ke)、聊天(tian)室、點對點服(fu)務等互聯網信息服(fu)務的(de)提供單位和使(shi)用者應當依照國家和省有關規定，落實(shi)相應的(de)安(an)全措施(shi)。

第十三條 網吧(ba)、圖書(shu)館、學校(xiao)、賓館等(deng)提(ti)供(gong)互聯(lian)網上網服務的場所應當安(an)(an)裝(zhuang)符合(he)國(guo)家規定(ding)的安(an)(an)全(quan)管理系統。

第十四條 互(hu)聯單位、互(hu)聯網(wang)接入(ru)(ru)服務單位以及互(hu)聯網(wang)數據(ju)中心應當每(mei)月將(jiang)接入(ru)(ru)本網(wang)絡的(de)用(yong)戶情況報地級以上市公安機關(guan)公共信息網(wang)絡安全監察部(bu)門備案。

第十五條 計(ji)算機(ji)信(xin)息系(xi)統(tong)運營、使用單位應當接(jie)受(shou)公安(an)機(ji)關公共信(xin)息網絡安(an)全監(jian)察(cha)部(bu)門的監(jian)督、檢(jian)查(cha)、指導(dao)，如(ru)實提供安(an)全保護有關信(xin)息、資料及數據(ju)文件，不得變相拒(ju)絕、拖(tuo)延(yan)、阻礙公安(an)機(ji)關公共信(xin)息網絡安(an)全監(jian)察(cha)部(bu)門依法執(zhi)行公務。

第四章 安全專用產品和安全服務

第十六條 安全專用產品必須(xu)取得公安部(bu)頒發的銷售許可證方可銷售。

第十七條 生產、銷售或者(zhe)提供含(han)有計算(suan)機信(xin)息(xi)(xi)(xi)(xi)網絡遠程控制(zhi)、密(mi)碼猜(cai)解、安(an)(an)全(quan)（漏(lou)洞）檢測、信(xin)息(xi)(xi)(xi)(xi)群發技(ji)術的(de)產品和工具的(de)，應當在(zai)領取營(ying)(ying)業執照后30日內(nei)（沒有營(ying)(ying)業執照的(de)，自開辦之日起30日內(nei)）向(xiang)單位所(suo)在(zai)地(di)地(di)級(ji)以(yi)上(shang)市人民政府(fu)公(gong)安(an)(an)機關公(gong)共信(xin)息(xi)(xi)(xi)(xi)網絡安(an)(an)全(quan)監察部門備案，填(tian)寫(xie)《廣東省計算(suan)機信(xin)息(xi)(xi)(xi)(xi)網絡安(an)(an)全(quan)特(te)種技(ji)術備案表》，并提交如下資(zi)料：

（一）單位簡況；

（二）營業(ye)執照(zhao)（或其他有效證明）復印件(jian)；

（三）研發(fa)和服務管理制度；

（四）主要經營管理人員、技術人員和服務人員有效證件復印件；

（五(wu)）主要產(chan)品情況(kuang)。

第十八條 安全(quan)保護等級為第(di)三級以上(shang)的計算機信息系統應當選用符合下列條件的安全(quan)專用產品：

（一）產品研(yan)制、生產單位是(shi)由(you)中國(guo)公民、法人投(tou)資或者(zhe)國(guo)家投(tou)資或者(zhe)控股的，在中華人民共(gong)和國(guo)境內具有獨立的法人資格；

（二）產品(pin)的核(he)心技術、關鍵部件具有我國(guo)自(zi)主知識產權；

（三）產(chan)品研制、生產(chan)單位及其主要(yao)業務、技術人員無犯(fan)罪記(ji)錄；

（四）產品(pin)研制、生(sheng)產單(dan)位聲(sheng)明(ming)沒有故意留有或者設(she)置漏洞、后門、木馬等程序(xu)和功能；

（五）對(dui)國家安全、社會秩序、公(gong)共利益(yi)不構成危(wei)害。

第十九條 符合(he)第(di)十八條規(gui)定(ding)的(de)安(an)全專用產品和(he)生產單位應(ying)當到省公(gong)安(an)廳公(gong)共信息網絡安(an)全監察部門(men)備案。

第二十條 為加強安全服(fu)務(wu)機構(gou)的(de)指導，推動安全服(fu)務(wu)質量和技(ji)術水平的(de)提高，廣(guang)東省對從(cong)事(shi)計算機信息系(xi)統安全設(she)計、建設(she)、檢測、評估等安全服(fu)務(wu)的(de)機構(gou)，根據(ju)其(qi)注冊資本(ben)、服(fu)務(wu)業績、技(ji)術力量、組織管理情況實行分級指導。

第五章 安全等級測評

第二十一條 第二級以上(shang)的計算機信息(xi)系統的安全(quan)測(ce)評(ping)應(ying)當選擇符合下列(lie)條件的計算機信息(xi)系統安全(quan)等級測(ce)評(ping)機構(gou)（簡稱測(ce)評(ping)機構(gou)）承擔：

（一）在中(zhong)華人民(min)共和(he)國境(jing)內注冊(ce)成立（港澳(ao)臺(tai)地區(qu)除(chu)外），具有相(xiang)應經營范(fan)圍的(de)營業執照，注冊(ce)資本(ben)100萬元以上；

（二）由中國(guo)公(gong)民投資(zi)(zi)、中國(guo)法(fa)人投資(zi)(zi)或者國(guo)家(jia)投資(zi)(zi)的企事業單位（港澳臺地區除外）；

（三）近3年完成(cheng)的測(ce)評項目總值150萬元以上(shang)；

（四(si)）具有計算機(ji)安全或相關專業(ye)資格證(zheng)書的(de)專業(ye)技術人(ren)(ren)員不(bu)少于(yu)20人(ren)(ren)，其中大學(xue)本科以(yi)上(shang)學(xue)歷的(de)人(ren)(ren)員不(bu)少于(yu)15人(ren)(ren)；

（五）管理人(ren)(ren)員(yuan)應當具有3年(nian)以上從事(shi)計算(suan)機信息(xi)系(xi)(xi)統安全技術領(ling)域企業(ye)管理工作經(jing)歷，技術負責人(ren)(ren)已獲得計算(suan)機信息(xi)系(xi)(xi)統安全技術相關專業(ye)的高級(ji)職稱(cheng)，從事(shi)安全測評工作不少于3年(nian)，無犯罪(zui)記錄(lu)；

（六）工作(zuo)人員僅限于中國公民(min)，法人及(ji)主要業務、技術人員無犯罪(zui)記錄；

（七）具有與所承擔項目適應的技術裝備；

（八）具有完備的保密(mi)管(guan)理、項目管(guan)理、質量管(guan)理、人員管(guan)理和培訓(xun)教育等安全管(guan)理制度；

（九(jiu)）對國家安全、社會秩序、公共(gong)利益不(bu)構(gou)成威脅。

第二十二條 廣東省對測評機構(gou)實(shi)施備案制(zhi)度。符合第二十(shi)一條(tiao)規定的(de)條(tiao)件，承擔第二級以上的(de)計(ji)算機信息(xi)系統測評工作的(de)機構(gou)應當到省公安廳公共信息(xi)網絡安全監察部(bu)門備案。

第二十三條 省公(gong)安廳公(gong)共信息網絡安全(quan)監察部(bu)門對已備案的測評機構進行公(gong)布。

第二十四條 測評機構應當(dang)履行下列義務(wu)：

（一）遵守國家有關法律法規和(he)技術(shu)標準，提供(gong)安全、客(ke)觀、公(gong)正的(de)檢(jian)測評估服務，保證測評的(de)質量和(he)效果；

（二）保守在測評(ping)活動中知悉的(de)國家(jia)秘密(mi)、商業秘密(mi)和(he)個人隱(yin)私，防范測評(ping)風險；

（三）對測(ce)評人員進行安全(quan)保密教(jiao)育(yu)，與其簽(qian)訂安全(quan)保密責(ze)(ze)任書(shu)，規定應當履行的安全(quan)保密義務和承擔的法律(lv)責(ze)(ze)任，并負責(ze)(ze)檢查落實。

第二十五條 第二級(ji)以(yi)上的計算機信息系(xi)統(tong)建(jian)設完成(cheng)后，使(shi)用(yong)單位(wei)應(ying)當委托(tuo)符(fu)合規定的測(ce)(ce)評機構安(an)全測(ce)(ce)評合格(ge)方可投入使(shi)用(yong)。測(ce)(ce)評活動應(ying)當接受公安(an)機關公共(gong)信息網絡安(an)全監察部(bu)門的監督(du)。

第二十六條 計算機信息系統(tong)運營、使用單位委托安全測評機構測評，應當提(ti)交下列資料：

（一(yi)）安全測評委托書(shu)；

（二）計(ji)算機信息系(xi)(xi)統(tong)應用需求、系(xi)(xi)統(tong)結(jie)(jie)構拓撲及說明、系(xi)(xi)統(tong)安全(quan)(quan)組織結(jie)(jie)構和(he)管理制度、安全(quan)(quan)保護設施(shi)設計(ji)實施(shi)方(fang)案或者改建實施(shi)方(fang)案、系(xi)(xi)統(tong)軟(ruan)件硬件和(he)信息安全(quan)(quan)產品清單。

第二十七條 安(an)(an)全測(ce)(ce)評機構(gou)在收(shou)到委托(tuo)材(cai)料后，應當與委托(tuo)方協商(shang)制訂安(an)(an)全測(ce)(ce)評計劃，開展安(an)(an)全測(ce)(ce)評工作，并出具安(an)(an)全測(ce)(ce)評報告。

經測(ce)(ce)評，計算(suan)(suan)機信(xin)息(xi)系統(tong)安全(quan)狀況未達到國家有關(guan)規定和標準的(de)要求(qiu)，委(wei)(wei)托單位應(ying)當(dang)根據(ju)測(ce)(ce)評報告(gao)的(de)建(jian)議，完善計算(suan)(suan)機信(xin)息(xi)系統(tong)安全(quan)建(jian)設，并重新提(ti)出安全(quan)測(ce)(ce)評委(wei)(wei)托。

測評機構對(dui)計算機信息(xi)系(xi)統進行使(shi)用前(qian)安(an)(an)(an)全測評，應當(dang)預先(xian)報告地級以(yi)上市公安(an)(an)(an)機關公共信息(xi)網絡安(an)(an)(an)全監察部(bu)(bu)門(men)。安(an)(an)(an)全測評報告由計算機信息(xi)系(xi)統運營、使(shi)用單位報地級以(yi)上市公安(an)(an)(an)機關公共信息(xi)網絡安(an)(an)(an)全監察部(bu)(bu)門(men)。

第二十八條 第三級計(ji)算機信(xin)息(xi)系統應(ying)(ying)當每年至少進行一次安(an)(an)全(quan)測評，第四級計(ji)算機信(xin)息(xi)系統應(ying)(ying)當每半年至少進行一次安(an)(an)全(quan)測評，第五級計(ji)算機信(xin)息(xi)系統應(ying)(ying)當依據特殊安(an)(an)全(quan)要求進行安(an)(an)全(quan)測評。

第六章 應急處置

第二十九條 公(gong)安機(ji)關公(gong)共信(xin)息網(wang)絡安全監察(cha)部(bu)門(men)與所在地安全服(fu)務機(ji)構、互(hu)聯網(wang)運營單(dan)位(wei)和(he)其他計算(suan)機(ji)信(xin)息系統運營、使用單(dan)位(wei)應當建(jian)立(li)聯防機(ji)制，依法(fa)及時查處通(tong)過(guo)計算(suan)機(ji)信(xin)息系統進行(xing)的(de)違(wei)法(fa)犯罪行(xing)為，組(zu)織處置重大突發事件。

第三十條 對計(ji)算機信息系統中發(fa)生的案件和重(zhong)大安(an)全(quan)事(shi)故，計(ji)算機信息系統的運營、使用單位應當(dang)在二十四小時內報告縣級以(yi)上人(ren)民政府公安(an)機關公共信息網(wang)絡安(an)全(quan)監察(cha)部(bu)門，并(bing)保留有關原始記(ji)錄。

第三十一條 第二級(ji)以上的計(ji)算(suan)機信(xin)息(xi)系統運(yun)營、使(shi)用單位應(ying)當制定重大(da)突發事件(jian)應(ying)急處置預案并(bing)定期實施演(yan)練(lian)。

第三十二條 計算機信息系統發生重大突發事(shi)件(jian)，有關單位應(ying)當(dang)按照(zhao)應(ying)急處置預案的(de)要求(qiu)采(cai)取相應(ying)的(de)處置措施，并服從公(gong)安機關和(he)國家(jia)指定的(de)專門(men)(men)部門(men)(men)的(de)調度。

第三十三條 地級市(shi)以上人民政府公安機關公共信息網絡(luo)安全監察部門(men)經本(ben)機關主管領導批準，為保護(hu)計算機信息系(xi)統安全，在發生重大突發事件(jian)，危(wei)及國(guo)家安全、公共安全及社會穩定的緊急情況(kuang)下，可以采取二十四小時內(nei)暫時停(ting)機、暫停(ting)聯(lian)網、備份數據等(deng)措(cuo)施。

第七章 安全培訓

第三十四條 省(sheng)(sheng)公安(an)廳、人(ren)(ren)事廳聯合成立的省(sheng)(sheng)信息(xi)網(wang)絡安(an)全(quan)專(zhuan)業(ye)(ye)技術(shu)(shu)人(ren)(ren)員繼續(xu)(xu)教育(yu)工(gong)作(zuo)領導小組，負(fu)責(ze)全(quan)省(sheng)(sheng)信息(xi)網(wang)絡安(an)全(quan)專(zhuan)業(ye)(ye)技術(shu)(shu)人(ren)(ren)員繼續(xu)(xu)教育(yu)工(gong)作(zuo)的組織和(he)領導。下設省(sheng)(sheng)信息(xi)網(wang)絡安(an)全(quan)專(zhuan)業(ye)(ye)技術(shu)(shu)人(ren)(ren)員繼續(xu)(xu)教育(yu)工(gong)作(zuo)辦公室，具體(ti)負(fu)責(ze)日常管理工(gong)作(zuo)。

第三十五條 下(xia)列人員應當(dang)參加(jia)信息網絡安(an)全專業(ye)技術(shu)人員繼續(xu)教(jiao)育，取得省信息網絡安(an)全專業(ye)技術(shu)人員繼續(xu)教(jiao)育工(gong)作辦公室(shi)頒發的信息網絡安(an)全專業(ye)技術(shu)人員繼續(xu)教(jiao)育合格證書，持證上崗(gang)：

（一）計算機信息系統運營、使用(yong)單位信息安全管理(li)責任人、信息審(shen)查員；

（二）互聯網接入服務、數據中心服務、信息服務、上網服務提(ti)供單位安全(quan)管理員、專業技術人(ren)員；

（三）安全專用產(chan)品生產(chan)單位專業技術(shu)人員；

（四）安全服務(wu)機構專(zhuan)業技術人員(yuan)、安全服務(wu)管(guan)理人員(yuan)；

（五）其他從(cong)事計算機信息系統安(an)全保護工作的人員。

第三十六條 信(xin)息網絡安(an)全專業(ye)技(ji)術人員繼續(xu)教(jiao)育由省信(xin)息網絡安(an)全專業(ye)技(ji)術人員繼續(xu)教(jiao)育工作辦公室授權的施(shi)教(jiao)機(ji)構負責實(shi)(shi)施(shi)。施(shi)教(jiao)機(ji)構實(shi)(shi)行統籌規劃。

第三十七條 信息網絡安全專業技術人員繼續教育培訓和考試按照有關(guan)規(gui)定進行(xing)，實行(xing)統(tong)(tong)(tong)一教學(xue)大綱，統(tong)(tong)(tong)一教材，統(tong)(tong)(tong)一考試，統(tong)(tong)(tong)一發證。

考試合格(ge)的(de)，由省信(xin)(xin)息網絡安(an)全(quan)專(zhuan)業(ye)技(ji)術人員(yuan)繼續(xu)教(jiao)(jiao)育工作辦公室發給(gei)信(xin)(xin)息網絡安(an)全(quan)專(zhuan)業(ye)技(ji)術人員(yuan)繼續(xu)教(jiao)(jiao)育證書(shu)。

第八章 法律責任

第三十八條 違反本辦法的規定，依(yi)照有關法律、法規和規章處罰。

第九章 附則

第三十九條 本(ben)細則下列用語的(de)含義：實體安全，指保護計(ji)(ji)算機信息系統(tong)的(de)環境，計(ji)(ji)算機設備、設施（含網絡）以及其它(ta)媒體免(mian)遭地震、水災(zai)、火災(zai)、雷電(dian)、有害氣體和其它(ta)環境事(shi)故（如電(dian)磁污(wu)染等）破壞。

運行安全(quan)，指(zhi)保護計算機信息系統的信息處理過程(cheng)順利(li)進行。

信(xin)息安全(quan)，指保(bao)障信(xin)息的完整性(xing)、保(bao)密性(xing)、可用性(xing)和可控(kong)性(xing)。

內容安(an)全，指確(que)保計(ji)算機信息(xi)系統中傳輸(shu)的(de)信息(xi)所承載的(de)內容的(de)合法性。

安全（漏(lou)洞(dong)(dong)）檢(jian)測，指利用(yong)計算機(ji)技(ji)術手段(duan)掃描、探測計算機(ji)信息系統安全漏(lou)洞(dong)(dong)。

第四十條 本(ben)(ben)辦法(fa)規定的(de)“以上(shang)”含本(ben)(ben)數(shu)。

第四十一條 本辦法規定的(de)有關(guan)表格和證書由省公安廳制(zhi)定式樣，統一監制(zhi)。

第四十二條 本辦(ban)法(fa)由(you)省(sheng)公安廳負責解釋。

第四十三條 本辦(ban)法自2008年12月1日起(qi)施行。