廣東省公安廳關于計算機信息系統安全保護的實施辦法

（廣(guang)東省(sheng)公安廳2008年(nian)9月(yue)27日以粵公通字〔2008〕228號發布(bu) 自2008年(nian)12月(yue)1日起(qi)施行）

第一章 總則

第一條 為保護(hu)計算機信(xin)(xin)息(xi)系統安全，促進信(xin)(xin)息(xi)化建設的健康發展，貫徹落實《廣東省計算機信(xin)(xin)息(xi)系統安全保護(hu)條(tiao)例》，根據有關法律法規(gui)，制(zhi)定本辦(ban)法。

第二條 本辦法適用于廣東省行政區域內計算機(ji)信息系統的(de)安(an)全保護。

第三條 縣級以上人(ren)民政府公安(an)機(ji)關公共(gong)信息網絡安(an)全(quan)監(jian)察部門(men)具(ju)體負責本行政區域內計(ji)算機(ji)信息系統的(de)安(an)全(quan)保護監(jian)管工作。

第二章 安全監督

第四條 公安(an)(an)機(ji)關公共(gong)信(xin)息網絡安(an)(an)全(quan)監(jian)察部(bu)門對計(ji)算(suan)機(ji)信(xin)息系統(tong)安(an)(an)全(quan)保護工作行使(shi)下列職責：

（一）監督(du)、檢查、指導計(ji)算機信息(xi)系統安全保(bao)護工作(zuo)；

（二）組織開展計算(suan)機信息(xi)系(xi)統安全等級保(bao)護(hu)；

（三）查處計算機(ji)違法犯罪案件(jian)；

（四）組織處置(zhi)重大計算機信息系統安全事故和事件；

（五(wu)）負責計(ji)算機病毒和其他(ta)有(you)害數據防治(zhi)管(guan)理；

（六）負責計算機(ji)信息(xi)系統安全服務的監督指導；

（七(qi)）負責計算機信息系統安(an)全專用產品的監督管(guan)理(li)；

（八(ba)）負責計算(suan)機(ji)信息系統安全(quan)培訓(xun)管理；

（九(jiu)）法(fa)律、法(fa)規和規章(zhang)規定的其他職(zhi)責。

第五條 公安機(ji)(ji)關公共信息(xi)網絡安全監察部門應當對計算機(ji)(ji)信息(xi)系統落(luo)實實體安全、運行安全、信息(xi)安全和內容安全措施的情況進行檢查。

對第(di)三(san)級計(ji)算(suan)機信(xin)息系(xi)統每(mei)年至(zhi)(zhi)少檢(jian)(jian)查(cha)(cha)一次(ci)，對第(di)四級計(ji)算(suan)機信(xin)息系(xi)統每(mei)半年至(zhi)(zhi)少檢(jian)(jian)查(cha)(cha)一次(ci)。對第(di)五級計(ji)算(suan)機信(xin)息系(xi)統，應當(dang)會同國家指定的專門部(bu)門進(jin)行檢(jian)(jian)查(cha)(cha)。

對其他計算機信息系統應當不定期開展檢查(cha)。

第六條 公安(an)機關(guan)公共信(xin)息(xi)網絡安(an)全(quan)監(jian)察(cha)部(bu)門(men)發(fa)現計算機信(xin)息(xi)系統的(de)安(an)全(quan)保護(hu)等級和(he)安(an)全(quan)措施不符(fu)合有關(guan)規(gui)定和(he)技(ji)術標(biao)準，或者(zhe)存在安(an)全(quan)隱患的(de)，應當通知運(yun)營、使用單(dan)位進行整改。

第七條 公安機關公共信息網絡(luo)安全(quan)(quan)監察(cha)部門應當向公眾(zhong)提(ti)供報警(jing)求助(zhu)渠(qu)道(dao)，提(ti)供計算(suan)機信息系統安全(quan)(quan)指導，發布安全(quan)(quan)動態，開展安全(quan)(quan)宣(xuan)傳。

第三章 安全保護責任

第八條 單位和(he)(he)(he)個人應(ying)當依照(zhao)有關法(fa)規、規章和(he)(he)(he)標準，對其所有、使用(yong)和(he)(he)(he)管(guan)理的計算機信息系統承擔相(xiang)應(ying)的安(an)全保(bao)護責任。

第九條 第(di)二(er)級以上計算機信息系統的(de)運營、使用單位應當建立(li)安全保護(hu)組織，并報所在地(di)地(di)級以上市人民政府公安機關公共(gong)信息網絡安全監察部(bu)門備案。

第十條 安(an)全(quan)(quan)(quan)(quan)保護組織(zhi)保障本(ben)(ben)(ben)單位(wei)計算機(ji)信(xin)息(xi)系(xi)統的安(an)全(quan)(quan)(quan)(quan)運行(xing)，組織(zhi)本(ben)(ben)(ben)單位(wei)計算機(ji)信(xin)息(xi)系(xi)統的有害(hai)信(xin)息(xi)防治工作，組織(zhi)開展本(ben)(ben)(ben)單位(wei)計算機(ji)信(xin)息(xi)系(xi)統安(an)全(quan)(quan)(quan)(quan)教育(yu)和培訓，向公(gong)安(an)機(ji)關公(gong)共(gong)(gong)信(xin)息(xi)網(wang)絡安(an)全(quan)(quan)(quan)(quan)監(jian)察(cha)部(bu)門報告本(ben)(ben)(ben)單位(wei)計算機(ji)信(xin)息(xi)系(xi)統運行(xing)、服務(wu)和安(an)全(quan)(quan)(quan)(quan)等情況，及時協助公(gong)安(an)機(ji)關公(gong)共(gong)(gong)信(xin)息(xi)網(wang)絡安(an)全(quan)(quan)(quan)(quan)監(jian)察(cha)部(bu)門查處(chu)違法犯罪(zui)和處(chu)置突發(fa)事件(jian)。

第十一條 互(hu)(hu)聯單(dan)位(wei)、互(hu)(hu)聯網接(jie)入(ru)服(fu)務(wu)單(dan)位(wei)、互(hu)(hu)聯網數據(ju)中心應當對接(jie)入(ru)本網絡的用戶進(jin)行(xing)資格審查，確認符合國家(jia)和(he)省有關規定后方可為其提供服(fu)務(wu)。

互(hu)聯(lian)網接入服務、信息服務單位以及互(hu)聯(lian)網數據中心應(ying)當向(xiang)用戶宣(xuan)傳相關法(fa)律法(fa)規，提供必(bi)要的安全(quan)保護措施(shi)。

第十二條 個人主頁、博客(ke)、聊天室、點對點服務(wu)(wu)等(deng)互聯(lian)網信息服務(wu)(wu)的(de)提(ti)供單位和使用者應當(dang)依(yi)照(zhao)國家和省有關規定，落實相應的(de)安全措(cuo)施。

第十三條 網(wang)吧、圖書館、學校、賓館等提供互(hu)聯網(wang)上網(wang)服務(wu)的(de)(de)場所(suo)應(ying)當安裝符合(he)國家規(gui)定的(de)(de)安全(quan)管理系統。

第十四條 互聯(lian)單(dan)位(wei)、互聯(lian)網(wang)接入服務(wu)單(dan)位(wei)以(yi)及互聯(lian)網(wang)數據中(zhong)心應當每月將接入本(ben)網(wang)絡(luo)的用戶情況報地級以(yi)上市公安(an)機關公共信息(xi)網(wang)絡(luo)安(an)全監察(cha)部門備案。

第十五條 計(ji)算機信息(xi)系(xi)統運營、使(shi)用單位應(ying)當接受公安機關公共(gong)信息(xi)網絡安全監(jian)察部門(men)的監(jian)督、檢查(cha)、指導，如實提(ti)供安全保護有(you)關信息(xi)、資料及(ji)數據文件，不得(de)變相拒絕、拖延、阻礙公安機關公共(gong)信息(xi)網絡安全監(jian)察部門(men)依法執行公務。

第四章 安全專用產品和安全服務

第十六條 安全專用產(chan)品必須取得(de)公安部頒(ban)發的(de)銷售(shou)(shou)許可(ke)證方可(ke)銷售(shou)(shou)。

第十七條 生產、銷(xiao)售或者提(ti)(ti)供含(han)有計(ji)算機信息網絡遠程控(kong)制、密碼猜解、安全（漏洞(dong)）檢測、信息群發技(ji)術的(de)(de)產品和工具(ju)的(de)(de)，應(ying)當在領取營業(ye)執照后30日(ri)(ri)內(nei)（沒(mei)有營業(ye)執照的(de)(de)，自開辦(ban)之日(ri)(ri)起30日(ri)(ri)內(nei)）向單位所在地(di)地(di)級以上(shang)市人民政府公安機關公共(gong)信息網絡安全監察(cha)部(bu)門備(bei)案，填寫《廣東(dong)省(sheng)計(ji)算機信息網絡安全特種(zhong)技(ji)術備(bei)案表》，并提(ti)(ti)交如下資料：

（一）單位簡況；

（二(er)）營業執照（或其他有效證明）復印件；

（三(san)）研發和服務(wu)管理制度；

（四）主要經營管理人(ren)員、技術人(ren)員和服務人(ren)員有效證件(jian)復印(yin)件(jian)；

（五）主(zhu)要產品情況。

第十八條 安(an)全保護等級為第三級以上的計算機信息系(xi)統(tong)應當選(xuan)用符合下列條件的安(an)全專用產品：

（一）產品研制(zhi)、生(sheng)產單位是由中(zhong)國(guo)公民、法人(ren)投資(zi)或者國(guo)家投資(zi)或者控股的，在中(zhong)華人(ren)民共(gong)和國(guo)境內具有獨(du)立的法人(ren)資(zi)格；

（二(er)）產品的核心技術、關鍵部件具有我(wo)國自主知識產權；

（三）產(chan)品研制(zhi)、生產(chan)單位及其主要業務、技術(shu)人員無犯罪記(ji)錄；

（四）產(chan)(chan)品(pin)研制、生產(chan)(chan)單位聲明(ming)沒有故(gu)意留(liu)有或者(zhe)設置(zhi)漏洞、后門、木馬等(deng)程序和(he)功能；

（五）對國家安全、社會秩(zhi)序、公共利益(yi)不構成危害。

第十九條 符(fu)合第十八條規定的安全專用產品和生產單位(wei)應當到省(sheng)公(gong)(gong)安廳公(gong)(gong)共信息網(wang)絡安全監(jian)察(cha)部(bu)門備案(an)。

第二十條 為加強安(an)全(quan)服務機(ji)構的(de)指導(dao)，推動安(an)全(quan)服務質量(liang)(liang)和技術(shu)(shu)水(shui)平的(de)提高，廣東(dong)省(sheng)對(dui)從事計(ji)算(suan)機(ji)信息(xi)系統安(an)全(quan)設計(ji)、建(jian)設、檢測、評估等安(an)全(quan)服務的(de)機(ji)構，根(gen)據其注冊資本、服務業績、技術(shu)(shu)力量(liang)(liang)、組(zu)織管理情況實行分級指導(dao)。

第五章 安全等級測評

第二十一條 第二(er)級(ji)以上(shang)的計(ji)算機信息系(xi)(xi)統的安(an)全(quan)測評應當選擇符合下列條件(jian)的計(ji)算機信息系(xi)(xi)統安(an)全(quan)等級(ji)測評機構（簡稱測評機構）承擔：

（一(yi)）在中(zhong)華人民共和國境(jing)內注(zhu)冊成立（港澳臺地區除外），具有相(xiang)應經營范(fan)圍的營業執照，注(zhu)冊資本100萬元(yuan)以上；

（二）由中國公民投資(zi)、中國法人投資(zi)或(huo)者國家投資(zi)的企事業單位（港澳臺地區(qu)除外(wai)）；

（三）近3年完成的測評項目(mu)總值150萬元以上；

（四）具有計算(suan)機安全或相關專(zhuan)業資格證書的(de)專(zhuan)業技術(shu)人員(yuan)不少于20人，其中(zhong)大(da)學本科以上學歷的(de)人員(yuan)不少于15人；

（五）管理(li)人員應當具有3年(nian)以上(shang)從(cong)事計算機(ji)信(xin)息系統安全(quan)技(ji)術(shu)領域企業管理(li)工作經歷，技(ji)術(shu)負責人已(yi)獲得計算機(ji)信(xin)息系統安全(quan)技(ji)術(shu)相關專(zhuan)業的高級職稱，從(cong)事安全(quan)測評工作不少于(yu)3年(nian)，無犯罪記錄(lu)；

（六）工作人(ren)員僅限于中國公民(min)，法人(ren)及主要(yao)業務、技術人(ren)員無犯罪記錄；

（七）具有與所承擔項目(mu)適應的技術裝備；

（八）具有(you)完備的(de)保密管理(li)(li)、項目管理(li)(li)、質量管理(li)(li)、人員(yuan)管理(li)(li)和培(pei)訓教育(yu)等安全管理(li)(li)制(zhi)度(du)；

（九）對國家安全、社(she)會秩序(xu)、公共利益不構成威脅(xie)。

第二十二條 廣東省對(dui)測(ce)評(ping)(ping)機(ji)構實施(shi)備案(an)制度。符合第(di)二十一(yi)條規(gui)定的(de)條件(jian)，承擔第(di)二級以(yi)上(shang)的(de)計算(suan)機(ji)信息系(xi)統測(ce)評(ping)(ping)工作的(de)機(ji)構應當到省公安(an)廳公共信息網絡安(an)全監(jian)察部門備案(an)。

第二十三條 省公安(an)廳公共信息網(wang)絡安(an)全監察(cha)部門對已備案的測評機構進行公布。

第二十四條 測評機構應當履行(xing)下(xia)列義務：

（一）遵守國家有(you)關法律法規(gui)和技術標準，提供(gong)安全、客觀(guan)、公正的(de)檢(jian)測評估服(fu)務，保證測評的(de)質(zhi)量和效果；

（二）保(bao)守在測評活動中知悉(xi)的國家秘密(mi)(mi)、商(shang)業(ye)秘密(mi)(mi)和個人隱私，防范測評風險；

（三(san)）對(dui)測評(ping)人員進行安(an)全(quan)保(bao)密(mi)(mi)教育，與其(qi)簽訂安(an)全(quan)保(bao)密(mi)(mi)責(ze)任書，規定應(ying)當履(lv)行的安(an)全(quan)保(bao)密(mi)(mi)義務和承擔的法律責(ze)任，并負責(ze)檢查(cha)落(luo)實。

第二十五條 第二級以上(shang)的(de)計算(suan)機(ji)信(xin)息系統建設(she)完成后，使(shi)用單位應當委托(tuo)符合規定的(de)測評機(ji)構安全測評合格(ge)方可投入使(shi)用。測評活動(dong)應當接受公(gong)(gong)安機(ji)關(guan)公(gong)(gong)共信(xin)息網絡安全監察(cha)部門的(de)監督。

第二十六條 計算機(ji)信息系(xi)統(tong)運營、使用單位(wei)委(wei)托安(an)全測評機(ji)構(gou)測評，應當提交下(xia)列資料：

（一）安(an)全測(ce)評委(wei)托(tuo)書；

（二）計算機信息系(xi)統(tong)(tong)應(ying)用需(xu)求(qiu)、系(xi)統(tong)(tong)結(jie)構拓撲及說明(ming)、系(xi)統(tong)(tong)安(an)(an)全(quan)組織結(jie)構和(he)管理(li)制度、安(an)(an)全(quan)保護設施(shi)設計實(shi)施(shi)方案或者改建實(shi)施(shi)方案、系(xi)統(tong)(tong)軟件硬件和(he)信息安(an)(an)全(quan)產(chan)品清單。

第二十七條 安(an)全(quan)測評機構在收到委托材料(liao)后，應(ying)當與(yu)委托方協(xie)商制(zhi)訂安(an)全(quan)測評計劃，開(kai)展安(an)全(quan)測評工作，并出具安(an)全(quan)測評報告。

經(jing)測評，計算(suan)機信(xin)(xin)息系(xi)統安全(quan)狀況未達到國家(jia)有關規定和標準的要求(qiu)，委托單位應當(dang)根據測評報告(gao)的建議(yi)，完善計算(suan)機信(xin)(xin)息系(xi)統安全(quan)建設，并(bing)重(zhong)新提出安全(quan)測評委托。

測(ce)(ce)(ce)評(ping)(ping)機(ji)構(gou)對計(ji)算(suan)機(ji)信(xin)息系統進行使(shi)用前安(an)(an)全測(ce)(ce)(ce)評(ping)(ping)，應當預先報告地級(ji)(ji)以上市公(gong)安(an)(an)機(ji)關公(gong)共(gong)信(xin)息網(wang)絡(luo)安(an)(an)全監察部門(men)。安(an)(an)全測(ce)(ce)(ce)評(ping)(ping)報告由計(ji)算(suan)機(ji)信(xin)息系統運營、使(shi)用單位報地級(ji)(ji)以上市公(gong)安(an)(an)機(ji)關公(gong)共(gong)信(xin)息網(wang)絡(luo)安(an)(an)全監察部門(men)。

第二十八條 第三級計算(suan)機(ji)信(xin)(xin)息系統(tong)應(ying)(ying)當每年至(zhi)少進(jin)(jin)行(xing)(xing)一(yi)次(ci)安(an)全測(ce)(ce)評，第四(si)級計算(suan)機(ji)信(xin)(xin)息系統(tong)應(ying)(ying)當每半年至(zhi)少進(jin)(jin)行(xing)(xing)一(yi)次(ci)安(an)全測(ce)(ce)評，第五級計算(suan)機(ji)信(xin)(xin)息系統(tong)應(ying)(ying)當依據特(te)殊安(an)全要求(qiu)進(jin)(jin)行(xing)(xing)安(an)全測(ce)(ce)評。

第六章 應急處置

第二十九條 公(gong)安(an)機(ji)(ji)關公(gong)共信息(xi)網(wang)絡(luo)安(an)全監(jian)察部門與所在地安(an)全服務機(ji)(ji)構、互(hu)聯(lian)網(wang)運(yun)營單(dan)位和其他計算機(ji)(ji)信息(xi)系統運(yun)營、使用單(dan)位應當建立聯(lian)防機(ji)(ji)制(zhi)，依法及時查處通過計算機(ji)(ji)信息(xi)系統進行的違法犯罪行為(wei)，組織處置重大突發事件。

第三十條 對(dui)計算機信(xin)息(xi)系統中發生的案件和重(zhong)大安全事(shi)故，計算機信(xin)息(xi)系統的運營(ying)、使用單位應(ying)當在二十四(si)小(xiao)時內報告縣級以上人民政府公安機關(guan)公共信(xin)息(xi)網(wang)絡(luo)安全監察(cha)部(bu)門，并保(bao)留有(you)關(guan)原始記錄。

第三十一條 第二級(ji)以上的計算(suan)機信息(xi)系(xi)統運營、使用單位應當制(zhi)定(ding)重大突發(fa)事件應急處置預(yu)案并定(ding)期實施演練。

第三十二條 計算機信息系統發生重大突發事件，有關單位應(ying)(ying)(ying)當按照(zhao)應(ying)(ying)(ying)急處置(zhi)預案的要求采取(qu)相應(ying)(ying)(ying)的處置(zhi)措施，并服從公安(an)機關和國家指(zhi)定(ding)的專門部門的調度。

第三十三條 地級市以上人民(min)政府(fu)公(gong)安(an)(an)機關公(gong)共信(xin)息網(wang)絡(luo)安(an)(an)全(quan)監(jian)察部門經本機關主管領導批(pi)準，為(wei)保護計算(suan)機信(xin)息系統安(an)(an)全(quan)，在發(fa)生(sheng)重大(da)突(tu)發(fa)事(shi)件，危及國家安(an)(an)全(quan)、公(gong)共安(an)(an)全(quan)及社會(hui)穩定的緊急情(qing)況下，可以采取二十四小(xiao)時內暫時停機、暫停聯網(wang)、備份(fen)數據(ju)等措施。

第七章 安全培訓

第三十四條 省(sheng)(sheng)公安廳(ting)、人事廳(ting)聯合成(cheng)立(li)的(de)省(sheng)(sheng)信(xin)息網(wang)絡安全(quan)(quan)專業(ye)(ye)技(ji)(ji)術(shu)人員繼續教育工(gong)作領(ling)導小組(zu)，負(fu)責全(quan)(quan)省(sheng)(sheng)信(xin)息網(wang)絡安全(quan)(quan)專業(ye)(ye)技(ji)(ji)術(shu)人員繼續教育工(gong)作的(de)組(zu)織和領(ling)導。下設省(sheng)(sheng)信(xin)息網(wang)絡安全(quan)(quan)專業(ye)(ye)技(ji)(ji)術(shu)人員繼續教育工(gong)作辦公室，具(ju)體(ti)負(fu)責日常管理(li)工(gong)作。

第三十五條 下(xia)列人員應當(dang)參(can)加(jia)信(xin)息(xi)(xi)網(wang)絡(luo)(luo)安(an)(an)全(quan)(quan)專(zhuan)業技術(shu)人員繼續(xu)教育(yu)(yu)，取得省(sheng)信(xin)息(xi)(xi)網(wang)絡(luo)(luo)安(an)(an)全(quan)(quan)專(zhuan)業技術(shu)人員繼續(xu)教育(yu)(yu)工作辦公室頒發的信(xin)息(xi)(xi)網(wang)絡(luo)(luo)安(an)(an)全(quan)(quan)專(zhuan)業技術(shu)人員繼續(xu)教育(yu)(yu)合格(ge)證書，持證上崗(gang)：

（一）計算(suan)機信息系統運營、使用單(dan)位信息安全管(guan)理責任(ren)人、信息審查員；

（二）互聯網(wang)接入服務、數據(ju)中心服務、信息服務、上(shang)網(wang)服務提供(gong)單位安全管理員、專業技術人員；

（三）安(an)全(quan)專(zhuan)用(yong)產品(pin)生產單位專(zhuan)業(ye)技術(shu)人員；

（四）安全(quan)服(fu)務機(ji)構專業(ye)技(ji)術人(ren)員、安全(quan)服(fu)務管理人(ren)員；

（五）其他從事(shi)計算機信(xin)息(xi)系統安全保護(hu)工作的人員。

第三十六條 信(xin)息網絡安全專業技術人(ren)員繼續(xu)教(jiao)育(yu)由省信(xin)息網絡安全專業技術人(ren)員繼續(xu)教(jiao)育(yu)工作辦公室授權(quan)的施(shi)教(jiao)機(ji)構負責實施(shi)。施(shi)教(jiao)機(ji)構實行(xing)統籌規劃。

第三十七條 信息網絡安全專業技術人員繼(ji)續教育培訓和考(kao)試按(an)照有(you)關規定(ding)進行，實行統一(yi)教學(xue)大綱，統一(yi)教材(cai)，統一(yi)考(kao)試，統一(yi)發證。

考試合格的，由省信息網絡安(an)全專業技(ji)(ji)術人員繼續教育工作(zuo)辦公室(shi)發給信息網絡安(an)全專業技(ji)(ji)術人員繼續教育證書(shu)。

第八章 法律責任

第三十八條 違反本(ben)辦法的規定，依照有關法律、法規和規章處罰。

第九章 附則

第三十九條 本細則下列用語的(de)含義：實體安全，指保護計算機信(xin)息系統的(de)環境(jing)，計算機設備、設施（含網絡）以(yi)及其它(ta)媒體免(mian)遭地(di)震(zhen)、水災、火災、雷電(dian)(dian)、有害氣(qi)體和其它(ta)環境(jing)事故（如(ru)電(dian)(dian)磁污染等(deng)）破(po)壞。

運行安全(quan)，指(zhi)保護計算機信息系統(tong)的信息處理過程順利(li)進行。

信息安全，指(zhi)保(bao)障信息的完整(zheng)性、保(bao)密性、可(ke)用性和(he)可(ke)控性。

內(nei)容(rong)安全，指確保計算機信(xin)息系統中傳(chuan)輸的信(xin)息所承(cheng)載的內(nei)容(rong)的合法性。

安(an)全（漏(lou)洞(dong)）檢測，指利用計算機(ji)技(ji)術手段掃描、探測計算機(ji)信息系統(tong)安(an)全漏(lou)洞(dong)。

第四十條 本辦法規定的“以上”含本數。

第四十一條 本(ben)辦(ban)法(fa)規定(ding)的有關表格和證(zheng)書(shu)由省(sheng)公安廳制定(ding)式樣，統一監制。

第四十二條 本辦法由省(sheng)公(gong)安(an)廳負責解釋。

第四十三條 本(ben)辦法自2008年(nian)12月1日起施行。