廣東省公安廳關于計算機信息系統安全保護的實施辦法

（廣東省公(gong)安(an)廳(ting)2008年9月27日以粵(yue)公(gong)通字〔2008〕228號發布(bu) 自2008年12月1日起施行(xing)）

第一章 總則

第一條 為保(bao)護(hu)計算(suan)機(ji)信(xin)息系(xi)統安(an)全，促進信(xin)息化(hua)建設的健康發展，貫徹落實《廣(guang)東省計算(suan)機(ji)信(xin)息系(xi)統安(an)全保(bao)護(hu)條(tiao)例(li)》，根據有關法律法規，制(zhi)定本辦法。

第二條 本辦法(fa)適用于(yu)廣(guang)東省行政(zheng)區域內計(ji)算機信息系統的安全保護(hu)。

第三條 縣(xian)級以上人民政府(fu)公安(an)機關公共信息網絡安(an)全監(jian)察部門(men)具體負責(ze)本行政區域(yu)內計(ji)算機信息系統的安(an)全保護監(jian)管工作。

第二章 安全監督

第四條 公(gong)安機(ji)關(guan)公(gong)共信息網(wang)絡安全(quan)監察部門對計(ji)算機(ji)信息系統安全(quan)保護工(gong)作行使下列職責：

（一）監督、檢查(cha)、指導計算機信息系統安全(quan)保護工(gong)作(zuo)；

（二）組織開展計算機(ji)信息系統(tong)安(an)全等(deng)級(ji)保護；

（三）查處計算機違法犯罪案件；

（四(si)）組織處置重大計算機信息系統安全事故和事件；

（五）負責計算機病毒和其他(ta)有害數據防治管理；

（六）負責計算機信息系統安全服(fu)務的監督指導；

（七）負責計算機信息(xi)系統安全專(zhuan)用產品的監(jian)督管理；

（八）負責計算(suan)機信息(xi)系統安全培訓管理；

（九）法律、法規和規章規定的(de)其他職責。

第五條 公安(an)機關(guan)公共信(xin)息網絡安(an)全監察部門應當(dang)對計算機信(xin)息系統落實實體安(an)全、運行安(an)全、信(xin)息安(an)全和內容安(an)全措施的情況進行檢查。

對第三級(ji)計算(suan)機(ji)信(xin)息系(xi)統(tong)每年至少檢查(cha)一(yi)次(ci)，對第四級(ji)計算(suan)機(ji)信(xin)息系(xi)統(tong)每半年至少檢查(cha)一(yi)次(ci)。對第五級(ji)計算(suan)機(ji)信(xin)息系(xi)統(tong)，應當會(hui)同國家指定的(de)專門部門進行檢查(cha)。

對(dui)其他(ta)計(ji)算機信息系統應當不定期(qi)開展檢查。

第六條 公(gong)安(an)(an)機關公(gong)共信息(xi)網絡(luo)安(an)(an)全監察部門發(fa)現計算機信息(xi)系統的安(an)(an)全保護等級和安(an)(an)全措施(shi)不符合(he)有關規定和技(ji)術標(biao)準，或者(zhe)存在安(an)(an)全隱患的，應當通知運營、使(shi)用單(dan)位進(jin)行整改。

第七條 公安(an)機(ji)關公共信息網絡安(an)全(quan)監(jian)察(cha)部門應當向公眾(zhong)提(ti)供(gong)(gong)報警求助(zhu)渠(qu)道(dao)，提(ti)供(gong)(gong)計算機(ji)信息系統安(an)全(quan)指導(dao)，發(fa)布安(an)全(quan)動態(tai)，開(kai)展安(an)全(quan)宣傳。

第三章 安全保護責任

第八條 單位和個人應當依照有(you)關法規、規章和標準，對其所有(you)、使用和管(guan)理的計(ji)算(suan)機信息(xi)系統承擔相應的安全保護責(ze)任(ren)。

第九條 第(di)二級以上計算機信(xin)息(xi)系(xi)統的運營、使用單位(wei)應當建立安(an)全保護組織(zhi)，并報所在(zai)地(di)地(di)級以上市人民(min)政府(fu)公(gong)安(an)機關公(gong)共信(xin)息(xi)網(wang)絡(luo)安(an)全監察部門備案。

第十條 安全(quan)保護組(zu)織保障本單(dan)位(wei)(wei)計(ji)(ji)算機(ji)信息(xi)(xi)(xi)系統的安全(quan)運(yun)行，組(zu)織本單(dan)位(wei)(wei)計(ji)(ji)算機(ji)信息(xi)(xi)(xi)系統的有害信息(xi)(xi)(xi)防治工作(zuo)，組(zu)織開展本單(dan)位(wei)(wei)計(ji)(ji)算機(ji)信息(xi)(xi)(xi)系統安全(quan)教育(yu)和(he)培訓，向公安機(ji)關公共信息(xi)(xi)(xi)網絡安全(quan)監察(cha)部門報告(gao)本單(dan)位(wei)(wei)計(ji)(ji)算機(ji)信息(xi)(xi)(xi)系統運(yun)行、服務和(he)安全(quan)等情(qing)況，及時(shi)協助公安機(ji)關公共信息(xi)(xi)(xi)網絡安全(quan)監察(cha)部門查(cha)處違法犯罪和(he)處置突發(fa)事(shi)件。

第十一條 互(hu)聯單位、互(hu)聯網(wang)接入服(fu)務單位、互(hu)聯網(wang)數據中心應當(dang)對接入本網(wang)絡的(de)用戶進(jin)行資格審查，確認(ren)符(fu)合國家和省(sheng)有關規(gui)定后方可為其提(ti)供(gong)服(fu)務。

互聯網接入服(fu)務(wu)、信息(xi)服(fu)務(wu)單位以及互聯網數據中心應當向用戶(hu)宣傳相關法律法規(gui)，提供必要的(de)安全保護措施。

第十二條 個人(ren)主(zhu)頁、博客、聊(liao)天室、點(dian)對(dui)點(dian)服務(wu)等互聯網信(xin)息服務(wu)的提(ti)供單位和使用者應當依(yi)照(zhao)國(guo)家和省有關規定(ding)，落(luo)實相應的安全措(cuo)施。

第十三條 網吧、圖書館(guan)、學(xue)校、賓館(guan)等提(ti)供互(hu)聯網上網服務的場所應(ying)當(dang)安裝符合(he)國家(jia)規定的安全管理系統。

第十四條 互(hu)聯單位、互(hu)聯網(wang)接(jie)入服務單位以(yi)及互(hu)聯網(wang)數據中心應當每月將接(jie)入本網(wang)絡(luo)的用戶情況報地(di)級以(yi)上市公安機關(guan)公共(gong)信息網(wang)絡(luo)安全監察部門備(bei)案(an)。

第十五條 計(ji)算機信(xin)(xin)息(xi)系統運營、使用(yong)單(dan)位應當接受公(gong)(gong)安機關(guan)公(gong)(gong)共(gong)信(xin)(xin)息(xi)網絡安全(quan)監(jian)察(cha)部(bu)門的監(jian)督、檢查、指導，如實提供安全(quan)保護有關(guan)信(xin)(xin)息(xi)、資料及(ji)數據(ju)文(wen)件，不(bu)得變相(xiang)拒絕(jue)、拖延(yan)、阻礙公(gong)(gong)安機關(guan)公(gong)(gong)共(gong)信(xin)(xin)息(xi)網絡安全(quan)監(jian)察(cha)部(bu)門依法執行公(gong)(gong)務。

第四章 安全專用產品和安全服務

第十六條 安(an)全專用產品必須取得公安(an)部頒發的銷售許可證方可銷售。

第十七條 生產、銷售或者提(ti)供(gong)含有計算機信(xin)(xin)(xin)息(xi)網絡(luo)(luo)遠(yuan)程控制、密碼(ma)猜解(jie)、安全(quan)（漏洞）檢(jian)測、信(xin)(xin)(xin)息(xi)群發技(ji)(ji)術的(de)產品和工(gong)具的(de)，應當在領取(qu)營(ying)業(ye)執照(zhao)后30日內(nei)（沒有營(ying)業(ye)執照(zhao)的(de)，自開辦(ban)之日起(qi)30日內(nei)）向單位所(suo)在地地級(ji)以上市人民政(zheng)府公(gong)安機關公(gong)共信(xin)(xin)(xin)息(xi)網絡(luo)(luo)安全(quan)監察部(bu)門(men)備案，填寫《廣東(dong)省計算機信(xin)(xin)(xin)息(xi)網絡(luo)(luo)安全(quan)特種技(ji)(ji)術備案表》，并提(ti)交如下資料：

（一）單位簡況；

（二）營業執照(zhao)（或其他有效證明）復印件；

（三）研發和服務管(guan)理制度；

（四）主(zhu)要經營管理人(ren)員(yuan)(yuan)、技術人(ren)員(yuan)(yuan)和服務人(ren)員(yuan)(yuan)有效證(zheng)件復印件；

（五）主要產品(pin)情況。

第十八條 安(an)全(quan)保護等級(ji)(ji)為(wei)第三級(ji)(ji)以上的計算(suan)機信息系統(tong)應當選(xuan)用(yong)符合下列條件(jian)的安(an)全(quan)專用(yong)產品：

（一）產(chan)品研(yan)制、生(sheng)產(chan)單位是由中國公民(min)、法人投(tou)資(zi)或者(zhe)國家投(tou)資(zi)或者(zhe)控股的，在中華人民(min)共和國境內具(ju)有獨立的法人資(zi)格(ge)；

（二）產(chan)品的核心技術、關(guan)鍵部件具(ju)有(you)我國自主知識產(chan)權；

（三）產品研制、生產單(dan)位及其主要業務、技術人員無犯罪記錄；

（四）產(chan)品(pin)研(yan)制、生產(chan)單位(wei)聲明沒有故意留有或(huo)者設(she)置漏洞、后(hou)門(men)、木馬等程(cheng)序和(he)功(gong)能；

（五）對國家安全、社會(hui)秩序、公共利益不構成危害。

第十九條 符合第十八條(tiao)規定(ding)的(de)安(an)全專用產(chan)品(pin)和(he)生產(chan)單(dan)位(wei)應當到(dao)省公(gong)安(an)廳公(gong)共信息網絡安(an)全監(jian)察部(bu)門(men)備案。

第二十條 為(wei)加強安全(quan)(quan)服(fu)務(wu)機構的(de)指導(dao)，推動安全(quan)(quan)服(fu)務(wu)質量和技(ji)術水(shui)平(ping)的(de)提(ti)高，廣東省對從事計算機信息系統安全(quan)(quan)設(she)計、建設(she)、檢測(ce)、評(ping)估等安全(quan)(quan)服(fu)務(wu)的(de)機構，根據其注冊資(zi)本、服(fu)務(wu)業績、技(ji)術力(li)量、組織管(guan)理情(qing)況實行分級指導(dao)。

第五章 安全等級測評

第二十一條 第(di)二級(ji)以上的(de)計算機(ji)信息系(xi)統(tong)的(de)安全測評應當(dang)選擇符(fu)合下列條件的(de)計算機(ji)信息系(xi)統(tong)安全等級(ji)測評機(ji)構(gou)（簡(jian)稱測評機(ji)構(gou)）承擔：

（一）在中華人民共(gong)和國(guo)境內(nei)注(zhu)(zhu)冊成立（港澳臺地區(qu)除(chu)外），具(ju)有(you)相應經營范圍的營業執照，注(zhu)(zhu)冊資本100萬元以上(shang)；

（二(er)）由(you)中(zhong)國(guo)公民投(tou)資、中(zhong)國(guo)法人投(tou)資或者國(guo)家投(tou)資的企(qi)事業(ye)單位(wei)（港澳臺地區除外）；

（三）近3年(nian)完成(cheng)的(de)測評(ping)項目總值150萬元以上；

（四）具有計算機安(an)全或相關(guan)專業(ye)資格證(zheng)書的(de)專業(ye)技術人員不少于(yu)20人，其中大學本科(ke)以上學歷的(de)人員不少于(yu)15人；

（五）管(guan)理(li)(li)人(ren)員應當具有3年(nian)以上從事計算機信息系(xi)統安(an)全技術領域企業(ye)管(guan)理(li)(li)工(gong)(gong)作(zuo)經歷，技術負責人(ren)已獲(huo)得計算機信息系(xi)統安(an)全技術相(xiang)關專業(ye)的高級(ji)職稱，從事安(an)全測評(ping)工(gong)(gong)作(zuo)不(bu)少于3年(nian)，無犯(fan)罪記錄；

（六(liu)）工作人(ren)員僅限于中國公(gong)民，法(fa)人(ren)及主(zhu)要業務、技術人(ren)員無犯罪記錄；

（七）具有與所承擔項目適應的技術(shu)裝備(bei)；

（八(ba)）具(ju)有完備(bei)的(de)保密管(guan)(guan)理、項(xiang)目管(guan)(guan)理、質量管(guan)(guan)理、人員管(guan)(guan)理和培訓教育(yu)等安全管(guan)(guan)理制度；

（九）對國家安全、社會秩序(xu)、公共利(li)益不構成威(wei)脅。

第二十二條 廣東(dong)省(sheng)對測評(ping)機(ji)構(gou)實施備案制度。符合第二十一條(tiao)規定的條(tiao)件(jian)，承擔第二級以(yi)上的計算機(ji)信(xin)息系統測評(ping)工作的機(ji)構(gou)應當(dang)到(dao)省(sheng)公安(an)廳公共信(xin)息網絡(luo)安(an)全監察部門備案。

第二十三條 省公安廳(ting)公共信息網絡安全監察部(bu)門對已備案(an)的(de)測評機構進行公布。

第二十四條 測評機構應當履行下(xia)列(lie)義務：

（一）遵守國家有關(guan)法(fa)律法(fa)規(gui)和(he)技術標準(zhun)，提供安(an)全、客觀、公正的檢(jian)測評估服務，保(bao)證測評的質量(liang)和(he)效果；

（二）保守在測評活(huo)動中知悉的(de)國家秘密(mi)、商業秘密(mi)和個(ge)人隱私，防范(fan)測評風(feng)險；

（三(san)）對測(ce)評人(ren)員進行(xing)(xing)安全保密(mi)教育(yu)，與(yu)其(qi)簽訂安全保密(mi)責任書，規定應當履行(xing)(xing)的(de)安全保密(mi)義務(wu)和承擔的(de)法律責任，并(bing)負責檢查落實(shi)。

第二十五條 第(di)二級以上的(de)計(ji)算機信息系統建設完成后，使用單位應當(dang)委托(tuo)符合規定的(de)測評(ping)機構(gou)安全測評(ping)合格方可投(tou)入使用。測評(ping)活動應當(dang)接受公(gong)安機關公(gong)共信息網絡安全監察部門(men)的(de)監督。

第二十六條 計算機(ji)信息(xi)系統運營、使用單位(wei)委托安(an)全測(ce)評機(ji)構測(ce)評，應當提交(jiao)下列(lie)資料：

（一）安全測評(ping)委托書；

（二）計算(suan)機信息系統(tong)應(ying)用需求、系統(tong)結(jie)構拓撲及說(shuo)明、系統(tong)安(an)全組織結(jie)構和(he)管(guan)理制(zhi)度、安(an)全保護設(she)施設(she)計實(shi)施方(fang)案或者改建實(shi)施方(fang)案、系統(tong)軟件硬件和(he)信息安(an)全產品清單(dan)。

第二十七條 安全測(ce)評機構(gou)在收到(dao)委托(tuo)材料(liao)后，應當與委托(tuo)方(fang)協(xie)商(shang)制(zhi)訂安全測(ce)評計劃，開展(zhan)安全測(ce)評工作，并出具安全測(ce)評報告。

經測評，計(ji)算(suan)機(ji)信息(xi)系統安(an)全狀況未達(da)到國家有關規定和標準的要求，委托(tuo)單位(wei)應當根據測評報告的建(jian)議，完善(shan)計(ji)算(suan)機(ji)信息(xi)系統安(an)全建(jian)設，并重新提出安(an)全測評委托(tuo)。

測評(ping)機(ji)(ji)構對計(ji)(ji)算(suan)機(ji)(ji)信(xin)息系統進行使用前安(an)全(quan)測評(ping)，應當(dang)預先報告(gao)地(di)級以上市(shi)公安(an)機(ji)(ji)關公共信(xin)息網絡(luo)安(an)全(quan)監(jian)察(cha)部門。安(an)全(quan)測評(ping)報告(gao)由(you)計(ji)(ji)算(suan)機(ji)(ji)信(xin)息系統運營、使用單位(wei)報地(di)級以上市(shi)公安(an)機(ji)(ji)關公共信(xin)息網絡(luo)安(an)全(quan)監(jian)察(cha)部門。

第二十八條 第(di)三級計算(suan)機(ji)信(xin)息(xi)系(xi)統(tong)(tong)應當(dang)每年(nian)至少進(jin)行一次(ci)安(an)全(quan)測評(ping)(ping)，第(di)四級計算(suan)機(ji)信(xin)息(xi)系(xi)統(tong)(tong)應當(dang)每半年(nian)至少進(jin)行一次(ci)安(an)全(quan)測評(ping)(ping)，第(di)五級計算(suan)機(ji)信(xin)息(xi)系(xi)統(tong)(tong)應當(dang)依據特殊安(an)全(quan)要(yao)求進(jin)行安(an)全(quan)測評(ping)(ping)。

第六章 應急處置

第二十九條 公安(an)機(ji)關(guan)公共信(xin)(xin)息網絡(luo)安(an)全監察部門與所在地安(an)全服(fu)務機(ji)構、互聯(lian)網運營單位和(he)其(qi)他計(ji)算(suan)機(ji)信(xin)(xin)息系統運營、使(shi)用單位應(ying)當建立聯(lian)防(fang)機(ji)制，依法(fa)(fa)及時查處(chu)通過計(ji)算(suan)機(ji)信(xin)(xin)息系統進行(xing)的(de)違法(fa)(fa)犯罪行(xing)為，組織(zhi)處(chu)置重大突發(fa)事件。

第三十條 對計(ji)算(suan)機(ji)信(xin)(xin)息系統中發生的案(an)件和重(zhong)大安全事故(gu)，計(ji)算(suan)機(ji)信(xin)(xin)息系統的運營、使(shi)用單位應當在二(er)十四小時(shi)內(nei)報告縣級(ji)以上人民政府公安機(ji)關公共信(xin)(xin)息網絡安全監察部門，并保(bao)留有(you)關原始(shi)記錄。

第三十一條 第二級以上的計算機(ji)信息系統運(yun)營、使用單位應當制定重大突發事件(jian)應急處置預案并(bing)定期實施演練。

第三十二條 計(ji)算機(ji)信息(xi)系統發生(sheng)重大突發事(shi)件(jian)，有關(guan)單位應當按照應急處置預案的(de)要求采取相應的(de)處置措施，并服從公安機(ji)關(guan)和國家指定的(de)專門部門的(de)調(diao)度。

第三十三條 地(di)級市(shi)以(yi)上(shang)人民政府公(gong)(gong)安(an)(an)機關公(gong)(gong)共信息網絡安(an)(an)全(quan)監察部門經本機關主管(guan)領導批準，為保護計算機信息系統安(an)(an)全(quan)，在發生重(zhong)大突發事(shi)件，危及國家安(an)(an)全(quan)、公(gong)(gong)共安(an)(an)全(quan)及社會穩定(ding)的緊(jin)急情況下，可(ke)以(yi)采取二十四小時內暫時停機、暫停聯網、備份(fen)數據等措施。

第七章 安全培訓

第三十四條 省公(gong)(gong)安廳、人事(shi)廳聯合成立(li)的(de)(de)省信(xin)息(xi)網絡安全(quan)(quan)專業技(ji)術人員繼續(xu)教育(yu)工(gong)作領導小組，負(fu)責全(quan)(quan)省信(xin)息(xi)網絡安全(quan)(quan)專業技(ji)術人員繼續(xu)教育(yu)工(gong)作的(de)(de)組織(zhi)和領導。下設省信(xin)息(xi)網絡安全(quan)(quan)專業技(ji)術人員繼續(xu)教育(yu)工(gong)作辦公(gong)(gong)室，具體負(fu)責日常管理工(gong)作。

第三十五條 下列(lie)人(ren)員應當參加信息(xi)網(wang)絡(luo)安(an)全專業技術人(ren)員繼續(xu)(xu)教(jiao)育(yu)，取得省信息(xi)網(wang)絡(luo)安(an)全專業技術人(ren)員繼續(xu)(xu)教(jiao)育(yu)工作辦(ban)公室頒(ban)發的信息(xi)網(wang)絡(luo)安(an)全專業技術人(ren)員繼續(xu)(xu)教(jiao)育(yu)合格(ge)證書，持證上崗：

（一）計算機信(xin)息系統運營(ying)、使(shi)用單位信(xin)息安全管理(li)責(ze)任人(ren)、信(xin)息審查員(yuan)；

（二）互(hu)聯(lian)網(wang)接入服務(wu)、數據中心(xin)服務(wu)、信息服務(wu)、上網(wang)服務(wu)提供(gong)單位(wei)安全管理員、專業技術(shu)人(ren)員；

（三）安(an)全專用產(chan)(chan)品(pin)生產(chan)(chan)單(dan)位專業技術人(ren)員；

（四(si)）安全(quan)服務機構(gou)專業技術(shu)人(ren)員、安全(quan)服務管理(li)人(ren)員；

（五）其他從事(shi)計算機信息系(xi)統安全保(bao)護工(gong)作的人員。

第三十六條 信息網(wang)絡安(an)全(quan)專業(ye)技術人員繼續教育由省信息網(wang)絡安(an)全(quan)專業(ye)技術人員繼續教育工作辦公室授權的施(shi)教機構負責實施(shi)。施(shi)教機構實行統(tong)籌(chou)規劃(hua)。

第三十七條 信息網絡安全專業技術人員繼續(xu)教(jiao)(jiao)育培訓和(he)考(kao)(kao)試按照(zhao)有關(guan)規(gui)定(ding)進行，實行統一(yi)教(jiao)(jiao)學大綱，統一(yi)教(jiao)(jiao)材(cai)，統一(yi)考(kao)(kao)試，統一(yi)發(fa)證。

考試合格的(de)，由(you)省信息網(wang)絡安全(quan)專(zhuan)業技術人員(yuan)繼續教育工(gong)作辦(ban)公(gong)室發(fa)給(gei)信息網(wang)絡安全(quan)專(zhuan)業技術人員(yuan)繼續教育證書。

第八章 法律責任

第三十八條 違反本(ben)辦法(fa)的規(gui)定，依照有關法(fa)律、法(fa)規(gui)和規(gui)章處(chu)罰。

第九章 附則

第三十九條 本細則下列(lie)用(yong)語(yu)的含義：實體(ti)安全，指保護(hu)計(ji)算機(ji)信息系統的環(huan)境，計(ji)算機(ji)設(she)備(bei)、設(she)施（含網絡）以及(ji)其(qi)它媒(mei)體(ti)免遭地(di)震、水災(zai)、火災(zai)、雷(lei)電、有害氣(qi)體(ti)和其(qi)它環(huan)境事(shi)故（如電磁污染等）破壞。

運(yun)行安全，指保護計算機(ji)信息系統的信息處理過程順利進行。

信(xin)息安(an)全，指保障信(xin)息的(de)完整性(xing)、保密(mi)性(xing)、可用性(xing)和(he)可控性(xing)。

內(nei)容安全，指確保計算機信息系(xi)統中(zhong)傳輸的信息所承(cheng)載的內(nei)容的合(he)法性。

安全（漏洞(dong)）檢測(ce)，指(zhi)利用計算(suan)機技(ji)術手(shou)段掃描(miao)、探(tan)測(ce)計算(suan)機信息系統安全漏洞(dong)。

第四十條 本辦法規(gui)定的(de)“以(yi)上”含本數。

第四十一條 本辦法規定的有關表格和證書由省公安廳制(zhi)定式樣，統一監制(zhi)。

第四十二條 本辦法由省公(gong)安廳負(fu)責解釋(shi)。

第四十三條 本辦(ban)法自2008年12月1日起施行。