廣東省公安廳關于計算機信息系統安全保護的實施辦法

（廣(guang)東省公安廳2008年9月27日以粵公通字(zi)〔2008〕228號發布(bu) 自2008年12月1日起施行）

第一章 總則

第一條 為保護(hu)計算機(ji)信(xin)息系(xi)(xi)統安(an)全，促進信(xin)息化建(jian)設的(de)健康發展，貫徹(che)落實《廣(guang)東省(sheng)計算機(ji)信(xin)息系(xi)(xi)統安(an)全保護(hu)條例》，根據有關法(fa)律法(fa)規，制定本辦法(fa)。

第二條 本(ben)辦法適用于廣東省行政區域內計算(suan)機信息系統(tong)的(de)安全保護。

第三條 縣級以上人民政(zheng)府公(gong)安機(ji)關公(gong)共信(xin)息(xi)網絡安全監察(cha)部門具體(ti)負(fu)責本(ben)行(xing)政(zheng)區域內(nei)計算機(ji)信(xin)息(xi)系統的安全保護(hu)監管工(gong)作(zuo)。

第二章 安全監督

第四條 公安機(ji)關(guan)公共信(xin)息網絡安全監察部門對計算機(ji)信(xin)息系統(tong)安全保護工作(zuo)行使下列職責：

（一）監督、檢查、指導計算(suan)機(ji)信息系統安全保(bao)護工作(zuo)；

（二）組織開展(zhan)計算機(ji)信息系統安全等(deng)級保護；

（三）查(cha)處計算(suan)機違法犯(fan)罪案件；

（四）組織處置(zhi)重大計(ji)算機信息系統安全事(shi)(shi)故和事(shi)(shi)件；

（五）負(fu)責計算機病毒(du)和其他有害(hai)數據(ju)防治管理(li)；

（六）負(fu)責(ze)計算機信息系統(tong)安全服務的監督指導；

（七）負責計(ji)算機信息系統安全專用產品(pin)的監督管(guan)理；

（八）負責計算機信息系統安全培訓管理；

（九(jiu)）法律、法規(gui)和(he)規(gui)章規(gui)定的其(qi)他(ta)職責。

第五條 公安(an)(an)機(ji)關公共信(xin)息(xi)網絡(luo)安(an)(an)全(quan)監察部門應當對計算機(ji)信(xin)息(xi)系統落實(shi)實(shi)體安(an)(an)全(quan)、運(yun)行(xing)安(an)(an)全(quan)、信(xin)息(xi)安(an)(an)全(quan)和內容(rong)安(an)(an)全(quan)措施的情況進行(xing)檢查。

對(dui)第三級計算(suan)機信(xin)息(xi)系(xi)統(tong)每年至少檢(jian)查(cha)一次，對(dui)第四級計算(suan)機信(xin)息(xi)系(xi)統(tong)每半(ban)年至少檢(jian)查(cha)一次。對(dui)第五級計算(suan)機信(xin)息(xi)系(xi)統(tong)，應當會同國家指(zhi)定的專門(men)部門(men)進行(xing)檢(jian)查(cha)。

對(dui)其他計算機(ji)信息系統應當不(bu)定期開(kai)展檢(jian)查(cha)。

第六條 公(gong)安(an)機關(guan)公(gong)共信(xin)息(xi)網絡(luo)安(an)全(quan)(quan)監察(cha)部門發現計算機信(xin)息(xi)系統(tong)的(de)(de)安(an)全(quan)(quan)保護等(deng)級和安(an)全(quan)(quan)措施不符(fu)合有關(guan)規定和技術標準，或者存在安(an)全(quan)(quan)隱患的(de)(de)，應當通知(zhi)運營、使用(yong)單位進行整(zheng)改。

第七條 公安機關公共(gong)信(xin)(xin)息網(wang)絡安全(quan)監察部(bu)門(men)應當向公眾提(ti)供(gong)報警求助渠(qu)道，提(ti)供(gong)計算機信(xin)(xin)息系統安全(quan)指(zhi)導，發布(bu)安全(quan)動態，開展安全(quan)宣(xuan)傳。

第三章 安全保護責任

第八條 單位和個(ge)人(ren)應當依照有(you)關法規、規章和標準(zhun)，對其所有(you)、使用和管理的(de)計算機信息系統承擔相應的(de)安全(quan)保護責(ze)任。

第九條 第二(er)級以上計(ji)算機(ji)信息系統的運營(ying)、使用單位(wei)應當建(jian)立安(an)全保護組織，并報所在地地級以上市人民政府公(gong)安(an)機(ji)關公(gong)共信息網絡安(an)全監察部(bu)門備案。

第十條 安(an)全(quan)保護組織保障本(ben)單(dan)(dan)(dan)位計算(suan)機(ji)信(xin)(xin)息(xi)(xi)系(xi)統(tong)的安(an)全(quan)運(yun)行(xing)，組織本(ben)單(dan)(dan)(dan)位計算(suan)機(ji)信(xin)(xin)息(xi)(xi)系(xi)統(tong)的有害信(xin)(xin)息(xi)(xi)防治工作，組織開(kai)展本(ben)單(dan)(dan)(dan)位計算(suan)機(ji)信(xin)(xin)息(xi)(xi)系(xi)統(tong)安(an)全(quan)教育和(he)培訓，向公(gong)安(an)機(ji)關(guan)公(gong)共信(xin)(xin)息(xi)(xi)網(wang)絡(luo)安(an)全(quan)監(jian)(jian)察部門報告本(ben)單(dan)(dan)(dan)位計算(suan)機(ji)信(xin)(xin)息(xi)(xi)系(xi)統(tong)運(yun)行(xing)、服務(wu)和(he)安(an)全(quan)等情況，及時(shi)協助公(gong)安(an)機(ji)關(guan)公(gong)共信(xin)(xin)息(xi)(xi)網(wang)絡(luo)安(an)全(quan)監(jian)(jian)察部門查處違法犯罪和(he)處置突發事件。

第十一條 互(hu)聯(lian)單位、互(hu)聯(lian)網接入服(fu)務(wu)單位、互(hu)聯(lian)網數(shu)據中心應當對接入本網絡的用戶進行資格審查(cha)，確認(ren)符合國家和省(sheng)有關規定(ding)后方可為(wei)其提供服(fu)務(wu)。

互聯網接入服務、信(xin)息(xi)服務單位(wei)以及互聯網數據中心應當向用戶宣傳相關法(fa)律(lv)法(fa)規，提供必要(yao)的安全(quan)保護措施。

第十二條 個人(ren)主頁、博客、聊(liao)天室、點對點服務等互聯網信息服務的(de)提供單位和(he)使用者應(ying)當依(yi)照國家和(he)省有關規定，落實相應(ying)的(de)安全措施(shi)。

第十三條 網吧(ba)、圖(tu)書館、學校、賓館等提供互聯網上網服務的場(chang)所應當安裝符合國家規定的安全管理(li)系統。

第十四條 互聯(lian)單(dan)位、互聯(lian)網(wang)接(jie)入(ru)(ru)服務單(dan)位以及互聯(lian)網(wang)數據(ju)中心應當(dang)每月將(jiang)接(jie)入(ru)(ru)本網(wang)絡的用(yong)戶情況(kuang)報地級以上市公安(an)(an)機關公共(gong)信息網(wang)絡安(an)(an)全監察部門備(bei)案。

第十五條 計算(suan)機信息系統運營、使用(yong)單位應當接受(shou)公(gong)安(an)機關公(gong)共(gong)信息網絡安(an)全(quan)監(jian)察(cha)(cha)部(bu)門的監(jian)督(du)、檢查、指導，如實(shi)提供安(an)全(quan)保護有關信息、資料及數據文(wen)件(jian)，不得(de)變相拒絕、拖(tuo)延、阻(zu)礙公(gong)安(an)機關公(gong)共(gong)信息網絡安(an)全(quan)監(jian)察(cha)(cha)部(bu)門依法執(zhi)行(xing)公(gong)務。

第四章 安全專用產品和安全服務

第十六條 安全專用產(chan)品必須取得公安部頒發的銷售許(xu)可證(zheng)方可銷售。

第十七條 生(sheng)產(chan)(chan)、銷(xiao)售或者提(ti)供含有計算機信(xin)息(xi)網絡遠(yuan)程控制、密碼猜解(jie)、安(an)全(quan)（漏洞）檢測(ce)、信(xin)息(xi)群發技術的(de)(de)產(chan)(chan)品(pin)和工具的(de)(de)，應當在(zai)領取營業執照(zhao)后30日(ri)內（沒有營業執照(zhao)的(de)(de)，自開辦(ban)之日(ri)起(qi)30日(ri)內）向單(dan)位所(suo)在(zai)地(di)地(di)級以上市人民政府公安(an)機關公共信(xin)息(xi)網絡安(an)全(quan)監察(cha)部門備(bei)案，填寫《廣東省計算機信(xin)息(xi)網絡安(an)全(quan)特種技術備(bei)案表》，并提(ti)交如下資料：

（一）單位簡況；

（二）營業(ye)執照(zhao)（或(huo)其他有(you)效證明）復印件；

（三）研發(fa)和服(fu)務管(guan)理制(zhi)度；

（四）主要經營(ying)管理人員(yuan)、技術(shu)人員(yuan)和服務人員(yuan)有效證件(jian)(jian)復印(yin)件(jian)(jian)；

（五）主要產品情(qing)況。

第十八條 安(an)全保(bao)護等級為第三級以上(shang)的(de)計算機信息系(xi)統應(ying)當選用符合下列條件的(de)安(an)全專用產(chan)品：

（一）產品(pin)研(yan)制(zhi)、生產單位是由中國公(gong)民、法人投資或者國家(jia)投資或者控股的(de)，在中華人民共和國境內具有獨(du)立的(de)法人資格；

（二(er)）產品的核(he)心(xin)技術、關鍵部件具(ju)有我(wo)國自主知(zhi)識產權；

（三）產品研制(zhi)、生產單位(wei)及其主要業務(wu)、技術人員無(wu)犯(fan)罪記(ji)錄；

（四）產品研制、生產單位聲明沒(mei)有故意留有或者設置(zhi)漏洞(dong)、后門、木馬(ma)等(deng)程序和功能；

（五）對國家安全、社會秩序、公共利(li)益不構成危害。

第十九條 符合第十八條規定的安全專用產品和生產單位(wei)應當到(dao)省公安廳(ting)公共(gong)信息(xi)網絡安全監察部門備案(an)。

第二十條 為加(jia)強安(an)(an)全(quan)(quan)服(fu)務(wu)(wu)機構(gou)的(de)指導(dao)，推動安(an)(an)全(quan)(quan)服(fu)務(wu)(wu)質量(liang)和技術(shu)水(shui)平(ping)的(de)提高(gao)，廣東省對從事(shi)計(ji)算機信息系統安(an)(an)全(quan)(quan)設計(ji)、建設、檢測、評估等安(an)(an)全(quan)(quan)服(fu)務(wu)(wu)的(de)機構(gou)，根據其(qi)注冊資本、服(fu)務(wu)(wu)業績、技術(shu)力量(liang)、組織(zhi)管(guan)理情況(kuang)實行(xing)分級指導(dao)。

第五章 安全等級測評

第二十一條 第二級以上的計算機信息(xi)系(xi)統的安全測評(ping)應當選擇符合(he)下列條(tiao)件的計算機信息(xi)系(xi)統安全等級測評(ping)機構(gou)（簡稱測評(ping)機構(gou)）承(cheng)擔：

（一）在中華人民共和國境內(nei)注(zhu)冊成立（港(gang)澳臺(tai)地區除外(wai)），具(ju)有相應經營(ying)范圍的營(ying)業執照，注(zhu)冊資本100萬元以上；

（二）由中國(guo)公(gong)民(min)投資、中國(guo)法人(ren)投資或(huo)者(zhe)國(guo)家投資的(de)企(qi)事業單位(wei)（港澳(ao)臺地區除外）；

（三）近3年完成(cheng)的(de)測評(ping)項目總值150萬元(yuan)以上；

（四）具有計(ji)算機安全或(huo)相關專(zhuan)業(ye)資格證書的專(zhuan)業(ye)技術人(ren)(ren)員不少于(yu)20人(ren)(ren)，其(qi)中大(da)學(xue)本科以上學(xue)歷的人(ren)(ren)員不少于(yu)15人(ren)(ren)；

（五）管理人員應(ying)當(dang)具有3年以上從事計算機(ji)信息系統安(an)全技術領域(yu)企業管理工(gong)作(zuo)經歷，技術負責人已(yi)獲得(de)計算機(ji)信息系統安(an)全技術相關專(zhuan)業的高級(ji)職稱，從事安(an)全測(ce)評工(gong)作(zuo)不(bu)少(shao)于(yu)3年，無犯罪記錄；

（六）工作(zuo)人員(yuan)僅限于(yu)中(zhong)國公民，法(fa)人及主要業務、技術人員(yuan)無犯罪記錄；

（七）具有與所承(cheng)擔項目(mu)適應(ying)的技術(shu)裝備；

（八）具有(you)完備的保密(mi)管理、項目管理、質量管理、人員管理和培(pei)訓(xun)教(jiao)育等(deng)安全管理制度；

（九）對國家安全、社會秩(zhi)序、公共利益不構成威(wei)脅(xie)。

第二十二條 廣東省(sheng)對測評機構實施備案(an)制(zhi)度(du)。符合第二十(shi)一條(tiao)(tiao)規定的條(tiao)(tiao)件，承擔第二級(ji)以上的計算機信息系統測評工作的機構應當到省(sheng)公安(an)廳(ting)公共信息網(wang)絡安(an)全監察部(bu)門備案(an)。

第二十三條 省公安廳公共信息網絡安全監(jian)察部門(men)對已備案的測評機(ji)構進(jin)行公布。

第二十四條 測評(ping)機構應當履(lv)行下列義(yi)務：

（一）遵守(shou)國家有關法律法規和(he)技術標(biao)準(zhun)，提供(gong)安(an)全、客觀、公正的檢(jian)測評(ping)估服(fu)務，保證測評(ping)的質量(liang)和(he)效果；

（二）保(bao)守在測評活動中(zhong)知悉的國(guo)家秘密(mi)(mi)、商業秘密(mi)(mi)和(he)個人隱(yin)私，防范測評風險；

（三）對測評人員進行(xing)安(an)全保(bao)(bao)密教育(yu)，與其簽訂安(an)全保(bao)(bao)密責任書，規定應當(dang)履行(xing)的安(an)全保(bao)(bao)密義務和承擔(dan)的法律責任，并負(fu)責檢查落實。

第二十五條 第二級以上的(de)計算(suan)機信息系統建設完(wan)成后，使用單位應(ying)當委托符合規定(ding)的(de)測評機構(gou)安全(quan)(quan)測評合格方可投入使用。測評活動應(ying)當接受公安機關公共(gong)信息網絡安全(quan)(quan)監察部(bu)門的(de)監督。

第二十六條 計算機信息(xi)系統(tong)運營、使用單位委托(tuo)安(an)全測評機構測評，應當提(ti)交下列資料(liao)：

（一）安(an)全測(ce)評委托書；

（二）計(ji)算機(ji)信息(xi)系(xi)統(tong)(tong)應用需求(qiu)、系(xi)統(tong)(tong)結構拓撲(pu)及說(shuo)明、系(xi)統(tong)(tong)安全組(zu)織結構和管(guan)理制度、安全保護設施(shi)設計(ji)實(shi)施(shi)方案或者改建實(shi)施(shi)方案、系(xi)統(tong)(tong)軟件硬(ying)件和信息(xi)安全產品清單(dan)。

第二十七條 安(an)全(quan)測(ce)(ce)評機構在收到(dao)委托(tuo)(tuo)材料后，應(ying)當與委托(tuo)(tuo)方(fang)協商制(zhi)訂安(an)全(quan)測(ce)(ce)評計劃，開展安(an)全(quan)測(ce)(ce)評工作，并出(chu)具安(an)全(quan)測(ce)(ce)評報告(gao)。

經測(ce)評，計算(suan)機(ji)信息系(xi)統(tong)安(an)全狀(zhuang)況未達到國家(jia)有關(guan)規(gui)定和標(biao)準的要求，委托單位應當根據測(ce)評報告的建議，完善計算(suan)機(ji)信息系(xi)統(tong)安(an)全建設，并(bing)重新提出安(an)全測(ce)評委托。

測(ce)評機(ji)構對計算機(ji)信息(xi)系統(tong)進行使(shi)用前安(an)全測(ce)評，應當預(yu)先(xian)報(bao)告地級以(yi)上市公安(an)機(ji)關公共信息(xi)網絡安(an)全監察(cha)(cha)部門。安(an)全測(ce)評報(bao)告由計算機(ji)信息(xi)系統(tong)運營、使(shi)用單位(wei)報(bao)地級以(yi)上市公安(an)機(ji)關公共信息(xi)網絡安(an)全監察(cha)(cha)部門。

第二十八條 第三(san)級(ji)計(ji)算機信(xin)息(xi)系統應(ying)當每年(nian)至少進行(xing)(xing)一次安全測(ce)(ce)評(ping)(ping)，第四(si)級(ji)計(ji)算機信(xin)息(xi)系統應(ying)當每半年(nian)至少進行(xing)(xing)一次安全測(ce)(ce)評(ping)(ping)，第五級(ji)計(ji)算機信(xin)息(xi)系統應(ying)當依據特殊安全要求(qiu)進行(xing)(xing)安全測(ce)(ce)評(ping)(ping)。

第六章 應急處置

第二十九條 公(gong)安機(ji)關公(gong)共信息(xi)網(wang)(wang)絡安全監察部(bu)門與所(suo)在地(di)安全服務機(ji)構、互聯(lian)網(wang)(wang)運(yun)營單(dan)位(wei)和其(qi)他計(ji)算機(ji)信息(xi)系統運(yun)營、使用單(dan)位(wei)應當(dang)建立聯(lian)防機(ji)制，依法及時查處通(tong)過計(ji)算機(ji)信息(xi)系統進行的違法犯罪行為(wei)，組織(zhi)處置重大突發事件。

第三十條 對計算(suan)機信(xin)息系統(tong)中發生的案件和重(zhong)大安全事故(gu)，計算(suan)機信(xin)息系統(tong)的運營、使用單位(wei)應(ying)當在二(er)十四(si)小時內報告(gao)縣級以上人民(min)政府公安機關公共信(xin)息網絡安全監察部門，并保(bao)留有關原(yuan)始(shi)記(ji)錄(lu)。

第三十一條 第二(er)級以上(shang)的計(ji)算機信息系統運營、使用單位應當制定(ding)重大突發事件(jian)應急處置預案并定(ding)期實施演(yan)練。

第三十二條 計算機(ji)(ji)信息系統(tong)發生(sheng)重大突(tu)發事件，有關(guan)單位應當按照(zhao)應急處(chu)置預案的(de)(de)要(yao)求采取相應的(de)(de)處(chu)置措(cuo)施，并服(fu)從公安機(ji)(ji)關(guan)和國家指定的(de)(de)專門(men)部(bu)門(men)的(de)(de)調度。

第三十三條 地級市(shi)以上人(ren)民政府公(gong)安機關(guan)公(gong)共(gong)信(xin)息網絡(luo)安全(quan)(quan)監(jian)察部門經本機關(guan)主管領導批準(zhun)，為保護計算(suan)機信(xin)息系(xi)統(tong)安全(quan)(quan)，在發生重大突(tu)發事(shi)件，危及(ji)國(guo)家安全(quan)(quan)、公(gong)共(gong)安全(quan)(quan)及(ji)社會穩定的(de)緊急情況下(xia)，可以采取二十四小時內暫(zan)時停(ting)機、暫(zan)停(ting)聯網、備份數據等措施。

第七章 安全培訓

第三十四條 省(sheng)公安廳、人(ren)事(shi)廳聯合成立的省(sheng)信息網(wang)絡安全(quan)(quan)專(zhuan)業(ye)技(ji)術(shu)人(ren)員(yuan)繼(ji)續教育(yu)工(gong)(gong)作(zuo)領導(dao)小組，負(fu)責全(quan)(quan)省(sheng)信息網(wang)絡安全(quan)(quan)專(zhuan)業(ye)技(ji)術(shu)人(ren)員(yuan)繼(ji)續教育(yu)工(gong)(gong)作(zuo)的組織和領導(dao)。下設省(sheng)信息網(wang)絡安全(quan)(quan)專(zhuan)業(ye)技(ji)術(shu)人(ren)員(yuan)繼(ji)續教育(yu)工(gong)(gong)作(zuo)辦(ban)公室，具體負(fu)責日常管(guan)理工(gong)(gong)作(zuo)。

第三十五條 下列人員應當參加(jia)信息(xi)網絡安全(quan)專(zhuan)業(ye)技(ji)術(shu)人員繼(ji)續教(jiao)育，取得(de)省(sheng)信息(xi)網絡安全(quan)專(zhuan)業(ye)技(ji)術(shu)人員繼(ji)續教(jiao)育工(gong)作辦公室頒發的信息(xi)網絡安全(quan)專(zhuan)業(ye)技(ji)術(shu)人員繼(ji)續教(jiao)育合格證書，持證上崗：

（一）計算機信息系統運營、使(shi)用單位信息安全管(guan)理責任人、信息審查員；

（二）互聯網接入服(fu)務、數據中心服(fu)務、信息服(fu)務、上網服(fu)務提供單位安全管(guan)理員、專(zhuan)業技術人員；

（三）安全(quan)專用產品生(sheng)產單位專業技術人員；

（四）安(an)(an)全服務機構專業技(ji)術人員(yuan)、安(an)(an)全服務管理人員(yuan)；

（五）其他從事計(ji)算(suan)機信息(xi)系(xi)統安(an)全(quan)保護工作的(de)人員。

第三十六條 信息網絡安(an)全專(zhuan)業技(ji)術人員繼(ji)續教(jiao)育由省信息網絡安(an)全專(zhuan)業技(ji)術人員繼(ji)續教(jiao)育工作(zuo)辦(ban)公室授權(quan)的施教(jiao)機構(gou)負責實(shi)施。施教(jiao)機構(gou)實(shi)行統籌規(gui)劃。

第三十七條 信息網(wang)絡安全專業技術人(ren)員繼續教育培(pei)訓和考試(shi)按照有關規定(ding)進行，實(shi)行統一(yi)教學(xue)大綱，統一(yi)教材，統一(yi)考試(shi)，統一(yi)發證。

考試合格(ge)的，由省信息(xi)(xi)網絡(luo)安(an)全專(zhuan)業技(ji)術人(ren)員(yuan)繼續(xu)教(jiao)育工作辦(ban)公室發給信息(xi)(xi)網絡(luo)安(an)全專(zhuan)業技(ji)術人(ren)員(yuan)繼續(xu)教(jiao)育證書。

第八章 法律責任

第三十八條 違反本辦(ban)法的規(gui)(gui)定(ding)，依照(zhao)有關法律、法規(gui)(gui)和規(gui)(gui)章(zhang)處罰。

第九章 附則

第三十九條 本(ben)細則(ze)下列用(yong)語的含(han)義(yi)：實體(ti)安全，指保護(hu)計算機(ji)信(xin)息系統的環境(jing)，計算機(ji)設(she)備、設(she)施(shi)（含(han)網絡）以及(ji)其它媒(mei)體(ti)免(mian)遭地(di)震、水災、火災、雷電(dian)、有(you)害氣體(ti)和其它環境(jing)事故（如電(dian)磁污染等）破壞。

運行安(an)全，指保護計算機(ji)信息系統的信息處理過(guo)程(cheng)順利(li)進行。

信息(xi)安全，指保障信息(xi)的完(wan)整性(xing)、保密性(xing)、可用性(xing)和(he)可控(kong)性(xing)。

內容安(an)全，指(zhi)確保計算(suan)機信(xin)息系統中傳輸的(de)信(xin)息所承載的(de)內容的(de)合法性。

安全（漏洞）檢測(ce)，指(zhi)利用計(ji)算(suan)機技術手段(duan)掃描、探測(ce)計(ji)算(suan)機信息系統安全漏洞。

第四十條 本辦法規定的(de)“以(yi)上”含本數。

第四十一條 本辦法(fa)規定的有關表(biao)格和證書由(you)省公(gong)安(an)廳制(zhi)定式樣，統一監制(zhi)。

第四十二條 本辦(ban)法(fa)由省公安(an)廳負責解釋。

第四十三條 本辦法自2008年(nian)12月1日起施行。