廣東省公安廳關于計算機信息系統安全保護的實施辦法

（廣東(dong)省公(gong)安廳(ting)2008年9月(yue)27日以粵公(gong)通字〔2008〕228號發(fa)布 自2008年12月(yue)1日起施行）

第一章 總則

第一條 為保(bao)(bao)護計(ji)算機信息系統安(an)全，促進信息化建設的健康發展，貫(guan)徹落實(shi)《廣東省計(ji)算機信息系統安(an)全保(bao)(bao)護條例》，根據有關法(fa)(fa)律法(fa)(fa)規(gui)，制定本辦法(fa)(fa)。

第二條 本辦(ban)法適用于廣東省(sheng)行政(zheng)區域內(nei)計算機信息系(xi)統的安全保護。

第三條 縣級以上人(ren)民政府公安(an)機關公共信息網絡安(an)全監(jian)察部門具體(ti)負責本行政區域內計(ji)算機信息系統的安(an)全保護監(jian)管(guan)工作。

第二章 安全監督

第四條 公(gong)安機(ji)關公(gong)共信息(xi)網絡(luo)安全監察部門(men)對計算機(ji)信息(xi)系(xi)統(tong)安全保護(hu)工(gong)作行(xing)使下(xia)列職責：

（一）監督、檢查、指導計算(suan)機(ji)信息系統安全(quan)保護工作(zuo)；

（二）組織開展計(ji)算(suan)機(ji)信息(xi)系統(tong)安全等級(ji)保護(hu)；

（三）查處(chu)計算(suan)機違(wei)法犯(fan)罪案件；

（四）組織處置重大(da)計算機信(xin)息系統安全事(shi)故和(he)事(shi)件；

（五）負責計算(suan)機病毒和其(qi)他有害數據防治管(guan)理；

（六）負責計(ji)算機信息(xi)系統安全服務的(de)監督(du)指(zhi)導；

（七）負責計算機信息(xi)系(xi)統安(an)全專用產品的監(jian)督管理；

（八）負責(ze)計(ji)算機(ji)信息系統安全(quan)培訓管理；

（九）法律、法規(gui)和規(gui)章規(gui)定(ding)的其他職責。

第五條 公(gong)安機關公(gong)共(gong)信(xin)息(xi)網(wang)絡(luo)安全(quan)監(jian)察部門應當對計算機信(xin)息(xi)系(xi)統落實(shi)實(shi)體安全(quan)、運行(xing)安全(quan)、信(xin)息(xi)安全(quan)和(he)內容安全(quan)措(cuo)施的情況進(jin)行(xing)檢查。

對第(di)(di)三(san)級計算機信(xin)息(xi)系(xi)統(tong)每年(nian)(nian)至少檢(jian)查(cha)一次(ci)(ci)，對第(di)(di)四(si)級計算機信(xin)息(xi)系(xi)統(tong)每半年(nian)(nian)至少檢(jian)查(cha)一次(ci)(ci)。對第(di)(di)五級計算機信(xin)息(xi)系(xi)統(tong)，應當會(hui)同國(guo)家指定的專門部(bu)門進(jin)行(xing)檢(jian)查(cha)。

對(dui)其他計算機信息(xi)系統應當不定期開展(zhan)檢查。

第六條 公安(an)機關(guan)公共(gong)信(xin)息網絡安(an)全監察部(bu)門(men)發(fa)現計算(suan)機信(xin)息系統的安(an)全保護等級和安(an)全措施(shi)不符合有關(guan)規(gui)定和技術標(biao)準，或者存在安(an)全隱患的，應(ying)當通知運營、使用單位進行整改。

第七條 公(gong)安機(ji)關公(gong)共信息(xi)網絡安全(quan)監察(cha)部門應當(dang)向公(gong)眾提供報警求助渠道，提供計算機(ji)信息(xi)系統安全(quan)指導(dao)，發(fa)布安全(quan)動態，開(kai)展安全(quan)宣(xuan)傳。

第三章 安全保護責任

第八條 單位和個人應(ying)當依(yi)照有關(guan)法規、規章和標準，對其(qi)所有、使用和管(guan)理的計算機信(xin)息系統承擔相應(ying)的安全保護(hu)責任。

第九條 第(di)二級(ji)以上(shang)計(ji)算機信息(xi)系統的(de)運營、使用單位應(ying)當建(jian)立安全(quan)保(bao)護組織，并(bing)報所在地(di)地(di)級(ji)以上(shang)市人(ren)民政府公安機關公共(gong)信息(xi)網絡安全(quan)監察部(bu)門(men)備(bei)案。

第十條 安全(quan)(quan)保護組織(zhi)保障本(ben)(ben)(ben)單(dan)(dan)位計算(suan)機(ji)(ji)信(xin)(xin)息系(xi)統(tong)的安全(quan)(quan)運行，組織(zhi)本(ben)(ben)(ben)單(dan)(dan)位計算(suan)機(ji)(ji)信(xin)(xin)息系(xi)統(tong)的有(you)害信(xin)(xin)息防治工作，組織(zhi)開(kai)展本(ben)(ben)(ben)單(dan)(dan)位計算(suan)機(ji)(ji)信(xin)(xin)息系(xi)統(tong)安全(quan)(quan)教育和培訓，向(xiang)公(gong)安機(ji)(ji)關公(gong)共(gong)信(xin)(xin)息網(wang)絡(luo)安全(quan)(quan)監(jian)察部門報告本(ben)(ben)(ben)單(dan)(dan)位計算(suan)機(ji)(ji)信(xin)(xin)息系(xi)統(tong)運行、服務和安全(quan)(quan)等情(qing)況，及(ji)時協助公(gong)安機(ji)(ji)關公(gong)共(gong)信(xin)(xin)息網(wang)絡(luo)安全(quan)(quan)監(jian)察部門查(cha)處違法犯罪(zui)和處置突發事件。

第十一條 互(hu)聯(lian)單(dan)位、互(hu)聯(lian)網接(jie)入服務單(dan)位、互(hu)聯(lian)網數(shu)據(ju)中心應當對(dui)接(jie)入本網絡的用戶(hu)進行(xing)資(zi)格審查，確(que)認(ren)符合國家和(he)省有關(guan)規定后方可為其提供服務。

互聯網接入(ru)服務、信息服務單位以及互聯網數(shu)據中心應當向(xiang)用戶宣傳相關法(fa)律法(fa)規，提供必要(yao)的安全保護措(cuo)施。

第十二條 個人主頁(ye)、博客、聊天室、點對(dui)點服務(wu)等互(hu)聯網信息服務(wu)的提供單位和使用者應(ying)當依照國家和省有關規定(ding)，落實相應(ying)的安(an)全(quan)措(cuo)施(shi)。

第十三條 網(wang)吧、圖書館(guan)、學(xue)校、賓館(guan)等(deng)提供互聯網(wang)上網(wang)服務的場所應(ying)當安(an)裝符合國家(jia)規定的安(an)全管(guan)理系統(tong)。

第十四條 互(hu)聯單(dan)位(wei)、互(hu)聯網接入(ru)服務(wu)單(dan)位(wei)以(yi)(yi)及互(hu)聯網數據中心應當每(mei)月將接入(ru)本網絡的用戶情況報地級以(yi)(yi)上(shang)市(shi)公安機關(guan)公共(gong)信息網絡安全監察部門備案。

第十五條 計算機信息(xi)系統運營(ying)、使用單位應當(dang)接受(shou)公(gong)安(an)機關公(gong)共(gong)信息(xi)網絡安(an)全監(jian)察部門的監(jian)督、檢查、指導(dao)，如實(shi)提供安(an)全保護有關信息(xi)、資料及數(shu)據(ju)文件，不得變相拒絕、拖延、阻礙公(gong)安(an)機關公(gong)共(gong)信息(xi)網絡安(an)全監(jian)察部門依法(fa)執行(xing)公(gong)務。

第四章 安全專用產品和安全服務

第十六條 安(an)全專用產品(pin)必須取得公安(an)部頒(ban)發的銷售許可(ke)證方可(ke)銷售。

第十七條 生產、銷(xiao)售或者提供含有計算機(ji)信息(xi)網(wang)(wang)絡遠程(cheng)控制、密碼猜(cai)解、安全(quan)（漏洞(dong)）檢測(ce)、信息(xi)群發技術的(de)產品(pin)和(he)工具的(de)，應當在領取(qu)營業(ye)執(zhi)照(zhao)后30日內(nei)（沒(mei)有營業(ye)執(zhi)照(zhao)的(de)，自開辦(ban)之日起30日內(nei)）向單位(wei)所在地(di)(di)地(di)(di)級以(yi)上市人民政(zheng)府公安機(ji)關(guan)公共信息(xi)網(wang)(wang)絡安全(quan)監察部門備案，填(tian)寫《廣東(dong)省計算機(ji)信息(xi)網(wang)(wang)絡安全(quan)特種(zhong)技術備案表》，并(bing)提交(jiao)如下(xia)資(zi)料：

（一）單位簡況；

（二）營(ying)業執(zhi)照（或其他(ta)有效證明）復印件(jian)；

（三(san)）研發和服務管理制度(du)；

（四）主要經(jing)營管(guan)理人員(yuan)、技術人員(yuan)和服(fu)務(wu)人員(yuan)有(you)效證件復印(yin)件；

（五）主要產品(pin)情況。

第十八條 安全保護等級(ji)為第三級(ji)以上的計(ji)算機信息系統應當選(xuan)用(yong)符合下列條件的安全專用(yong)產(chan)品(pin)：

（一）產品研(yan)制、生產單位是由中(zhong)國(guo)公(gong)民、法(fa)人(ren)(ren)投資(zi)或者國(guo)家投資(zi)或者控股(gu)的，在中(zhong)華人(ren)(ren)民共(gong)和國(guo)境(jing)內具有獨立的法(fa)人(ren)(ren)資(zi)格；

（二）產品的(de)核心技術、關鍵部件具有我國自主知識產權；

（三）產品研制(zhi)、生(sheng)產單位及其主(zhu)要業務、技術人員(yuan)無犯罪記錄；

（四）產品研制(zhi)、生產單位聲明沒有故意留有或者設置漏洞、后(hou)門(men)、木馬等程(cheng)序和功能；

（五(wu)）對國(guo)家(jia)安全、社會秩序(xu)、公共利益不(bu)構成危害(hai)。

第十九條 符合第十八條規(gui)定的安全(quan)專用產品和生(sheng)產單位(wei)應當到省公安廳(ting)公共信息網絡(luo)安全(quan)監察部門備案。

第二十條 為加(jia)強安全(quan)服(fu)(fu)務機(ji)構(gou)的(de)(de)指導，推動安全(quan)服(fu)(fu)務質量(liang)和技術(shu)水(shui)平的(de)(de)提高，廣東省對從(cong)事計(ji)算機(ji)信(xin)息系(xi)統安全(quan)設計(ji)、建設、檢測、評估等安全(quan)服(fu)(fu)務的(de)(de)機(ji)構(gou)，根據其(qi)注冊資本、服(fu)(fu)務業(ye)績、技術(shu)力量(liang)、組織(zhi)管理(li)情況實行分(fen)級指導。

第五章 安全等級測評

第二十一條 第二級(ji)以(yi)上的計算(suan)機信息(xi)系統的安(an)全(quan)測評應當選擇符合下列條件的計算(suan)機信息(xi)系統安(an)全(quan)等級(ji)測評機構(gou)（簡稱測評機構(gou)）承擔：

（一）在中華人(ren)民共和國境(jing)內注冊(ce)(ce)成立（港澳臺地區除外），具(ju)有(you)相(xiang)應經營范圍的(de)營業執照，注冊(ce)(ce)資本100萬元以(yi)上；

（二）由中國公(gong)民投(tou)資(zi)(zi)、中國法人(ren)投(tou)資(zi)(zi)或者國家投(tou)資(zi)(zi)的企事業單位(wei)（港(gang)澳臺地區除(chu)外(wai)）；

（三）近3年完成的測評項目總(zong)值150萬元以上；

（四）具有計算機安全或相關(guan)專業資格證書的專業技術(shu)人員不少(shao)于20人，其中大學本(ben)科(ke)以(yi)上學歷的人員不少(shao)于15人；

（五(wu)）管(guan)理人(ren)員應當具有3年以上從事(shi)計算機(ji)信(xin)(xin)息系(xi)統安(an)全技(ji)術領域(yu)企業管(guan)理工(gong)作經(jing)歷，技(ji)術負責(ze)人(ren)已獲得計算機(ji)信(xin)(xin)息系(xi)統安(an)全技(ji)術相(xiang)關專業的高級職稱，從事(shi)安(an)全測評工(gong)作不少于(yu)3年，無犯罪記錄；

（六）工作人員僅限于中國公民，法(fa)人及主要業務(wu)、技術人員無犯罪記錄；

（七）具有與所承擔項目(mu)適(shi)應的技術(shu)裝備；

（八(ba)）具(ju)有完備的(de)保密管(guan)理(li)、項目管(guan)理(li)、質(zhi)量管(guan)理(li)、人員(yuan)管(guan)理(li)和(he)培訓教育(yu)等安全管(guan)理(li)制度；

（九）對國家(jia)安全、社會(hui)秩序、公共利益不構成威脅。

第二十二條 廣東(dong)省(sheng)對測評機構實施備(bei)案(an)制度。符合第二十一條規定的條件，承擔第二級以上的計算機信息系統測評工作的機構應當到省(sheng)公(gong)安廳(ting)公(gong)共信息網絡安全監察部(bu)門備(bei)案(an)。

第二十三條 省公(gong)安(an)廳(ting)公(gong)共信息網絡安(an)全監察部門(men)對已備案的(de)測(ce)評機構進行(xing)公(gong)布(bu)。

第二十四條 測評機構應(ying)當履行下列義務(wu)：

（一(yi)）遵守國(guo)家有關法(fa)律(lv)法(fa)規(gui)和(he)技術(shu)標準，提供安全、客觀、公正的檢測評(ping)(ping)估服務，保證測評(ping)(ping)的質量和(he)效果；

（二）保守在測(ce)(ce)評(ping)活動中知悉的國家秘密、商業秘密和個人隱私，防范測(ce)(ce)評(ping)風險；

（三）對測(ce)評人(ren)員進行安(an)全(quan)(quan)保密(mi)教育，與其簽訂安(an)全(quan)(quan)保密(mi)責(ze)任(ren)書，規定(ding)應當履行的安(an)全(quan)(quan)保密(mi)義務和承擔(dan)的法律責(ze)任(ren)，并(bing)負責(ze)檢查落實。

第二十五條 第二級(ji)以上的計算機信(xin)息系統建設完成(cheng)后，使(shi)用單位(wei)應(ying)(ying)當委托(tuo)符合規定的測評機構安(an)全(quan)(quan)測評合格方可投入使(shi)用。測評活動應(ying)(ying)當接受公安(an)機關公共(gong)信(xin)息網(wang)絡(luo)安(an)全(quan)(quan)監(jian)察(cha)部(bu)門的監(jian)督(du)。

第二十六條 計算機(ji)信息系統運營、使用單(dan)位委托安全測評機(ji)構測評，應當提交下列資料：

（一）安全測(ce)評委托書(shu)；

（二）計(ji)(ji)算機信息(xi)系(xi)統(tong)(tong)應用需求、系(xi)統(tong)(tong)結構拓(tuo)撲(pu)及說明(ming)、系(xi)統(tong)(tong)安(an)(an)全組織結構和管理制度、安(an)(an)全保(bao)護(hu)設施(shi)設計(ji)(ji)實(shi)施(shi)方(fang)(fang)案(an)(an)或者改建實(shi)施(shi)方(fang)(fang)案(an)(an)、系(xi)統(tong)(tong)軟(ruan)件(jian)(jian)硬件(jian)(jian)和信息(xi)安(an)(an)全產品清單。

第二十七條 安全(quan)(quan)(quan)測(ce)(ce)評機構在收到(dao)委(wei)托材料后(hou)，應當與(yu)委(wei)托方協商制訂(ding)安全(quan)(quan)(quan)測(ce)(ce)評計劃，開展安全(quan)(quan)(quan)測(ce)(ce)評工(gong)作，并出具(ju)安全(quan)(quan)(quan)測(ce)(ce)評報告。

經測評(ping)，計(ji)(ji)算機信息系統(tong)(tong)安(an)全(quan)狀況(kuang)未(wei)達到國家(jia)有關規定和標準的要求，委托單位應當(dang)根據測評(ping)報告的建(jian)議，完(wan)善計(ji)(ji)算機信息系統(tong)(tong)安(an)全(quan)建(jian)設，并重新提出(chu)安(an)全(quan)測評(ping)委托。

測評機(ji)構對計算機(ji)信息系統(tong)進(jin)行(xing)使用(yong)前安全(quan)(quan)測評，應當預先報告(gao)地(di)級以上市公(gong)安機(ji)關(guan)公(gong)共(gong)信息網絡安全(quan)(quan)監(jian)察部門。安全(quan)(quan)測評報告(gao)由計算機(ji)信息系統(tong)運營、使用(yong)單位報地(di)級以上市公(gong)安機(ji)關(guan)公(gong)共(gong)信息網絡安全(quan)(quan)監(jian)察部門。

第二十八條 第(di)三級(ji)計算(suan)(suan)機信(xin)息(xi)(xi)系統應(ying)當(dang)每年至少進(jin)行(xing)一(yi)次安全測評(ping)，第(di)四級(ji)計算(suan)(suan)機信(xin)息(xi)(xi)系統應(ying)當(dang)每半年至少進(jin)行(xing)一(yi)次安全測評(ping)，第(di)五級(ji)計算(suan)(suan)機信(xin)息(xi)(xi)系統應(ying)當(dang)依(yi)據特殊安全要求進(jin)行(xing)安全測評(ping)。

第六章 應急處置

第二十九條 公(gong)安機(ji)關公(gong)共信息(xi)(xi)網(wang)絡安全(quan)監察部(bu)門與所在地安全(quan)服務機(ji)構、互聯(lian)網(wang)運營單(dan)位和其他計(ji)算(suan)機(ji)信息(xi)(xi)系(xi)統運營、使用單(dan)位應當建立聯(lian)防(fang)機(ji)制，依(yi)法(fa)及時查(cha)處通過(guo)計(ji)算(suan)機(ji)信息(xi)(xi)系(xi)統進(jin)行的違法(fa)犯罪行為(wei)，組織處置(zhi)重大突發事件。

第三十條 對計算機信(xin)息(xi)系(xi)統(tong)中發生的案件和重(zhong)大安全事故，計算機信(xin)息(xi)系(xi)統(tong)的運(yun)營、使用(yong)單位應當在二十(shi)四小時內報告縣(xian)級(ji)以上人民政府公安機關公共信(xin)息(xi)網絡安全監察部門，并保(bao)留有關原始(shi)記(ji)錄。

第三十一條 第(di)二級以上的計(ji)算機信息系(xi)統運營(ying)、使用單位(wei)應當(dang)制定(ding)重大突發事件(jian)應急處(chu)置預案并定(ding)期實施演練。

第三十二條 計算(suan)機信息系統(tong)發生重大(da)突發事件，有(you)關(guan)單位應(ying)當按(an)照應(ying)急(ji)處(chu)置(zhi)預案的要求采取(qu)相應(ying)的處(chu)置(zhi)措施，并服從公安機關(guan)和國家指定的專門部門的調(diao)度(du)。

第三十三條 地級市以上人民政府公(gong)安機(ji)(ji)關(guan)公(gong)共(gong)信息(xi)網(wang)絡安全(quan)監察部門經本機(ji)(ji)關(guan)主管領導批(pi)準，為保護(hu)計算機(ji)(ji)信息(xi)系(xi)統安全(quan)，在發生重大突(tu)發事件，危及國家安全(quan)、公(gong)共(gong)安全(quan)及社會穩定的緊(jin)急情(qing)況下，可以采取二十四小時內暫時停機(ji)(ji)、暫停聯網(wang)、備份數(shu)據等措施。

第七章 安全培訓

第三十四條 省公(gong)安(an)廳、人(ren)(ren)事廳聯合成立的(de)省信息網(wang)(wang)(wang)絡安(an)全(quan)(quan)專(zhuan)業(ye)技術人(ren)(ren)員繼(ji)(ji)續教育工(gong)作領導小組(zu)，負責全(quan)(quan)省信息網(wang)(wang)(wang)絡安(an)全(quan)(quan)專(zhuan)業(ye)技術人(ren)(ren)員繼(ji)(ji)續教育工(gong)作的(de)組(zu)織和(he)領導。下設省信息網(wang)(wang)(wang)絡安(an)全(quan)(quan)專(zhuan)業(ye)技術人(ren)(ren)員繼(ji)(ji)續教育工(gong)作辦公(gong)室(shi)，具體(ti)負責日常管理(li)工(gong)作。

第三十五條 下列人員(yuan)應(ying)當參(can)加信息(xi)(xi)網絡安(an)全專業技術(shu)(shu)人員(yuan)繼續(xu)教(jiao)(jiao)育，取(qu)得省信息(xi)(xi)網絡安(an)全專業技術(shu)(shu)人員(yuan)繼續(xu)教(jiao)(jiao)育工(gong)作辦公室頒發(fa)的信息(xi)(xi)網絡安(an)全專業技術(shu)(shu)人員(yuan)繼續(xu)教(jiao)(jiao)育合(he)格證書，持證上(shang)崗：

（一）計算機信息系統運營、使用(yong)單位信息安全管理責任人、信息審查員；

（二）互聯(lian)網接入服(fu)務、數(shu)據(ju)中(zhong)心服(fu)務、信息(xi)服(fu)務、上(shang)網服(fu)務提(ti)供單位安全管理員(yuan)、專(zhuan)業技術人員(yuan)；

（三）安全專用(yong)產(chan)品生(sheng)產(chan)單位專業技術人員；

（四）安(an)全服(fu)務機構專業(ye)技術(shu)人員(yuan)、安(an)全服(fu)務管(guan)理人員(yuan)；

（五(wu)）其他從事計算(suan)機信息系統安全保護工作的人員(yuan)。

第三十六條 信息網絡安全專(zhuan)業(ye)技(ji)術(shu)人員(yuan)繼續教(jiao)(jiao)育(yu)由省(sheng)信息網絡安全專(zhuan)業(ye)技(ji)術(shu)人員(yuan)繼續教(jiao)(jiao)育(yu)工(gong)作(zuo)辦(ban)公(gong)室(shi)授權的施教(jiao)(jiao)機(ji)構負責實施。施教(jiao)(jiao)機(ji)構實行統籌(chou)規劃。

第三十七條 信(xin)息(xi)網絡(luo)安全專業技術人員繼(ji)續教育培訓和考試(shi)按(an)照(zhao)有關(guan)規定進行，實行統(tong)一教學(xue)大綱，統(tong)一教材，統(tong)一考試(shi)，統(tong)一發證(zheng)。

考試(shi)合格的，由省(sheng)信息網絡(luo)安(an)全(quan)(quan)專業技術人(ren)(ren)員繼(ji)續教育工作辦(ban)公室發給(gei)信息網絡(luo)安(an)全(quan)(quan)專業技術人(ren)(ren)員繼(ji)續教育證書。

第八章 法律責任

第三十八條 違反本辦法的規定，依照有關法律、法規和規章處罰(fa)。

第九章 附則

第三十九條 本細則(ze)下(xia)列(lie)用語的含(han)義(yi)：實(shi)體(ti)安全，指保護計算機信(xin)息系統的環境，計算機設(she)備、設(she)施（含(han)網(wang)絡）以及其(qi)它媒(mei)體(ti)免遭地震、水災、火災、雷電(dian)、有害(hai)氣體(ti)和其(qi)它環境事(shi)故（如電(dian)磁污染(ran)等）破壞。

運行(xing)(xing)安全，指保護(hu)計算(suan)機信(xin)息(xi)系統的信(xin)息(xi)處理過程(cheng)順(shun)利進行(xing)(xing)。

信(xin)息(xi)安(an)全，指(zhi)保障信(xin)息(xi)的完整性(xing)(xing)、保密性(xing)(xing)、可用性(xing)(xing)和(he)可控性(xing)(xing)。

內(nei)容安(an)全，指確保計算機(ji)信息系統(tong)中(zhong)傳輸的信息所承(cheng)載(zai)的內(nei)容的合法性。

安(an)全(quan)（漏(lou)洞(dong)）檢(jian)測，指(zhi)利用計算機技術手段掃(sao)描、探測計算機信(xin)息系統(tong)安(an)全(quan)漏(lou)洞(dong)。

第四十條 本辦法規定的“以上”含本數(shu)。

第四十一條 本辦法規定的有(you)關表格和(he)證書(shu)由省公(gong)安廳(ting)制定式樣，統一監制。

第四十二條 本辦法(fa)由省公安廳(ting)負責解釋。

第四十三條 本辦法自2008年(nian)12月1日起施行(xing)。