廣東省公安廳關于計算機信息系統安全保護的實施辦法

（廣東省(sheng)公安廳2008年9月27日以粵公通(tong)字〔2008〕228號發布 自2008年12月1日起施(shi)行）

第一章 總則

第一條 為(wei)保護(hu)計算(suan)機(ji)信(xin)息(xi)系統(tong)安全，促進信(xin)息(xi)化建設的健康發展(zhan)，貫徹落實《廣東(dong)省(sheng)計算(suan)機(ji)信(xin)息(xi)系統(tong)安全保護(hu)條例》，根據有關法(fa)律法(fa)規，制定本辦(ban)法(fa)。

第二條 本辦法適用于廣東(dong)省行政(zheng)區域(yu)內(nei)計算機信息(xi)系(xi)統的安全保護(hu)。

第三條 縣級以(yi)上(shang)人民(min)政府公安(an)機關公共(gong)信(xin)(xin)息網(wang)絡安(an)全監察部門具(ju)體負責(ze)本(ben)行(xing)政區域內計(ji)算機信(xin)(xin)息系統(tong)的安(an)全保護監管工作。

第二章 安全監督

第四條 公安機關公共信息網絡(luo)安全(quan)監察部門對計算(suan)機信息系(xi)統安全(quan)保護工作(zuo)行(xing)使下(xia)列職(zhi)責：

（一）監(jian)督(du)、檢查、指導(dao)計算機信息系統安全(quan)保護工作(zuo)；

（二）組織開展計算機信息(xi)系統安(an)全等級保護；

（三(san)）查處計算機違(wei)法(fa)犯(fan)罪案件；

（四）組織(zhi)處(chu)置重大計算機信息系統(tong)安全事故(gu)和事件；

（五）負責計算機(ji)病(bing)毒和其他有害(hai)數據防治管理(li)；

（六）負(fu)責計算(suan)機信息系統安全服務的監督指導；

（七）負責計算機信(xin)息系統安全專用(yong)產(chan)品的監督管理(li)；

（八(ba)）負責計算機信(xin)息系統安全培(pei)訓管理；

（九(jiu)）法(fa)律、法(fa)規和規章規定的其他職責。

第五條 公(gong)安機關(guan)公(gong)共信息網絡(luo)安全(quan)(quan)監(jian)察部門(men)應當對計算機信息系統落實(shi)實(shi)體安全(quan)(quan)、運行安全(quan)(quan)、信息安全(quan)(quan)和內容安全(quan)(quan)措施的情況進行檢(jian)查(cha)。

對(dui)(dui)第(di)三級計算機(ji)(ji)信(xin)息系(xi)統每年至(zhi)少檢(jian)(jian)查一次(ci)，對(dui)(dui)第(di)四級計算機(ji)(ji)信(xin)息系(xi)統每半(ban)年至(zhi)少檢(jian)(jian)查一次(ci)。對(dui)(dui)第(di)五級計算機(ji)(ji)信(xin)息系(xi)統，應當會同(tong)國(guo)家指定的專門部(bu)門進(jin)行檢(jian)(jian)查。

對其他計算機信息系(xi)統應當不定(ding)期(qi)開展(zhan)檢(jian)查(cha)。

第六條 公安(an)機(ji)關公共信息網絡安(an)全(quan)監(jian)察部(bu)門(men)發現計(ji)算機(ji)信息系統的(de)安(an)全(quan)保護等級和(he)(he)安(an)全(quan)措施不符合(he)有關規(gui)定和(he)(he)技術標準(zhun)，或(huo)者存(cun)在(zai)安(an)全(quan)隱患的(de)，應當通知運(yun)營、使(shi)用單位進行整改。

第七條 公安(an)機關(guan)公共(gong)信息網絡安(an)全監察(cha)部門應當(dang)向公眾提供(gong)報警求助渠道，提供(gong)計算機信息系(xi)統安(an)全指(zhi)導，發(fa)布安(an)全動態，開展(zhan)安(an)全宣傳。

第三章 安全保護責任

第八條 單位和(he)(he)個(ge)人應當依照有(you)關法規、規章和(he)(he)標準，對(dui)其所有(you)、使用和(he)(he)管理的(de)計(ji)算機信息系統承擔相(xiang)應的(de)安全保護責(ze)任。

第九條 第二(er)級(ji)以上計算機信息系統的運營、使(shi)用單位應(ying)當(dang)建(jian)立(li)安(an)(an)全保護組(zu)織，并報所在地(di)地(di)級(ji)以上市人民(min)政府公安(an)(an)機關(guan)公共信息網絡安(an)(an)全監察部門備案。

第十條 安(an)全(quan)保護組織(zhi)(zhi)保障本單位計(ji)算機(ji)(ji)信息(xi)系(xi)(xi)(xi)統的(de)安(an)全(quan)運行，組織(zhi)(zhi)本單位計(ji)算機(ji)(ji)信息(xi)系(xi)(xi)(xi)統的(de)有害信息(xi)防治(zhi)工作，組織(zhi)(zhi)開展本單位計(ji)算機(ji)(ji)信息(xi)系(xi)(xi)(xi)統安(an)全(quan)教育和(he)培訓(xun)，向(xiang)公(gong)(gong)安(an)機(ji)(ji)關公(gong)(gong)共信息(xi)網絡安(an)全(quan)監察(cha)(cha)部門報告本單位計(ji)算機(ji)(ji)信息(xi)系(xi)(xi)(xi)統運行、服務和(he)安(an)全(quan)等情況，及時協(xie)助公(gong)(gong)安(an)機(ji)(ji)關公(gong)(gong)共信息(xi)網絡安(an)全(quan)監察(cha)(cha)部門查處違法犯罪和(he)處置(zhi)突(tu)發(fa)事件。

第十一條 互聯(lian)(lian)單位(wei)、互聯(lian)(lian)網(wang)接入(ru)服務(wu)單位(wei)、互聯(lian)(lian)網(wang)數據中心(xin)應當對接入(ru)本網(wang)絡(luo)的用(yong)戶進行資(zi)格審(shen)查，確認符(fu)合國家和(he)省(sheng)有關規(gui)定后方可為(wei)其提供服務(wu)。

互聯網(wang)接入服務、信息服務單(dan)位以及互聯網(wang)數(shu)據中心應當向用戶宣傳相關法(fa)律法(fa)規，提供必(bi)要的安(an)全保(bao)護措(cuo)施。

第十二條 個(ge)人主(zhu)頁、博客、聊天室(shi)、點對點服(fu)務(wu)等互聯網信息服(fu)務(wu)的提供單位和使用者應(ying)當依照國(guo)家和省有關規定，落實相應(ying)的安(an)全措施。

第十三條 網(wang)吧、圖書館、學校、賓館等(deng)提供互聯(lian)網(wang)上網(wang)服(fu)務的場所(suo)應(ying)當安裝符合國家規定的安全管理系統。

第十四條 互(hu)(hu)聯(lian)單(dan)位(wei)、互(hu)(hu)聯(lian)網(wang)(wang)接(jie)入服(fu)務單(dan)位(wei)以(yi)及互(hu)(hu)聯(lian)網(wang)(wang)數據中(zhong)心應當(dang)每(mei)月將接(jie)入本網(wang)(wang)絡(luo)的(de)用戶(hu)情況報(bao)地級(ji)以(yi)上市公(gong)安機(ji)關公(gong)共信息網(wang)(wang)絡(luo)安全監察(cha)部門備(bei)案。

第十五條 計(ji)算機信息系統運營、使用單位應當接(jie)受公(gong)安(an)(an)機關(guan)公(gong)共信息網(wang)絡安(an)(an)全(quan)監(jian)(jian)察部門的監(jian)(jian)督、檢查、指(zhi)導，如實提供安(an)(an)全(quan)保(bao)護(hu)有關(guan)信息、資料及數據文件，不(bu)得(de)變相拒(ju)絕、拖延、阻礙公(gong)安(an)(an)機關(guan)公(gong)共信息網(wang)絡安(an)(an)全(quan)監(jian)(jian)察部門依(yi)法執(zhi)行公(gong)務。

第四章 安全專用產品和安全服務

第十六條 安全專(zhuan)用產品(pin)必須取得公安部頒(ban)發的銷售(shou)許(xu)可證方可銷售(shou)。

第十七條 生產、銷售(shou)或(huo)者提(ti)供(gong)含有計算機(ji)信(xin)息網絡遠程(cheng)控制、密(mi)碼猜解、安(an)全（漏洞）檢測(ce)、信(xin)息群發技(ji)術(shu)的(de)(de)產品和(he)工具的(de)(de)，應當在(zai)領取營業(ye)(ye)執(zhi)照(zhao)后30日內(nei)（沒(mei)有營業(ye)(ye)執(zhi)照(zhao)的(de)(de)，自(zi)開辦之日起30日內(nei)）向單位所在(zai)地地級以上(shang)市人民政府(fu)公(gong)安(an)機(ji)關公(gong)共(gong)信(xin)息網絡安(an)全監察(cha)部(bu)門(men)備案(an)，填寫《廣東省計算機(ji)信(xin)息網絡安(an)全特種(zhong)技(ji)術(shu)備案(an)表》，并提(ti)交如(ru)下資料(liao)：

（一）單位簡況；

（二）營業執(zhi)照（或其他有效證明）復印件(jian)；

（三(san)）研發和服務管理(li)制度；

（四(si)）主要(yao)經營管理人(ren)員、技術(shu)人(ren)員和服務人(ren)員有效證(zheng)件(jian)復印件(jian)；

（五）主(zhu)要產(chan)品情況。

第十八條 安(an)全保護(hu)等級為第(di)三級以上的(de)計算機(ji)信息系統應當選用符(fu)合下列條件的(de)安(an)全專用產品(pin)：

（一）產品研(yan)制(zhi)、生產單位是由(you)中國(guo)(guo)公民、法人投(tou)資(zi)或者國(guo)(guo)家投(tou)資(zi)或者控股的(de)，在中華人民共和國(guo)(guo)境內具有(you)獨(du)立的(de)法人資(zi)格；

（二）產品(pin)的核心技術、關(guan)鍵(jian)部件(jian)具有(you)我(wo)國自主知(zhi)識產權；

（三）產(chan)品研制、生產(chan)單(dan)位及其(qi)主要業(ye)務、技術人員無犯罪記錄；

（四）產品(pin)研(yan)制、生產單位聲(sheng)明(ming)沒有故意留有或者設置漏洞、后門(men)、木(mu)馬等程序(xu)和(he)功(gong)能；

（五）對國家安(an)全、社會秩序、公共利(li)益不構成(cheng)危害。

第十九條 符(fu)合第十八條(tiao)規(gui)定的安(an)全專(zhuan)用(yong)產(chan)(chan)品(pin)和生(sheng)產(chan)(chan)單位應(ying)當(dang)到(dao)省公(gong)安(an)廳(ting)公(gong)共信(xin)息(xi)網絡安(an)全監察(cha)部門(men)備案。

第二十條 為加強安(an)全(quan)服務機(ji)構的指導，推動安(an)全(quan)服務質量(liang)和(he)技術(shu)水平的提高，廣東省對(dui)從(cong)事計算(suan)機(ji)信息系統安(an)全(quan)設計、建(jian)設、檢測、評(ping)估等安(an)全(quan)服務的機(ji)構，根據其注冊(ce)資本、服務業績(ji)、技術(shu)力量(liang)、組織(zhi)管理情況實行(xing)分級指導。

第五章 安全等級測評

第二十一條 第二級以上的(de)計算(suan)機(ji)(ji)信息(xi)系統的(de)安(an)全測評應當選(xuan)擇符合下(xia)列條件(jian)的(de)計算(suan)機(ji)(ji)信息(xi)系統安(an)全等級測評機(ji)(ji)構(gou)（簡稱測評機(ji)(ji)構(gou)）承擔：

（一(yi)）在(zai)中華人(ren)民(min)共和國境內(nei)注冊成立（港澳臺地區除外），具有相應經營范圍的營業(ye)執(zhi)照，注冊資本100萬元(yuan)以上；

（二）由中國公民投資、中國法人投資或(huo)者國家投資的企事業單位（港(gang)澳臺地區除外）；

（三）近3年完(wan)成(cheng)的(de)測(ce)評項(xiang)目總值150萬元以上；

（四）具(ju)有(you)計算(suan)機(ji)安全或相關專(zhuan)業資(zi)格(ge)證書的專(zhuan)業技術人員不少于20人，其中大學本科(ke)以上(shang)學歷(li)的人員不少于15人；

（五）管理(li)人員應當具有3年(nian)以(yi)上從事計算機信息系統(tong)安(an)全技(ji)術(shu)領域企業管理(li)工(gong)作經(jing)歷，技(ji)術(shu)負責人已(yi)獲(huo)得(de)計算機信息系統(tong)安(an)全技(ji)術(shu)相關專業的高級職稱，從事安(an)全測評工(gong)作不少于3年(nian)，無犯罪(zui)記錄；

（六）工(gong)作人(ren)員僅限(xian)于中國公民，法人(ren)及主要(yao)業(ye)務、技術人(ren)員無(wu)犯罪記錄；

（七(qi)）具有與所(suo)承(cheng)擔項目(mu)適應的(de)技(ji)術裝備；

（八）具有(you)完(wan)備的保密管(guan)理、項目管(guan)理、質量管(guan)理、人員管(guan)理和培訓教(jiao)育等安(an)全管(guan)理制度；

（九）對國家安全、社會(hui)秩序(xu)、公共利益不(bu)構成(cheng)威脅。

第二十二條 廣東省對測評機(ji)(ji)構實(shi)施備案制度。符合第(di)(di)二十一條規(gui)定的條件，承擔第(di)(di)二級以上的計算機(ji)(ji)信息系統(tong)測評工作的機(ji)(ji)構應當(dang)到(dao)省公安廳(ting)公共信息網(wang)絡安全監察(cha)部(bu)門(men)備案。

第二十三條 省公(gong)安(an)(an)廳(ting)公(gong)共信息網絡(luo)安(an)(an)全監察(cha)部(bu)門對已備案的(de)測評機(ji)構進行公(gong)布(bu)。

第二十四條 測評機構應當履行(xing)下列義務：

（一(yi)）遵守國家有(you)關(guan)法律(lv)法規和技術標準，提(ti)供(gong)安(an)全、客觀、公(gong)正的檢(jian)測評(ping)估服務，保證測評(ping)的質量(liang)和效果；

（二）保(bao)守在測(ce)(ce)評活(huo)動中知(zhi)悉的國家秘密(mi)、商業(ye)秘密(mi)和(he)個人隱私，防范測(ce)(ce)評風(feng)險；

（三(san)）對測(ce)評(ping)人員(yuan)進行(xing)安(an)全保(bao)密(mi)(mi)教育(yu)，與其簽(qian)訂安(an)全保(bao)密(mi)(mi)責(ze)任書(shu)，規定(ding)應當履行(xing)的安(an)全保(bao)密(mi)(mi)義務和承擔的法律(lv)責(ze)任，并負責(ze)檢查落(luo)實。

第二十五條 第(di)二級(ji)以上的(de)計(ji)算(suan)機信息系統建設(she)完成后，使用(yong)單位應當委托(tuo)符合規定的(de)測(ce)(ce)評(ping)機構安全(quan)測(ce)(ce)評(ping)合格方(fang)可投入使用(yong)。測(ce)(ce)評(ping)活(huo)動應當接受公安機關公共信息網絡安全(quan)監察部門的(de)監督(du)。

第二十六條 計算機(ji)信(xin)息系(xi)統(tong)運營、使用單(dan)位委托安全(quan)測評機(ji)構(gou)測評，應當提(ti)交下列資料：

（一）安全測評(ping)委托書；

（二）計算機信息系(xi)統(tong)(tong)應用(yong)需(xu)求、系(xi)統(tong)(tong)結(jie)構(gou)拓撲及說明、系(xi)統(tong)(tong)安全組織結(jie)構(gou)和管(guan)理(li)制度、安全保(bao)護設施設計實施方(fang)(fang)案或者改(gai)建實施方(fang)(fang)案、系(xi)統(tong)(tong)軟件硬件和信息安全產(chan)品清(qing)單。

第二十七條 安全測(ce)評(ping)機構(gou)在收(shou)到委(wei)托(tuo)材料(liao)后(hou)，應當與委(wei)托(tuo)方協商制訂(ding)安全測(ce)評(ping)計劃，開展安全測(ce)評(ping)工作，并出具安全測(ce)評(ping)報告。

經測評，計算機信息(xi)系統(tong)安(an)全狀況(kuang)未達到(dao)國家有關規定和(he)標準的要(yao)求，委(wei)托(tuo)單(dan)位應(ying)當根(gen)據測評報告(gao)的建(jian)議，完善計算機信息(xi)系統(tong)安(an)全建(jian)設，并重新提出(chu)安(an)全測評委(wei)托(tuo)。

測(ce)評機構(gou)對計(ji)算機信(xin)息(xi)系統進行使用前(qian)安全測(ce)評，應當預先報(bao)告地(di)級(ji)(ji)以(yi)上(shang)市公(gong)安機關公(gong)共(gong)信(xin)息(xi)網絡安全監察(cha)部(bu)門(men)。安全測(ce)評報(bao)告由計(ji)算機信(xin)息(xi)系統運營(ying)、使用單(dan)位(wei)報(bao)地(di)級(ji)(ji)以(yi)上(shang)市公(gong)安機關公(gong)共(gong)信(xin)息(xi)網絡安全監察(cha)部(bu)門(men)。

第二十八條 第三級計算(suan)機信息系(xi)統(tong)應(ying)當(dang)(dang)每(mei)年至少(shao)進行(xing)一次(ci)安(an)全(quan)測評(ping)，第四級計算(suan)機信息系(xi)統(tong)應(ying)當(dang)(dang)每(mei)半年至少(shao)進行(xing)一次(ci)安(an)全(quan)測評(ping)，第五(wu)級計算(suan)機信息系(xi)統(tong)應(ying)當(dang)(dang)依(yi)據(ju)特殊安(an)全(quan)要求進行(xing)安(an)全(quan)測評(ping)。

第六章 應急處置

第二十九條 公安機關(guan)公共信息(xi)網絡安全監察部門與所在地安全服務機構(gou)、互聯網運(yun)營單(dan)位和其(qi)他計(ji)算機信息(xi)系統運(yun)營、使用單(dan)位應當建立聯防機制，依法及時查(cha)處(chu)通過計(ji)算機信息(xi)系統進行(xing)的違(wei)法犯罪行(xing)為，組織處(chu)置重大突發(fa)事(shi)件(jian)。

第三十條 對(dui)計算機信息系統中發生的案件和(he)重大安(an)全(quan)事(shi)故，計算機信息系統的運營、使用(yong)單位應當在二十四小時內報告縣級以(yi)上人(ren)民政府(fu)公安(an)機關(guan)公共信息網絡安(an)全(quan)監察部門，并保(bao)留(liu)有關(guan)原始記錄。

第三十一條 第二級(ji)以(yi)上的計算(suan)機(ji)信息系統運營(ying)、使用單位應當制(zhi)定重(zhong)大突發事件(jian)應急處(chu)置預案(an)并定期實施演(yan)練。

第三十二條 計算機(ji)信息(xi)系統發生(sheng)重大突(tu)發事件，有關單位應當按照應急處(chu)置預案的(de)要(yao)求采取相應的(de)處(chu)置措施，并服從公安機(ji)關和國家指定(ding)的(de)專(zhuan)門部門的(de)調度。

第三十三條 地級市以(yi)上人民政府公(gong)安(an)機(ji)關(guan)公(gong)共信(xin)息(xi)網絡安(an)全(quan)(quan)監察部門經本機(ji)關(guan)主管領導(dao)批準，為保護計算機(ji)信(xin)息(xi)系統(tong)安(an)全(quan)(quan)，在發(fa)生重大(da)突(tu)發(fa)事件，危及(ji)國家安(an)全(quan)(quan)、公(gong)共安(an)全(quan)(quan)及(ji)社會穩定的緊急情況(kuang)下，可以(yi)采取二十四小時內(nei)暫時停(ting)機(ji)、暫停(ting)聯網、備份數據等措(cuo)施。

第七章 安全培訓

第三十四條 省(sheng)公安廳(ting)、人(ren)(ren)事廳(ting)聯合成(cheng)立的省(sheng)信息(xi)網絡安全(quan)專業技術人(ren)(ren)員繼續教育工作(zuo)(zuo)領導(dao)小(xiao)組(zu)(zu)，負責全(quan)省(sheng)信息(xi)網絡安全(quan)專業技術人(ren)(ren)員繼續教育工作(zuo)(zuo)的組(zu)(zu)織和領導(dao)。下設省(sheng)信息(xi)網絡安全(quan)專業技術人(ren)(ren)員繼續教育工作(zuo)(zuo)辦公室，具體負責日(ri)常管理(li)工作(zuo)(zuo)。

第三十五條 下列(lie)人員應(ying)當(dang)參加(jia)信(xin)息網(wang)絡(luo)安(an)全(quan)(quan)(quan)專業(ye)(ye)技(ji)術人員繼續(xu)教(jiao)育(yu)，取得省信(xin)息網(wang)絡(luo)安(an)全(quan)(quan)(quan)專業(ye)(ye)技(ji)術人員繼續(xu)教(jiao)育(yu)工作辦公室頒發的信(xin)息網(wang)絡(luo)安(an)全(quan)(quan)(quan)專業(ye)(ye)技(ji)術人員繼續(xu)教(jiao)育(yu)合格證書，持證上崗：

（一）計算機信息(xi)(xi)系統運營、使用單位(wei)信息(xi)(xi)安全管理責任人、信息(xi)(xi)審查(cha)員；

（二）互聯網(wang)接(jie)入服務、數據(ju)中(zhong)心服務、信息(xi)服務、上網(wang)服務提供單位安全管理員、專業技術人員；

（三）安(an)全專用產品生(sheng)產單位(wei)專業技術人員；

（四(si)）安全服務機構專業技(ji)術(shu)人員、安全服務管理(li)人員；

（五）其他從事計算機信息系統安(an)全保護工作的人員(yuan)。

第三十六條 信息網絡安(an)全專(zhuan)業技術人員繼續教(jiao)育由省信息網絡安(an)全專(zhuan)業技術人員繼續教(jiao)育工作辦公室授權的施(shi)教(jiao)機(ji)構(gou)(gou)負責實(shi)施(shi)。施(shi)教(jiao)機(ji)構(gou)(gou)實(shi)行統籌規劃。

第三十七條 信息(xi)網(wang)絡安全專(zhuan)業技術人員繼續教(jiao)育(yu)培(pei)訓(xun)和考(kao)試按照(zhao)有(you)關規定進(jin)行，實行統一(yi)教(jiao)學大綱，統一(yi)教(jiao)材，統一(yi)考(kao)試，統一(yi)發證。

考試合(he)格的(de)，由(you)省信息(xi)網絡安全(quan)專業技術(shu)人員繼(ji)續教(jiao)育工作辦公室發給信息(xi)網絡安全(quan)專業技術(shu)人員繼(ji)續教(jiao)育證書。

第八章 法律責任

第三十八條 違反(fan)本辦法的規定，依照有關法律、法規和規章處罰。

第九章 附則

第三十九條 本細則下(xia)列用語的含(han)義(yi)：實體(ti)安全，指保護計算機信息系統的環境，計算機設(she)備(bei)、設(she)施（含(han)網絡）以及(ji)其它(ta)媒體(ti)免遭地(di)震、水災、火災、雷電、有害氣體(ti)和其它(ta)環境事故（如電磁污染等）破(po)壞(huai)。

運行(xing)安全，指保護計算機信(xin)息(xi)系統(tong)的(de)信(xin)息(xi)處理過程順利(li)進(jin)行(xing)。

信息安(an)全，指保(bao)(bao)障信息的完整性、保(bao)(bao)密性、可(ke)用(yong)性和(he)可(ke)控性。

內容(rong)安全(quan)，指確保計(ji)算機信(xin)息系統中傳輸的信(xin)息所承(cheng)載的內容(rong)的合法性。

安(an)(an)全（漏洞(dong)）檢測，指利(li)用計(ji)算機(ji)技術手段掃(sao)描、探(tan)測計(ji)算機(ji)信息系統安(an)(an)全漏洞(dong)。

第四十條 本辦法規定的“以上”含(han)本數。

第四十一條 本辦法規定(ding)的有關表格和證書由省(sheng)公安廳(ting)制(zhi)定(ding)式樣，統一監制(zhi)。

第四十二條 本辦法(fa)由省(sheng)公(gong)安廳負責解釋。

第四十三條 本辦(ban)法(fa)自(zi)2008年12月1日(ri)起施行。