廣東省公安廳關于計算機信息系統安全保護的實施辦法

（廣東省(sheng)公安廳2008年9月(yue)27日以(yi)粵公通(tong)字〔2008〕228號(hao)發布 自2008年12月(yue)1日起施行(xing)）

第一章 總則

第一條 為保護計算(suan)機(ji)信息(xi)系統安(an)全，促(cu)進信息(xi)化建設的健康(kang)發展，貫(guan)徹落實《廣東(dong)省計算(suan)機(ji)信息(xi)系統安(an)全保護條(tiao)例》，根據有關法律法規，制定本辦法。

第二條 本辦法(fa)適用于廣東省行政區域內(nei)計算(suan)機信(xin)息系(xi)統(tong)的安全保護。

第三條 縣級以上人(ren)民政(zheng)府公安(an)機關(guan)公共信(xin)息網絡安(an)全監(jian)察部門具體負責本行政(zheng)區域(yu)內計算(suan)機信(xin)息系統的安(an)全保護監(jian)管工作。

第二章 安全監督

第四條 公安(an)機關公共信(xin)息網絡(luo)安(an)全監察(cha)部(bu)門對計算機信(xin)息系(xi)統安(an)全保護工(gong)作行使(shi)下列職(zhi)責(ze)：

（一）監督(du)、檢查、指導計算機(ji)信(xin)息(xi)系統安全保(bao)護工作；

（二）組(zu)織開展(zhan)計算機信息系統安全(quan)等級保(bao)護；

（三）查處計算(suan)機(ji)違法犯(fan)罪案件；

（四）組織處置重大(da)計(ji)算機(ji)信(xin)息系統安全事(shi)故和事(shi)件；

（五）負責計算(suan)機(ji)病毒和其(qi)他有害數據防治管理；

（六）負責(ze)計算機信息(xi)系統安全服務(wu)的監督指(zhi)導；

（七(qi)）負責計算(suan)機信息系統安全專用產品的監督(du)管理；

（八）負(fu)責(ze)計算機信息系統(tong)安(an)全培訓管(guan)理；

（九）法律、法規(gui)和規(gui)章規(gui)定的其(qi)他職責(ze)。

第五條 公安(an)機關公共信(xin)息網絡安(an)全(quan)監(jian)察部門(men)應當對計算機信(xin)息系(xi)統(tong)落實實體安(an)全(quan)、運行(xing)安(an)全(quan)、信(xin)息安(an)全(quan)和內(nei)容安(an)全(quan)措施的情況進行(xing)檢查。

對第(di)三級(ji)(ji)計(ji)算(suan)(suan)機(ji)信(xin)息(xi)(xi)系(xi)統每年至(zhi)(zhi)少檢(jian)查一次，對第(di)四級(ji)(ji)計(ji)算(suan)(suan)機(ji)信(xin)息(xi)(xi)系(xi)統每半年至(zhi)(zhi)少檢(jian)查一次。對第(di)五級(ji)(ji)計(ji)算(suan)(suan)機(ji)信(xin)息(xi)(xi)系(xi)統，應當會(hui)同國(guo)家指定的專(zhuan)門部(bu)門進行(xing)檢(jian)查。

對其他(ta)計算(suan)機信(xin)息系統應(ying)當不定期開(kai)展檢查。

第六條 公安(an)機關公共信(xin)息網絡安(an)全監察部門發現計算機信(xin)息系統的(de)安(an)全保護等級(ji)和(he)安(an)全措(cuo)施不符合有關規定和(he)技術標準，或者存在(zai)安(an)全隱患的(de)，應(ying)當(dang)通知運營、使用(yong)單位進(jin)行整改(gai)。

第七條 公安(an)機關公共信息網絡安(an)全(quan)(quan)監察部門應(ying)當向公眾提供報警求助渠(qu)道，提供計(ji)算機信息系統安(an)全(quan)(quan)指導(dao)，發布安(an)全(quan)(quan)動態(tai)，開(kai)展安(an)全(quan)(quan)宣傳。

第三章 安全保護責任

第八條 單位和個人應當依照有關法規(gui)、規(gui)章和標準，對其(qi)所有、使用和管理(li)的計算機信息系統(tong)承擔相應的安(an)全保護責(ze)任。

第九條 第二級(ji)以上計(ji)算(suan)機信(xin)息系(xi)統的運營、使用單位應當建(jian)立(li)安(an)全保護組織，并報(bao)所在地地級(ji)以上市人民政府公(gong)安(an)機關公(gong)共信(xin)息網絡安(an)全監察部門備(bei)案。

第十條 安全保護組(zu)織(zhi)保障(zhang)本單(dan)(dan)位(wei)計算機(ji)(ji)(ji)信(xin)息(xi)系(xi)統的(de)安全運行(xing)，組(zu)織(zhi)本單(dan)(dan)位(wei)計算機(ji)(ji)(ji)信(xin)息(xi)系(xi)統的(de)有(you)害信(xin)息(xi)防(fang)治(zhi)工作(zuo)，組(zu)織(zhi)開展本單(dan)(dan)位(wei)計算機(ji)(ji)(ji)信(xin)息(xi)系(xi)統安全教育和(he)培訓，向公安機(ji)(ji)(ji)關公共(gong)信(xin)息(xi)網絡安全監察部門報告本單(dan)(dan)位(wei)計算機(ji)(ji)(ji)信(xin)息(xi)系(xi)統運行(xing)、服務(wu)和(he)安全等情(qing)況，及時協助公安機(ji)(ji)(ji)關公共(gong)信(xin)息(xi)網絡安全監察部門查(cha)處(chu)違(wei)法犯罪和(he)處(chu)置突發事件。

第十一條 互(hu)聯單(dan)位、互(hu)聯網(wang)接入(ru)服(fu)務(wu)單(dan)位、互(hu)聯網(wang)數據中(zhong)心應(ying)當對接入(ru)本網(wang)絡的用戶進行資(zi)格(ge)審(shen)查，確(que)認符合國家和(he)省(sheng)有關規(gui)定后方可為其(qi)提供服(fu)務(wu)。

互聯(lian)網接入服務(wu)、信息服務(wu)單位以及互聯(lian)網數據中心應當(dang)向(xiang)用戶宣傳相關(guan)法律法規，提供必(bi)要的安全保護措(cuo)施(shi)。

第十二條 個人主頁、博客(ke)、聊天室(shi)、點對點服務等互(hu)聯網信息服務的(de)提供單(dan)位和使用者應當依(yi)照國家和省有(you)關規定，落實相應的(de)安(an)全措施(shi)。

第十三條 網(wang)吧、圖書(shu)館、學校、賓館等提供(gong)互聯(lian)網(wang)上網(wang)服務的場所(suo)應當(dang)安(an)(an)裝符合國(guo)家規定的安(an)(an)全管理系統(tong)。

第十四條 互(hu)聯(lian)單位、互(hu)聯(lian)網接入服務單位以及互(hu)聯(lian)網數據中心應當每月將接入本網絡的用戶情況報地級以上市公(gong)安機關公(gong)共信息網絡安全(quan)監察(cha)部門備案。

第十五條 計算機(ji)(ji)信(xin)息(xi)(xi)(xi)系(xi)統運營(ying)、使用單(dan)位應當(dang)接受公(gong)(gong)安(an)(an)機(ji)(ji)關(guan)公(gong)(gong)共信(xin)息(xi)(xi)(xi)網絡安(an)(an)全(quan)(quan)監察部門的監督(du)、檢查(cha)、指導，如實提供安(an)(an)全(quan)(quan)保護有關(guan)信(xin)息(xi)(xi)(xi)、資料及數(shu)據文件(jian)，不得變相拒絕、拖(tuo)延、阻礙公(gong)(gong)安(an)(an)機(ji)(ji)關(guan)公(gong)(gong)共信(xin)息(xi)(xi)(xi)網絡安(an)(an)全(quan)(quan)監察部門依法執行公(gong)(gong)務。

第四章 安全專用產品和安全服務

第十六條 安全(quan)專用(yong)產(chan)品必須取得公安部頒發的銷售許可(ke)證方可(ke)銷售。

第十七條 生(sheng)產、銷售或(huo)者(zhe)提供含有(you)計算(suan)機(ji)信息(xi)(xi)網絡(luo)遠程控制、密碼(ma)猜解(jie)、安(an)全(quan)（漏洞）檢測(ce)、信息(xi)(xi)群發(fa)技(ji)術的(de)產品和工具(ju)的(de)，應(ying)當在領取營業執照后30日(ri)內（沒有(you)營業執照的(de)，自開(kai)辦(ban)之日(ri)起30日(ri)內）向單位(wei)所在地(di)地(di)級以上市人民(min)政府公安(an)機(ji)關公共(gong)信息(xi)(xi)網絡(luo)安(an)全(quan)監察部門備案(an)，填(tian)寫《廣東省計算(suan)機(ji)信息(xi)(xi)網絡(luo)安(an)全(quan)特種(zhong)技(ji)術備案(an)表》，并提交(jiao)如下資料：

（一）單位簡況；

（二）營業執照（或其他有(you)效證明(ming)）復印件；

（三）研發和(he)服(fu)務管理制度；

（四）主要經營管(guan)理(li)人(ren)員(yuan)、技(ji)術人(ren)員(yuan)和服務人(ren)員(yuan)有效(xiao)證件復(fu)印(yin)件；

（五）主(zhu)要(yao)產品情況。

第十八條 安(an)全保(bao)護等級(ji)為第三級(ji)以上(shang)的計算(suan)機信(xin)息系統應當選(xuan)用(yong)符合下(xia)列條(tiao)件的安(an)全專(zhuan)用(yong)產(chan)品：

（一）產(chan)品研制、生產(chan)單位是由(you)中(zhong)國(guo)公(gong)民、法(fa)(fa)人(ren)投(tou)資(zi)或(huo)者國(guo)家投(tou)資(zi)或(huo)者控股的，在中(zhong)華(hua)人(ren)民共和國(guo)境內(nei)具有獨立的法(fa)(fa)人(ren)資(zi)格；

（二）產(chan)品的核心技術、關鍵部件具有(you)我國(guo)自主知(zhi)識產(chan)權；

（三(san)）產品研制、生產單(dan)位及其主(zhu)要業務、技術人員無(wu)犯(fan)罪記錄；

（四）產品(pin)研制、生(sheng)產單位聲明沒有故意(yi)留有或者設(she)置漏洞、后門、木馬等程序和(he)功能；

（五）對國(guo)家安(an)全、社會秩序、公共利益不構成危(wei)害。

第十九條 符(fu)合第十八條規定的安(an)全專用(yong)產品(pin)和生產單位應當到省公(gong)安(an)廳公(gong)共信息網絡安(an)全監察部門備案。

第二十條 為加強安全(quan)服務機構(gou)(gou)的指導，推動安全(quan)服務質量和(he)技術水平的提高，廣東省對從事(shi)計(ji)算機信(xin)息系統安全(quan)設計(ji)、建設、檢測、評估等(deng)安全(quan)服務的機構(gou)(gou)，根據其注(zhu)冊資本(ben)、服務業績、技術力量、組織管(guan)理情(qing)況(kuang)實行分級指導。

第五章 安全等級測評

第二十一條 第(di)二級(ji)以上的(de)計算機信息系(xi)統(tong)的(de)安(an)全測評(ping)(ping)應當選(xuan)擇符(fu)合下列條件(jian)的(de)計算機信息系(xi)統(tong)安(an)全等級(ji)測評(ping)(ping)機構（簡稱測評(ping)(ping)機構）承擔(dan)：

（一）在中華人民共和國境內注冊成立（港澳臺地區除(chu)外），具有(you)相應經營范圍的營業執照，注冊資本100萬元以上；

（二）由中國(guo)公民投資(zi)(zi)、中國(guo)法人投資(zi)(zi)或者國(guo)家投資(zi)(zi)的企事業(ye)單位（港澳臺地(di)區除外）；

（三(san)）近3年完成(cheng)的測評項(xiang)目(mu)總值150萬元以上；

（四）具有計算機安全(quan)或(huo)相關專業(ye)資格證書(shu)的專業(ye)技術人(ren)員(yuan)不少于20人(ren)，其中大學(xue)本科以上學(xue)歷的人(ren)員(yuan)不少于15人(ren)；

（五）管理人員應當具有3年以(yi)上從事計(ji)算(suan)機信息系統(tong)安全技(ji)術(shu)領域企業管理工作經(jing)歷(li)，技(ji)術(shu)負責人已獲得(de)計(ji)算(suan)機信息系統(tong)安全技(ji)術(shu)相關專業的高級職(zhi)稱(cheng)，從事安全測評工作不少于3年，無(wu)犯罪記錄(lu)；

（六）工(gong)作(zuo)人員僅限于中國公民，法人及主要業務(wu)、技術人員無犯罪記錄(lu)；

（七）具有(you)與所承擔項目(mu)適應的(de)技術裝(zhuang)備；

（八）具有完備的(de)保密(mi)管(guan)理(li)、項目管(guan)理(li)、質(zhi)量管(guan)理(li)、人員管(guan)理(li)和培訓教育等安全(quan)管(guan)理(li)制(zhi)度；

（九(jiu)）對國家(jia)安全、社會秩序、公(gong)共利益不構成(cheng)威脅。

第二十二條 廣(guang)東省對(dui)測評機(ji)(ji)構(gou)實(shi)施備案制(zhi)度。符合第(di)二(er)十一條(tiao)規定的(de)(de)條(tiao)件，承(cheng)擔(dan)第(di)二(er)級以(yi)上的(de)(de)計(ji)算機(ji)(ji)信息系統測評工作的(de)(de)機(ji)(ji)構(gou)應(ying)當到(dao)省公(gong)安(an)廳公(gong)共(gong)信息網(wang)絡安(an)全監(jian)察(cha)部門備案。

第二十三條 省(sheng)公(gong)安廳公(gong)共信息網絡安全監(jian)察(cha)部門對(dui)已備案的(de)測評機(ji)構進行(xing)公(gong)布。

第二十四條 測評機構(gou)應當履行下列義務：

（一）遵守(shou)國(guo)家有關法(fa)律法(fa)規和技(ji)術(shu)標準(zhun)，提供(gong)安(an)全、客觀、公正(zheng)的(de)檢測(ce)評(ping)估服務，保證測(ce)評(ping)的(de)質量和效(xiao)果；

（二）保(bao)守在測(ce)評(ping)活動中知悉的國家秘密、商(shang)業秘密和個人隱私，防范測(ce)評(ping)風險；

（三）對測評(ping)人員(yuan)進行安全保密(mi)教(jiao)育，與(yu)其簽訂(ding)安全保密(mi)責任書，規定(ding)應當(dang)履(lv)行的安全保密(mi)義務(wu)和承擔的法(fa)律責任，并負責檢查落實(shi)。

第二十五條 第二級以(yi)上(shang)的計算機(ji)信(xin)息系統建(jian)設完(wan)成后，使用單位應(ying)當委托(tuo)符合規定的測評(ping)機(ji)構安(an)全測評(ping)合格方可投入使用。測評(ping)活動應(ying)當接受公(gong)安(an)機(ji)關(guan)公(gong)共信(xin)息網絡安(an)全監(jian)察部門的監(jian)督。

第二十六條 計算機信(xin)息系統(tong)運營、使(shi)用單位(wei)委托安全測評(ping)機構測評(ping)，應(ying)當(dang)提(ti)交下列(lie)資料：

（一(yi)）安全測評(ping)委托書；

（二）計算(suan)機信息系(xi)統應用需求、系(xi)統結構拓(tuo)撲(pu)及(ji)說(shuo)明(ming)、系(xi)統安(an)全(quan)組織結構和管理制度、安(an)全(quan)保護(hu)設(she)施設(she)計實施方案(an)或者改建實施方案(an)、系(xi)統軟件(jian)硬件(jian)和信息安(an)全(quan)產品清單。

第二十七條 安全(quan)(quan)(quan)測(ce)評(ping)機構(gou)在收到(dao)委(wei)托(tuo)材料后，應(ying)當與委(wei)托(tuo)方協商(shang)制訂安全(quan)(quan)(quan)測(ce)評(ping)計劃，開展安全(quan)(quan)(quan)測(ce)評(ping)工作，并(bing)出(chu)具(ju)安全(quan)(quan)(quan)測(ce)評(ping)報告。

經測(ce)(ce)評(ping)，計(ji)算機信息系統(tong)安(an)全(quan)狀(zhuang)況(kuang)未達到(dao)國家有關規定和(he)標準的要求(qiu)，委托單(dan)位應當根據測(ce)(ce)評(ping)報告的建(jian)議，完善計(ji)算機信息系統(tong)安(an)全(quan)建(jian)設，并重新(xin)提出安(an)全(quan)測(ce)(ce)評(ping)委托。

測評(ping)機(ji)構(gou)對計(ji)(ji)算(suan)機(ji)信(xin)息系(xi)統進行(xing)使(shi)用(yong)前(qian)安全(quan)(quan)測評(ping)，應當預先報告地級以上市(shi)公(gong)安機(ji)關(guan)公(gong)共信(xin)息網絡(luo)安全(quan)(quan)監(jian)察部門。安全(quan)(quan)測評(ping)報告由計(ji)(ji)算(suan)機(ji)信(xin)息系(xi)統運營、使(shi)用(yong)單位報地級以上市(shi)公(gong)安機(ji)關(guan)公(gong)共信(xin)息網絡(luo)安全(quan)(quan)監(jian)察部門。

第二十八條 第(di)三級(ji)(ji)計算機(ji)(ji)信(xin)息系統(tong)應(ying)當(dang)(dang)每年至(zhi)(zhi)少(shao)進行(xing)一次安全測評(ping)(ping)，第(di)四級(ji)(ji)計算機(ji)(ji)信(xin)息系統(tong)應(ying)當(dang)(dang)每半(ban)年至(zhi)(zhi)少(shao)進行(xing)一次安全測評(ping)(ping)，第(di)五級(ji)(ji)計算機(ji)(ji)信(xin)息系統(tong)應(ying)當(dang)(dang)依據特(te)殊安全要求進行(xing)安全測評(ping)(ping)。

第六章 應急處置

第二十九條 公安(an)機(ji)關公共(gong)信(xin)息(xi)網(wang)絡安(an)全監察(cha)部門與所在(zai)地(di)安(an)全服務機(ji)構(gou)、互聯網(wang)運營單位和其(qi)他計算(suan)機(ji)信(xin)息(xi)系統(tong)運營、使用單位應當(dang)建立(li)聯防機(ji)制，依(yi)法(fa)(fa)及時(shi)查處通過計算(suan)機(ji)信(xin)息(xi)系統(tong)進(jin)行(xing)的(de)違法(fa)(fa)犯罪行(xing)為，組織(zhi)處置重大突發事件。

第三十條 對計(ji)算機信息(xi)系(xi)統中發(fa)生的案件和重大(da)安全事故，計(ji)算機信息(xi)系(xi)統的運(yun)營、使用單位應(ying)當在二十四小時(shi)內報告縣級以上人民政(zheng)府公(gong)安機關公(gong)共信息(xi)網絡安全監(jian)察部門，并保留(liu)有關原始記錄(lu)。

第三十一條 第二(er)級以上的計算(suan)機(ji)信息系統運(yun)營、使用單(dan)位應當制定重大突發事件應急(ji)處(chu)置預案并定期(qi)實施演練。

第三十二條 計(ji)算機(ji)信(xin)息(xi)系統發生重大突發事(shi)件，有關(guan)(guan)單位應當按照應急處置預案的要求采取(qu)相應的處置措(cuo)施(shi)，并服從公安(an)機(ji)關(guan)(guan)和國家指定(ding)的專門部門的調度。

第三十三條 地級(ji)市以(yi)上人民政府公(gong)(gong)安機(ji)關公(gong)(gong)共信息網絡安全監察部門經本機(ji)關主管領(ling)導批準，為保護計(ji)算機(ji)信息系統安全，在發生重大突發事件，危(wei)及國家安全、公(gong)(gong)共安全及社會穩定的(de)緊急情(qing)況(kuang)下，可以(yi)采取(qu)二十四小(xiao)時(shi)內暫時(shi)停機(ji)、暫停聯網、備份(fen)數(shu)據等措施(shi)。

第七章 安全培訓

第三十四條 省(sheng)公(gong)安(an)廳(ting)、人事廳(ting)聯合成立的省(sheng)信(xin)息(xi)(xi)網絡(luo)安(an)全專業技(ji)術(shu)人員(yuan)繼續教育(yu)工作(zuo)領導小組，負(fu)責全省(sheng)信(xin)息(xi)(xi)網絡(luo)安(an)全專業技(ji)術(shu)人員(yuan)繼續教育(yu)工作(zuo)的組織和領導。下(xia)設省(sheng)信(xin)息(xi)(xi)網絡(luo)安(an)全專業技(ji)術(shu)人員(yuan)繼續教育(yu)工作(zuo)辦公(gong)室，具體負(fu)責日常管理工作(zuo)。

第三十五條 下列人(ren)(ren)員應當參加信息(xi)網(wang)絡安(an)(an)全專業技術人(ren)(ren)員繼續教(jiao)育，取(qu)得(de)省信息(xi)網(wang)絡安(an)(an)全專業技術人(ren)(ren)員繼續教(jiao)育工(gong)作辦公室頒發的信息(xi)網(wang)絡安(an)(an)全專業技術人(ren)(ren)員繼續教(jiao)育合格(ge)證(zheng)書，持證(zheng)上崗：

（一(yi)）計算機信息系統運(yun)營(ying)、使用(yong)單位信息安全(quan)管理責任人、信息審查員；

（二）互聯網(wang)(wang)接入服務、數據中(zhong)心服務、信息服務、上網(wang)(wang)服務提供單位安全管理員、專(zhuan)業(ye)技(ji)術(shu)人員；

（三）安全專(zhuan)用產品(pin)生產單位專(zhuan)業技術人員；

（四(si)）安全服務機(ji)構專業(ye)技術人(ren)員(yuan)、安全服務管(guan)理人(ren)員(yuan)；

（五）其他從事計(ji)算(suan)機信息(xi)系統安全(quan)保護工作(zuo)的人員。

第三十六條 信息網絡安(an)全專業(ye)技(ji)術人(ren)員繼(ji)續教育由(you)省信息網絡安(an)全專業(ye)技(ji)術人(ren)員繼(ji)續教育工作辦公室授權的施(shi)教機構負責實施(shi)。施(shi)教機構實行統籌規(gui)劃(hua)。

第三十七條 信息網絡安全專(zhuan)業技術(shu)人員(yuan)繼續教(jiao)育培訓和考試按照有關規定進(jin)行，實(shi)行統(tong)一(yi)教(jiao)學大綱，統(tong)一(yi)教(jiao)材，統(tong)一(yi)考試，統(tong)一(yi)發證。

考(kao)試合格的，由省信息網絡安(an)全(quan)專業技術人(ren)員繼續教育(yu)工(gong)作辦公室發給信息網絡安(an)全(quan)專業技術人(ren)員繼續教育(yu)證書。

第八章 法律責任

第三十八條 違反本辦(ban)法(fa)的規(gui)定，依照有關法(fa)律、法(fa)規(gui)和(he)規(gui)章處(chu)罰(fa)。

第九章 附則

第三十九條 本細則(ze)下(xia)列用語的含義：實(shi)體(ti)安全，指保護計(ji)算機信息系(xi)統(tong)的環(huan)(huan)境，計(ji)算機設(she)備(bei)、設(she)施（含網絡）以及其它媒體(ti)免(mian)遭地震、水災、火(huo)災、雷電、有害氣體(ti)和(he)其它環(huan)(huan)境事故（如電磁污染等(deng)）破壞。

運(yun)行(xing)安全，指保(bao)護計算機信(xin)息(xi)系統的信(xin)息(xi)處理過程順利(li)進行(xing)。

信息安全，指(zhi)保(bao)障信息的完整性、保(bao)密性、可用性和可控性。

內(nei)容安全，指確保計算機信息(xi)系統中傳(chuan)輸的信息(xi)所承載的內(nei)容的合法(fa)性。

安全（漏(lou)洞(dong)）檢測，指利用(yong)計算(suan)機技術手段掃描(miao)、探測計算(suan)機信息(xi)系統安全漏(lou)洞(dong)。

第四十條 本辦法規定的“以上”含本數(shu)。

第四十一條 本(ben)辦法(fa)規定(ding)的(de)有(you)關表格和(he)證書由省公安廳制定(ding)式樣(yang)，統一監制。

第四十二條 本辦法由省(sheng)公安廳負責解釋。

第四十三條 本(ben)辦法自(zi)2008年12月1日起施行。