廣東省公安廳關于計算機信息系統安全保護的實施辦法

（廣(guang)東(dong)省公安廳2008年9月(yue)27日以粵公通字(zi)〔2008〕228號(hao)發布 自2008年12月(yue)1日起施行）

第一章 總則

第一條 為保護(hu)計(ji)算機信息(xi)系(xi)(xi)統(tong)安全，促進信息(xi)化(hua)建設的健康發(fa)展，貫徹(che)落實《廣東省計(ji)算機信息(xi)系(xi)(xi)統(tong)安全保護(hu)條例》，根據有關法(fa)律法(fa)規，制定本(ben)辦法(fa)。

第二條 本辦法適用于廣東省行政區域內計算機信息系統的(de)安全保護(hu)。

第三條 縣級(ji)以上人民政府公安機(ji)關(guan)公共信(xin)息(xi)網(wang)絡安全監察部門具體負責本(ben)行政區(qu)域內計算機(ji)信(xin)息(xi)系統的安全保護監管(guan)工(gong)作。

第二章 安全監督

第四條 公(gong)安(an)(an)機關公(gong)共信(xin)息網絡(luo)安(an)(an)全(quan)監察(cha)部門(men)對計算機信(xin)息系統安(an)(an)全(quan)保護(hu)工作行(xing)使下列職責(ze)：

（一）監督、檢查、指導(dao)計(ji)算(suan)機信(xin)息(xi)系統安全(quan)保護工(gong)作；

（二）組(zu)織開展計(ji)算機信(xin)息系統安全等級(ji)保護；

（三(san)）查處計(ji)算機(ji)違法犯罪案件；

（四）組織處置重大計算機信息系(xi)統(tong)安全事故和事件；

（五）負責計算機病毒(du)和其他有害(hai)數(shu)據(ju)防治(zhi)管理；

（六）負(fu)責計算機信息系(xi)統安(an)全服務的監督指導；

（七）負責計算機信息系統安全(quan)專用產品的監督管理；

（八）負(fu)責計算(suan)機(ji)信息系統安全培訓管理；

（九）法律、法規(gui)和(he)規(gui)章規(gui)定的(de)其他職責。

第五條 公安(an)機關公共信息網絡(luo)安(an)全(quan)(quan)監察部門應當(dang)對計算(suan)機信息系統落(luo)實(shi)實(shi)體(ti)安(an)全(quan)(quan)、運行安(an)全(quan)(quan)、信息安(an)全(quan)(quan)和內(nei)容(rong)安(an)全(quan)(quan)措施的情況進行檢查。

對第(di)三級(ji)計算(suan)(suan)機信息系統每年(nian)(nian)至(zhi)少檢(jian)查(cha)一次(ci)，對第(di)四級(ji)計算(suan)(suan)機信息系統每半年(nian)(nian)至(zhi)少檢(jian)查(cha)一次(ci)。對第(di)五級(ji)計算(suan)(suan)機信息系統，應當會同國家指定的專門(men)(men)部門(men)(men)進行檢(jian)查(cha)。

對其(qi)他計(ji)算(suan)機信息(xi)系(xi)統(tong)應(ying)當不定期(qi)開展檢查(cha)。

第六條 公(gong)安機(ji)關(guan)公(gong)共信息(xi)網絡安全(quan)(quan)監察部門發現計算機(ji)信息(xi)系統的(de)安全(quan)(quan)保護(hu)等級和安全(quan)(quan)措(cuo)施不(bu)符合有關(guan)規定和技(ji)術標準，或者存(cun)在安全(quan)(quan)隱(yin)患的(de)，應當通知運營、使(shi)用(yong)單位進行整(zheng)改。

第七條 公(gong)安機(ji)(ji)關公(gong)共信(xin)息(xi)網絡安全(quan)(quan)監察部門應當向公(gong)眾提(ti)供(gong)報警(jing)求助渠(qu)道(dao)，提(ti)供(gong)計算機(ji)(ji)信(xin)息(xi)系統安全(quan)(quan)指(zhi)導，發布安全(quan)(quan)動態，開展安全(quan)(quan)宣傳。

第三章 安全保護責任

第八條 單位(wei)和個人應(ying)當依照有關法(fa)規(gui)、規(gui)章和標準，對其所有、使用和管理的計算機信息系統(tong)承擔(dan)相(xiang)應(ying)的安(an)全保護責任。

第九條 第二級以上計算機(ji)信息(xi)系統的(de)運營、使用單位應當建立安(an)全保護組織，并報所在(zai)地(di)地(di)級以上市人民政府(fu)公(gong)安(an)機(ji)關(guan)公(gong)共(gong)信息(xi)網絡安(an)全監察部門備案。

第十條 安(an)(an)全(quan)(quan)保護組織(zhi)保障本(ben)單(dan)位計算機信(xin)(xin)息(xi)系(xi)統(tong)的(de)安(an)(an)全(quan)(quan)運行(xing)，組織(zhi)本(ben)單(dan)位計算機信(xin)(xin)息(xi)系(xi)統(tong)的(de)有害信(xin)(xin)息(xi)防治工作，組織(zhi)開展(zhan)本(ben)單(dan)位計算機信(xin)(xin)息(xi)系(xi)統(tong)安(an)(an)全(quan)(quan)教育和(he)培訓，向(xiang)公(gong)安(an)(an)機關(guan)公(gong)共信(xin)(xin)息(xi)網絡安(an)(an)全(quan)(quan)監(jian)(jian)察部門報(bao)告本(ben)單(dan)位計算機信(xin)(xin)息(xi)系(xi)統(tong)運行(xing)、服(fu)務(wu)和(he)安(an)(an)全(quan)(quan)等情(qing)況，及時協助公(gong)安(an)(an)機關(guan)公(gong)共信(xin)(xin)息(xi)網絡安(an)(an)全(quan)(quan)監(jian)(jian)察部門查處(chu)違法犯罪和(he)處(chu)置(zhi)突發事件。

第十一條 互聯單位(wei)、互聯網接(jie)入(ru)服(fu)務單位(wei)、互聯網數據(ju)中心(xin)應(ying)當對接(jie)入(ru)本(ben)網絡(luo)的(de)用戶進行資格審查，確(que)認符合國家和省有關規(gui)定后方可為其提供服(fu)務。

互(hu)聯網接入服(fu)務、信(xin)息服(fu)務單位以及互(hu)聯網數(shu)據(ju)中(zhong)心應當向用戶宣傳相關法律法規，提供(gong)必要的安全保(bao)護措(cuo)施。

第十二條 個人主頁、博客、聊(liao)天(tian)室、點對點服務(wu)等互(hu)聯網(wang)信息服務(wu)的提供單位和使用者應當依(yi)照國家和省有關規定(ding)，落實相(xiang)應的安全(quan)措施(shi)。

第十三條 網吧、圖書館(guan)、學校、賓館(guan)等提供互聯(lian)網上網服務的(de)場所應(ying)當安(an)裝(zhuang)符合國家規定的(de)安(an)全管(guan)理系(xi)統。

第十四條 互(hu)聯(lian)單(dan)位、互(hu)聯(lian)網(wang)接(jie)入(ru)服務(wu)單(dan)位以及互(hu)聯(lian)網(wang)數據中心應(ying)當每月將接(jie)入(ru)本網(wang)絡的用戶情況報地級(ji)以上(shang)市公(gong)安機關(guan)公(gong)共信息(xi)網(wang)絡安全監察部門(men)備案。

第十五條 計(ji)算機信息系統運(yun)營、使用單(dan)位應當接受公安(an)機關公共(gong)信息網(wang)絡安(an)全(quan)監(jian)察部(bu)門的監(jian)督、檢查(cha)、指(zhi)導，如(ru)實(shi)提供安(an)全(quan)保護有關信息、資料(liao)及(ji)數據文(wen)件，不得變相拒絕、拖延、阻礙公安(an)機關公共(gong)信息網(wang)絡安(an)全(quan)監(jian)察部(bu)門依法執(zhi)行公務。

第四章 安全專用產品和安全服務

第十六條 安全專用產品必須(xu)取得公安部(bu)頒發(fa)的銷售(shou)許可(ke)證方可(ke)銷售(shou)。

第十七條 生(sheng)產、銷售或(huo)者提(ti)供(gong)含有(you)計(ji)算機信息(xi)(xi)網絡(luo)遠程控制(zhi)、密碼猜解(jie)、安(an)全(quan)(quan)（漏(lou)洞）檢測、信息(xi)(xi)群發(fa)技術(shu)的產品(pin)和工具的，應當在領取營業(ye)執照后30日內（沒有(you)營業(ye)執照的，自開辦之日起30日內）向單(dan)位所在地(di)地(di)級(ji)以上市人民政府公(gong)安(an)機關公(gong)共(gong)信息(xi)(xi)網絡(luo)安(an)全(quan)(quan)監(jian)察部門備案(an)，填(tian)寫《廣東省計(ji)算機信息(xi)(xi)網絡(luo)安(an)全(quan)(quan)特(te)種(zhong)技術(shu)備案(an)表》，并提(ti)交(jiao)如下資料(liao)：

（一）單位簡況；

（二）營業執照(zhao)（或其他有效證(zheng)明）復印件；

（三）研發和(he)服(fu)務管理制度；

（四）主要經營管理人員(yuan)(yuan)、技(ji)術人員(yuan)(yuan)和服務人員(yuan)(yuan)有效證件復印件；

（五）主要產品(pin)情況。

第十八條 安(an)全(quan)保護等(deng)級(ji)為第三級(ji)以上的計(ji)算機信息系統應當選用符(fu)合下列條件的安(an)全(quan)專用產品(pin)：

（一(yi)）產品研制、生產單(dan)位是(shi)由中國公(gong)民(min)、法人(ren)投資或者國家投資或者控(kong)股的，在中華人(ren)民(min)共和(he)國境內具有獨立的法人(ren)資格；

（二）產(chan)品的核心技術、關鍵部件具有我國自主知識產(chan)權；

（三(san)）產(chan)品研(yan)制(zhi)、生產(chan)單位及其主要業(ye)務、技術人員無犯罪記(ji)錄；

（四）產品研制、生產單位聲明沒有故意留(liu)有或者設置漏洞、后門、木馬(ma)等程序和功能(neng)；

（五）對(dui)國家安全、社會秩序(xu)、公共利(li)益(yi)不構成危害。

第十九條 符合第十八(ba)條(tiao)規定的(de)安全(quan)專用產(chan)品和(he)生產(chan)單位應當到(dao)省公(gong)安廳公(gong)共信息網絡安全(quan)監察部門(men)備案。

第二十條 為加強(qiang)安全(quan)服務(wu)機(ji)構(gou)的(de)指導(dao)，推動安全(quan)服務(wu)質量和技(ji)術水(shui)平(ping)的(de)提高(gao)，廣東省對從事(shi)計算(suan)機(ji)信息系統安全(quan)設計、建設、檢測、評估等安全(quan)服務(wu)的(de)機(ji)構(gou)，根據其注冊資本、服務(wu)業績、技(ji)術力量、組織管理(li)情(qing)況實行(xing)分(fen)級指導(dao)。

第五章 安全等級測評

第二十一條 第二級以上的計算機(ji)信(xin)(xin)息系(xi)統(tong)的安全測(ce)評應當選擇符(fu)合下列條件的計算機(ji)信(xin)(xin)息系(xi)統(tong)安全等級測(ce)評機(ji)構（簡稱測(ce)評機(ji)構）承擔：

（一）在中華人民共(gong)和國境內(nei)注冊成立（港澳臺地(di)區除外），具(ju)有相應經(jing)營(ying)(ying)范圍(wei)的營(ying)(ying)業執照，注冊資本100萬(wan)元(yuan)以上；

（二(er)）由中(zhong)國(guo)公(gong)民投(tou)資、中(zhong)國(guo)法人(ren)投(tou)資或(huo)者(zhe)國(guo)家投(tou)資的企(qi)事業單位（港澳(ao)臺地區除外）；

（三）近(jin)3年完(wan)成的(de)測評項目總值150萬元以上；

（四）具有計算機安全或相關專業資格(ge)證書的專業技術(shu)人員(yuan)不少(shao)于20人，其中大學本科以上(shang)學歷(li)的人員(yuan)不少(shao)于15人；

（五）管理人員應當具有(you)3年以上從事計(ji)算機(ji)信息系統安(an)全技術(shu)領(ling)域企(qi)業管理工作經(jing)歷，技術(shu)負責人已獲得計(ji)算機(ji)信息系統安(an)全技術(shu)相關專業的高級職稱，從事安(an)全測評工作不少于3年，無(wu)犯罪記錄(lu)；

（六）工(gong)作人(ren)(ren)員僅限于中國公民(min)，法人(ren)(ren)及主(zhu)要(yao)業(ye)務、技(ji)術人(ren)(ren)員無犯罪記(ji)錄；

（七(qi)）具有與所(suo)承擔項(xiang)目適應(ying)的技術裝(zhuang)備；

（八）具(ju)有完備的保(bao)密管理、項目管理、質(zhi)量管理、人員管理和(he)培訓教育等安全管理制(zhi)度；

（九）對國家安全(quan)、社會秩序、公共(gong)利益不構成威脅。

第二十二條 廣東省對(dui)測(ce)評機構實施備案制(zhi)度(du)。符合第二十一條規定的(de)條件(jian)，承擔第二級以上(shang)的(de)計算機信息系(xi)統測(ce)評工作的(de)機構應當到(dao)省公安廳公共(gong)信息網絡安全監察部(bu)門(men)備案。

第二十三條 省公(gong)(gong)安廳公(gong)(gong)共(gong)信息網絡安全監察部門對已備案的測評(ping)機構進行公(gong)(gong)布。

第二十四條 測評機(ji)構(gou)應當(dang)履行下列義務：

（一）遵守國家(jia)有關(guan)法律法規和技術(shu)標(biao)準，提供(gong)安全、客觀、公正的檢測評估服務，保證測評的質(zhi)量和效果；

（二）保守在(zai)測(ce)評活(huo)動(dong)中知悉的國家秘密、商(shang)業(ye)秘密和個人(ren)隱私，防范(fan)測(ce)評風險；

（三）對測評(ping)人員進行安(an)(an)(an)全(quan)保密(mi)(mi)教育，與其簽訂安(an)(an)(an)全(quan)保密(mi)(mi)責(ze)任(ren)書(shu)，規定應(ying)當履行的(de)安(an)(an)(an)全(quan)保密(mi)(mi)義(yi)務和承擔的(de)法律責(ze)任(ren)，并負(fu)責(ze)檢查(cha)落實。

第二十五條 第二級以上的(de)計算(suan)機信息系統建設完成后，使用單位應當委托符合(he)規定的(de)測(ce)評機構安全測(ce)評合(he)格方(fang)可投入使用。測(ce)評活動應當接受公安機關(guan)公共信息網絡安全監察部(bu)門的(de)監督(du)。

第二十六條 計算機(ji)信息系統運(yun)營、使(shi)用單位委托安全測(ce)評(ping)機(ji)構測(ce)評(ping)，應當提交(jiao)下(xia)列資料：

（一(yi)）安全測(ce)評(ping)委托(tuo)書；

（二）計算機(ji)信息系統應用需(xu)求(qiu)、系統結構拓撲及(ji)說(shuo)明、系統安全組織結構和(he)管理制度(du)、安全保護(hu)設(she)施(shi)設(she)計實(shi)施(shi)方案(an)或者改(gai)建實(shi)施(shi)方案(an)、系統軟件硬件和(he)信息安全產品清單。

第二十七條 安全(quan)測(ce)(ce)評(ping)機構在收(shou)到委托材(cai)料后，應當與委托方協商制訂安全(quan)測(ce)(ce)評(ping)計劃，開展(zhan)安全(quan)測(ce)(ce)評(ping)工作，并出(chu)具安全(quan)測(ce)(ce)評(ping)報告。

經測評，計(ji)(ji)算(suan)機信(xin)息(xi)系(xi)統安全(quan)狀(zhuang)況未達到國家有關規(gui)定和(he)標(biao)準的要求，委托(tuo)單位應當根據測評報告(gao)的建議，完(wan)善計(ji)(ji)算(suan)機信(xin)息(xi)系(xi)統安全(quan)建設，并重(zhong)新提出安全(quan)測評委托(tuo)。

測(ce)評機(ji)(ji)構對(dui)計(ji)算(suan)機(ji)(ji)信(xin)息系(xi)統(tong)進(jin)行(xing)使用前安(an)(an)全測(ce)評，應當預先報(bao)告地級(ji)以上(shang)(shang)市(shi)公(gong)安(an)(an)機(ji)(ji)關(guan)公(gong)共信(xin)息網(wang)絡安(an)(an)全監(jian)察(cha)部門。安(an)(an)全測(ce)評報(bao)告由計(ji)算(suan)機(ji)(ji)信(xin)息系(xi)統(tong)運營、使用單位報(bao)地級(ji)以上(shang)(shang)市(shi)公(gong)安(an)(an)機(ji)(ji)關(guan)公(gong)共信(xin)息網(wang)絡安(an)(an)全監(jian)察(cha)部門。

第二十八條 第三級計算機信(xin)息(xi)系統(tong)應(ying)當每(mei)年(nian)至少進行(xing)一次(ci)安全(quan)測評，第四級計算機信(xin)息(xi)系統(tong)應(ying)當每(mei)半年(nian)至少進行(xing)一次(ci)安全(quan)測評，第五(wu)級計算機信(xin)息(xi)系統(tong)應(ying)當依(yi)據特殊安全(quan)要求進行(xing)安全(quan)測評。

第六章 應急處置

第二十九條 公(gong)安(an)(an)機(ji)關公(gong)共(gong)信(xin)息(xi)(xi)網(wang)絡(luo)安(an)(an)全監察部(bu)門與所在地安(an)(an)全服務(wu)機(ji)構、互聯網(wang)運營(ying)單位和其他計(ji)算機(ji)信(xin)息(xi)(xi)系(xi)統(tong)運營(ying)、使(shi)用(yong)單位應當建立聯防機(ji)制(zhi)，依法(fa)及時查處(chu)通過計(ji)算機(ji)信(xin)息(xi)(xi)系(xi)統(tong)進行的違(wei)法(fa)犯罪行為，組(zu)織處(chu)置重大突發事件。

第三十條 對計算(suan)機信(xin)息系(xi)統中發生的案件和重大(da)安全事故，計算(suan)機信(xin)息系(xi)統的運營、使用單位(wei)應(ying)當(dang)在二(er)十(shi)四小時內(nei)報(bao)告縣級以上人民政(zheng)府公安機關(guan)公共信(xin)息網絡(luo)安全監(jian)察部門(men)，并保(bao)留有關(guan)原始記(ji)錄。

第三十一條 第二級以上的計算機信(xin)息系統運營、使用單(dan)位(wei)應當制定重(zhong)大突發事件應急(ji)處置預案(an)并定期實施演練。

第三十二條 計算機(ji)信息系統(tong)發(fa)生重大突發(fa)事(shi)件，有關(guan)(guan)單位應(ying)當按照(zhao)應(ying)急處置(zhi)預案的要求采(cai)取相應(ying)的處置(zhi)措施，并服從公安(an)機(ji)關(guan)(guan)和國家指定的專門(men)部門(men)的調度。

第三十三條 地級市以上人民政府公安(an)機關公共信息網絡安(an)全監察部門(men)經本機關主管領導批準，為保護計算機信息系統安(an)全，在發(fa)生(sheng)重大(da)突(tu)發(fa)事件，危及國家(jia)安(an)全、公共安(an)全及社會穩定(ding)的緊(jin)急(ji)情況下，可以采取二十(shi)四(si)小時內暫時停(ting)機、暫停(ting)聯網、備份數據等(deng)措施。

第七章 安全培訓

第三十四條 省(sheng)公(gong)安(an)(an)廳、人(ren)事(shi)廳聯合成立(li)的(de)省(sheng)信息(xi)網(wang)絡(luo)安(an)(an)全專(zhuan)業技術人(ren)員(yuan)繼續(xu)教育工(gong)(gong)作(zuo)領導(dao)小組，負責全省(sheng)信息(xi)網(wang)絡(luo)安(an)(an)全專(zhuan)業技術人(ren)員(yuan)繼續(xu)教育工(gong)(gong)作(zuo)的(de)組織和領導(dao)。下設(she)省(sheng)信息(xi)網(wang)絡(luo)安(an)(an)全專(zhuan)業技術人(ren)員(yuan)繼續(xu)教育工(gong)(gong)作(zuo)辦公(gong)室，具體負責日(ri)常(chang)管理工(gong)(gong)作(zuo)。

第三十五條 下列人員應當參加信息(xi)網絡(luo)安(an)全(quan)專業技術人員繼續(xu)(xu)教育，取得省信息(xi)網絡(luo)安(an)全(quan)專業技術人員繼續(xu)(xu)教育工作辦(ban)公室頒發的信息(xi)網絡(luo)安(an)全(quan)專業技術人員繼續(xu)(xu)教育合格證書，持證上(shang)崗(gang)：

（一(yi)）計算機信息(xi)(xi)系統運營、使用單位信息(xi)(xi)安全(quan)管理責任人(ren)、信息(xi)(xi)審(shen)查員；

（二）互聯(lian)網接(jie)入服務(wu)(wu)、數據中(zhong)心服務(wu)(wu)、信息(xi)服務(wu)(wu)、上網服務(wu)(wu)提供單(dan)位安全管理員、專(zhuan)業(ye)技術人員；

（三）安全(quan)專用產品生(sheng)產單(dan)位專業技術人員；

（四）安全服務機構專業技術人(ren)員、安全服務管理人(ren)員；

（五）其(qi)他從事計算機(ji)信息系統安全保(bao)護工(gong)作的人員(yuan)。

第三十六條 信息網(wang)絡安全(quan)專業技(ji)術人(ren)員繼(ji)續(xu)教(jiao)育由省信息網(wang)絡安全(quan)專業技(ji)術人(ren)員繼(ji)續(xu)教(jiao)育工作辦公室(shi)授權(quan)的施教(jiao)機(ji)構負責實(shi)施。施教(jiao)機(ji)構實(shi)行(xing)統籌(chou)規劃。

第三十七條 信息網絡(luo)安(an)全(quan)專業技術人員(yuan)繼續教育培訓和考(kao)試(shi)按照有(you)關規定進行，實行統(tong)(tong)一(yi)(yi)教學大(da)綱，統(tong)(tong)一(yi)(yi)教材，統(tong)(tong)一(yi)(yi)考(kao)試(shi)，統(tong)(tong)一(yi)(yi)發證。

考試合格的，由省信(xin)息網(wang)絡安全專業技(ji)(ji)術人(ren)員繼(ji)續教育工作辦公(gong)室發給信(xin)息網(wang)絡安全專業技(ji)(ji)術人(ren)員繼(ji)續教育證書。

第八章 法律責任

第三十八條 違(wei)反本辦法(fa)的規(gui)定(ding)，依照有關法(fa)律、法(fa)規(gui)和規(gui)章(zhang)處罰。

第九章 附則

第三十九條 本細則下(xia)列用語的含義：實體(ti)安全，指(zhi)保護計(ji)算機(ji)信息系統的環境，計(ji)算機(ji)設(she)備、設(she)施（含網絡）以及其(qi)它(ta)媒體(ti)免遭(zao)地震、水(shui)災、火災、雷電(dian)(dian)、有(you)害氣體(ti)和其(qi)它(ta)環境事故（如電(dian)(dian)磁污染等）破(po)壞。

運行安全(quan)，指保護計算機信(xin)息(xi)系統的(de)信(xin)息(xi)處理過程順利(li)進行。

信息安全，指保障信息的完整性(xing)、保密性(xing)、可(ke)用性(xing)和可(ke)控性(xing)。

內(nei)容安全，指確保(bao)計(ji)算機信息(xi)系統中傳輸的信息(xi)所承載的內(nei)容的合法性。

安全(quan)（漏洞）檢測，指(zhi)利(li)用計(ji)算機技術手段掃描、探測計(ji)算機信息系統安全(quan)漏洞。

第四十條 本辦法(fa)規(gui)定的“以上”含本數。

第四十一條 本辦法規(gui)定(ding)的有關表格和(he)證書由省公安廳制定(ding)式樣，統一監制。

第四十二條 本辦法(fa)由省(sheng)公安(an)廳負責解釋。

第四十三條 本辦法自2008年(nian)12月(yue)1日(ri)起施行。