廣東省公安廳關于計算機信息系統安全保護的實施辦法

（廣東省公安(an)廳(ting)2008年9月27日以粵公通字〔2008〕228號(hao)發布(bu) 自2008年12月1日起(qi)施行）

第一章 總則

第一條 為保護(hu)(hu)計算機(ji)信息系(xi)統安(an)全(quan)，促進信息化建設的健康發展(zhan)，貫徹(che)落(luo)實(shi)《廣東(dong)省計算機(ji)信息系(xi)統安(an)全(quan)保護(hu)(hu)條例》，根據有關(guan)法(fa)律法(fa)規，制定本辦(ban)法(fa)。

第二條 本辦法(fa)適用于(yu)廣東省行政區域內計算機信息系統的安(an)全保護。

第三條 縣級(ji)以上人民政(zheng)府公安(an)機(ji)關(guan)公共(gong)信(xin)息網絡安(an)全監察部門(men)具(ju)體負(fu)責本(ben)行政(zheng)區域內(nei)計算機(ji)信(xin)息系統的安(an)全保護監管工作。

第二章 安全監督

第四條 公安(an)機(ji)關公共(gong)信息網(wang)絡安(an)全(quan)監察部門對計算機(ji)信息系統安(an)全(quan)保護工作行使下(xia)列職責：

（一）監督、檢查、指導計(ji)算機(ji)信息系統安全保護工作；

（二）組織(zhi)開展計算機信息系(xi)統安全等級保護；

（三(san)）查處計算(suan)機違(wei)法犯(fan)罪案(an)件；

（四）組織處置重大計算機(ji)信息系統安(an)全事故和(he)事件；

（五）負責計算(suan)機病毒和其他有害數據防治管理(li)；

（六）負(fu)責計算(suan)機信息系統安全服(fu)務的(de)監(jian)督指導；

（七）負責計(ji)算機信息系統安全專用產品(pin)的監(jian)督管(guan)理；

（八）負責計算機(ji)信息系統安全培(pei)訓管理；

（九）法律、法規和規章規定的其他職責(ze)。

第五條 公(gong)安(an)機關公(gong)共信息網絡安(an)全監察部門(men)應當對計算機信息系(xi)統落實實體安(an)全、運行安(an)全、信息安(an)全和內容(rong)安(an)全措施的情況進行檢(jian)查(cha)。

對第三級計算(suan)機信(xin)息系(xi)統每年至少(shao)檢(jian)(jian)查(cha)一(yi)次，對第四(si)級計算(suan)機信(xin)息系(xi)統每半年至少(shao)檢(jian)(jian)查(cha)一(yi)次。對第五級計算(suan)機信(xin)息系(xi)統，應當會同國(guo)家指定的專門部門進行檢(jian)(jian)查(cha)。

對(dui)其他計算機信息系統應(ying)當不定期開展檢查。

第六條 公安(an)(an)(an)機(ji)關公共(gong)信息(xi)網絡安(an)(an)(an)全監察部(bu)門發現計算機(ji)信息(xi)系統(tong)的(de)安(an)(an)(an)全保護等級(ji)和(he)安(an)(an)(an)全措(cuo)施不符合(he)有關規定和(he)技術標準，或者存在安(an)(an)(an)全隱患(huan)的(de)，應當通知運營、使用單(dan)位進行整改。

第七條 公(gong)(gong)安(an)機關(guan)公(gong)(gong)共信(xin)(xin)息(xi)網絡(luo)安(an)全監察部門應當向公(gong)(gong)眾提供報警(jing)求助(zhu)渠道，提供計(ji)算機信(xin)(xin)息(xi)系統安(an)全指(zhi)導，發布安(an)全動態，開展安(an)全宣傳。

第三章 安全保護責任

第八條 單(dan)位和(he)個人(ren)應當依照有(you)關法規(gui)、規(gui)章(zhang)和(he)標準，對(dui)其所有(you)、使用和(he)管理的(de)計(ji)算機信息系統承擔相應的(de)安全保護責任。

第九條 第二級以(yi)上計算機信息(xi)系(xi)統的運營、使用單(dan)位(wei)應當建立(li)安全保護(hu)組(zu)織，并報所在(zai)地地級以(yi)上市(shi)人民政府公(gong)安機關公(gong)共信息(xi)網絡安全監察部(bu)門備案。

第十條 安全保(bao)護組(zu)織保(bao)障本(ben)單(dan)位(wei)(wei)計(ji)算機(ji)(ji)信(xin)息系(xi)統的安全運行，組(zu)織本(ben)單(dan)位(wei)(wei)計(ji)算機(ji)(ji)信(xin)息系(xi)統的有害信(xin)息防治(zhi)工作，組(zu)織開(kai)展本(ben)單(dan)位(wei)(wei)計(ji)算機(ji)(ji)信(xin)息系(xi)統安全教(jiao)育和培訓，向公(gong)安機(ji)(ji)關公(gong)共信(xin)息網絡安全監(jian)察部(bu)門報告本(ben)單(dan)位(wei)(wei)計(ji)算機(ji)(ji)信(xin)息系(xi)統運行、服務和安全等情況，及時協助(zhu)公(gong)安機(ji)(ji)關公(gong)共信(xin)息網絡安全監(jian)察部(bu)門查處違法犯罪(zui)和處置突(tu)發事件(jian)。

第十一條 互聯單(dan)位、互聯網接(jie)入服務單(dan)位、互聯網數(shu)據中心應當對接(jie)入本網絡的用(yong)戶進行資格審查，確認符合(he)國家(jia)和省有關規定后(hou)方(fang)可為其提(ti)供(gong)服務。

互聯(lian)網接(jie)入服務、信息服務單位以及互聯(lian)網數據中心(xin)應(ying)當向用戶宣傳(chuan)相(xiang)關法律法規，提(ti)供(gong)必(bi)要的安(an)全保(bao)護措施(shi)。

第十二條 個人主頁、博客、聊(liao)天室(shi)、點對點服務等互聯網信息服務的提供單(dan)位和使(shi)用(yong)者(zhe)應當依(yi)照(zhao)國家和省有關規定，落(luo)實相應的安全措(cuo)施。

第十三條 網吧、圖書館、學(xue)校、賓(bin)館等提(ti)供互聯網上網服務(wu)的(de)(de)場所應當(dang)安裝符(fu)合(he)國家(jia)規定的(de)(de)安全(quan)管理系統。

第十四條 互聯單(dan)位、互聯網(wang)(wang)(wang)接入(ru)服(fu)務單(dan)位以及互聯網(wang)(wang)(wang)數據(ju)中心(xin)應當每月(yue)將接入(ru)本網(wang)(wang)(wang)絡(luo)(luo)的用戶情況(kuang)報地級以上(shang)市公安機關公共(gong)信息(xi)網(wang)(wang)(wang)絡(luo)(luo)安全(quan)監察部門備案。

第十五條 計(ji)算機信息系統運營、使用單位應當接受公安(an)機關(guan)公共(gong)(gong)信息網(wang)絡安(an)全監察部門的(de)監督、檢查、指導(dao)，如實提供(gong)安(an)全保護(hu)有關(guan)信息、資料及數據文件，不得(de)變相(xiang)拒絕(jue)、拖延(yan)、阻礙公安(an)機關(guan)公共(gong)(gong)信息網(wang)絡安(an)全監察部門依(yi)法執行公務。

第四章 安全專用產品和安全服務

第十六條 安全專用(yong)產品必須(xu)取(qu)得公(gong)安部(bu)頒(ban)發的銷(xiao)售許可證方(fang)可銷(xiao)售。

第十七條 生(sheng)產、銷售或者提供含有計算機信息網絡(luo)遠程控制、密碼猜(cai)解、安全(quan)（漏洞）檢(jian)測、信息群發(fa)技術的(de)(de)產品(pin)和(he)工具的(de)(de)，應當(dang)在領取營(ying)業執(zhi)照后30日內（沒有營(ying)業執(zhi)照的(de)(de)，自開辦之(zhi)日起30日內）向單位所在地地級以上市(shi)人民政府公安機關(guan)公共(gong)信息網絡(luo)安全(quan)監察部(bu)門備案(an)，填寫《廣東省計算機信息網絡(luo)安全(quan)特種技術備案(an)表》，并提交如下資(zi)料(liao)：

（一）單位簡況；

（二）營業執照（或其他有效證明）復印件；

（三）研發和服務(wu)管理制度；

（四）主要(yao)經營管理人(ren)(ren)員(yuan)、技術人(ren)(ren)員(yuan)和(he)服務人(ren)(ren)員(yuan)有(you)效(xiao)證件復印(yin)件；

（五(wu)）主要(yao)產品(pin)情況。

第十八條 安(an)全(quan)保護(hu)等級為(wei)第三級以上的計算機信息(xi)系統應當選用符合下列條件的安(an)全(quan)專用產品：

（一）產(chan)品研(yan)制(zhi)、生產(chan)單位是由中國(guo)公(gong)民、法(fa)人(ren)投(tou)資(zi)或者國(guo)家投(tou)資(zi)或者控股的(de)，在(zai)中華(hua)人(ren)民共(gong)和國(guo)境內具有獨(du)立的(de)法(fa)人(ren)資(zi)格；

（二）產(chan)品的核心技術(shu)、關鍵部件具有我國自主知識產(chan)權；

（三）產品研制、生(sheng)產單(dan)位及其主要業(ye)務、技(ji)術人員無(wu)犯(fan)罪(zui)記錄；

（四(si)）產品研制、生產單(dan)位聲明沒有故意留(liu)有或者設置漏洞、后門(men)、木馬等程序(xu)和功能；

（五）對國家安(an)全、社會秩序、公(gong)共利益不構成(cheng)危害。

第十九條 符合第十八條規定的(de)安全(quan)專用產品(pin)和生產單位應當到省(sheng)公安廳公共(gong)信息(xi)網絡安全(quan)監察(cha)部(bu)門備案。

第二十條 為加強安(an)(an)全服務(wu)機(ji)構(gou)的指(zhi)導，推動安(an)(an)全服務(wu)質量和(he)技術水平的提(ti)高，廣東省對從事計算(suan)機(ji)信(xin)息系統安(an)(an)全設(she)計、建設(she)、檢測、評估等(deng)安(an)(an)全服務(wu)的機(ji)構(gou)，根(gen)據(ju)其注冊資(zi)本(ben)、服務(wu)業(ye)績、技術力量、組(zu)織(zhi)管理情況實行分級指(zhi)導。

第五章 安全等級測評

第二十一條 第二級(ji)以上的(de)計算機(ji)(ji)信息系統的(de)安(an)(an)全測(ce)評(ping)應當選擇(ze)符合下列條件的(de)計算機(ji)(ji)信息系統安(an)(an)全等(deng)級(ji)測(ce)評(ping)機(ji)(ji)構（簡稱測(ce)評(ping)機(ji)(ji)構）承擔：

（一）在(zai)中華人民共和國(guo)境內注冊成(cheng)立(li)（港澳臺地區除(chu)外），具有(you)相應(ying)經營范(fan)圍的營業(ye)執照，注冊資本100萬元(yuan)以上(shang)；

（二(er)）由中(zhong)國(guo)公民投(tou)資(zi)、中(zhong)國(guo)法人投(tou)資(zi)或者國(guo)家投(tou)資(zi)的企事業單位(wei)（港澳臺地區除外）；

（三）近3年完成(cheng)的(de)測評項目總值150萬元以(yi)上；

（四）具有計算機安全或相(xiang)關專(zhuan)業資格證書的專(zhuan)業技術人(ren)(ren)(ren)員不少于20人(ren)(ren)(ren)，其中大學本科(ke)以上學歷的人(ren)(ren)(ren)員不少于15人(ren)(ren)(ren)；

（五）管理人員(yuan)應當具有3年以(yi)上(shang)從事計(ji)算(suan)機信息(xi)系統安(an)全技(ji)術(shu)領(ling)域企業管理工作經歷，技(ji)術(shu)負責人已獲得(de)計(ji)算(suan)機信息(xi)系統安(an)全技(ji)術(shu)相關專業的(de)高級(ji)職(zhi)稱，從事安(an)全測評工作不少于3年，無犯(fan)罪記錄(lu)；

（六）工作人(ren)員僅限于中國(guo)公民，法人(ren)及主要(yao)業(ye)務、技術人(ren)員無犯罪記錄；

（七(qi)）具有與所承擔項目適應的技術裝備；

（八）具有(you)完備的保密管(guan)(guan)理、項目管(guan)(guan)理、質量管(guan)(guan)理、人(ren)員(yuan)管(guan)(guan)理和(he)培訓教育(yu)等安全管(guan)(guan)理制度；

（九）對國家安全、社會秩序(xu)、公共利益不構成威脅。

第二十二條 廣東省對測評機構實施備案制度。符合第(di)二十一條規定的(de)條件，承擔第(di)二級(ji)以上的(de)計算機信息(xi)系統測評工作的(de)機構應當到省公安(an)廳(ting)公共信息(xi)網(wang)絡安(an)全(quan)監察部門備案。

第二十三條 省公安(an)廳公共信息網絡安(an)全監察部門(men)對已備案(an)的測評機構(gou)進行(xing)公布(bu)。

第二十四條 測(ce)評機(ji)構應當履行(xing)下列義務：

（一）遵(zun)守國家(jia)有關法律法規和技術標(biao)準，提供安全、客觀、公正的(de)檢(jian)測評(ping)估服務，保證(zheng)測評(ping)的(de)質量(liang)和效果；

（二）保守在(zai)測評活動中知悉的國家(jia)秘(mi)密、商業秘(mi)密和個人隱私，防范測評風險；

（三）對測(ce)評人員進行安全(quan)保(bao)密(mi)教育(yu)，與其簽訂安全(quan)保(bao)密(mi)責任(ren)書，規定應當(dang)履行的安全(quan)保(bao)密(mi)義務和承(cheng)擔的法(fa)律責任(ren)，并負責檢查落(luo)實。

第二十五條 第(di)二(er)級以上的(de)計算機信(xin)息系統建設(she)完成后，使(shi)(shi)用單位應當委(wei)托符合規定的(de)測評機構(gou)安全(quan)測評合格方可(ke)投入使(shi)(shi)用。測評活動應當接受公安機關公共(gong)信(xin)息網絡(luo)安全(quan)監察部門的(de)監督。

第二十六條 計算機(ji)信息(xi)系統運營、使用單位委托安全測(ce)評機(ji)構測(ce)評，應當提交(jiao)下列資料：

（一）安全測評(ping)委托書；

（二）計算機信(xin)息系(xi)(xi)統(tong)(tong)應(ying)用需求、系(xi)(xi)統(tong)(tong)結(jie)構拓撲及說(shuo)明、系(xi)(xi)統(tong)(tong)安全(quan)組織結(jie)構和管理制度、安全(quan)保護設(she)施(shi)(shi)設(she)計實(shi)施(shi)(shi)方案(an)或者改(gai)建實(shi)施(shi)(shi)方案(an)、系(xi)(xi)統(tong)(tong)軟件(jian)(jian)硬件(jian)(jian)和信(xin)息安全(quan)產品清(qing)單。

第二十七條 安(an)(an)全測(ce)評機構在收到(dao)委(wei)托(tuo)材料后，應當與委(wei)托(tuo)方協商制訂安(an)(an)全測(ce)評計劃，開(kai)展安(an)(an)全測(ce)評工(gong)作，并出具安(an)(an)全測(ce)評報告。

經(jing)測評(ping)，計算(suan)(suan)機信息系(xi)統安(an)(an)全狀況未(wei)達到國家有(you)關規定(ding)和標準的(de)(de)要求(qiu)，委(wei)托(tuo)單位應當(dang)根據測評(ping)報告的(de)(de)建議，完善計算(suan)(suan)機信息系(xi)統安(an)(an)全建設(she)，并(bing)重新提出安(an)(an)全測評(ping)委(wei)托(tuo)。

測評(ping)機(ji)構對計算(suan)機(ji)信息(xi)系統進行使(shi)用前安(an)全(quan)測評(ping)，應當預先報告(gao)地級以(yi)上市(shi)公(gong)(gong)(gong)安(an)機(ji)關(guan)公(gong)(gong)(gong)共信息(xi)網絡安(an)全(quan)監察(cha)部(bu)門。安(an)全(quan)測評(ping)報告(gao)由計算(suan)機(ji)信息(xi)系統運營(ying)、使(shi)用單位報地級以(yi)上市(shi)公(gong)(gong)(gong)安(an)機(ji)關(guan)公(gong)(gong)(gong)共信息(xi)網絡安(an)全(quan)監察(cha)部(bu)門。

第二十八條 第三(san)級(ji)(ji)計(ji)(ji)算機(ji)信息系(xi)(xi)統(tong)應(ying)當每年至(zhi)少進行(xing)一(yi)(yi)次安(an)全(quan)(quan)測評(ping)(ping)(ping)，第四級(ji)(ji)計(ji)(ji)算機(ji)信息系(xi)(xi)統(tong)應(ying)當每半年至(zhi)少進行(xing)一(yi)(yi)次安(an)全(quan)(quan)測評(ping)(ping)(ping)，第五(wu)級(ji)(ji)計(ji)(ji)算機(ji)信息系(xi)(xi)統(tong)應(ying)當依據特(te)殊(shu)安(an)全(quan)(quan)要求進行(xing)安(an)全(quan)(quan)測評(ping)(ping)(ping)。

第六章 應急處置

第二十九條 公(gong)安機(ji)關(guan)公(gong)共信(xin)息網(wang)絡(luo)安全(quan)監察部門(men)與所在地安全(quan)服務機(ji)構、互(hu)聯(lian)網(wang)運(yun)營單位(wei)和其他計算(suan)機(ji)信(xin)息系(xi)統(tong)運(yun)營、使用(yong)單位(wei)應當建(jian)立聯(lian)防機(ji)制(zhi)，依法及時查(cha)處通過計算(suan)機(ji)信(xin)息系(xi)統(tong)進(jin)行(xing)的違法犯罪行(xing)為，組織(zhi)處置(zhi)重大突發事件。

第三十條 對(dui)計算機信息(xi)系統中發生的(de)案(an)件和重(zhong)大安全(quan)事故，計算機信息(xi)系統的(de)運營、使用單位應當在二十四小時內報告縣級以上人民政府公安機關公共(gong)信息(xi)網絡安全(quan)監(jian)察部(bu)門，并保留有(you)關原始記錄。

第三十一條 第二(er)級以上的計算機信息系統運營、使(shi)用(yong)單位應當制定(ding)重大突發(fa)事件(jian)應急處置預案并(bing)定(ding)期實施(shi)演練。

第三十二條 計算機信息系統發生重大突發事(shi)件(jian)，有關單位應當(dang)按照(zhao)應急處置(zhi)預(yu)案的(de)要求采取相(xiang)應的(de)處置(zhi)措施，并服從公安機關和國家指定的(de)專門(men)(men)部門(men)(men)的(de)調度。

第三十三條 地(di)級(ji)市(shi)以上人民政(zheng)府公安(an)機(ji)(ji)關公共信息(xi)網絡安(an)全監察(cha)部門經本機(ji)(ji)關主管領(ling)導批準，為(wei)保護計算機(ji)(ji)信息(xi)系(xi)統安(an)全，在(zai)發生重(zhong)大突(tu)發事件，危(wei)及國家安(an)全、公共安(an)全及社會(hui)穩定的緊急(ji)情況下，可以采取二十四小(xiao)時內暫時停(ting)機(ji)(ji)、暫停(ting)聯網、備份數(shu)據等(deng)措施(shi)。

第七章 安全培訓

第三十四條 省(sheng)公安廳、人事(shi)廳聯(lian)合(he)成(cheng)立(li)的省(sheng)信息網絡安全專業技術(shu)(shu)人員繼續教育工作(zuo)領(ling)導小組，負(fu)責全省(sheng)信息網絡安全專業技術(shu)(shu)人員繼續教育工作(zuo)的組織(zhi)和領(ling)導。下設(she)省(sheng)信息網絡安全專業技術(shu)(shu)人員繼續教育工作(zuo)辦公室，具體(ti)負(fu)責日常管理(li)工作(zuo)。

第三十五條 下列人員(yuan)應(ying)當參加信(xin)(xin)息網絡(luo)安(an)全專(zhuan)業技(ji)術(shu)人員(yuan)繼(ji)續教育，取得省信(xin)(xin)息網絡(luo)安(an)全專(zhuan)業技(ji)術(shu)人員(yuan)繼(ji)續教育工作(zuo)辦公室頒發的信(xin)(xin)息網絡(luo)安(an)全專(zhuan)業技(ji)術(shu)人員(yuan)繼(ji)續教育合(he)格證書，持證上崗：

（一）計算機信(xin)(xin)息(xi)系統運營(ying)、使用(yong)單位信(xin)(xin)息(xi)安全管理責任人、信(xin)(xin)息(xi)審查員(yuan)；

（二）互聯網接(jie)入服務、數據中心服務、信息(xi)服務、上(shang)網服務提(ti)供(gong)單位安全管理員、專(zhuan)業技術(shu)人員；

（三）安(an)全專用產品生產單(dan)位專業技術人員；

（四）安全服(fu)務(wu)機構專業技術人員、安全服(fu)務(wu)管理人員；

（五(wu)）其(qi)他從事計算機信息系(xi)統安全保(bao)護工作的人員(yuan)。

第三十六條 信息網絡(luo)安(an)(an)全專(zhuan)業技術人員繼續教(jiao)(jiao)育由省信息網絡(luo)安(an)(an)全專(zhuan)業技術人員繼續教(jiao)(jiao)育工(gong)作辦公室授權的施(shi)(shi)教(jiao)(jiao)機構負責實施(shi)(shi)。施(shi)(shi)教(jiao)(jiao)機構實行統籌(chou)規劃。

第三十七條 信息網絡安全專(zhuan)業技術人員繼續教(jiao)育培訓(xun)和考試按照(zhao)有關規(gui)定進行，實行統一教(jiao)學大綱，統一教(jiao)材，統一考試，統一發(fa)證。

考試合格的，由省信息(xi)網絡(luo)安(an)全(quan)專業技(ji)(ji)術(shu)人(ren)員繼(ji)續(xu)教育工作辦公室發給(gei)信息(xi)網絡(luo)安(an)全(quan)專業技(ji)(ji)術(shu)人(ren)員繼(ji)續(xu)教育證(zheng)書。

第八章 法律責任

第三十八條 違(wei)反本(ben)辦(ban)法的規(gui)定，依(yi)照有關(guan)法律(lv)、法規(gui)和規(gui)章(zhang)處罰。

第九章 附則

第三十九條 本細則下(xia)列用語的(de)含(han)(han)義：實體安(an)全，指保護計(ji)算機信息(xi)系統的(de)環境(jing)，計(ji)算機設(she)備、設(she)施（含(han)(han)網絡）以及其(qi)(qi)它(ta)媒(mei)體免遭地震、水災、火災、雷電、有害氣體和其(qi)(qi)它(ta)環境(jing)事故（如電磁(ci)污染(ran)等）破壞(huai)。

運行安全，指(zhi)保護計算機信息系統的信息處理過程順利進行。

信息(xi)安全，指保障(zhang)信息(xi)的完整(zheng)性(xing)(xing)、保密性(xing)(xing)、可用性(xing)(xing)和可控性(xing)(xing)。

內容安(an)全，指(zhi)確(que)保計算機信息(xi)系統中傳輸的(de)信息(xi)所承載(zai)的(de)內容的(de)合法性。

安(an)全（漏洞）檢測，指利用計算機(ji)技術手段掃描、探測計算機(ji)信息系(xi)統安(an)全漏洞。

第四十條 本辦法規定的“以(yi)上”含本數。

第四十一條 本(ben)辦(ban)法規(gui)定的有關表格和證書由省公安廳制(zhi)定式樣，統一(yi)監制(zhi)。

第四十二條 本辦法(fa)由省(sheng)公安廳負(fu)責(ze)解釋(shi)。

第四十三條 本辦法(fa)自2008年12月1日起施行。