廣東省公安廳關于計算機信息系統安全保護的實施辦法

（廣(guang)東省公安廳2008年(nian)9月(yue)27日(ri)以粵(yue)公通(tong)字〔2008〕228號發(fa)布 自2008年(nian)12月(yue)1日(ri)起施行(xing)）

第一章 總則

第一條 為保護計(ji)算機信息系統(tong)安(an)全(quan)，促進信息化建設的健(jian)康發展，貫徹落(luo)實《廣東省(sheng)計(ji)算機信息系統(tong)安(an)全(quan)保護條例(li)》，根據有關(guan)法(fa)律(lv)法(fa)規，制(zhi)定本辦法(fa)。

第二條 本辦法適用于廣東省行政區域(yu)內計算機信息系統的安(an)全保(bao)護。

第三條 縣級以上人民政府公安機關公共(gong)信息網絡安全(quan)監察部(bu)門具體負(fu)責本行政區域內計算機信息系統的安全(quan)保護(hu)監管工作(zuo)。

第二章 安全監督

第四條 公安(an)機關公共信息(xi)網絡(luo)安(an)全監(jian)察(cha)部門對計算機信息(xi)系統安(an)全保護(hu)工作行(xing)使下列職責(ze)：

（一）監督、檢查(cha)、指導計算機信(xin)息系統(tong)安全保護(hu)工(gong)作；

（二）組織(zhi)開展計算(suan)機信息(xi)系(xi)統安全等級(ji)保(bao)護；

（三）查處計算機違法犯罪案件；

（四(si)）組織處置(zhi)重大計算機信息(xi)系統安(an)全事(shi)故和事(shi)件；

（五）負責計算(suan)機(ji)病(bing)毒和其他有害數(shu)據防(fang)治管理；

（六）負責計算機信息系統(tong)安全服務的監督指導；

（七）負責計算機信(xin)息系統安全專用產品的監(jian)督(du)管理；

（八）負(fu)責計算(suan)機信息系統安全培訓管理；

（九）法律、法規(gui)和規(gui)章規(gui)定(ding)的其他職(zhi)責。

第五條 公安(an)機關公共(gong)信(xin)息(xi)網絡安(an)全(quan)(quan)監(jian)察部門應(ying)當對計算機信(xin)息(xi)系統落實(shi)(shi)實(shi)(shi)體安(an)全(quan)(quan)、運行安(an)全(quan)(quan)、信(xin)息(xi)安(an)全(quan)(quan)和內容安(an)全(quan)(quan)措施(shi)的(de)情況進行檢查。

對第三級(ji)(ji)計算機(ji)(ji)信息系統每年至少檢查一次，對第四(si)級(ji)(ji)計算機(ji)(ji)信息系統每半(ban)年至少檢查一次。對第五級(ji)(ji)計算機(ji)(ji)信息系統，應當會同國家指定的專門部門進行檢查。

對其他計算機信息系統(tong)應當不定期開展檢查。

第六條 公(gong)安機關(guan)公(gong)共(gong)信息網絡安全(quan)監察部門發現計算機信息系統的(de)(de)安全(quan)保護等(deng)級(ji)和安全(quan)措施(shi)不(bu)符合有關(guan)規(gui)定和技術(shu)標準，或(huo)者存在(zai)安全(quan)隱患的(de)(de)，應當通(tong)知運營、使用(yong)單位進行整改。

第七條 公(gong)安(an)(an)機關公(gong)共(gong)信息網絡(luo)安(an)(an)全監(jian)察部(bu)門應當向公(gong)眾提供(gong)報警(jing)求助渠道，提供(gong)計算機信息系統安(an)(an)全指導，發(fa)布(bu)安(an)(an)全動(dong)態(tai)，開(kai)展(zhan)安(an)(an)全宣傳。

第三章 安全保護責任

第八條 單位和(he)個人應(ying)當依照有關法規(gui)、規(gui)章和(he)標準，對其所有、使用(yong)和(he)管理的計算機信(xin)息系統承擔(dan)相應(ying)的安全保護責任。

第九條 第(di)二級以(yi)上計(ji)算機信(xin)息系統的(de)運(yun)營、使用單位應當建立安全保(bao)護組(zu)織，并報(bao)所在地地級以(yi)上市人民政府(fu)公(gong)(gong)安機關公(gong)(gong)共信(xin)息網絡安全監察(cha)部(bu)門(men)備(bei)案。

第十條 安(an)全保護組織(zhi)保障本單(dan)位(wei)計(ji)(ji)算機(ji)(ji)信息(xi)系(xi)統(tong)的(de)安(an)全運行，組織(zhi)本單(dan)位(wei)計(ji)(ji)算機(ji)(ji)信息(xi)系(xi)統(tong)的(de)有害信息(xi)防治工作(zuo)，組織(zhi)開展(zhan)本單(dan)位(wei)計(ji)(ji)算機(ji)(ji)信息(xi)系(xi)統(tong)安(an)全教育和培訓，向公(gong)安(an)機(ji)(ji)關公(gong)共信息(xi)網絡(luo)安(an)全監(jian)察部門報告本單(dan)位(wei)計(ji)(ji)算機(ji)(ji)信息(xi)系(xi)統(tong)運行、服(fu)務和安(an)全等情況(kuang)，及時協助公(gong)安(an)機(ji)(ji)關公(gong)共信息(xi)網絡(luo)安(an)全監(jian)察部門查處違法(fa)犯罪(zui)和處置突發事件。

第十一條 互聯單位、互聯網(wang)接(jie)入服務(wu)單位、互聯網(wang)數據(ju)中(zhong)心應當對接(jie)入本(ben)網(wang)絡的用(yong)戶進行資格(ge)審(shen)查(cha)，確認符合國家和省有(you)關(guan)規定后(hou)方可(ke)為其提供服務(wu)。

互(hu)聯網接入服務、信息服務單位(wei)以及互(hu)聯網數據(ju)中心應(ying)當向(xiang)用戶宣傳相關法律法規，提供必要(yao)的(de)安全保護措施(shi)。

第十二條 個人主頁、博客、聊天室、點(dian)對點(dian)服(fu)務等(deng)互聯網信息(xi)服(fu)務的(de)提供單位和使用者應(ying)當依(yi)照國家和省(sheng)有關(guan)規(gui)定，落(luo)實(shi)相應(ying)的(de)安(an)全措施(shi)。

第十三條 網(wang)吧(ba)、圖書館、學校(xiao)、賓(bin)館等提供互聯(lian)網(wang)上(shang)網(wang)服務(wu)的場所應(ying)當安裝(zhuang)符合(he)國家規定(ding)的安全(quan)管(guan)理系(xi)統。

第十四條 互(hu)聯(lian)(lian)單(dan)位、互(hu)聯(lian)(lian)網(wang)(wang)接入(ru)服務(wu)單(dan)位以及(ji)互(hu)聯(lian)(lian)網(wang)(wang)數據中心應當每月將接入(ru)本網(wang)(wang)絡(luo)的(de)用(yong)戶情況報地級以上市公安機(ji)關公共信息(xi)網(wang)(wang)絡(luo)安全監(jian)察部門備案。

第十五條 計算機(ji)(ji)信息(xi)系統運營、使用單位應(ying)當接受公(gong)安機(ji)(ji)關(guan)(guan)公(gong)共信息(xi)網(wang)絡安全監(jian)察部門的監(jian)督、檢(jian)查、指導，如實提供安全保護有關(guan)(guan)信息(xi)、資料及數據文(wen)件(jian)，不得變(bian)相拒絕、拖(tuo)延(yan)、阻礙公(gong)安機(ji)(ji)關(guan)(guan)公(gong)共信息(xi)網(wang)絡安全監(jian)察部門依法執行(xing)公(gong)務。

第四章 安全專用產品和安全服務

第十六條 安(an)全專(zhuan)用(yong)產(chan)品必(bi)須取得公安(an)部頒發的銷售(shou)許可(ke)證方可(ke)銷售(shou)。

第十七條 生產(chan)、銷售或者提(ti)(ti)供(gong)含有計算機(ji)信息(xi)(xi)網絡遠(yuan)程控制、密(mi)碼猜(cai)解、安(an)全（漏洞）檢(jian)測、信息(xi)(xi)群發技(ji)術(shu)的產(chan)品(pin)和工(gong)具(ju)的，應(ying)當在領取(qu)營(ying)業執照后30日內（沒有營(ying)業執照的，自開辦之(zhi)日起30日內）向單(dan)位所(suo)在地(di)地(di)級以上市人民政(zheng)府公安(an)機(ji)關公共信息(xi)(xi)網絡安(an)全監(jian)察部門備(bei)案，填(tian)寫(xie)《廣東省計算機(ji)信息(xi)(xi)網絡安(an)全特(te)種(zhong)技(ji)術(shu)備(bei)案表》，并提(ti)(ti)交(jiao)如下(xia)資料：

（一）單位簡況；

（二）營業執照（或其他(ta)有效證明(ming)）復(fu)印件；

（三）研發和服務管理制(zhi)度；

（四(si)）主(zhu)要經營管(guan)理人員、技術人員和服務(wu)人員有效證(zheng)件復印件；

（五）主要產品情況。

第十八條 安(an)全(quan)保護等(deng)級為第三(san)級以上的計算機信(xin)息系統應(ying)當選用符合(he)下列條件的安(an)全(quan)專用產品(pin)：

（一）產(chan)品研制、生產(chan)單位(wei)是由(you)中(zhong)國公民、法(fa)人投資(zi)或(huo)者(zhe)國家投資(zi)或(huo)者(zhe)控股(gu)的，在(zai)中(zhong)華人民共和(he)國境(jing)內(nei)具有獨立的法(fa)人資(zi)格；

（二）產品的(de)核心(xin)技術、關鍵部件具(ju)有我國(guo)自主(zhu)知識產權；

（三(san)）產(chan)品研制、生產(chan)單位及其主要業務、技(ji)術(shu)人員無(wu)犯(fan)罪(zui)記錄；

（四）產品研制、生(sheng)產單位(wei)聲明沒有故意留有或者設置漏(lou)洞、后(hou)門、木馬(ma)等程序和功(gong)能；

（五）對國家安全、社會秩序、公共利益不構(gou)成危害。

第十九條 符合(he)第(di)十八條規定(ding)的(de)安全專用產品和(he)生產單位(wei)應當(dang)到省公安廳公共信息(xi)網(wang)絡安全監察部門備案。

第二十條 為加強安全(quan)(quan)服務(wu)(wu)機(ji)構的(de)指(zhi)導，推動安全(quan)(quan)服務(wu)(wu)質(zhi)量和(he)技(ji)術水平的(de)提高，廣東省對從事計算(suan)機(ji)信息系統安全(quan)(quan)設(she)計、建設(she)、檢(jian)測、評估等安全(quan)(quan)服務(wu)(wu)的(de)機(ji)構，根(gen)據其注冊資本(ben)、服務(wu)(wu)業績(ji)、技(ji)術力量、組織管(guan)理(li)情(qing)況實行分級(ji)指(zhi)導。

第五章 安全等級測評

第二十一條 第二級(ji)以上(shang)的(de)計算(suan)機(ji)信息(xi)系統的(de)安全測(ce)評應當選擇符合(he)下列條件的(de)計算(suan)機(ji)信息(xi)系統安全等級(ji)測(ce)評機(ji)構(gou)（簡稱測(ce)評機(ji)構(gou)）承擔：

（一）在(zai)中(zhong)華人民(min)共和(he)國境內(nei)注冊(ce)成立（港澳臺(tai)地(di)區除外(wai)），具有相應經營(ying)范圍的營(ying)業執照，注冊(ce)資(zi)本(ben)100萬元(yuan)以上；

（二）由中國公民投資(zi)、中國法人投資(zi)或(huo)者(zhe)國家投資(zi)的企事業單位（港澳臺地(di)區除外）；

（三）近3年完(wan)成的測評項目(mu)總值150萬元以上；

（四(si)）具有計算機(ji)安全或相關專業資格證書的專業技術(shu)人員不少于(yu)20人，其中大學本科以上(shang)學歷(li)的人員不少于(yu)15人；

（五）管(guan)理(li)人員應(ying)當具有3年(nian)以(yi)上從(cong)事(shi)計算機(ji)信息系統安全(quan)(quan)技術(shu)領(ling)域企業管(guan)理(li)工作(zuo)經歷，技術(shu)負(fu)責(ze)人已獲(huo)得計算機(ji)信息系統安全(quan)(quan)技術(shu)相(xiang)關(guan)專業的(de)高級職稱，從(cong)事(shi)安全(quan)(quan)測評(ping)工作(zuo)不(bu)少于3年(nian)，無(wu)犯(fan)罪記(ji)錄；

（六）工作人(ren)員(yuan)僅限于中國公(gong)民，法人(ren)及主要業(ye)務、技(ji)術人(ren)員(yuan)無犯(fan)罪記錄；

（七(qi)）具有(you)與所承擔(dan)項目適應的技術裝備；

（八）具有(you)完備的(de)保密管理(li)(li)、項(xiang)目管理(li)(li)、質量管理(li)(li)、人員管理(li)(li)和培訓(xun)教育等(deng)安全管理(li)(li)制度；

（九(jiu)）對國家安全、社會(hui)秩序、公共利益不(bu)構成威脅。

第二十二條 廣東省(sheng)對測評機(ji)構實施(shi)備(bei)案制度(du)。符合第二(er)十(shi)一條規定的條件，承擔第二(er)級以上的計算(suan)機(ji)信(xin)息系統測評工作的機(ji)構應當到省(sheng)公(gong)安(an)廳(ting)公(gong)共信(xin)息網絡安(an)全監(jian)察部門備(bei)案。

第二十三條 省公安(an)(an)廳(ting)公共信息網絡安(an)(an)全監察(cha)部門對已備案的測評機構進行公布(bu)。

第二十四條 測評機(ji)構(gou)應(ying)當履行下列義務：

（一）遵守國家有關法律法規和技(ji)術(shu)標準(zhun)，提供安全、客觀、公正的(de)檢測評估服務(wu)，保證(zheng)測評的(de)質量(liang)和效果；

（二）保(bao)守在(zai)測(ce)評活(huo)動中(zhong)知悉的國家(jia)秘密(mi)、商(shang)業秘密(mi)和個人隱私，防范測(ce)評風險；

（三）對測(ce)評人員進行安全保密教育，與其(qi)簽訂安全保密責任書，規定應(ying)當履行的安全保密義務和承擔的法律責任，并(bing)負責檢查落實(shi)。

第二十五條 第二級以上的計算機(ji)信(xin)息系統建設完(wan)成后，使用單位(wei)應當委托符(fu)合規定的測(ce)(ce)評機(ji)構(gou)安(an)全(quan)(quan)測(ce)(ce)評合格方可投(tou)入(ru)使用。測(ce)(ce)評活動應當接受公(gong)(gong)安(an)機(ji)關公(gong)(gong)共信(xin)息網絡安(an)全(quan)(quan)監(jian)(jian)察部門(men)的監(jian)(jian)督。

第二十六條 計(ji)算機(ji)信息系統運營(ying)、使用單(dan)位委托安全測評機(ji)構測評，應當(dang)提交下列資料：

（一(yi)）安全(quan)測評委托(tuo)書；

（二）計算機信(xin)(xin)息系(xi)(xi)統(tong)應用需求、系(xi)(xi)統(tong)結構(gou)拓撲及說明、系(xi)(xi)統(tong)安全組(zu)織結構(gou)和管理制度、安全保護設施(shi)(shi)設計實(shi)施(shi)(shi)方案或者改建實(shi)施(shi)(shi)方案、系(xi)(xi)統(tong)軟件硬(ying)件和信(xin)(xin)息安全產品清單。

第二十七條 安(an)全測(ce)(ce)評機構在收到委托材料后，應當與委托方協商制(zhi)訂安(an)全測(ce)(ce)評計劃，開(kai)展安(an)全測(ce)(ce)評工(gong)作，并出具安(an)全測(ce)(ce)評報告(gao)。

經測(ce)評(ping)，計算機(ji)信(xin)息(xi)系統(tong)安全(quan)(quan)狀況未達到國家有關規定和標(biao)準的要求，委托(tuo)單位(wei)應當根據測(ce)評(ping)報告的建議，完善計算機(ji)信(xin)息(xi)系統(tong)安全(quan)(quan)建設，并重新提出(chu)安全(quan)(quan)測(ce)評(ping)委托(tuo)。

測評(ping)機(ji)(ji)構對計(ji)算(suan)機(ji)(ji)信(xin)息(xi)系統進行(xing)使(shi)用前(qian)安(an)(an)(an)全(quan)測評(ping)，應當預先報(bao)告(gao)(gao)地級(ji)以上(shang)市(shi)公安(an)(an)(an)機(ji)(ji)關(guan)公共信(xin)息(xi)網絡安(an)(an)(an)全(quan)監察部(bu)門。安(an)(an)(an)全(quan)測評(ping)報(bao)告(gao)(gao)由計(ji)算(suan)機(ji)(ji)信(xin)息(xi)系統運營、使(shi)用單位報(bao)地級(ji)以上(shang)市(shi)公安(an)(an)(an)機(ji)(ji)關(guan)公共信(xin)息(xi)網絡安(an)(an)(an)全(quan)監察部(bu)門。

第二十八條 第(di)三級(ji)計(ji)算機信息(xi)系統應當(dang)每年至(zhi)少進(jin)行(xing)一(yi)次(ci)安全測評(ping)，第(di)四級(ji)計(ji)算機信息(xi)系統應當(dang)每半年至(zhi)少進(jin)行(xing)一(yi)次(ci)安全測評(ping)，第(di)五級(ji)計(ji)算機信息(xi)系統應當(dang)依據特殊安全要求進(jin)行(xing)安全測評(ping)。

第六章 應急處置

第二十九條 公安機(ji)關公共(gong)信息(xi)網絡(luo)安全監察部門(men)與所在(zai)地安全服務機(ji)構、互聯網運(yun)營單(dan)位和其他計(ji)算機(ji)信息(xi)系統(tong)運(yun)營、使用單(dan)位應(ying)當建立聯防機(ji)制，依法及時查處(chu)通過計(ji)算機(ji)信息(xi)系統(tong)進行的(de)違(wei)法犯罪行為，組織處(chu)置重(zhong)大(da)突發事件(jian)。

第三十條 對計算機(ji)信(xin)息系統中發(fa)生的(de)案件和重大安全(quan)事(shi)故，計算機(ji)信(xin)息系統的(de)運(yun)營、使(shi)用(yong)單位應當在二(er)十四小(xiao)時(shi)內報告縣級以(yi)上人民政府公安機(ji)關(guan)公共信(xin)息網絡安全(quan)監察(cha)部門，并(bing)保留有關(guan)原始記錄。

第三十一條 第二(er)級(ji)以上的計(ji)算機信息系統(tong)運營、使(shi)用單位應當制(zhi)定(ding)重大突發事件應急處置預案(an)并定(ding)期實施(shi)演練。

第三十二條 計算機(ji)信息系(xi)統發生重大(da)突發事件，有關(guan)單位應當按照應急(ji)處(chu)置預(yu)案的(de)要求采取相(xiang)應的(de)處(chu)置措施，并(bing)服(fu)從公安機(ji)關(guan)和國家指定的(de)專門(men)部(bu)門(men)的(de)調度。

第三十三條 地級市以上人民政府公(gong)安(an)機關(guan)公(gong)共(gong)信(xin)息(xi)網絡安(an)全(quan)監察(cha)部門經本機關(guan)主管領導批準，為保護(hu)計算機信(xin)息(xi)系統安(an)全(quan)，在發(fa)生重大突發(fa)事件，危及國家安(an)全(quan)、公(gong)共(gong)安(an)全(quan)及社會穩(wen)定的緊急(ji)情況下，可以采取二(er)十四小時(shi)內暫時(shi)停機、暫停聯網、備份數據等措施(shi)。

第七章 安全培訓

第三十四條 省(sheng)(sheng)公安(an)(an)廳、人事廳聯合成立的(de)省(sheng)(sheng)信(xin)(xin)息網絡安(an)(an)全(quan)專(zhuan)業技(ji)(ji)術人員繼(ji)續教(jiao)(jiao)育(yu)工作領導(dao)(dao)小(xiao)組，負(fu)責全(quan)省(sheng)(sheng)信(xin)(xin)息網絡安(an)(an)全(quan)專(zhuan)業技(ji)(ji)術人員繼(ji)續教(jiao)(jiao)育(yu)工作的(de)組織(zhi)和(he)領導(dao)(dao)。下設省(sheng)(sheng)信(xin)(xin)息網絡安(an)(an)全(quan)專(zhuan)業技(ji)(ji)術人員繼(ji)續教(jiao)(jiao)育(yu)工作辦(ban)公室，具(ju)體負(fu)責日常管理(li)工作。

第三十五條 下列人員(yuan)(yuan)應當參加(jia)信(xin)息網(wang)(wang)絡安(an)全專(zhuan)業(ye)技術人員(yuan)(yuan)繼續(xu)教(jiao)育，取得省信(xin)息網(wang)(wang)絡安(an)全專(zhuan)業(ye)技術人員(yuan)(yuan)繼續(xu)教(jiao)育工作辦公室頒發(fa)的信(xin)息網(wang)(wang)絡安(an)全專(zhuan)業(ye)技術人員(yuan)(yuan)繼續(xu)教(jiao)育合格證書，持證上崗：

（一）計算機信息系統運營、使用單位信息安全管理責任人(ren)、信息審查(cha)員；

（二）互聯網接入服務(wu)、數據中心服務(wu)、信息服務(wu)、上網服務(wu)提供單位安全管理員、專業技術人員；

（三(san)）安全專用產品(pin)生產單位專業技術人(ren)員；

（四）安全服(fu)務(wu)機構專(zhuan)業技術人(ren)員、安全服(fu)務(wu)管理人(ren)員；

（五）其他從事計算機信(xin)息系統安全保護工作的人員。

第三十六條 信息(xi)網絡安全專(zhuan)業技術人員(yuan)繼(ji)續(xu)教育(yu)(yu)由省信息(xi)網絡安全專(zhuan)業技術人員(yuan)繼(ji)續(xu)教育(yu)(yu)工作辦公室授(shou)權的施教機構(gou)負責(ze)實施。施教機構(gou)實行統籌規劃。

第三十七條 信息網(wang)絡安全專業(ye)技術人員繼續教育培訓和考試(shi)(shi)按照有關規定進(jin)行，實行統(tong)一(yi)教學大綱，統(tong)一(yi)教材，統(tong)一(yi)考試(shi)(shi)，統(tong)一(yi)發證。

考試合格的，由省信(xin)(xin)息網(wang)(wang)絡安全專業(ye)技術(shu)人(ren)(ren)員繼(ji)(ji)續(xu)教(jiao)育工作辦(ban)公室發給信(xin)(xin)息網(wang)(wang)絡安全專業(ye)技術(shu)人(ren)(ren)員繼(ji)(ji)續(xu)教(jiao)育證(zheng)書(shu)。

第八章 法律責任

第三十八條 違(wei)反本辦法的規定，依照有(you)關法律、法規和規章處(chu)罰。

第九章 附則

第三十九條 本(ben)細則下(xia)列用(yong)語的(de)含(han)義(yi)：實體(ti)安全，指保(bao)護(hu)計算機(ji)信息系(xi)統(tong)的(de)環境，計算機(ji)設(she)備、設(she)施（含(han)網絡）以及其它媒體(ti)免遭地震、水災、火災、雷(lei)電、有(you)害(hai)氣體(ti)和其它環境事故（如電磁污染等）破壞。

運行(xing)安(an)全，指保護計算機(ji)信(xin)息系統的信(xin)息處理過程(cheng)順利(li)進行(xing)。

信息安全，指保障信息的完整性(xing)、保密性(xing)、可(ke)用(yong)性(xing)和可(ke)控性(xing)。

內容安(an)全，指確保計算(suan)機信息(xi)系統中(zhong)傳輸的(de)信息(xi)所承載(zai)的(de)內容的(de)合法性。

安全(quan)（漏洞）檢測(ce)，指(zhi)利用(yong)計算(suan)機技術(shu)手段掃(sao)描、探測(ce)計算(suan)機信息系統安全(quan)漏洞。

第四十條 本(ben)辦法(fa)規定的(de)“以(yi)上”含(han)本(ben)數。

第四十一條 本辦法(fa)規定(ding)的有關表格和證書由省公安(an)廳制定(ding)式(shi)樣，統一監制。

第四十二條 本辦法由(you)省(sheng)公安廳負責(ze)解釋(shi)。

第四十三條 本辦法自2008年12月1日起施行。