廣東省公安廳關于計算機信息系統安全保護的實施辦法

（廣東省公(gong)(gong)安廳2008年9月27日以(yi)粵公(gong)(gong)通字〔2008〕228號(hao)發(fa)布 自2008年12月1日起施行）

第一章 總則

第一條 為保(bao)護計算(suan)機(ji)信(xin)息系(xi)統(tong)安(an)全(quan)(quan)，促進信(xin)息化建設的健康(kang)發展(zhan)，貫徹(che)落(luo)實(shi)《廣(guang)東省計算(suan)機(ji)信(xin)息系(xi)統(tong)安(an)全(quan)(quan)保(bao)護條(tiao)例(li)》，根據(ju)有關法律法規，制定本辦法。

第二條 本辦法適(shi)用于廣東省行政(zheng)區域(yu)內計算機信息系統的安全保護。

第三條 縣(xian)級以上(shang)人民政(zheng)府公安(an)機關公共信息(xi)網絡(luo)安(an)全(quan)監(jian)察部門具(ju)體負責本(ben)行政(zheng)區域內(nei)計算機信息(xi)系統的安(an)全(quan)保護監(jian)管(guan)工作(zuo)。

第二章 安全監督

第四條 公(gong)安(an)(an)機關公(gong)共信(xin)息(xi)網絡(luo)安(an)(an)全監(jian)察部門對計(ji)算機信(xin)息(xi)系統安(an)(an)全保護工(gong)作行使(shi)下(xia)列(lie)職(zhi)責：

（一）監督(du)、檢查、指(zhi)導計(ji)算機信息系(xi)統安(an)全保(bao)護工(gong)作；

（二）組織開展計算(suan)機(ji)信息系統(tong)安全等級(ji)保(bao)護(hu)；

（三(san)）查處計算機違(wei)法犯罪案件；

（四(si)）組(zu)織處置重大計算機信(xin)息系統安全事(shi)故和(he)事(shi)件；

（五(wu)）負責(ze)計算機病毒(du)和其(qi)他有害數據防(fang)治管(guan)理；

（六）負(fu)責計算機信息系統安全服務的(de)監督指導；

（七）負責計算(suan)機(ji)信息(xi)系(xi)統安(an)全專用產品的監督管理；

（八）負責計算機信息系統安全培訓管理；

（九）法(fa)律、法(fa)規(gui)和(he)規(gui)章規(gui)定的其他職責。

第五條 公(gong)安(an)機(ji)(ji)關公(gong)共(gong)信息(xi)網絡(luo)安(an)全監察部門應當(dang)對計算(suan)機(ji)(ji)信息(xi)系統落(luo)實實體安(an)全、運(yun)行安(an)全、信息(xi)安(an)全和(he)內容安(an)全措施的情況進(jin)行檢查(cha)。

對第(di)三(san)級(ji)(ji)計算機信(xin)息系(xi)統每年至(zhi)(zhi)少檢查(cha)一(yi)次(ci)，對第(di)四(si)級(ji)(ji)計算機信(xin)息系(xi)統每半年至(zhi)(zhi)少檢查(cha)一(yi)次(ci)。對第(di)五級(ji)(ji)計算機信(xin)息系(xi)統，應當會(hui)同國家(jia)指(zhi)定的專(zhuan)門部門進行檢查(cha)。

對其他計算機信息系統應當不定期開展檢查。

第六條 公安(an)機(ji)關公共信息網絡安(an)全(quan)監(jian)察部門發現計算機(ji)信息系統(tong)的安(an)全(quan)保護(hu)等級和安(an)全(quan)措施(shi)不符(fu)合有關規定和技(ji)術(shu)標準，或者存在安(an)全(quan)隱患的，應(ying)當通知運營(ying)、使用單位(wei)進行整改。

第七條 公安(an)機關公共信息(xi)網絡安(an)全(quan)監察部門應當向公眾提(ti)供報警(jing)求助渠(qu)道，提(ti)供計算(suan)機信息(xi)系(xi)統(tong)安(an)全(quan)指導，發布安(an)全(quan)動態，開展安(an)全(quan)宣傳。

第三章 安全保護責任

第八條 單位和個人應當(dang)依照有關法規(gui)、規(gui)章和標準，對(dui)其所有、使用(yong)和管理(li)的計(ji)算機信息(xi)系(xi)統承擔相應的安(an)全保護責任。

第九條 第二級以上計算機信(xin)息(xi)(xi)系統的運營、使用單(dan)位(wei)應當建立安(an)全保護組織，并(bing)報(bao)所(suo)在(zai)地(di)地(di)級以上市(shi)人民(min)政府(fu)公安(an)機關公共信(xin)息(xi)(xi)網絡安(an)全監察部門備(bei)案。

第十條 安全(quan)保(bao)護組織保(bao)障本(ben)(ben)單(dan)位計(ji)(ji)算(suan)機(ji)信息(xi)系(xi)(xi)統(tong)的安全(quan)運行，組織本(ben)(ben)單(dan)位計(ji)(ji)算(suan)機(ji)信息(xi)系(xi)(xi)統(tong)的有(you)害信息(xi)防(fang)治工作，組織開展本(ben)(ben)單(dan)位計(ji)(ji)算(suan)機(ji)信息(xi)系(xi)(xi)統(tong)安全(quan)教育和培訓，向公(gong)安機(ji)關公(gong)共(gong)信息(xi)網絡安全(quan)監察部門(men)報告本(ben)(ben)單(dan)位計(ji)(ji)算(suan)機(ji)信息(xi)系(xi)(xi)統(tong)運行、服務和安全(quan)等情況，及(ji)時協助(zhu)公(gong)安機(ji)關公(gong)共(gong)信息(xi)網絡安全(quan)監察部門(men)查(cha)處違法犯(fan)罪(zui)和處置突(tu)發事件(jian)。

第十一條 互聯單位、互聯網(wang)接入(ru)(ru)服務單位、互聯網(wang)數(shu)據中心應當對接入(ru)(ru)本網(wang)絡的用(yong)戶進行資格(ge)審查，確認符合國家和(he)省有關規(gui)定后方可為其提供服務。

互聯網(wang)接入服(fu)(fu)務、信息服(fu)(fu)務單位以及互聯網(wang)數據中心應當向用戶宣(xuan)傳相關(guan)法(fa)(fa)律法(fa)(fa)規，提供(gong)必要的安全保護(hu)措施。

第十二條 個人主(zhu)頁、博客、聊天(tian)室、點對(dui)點服務(wu)等互聯網信息服務(wu)的提供(gong)單位和使用者應當依照(zhao)國家(jia)和省有關規定，落實相應的安全措施(shi)。

第十三條 網(wang)(wang)吧、圖書館、學校、賓(bin)館等提供互(hu)聯網(wang)(wang)上(shang)網(wang)(wang)服務的場所應當安裝(zhuang)符(fu)合國家規定的安全管理系統(tong)。

第十四條 互聯(lian)單(dan)位、互聯(lian)網(wang)接入服務單(dan)位以及(ji)互聯(lian)網(wang)數據(ju)中心應當每月將接入本網(wang)絡的用戶情況報地級(ji)以上市公(gong)安機(ji)關公(gong)共信(xin)息網(wang)絡安全監察部門備案。

第十五條 計(ji)算機(ji)信息(xi)系統運營、使(shi)用單位應當接受(shou)公安(an)(an)機(ji)關(guan)公共(gong)信息(xi)網絡(luo)安(an)(an)全監察(cha)部(bu)門的監督、檢(jian)查、指導(dao)，如實(shi)提供安(an)(an)全保(bao)護有(you)關(guan)信息(xi)、資料及(ji)數據文(wen)件(jian)，不得變相拒絕、拖延、阻礙公安(an)(an)機(ji)關(guan)公共(gong)信息(xi)網絡(luo)安(an)(an)全監察(cha)部(bu)門依法(fa)執行公務。

第四章 安全專用產品和安全服務

第十六條 安(an)全(quan)專(zhuan)用產品必須取得公安(an)部頒發的銷(xiao)售許可證方(fang)可銷(xiao)售。

第十七條 生(sheng)產(chan)(chan)、銷售或者提(ti)供(gong)含有計算機(ji)信息(xi)(xi)網(wang)絡(luo)遠程控制、密碼猜(cai)解、安(an)全(quan)(quan)（漏洞）檢測、信息(xi)(xi)群發(fa)技術(shu)的產(chan)(chan)品和工(gong)具(ju)的，應(ying)當在領取(qu)營業執照(zhao)后30日內（沒有營業執照(zhao)的，自(zi)開辦之日起30日內）向(xiang)單位所在地地級以上市(shi)人民(min)政府公(gong)安(an)機(ji)關公(gong)共信息(xi)(xi)網(wang)絡(luo)安(an)全(quan)(quan)監察部門備(bei)(bei)案，填寫《廣東省計算機(ji)信息(xi)(xi)網(wang)絡(luo)安(an)全(quan)(quan)特(te)種(zhong)技術(shu)備(bei)(bei)案表》，并(bing)提(ti)交(jiao)如下資料：

（一）單位簡況；

（二(er)）營業執照(zhao)（或其他有(you)效(xiao)證(zheng)明）復印件；

（三）研發和服務管理制(zhi)度；

（四）主(zhu)要經營管理人員(yuan)(yuan)(yuan)、技術人員(yuan)(yuan)(yuan)和服務(wu)人員(yuan)(yuan)(yuan)有效證件復(fu)印件；

（五）主要(yao)產品情況。

第十八條 安全(quan)保(bao)護等級(ji)為第三級(ji)以上的計算機信息系統應當選(xuan)用符合下列條件的安全(quan)專用產(chan)品：

（一）產品研制(zhi)、生產單位是(shi)由(you)中國(guo)(guo)公(gong)民、法人(ren)投資或者國(guo)(guo)家投資或者控股的，在(zai)中華人(ren)民共和國(guo)(guo)境內具有獨立的法人(ren)資格(ge)；

（二）產品的核心技術、關(guan)鍵(jian)部件具有我國(guo)自主知識產權；

（三）產(chan)(chan)品研(yan)制、生產(chan)(chan)單(dan)位及(ji)其主要業(ye)務、技術人員無(wu)犯罪(zui)記錄(lu)；

（四(si)）產(chan)品研制、生產(chan)單位(wei)聲明沒有(you)故(gu)意(yi)留(liu)有(you)或者設置漏(lou)洞、后(hou)門、木(mu)馬等程序和功能；

（五(wu)）對(dui)國家安全、社會秩(zhi)序、公共利益(yi)不構成危害。

第十九條 符合第十八條規定(ding)的安全(quan)專用(yong)產品和生產單位應當到省公安廳公共信(xin)息網絡(luo)安全(quan)監察部門(men)備案。

第二十條 為加強安(an)(an)(an)全(quan)(quan)服務(wu)(wu)機(ji)構的(de)指(zhi)(zhi)導，推動(dong)安(an)(an)(an)全(quan)(quan)服務(wu)(wu)質(zhi)量和技術(shu)(shu)水平的(de)提高，廣東(dong)省對(dui)從事計算(suan)機(ji)信息系統安(an)(an)(an)全(quan)(quan)設計、建(jian)設、檢(jian)測、評估(gu)等安(an)(an)(an)全(quan)(quan)服務(wu)(wu)的(de)機(ji)構，根(gen)據其(qi)注冊(ce)資本、服務(wu)(wu)業績、技術(shu)(shu)力量、組織管理情況實行分(fen)級指(zhi)(zhi)導。

第五章 安全等級測評

第二十一條 第(di)二級以上的計算機信(xin)息系統(tong)的安全(quan)測評應當選擇符合下列(lie)條件的計算機信(xin)息系統(tong)安全(quan)等級測評機構(gou)（簡稱測評機構(gou)）承(cheng)擔：

（一）在(zai)中華人民(min)共和國境(jing)內注冊成立（港澳臺(tai)地區除(chu)外），具(ju)有(you)相應經營范圍的營業執照，注冊資本100萬元以上；

（二）由中國公民投資(zi)(zi)、中國法人投資(zi)(zi)或者國家投資(zi)(zi)的企事業單位（港澳(ao)臺地區(qu)除外）；

（三）近3年完成的(de)測評項目總值150萬元(yuan)以上；

（四）具(ju)有計(ji)算機(ji)安(an)全(quan)或相關專業資格(ge)證書的專業技術(shu)人員(yuan)不少(shao)于(yu)20人，其中大學本科以上學歷的人員(yuan)不少(shao)于(yu)15人；

（五）管(guan)理人(ren)員(yuan)應當具有3年以上從事計算(suan)機信息(xi)系統安全技(ji)(ji)(ji)術領域企(qi)業管(guan)理工作(zuo)經歷，技(ji)(ji)(ji)術負(fu)責人(ren)已獲得(de)計算(suan)機信息(xi)系統安全技(ji)(ji)(ji)術相關專業的高級職稱，從事安全測評工作(zuo)不少于3年，無(wu)犯罪(zui)記錄；

（六）工作人(ren)員僅限于中國公民，法人(ren)及(ji)主要業務、技術人(ren)員無(wu)犯罪記錄；

（七）具(ju)有與所承擔項目適應(ying)的(de)技(ji)術(shu)裝(zhuang)備；

（八）具有(you)完備的(de)保密(mi)管理(li)(li)、項目管理(li)(li)、質量管理(li)(li)、人員管理(li)(li)和培訓教育等(deng)安全管理(li)(li)制度；

（九(jiu)）對國家安全、社會(hui)秩序、公共利益不(bu)構成威脅。

第二十二條 廣東省對測評(ping)機構實施備(bei)案制度。符(fu)合第(di)二(er)十一條(tiao)規定的條(tiao)件(jian)，承擔第(di)二(er)級(ji)以上的計算機信息系統測評(ping)工作的機構應(ying)當到(dao)省公(gong)(gong)安(an)廳公(gong)(gong)共(gong)信息網絡安(an)全監察(cha)部門備(bei)案。

第二十三條 省公(gong)安廳(ting)公(gong)共信息網絡安全監察部門(men)對已備案的測評機構進行公(gong)布(bu)。

第二十四條 測評機(ji)構應當履行下列(lie)義務：

（一）遵守(shou)國(guo)家有(you)關法律(lv)法規和技術標準，提供安全、客觀(guan)、公正的檢測(ce)評估服務，保證測(ce)評的質量和效(xiao)果(guo)；

（二）保(bao)守(shou)在測評活動中知悉的(de)國家秘密(mi)、商(shang)業秘密(mi)和個人隱私，防(fang)范測評風(feng)險；

（三(san)）對測評人(ren)員進行安全保密教(jiao)育，與其簽訂安全保密責(ze)任書(shu)，規定應當履行的安全保密義務和承擔的法律責(ze)任，并負責(ze)檢查落(luo)實。

第二十五條 第(di)二級以上的計算機(ji)信息系統(tong)建設完成(cheng)后，使用單位(wei)應當(dang)委(wei)托符合(he)規定的測(ce)評機(ji)構安(an)(an)全(quan)測(ce)評合(he)格方可投入使用。測(ce)評活(huo)動應當(dang)接受公安(an)(an)機(ji)關公共(gong)信息網絡安(an)(an)全(quan)監(jian)(jian)察部(bu)門的監(jian)(jian)督。

第二十六條 計(ji)算(suan)機(ji)信息系統運營、使用單位委托安全(quan)測評(ping)機(ji)構測評(ping)，應當提交(jiao)下列(lie)資(zi)料：

（一）安全測評(ping)委托書；

（二）計(ji)算機信(xin)息系統(tong)應用需求(qiu)、系統(tong)結構拓撲及說明、系統(tong)安全(quan)組織結構和管理制度、安全(quan)保護設施設計(ji)實施方案(an)(an)或者(zhe)改建實施方案(an)(an)、系統(tong)軟件(jian)硬(ying)件(jian)和信(xin)息安全(quan)產品清(qing)單(dan)。

第二十七條 安(an)(an)全測評(ping)機構在收到(dao)委托材料后(hou)，應(ying)當與委托方協商制訂安(an)(an)全測評(ping)計劃，開展安(an)(an)全測評(ping)工(gong)作，并出具(ju)安(an)(an)全測評(ping)報(bao)告。

經測(ce)評(ping)(ping)，計算機信息系統(tong)安全(quan)狀況未達到(dao)國家有關規定和標準(zhun)的(de)要求，委托單位(wei)應當根據測(ce)評(ping)(ping)報告(gao)的(de)建(jian)議，完善計算機信息系統(tong)安全(quan)建(jian)設，并重新提出安全(quan)測(ce)評(ping)(ping)委托。

測(ce)評機構(gou)對計算機信(xin)息(xi)系統進行使用前安全測(ce)評，應當預先報(bao)告(gao)(gao)地級以(yi)上(shang)市公(gong)(gong)安機關(guan)公(gong)(gong)共信(xin)息(xi)網絡安全監(jian)察部門。安全測(ce)評報(bao)告(gao)(gao)由計算機信(xin)息(xi)系統運營、使用單(dan)位報(bao)地級以(yi)上(shang)市公(gong)(gong)安機關(guan)公(gong)(gong)共信(xin)息(xi)網絡安全監(jian)察部門。

第二十八條 第(di)三級(ji)計算(suan)機(ji)(ji)信(xin)息系(xi)(xi)統應(ying)當每年至少(shao)(shao)進(jin)行(xing)一(yi)次(ci)安(an)全(quan)(quan)測(ce)(ce)評(ping)，第(di)四(si)級(ji)計算(suan)機(ji)(ji)信(xin)息系(xi)(xi)統應(ying)當每半年至少(shao)(shao)進(jin)行(xing)一(yi)次(ci)安(an)全(quan)(quan)測(ce)(ce)評(ping)，第(di)五級(ji)計算(suan)機(ji)(ji)信(xin)息系(xi)(xi)統應(ying)當依據特殊安(an)全(quan)(quan)要求(qiu)進(jin)行(xing)安(an)全(quan)(quan)測(ce)(ce)評(ping)。

第六章 應急處置

第二十九條 公安機(ji)(ji)(ji)關公共信(xin)息(xi)網(wang)絡安全監(jian)察部門與所在地安全服務機(ji)(ji)(ji)構、互聯網(wang)運營單(dan)位和其他計算機(ji)(ji)(ji)信(xin)息(xi)系統運營、使用單(dan)位應當建立聯防機(ji)(ji)(ji)制，依法及(ji)時查處(chu)通過(guo)計算機(ji)(ji)(ji)信(xin)息(xi)系統進行(xing)的(de)違法犯罪(zui)行(xing)為(wei)，組(zu)織(zhi)處(chu)置重大突發事件。

第三十條 對(dui)計算機(ji)信(xin)息系(xi)統中發生的(de)案件和重(zhong)大安全事故，計算機(ji)信(xin)息系(xi)統的(de)運營、使用單(dan)位應當在(zai)二(er)十四小時(shi)內報告(gao)縣級(ji)以上人民政府公安機(ji)關公共信(xin)息網絡安全監察部(bu)門(men)，并保留有關原始(shi)記錄。

第三十一條 第二級以上的計(ji)算(suan)機信息系統運營、使用(yong)單(dan)位應(ying)當(dang)制定重(zhong)大突發事(shi)件應(ying)急處置(zhi)預案并定期(qi)實施演練。

第三十二條 計(ji)算機信息系(xi)統發(fa)生重大突發(fa)事件，有關(guan)單位應當按照應急處置(zhi)預案的(de)(de)要求采取相應的(de)(de)處置(zhi)措施，并服從公(gong)安機關(guan)和國家(jia)指定的(de)(de)專(zhuan)門(men)(men)部門(men)(men)的(de)(de)調(diao)度。

第三十三條 地級市以上人(ren)民政府(fu)公安機(ji)關公共(gong)信息(xi)網絡安全(quan)監察部門經(jing)本(ben)機(ji)關主(zhu)管(guan)領導批準，為保護計算機(ji)信息(xi)系(xi)統安全(quan)，在(zai)發(fa)生(sheng)重(zhong)大突(tu)發(fa)事件，危及國家安全(quan)、公共(gong)安全(quan)及社(she)會穩定的緊急情(qing)況(kuang)下，可以采取二(er)十四(si)小時內暫(zan)時停機(ji)、暫(zan)停聯網、備(bei)份數據等(deng)措施。

第七章 安全培訓

第三十四條 省(sheng)公安廳、人事廳聯合(he)成立的(de)省(sheng)信息網(wang)絡(luo)安全專(zhuan)業(ye)技(ji)術人員繼(ji)續教育(yu)工作領(ling)導小組(zu)，負(fu)責全省(sheng)信息網(wang)絡(luo)安全專(zhuan)業(ye)技(ji)術人員繼(ji)續教育(yu)工作的(de)組(zu)織和(he)領(ling)導。下設省(sheng)信息網(wang)絡(luo)安全專(zhuan)業(ye)技(ji)術人員繼(ji)續教育(yu)工作辦公室，具(ju)體負(fu)責日常管理工作。

第三十五條 下列(lie)人(ren)員(yuan)(yuan)應當(dang)參加信息網絡(luo)(luo)安全專業(ye)技(ji)術人(ren)員(yuan)(yuan)繼續(xu)教育，取得省信息網絡(luo)(luo)安全專業(ye)技(ji)術人(ren)員(yuan)(yuan)繼續(xu)教育工作辦公室頒(ban)發的(de)信息網絡(luo)(luo)安全專業(ye)技(ji)術人(ren)員(yuan)(yuan)繼續(xu)教育合格證(zheng)書，持證(zheng)上崗：

（一）計算(suan)機信(xin)(xin)息系統運營(ying)、使用單(dan)位信(xin)(xin)息安全管理(li)責任(ren)人、信(xin)(xin)息審查員；

（二）互聯網接入服(fu)務(wu)、數(shu)據中心服(fu)務(wu)、信息服(fu)務(wu)、上網服(fu)務(wu)提(ti)供單(dan)位(wei)安全管理員(yuan)、專業技術(shu)人員(yuan)；

（三）安全專用(yong)產品生(sheng)產單(dan)位專業技術人員；

（四）安全服務機構專業技術人員、安全服務管理人員；

（五）其(qi)他從事計算機信息系統(tong)安全(quan)保(bao)護(hu)工作的人員。

第三十六條 信息網絡安全專業技(ji)術(shu)(shu)人員繼續教育(yu)由省(sheng)信息網絡安全專業技(ji)術(shu)(shu)人員繼續教育(yu)工作辦公室授(shou)權的施(shi)教機構負責實施(shi)。施(shi)教機構實行統籌規劃。

第三十七條 信息網絡(luo)安(an)全(quan)專(zhuan)業技術人員(yuan)繼續教(jiao)(jiao)育培訓和考(kao)(kao)試按照有關規定進行(xing)，實行(xing)統(tong)一(yi)教(jiao)(jiao)學大綱，統(tong)一(yi)教(jiao)(jiao)材，統(tong)一(yi)考(kao)(kao)試，統(tong)一(yi)發證。

考(kao)試合格的，由省信息網絡安全專業技(ji)術人(ren)(ren)員繼續教育工(gong)作辦公室(shi)發給信息網絡安全專業技(ji)術人(ren)(ren)員繼續教育證(zheng)書。

第八章 法律責任

第三十八條 違反本辦(ban)法(fa)的規定，依照有關法(fa)律(lv)、法(fa)規和規章處(chu)罰。

第九章 附則

第三十九條 本細則下列用語的含(han)義：實體安全，指(zhi)保護計(ji)算(suan)機信(xin)息系(xi)統的環境(jing)，計(ji)算(suan)機設備(bei)、設施(shi)（含(han)網(wang)絡）以及其它媒(mei)體免遭地(di)震、水災、火災、雷電、有害氣體和其它環境(jing)事故（如電磁污染等）破(po)壞。

運行安全，指保護(hu)計算(suan)機信(xin)息系統的信(xin)息處理過程(cheng)順利(li)進行。

信息安全，指保障信息的完整性(xing)、保密(mi)性(xing)、可用性(xing)和可控(kong)性(xing)。

內容(rong)安全，指確保計(ji)算機信(xin)息(xi)(xi)系統中傳輸的信(xin)息(xi)(xi)所承載(zai)的內容(rong)的合法(fa)性。

安全（漏(lou)洞）檢測，指利用(yong)計算機(ji)技術手段掃描、探測計算機(ji)信(xin)息系統安全漏(lou)洞。

第四十條 本(ben)辦(ban)法規定的(de)“以上(shang)”含本(ben)數。

第四十一條 本辦(ban)法規定的有(you)關表格和證書由(you)省公安(an)廳制(zhi)定式樣(yang)，統(tong)一監(jian)制(zhi)。

第四十二條 本(ben)辦法由省(sheng)公安(an)廳負責解釋。

第四十三條 本辦法自2008年12月1日起施行。