廣東省公安廳關于計算機信息系統安全保護的實施辦法

（廣東省公安廳2008年(nian)9月27日以(yi)粵公通字〔2008〕228號發布 自2008年(nian)12月1日起施行）

第一章 總則

第一條 為(wei)保護計算機信息(xi)系統安全，促進信息(xi)化建設的(de)健康發展，貫徹落(luo)實《廣(guang)東省計算機信息(xi)系統安全保護條(tiao)例》，根據(ju)有關法律(lv)法規，制(zhi)定(ding)本辦法。

第二條 本辦(ban)法適(shi)用于廣東省行政區域內計算機信息(xi)系統的(de)安(an)全保護。

第三條 縣(xian)級以上人民政府(fu)公(gong)安機關公(gong)共信(xin)息網絡安全監察部門具體負責本行政區域(yu)內計算機信(xin)息系統的安全保(bao)護監管工作(zuo)。

第二章 安全監督

第四條 公安機關公共信息網絡(luo)安全監察部門對計算(suan)機信息系統安全保護工作行(xing)使下(xia)列職責：

（一）監督、檢(jian)查、指導(dao)計算機信(xin)息(xi)系統安(an)全保護工作；

（二）組(zu)織(zhi)開展計算機(ji)信息系統安全等級(ji)保護；

（三）查處計算機違法犯罪(zui)案件；

（四）組織處置重大計(ji)算機信(xin)息(xi)系統安全事(shi)故和事(shi)件；

（五）負責(ze)計算機病毒和(he)其他有害(hai)數(shu)據防治管理；

（六）負責計(ji)算機信息(xi)系統(tong)安(an)全服務的監督指導；

（七(qi)）負責(ze)計(ji)算機信息系統安全專用產品的(de)監督管理；

（八）負責計算機信息系統安全培訓管理；

（九）法律、法規和規章(zhang)規定(ding)的其他職責。

第五條 公安機(ji)關公共信(xin)(xin)(xin)息(xi)網絡安全(quan)(quan)(quan)監察部(bu)門應當對計算機(ji)信(xin)(xin)(xin)息(xi)系統落實實體安全(quan)(quan)(quan)、運行(xing)(xing)安全(quan)(quan)(quan)、信(xin)(xin)(xin)息(xi)安全(quan)(quan)(quan)和內容安全(quan)(quan)(quan)措施的情況進行(xing)(xing)檢查。

對(dui)第(di)三級計算機信(xin)息系(xi)統每年至少檢(jian)(jian)(jian)查一(yi)次，對(dui)第(di)四級計算機信(xin)息系(xi)統每半年至少檢(jian)(jian)(jian)查一(yi)次。對(dui)第(di)五級計算機信(xin)息系(xi)統，應(ying)當(dang)會同國家指定的(de)專(zhuan)門部門進行(xing)檢(jian)(jian)(jian)查。

對(dui)其他計算機信息(xi)系統(tong)應當不定期開展檢(jian)查。

第六條 公安機(ji)關公共信(xin)息網絡安全(quan)監察部門發現計算機(ji)信(xin)息系統的安全(quan)保護等級和(he)安全(quan)措(cuo)施不符合有關規定和(he)技術標準，或(huo)者(zhe)存在安全(quan)隱患的，應當(dang)通知(zhi)運營、使(shi)用單位進行整改。

第七條 公安(an)機(ji)關(guan)公共信息網(wang)絡安(an)全監(jian)察部門應(ying)當向(xiang)公眾(zhong)提供報警求助(zhu)渠(qu)道，提供計算機(ji)信息系(xi)統安(an)全指導，發(fa)布(bu)安(an)全動(dong)態，開(kai)展安(an)全宣傳(chuan)。

第三章 安全保護責任

第八條 單位和(he)(he)個人應當依(yi)照有關法(fa)規(gui)、規(gui)章和(he)(he)標(biao)準，對其所有、使用和(he)(he)管(guan)理的計(ji)算機信息系統承(cheng)擔相應的安全保(bao)護責任(ren)。

第九條 第二(er)級(ji)(ji)以(yi)上(shang)計算機信息系統的運營、使用(yong)單位應當建立安(an)全(quan)保護組織，并報(bao)所在地地級(ji)(ji)以(yi)上(shang)市人(ren)民(min)政府公安(an)機關公共信息網絡安(an)全(quan)監察部門備案(an)。

第十條 安(an)全(quan)(quan)保護組(zu)織保障本(ben)(ben)單位(wei)計(ji)算機(ji)(ji)信(xin)(xin)息(xi)系統(tong)(tong)的安(an)全(quan)(quan)運行，組(zu)織本(ben)(ben)單位(wei)計(ji)算機(ji)(ji)信(xin)(xin)息(xi)系統(tong)(tong)的有害信(xin)(xin)息(xi)防治工作，組(zu)織開展本(ben)(ben)單位(wei)計(ji)算機(ji)(ji)信(xin)(xin)息(xi)系統(tong)(tong)安(an)全(quan)(quan)教(jiao)育和培訓，向公(gong)安(an)機(ji)(ji)關(guan)公(gong)共信(xin)(xin)息(xi)網絡安(an)全(quan)(quan)監察部門(men)報(bao)告(gao)本(ben)(ben)單位(wei)計(ji)算機(ji)(ji)信(xin)(xin)息(xi)系統(tong)(tong)運行、服務和安(an)全(quan)(quan)等情況(kuang)，及時(shi)協(xie)助公(gong)安(an)機(ji)(ji)關(guan)公(gong)共信(xin)(xin)息(xi)網絡安(an)全(quan)(quan)監察部門(men)查處違法犯罪和處置突(tu)發事(shi)件。

第十一條 互聯單位、互聯網接入服務單位、互聯網數據中心(xin)應當對接入本網絡的用戶進行資格審查，確認符合國家(jia)和(he)省(sheng)有關規定后方(fang)可為其提供服務。

互(hu)聯網接入服務、信(xin)息服務單位以及(ji)互(hu)聯網數(shu)據中心(xin)應當向用戶宣(xuan)傳相關法律法規，提供必要(yao)的安全(quan)保(bao)護措施。

第十二條 個(ge)人主(zhu)頁、博(bo)客、聊天室、點對(dui)點服(fu)務(wu)等互聯(lian)網信息服(fu)務(wu)的(de)(de)提供單位和使用者(zhe)應當依照國家和省(sheng)有關規定，落實相應的(de)(de)安(an)全措施。

第十三條 網(wang)吧、圖(tu)書館、學校、賓館等(deng)提供互聯網(wang)上(shang)網(wang)服務的場(chang)所應當安裝符合國家規定的安全管(guan)理(li)系(xi)統。

第十四條 互(hu)聯(lian)單位、互(hu)聯(lian)網接入(ru)服(fu)務單位以(yi)(yi)及互(hu)聯(lian)網數據中(zhong)心應(ying)當(dang)每(mei)月將(jiang)接入(ru)本網絡的用(yong)戶情(qing)況報(bao)地(di)級以(yi)(yi)上市(shi)公(gong)安機關公(gong)共(gong)信息網絡安全監(jian)察部門備案(an)。

第十五條 計算機(ji)(ji)信息系統運營、使用單位應當(dang)接受公安(an)機(ji)(ji)關公共(gong)信息網(wang)絡(luo)安(an)全(quan)監(jian)察部門的(de)監(jian)督、檢(jian)查、指(zhi)導，如實提供(gong)安(an)全(quan)保(bao)護有關信息、資料及數(shu)據文(wen)件，不得變(bian)相拒絕、拖延、阻礙公安(an)機(ji)(ji)關公共(gong)信息網(wang)絡(luo)安(an)全(quan)監(jian)察部門依法執行公務。

第四章 安全專用產品和安全服務

第十六條 安(an)全專用產品必須取得公安(an)部頒發的銷(xiao)(xiao)售(shou)許可證(zheng)方可銷(xiao)(xiao)售(shou)。

第十七條 生(sheng)產(chan)、銷(xiao)售或(huo)者(zhe)提供含有計算機(ji)信(xin)息(xi)網絡(luo)遠程控制、密碼猜解、安(an)(an)全(quan)（漏洞）檢(jian)測、信(xin)息(xi)群發(fa)技術的(de)(de)產(chan)品(pin)和工具的(de)(de)，應當在領取營業執照后30日內(nei)(nei)（沒(mei)有營業執照的(de)(de)，自開辦(ban)之日起(qi)30日內(nei)(nei)）向(xiang)單位所在地地級以上(shang)市人民政(zheng)府(fu)公安(an)(an)機(ji)關(guan)公共(gong)信(xin)息(xi)網絡(luo)安(an)(an)全(quan)監察部門備案(an)，填寫《廣(guang)東省計算機(ji)信(xin)息(xi)網絡(luo)安(an)(an)全(quan)特種技術備案(an)表》，并提交如下(xia)資料：

（一）單位簡況；

（二）營業執照（或其(qi)他有(you)效(xiao)證(zheng)明）復印件；

（三）研(yan)發和服(fu)務管理制(zhi)度(du)；

（四）主(zhu)要經營管理人員(yuan)、技(ji)術人員(yuan)和服務人員(yuan)有效證件(jian)復印件(jian)；

（五）主要產品情況。

第十八條 安全保護等級為第(di)三級以上的計(ji)算機信息系統(tong)應(ying)當選用符合下列條件(jian)的安全專用產(chan)品：

（一）產(chan)品研制、生(sheng)產(chan)單位是由中國(guo)公(gong)民、法(fa)人(ren)投資(zi)或者(zhe)國(guo)家投資(zi)或者(zhe)控股的(de)，在中華(hua)人(ren)民共(gong)和國(guo)境內具有獨立的(de)法(fa)人(ren)資(zi)格；

（二）產品的(de)核(he)心(xin)技術、關鍵部件具有我國自主知識(shi)產權；

（三）產品研制、生產單位及其(qi)主要(yao)業(ye)務、技(ji)術(shu)人員無犯罪記錄；

（四(si)）產(chan)品研(yan)制(zhi)、生產(chan)單位聲明沒有故意(yi)留有或者設置漏(lou)洞、后門(men)、木馬(ma)等程序和功能；

（五）對國家安全、社會秩序、公共利益不構成危害。

第十九條 符合第十八條規定的安(an)全專(zhuan)用產品(pin)和生產單位應當到省公安(an)廳(ting)公共(gong)信息網絡安(an)全監察部門備案(an)。

第二十條 為(wei)加強安(an)全服務機構(gou)的(de)指(zhi)導，推動安(an)全服務質量和技術水(shui)平的(de)提(ti)高，廣東(dong)省(sheng)對(dui)從事計算機信息系(xi)統安(an)全設計、建設、檢(jian)測(ce)、評估等(deng)安(an)全服務的(de)機構(gou)，根據其注冊資本(ben)、服務業績(ji)、技術力量、組(zu)織管(guan)理情況(kuang)實行分級指(zhi)導。

第五章 安全等級測評

第二十一條 第(di)二級(ji)以上的(de)計算機信息(xi)系(xi)統的(de)安全測(ce)評(ping)應當選擇符合下列(lie)條件(jian)的(de)計算機信息(xi)系(xi)統安全等級(ji)測(ce)評(ping)機構（簡稱測(ce)評(ping)機構）承(cheng)擔：

（一）在中華人民共和(he)國境內注冊成立（港澳臺地區除(chu)外），具有(you)相應(ying)經營范圍的營業執照，注冊資本100萬元以上；

（二）由中國公(gong)民投資(zi)、中國法人投資(zi)或者國家投資(zi)的企(qi)事業單位(wei)（港澳臺地(di)區除外(wai)）；

（三）近3年完成的測評項目總(zong)值150萬(wan)元以上；

（四）具(ju)有計算(suan)機安全或相關(guan)專(zhuan)業資格證書的專(zhuan)業技術人員不少于20人，其中大學本科以上(shang)學歷的人員不少于15人；

（五）管(guan)理人員應當具(ju)有3年(nian)以上從事計算機信息系(xi)統(tong)安(an)(an)全技(ji)術(shu)領域企業管(guan)理工作經歷，技(ji)術(shu)負責(ze)人已獲得計算機信息系(xi)統(tong)安(an)(an)全技(ji)術(shu)相(xiang)關專業的高(gao)級職稱，從事安(an)(an)全測評工作不(bu)少于3年(nian)，無犯罪記錄；

（六(liu)）工作人(ren)員僅限(xian)于中(zhong)國公民，法人(ren)及主要業務、技術(shu)人(ren)員無(wu)犯罪(zui)記錄；

（七）具有與所承擔(dan)項目(mu)適應(ying)的技術裝備；

（八）具(ju)有完備的保密管(guan)理、項目管(guan)理、質量管(guan)理、人員管(guan)理和培訓教育等(deng)安全(quan)管(guan)理制度；

（九）對國家安全(quan)、社會秩序、公(gong)共(gong)利益不構成威脅。

第二十二條 廣東省對測評(ping)機(ji)構實施備(bei)案(an)制度。符合第二十一條規定的條件，承擔第二級以上的計算機(ji)信(xin)息(xi)系(xi)統測評(ping)工作的機(ji)構應當到省公安廳公共信(xin)息(xi)網絡(luo)安全監察部門備(bei)案(an)。

第二十三條 省公安廳公共信息網絡(luo)安全監(jian)察部門對已備案的測評(ping)機構進(jin)行公布。

第二十四條 測評機構應(ying)當履行下列(lie)義務：

（一(yi)）遵守國(guo)家有(you)關法律法規(gui)和技術標準，提供安全(quan)、客觀(guan)、公正的檢測評估服務，保證(zheng)測評的質(zhi)量和效果；

（二）保守在測評活動中知悉(xi)的國家秘(mi)密(mi)、商業秘(mi)密(mi)和個(ge)人隱私，防范測評風(feng)險(xian)；

（三）對測評人員(yuan)進行安(an)全保(bao)(bao)密(mi)教育，與(yu)其簽(qian)訂安(an)全保(bao)(bao)密(mi)責任(ren)書，規定(ding)應(ying)當履行的安(an)全保(bao)(bao)密(mi)義(yi)務和(he)承(cheng)擔(dan)的法律責任(ren)，并負責檢查落(luo)實(shi)。

第二十五條 第二級以上的計算(suan)機(ji)信息系(xi)統建設完(wan)成后，使用(yong)單(dan)位應當(dang)委(wei)托(tuo)符合規定的測(ce)評機(ji)構安全測(ce)評合格方(fang)可投(tou)入使用(yong)。測(ce)評活(huo)動應當(dang)接(jie)受(shou)公(gong)安機(ji)關公(gong)共信息網(wang)絡安全監察部門的監督。

第二十六條 計(ji)算機信息系統(tong)運營(ying)、使用(yong)單(dan)位委托(tuo)安全測評機構測評，應當提交下列資料：

（一）安全測評委托(tuo)書；

（二(er)）計(ji)算機信息(xi)(xi)系統(tong)應用需求、系統(tong)結構(gou)拓撲(pu)及(ji)說明(ming)、系統(tong)安全(quan)組織結構(gou)和管理制度(du)、安全(quan)保護設施設計(ji)實(shi)施方案(an)或(huo)者改(gai)建實(shi)施方案(an)、系統(tong)軟件硬件和信息(xi)(xi)安全(quan)產(chan)品(pin)清單(dan)。

第二十七條 安(an)全(quan)測(ce)(ce)評(ping)機構在收(shou)到委托(tuo)(tuo)材料后，應當與委托(tuo)(tuo)方協商制訂安(an)全(quan)測(ce)(ce)評(ping)計劃，開展安(an)全(quan)測(ce)(ce)評(ping)工作，并出(chu)具安(an)全(quan)測(ce)(ce)評(ping)報(bao)告。

經測(ce)評，計算機信息系統安(an)(an)全狀況未(wei)達到國(guo)家(jia)有(you)關(guan)規定(ding)和標(biao)準(zhun)的(de)要求，委托單位應(ying)當(dang)根據(ju)測(ce)評報告的(de)建議，完善(shan)計算機信息系統安(an)(an)全建設，并重(zhong)新提出安(an)(an)全測(ce)評委托。

測評(ping)機(ji)構對計(ji)算機(ji)信息(xi)系統進行使用前安(an)全(quan)測評(ping)，應當預(yu)先報告(gao)地級以上(shang)市公安(an)機(ji)關(guan)(guan)公共信息(xi)網絡安(an)全(quan)監(jian)察(cha)部門。安(an)全(quan)測評(ping)報告(gao)由計(ji)算機(ji)信息(xi)系統運營(ying)、使用單位報地級以上(shang)市公安(an)機(ji)關(guan)(guan)公共信息(xi)網絡安(an)全(quan)監(jian)察(cha)部門。

第二十八條 第(di)三級計算(suan)機信息系(xi)(xi)統應(ying)當每年(nian)至(zhi)少進行一(yi)次安(an)全測評，第(di)四(si)級計算(suan)機信息系(xi)(xi)統應(ying)當每半年(nian)至(zhi)少進行一(yi)次安(an)全測評，第(di)五級計算(suan)機信息系(xi)(xi)統應(ying)當依(yi)據特殊安(an)全要求進行安(an)全測評。

第六章 應急處置

第二十九條 公安(an)機(ji)關公共信(xin)息網絡安(an)全監察部(bu)門與所在地安(an)全服務機(ji)構、互聯網運(yun)營(ying)單(dan)(dan)位(wei)和(he)其他計(ji)算(suan)機(ji)信(xin)息系統運(yun)營(ying)、使用單(dan)(dan)位(wei)應當建立聯防機(ji)制(zhi)，依法及時查處(chu)通過計(ji)算(suan)機(ji)信(xin)息系統進行(xing)的違法犯罪行(xing)為，組織處(chu)置(zhi)重大突(tu)發事(shi)件。

第三十條 對計(ji)算(suan)機信(xin)(xin)息系(xi)統(tong)中發生的(de)案件和重大安(an)全事故，計(ji)算(suan)機信(xin)(xin)息系(xi)統(tong)的(de)運營、使用(yong)單位應當在二(er)十四小時內報告縣級以(yi)上人民政府公安(an)機關(guan)公共(gong)信(xin)(xin)息網絡安(an)全監察部門，并保(bao)留有(you)關(guan)原(yuan)始記錄。

第三十一條 第二級以上的計算機信(xin)息(xi)系統運營(ying)、使用(yong)單位(wei)應當制定重大突發事(shi)件應急處置預案(an)并(bing)定期實施演練(lian)。

第三十二條 計算機信息(xi)系統發(fa)生重大(da)突發(fa)事件，有(you)關單位應(ying)當(dang)按照應(ying)急處(chu)置(zhi)預案的要求采取相應(ying)的處(chu)置(zhi)措施，并服從公安機關和國家(jia)指定(ding)的專門(men)部門(men)的調度。

第三十三條 地級市以上人民政府公安(an)(an)(an)機(ji)關公共信(xin)息網絡安(an)(an)(an)全(quan)監察部門經(jing)本機(ji)關主管領導批準，為保護計算機(ji)信(xin)息系統安(an)(an)(an)全(quan)，在發生(sheng)重大突發事(shi)件(jian)，危及國家安(an)(an)(an)全(quan)、公共安(an)(an)(an)全(quan)及社會穩定的緊急情況下，可以采取(qu)二十四小(xiao)時(shi)(shi)內暫(zan)(zan)時(shi)(shi)停機(ji)、暫(zan)(zan)停聯網、備份(fen)數據等措(cuo)施。

第七章 安全培訓

第三十四條 省(sheng)公安廳、人(ren)事(shi)廳聯合成立的省(sheng)信息網絡安全(quan)(quan)專(zhuan)業技(ji)(ji)術(shu)(shu)人(ren)員繼(ji)續教(jiao)(jiao)育(yu)工(gong)作(zuo)領(ling)導小組(zu)，負責全(quan)(quan)省(sheng)信息網絡安全(quan)(quan)專(zhuan)業技(ji)(ji)術(shu)(shu)人(ren)員繼(ji)續教(jiao)(jiao)育(yu)工(gong)作(zuo)的組(zu)織和領(ling)導。下設(she)省(sheng)信息網絡安全(quan)(quan)專(zhuan)業技(ji)(ji)術(shu)(shu)人(ren)員繼(ji)續教(jiao)(jiao)育(yu)工(gong)作(zuo)辦公室，具體負責日常管理工(gong)作(zuo)。

第三十五條 下(xia)列人員(yuan)應當參加信息(xi)網(wang)絡安(an)(an)全(quan)專業(ye)技(ji)術(shu)人員(yuan)繼續教(jiao)育(yu)，取得(de)省信息(xi)網(wang)絡安(an)(an)全(quan)專業(ye)技(ji)術(shu)人員(yuan)繼續教(jiao)育(yu)工作辦公室頒(ban)發(fa)的信息(xi)網(wang)絡安(an)(an)全(quan)專業(ye)技(ji)術(shu)人員(yuan)繼續教(jiao)育(yu)合格(ge)證書(shu)，持證上崗：

（一）計算機信息系(xi)統(tong)運營(ying)、使用單位信息安(an)全管理責任人、信息審查員；

（二）互(hu)聯網接入服(fu)(fu)務(wu)(wu)、數(shu)據(ju)中心服(fu)(fu)務(wu)(wu)、信息服(fu)(fu)務(wu)(wu)、上(shang)網服(fu)(fu)務(wu)(wu)提供單位安(an)全管(guan)理員、專業技術人員；

（三）安全專(zhuan)用(yong)產品生產單位專(zhuan)業技術人員(yuan)；

（四）安全(quan)服(fu)務機構專業技術人員、安全(quan)服(fu)務管理人員；

（五）其他從(cong)事計算機(ji)信息系統安全保護工(gong)作的人(ren)員。

第三十六條 信(xin)息(xi)網(wang)絡(luo)安全(quan)專業技術人員繼續教(jiao)育(yu)由省(sheng)信(xin)息(xi)網(wang)絡(luo)安全(quan)專業技術人員繼續教(jiao)育(yu)工作辦公室授權的施教(jiao)機構負責實施。施教(jiao)機構實行統籌(chou)規劃(hua)。

第三十七條 信息(xi)網絡安全(quan)專業技(ji)術人員繼續教(jiao)育(yu)培訓和考(kao)試按照有關規定進行(xing)，實行(xing)統一教(jiao)學(xue)大綱，統一教(jiao)材，統一考(kao)試，統一發證。

考試合格的，由省信息網絡安全專(zhuan)業技(ji)術人員繼續教(jiao)育(yu)工作辦公室發(fa)給信息網絡安全專(zhuan)業技(ji)術人員繼續教(jiao)育(yu)證書。

第八章 法律責任

第三十八條 違反本辦法的規(gui)(gui)定，依照有關法律、法規(gui)(gui)和規(gui)(gui)章處罰。

第九章 附則

第三十九條 本細(xi)則下(xia)列用語(yu)的含(han)義：實體安全，指保護計算機信息系統的環(huan)境，計算機設備(bei)、設施（含(han)網絡）以及其它(ta)媒體免遭地震、水(shui)災、火災、雷電、有害氣(qi)體和(he)其它(ta)環(huan)境事故（如電磁污(wu)染等）破壞。

運行(xing)安全，指保護計算機信息系統(tong)的(de)信息處(chu)理過程順利進行(xing)。

信息安全(quan)，指保障(zhang)信息的完整性、保密性、可用性和可控(kong)性。

內容安(an)全，指確(que)保(bao)計算機信息系統中傳輸的信息所承載的內容的合(he)法性。

安全(quan)（漏洞）檢測，指利用計(ji)算機技術手段掃描、探測計(ji)算機信息系(xi)統安全(quan)漏洞。

第四十條 本(ben)(ben)辦(ban)法(fa)規定的“以(yi)上”含本(ben)(ben)數。

第四十一條 本辦法規定(ding)(ding)的有關表格和證(zheng)書由(you)省公(gong)安廳制定(ding)(ding)式(shi)樣，統一監制。

第四十二條 本辦法(fa)由省(sheng)公安廳(ting)負(fu)責解釋。

第四十三條 本(ben)辦法自(zi)2008年12月(yue)1日起施(shi)行。